BCR (Bağlayıcı Şirket Kuralları) nedir?
Bağlayıcı Şirket Kuralları (BCR), AB/AEA’dan üçüncü ülke grup şirketlerine grup içi kişisel veri aktarımlarını meşrulaştırmak üzere çok uluslu grupların kabul ettiği iç veri koruma kurallarıdır (GDPR Madde 47). BCR, yetkili lead denetleyici makamının onayını ve EDPB konsültasyonunu gerektirir. Sık grup içi aktarımı ve olgun veri yönetişim fonksiyonu olan büyük gruplar için özellikle uygundur.
İki BCR türü
- BCR-C (Veri Sorumlusu): grup içi veri sorumlusu-veri sorumlusu aktarımları için.
- BCR-P (Veri İşleyen): dış veri sorumluları adına işleyen olarak hareket eden hizmet sağlayıcı grupları için.
BCR içerik gereksinimleri (Madde 47(2))
- Grubun yapısı ve iletişim bilgileri.
- Veri aktarımları (kategoriler, amaçlar, alıcılar, üçüncü ülkeler).
- Bağlayıcılık (içsel ve dışsal).
- Veri koruma ilkelerinin uygulanması.
- Veri sahibi hakları ve icra edilebilirlik.
- AB tüzel kişisinin AB-dışı ihlaller için sorumluluğu kabulü.
- Eğitim ve denetim programları.
- DPA’larla iş birliği yükümlülükleri.
BCR ve SCC karşılaştırması
- BCR: sadece grup içi aktarımlar; yüksek başlangıç yatırımı (12-24 aylık onay); güçlü itibar sinyali.
- SCC: sözleşmesel; daha hızlı dağıtılır; kuruluşlar arası aktarımlara uygun.
Türk grupları için
BCR onayı için Türk grup şirketinin AB bağlantılı bir grup üyesi (lead denetleyici makam yargı bölgesinde) olması gerekir. Salt Türk merkezli gruplar için BCR uygulanamaz; bu durumda SCC + TIA + KVKK uyum çerçevesi kullanılır. KVKK Kurulu BCR’a doğrudan eşdeğer bir yapı tanımlamamıştır; ancak Kurul “bağlayıcı şirket kuralları” terimini AB referansıyla kabul eder ve grup içi aktarımlar için yazılı taahhüt-temelli izin yapısını kullanır.
Yapın: AEA-üçüncü ülke arasında önemli grup içi akışları olan gruplar için BCR’ı değerlendirin; lead denetleyici makamla erken iletişime geçin; 18-24 ay süreç planlayın.
Yapmayın: BCR’ı tek seferlik vendor ilişkileri için kullanmayın — süregelen grup içi aktarımlar için tasarlanmıştır.