Veri Sorumluları İçin Bağlayıcı Şirket Kuralları Başvuru Formu

KVKK-BŞK/2024-1 04/06/2024 KİŞİSEL VERİLERİ KORUMA KURUMU BAĞLAYICI ŞİRKET KURALLARI VERIǚ SORUMLULARI IǚÇIǚN BAGǎLAYICI ŞIǚ RKET KURALLARI BAŞVURU FORMU -- 1 of 12 -- 2/12 TANIMLAR Bağlayıcı Şirket Kuralları : Ortak bir ekonomik faaliyette bulunan bir teşebbüs grubu (Grup) içinde yer alan Türkiye'de yerleşik bir veri sorumlusu veya veri işleyen tarafından, aynı Grup içinde yer alan yurt dışında yerleşik bir veri sorumlusu veya veri işleyene yapılan kişisel veri aktarım faaliyetleri bakımından Grup Üyeleri tarafından uyulması gereken kişisel veri koruma kurallarını ifade eder. BŞK Üyesi : Veri Sorumluları için Bağlayıcı Şirket Kuralları ile bağlı olan Grup Üyesini ifade eder. Grup : Ortak bir ekonomik faaliyette bulunan bir teşebbüs grubunu ifade eder. Grup Üyesi : Ortak bir ekonomik faaliyette bulunan bir teşebbüs grubundaki her bir kuruluşu ifade eder. Temas Kurulacak Kişi/Birim : Veri Sorumluları için Bağlayıcı Şirket Kuralları’na ilişkin işlemleri yürütmek adına Kurum ile irtibat kuracak kişi veya birimi ifade eder. -- 2 of 12 -- 3/12 KISALTMALAR Başvuru Formu : 04/06/2024 tarihli ve KVKK-BŞK/2024-1 sayılı Veri Sorumluları için Bağlayıcı Şirket Kuralları Başvuru Formu Kanun : 6698 sayılı Kişisel Verilerin Korunması Kanunu Kurul : Kişisel Verileri Koruma Kurulu Kurum : Kişisel Verileri Koruma Kurumu Vİ BŞK : Veri İşleyenler için Bağlayıcı Şirket Kuralları VS BŞK : Veri Sorumluları için Bağlayıcı Şirket Kuralları Yardımcı Kılavuz : 04/06/2024 tarihli ve KVKK-BŞK/2024-2 sayılı Veri Sorumluları için Bağlayıcı Şirket Kuralları Yardımcı Kılavuzu -- 3 of 12 --

BAŞVURUYA İLİŞKİN GENEL TALİMATLAR VE AÇIKLAMALAR  Başvuru Formunun ve Yardımcı Kılavuzun yalnız bir kopyasının doldurulması ve Kuruma sunulması gerekmektedir. Yardımcı Kılavuz, Başvuru Formunun eki niteliğindedir.  Hem VS BŞK hem de Vİ BŞK için Kuruma onay başvurusu yapılması durumunda, her bir başvuru için ayrı bir form doldurulması gerekmektedir.  Başvuruların, Kuruma elden, posta yolu veya Kurul tarafından belirlenecek diğer yöntemler ile iletilmesi mümkündür1.  Başvuru Formunda ve Yardımcı Kılavuzda yer alan ilgili alanlarda yanıtlar için yeterli alan bulunmaması durumunda ek sayfalara veya eklere yer verilmesi mümkündür.  Yabancı dildeki her belgenin noter onaylı çevirisi bulunmalıdır.  Ticari olarak hassas olan ve gizli tutulması gerektiği değerlendirilen yanıtlar veya dokümanlar başvuruda belirtilebilir.  Yapılacak olan başvuruda, başvurmaya yetkili kişinin adı soyadı, adresi, imzası gibi hususlarla birlikte imzaya yetkili olduğuna dair tevsik edici belgelerin de başvuruya eklenmesi gerekmektedir. Bu kapsamda, tüzel kişiler tarafından yapılacak başvuruların, bu konuda temsil ve imzaya yetkili kişiler tarafından yapılması ile başvuruya bu hususu tevsik edici belgelerin eklenmesi; ayrıca, vekil marifetiyle yapılacak başvurularda da vekâletname aslı veya onaylı örneğinin bulunması gerekmektedir.  Başvuruya ilişkin sürecin sonraki adımları, Yardımcı Kılavuzda açıklanmaktadır.  VS BŞK’nın yıllık güncellemeleri sırasında (bkz. Yardımcı Kılavuz Bölüm 8.1) Başvuru Formunun 2. Bölümünün 1.3. nolu kısmı (“Mal Varlığı”) doldurularak yeterli mal varlığının bulunduğu hususunun teyit edilmesi gerekmektedir.  Grubun merkezinin Türkiye’de bulunması halinde, Başvuru Formu ve Yardımcı Kılavuz bu kuruluş veya belirli koşullar altında kişisel verilerin korunmasına ilişkin sorumlulukların devredildiği Türkiye’de yerleşik başka bir kuruluş tarafından doldurulmalı ve Kuruma sunulmalıdır2. İkinci durumda, Grup, merkez kuruluş

bu kuruluş veya belirli koşullar altında kişisel verilerin korunmasına ilişkin sorumlulukların devredildiği Türkiye’de yerleşik başka bir kuruluş tarafından doldurulmalı ve Kuruma sunulmalıdır2. İkinci durumda, Grup, merkez kuruluş niteliğini haiz olmayan Türkiye’de yerleşik başka bir kuruluşun neden başvurucu olarak belirlendiğine ilişkin ek gerekçeler sunmalıdır.  Grubun merkezinin Türkiye dışında olması halinde, Grup Türkiye’de yerleşik bir Grup kuruluşunu, kişisel verilerin korunmasına ilişkin sorumlulukların devredilmiş olduğu Yetkili Grup Üyesi olarak atamalıdır. Bu kuruluş daha sonra Grup adına başvuruyu Kuruma sunmalıdır.  Kurum tarafında başvuruya ilişkin soruların iletilebileceği ‘temas kurulacak kişi/birim’in bildirilmesi gerekir. Pratik nedenlerle bu kişi/birimin Türkiye’de bulunması tavsiye edilir. 1 Başvurunun posta yoluyla ‘Nasuh Akar Mahallesi 1407. Sok. No:4, 06520 Çankaya/Ankara/TÜRKİYE’ adresine iletilebilmesi mümkündür. 2 Grubun Türkiye’de yerleşik bir üyesi Türkiye’de yerleşik olmayan ilgili herhangi bir Grup Üyesinin bağlayıcı şirket kurallarını ihlal etmesi durumunda her zaman sorumluluğu kabul etmelidir.

-- 4 of 12 --

TAAHHÜT Grup Üyeleri aşağıdaki hususları taahhüt etmiş sayılır: - Kişisel verilerin yurt dışına aktarılması için Kişisel Verileri Koruma Kurulu tarafından onaylanan Veri Sorumluları için Bağlayıcı Şirket Kurallarının varlığı, her aktarım faaliyetinin Kanunun 9 uncu maddesindeki tüm gerekliliklerle uyumlu olup olmadığı hususunda değerlendirme yapıldığı anlamına gelmez. Grup Üyelerinin, her aktarım faaliyeti bakımından Kanundaki ve VS BŞK’daki tüm yükümlülüklerin yerine getirilmiş olduğundan emin olması gerekir. - Kişisel verilerin VS BŞK’ya dayanılarak herhangi bir Grup Üyesine aktarılmadan önce kişisel verileri aktaran Grup Üyesi, verilerin aktarıldığı ülkede bulunan veri alıcısı Grup Üyesinin yardımıyla, verilerin aktarılacağı ülkede yürürlükte bulunan ulusal düzenlemelerin veri alıcısının VS BŞK’ya uyum sağlamasını engelleyip engellemediğini değerlendirmekle yükümlüdür. Bu değerlendirme, aktarılacak veriler için geçerli olan ülkenin hukuki düzenlemelerinin veya uygulamalarının, başta ceza kanunları ve ulusal güvenlik olmak üzere, kamu yararının korunması için demokratik bir toplumda gerekli olanın ötesine geçip geçmediğini ve veri alıcısının ve/veya veri aktaranın VS BŞK’da yer alan taahhütlerini yerine getirme kabiliyetini etkileyip etkilemediğini -aktarıma ilişkin koşulların da dikkate alınması suretiyle- belirlemek için yapılmalıdır. Böyle bir durumda, Türkiye’de yerleşik veri aktaran, gerektiğinde veri alıcısının yardımıyla, Türkiye’de sağlananla eşit veri koruma düzeyini sağlamak için ek tedbirlerin alınıp alınamayacağını değerlendirmelidir. Bu tür ek tedbirlerin alınması/uygulanması veri aktaranın sorumluluğunda olup VS BŞK’nın onaylanmasından sonra dahi sorumluluğu devam eder. - Veri aktaran Türkiye’de sağlananla eşit veri koruma düzeyini sağlamak için gerekli olan ek tedbirleri uygulayamıyorsa, kişisel veriler VS BŞK uyarınca başka bir ülkeye aktarılamaz. Aynı şekilde veri aktaran, ilgili ülkenin düzenlemelerinde, Türk Hukuku uyarınca gereken veri koruma düzeyini zayıflatan herhangi

gerekli olan ek tedbirleri uygulayamıyorsa, kişisel veriler VS BŞK uyarınca başka bir ülkeye aktarılamaz. Aynı şekilde veri aktaran, ilgili ülkenin düzenlemelerinde, Türk Hukuku uyarınca gereken veri koruma düzeyini zayıflatan herhangi bir değişiklikten haberdar olduğunda, ilgili ülkeye/ülkelere kişisel veri aktarımını askıya almak veya sona erdirmek zorundadır.

6/12 BÖLÜM 1: BAŞVURUCU BİLGİSİ 1. ORTAK EKONOMİK FAALİYETTE BULUNAN TEŞEBBÜS GRUBUNUN YAPISI VE İRTİBAT BİLGİLERİ 1.1. Grubun adı ve Grubun genel merkezinin adresi (hâkim şirket): 1.2. Başvurucunun adı ve adresi: 1.3. Başvurucunun Vergi Kimlik Numarası/MERSİS Numarası/Ticaret Sicil Numarası ve Bağlı Olunan Vergi Dairesi: 1.4. Başvurucunun hukuki statüsü (şirket, ortaklık vb.): 1.5. Başvurucunun Grup içindeki pozisyonu (Grubun Türkiye’de yerleşik merkezi veya Türkiye’de yerleşik merkezi yok ise kişisel verilerin korunması konusunda yetkilendirilmiş ve Türkiye’de yerleşik bir Grup Üyesi): 1.6. Temas kurulacak kişinin adı ve görevi veya birim (temas kurulacak kişinin değişebilecek olması nedeniyle ‘kişi’ yerine ‘birim’ belirtilebilir)(bir veya birden fazla kişi/birim belirtilebilir): 1.7. Temas kurulacak kişinin/birimin adresi: 1.8. Temas kurulacak kişinin/birimin irtibat bilgileri: Telefon Numarası: Fax: E-posta adresi: -- 6 of 12 --

değişebilecek olması nedeniyle ‘kişi’ yerine ‘birim’ belirtilebilir)(bir veya birden fazla kişi/birim belirtilebilir): 1.7. Temas kurulacak kişinin/birimin adresi: 1.8. Temas kurulacak kişinin/birimin irtibat bilgileri: Telefon Numarası: Fax: E-posta adresi: -- 6 of 12 -- 7/12 2. KİŞİSEL VERİLERİN İŞLENMESİ VE VERİ AKIŞINA İLİŞKİN KISA AÇIKLAMALAR3 2.1. Aşağıdaki hususları açıklayınız: VS BŞK kapsamında aktarılması öngörülen kişisel verilerin niteliği; veri kategorileri, kişisel veri işleme faaliyetinin amaçları; kişisel verilerin işlenmesinden etkilenen ilgili kişi kategorileri (örneğin, müşterilere, tedarikçilere ve diğer üçüncü taraflara ait işlerinin düzenli bir parçası olarak çalışanlara ilişkin veriler ...)4 2.2. VS BŞK yalnızca Türkiye’den yapılan aktarımlarda mı yoksa Grup Üyeleri arasındaki aktarımlarda mı uygulanacaktır? 2.3. VS BŞK kapsamında kişisel verilerin Türkiye’den en fazla hangi ülkeye aktarılacağını belirtiniz. 2.4. Kişisel verilerin aktarılabileceği Türkiye içinde veya dışında herhangi bir Grup üyesinin irtibat bilgilerinin bulunduğu açıklama ile birlikte Grup içinde VS BŞK ile yapılacak aktarımların kapsamı5 hakkında bilgi veriniz. 3 KVKK-BŞK/2024-2 Bölüm 2’ye bakınız. 4 KVKK-BŞK/2024-2 Bölüm 2.1’e bakınız. 5 KVKK-BŞK/2024-2 Bölüm 2.2’ye bakınız. -- 7 of 12 --

yapılacak aktarımların kapsamı5 hakkında bilgi veriniz. 3 KVKK-BŞK/2024-2 Bölüm 2’ye bakınız. 4 KVKK-BŞK/2024-2 Bölüm 2.1’e bakınız. 5 KVKK-BŞK/2024-2 Bölüm 2.2’ye bakınız. -- 7 of 12 -- 8/12 BÖLÜM 2: GEÇERLİLİK ESASLARI 1. VERİ SORUMLULARI İÇİN BAĞLAYICI ŞİRKET KURALLARININ BAĞLAYICI NİTELİĞİ 1. 1. Grup Üyeleri Bakımından Bağlayıcılık 1.1.1. VS BŞK, Grup Üyeleri bakımından nasıl bağlayıcı hale getirilmektedir? Grup içi anlaşmalar: Tek taraflı beyanlar6: Diğer yöntemler7 (Açıklayınız): Yönetim Kurulu düzeyinde imzalanan Grup içi anlaşmanın/tek taraflı beyanların/diğer yöntemlerin tercih edilmesi halinde bu hususu gösterir evrakın Başvuru Formuna eklenmesi gerekmektedir. 1.1.2. Kişisel verilerin korunmasına ilişkin yükümlülüklerin devredildiği Grup Üyesi/Üyelerinin, Grubun diğer üyelerinin VS BŞK kapsamındaki yükümlülüklerini yerine getirmesini sağlayacak hukuki temeli açıklayınız. 1.1.3. VS BŞK’nın Grup içindeki bağlayıcı etkisi tüm Grup için geçerli midir? (Bazı Grup üyelerinin muaf tutulması gerekli ise söz konusu muafiyetin neden sağlandığını ve nasıl sağlandığını açıklayınız.) 6 KVKK-BŞK/2024-2 Bölüm 1.1.2’de sayılan gereklilikler karşılanmalıdır. 7 Yalnızca Grubun, VS BŞK’nın bağlayıcı niteliğinin nasıl sağlandığını göstermesi halinde mümkündür. -- 8 of 12 --

sağlandığını açıklayınız.) 6 KVKK-BŞK/2024-2 Bölüm 1.1.2’de sayılan gereklilikler karşılanmalıdır. 7 Yalnızca Grubun, VS BŞK’nın bağlayıcı niteliğinin nasıl sağlandığını göstermesi halinde mümkündür. -- 8 of 12 -- 9/12 1. 2. Çalışanlar Bakımından Bağlayıcılık8 1.2.1. Grup, VS BŞK’nın çalışanlar bakımından bağlayıcı olmasını sağlamak için aşağıdaki yöntemlerden bir veya birkaçını öngörebilir. Ancak bunlar dışında başka yöntemler de öngörülebilir. Aşağıda detaylara yer veriniz. ☐Yaptırımları olan bireysel ve ayrı bir sözleşme/taahhüt ☐Yaptırımlar içeren iş sözleşmesi ☐Yaptırımlar içeren toplu sözleşmeler ☐ Yaptırımlar içeren iç politikalar ☐Diğer yöntemler (VS BŞK’nın çalışanlar üzerinde nasıl bağlayıcı hale getirildiğinin açıklanması gerekmektedir.) 1.2.2. VS BŞK’nın çalışanlar bakımından bağlayıcılığının nasıl sağlandığına ilişkin ilgili politikalardan ve prosedürlerden veya gizlilik anlaşmalarından alıntılarla desteklenen bir özet bilgi sunulması gerekmektedir. 1.3. Mal Varlığı9 Türkiye’de yerleşik sorumlu VS BŞK Üyesinin/Üyelerinin (Grubun Türkiye’de yerleşik merkezi veya Türkiye’de yerleşik merkezi yok ise kişisel verilerin korunması konusunda yetkilendirilmiş ve Türkiye’de yerleşik bir Grup Üyesi), Türkiye’de yerleşik olmayan BŞK Üyelerinin VS BŞK ihlallerinden kaynaklanan tüm zararların giderilmesi 8 KVKK-BŞK/2024-2 Bölüm 1.1.2 (ii)’e bakınız. 9 KVKK-BŞK/2024-2 Bölüm 1.2.4’e bakınız. -- 9 of 12 --

olmayan BŞK Üyelerinin VS BŞK ihlallerinden kaynaklanan tüm zararların giderilmesi 8 KVKK-BŞK/2024-2 Bölüm 1.1.2 (ii)’e bakınız. 9 KVKK-BŞK/2024-2 Bölüm 1.2.4’e bakınız. -- 9 of 12 -- 10/12 için tazminat ödemesine ilişkin gerekli tedbirleri aldığını doğrulayınız ve bunun nasıl teminat altına alındığını açıklayınız. 2. ETKİLİLİK VS BŞK’ya dayanılarak yapılacak veri aktarımlarının gerçekleştiği durumlarda, Grup bünyesinde geçerli olan VS BŞK’nın nasıl uygulandığını ortaya koymak önem arz etmektedir. Zira bu durum, mevcut koruma tedbirlerinin yeterliliğinin değerlendirmesinde önemli bir rol oynayacaktır. 2.1. Çalışanların Eğitimi ve Farkındalığının Artırılması ☐Özel Eğitim Programlarının bulunması ☐Çalışanların VS BŞK ve kişisel verilerin korunması bakımından yetkinliğinin test edilmesi ☐ VS BŞK’nın tüm çalışanların erişimine basılı veya çevrim içi olarak sunulması ☐Şirketin üst düzey yöneticilerinin inceleme ve onay mekanizmasının bulunması ☐Çalışanların yaptıkları işin, kişisel verilerin korunması bakımından etkilerini, diğer bir ifadeyle gizlilik politikalarının faaliyetleri için geçerli olup olmadığını tespit edebilmesi ve buna göre hareket edebilmesi hususunda nasıl eğitildiğini açıklayınız (Çalışanların Türkiye’de yerleşik olup olmadığı önem arz etmemektedir). -- 10 of 12 -- 11/12 2.2. Personel Yapılanması10 2.2.1. VS BŞK’ya uyumluluğun sağlanması ve bunun denetlenmesi için görevlendirilmiş personel yapılanmasının üst düzey yöneticilerin belirlemesi suretiyle sağlandığını onaylayınız: 2.2.2. Personel yapılanmasının nasıl işlediğini açıklayınız: Dahili Yapı: Görev ve Sorumluluklar: Tarih, Başvurucunun İmzası (Temsile ve imzaya yetkili kişiler tarafından imzalanması zorunludur.) (İsim, hukuki statü, irtibat bilgilerini de belirtiniz.) 10 KVKK-BŞK/2024-2 Bölüm 3.4’e bakınız. -- 11 of 12 --

Dahili Yapı: Görev ve Sorumluluklar: Tarih, Başvurucunun İmzası (Temsile ve imzaya yetkili kişiler tarafından imzalanması zorunludur.) (İsim, hukuki statü, irtibat bilgilerini de belirtiniz.) 10 KVKK-BŞK/2024-2 Bölüm 3.4’e bakınız. -- 11 of 12 -- 12/12 EK-1: VERİ SORUMLULARI İÇİN BAĞLAYICI ŞİRKET KURALLARI METNİ Başvuru Formuna Veri Sorumluları için Bağlayıcı Şirket Kuralları metninin bir suretinin eklenmesi gerekmektedir. Başvuru bakımından zorunlu tüm bilgilerin VS BŞK belgelerine (temel belgelerin içeriğine veya eklerine) dâhil edilmesi gerekmektedir. EK-2: VERİ SORUMLULULARI İÇİN BAĞLAYICI ŞİRKET KURALLARINDA BULUNMASI GEREKEN TEMEL HUSUSLARA İLİŞKİN YARDIMCI KILAVUZ Veri Sorumluları için Bağlayıcı Şirket Kurallarında Bulunması Gereken Temel Hususlara İlişkin Yardımcı Kılavuzun bir suretinin doldurularak başvuruya eklenmesi gerekmektedir. EK-3: TEVSİK EDİCİ BELGELER Başvuruya ilişkin olarak sunulacak olan tevsik edici belgeler (VS BŞK’nın parçası olmayan belgeler gibi) ise yalnızca daha fazla açıklama yapılması amacıyla sunulabilir. Söz konusu ekler bakımından adlandırma [(EK-3-1), (EK-3-1-A)] şeklinde olabilir. Gönderilen tüm belgeler, uygun görüldüğü takdirde bilgi edinme mevzuatı çerçevesindeki erişim taleplerine konu olabilecektir. -- 12 of 12 --