Veri sahibinin açık rızası alınmış ise veya söz konusu aktarım için öngörülen diğer yasal sebeplerden biri geçerli ise özel nitelikli kişisel veriler ve özel nitelikli olmayan kişisel veriler üçüncü kişilere aktarılabilir.
Kişisel Verilerin Korunması Kanunu’ndaüçüncü kişinin tanımı yer almamaktadır. Bu nedenle, herhangi bir kişi veya teşebbüs (veri sorumlusu ve veri sahibi dışında) üçüncü kişi sayılabilir. Bu da özellikle veri sorumluları ve veri işleyenler arasında gerçekleştirilen aktarımlar açısından sorun yaratmaktadır zira veri sorumluları ile veri işleyenler arasındaki veri aktarımlarına ilişkin açık bir hüküm bulunmamaktadır. Bunun sonucunda, bir veri sorumlusundan veri işleyene yapılacak her türlü aktarım üçüncü bir kişiye yapılan aktarım olarak yorumlanabilir. Böylesi bir yorum, bu tür herhangi bir aktarım:
- Veri sahibinin açık rızasının alınmasını veya
- Diğer yasal sebeplerinin mevcut olmasını gerektirecektir.
Kişisel Verilerin Korunması Kanunu’nda “Veri İşleyen” veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır. Veri işleyen, “veri sorumlusu adına” kişisel verileri işleyen bir kişi veya tüzel kişi olduğu için, veri işleyenin sıradan bir üçüncü kişiden farklı olduğu söylenebilir. Veri işleyen, veri sorumlusunun kendisine verdiği yetkiye dayanarak hareket eder, bu da veri işleyeni veri sorumlusunun teşkilatının bir parçası haline getirir. Kişisel verilerin veri sorumlusunun çalışanları arasında aktarımı, üçüncü kişiye aktarım sayılamayacağı için (veri sorumlusu ve her bir çalışanı ayrı kişiler olmasına rağmen), veri işleyene aktarım da üçüncü kişiye aktarım olarak düşünülmemelidir. Bu etki alanı geniş bir yorumdur ancak Kurul bu hususta bir karar alacak olursa bu yorumun etkileri güçlü olacaktır ve bir mahkemenin muhakemesi karşısında tutunma şansı yüksek olabilir. Ancak halihazırda her bir aktarım 3. Kişiye veri aktarımı olarak addedilmektedir. .
PDF indir