Veri sahibinin açık rızası alınmış ise veya söz konusu aktarım için öngörülen diğer hukuki sebeplerden biri geçerli ise özel nitelikli kişisel veriler ve özel nitelikli olmayan kişisel veriler üçüncü kişilere aktarılabilir.
Kişisel Verilerin Korunması Kanunu’nda üçüncü kişinin tanımı yer almamaktadır. Bu nedenle, herhangi bir kişi veya teşebbüs (veri sorumlusu ve veri sahibi dışında) üçüncü kişi sayılabilir. Bu da özellikle veri sorumluları ve veri işleyenler arasında gerçekleştirilen aktarımlar açısından sorun yaratmaktadır zira veri sorumluları ile veri işleyenler arasındaki veri aktarımlarına ilişkin açık bir hüküm bulunmamaktadır. Bunun sonucunda, bir veri sorumlusundan veri işleyene yapılacak her türlü aktarım üçüncü bir kişiye yapılan aktarım olarak yorumlanabilir. Böylesi bir yorum, bu tür herhangi bir aktarımın yapılabilmesi için:
- Veri sahibinin açık rızasının alınmasını veya
- Diğer hukuki sebeplerin mevcut olmasını gerektirecektir.
Kişisel Verilerin Korunması Kanunu’nda “Veri İşleyen” veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır. Veri işleyen, “veri sorumlusu adına” kişisel verileri işleyen bir gerçek kişi veya tüzel kişi olduğu için, veri işleyenin sıradan bir üçüncü kişiden farklı olduğu söylenebilir. Veri işleyen, veri sorumlusunun kendisine verdiği yetkiye dayanarak hareket eder, bu da veri işleyeni veri sorumlusunun teşkilatının bir parçası haline getirir. Kişisel verilerin veri sorumlusunun çalışanları arasında aktarımı, üçüncü kişiye aktarım sayılamayacağı gibi (veri sorumlusu ve her bir çalışanı ayrı kişiler olmasına rağmen), veri işleyene aktarım da üçüncü kişiye aktarım olarak düşünülmemelidir. Bu geniş kapsamlı bir yorum olmakla birlikte, Kurul bu hususta bir karar alacak olursa bu yorumun etkileri güçlü olacaktır ve bir mahkemenin muhakemesi karşısında tutunma şansı yüksek olabilir. Ancak halihazırda veri işleyene yapılan her bir aktarım 3. kişiye veri aktarımı olarak addedilmektedir.