Veri sahibinin açık rızası alınmış ise veya söz konusu aktarım için öngörülen diğer hukuki sebeplerden biri geçerli ise özel nitelikli kişisel veriler ve özel nitelikli olmayan kişisel veriler üçüncü kişilere aktarılabilir.
Kanun’da üçüncü kişinin tanımı yer almamaktadır. Bu nedenle, herhangi bir kişi veya teşebbüs (veri sorumlusu ve veri sahibi dışında) üçüncü kişi sayılabilir. Bu da özellikle veri sorumluları ve veri işleyenler arasında gerçekleştirilen aktarımlar açısından sorun yaratmaktadır.Zira veri sorumluları ile veri işleyenler arasındaki veri aktarımlarına ilişkin açık bir hüküm bulunmamaktadır. Bunun sonucunda, bir veri sorumlusundan veri işleyene yapılacak her türlü aktarım, üçüncü bir kişiye yapılan aktarım olarak yorumlanabilir. Böylesi bir yorum, bu tür herhangi bir aktarımın yapılabilmesi için:
- Veri sahibinin açık rızasının alınmasını veya
- Diğer hukuki sebeplerin mevcut olmasını gerektirecektir.
Kanun’da “Veri İşleyen” veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır. Veri işleyen, “veri sorumlusu adına” kişisel verileri işleyen bir gerçek kişi veya tüzel kişi olduğu için, veri işleyenin sıradan bir üçüncü kişiden farklı olduğu söylenebilir. Veri işleyen, veri sorumlusunun kendisine verdiği yetkiye dayanarak hareket eder, bu da veri işleyeni veri sorumlusunun teşkilatının bir parçası haline getirir.
Kişisel verilerin veri sorumlusunun çalışanları arasında aktarımı, üçüncü kişiye aktarım sayılamayacağı gibi (veri sorumlusu ve her bir çalışanı ayrı kişiler olmasına rağmen), veri işleyene aktarım da üçüncü kişiye aktarım olarak düşünülmemelidir. Bu geniş kapsamlı bir yorum olmakla birlikte, Kurul bu hususta bir karar alacak olursa, bu yorumun etkileri güçlü olacaktır ve muhtemel bir uyuşmazlıkta mahkeme tarafından yapılacak değerlendirmede dikkate alınma ihtimali yüksek olabilir. Ancak halihazırda veri işleyene yapılan her bir aktarım 3. kişiye veri aktarımı olarak addedilmektedir.