Özel nitelikli kişisel veriler ve özel nitelikli olmayan kişisel veriler, veri sahibinin açık rızası ile yurt dışına aktarılabilir.
Ayrıca, diğer hukuki sebepler kişisel verilerin yabancı bir ülkeye aktarımı bakımından da geçerli olacaktır. Bununla birlikte, aktarımın diğer hukuki sebeplere (açık rızanın alınmış olması hariç) dayalı olarak yapılabilmesi için verinin aktarılacağı ülkede “yeterli koruma” bulunmalıdır. Kurul tarafından, yeterli koruma sağlayan ülkelerin bir listesi belirlenecektir. Verilerin yurt dışına aktarımı konusunda güvenli ülkeler listesi üzerinde çalışılmakta olunduğu KVKK tarafından doğrulanmıştır; ancak Kurul güvenli ülkelerin belirlenmesinde mütekabiliyet esasına dayandığından dolayı yakın gelecekte güvenli ülke listesinin yayınlanması beklenmemektedir.
Kişisel Verilerin Korunması Kanunu uyarınca, verinin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda, veri aktarımının gerçekleştirilmesi için aşağıdaki koşulların ikisi de sağlanmalıdır:
- Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve
- Kurulun izninin bulunması.
Ancak, yazılı bir taahhüt ibraz ederek Kuruldan izin almanın öngörülebilir bir süreç olmadığını görüyoruz ve tarafların Kuruldan bu tür bir izni ne zaman alabileceklerine ilişkin öngörülebilir bir zaman aralığı da mevcut değildir. Bu nedenle taahhüt ibrazı veya şirketler arası aktarım sözleşmelerinin ibrazı yoluyla Kurula başvuruda bulunmak yurt dışına kişisel veri aktarımının hukuka uygun hale getirilmesi hususunda yeterli görülmemektedir.
Verinin aktarılacağı ülkede yeterli korumanın bulunmadığı durumlarda çok uluslu grup şirketleri arasında veri aktarımının gerçekleştirilebilmesi için alternatif bir yöntem olarak KVKK, Bağlayıcı Şirket Kuralları (“BŞK”) kavramını getirmiştir. Buna göre, kişisel verilerin açık rıza alınmadan grup şirketleri arasında hukuka uygun biçimde aktarılabilmesi için (kişisel verilerin açık rıza dışındaki hukuki sebeplere dayalı olarak işlenebileceği durumlarda, örneğin sözleşme kurulması, yasal hakların kullanılması veya hukuki yükümlülüklerin yerine getirilmesi gibi) KVKK’ya BŞK başvurusu yapılması ve KVKK’nın onayının alınması gerekmektedir.
Yurt dışına kişisel veri aktarımı ile ilgili halihazırda açık rıza alınması dışında hızlı bir çözümün yer almaması, standart sözleşme klozları gibi hukuki araçların tek başına kanunen verilerin yurt dışına aktarılmasında yetersiz olması, bu konuda bir kanun değişikliğine gidilmesi ihtiyacı olduğunu tartışmasız bir şekilde ortaya koymaktadır. Ticari ilişkileri de etkileyen bu konunun kısa vadede mevcut mevzuat gereği çözülebilmesi için somut adımlar atılması beklenmektedir.