Kanun’un 9. maddesi uyarınca, kişisel veriler yurt dışına, yalnızca (i)ilgilinin açık rızası alınması koşuluyla yahut (ii) Kanun’un 5/2 veya 6/3 maddelerinde ifade bulan yasal sebeplerinin bulunması (açık rıza haricinde) ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması şartlarının bir arada bulunması durumlarında aktarılabilmektedir. Bu düzenlemeye rağmen yeterli korumanın bulunduğu ülkeler hâlihazırda Kurum tarafından ilan edilmiş olmadığından aslında ikinci durumun uygulamada bir karşılığı bulunmamaktadır.
Değişiklik önerisi ile yurtdışına veri aktarımı açısından üç aşamalı bir değerlendirme sistemi öngörülmüştür. Bu kapsamda öncelikle sektörel bir yeterlilik kararının mevcut olup olmadığı değerlendirilecektir. Yeterlilik kararının olmaması durumunda aşağıda belirtilen uygun güvencelerden birinin varlığı aranmaktadır. Ayrıca Kurul’un ek güvenceler istemesi de mümkündür. Yeterlilik kararı yoksa ve uygun güvenceler de sağlanmıyorsa bu durumda değişiklik önerisi kapsamında kişisel veriler yalnızca aşağıda belirtilen hallerde yurtdışına aktarılabilecektir.
(i) Yeterlilik Kararı
Kanun’un 5. ve 6. maddelerinde belirtilen hukuki sebeplerden birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektör veya uluslararası kuruluş hakkında yeterlilik kararı bulunması halinde (sonraki aktarımlar da dâhil olmak üzere) yurt dışına aktarılabilecektir. (Kurul, diğer bazı hususlarla birlikte karşılıklılık prensibi çerçevesinde yeterlilik konusunda karara varacaktır.
(ii) Uygun Güvenceler
Kurul tarafından bir yeterlilik kararı bulunmadığı hallerde, kişisel veriler aşağıda sıralanan uygun güvencelerden birinin sağlanması koşuluyla yurt dışına aktarılabilecektir:
- Kurul’a, yine Kurul tarafından ilan edilmiş standart bir taahhütname ile bildirimde bulunulması,
- Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir sözleşmenin Kurul’a verilip Kurul’dan izin alınması,
- Bağlayıcı şirket kurallarının varlığı ve bunların Kurul tarafından onaylanması,
- Türkiye’deki kamu kurum ve kuruluşları ile veri aktarımı yapılacak ülkedeki muadil kurum ve kuruluşlar arasında yapılan anlaşmalarda kişisel verilerin korunmasına ilişkin hükümlerin varlığı ve Kurul’dan izin alınması.
Son olarak, bir yeterlilik kararı bulunmaması veya veri sorumlusu tarafından ilgili güvencelerin sunulmamış olması hallerinde, aşağıdaki şartlarda aktarımın arızi hallerde yapılabilmesi önerilmiştir.
(i) uygun güvencelerin yokluğundan doğacak potansiyel riskler konusunda ilgilinin bilgilendirilmesinden sonra kendisinin açık rızasının alınması, (ii) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşme taraflarına ait kişisel verilerin aktarılmasının zorunlu olması, (iii) veri sorumlusunun üçüncü kişi olan ilgili kişi yararına akdettiği sözleşmenin kurulması veya ifa edilmesi için ilgili kişinin kişisel verilerinin aktarılmasının zorunlu olması, (iv) fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan ilgili kişinin kendisinin veya bir başka gerçek kişinin hayatı veya beden bütünlüğü için veri aktarımının zaruri olması, (v) bir hakkın tesisi, kullanılması veya korunması için veri aktarımının zorunlu olması, ve (vi) yine sadece geçici bir durum olarak kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarının mevzuatla belirlenmiş görev ve yetkilerinin ifası için kişisel verilerin aktarılmasının zorunlu olması durumlarının mevcut olması suretiyle istisnai olarak verilerin yurt dışına aktarımı söz konusu olabilecektir.