6698 sayılı KVKK kapsamında kişisel verilerin yurt dışına aktarılabilmesi için 'ilgili kişinin açık rızası' dışında hangi hukuki şartların sağlanması gerekmektedir? Kişisel Verileri Koruma Kurulu'nun bu süreçteki rolü nedir?

KVKK'nın 9. maddesine göre, kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılabilmesi için iki aşamalı bir şartın sağlanması gerekir: 1) **Yurt İçi Aktarım Şartlarının Varlığı:** Öncelikle, aktarımın Kanun'un 5. maddesinin 2. fıkrasında (kanunda öngörülme, sözleşmenin ifası, hukuki yükümlülük vb.) veya 6. maddesinin 3. fıkrasında (özel nitelikli veriler için) sayılan şartlardan birine dayanması gerekir. 2) **Yeterli Koruma Şartı:** Bu şart sağlandıktan sonra, verinin aktarılacağı yabancı ülkede 'yeterli korumanın' bulunması zorunludur. 'Yeterli korumanın bulunduğu ülkeler' Kişisel Verileri Koruma Kurulu tarafından ilan edilir. Eğer aktarım yapılacak ülkede yeterli koruma yoksa (veya bu ülkeler henüz ilan edilmemişse), Türkiye'deki ve yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak 'taahhüt etmeleri' ve Kurul'dan 'izin' almaları gerekir. Dolayısıyla Kurul, yeterli korumaya sahip ülkeleri belirleme ve yeterli koruma olmayan ülkelere aktarım için izin verme yetkisine sahip merkezi bir rol oynamaktadır.