Kişisel Verileri Koruma Kurulu'nun, 'yeterli korumanın bulunduğu ülkeleri' henüz ilan etmemiş olması, açık rıza alınmadan yurtdışına veri aktarımı yapmak isteyen veri sorumluları için pratikte ne gibi bir sorun yaratmaktadır? Bu sorunu aşmak için KVKK'nın öngördüğü hukuki mekanizma nedir?

Kurul'un bu listeyi henüz ilan etmemiş olması, pratikte KVKK m. 9/2(a)'da belirtilen 'yeterli koruma bulunan ülkeye aktarım' yolunu işlevsiz kılmaktadır. Bu durum, KVKK m. 5/2 veya m. 6/3'teki şartları sağlasa bile, veri sorumlularının açık rıza olmaksızın veri aktarımı yapmasını engellemektedir. Bu sorunu aşmak için KVKK'nın öngördüğü mekanizma, m. 9/2(b)'de düzenlenen yoldur. Buna göre veri sorumluları; 1) Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlusu/veri işleyen olarak yeterli bir korumayı sağlayacaklarına dair yazılı bir taahhütname hazırlamalıdırlar. 2) Bu taahhütname ile Kişisel Verileri Koruma Kurulu'na başvurarak aktarım için izin almalıdırlar. Kurul'dan izin alınması halinde, güvenli ülkeler listesi açıklanana kadar, açık rıza olmaksızın yurtdışına hukuka uygun veri aktarımı yapılabilir. (Kaynak: vonahukuk.com/kisisel-verilerin-yurt-disina-aktarilmasi/)