Kişisel Verilerin Korunması Kanunu (KVKK) md. 9 uyarınca kişisel verilerin yurt dışına aktarılabilmesi için aranan temel şartlar nelerdir? 'Yeterli korumanın bulunduğu ülkeler'in Kişisel Verileri Koruma Kurulu tarafından belirlenmesinde esas alınan kriterler (Kurul'un 02/05/2019 tarih ve 2019/125 sayılı Kararı) nelerdir?

KVKK md. 9'a göre kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Ancak, bazı durumlarda açık rıza aranmayabilir: 1) Verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması. 2) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul'un izninin bulunması. Kurul'un 2019/125 sayılı kararında 'yeterli korumaya sahip ülkelerin belirlenmesinde esas alınacak kriterler' şunlardır: Karşılıklılık durumu, ilgili ülkenin kişisel verilerin işlenmesine ilişkin mevzuatı ve uygulaması (Anayasal koruma, temel kanun varlığı, ilkeler, işleme şartları, özel nitelikli veriler için ek tedbirler, veri güvenliği tedbirleri, ilgili kişinin hakları, başvuru yolları, tazminat hakkı), bağımsız veri koruma otoritesinin varlığı ve yetkileri, ülkenin uluslararası sözleşmelere (örn: 108 No'lu Sözleşme) taraf olup olmadığı. (Kaynak: or.av.tr/kisisel-verileri-koruma-kurulu-karari/ ve vonahukuk.com/kisisel-verileri-koruma-kurumunun-yurtdisina-veri-aktarimina-iliskin-kamuoyu-duyurusu-hakkinda/)