KVKK m. 9'da yapılan değişiklikle getirilen yeni yurt dışı veri aktarım mekanizması, 'yeterlilik kararı' ve 'uygun güvenceler' temelinde nasıl işlemektedir? Eski sistemden temel farkı nedir?

Eski sistem, temel olarak 'açık rıza' veya Kurul'un ilan edeceği 'güvenli ülkeler' listesine dayanıyordu. Ancak bu liste hiç ilan edilmediği için sistem büyük ölçüde açık rıza ve taahhütname mekanizması ile kilitlenmişti. Yeni sistem ise GDPR'a paralel, kademeli bir yapı getirmektedir: 1) **Yeterlilik Kararı:** İlk olarak, Kurul'un aktarım yapılacak ülke, sektör veya uluslararası kuruluş hakkında yeterlilik kararı verip vermediğine bakılır. Karar varsa, başka bir şarta gerek olmaksızın (KVKK m.5 ve m.6'daki genel işleme şartları hariç) aktarım yapılabilir. 2) **Uygun Güvenceler:** Yeterlilik kararı yoksa, tarafların kanunda sayılan 'uygun güvencelerden' birini sağlaması gerekir. Bunlar; Kurul onaylı 'bağlayıcı şirket kuralları (BCR)', Kurul'un ilan ettiği 'standart sözleşme (SCC)', Kurul iznine tabi 'taahhütname' gibi mekanizmalardır. Bu güvencelerden biri sağlandığında aktarım yapılabilir. 3) **Arızi Durumlar:** İlk iki şart da yoksa, sadece kanunda sayılan istisnai ve 'arızi' (sürekli olmayan) durumlarda (ilgili kişinin riskler hakkında bilgilendirilerek açık rıza vermesi, sözleşmenin ifası için zorunluluk vb.) aktarım mümkündür. Bu yeni yapı, eski sistemin tıkanıklığını aşmayı ve daha öngörülebilir, esnek bir model sunmayı amaçlamaktadır.