KVKK'da yapılan değişiklikle, kişisel verilerin yurt dışına aktarılmasında (m. 9) benimsenen yeni sistematik nedir? 'Yeterlilik kararı', 'uygun güvenceler' ve 'arızi durumlar' olmak üzere üç aşamalı yapıyı açıklayınız.

Yeni sistematik, GDPR'daki kademeli yaklaşıma benzer şekilde üç aşamalı bir yapı benimsemiştir: 1. Yeterlilik Kararı Bulunması Hali: Veri sorumlusu, KVKK m. 5 veya m. 6'daki bir işleme şartına dayanıyorsa ve Kişisel Verileri Koruma Kurulu tarafından aktarım yapılacak ülke, sektör veya uluslararası kuruluş hakkında 'yeterlilik kararı' verilmişse, başka bir işleme gerek kalmaksızın veriyi yurt dışına aktarabilir. 2. Yeterlilik Kararı Bulunmaması Halinde Uygun Güvenceler: Yeterlilik kararı yoksa, yine m. 5 veya m. 6'daki bir işleme şartına dayanmak kaydıyla, tarafların kanunda sayılan 'uygun güvencelerden' birini sağlaması gerekir. Bu güvenceler; Kurul tarafından onaylanan 'bağlayıcı şirket kuralları' (BCR), Kurul tarafından ilan edilen 'standart sözleşme hükümleri' (SCC), taraflarca hazırlanan ve Kurul'dan izin alınan 'taahhütname' gibi mekanizmaları içerir. 3. Arızi Durumlar (İstisnai Haller): Hem yeterlilik kararı hem de uygun güvencelerden hiçbiri mevcut değilse, aktarımın 'arızi' (sürekli ve sistematik olmayan) olması kaydıyla, kanunda sayılan istisnai durumlarda veri aktarımı mümkündür. Bunlar; ilgili kişinin riskler hakkında bilgilendirilerek 'açık rıza' vermesi, sözleşmenin ifası için zorunlu olması, üstün bir kamu yararı gibi sınırlı hallerdir (KVKK m. 9 - Değişik).