EDPB'nin 'Uluslararası Aktarımlara İlişkin 05/2021 Sayılı Rehberi'ne göre, AB'de yerleşik bir şirketin çalışanının, üçüncü bir ülkeye (örneğin Hindistan) yaptığı iş seyahati sırasında şirket veri tabanındaki kişisel verilere uzaktan erişmesi, GVKT'nin 5. Bölümü kapsamında bir 'veri aktarımı' teşkil eder mi? Neden?

Hayır, bu durum bir veri aktarımı teşkil etmez. EDPB'nin rehberindeki Örnek 3'te de açıklandığı gibi, bir veri aktarımından söz edebilmek için verinin bir veri sorumlusundan/işleyeninden, farklı bir hukuki kişiliğe sahip başka bir veri sorumlusuna/işleyenine gönderilmesi gerekir. Örnekte, çalışan, veri sorumlusu olan şirketin bir parçasıdır ve onun talimatları altında hareket etmektedir. Veri, aynı veri sorumlusunun (şirketin) bünyesinde kalmakta, sadece coğrafi olarak farklı bir yerden erişilmektedir. Veri, üçüncü bir ülkedeki başka bir şirkete veya kuruluşa ifşa edilmediği için, bu durum GVKT'nin 5. Bölümü'ndeki uluslararası aktarım kurallarına tabi değildir. Ancak, bu erişimin GVKT'nin genel güvenlik ilkelerine (örn. m. 32) uygun olması gerekir.