Avrupa Veri Koruma Kurulu (EDPB), bir veri işleme faaliyetinin GDPR'ın 5. Bölümü anlamında 'üçüncü bir ülkeye aktarım' teşkil etmesi için hangi üç kümülatif kriterin varlığını aramaktadır?

EDPB'nin 05/2021 sayılı rehberine göre, bir veri işleme faaliyetinin 'üçüncü bir ülkeye aktarım' sayılabilmesi için üç kümülatif (bir arada) kriterin bulunması gerekir: 1) Veri sorumlusu veya veri işleyen (aktarıcı), söz konusu veri işleme faaliyeti için GDPR'a tabi olmalıdır (GDPR Madde 3 kapsamında). 2) Bu veri sorumlusu veya işleyen (aktarıcı), kişisel veriyi başka bir veri sorumlusuna, ortak veri sorumlusuna veya veri işleyene (alıcı) aktarmalı veya başka bir suretle erişilebilir hale getirmelidir. 3) Bu alıcı, üçüncü bir ülkede bulunmalı veya uluslararası bir kuruluş olmalıdır. Bu üç kriter bir arada gerçekleştiğinde, aktarım GDPR'ın 5. Bölümünde belirtilen uluslararası aktarım kurallarına (yeterlilik kararı, standart sözleşme maddeleri vb.) tabi olur.