KVKK m.9 uyarınca kişisel verilerin yurt dışına aktarılabilmesi için 'ilgili kişinin açık rızası' dışında kalan hukuki sebepler nelerdir? Bu sebeplerin varlığı tek başına yeterli midir, yoksa ek koşullar aranır mı?

KVKK m.9/2'ye göre, ilgili kişinin açık rızası olmaksızın yurt dışına veri aktarımı için şu iki koşulun birlikte gerçekleşmesi gerekir: 1) KVKK m.5/2 (kanunlarda öngörülmesi, sözleşmenin ifası, hukuki yükümlülük, meşru menfaat vb.) veya m.6/3'te (sağlık verileri vb. için özel şartlar) belirtilen işleme şartlarından birinin varlığı, VE 2) Verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması (Kişisel Verileri Koruma Kurulu tarafından ilan edilen 'güvenli ülke' olması) VEYA b) Yeterli korumanın bulunmaması durumunda, Türkiye'deki ve yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul'un bu taahhüde izin vermesi. Dolayısıyla, m.5/2 veya m.6/3'teki şartların varlığı tek başına yeterli olmayıp, ayrıca 'güvenli ülke' veya 'taahhütname+Kurul izni' koşullarından birinin de sağlanması zorunludur. (Ref: sen.av.tr/tr/makale/kisisel-verilerin-korunmasi-kanunu-son-tasarisi/)