KVKK m.9 uyarınca kişisel verilerin yurt dışına aktarılabilmesi için 'yeterlilik kararı' ne anlama gelmektedir ve hangi kurum tarafından verilir? Yeterlilik kararı olmayan bir ülkeye veri aktarımı hangi koşullarda mümkündür?

'Yeterlilik kararı', Kişisel Verileri Koruma Kurulu (Kurul) tarafından, verinin aktarılacağı ülke, sektör veya uluslararası kuruluşun kişisel verilerin korunması açısından 'yeterli bir koruma seviyesine' sahip olduğunun tespit edilmesidir. Bu karar Resmi Gazete'de yayımlanır. Bir ülke hakkında yeterlilik kararı varsa, KVKK m.5 ve m.6'daki işleme şartlarından birinin varlığı halinde, başka bir izne gerek olmaksızın o ülkeye veri aktarılabilir. Yeterlilik kararı olmayan bir ülkeye veri aktarımı ise ancak şu koşullardan birinin sağlanmasıyla mümkündür: 1) Taraflar arasında, Kurul tarafından onaylanan 'Bağlayıcı Şirket Kuralları'nın (BCR) bulunması. 2) Taraflar arasında, Kurul tarafından ilan edilen 'Standart Sözleşme'nin imzalanması. 3) Tarafların yeterli korumayı sağlayacak bir 'Taahhütname' hazırlaması ve Kurul'dan aktarım için izin alınması. 4) Bu güvencelerin de olmaması halinde, ancak 'arızi' (istisnai) olmak kaydıyla, ilgili kişinin riskler hakkında bilgilendirilerek 'açık rıza' vermesi gibi m.9/6'da sayılan çok sınırlı hallerde aktarım yapılabilir.