6698 sayılı KVKK'ya göre, bir veri sorumlusunun, yurt dışına kişisel veri aktarımı yaparken, aktarımın 'arızi' (istisnai) olması ve ilgili kişiden 'açık rıza' alması (m.9/6-a), her durumda aktarımı hukuka uygun hale getirir mi? Bu rızanın geçerliliği için ek bir şart aranır mı?

Hayır, her durumda hukuka uygun hale getirmez. KVKK m.9/6, yurt dışına veri aktarımı için yeterlilik kararı veya uygun güvencelerin bulunmadığı durumlarda başvurulabilecek, son çare niteliğindeki 'istisnai' halleri düzenler. Bu istisnalardan biri olan 'açık rıza'nın kullanılabilmesi için, öncelikle aktarımın 'arızi' olması, yani sürekli ve sistematik bir veri akışı niteliğinde olmaması gerekir. Ayrıca, m.9/6-a, bu rızanın geçerliliği için ek ve çok önemli bir şart getirmiştir: 'İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.' Bu, standart bir aydınlatmanın ötesinde, verinin aktarılacağı ülkede yeterli koruma bulunmamasından kaynaklanan spesifik risklerin (örneğin, verilerin o ülkedeki kamu otoriteleri tarafından denetimsiz erişime açık olması, etkili bir hukuki başvuru yolunun bulunmaması gibi) ilgili kişiye açıkça anlatılması gerektiği anlamına gelir. İlgili kişi, bu riskleri anladıktan sonra rıza verirse, bu rıza geçerli kabul edilir. Bu bilgilendirme yapılmadan alınan rıza, m.9/6-a kapsamındaki aktarımı hukuka uygun hale getirmez.