KVKK m.9 uyarınca kişisel verilerin yurt dışına aktarılmasında, 'yeterlilik kararı' bulunmayan bir ülkeye aktarım için 'uygun güvencelerden' biri olan 'standart sözleşme'nin varlığı yeterli midir? Veri sorumlusunun bu durumda ek bir yükümlülüğü var mıdır?

Hayır, 'standart sözleşme'nin varlığı tek başına yeterli değildir. KVKK m.9/4, yeterlilik kararı olmayan bir ülkeye veri aktarımı için birden fazla kümülatif (birikimli) şart öngörmüştür. Bu şartlar şunlardır: 1) Öncelikle, veri işlemenin KVKK m.5 veya m.6'daki bir hukuki sebebe dayanması gerekir. 2) Aktarımın yapılacağı ülkede, ilgili kişinin haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması gerekir. 3) Bu iki şartın yanında, m.9/4'te sayılan 'uygun güvencelerden' birinin (standart sözleşme, bağlayıcı şirket kuralları vb.) sağlanması gerekir. Ayrıca, veri sorumlusunun ek bir yükümlülüğü daha vardır. KVKK m.9/5'e göre, 'Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir.' Bu, bir izin değil, bir 'bildirim' yükümlülüğüdür. Bu şartların tamamı sağlanmadan, sadece standart sözleşme imzalanarak yapılan bir yurt dışı veri aktarımı hukuka aykırı olur.