Kişisel Verileri Koruma Kurumunca (KVKK) hazırlanan yönetmeliğe göre, kişisel veriler, veri sorumlusu ve veri işleyen tarafından ancak 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda ve yönetmelikte öngörülen usul ve esaslara uygun olarak yurt dışına aktarılabilecek.

Kişisel veriler, 6698 sayılı kanunun kişisel verilerin hangi şartlarda işlenebileceğine ilişkin 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı ve yönetmeliğin "kişisel verilerin yurt dışına aktarılma usulleri" başlığı altında belirtilen hallerden birinin gerçekleşmesi durumunda aktarılabilecek.

Kişisel verilerin yurt dışına aktarılması halinde veri işleyen, veri sorumlusunun belirlediği amaç ve kapsam çerçevesinde, veri sorumlusu adına ve onun verdiği talimatlara uygun hareket edecek.

Veri işleyen, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, muhafazasını sağlamak amacıyla kişisel verinin niteliğine göre uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alacak.

- Yeterlilik kararı verilirken dikkat edilecekler

Kişisel Verileri Koruma Kurulu, kişisel verilerin yurt dışına aktarımıyla ilgili bir ülkenin, ülke içerisindeki bir veya daha fazla sektörün ya da bir uluslararası kuruluşun yeterli düzeyde koruma sağladığına karar verebilecek.

Kurul, yeterlilik kararı verirken, "kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu, ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tabi olduğu kurallar, bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu" gibi hususları dikkate alacak.

Yeterlilik kararı en geç 4 yılda bir yeniden değerlendirilecek. İlgili ülkede yeterli düzeyde koruma sağlanmadığının tespiti durumunda kurul kararını ileriye etkili olmak üzere değiştirebilecek, askıya alabilecek veya kaldırabilecek.

Kişisel veriler, yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı taahhütname ve kurulun izin vermesi durumunda da yurt dışına aktarılabilecek.

Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü olduğu kişisel verilerin korunmasına yönelik, bağlayıcı şirket kuralları vasıtasıyla uygun güvence sağlanabilecek.

Bağlayıcı şirket kurallarına dayanılarak kişisel verilerin yurt dışına aktarılabilmesi için kurula onay başvurusunda bulunulacak.

Bağlayıcı şirket kurallarında ortak ekonomik faaliyette bulunan teşebbüs grubunun her üyesinin organizasyon yapısı ve irtibat bilgileri, kişisel verilerin işlenme şartları, veri güvenliğinin sağlanmasına yönelik teknik ve idari tedbirler, Türkiye'de yerleşik olmayan herhangi bir üye tarafından bağlayıcı şirket kurallarının ihlalinde Türkiye'de yerleşik bir veri sorumlusu ve/veya veri işleyenin ihlalden sorumluluğu üstleneceğine dair taahhüt gibi hususlar yer alacak.

Kişisel veriler, yeterlilik kararının bulunmaması ve yönetmelikteki öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla belirtilen istisnai aktarım hallerinden birinin varlığı halinde de yurt dışına aktarılabilecek.

İstisnai aktarım hallerinden bazıları şunlar:

"İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla aktarıma açık rıza vermesi, aktarımın üstün bir kamu yararı için zorunlu olması, bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması."