Kanunun 9. maddesinin 1. fıkrasında kişisel verilerin ilgili kişinin açık rızası olmak şartıyla
yurt dışına aktarılabileceği düzenlenmiştir. Bununla birlikte maddenin 2. fıkrasında,
Kanunun 5. maddesinin 2. fıkrası kapsamındaki kişisel veriler ile 6. maddesinin 3. fıkrasında
belirtilen özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesine izin
veren şartlar esas alınmakta ve bu şartlardan birinin varlığı halinde, kişisel verilerin
aktarılacağı yabancı ülkede yeterli korumanın bulunması kaydıyla, ilgili kişinin açık rızası
aranmaksızın kişisel verilerin yurt dışına aktarılmasına imkân tanındığı belirtilmektedir.
Buna göre;
1. İlgili kişinin açık rızasının bulunması
2. Kanunun 5. maddesinin 2. fıkrasında ve Kanunun 6. maddesinin 3. fıkrasında belirtilen
şartlardan birinin bulunması ve verinin aktarılacağı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı
ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri
ve Kurulun izninin bulunması
kaydıyla kişisel verilerin yurt dışına aktarılması mümkündür.

51
Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilecektir. Bu kapsamda,
yabancı ülkede yeterli koruma bulunup bulunmadığına ve yeterli koruma bulunmaması
halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı
taahhüt etmeleri şartıyla söz konusu kişisel verilerin yurtdışına aktarılıp aktarılmayacağına
Kurul tarafından karar verilecektir.
İlave olarak, Kanunun 9. maddesinin 5. fıkrasında kişisel verilerin, uluslararası sözleşme
hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde
zarar göreceği durumlarda, ancak ilgili kamu kurum ve kuruluşunun görüşü alınarak
Kurulun izniyle yurt dışına aktarılabileceği hükme bağlanmıştır.