Kişisel Verilerin Korunması Kanunu (KVKK), 2 Mart 2024 tarihinde yapılan bir değişiklikle yurt dışına kişisel veri aktarımı konusunda önemli değişiklikler getirmiştir. 1 Eylül 2024 tarihinde yürürlüğe girecek olan bu değişiklikler, bağlayıcı şirket kuralları ve standart sözleşmeler gibi yeni uluslararası veri aktarım yöntemlerini, açık rıza ve yeterlilik kararları gibi mevcut yöntemlerin yanına eklemektedir. 10 Temmuz 2024 tarihinde yayımlanan yeni düzenlemenin temel unsurları aşağıda özetlenmiştir:

Kurul Tarafından Yeterlilik Kararı: Verilerin yurt dışına aktarılması, Kurul’un hedef ülke, bu ülkedeki belirli sektörler veya uluslararası kuruluşlar için bir yeterlilik kararı vermesi durumunda mümkündür. Ancak, yeterli koruma sağlayan ülkeler veya sektörler listesi henüz Kurul tarafından yayımlanmamıştır.

Aktarım Tarafları Tarafından Uygun Güvence Sağlanması: Yeterlilik kararının bulunmadığı durumlarda, uygun güvenceler sağlandığı takdirde veri aktarımı yapılabilir:

- Uluslararası Olmayan Anlaşma: Kamu kurum ve kuruluşları arasındaki aktarımlar, Yönetmelik'te belirtilen asgari içeriği taşıyan bir anlaşmayı içermelidir ve Kurul'un onayı gerekmektedir.

- Bağlayıcı Şirket Kuralları (BCRs): Bir şirket grubu içindeki aktarımlar için kullanılan BCR'ler, hukuki olarak bağlayıcı, uygulanabilir olmalı ve veri koruma taahhüdü içermelidir. BCR'lerin Kurul tarafından onaylanması gerekmektedir.