Kişisel Verileri Koruma Kurumu (KVKK) tarafından yayımlanan "Kişisel Verilerin Yurtdışına Aktarımı Hakkında Genelge", 6698 sayılı Kanun'un 9. maddesi kapsamında gerçekleştirilecek aktarımlara dair belirsizlikleri gidermeyi ve uygulamada birlik sağlamayı amaçlamaktadır. Bu genelge, veri sorumluları için kritik bir yol haritası niteliğindedir.
Genelge, kişisel verilerin yurtdışına aktarımında iki temel yolu öne çıkarmaktadır: Yeterli Korumaya Sahip Ülkeler ve Yeterli Korumanın Bulunmadığı Ülkeler. KVKK, yeterli korumanın bulunduğu ülkeleri resmi olarak ilan etme yetkisine sahiptir. Genelge, bu kapsamda Avrupa Birliği üyesi devletler ve Avrupa Ekonomik Alanı üyesi diğer devletlerin bu listede yer aldığını teyit etmektedir. Bu ülkelere yapılacak aktarımlar için ek bir izin prosedürü aranmamakta, ancak Kanun'un diğer şartlarına (açık rıza veya diğer hukuki sebepler, aydınlatma yükümlülüğü) uyulması zorunluluğu devam etmektedir.
Yeterli korumanın bulunmadığı ülkelere aktarım ise daha sıkı şartlara tabidir. Burada genelge, yazılı taahhütname yolunu detaylandırmaktadır. Aktarımın gerçekleşeceği veri sorumlusu veya veri işleyenin, KVKK tarafından yayımlanan örneğe uygun bir taahhütname imzalaması ve bu taahhütnamenin Türkiye'deki veri sorumlusu tarafından Kurula iletilmesi gerekmektedir. Taahhütnamede, verilerin korunmasına yönelik yeterli güvencelerin alındığı, ilgili kişi haklarının etkin bir şekilde kullanılabileceği ve hukuki yollara başvurulabileceği taahhüt edilmelidir. Kurul, bu taahhütnameyi inceleyerek aktarıma izin verebilmektedir.
Genelge ayrıca, veri işleyen konumundaki tarafların da bu süreçteki rolünü netleştirmiştir. Yurtdışındaki bir veri işleyene aktarım yapılacaksa, bu aktarımın hukuki dayanağı (örneğin, veri sorumlusu ile veri işleyen arasındaki sözleşme) ve aktarım şekli (yeterli koruma veya taahhütname) dikkatle belirlenmelidir.
Sonuç olarak, bu genelge veri sorumlularına açık bir çerçeve sunmaktadır. Şirketler, bulut bilişim hizmetleri, uluslararası insan kaynakları yönetimi, çapraz-border e-ticaret gibi faaliyetleri için yurtdışı veri akışlarını bu genelge ve ilgili mevzuat ışığında acilen gözden geçirmeli, yeterli koruma bulunmayan ülkelere yapılan aktarımlarda taahhütname süreçlerini tamamlamalı ve tüm aktarımlarda şeffaflık ile hesap verebilirliği sağlamalıdır. Aksi takdirde, Kanun'da öngörülen ciddi idari para cezaları ile karşılaşma riski bulunmaktadır.