Yayımlanan yönetmelikte, düzenlemede izlenmesi gereken esaslar yer alıyor. Aktarımın yapılacağı ülke için belirli kriterlerde yeterlilik kararı bulunması gerekiyor. Bu kriterlerin karşılanmadığı durumlarda, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması şartıyla, yönetmelikte belirlenen güvencelerden birinin sağlanması gerekiyor. Ayrıca, yönetmelikte belirlenen istisnai hâllerden birinin varlığı durumunda veri sorumluları ve veri işleyenler tarafından yurt dışına aktarım yapılabilecek.
Eğer Türkiye'nin ya da ilgili kişinin menfaatine zarar verici durumlar gerçekleşirse, sadece ilgili kamu kurumu ya da kuruluşunun görüşü alınacak ve KVKK izniyle veriler aktarılabilecek. KVKK ayrıca, bir ülkede, ülke içindeki sektörlerin veya uluslararası kuruluşun yeterli düzeyde koruma sağladığına karar verebilecek. Bu yeterlilik kararı ise en geç 4 yılda bir yeniden değerlendirilecek.
Ortak ekonomik faaliyetlerde bulunan bir teşebbüs grubu içindeki şirketler, kişisel verilerin korunması için bağlayıcı şirket kuralları aracılığıyla uygun güvence sağlayabilirler. Bu kurallara dayanarak, kişisel verilerin yurt dışına aktarılabilmesi için KVKK'ya onay başvurusunda bulunulacaktır.
