6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 7 Nisan 2016 tarihinde yürürlüğe girmesinin peşi sıra yapılan yasal düzenlemelerle kişisel verilerin korunması hukuku alanında hemen her konu belirsizliğini yitirmiş olmasına rağmen yurt dışına veri aktarımı durumu bir türlü açıklığa kavuşturulamayarak büyük bir sorun haline gelmiştir. Kişisel Verileri Koruma Kurulu (Kurul) tarafından konuyla ilgili adımlar atılmaktaysa da bunların mevcut durumu çözmek için yeterli olmadığı açıktır. Zira halihazırda yurt dışına veri aktarımı suretiyle gerçekleştirilen çoğu işleme faaliyetlerinin, konuyla ilgili belirsizlikler dolayısıyla hukuka uygun olması aslında teknik olarak mümkün değildir. Nitekim bu nedenle Kurulun yurt dışına veri aktarımı gerçekleştirilen veri sorumlusu hakkında bu kapsamda ihlal kararı veremeyeceği ve idari para cezasına hükmedemeyeceği gibi söylentiler de söz konusudur. Ancak Kurul, bu söylentilerin aksine 7 Mayıs 2020 tarihinde Amazon Turkey Perakende Hizmetleri Limited Şirketi (Amazon) hakkındaki toplamda 1.200.000 TL’lik idari para cezası uygulanmasına ilişkin 27/02/2020 tarih ve 2020/173 sayılı Kararını (Karar) web sitesinde yayınlayarak, bu konuda yeni bir aşamaya geçmiş ve yurt dışına veri aktarımında idari para cezası verilmeyeceğine ilişkin düşüncelere de son vermiştir. Yurt dışına veri aktarımına ilişkin hükümler ile konuyla ilgili atılan adımları kısaca hatırlayalım: Kanun’un “Kişisel verilerin yurt dışına aktarılması” başlıklı 9. maddesi uyarınca yurt dışına veri aktarımı ilgili kişinin açık rızası olmaksızın gerçekleştirilemeyecek bir işleme faaliyetiyken; Kanun’un 5. ve 6. maddelerinde yer alan hukuki sebeplerden herhangi bir ve/veya birkaçının olması halinde bu aktarımın yapılması mümkündür. Ancak Kanun’un 9. maddenin 2. fıkrası kişisel verilerin aktarılacağı ülkeler bakımından bazı şartlar getirmiştir.