Madde 49 - Spesifik durumlara yönelik derogasyonlar
45(3) maddesi uyarınca bir yeterlilik kararı veya bağlayıcı kurumsal kurallar da dahil olmak üzere 46. madde uyarınca uygun güvenceler olmaması durumunda, kişisel verilerin veya bir kişisel veri dizisinin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılması ancak aşağıdaki durumların birinde gerçekleşir:
veri sahibinin, bir yeterlilik kararı ve uygun güvencelerin bulunmaması nedeniyle söz konusu aktarımların kendisine yönelik risklerin haberdar edilmesinin ardından, önerilen aktarıma açık bir şekilde rıza göstermesi;
aktarımın veri sahibi ile kontrolör arasındaki bir sözleşmenin yürütülmesi veya veri sahibinin talebiyle alınan sözleşme öncesi tedbirlerin uygulanması açısından gerekli olması;
aktarımın kontrolör ile başka bir gerçek veya tüzel kişi arasında veri sahibi yararına yapılan bir sözleşmenin imzalanması veya yürütülmesi açısından gerekli olması;
aktarımın kamu yararına ilişkin önemli sebeplerden dolayı gerekli olması;
aktarımın yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması açısından gerekli olması;
veri sahibinin fiziksel veya hukuki olarak rıza veremeyecek durumda olması halinde, aktarımın veri sahibi veya diğer kişilerin hayati menfaatlerinin korunması açısından gerekli olması;
aktarımın Birlik veya üye devlet hukukuna göre kamuoyuna bilgi sağlanmasının amaçlandığı ve genel olarak kamuoyu veya meşru bir menfaati gösterebilen herhangi bir kişi tarafından, ancak Birlik veya üye devlet hukuku çerçevesinde istişareye yönelik olarak ortaya konan koşullar ilgili durumda yerine getirildiği ölçüde, istişareye açık olan bir sicilden yapılması.
Bir aktarımın bağlayıcı kurumsal kurallara ilişkin hükümler de dahil olmak üzere 45 veya 46. maddedeki bir hükme dayanmadığı ve bu paragrafın ilk alt paragrafında atıfta bulunulan spesifik bir duruma ilişkin derogasyonların herhangi birine uygulanabilir olmadığı hallerde, ancak aktarımın yinelemeli olmaması, yalnızca sınırlı sayıda veri sahibini ilgilendirmesi, kontrolör tarafından gözetilen ve veri sahibinin menfaatleri veya hakları ile özgürlüklerinin ağır basmadığı zorlayıcı meşru menfaatler doğrultusunda gerekli olması ve kontrolörün veri aktarımı ile ilgili tüm durumları değerlendirmiş olması ve bu değerlendirmeye dayalı olarak kişisel verilerin korunması ile ilgili uygun güvenceler sağlamış olması durumunda, üçüncü bir ülke veya uluslararası bir kuruluşa yönelik bir aktarım gerçekleşebilir. Kontrolör denetim makamını aktarım hususunda bilgilendirir. Kontrolör, 13 ve 14. maddelerde atıfta bulunulan bilgilerin sağlanmasına ek olarak, veri sahibini aktarım ve gözetilen zorlayıcı meşru menfaatler hususunda bilgilendirir.
1. paragrafın ilk alt paragrafının (g) bendi uyarınca yapılacak bir aktarımda sicilde bulunan tüm kişisel verilere veya tüm kişisel veri kategorilerine yer verilmez. Sicilin meşru bir menfaati bulunan kişilerin istişaresine yönelik hallerde, yalnızca bu kişilerin talebi üzerine veya bu kişilerin alıcı olması halinde, aktarım yapılır.
1. paragrafın ilk alt paragrafının (a), (b) ve (c) bentleri ve ikinci alt paragrafı kamu yetkilerinin kullanımı hususunda kamu kuruluşları tarafından gerçekleştirilen faaliyetlere uygulanmaz.
1. paragrafın ilk alt paragrafının (d) bendinde atıfta bulunulan kamu yararı Birlik hukukunda veya kontrolörün tabi olduğu üye devlet hukukunda tanınır.
Bir yeterlilik kararı olmaması durumunda, Birlik veya üye devlet hukukunda, önemli kamu yararı sebeplerinden dolayı, spesifik kategorilerdeki kişisel verilerin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılmasına ilişkin sınırlar açık bir şekilde konabilir. Üye devletler söz konusu hükümleri Komisyon’a bildirir.
Kontrolör veya işleyici değerlendirmenin yanı sıra bu maddenin 1. paragrafının ikinci alt paragrafında atıfta bulunulan uygun güvenceleri 30. maddede atıfta bulunulan kayıtlarda belgelendirir.