《个人数据保护法》第9条建立了个人数据跨境传输规则的基本框架，原则上允许对个人数据来进行跨境传输，但进行了较为严格的规定。《传输条例》进一步明确了个人数据跨境传输的定义、程序、保障措施等具体规则。

  数据控制者。数据控制者是指决定处理个人数据的预期目的和手段的自然人或法人。一般数据控制者负责建立和管理数据登记系统。

  数据处理者。数据处理者是指依据数据控制者授予的权限，代表数据控制者处理个人数据的真实个人或法人。

  数据处理者应在数据控制者确定的目的和范围的框架内，代表数据控制者并按照数据控制者的指示行事，并根据自己数据的性质采取一切必要的技术和管理措施，确保适当的安全级别。

  符合以下情形之一时，数据控制者和数据处理者能够对个人数据来进行跨境传输：数据主体的明确同意；若符合以下条件之一，个人数据也可以被转移到国外：（a）接收个人数据跨境传输的国家被土耳其个人数据保护局批准为“适当国家”；（b）若接收个人数据跨境传输的国家未获批准，数据控制者和数据处理者必须要提供具有约束力的保障措施；（c）若接收个人数据跨境传输的国家既未获批准，又不能提供保障措施，则由数据控制者向土耳其个人数据保护局提出允许跨境传输的《承诺申请》，但获得《承诺申请》的机构数量极少；（d）在不损害国际协议规定的情况下，如果土耳其或相关个人的利益受一定的影响，则只有在征得相关公共机构或组织的意见后，经个人数据保护委员会许可，才可以将个人数据转移到国外。

  根据《传输条例》第8条规定，个人数据保护委员会可以决定一个国家、该国的部门或国际组织对个人数据向国外的转移提供足够水平的保护。在作出充分性决定时，主要考量两个因素：目的地国家、国内部门或国际组织与土耳其之间个人数据传输的互惠状态，以及目的地国家的相关立法实践，国际组织的相关规则；目的地国家或国际组织是不是真的存在独立且有效的数据保护机构、是不是真的存在行政和司法补救措施、是否为个人数据保护国际协议的缔约方或国际组织的成员等。

  资格决定一般每4年重新评估一次。若重新评估的结果认为数据传输目的地国家、该国的部门或国际组织没提供足够的保护水平，则应当更改、暂停或撤销其资格。个人数据保护委员会参照上述标准做资格审核检查时，还应征求有关机构和组织的意见，并将资格审核检查决定在官方公报和机构网站上公布。

  《传输条例》第4章进一步详细规定了提供保障措施的要求，最重要的包含提供适当保证、非国际合同协议、具有约束力的公司规则等，具体如下：

  提供适当保证。一是国外公共机构和组织或国际组织与土耳其境内公共机构和组织或具有公共机构性质的专业组织之间有非国际合同的协议。二是存在有关保护个人数据的规定且具有约束力的公司规则。三是合同条款符合董事会要求，这中间还包括数据类别、数据传输目的、接收者和接收者群体、数据接收者应采取的技术和管理措施以及针对特殊个人数据采取的附加措施等问题。

  非国际合同协议。简言之，土耳其的公共机构和组织、公共机构性质的专业组织之间可以将个人数据保护条款纳入协议（非国际合同），并提供国外公共机构和组织或国际组织的担保，在此情况下能够直接进行适当个人数据传输。协议中关于个人数据保护的条款应包括个人数据传输的目的、范围、性质、程序和原则，违反协议的追索方式等事项。

  具有约束力的公司规则。《传输条例》第12条规定了个人数据跨境传输双方能够最终靠具有约束力的公司规则来提供适当的保证，且公司规则必须对参与联合经济活动的公司集团的每个相关成员具有法律约束力和可执行性。《传输条例》第13条明确了公司规则中应包括的事项，如组织架构、传输事宜、保护培训等。

  标准合同。个人数据跨境传输双方能够最终靠签订标准合同提供适当的保证，标准合同由董事会确定并公布。合同中一般来说包括数据类别、数据传输目的、接收者和接收者群体、数据接收者应采取的技术和管理措施、针对特殊情况采取的附加措施等问题。

  承诺书。个人数据跨境传输双方能够最终靠书面承诺书提供适当的保证。《传输条例》第15条规定，承诺书中应当包含个人数据传输的程序和原则等，且保证数据接收者承认发生争议时土耳其法院具有管辖权。

  采用保障措施进行数据传输的均需经过个人数据保护委员会的授权许可，在整个传输过程中，数据传输者一定要采取适当的安全措施保护被传输的个人数据，安全措施应符合《个人数据保护法》相关规定，并至少达到相关法律规定的最低标准。