4月10日，土耳其个人数据保护机关发布关于向境外传输个人数据的新声明：土耳其个人数据保护局确认“有约束力的公司规则”（Binding Corporate Rules）属于在国际数据传输中使用的工具。

根据《个人数据保护法》（第6698号法律）之规定，未经数据主体明示同意，不得将个人数据传输至未能确保提供足够保护力度的国家，除非当事人书面承诺提供足够力度的保护，并且获得个人数据保护局的批准。

“有约束力的公司规则”是指内部数据保护规则。当国际数据传输发生在集团公司之间，而且部分实体位于未能确保提供足够保护力度的国家境内时，“有约束力的公司规则”用以提供足够程度的数据保护。公司必须起草“有约束力的公司规则”，并向个人数据保护局申请批准这些规则。获得批准后，在满足其他数据处理规则要求的前提下，集团内公司方有权按照规则向位于未能确保足够保护力度的国家境内的公司进行数据传输。

个人数据保护局尚未公布哪些国家属于“能够确保提供足够保护力度”的国家。