القائمة
القائمة

نقل البيانات الشخصية إلى الخارج: الإطار القانوني الحالي في تركيا

نُشر في الجريدة الرسمية رقم 32487 بتاريخ 12.03.2024، القانون رقم 7499 أدخل تغييرات على قانون حماية البيانات الشخصية رقم 6698 ("القانون"). وبعد ذلك، صدرت اللائحة الخاصة بإجراءات ومبادئ نقل البيانات الشخصية إلى الخارج ("اللائحة") تم نشره ودخل حيز التنفيذ في الجريدة الرسمية رقم 32598 بتاريخ 10.07.2024. في يناير 2025، تم إصدار دليل نقل البيانات الشخصية إلى الخارج ("دليل") تم نشره على الموقع الإلكتروني لهيئة حماية البيانات الشخصية ("سلطان").

1. مقدمة

في السابق، كان نقل البيانات الشخصية إلى الخارج دون الحصول على موافقة صريحة من صاحب البيانات، يتطلب وجود أحد الشروط المنصوص عليها في القانون، وكان مجلس حماية البيانات الشخصية ("مجلس") اتخاذ قرار بأن البلد الذي سيتم نقل البيانات إليه يتمتع بحماية كافية (كونه مدرجًا في قائمة البلدان الآمنة).

إذا لم يُعتَبر أن الدولة لديها حماية كافية، فلا يزال من الممكن نقل البيانات الشخصية دون موافقة صريحة من صاحب البيانات، إذا تم استيفاء أحد شروط معالجة البيانات ذات الصلة، بشرط أن يلتزم مراقبو البيانات في تركيا والدولة المعنية بالحماية الكافية (من خلال تقديم خطاب التزام) وأن يمنح المجلس الإذن. بالنسبة للشركات المتعددة الجنسيات التي تنقل البيانات فيما بينها، فإن القواعد المؤسسية الملزمة ("BCR") كان من الضروري إنشاءها والموافقة عليها من قبل مجلس الإدارة.

ومع ذلك، نظرًا لعدم وجود تطبيق عملي لخطابات الالتزام وقواعد الإجراءات المؤسسية ومنح المجلس الإذن لعدد قليل جدًا من الطلبات، أصبح نقل البيانات إلى الخارج يعتمد عمليًا على الحصول على الموافقة الصريحة من أصحاب البيانات فقط. حتى 01.06.2024، تلقى المجلس 86 طلبًا مقدمًا من خلال تقديم خطابات الالتزام، تمت الموافقة على 10 منها فقط. علاوة على ذلك، تم تقديم 3 طلبات لقواعد الإجراءات المؤسسية ولكن لم تتم الموافقة على أي منها بسبب أوجه القصور الإجرائية والموضوعية.

لقد جعل هذا الوضع من المستحيل تقريبًا استخدام معظم الخوادم الموجودة في الخارج ومعظم البرامج والتطبيقات المستندة إلى السحابة بشكل قانوني، وأصبح يشكل عائقًا أمام الاستثمار في بلدنا. في هذا السياق، تم تصور آلية ثلاثية البدائل لنقل البيانات الشخصية إلى الخارج. تهدف التغييرات إلى مواءمة التشريع مع لائحة الاتحاد الأوروبي 2016/679 (اللائحة العامة لحماية البيانات (GDPR)) ومعالجة الاحتياجات العملية.

2. طرق النقل

 أ. قرار الكفاية

 يجوز نقل البيانات إلى الخارج إذا توفر أحد شروط معالجة البيانات المذكورة في المادتين 5 و6 من القانون، وأصدرت الهيئة قراراً مناسباً بشأن مكان النقل.

إن ممارسة اتخاذ القرار بشأن الملاءمة تتماشى مع الممارسة السابقة المتمثلة في "قائمة الدول الآمنة". والغرض من هذا التقييم هو التأكد من أن مستوى حماية البيانات في الدولة أو القطاع أو المنظمة الدولية التي يتم نقل البيانات إليها يعادل المستوى في تركيا. وسوف يأخذ هذا التقييم في الاعتبار عوامل مثل المعاملة بالمثل، وتشريعات الدولة المعنية، ووجود هيئة مستقلة وفعالة لحماية البيانات، والانتصاف الإداري والقضائي، وما إذا كانت الدولة طرفًا في المعاهدات الدولية أو عضوًا في المنظمات الدولية.

وقد سبق أن ذكر في قرار المجلس بتاريخ 02.05.2019 ورقم 2019/125 أنه سيتم أخذ حجم التجارة مع الدولة المعنية في الاعتبار أثناء التقييم ذي الصلة. وفي هذه المرحلة، وكما أكد الدليل، من المتوقع أن تحظى البلدان الأطراف في المعاهدات الدولية، التي تعد تركيا طرفًا فيها، بالأولوية أثناء إصدار قرار الكفاية.

يجوز أن يتعلق قرار الكفاية الذي يصدره المجلس ليس فقط بالبلد الذي سيتم نقل البيانات إليه، بل وأيضاً بقطاع محدد في ذلك البلد أو بمنظمة دولية. ويراجع المجلس قرار الكفاية مرة واحدة على الأقل كل أربع سنوات، وإذا لزم الأمر، يجوز له تعديله أو تعليقه أو إلغاؤه. وتعتبر فترة السنوات الأربع هذه إطاراً زمنياً تنظيمياً، وإذا لزم الأمر، يجوز للمجلس إعادة تقييم قرار الكفاية قبل انتهاء هذه الفترة.

ب. مناسب الضمانات

في حالة عدم وجود قرار كفاية، لا يزال من الممكن المضي قدمًا في عملية النقل إذا كان أحد شروط معالجة البيانات المحددة في المادتين 5 و6 موجودًا، بشرط أن يتمكن صاحب البيانات من ممارسة حقوقه والوصول إلى سبل انتصاف قانونية فعالة في بلد النقل، وأن تكون هناك ضمانات مناسبة.

الاتفاقيات: يمكن إجراء النقل إذا كانت هناك اتفاقية، لا تصنف على أنها اتفاقية دولية، بين المؤسسات والمنظمات العامة، أو المنظمات المهنية ذات صفة مؤسسة عامة في تركيا والمؤسسات أو المنظمات العامة أو المنظمات الدولية في الخارج، وإذا منحت الهيئة الإذن بالنقل. يمكن أن تكون هذه الاتفاقيات في شكل بروتوكولات تعاون أو مذكرات تفاهم أو اتفاقيات إدارية، مثل الاتفاقية الإدارية لنقل البيانات الشخصية بين وكالة الأدوية والأجهزة الطبية التركية والمفوضية الأوروبية.

قواعد الشركات الملزمة: يجوز إجراء عمليات النقل بحضور قواعد الإجراءات المؤسسية المعتمدة من قبل مجلس الإدارة، والتي تحتوي على أحكام تتعلق بحماية البيانات الشخصية التي يتعين على الشركات ضمن المجموعة العاملة في نشاط اقتصادي مشترك الالتزام بها. قواعد الإجراءات المؤسسية هي قواعد لحماية البيانات الشخصية يجب على أعضاء المجموعة اتباعها في حالة أنشطة نقل البيانات الشخصية من مسؤول بيانات أو معالج بيانات مقيم في تركيا إلى مسؤول بيانات أو معالج بيانات مقيم في الخارج داخل نفس المجموعة. نُشرت المبادئ التوجيهية التي تحتوي على الاعتبارات التي يجب مراعاتها عند إعداد قواعد الإجراءات المؤسسية على الموقع الرسمي للهيئة في 10.07.2024.

العقود القياسية: إذا وقعت أطراف النقل عقدًا قياسيًا أعلن عنه المجلس، والذي يحتوي على تفاصيل مثل فئات البيانات، وأغراض نقل البيانات، ومجموعات المتلقين، والتدابير الفنية والإدارية التي يتعين على متلقي البيانات اتخاذها، والتدابير الإضافية للفئات الخاصة من البيانات الشخصية، يمكن نقل البيانات إلى الخارج. تم الإعلان عن أربعة أنواع من قوالب العقود القياسية التي تغطي سيناريوهات نقل مختلفة على موقع الهيئة موقع الكتروني بناءً على الإعلان العام بتاريخ 10.07.2024.

بعد اختيار النوع المناسب من العقد القياسي، لا يمكن للأطراف سوى إجراء تغييرات على الأحكام الاختيارية أو البديلة منه. ولا يجوز إجراء أي إضافات أو حذف أو تعديلات على العقود القياسية بخلاف هذه الأحكام. ويجب على مسؤول البيانات أو المعالج الإبلاغ عن هذه العقود القياسية إلى الهيئة في غضون 5 أيام عمل من تاريخ التوقيع. ويخضع عدم الامتثال لهذا الالتزام بالإخطار لغرامة إدارية. كما يجب إخطار الهيئة في حالة حدوث أي تغييرات في الإقرارات أو المعلومات المقدمة من قبل الأطراف أو في حالة انتهاء صلاحية العقد القياسي.

رسالة الالتزام: إذا كان هناك تعهد مكتوب بين أطراف النقل يتضمن أحكامًا تضمن الحماية الكافية، والغرض، ونطاق، وطبيعة، والأساس القانوني للنقل، والالتزام بالامتثال للمبادئ العامة، والقيود المفروضة على عمليات النقل اللاحقة للبيانات، واللوائح المماثلة، وإذا منحت الهيئة الإذن بالنقل، فيجوز أن يستمر النقل كما في فترة التنفيذ السابقة.

ج. الحالات العرضية (الاستثنائية)

في الحالات التي لا يوجد فيها قرار مناسب أو لا يمكن توفير الضمانات المناسبة؛ يجوز نقل البيانات إلى الخارج في ظل ظروف محدودة محددة على أنها عرضية. وتشمل هذه الحالات العرضية المحددة في القانون ما يلي:

  • صاحب البيانات يعطي موافقة صريحة بعد إبلاغه بالمخاطر المحتملة،
  • إذا كان النقل ضروريًا لتنفيذ عقد بين صاحب البيانات ومسؤول البيانات أو لتنفيذ التدابير التعاقدية السابقة المتخذة بناءً على طلب صاحب البيانات،
  • إذا كان النقل ضروريًا لإبرام أو تنفيذ عقد يتم تنفيذه بين مسؤول البيانات وشخص طبيعي أو قانوني آخر لصالح صاحب البيانات،
  • إذا كان النقل ضروريًا لمصلحة عامة عليا،
  • إذا كان النقل ضروريًا لإنشاء أو ممارسة أو حماية مطالبة قانونية،
  • إذا كان النقل ضروريًا لحماية حياة الشخص أو سلامته الجسدية أو سلامة أي شخص آخر غير قادر على تفسير موافقته بسبب إعاقة جسدية أو لا تعتبر موافقته صالحة قانونًا،
  • يتم النقل من سجل مفتوح للجمهور أو متاح للأشخاص ذوي المصلحة المشروعة، شريطة استيفاء شروط الوصول إلى السجل بموجب التشريعات ذات الصلة، وأن يكون الشخص ذو المصلحة المشروعة قد طلب النقل.

وفي حالات الظروف الطارئة، لا يشترط استيفاء الشروط المنصوص عليها في المادتين 5 و6 من القانون، ولا يتطلب نقل البيانات الشخصية بناءً على ظروف طارئة الحصول على إذن أو موافقة من المجلس، ولا يوجد أي التزام بالإخطار أيضًا.

ولكن بما أن التحويلات التي تتم في ظل ظروف عرضية تشكل استثناءً، فلابد من تطبيق تفسير ضيق. أولاً، لابد من تقييم ما إذا كان هناك قرار كفاية أو أحد الضمانات المناسبة؛ وفي غيابها، لا يجوز استخدام التحويلات الاستثنائية إلا كملاذ أخير.

"قد تحدث عمليات النقل العرضية أكثر من مرة؛ ومع ذلك، لكي تعتبر عمليات النقل المتكررة استثنائية، يجب ألا تكون منتظمة، ويجب ألا يكون لها استمرارية، ويجب أن تحدث في ظروف غير متوقعة وعلى فترات غير منتظمة، خارج مسار الإجراءات العادي."

3. التقييمات والاستنتاجات

تم الحفاظ على اللوائح التي تنص على أنه في حالة وجود حكم في معاهدة دولية أو قوانين أخرى بشأن نقل البيانات إلى الخارج، يجوز نقل البيانات الشخصية إلى الخارج بموجب هذه الأحكام. لذلك، قبل تقييم قرارات الكفاية أو الضمانات المناسبة أو حالات النقل الاستثنائية، يجب تحديد ما إذا كان هناك حكم موجود في معاهدة دولية أو قوانين أخرى في المرحلة الأولية من نشاط النقل.

إذا لم يكن هناك نص في الاتفاقيات الدولية أو القوانين الأخرى، فيجب أولاً فحص ما إذا كان هناك قرار مناسب. وإذا لم يكن هناك قرار مناسب، فيجب تقييم ما إذا كان من الممكن توفير أحد الضمانات المناسبة. وإذا لم يكن ذلك ممكناً، فيجب، كملاذ أخير، تقييم ما إذا كان النقل يشكل نقلاً عرضياً (استثنائياً).

وحتى تاريخ نشر هذه المقالة، لم يتم منح أي دولة أو قطاع أو منظمة دولية قرارًا بشأن مدى ملاءمتها. والأسباب التي أدت إلى تأخير إنشاء قائمة الدول الآمنة في الماضي هي عمومًا عوامل ستلعب دورًا أيضًا في عملية الحصول على قرار بشأن مدى ملاءمتها، لذا يبقى أن نرى ما إذا كان القرار سيُتخذ في الأمد القريب. لذلك، من المتوقع أن تركز التطبيقات العملية في الوقت الحالي على الضمانات المناسبة، مع تطبيق البنود التعاقدية القياسية بشكل أساسي بين هذه الضمانات.

وكملاحظة أخرى، ينص القانون على ضرورة توفير الضمانات في التشريع أيضًا لعمليات النقل اللاحقة للبيانات الشخصية المنقولة إلى الخارج. ورغم أن التشريع لا ينظم صراحةً كيفية إنفاذ امتثال الأطراف الثالثة للوائح ذات الصلة عندما ينقل الطرف المتلقي البيانات إلى أطراف ثالثة، كما لا يوفر الدليل توضيحًا بشأن كيفية مراقبة عمليات النقل اللاحقة. وبالتالي، قد تنشأ قضايا عملية فيما يتعلق بالنقل اللاحق. ومن المتوقع أن تتشكل هذه القضايا من خلال الممارسات في الفترة المقبلة.

وفقًا للحكم الانتقالي "المادة المؤقتة 3" المضافة إلى القانون، يجب أن تتوافق أنشطة معالجة البيانات مع اللوائح الجديدة اعتبارًا من 01.09.2024. في الواقع، من الواضح أن عمليات النقل التي تقوم بها الشركات بناءً على موافقة صريحة تم الحصول عليها من أصحاب البيانات خلال فترة التنفيذ السابقة لم تعد صالحة، ومن الأهمية بمكان للشركات التي لم تمتثل بعد للأنظمة الجديدة أن تحدد على الفور الطريقة الأكثر ملاءمة لعملياتها التجارية وتكمل إجراءات الامتثال الخاصة بها.

Avukat Ece Elvan Celep - ASY Legal

أف. إيجي إلفان جلب

الاتصال للحصول على المشورة

كاتب السيرة الذاتية

منشورات ذات علاقة