Av。 Ali Yurtsever LLM
データ保護委員会 最近発行された新しい 決定 と罰金 アマゾントルコ 1.100.000 TRLは、データ保護および電子商取引に関する法律の違反、および違法な場合 国境を越えたデータ転送 特に海外の関連会社へのデータ転送の場合。 今後、この決定はトルコでのデータ転送に関して深刻な影響を及ぼします。これらの結果をよりよく理解するには、まず、そのような決定につながる背景を理解する必要があります。
トルコの個人データ保護
テクノロジー企業がコンテンツマーケティングの多くを支配および管理し、データが新しい金と見なされるグローバル化した経済では、制限と監視 国境を越えたデータ転送 はますます重要になりつつあり、これはデータ保護委員会(DPB)のAmazonトルコ決定でも強調されています。 この点で、トルコは個人データ保護法第6698号(第XNUMX号(LPPD)、これは基本的にトルコ語版の一般データ保護規則(GDPR).
第三者への個人データの転送
個人データの転送 サードパーティに対しては、LPPDの下で非常に制限的に規制されています(GDPRの規定と同様)。 LPPDの第5条は、第5/2条および第6/3条に規定されている状況を除き、データ管理者がデータ所有者の明示的な同意なしに個人データを第三者に転送することはできないと明確に述べています。 第9条はさらに、データ所有者が明示的に同意しない限り、国境を越えたデータ転送は禁止されていると述べています。 国境を越えたデータ転送。 第9/2条はこの規則の例外を規定し、第5/2条および第6/3条に規定された状況が適用可能であり、(i)「十分な保護がデータが転送される外国で提供される」または(ii)「トルコおよび関連する外国の管理者は書面で十分な保護を保証し、取締役会は十分な保護が提供されない場合にそのような転送を承認します」。
明示的な同意に対するデータ転送と例外
上記のように、国内または国境を越えたデータ転送の一般的なルールは、データ所有者の事前の明示的な同意を取得することです。 ただし、LPPDは、個人データと特別な性質の個人データの両方について、それぞれ第5/2条と第6/3条に規定されている、この要件に対する特定の免除を提供します。 第5/2条によると、個人データは、次の場合にデータ所有者の明示的な同意なしに処理され、第三者に転送される可能性があります。
- 法律によって提供/要求され、
- 身体的に同意を与えることができない人の生命または身体的完全性の保護に必要な、
- 契約書に記載されているサービスの締結、履行、または調達に必要なもの、
- データ管理者がその法的義務を遂行するために必要な、
- データは、データ所有者によって一般に公開されます。
- データは、確立の行使または権利の保護に必須であると見なされます。
- データ所有者の基本的な権利と自由を侵害しないという条件で、管理者の正当な利益のために必須です。
第6/3条はさらに、健康および性生活に関連するデータを除く特別な性質の個人データは、法律で規定されている場合、データ所有者の明示的な同意なしに処理され、第三者に転送される可能性があると述べています。
国境を越えたデータ転送と十分な保護の問題
国境を越えたデータ転送の明示的な同意規則の例外を規定するこれらの規定は非常に明確です。第9/2条では、十分な保護が提供されている場合、データ所有者の明示的な同意なしに国境を越えたデータ転送を実行できると述べています。データが転送される外国。 このLPPDはGDPRのほぼ直接の翻訳であることを考慮すると、GDPRが適用されるXNUMXつ以上の国へのすべての国境を越えたデータ転送はこの規定の対象となり、したがって免除されると想定するのが妥当です。明示的な同意要件から。
残念ながら、そうではありません。 ここでの問題は、同じ第3条のサブパラグラフ9から生じ、DPBは、十分なレベルの保護が提供されている国を決定し、発表するものとします。 DPBはまだそのようなリストを発表していません。つまり、第9/2 / aで規定されている免除は、GDPRが適用される国を含め、国境を越えたデータ転送にはまだ適用されません。
国境を越えたデータ転送に関するAmazonトルコの決定の要約
アマゾントルコに対する苦情
この記事の冒頭で述べたように、違法なデータ処理と転送に関してAmazonトルコのユーザーが申し立てた苦情を受けて、データ保護委員会は、海外の関連会社への違法な国境を越えたデータ転送と非データ保護およびeコマース法の遵守。 この準拠で述べられている主な主張の1.100.000つは、Amazonトルコに「このプライバシー通知に記載されている目的の範囲内でお客様の個人情報を保存および処理するために、お客様の個人データを欧州連合および米国に転送する場合があります。」は、苦情によると、Amazonトルコがそのような国際転送についてデータ所有者の明示的な同意を取得せず、データを海外に転送できることを通知しただけであるため、LPPDに定められた義務に違反しました。
国境を越えたデータ転送に関するDPBのAmazonトルコの決定
苦情を受けて、DPBはアマゾントルコの調査を開始し、実際には国境を越えたデータ転送についてデータ所有者から明示的な同意を得ていないと判断しましたが、データ所有者にオプトアウトまたは選択するオプションを提供しましたデータを第三者と共有しないでください。 このオプトアウトメカニズムはLPPDに違反していることが判明しました。これは、法律が国境を越えたデータ転送についてデータ所有者からの明示的な同意を明確に要求しているため、データ所有者がそのような転送に明示的に「オプトイン」することを要求しているためです。データ所有者がデフォルトでこれにオプトインし、オプトアウトオプションを提供すると仮定するよりも。
アマゾントルコはデータ所有者から事前の明示的な同意を取得しなかったため、アマゾントルコがトルコで合法的に国境を越えたデータ転送を行う唯一のオプションは、そのような転送が第9/2条に規定された免除の範囲内にあると主張することでした。 LPPD。
ただし、上記のように、このような免除は、データが転送される外国で十分な保護が提供され、DPBが第9条に従って十分な保護レベルを持つ国を決定する権限を与えられている場合にのみ、国境を越えたデータ転送に適用されます。 /3。 ここでの問題は、前述のとおり、DPBはそのような免除国リストをまだ公開しておらず、そのリストがまだ利用可能になっていないため、十分な保護を備えた国に提供されるこの免除は、EUを含むどの国にもまだ適用されていません。 GDPRが適用される国。
アマゾントルコはこの「十分な保護」の免除の恩恵を受けることができないため、第9/3条に規定されている最終的な免除が残ります。この場合、外国のデータ管理者がトルコおよび関連する外国では、書面でDPBに保証書を発行し、理事会はそのような譲渡を承認します。 ここで、Amazonは、そのような免除の恩恵を受けるために、実際に取締役会に保証を提出したことに注意する必要があります。
ただし、この苦情と決定の時点で、Amazonの保証書と免除の申請はDPBの前でまだ保留中であり、取締役会の最終決定と承認を待っていました。 第9/3条は、この免除は保証書が提供された場合にのみ適用されると明確に述べています そして DPBは転送を承認し、DPBはAmazonトルコの免除申請を承認しなかったため、DPBは、Amazonトルコによって実行されたそのような国境を越えたデータ転送がLPPDの規定に違反していると判断しました。
前進:国境を越えたデータ転送に対するAmazonトルコの決定の影響
アマゾントルコに罰金を科すという決定は、DPBによる非常に物議を醸す決定でした。 アマゾントルコがEU諸国に個人データを転送していたため、これらの国もGDPRの規制下にあるため、十分な保護が行われていると見なされるべきであり、アマゾントルコはすでに必要な保証書を理事会に提供していたため、議論の余地がありました。第9/3条に規定されているXNUMX番目の免除の恩恵を受けるため。
この決定に反対する議論がどこから来ているのかは理解していますが、法律は免除について非常に明確で透明であるとも信じています。 LPPDの規定では、国境を越えたデータ転送の免除は、データが転送される国に十分なレベルの保護がある場合(理事会が決定)、または十分な保護が利用できない場合にのみ適用されると明確に述べています。が提供され、転送は取締役会によって承認されます。
免除国リストはまだ理事会によって公開されていないため、国境を越えたデータ転送の免除の恩恵を受ける唯一の方法は、保証書を理事会に提出し、理事会の移管の承認を待つことです。 アマゾンは保証書を提供しましたが、申請が処理され、理事会の承認を待つことなく、データ所有者からの明示的な同意を得ることなく国境を越えたデータ転送を続行しました。
この点で、DPBはその立場を十分に明確にしています。 データ管理者が明示的な同意を得ずに国境を越えたデータ転送を行いたい場合は、免除国リストが公開されるのを待つか、保証書を提出して理事会の承認を待つ必要があります。 それ以外の場合、すべてのデータ管理者は、国境を越えたデータ転送を行う前に、データ所有者から明示的な同意を得る必要があります。