Menu
Menu

Overdracht van persoonsgegevens naar het buitenland: huidig ​​wettelijk kader in Turkije

Gepubliceerd in het Staatsblad nr. 32487 van 12.03.2024, introduceerde wet nr. 7499 wijzigingen in de Wet bescherming persoonsgegevens nr. 6698 (de “Wet”). Vervolgens is de Verordening betreffende de procedures en beginselen voor de overdracht van persoonsgegevens naar het buitenland (“Regulatie”) werd gepubliceerd en trad in werking in de Staatscourant nr. 32598 van 10.07.2024. In januari 2025 werd de Gids voor het overdragen van persoonsgegevens naar het buitenland (“Gids”) is gepubliceerd op de website van de Autoriteit Persoonsgegevens (“Autoriteit").

1. Inleiding

Voorheen was voor het overdragen van persoonsgegevens naar het buitenland zonder de uitdrukkelijke toestemming van de betrokkene het bestaan ​​van een van de voorwaarden vereist die in de wet zijn voorzien, en de Raad voor de bescherming van persoonsgegevens (“Board”) door te bepalen dat het land waarnaar de gegevens zouden worden overgedragen, voldoende bescherming bood (vermeld op de lijst van veilige landen).

Als een land niet als adequaat beschermd wordt beschouwd, kunnen persoonsgegevens nog steeds worden overgedragen zonder de uitdrukkelijke toestemming van de betrokkene, als aan een van de relevante voorwaarden voor gegevensverwerking is voldaan, op voorwaarde dat de verwerkingsverantwoordelijken in Turkije en het relevante land zich hebben gecommitteerd aan adequate bescherming (door een toezeggingsbrief in te dienen) en de Raad toestemming heeft verleend. Voor multinationale ondernemingen die gegevens onderling overdragen, gelden bindende bedrijfsregels (“BCR”) moest door het bestuur worden opgesteld en goedgekeurd.

Echter, door het gebrek aan praktische toepassing van commitment letters en BCR's en het feit dat de Board toestemming verleende voor slechts een beperkt aantal aanvragen, was het overdragen van gegevens naar het buitenland praktisch alleen afhankelijk geworden van het verkrijgen van de expliciete toestemming van de betrokkenen. Tot 01.06.2024 ontving de Board 86 aanvragen die waren ingediend door het verstrekken van commitment letters, waarvan er slechts 10 werden goedgekeurd. Bovendien werden er 3 BCR-aanvragen ingediend, maar geen daarvan werd goedgekeurd vanwege procedurele en inhoudelijke tekortkomingen.

Deze situatie maakte het bijna onmogelijk om de meeste servers in het buitenland en de meeste cloudgebaseerde software en applicaties legaal te gebruiken, en het werd een barrière voor investeringen in ons land. In deze context is een mechanisme met drie alternatieven voor de overdracht van persoonsgegevens naar het buitenland bedacht. De wijzigingen zijn bedoeld om de wetgeving af te stemmen op EU-verordening 2016/679 (Algemene Verordening Gegevensbescherming (AVG)) en om in te spelen op praktische behoeften.

2. Overdrachtsmethoden

 a. Adequaatheidsbesluit

 De doorgifte van gegevens naar het buitenland kan plaatsvinden indien aan een van de in de artikelen 5 en 6 van de wet genoemde voorwaarden voor gegevensverwerking is voldaan en de Raad een adequaatheidsbesluit heeft uitgevaardigd met betrekking tot de plaats van doorgifte.

De adequaatheidsbesluitpraktijk loopt parallel aan de eerdere praktijk van de "veilige landenlijst". Het doel van deze beoordeling is om te bevestigen dat het gegevensbeschermingsniveau van het land, de sector of de internationale organisatie waarnaar de gegevens worden overgedragen, gelijkwaardig is aan dat in Türkiye. Deze beoordeling zal factoren in overweging nemen zoals wederkerigheid, de wetgeving van het relevante land, het bestaan ​​van een onafhankelijke en effectieve gegevensbeschermingsautoriteit, administratieve en gerechtelijke rechtsmiddelen en of het land partij is bij internationale verdragen of lid is van internationale organisaties.

Eerder werd in het besluit van de Raad van 02.05.2019 en genummerd 2019/125 gesteld dat zelfs het handelsvolume met het relevante land in aanmerking zou worden genomen tijdens de relevante beoordeling. Op dit punt, zoals benadrukt in de Richtlijn, wordt verwacht dat landen die partij zijn bij internationale verdragen, waarvan Türkiye partij is, prioriteit krijgen bij het uitvaardigen van het adequaatheidsbesluit.

Het adequaatheidsbesluit dat door de Board wordt afgegeven, kan niet alleen betrekking hebben op het land waarnaar de gegevens worden overgedragen, maar ook op een specifieke sector in dat land of op een internationale organisatie. De Board zal het adequaatheidsbesluit ten minste eens in de vier jaar herzien en kan het, indien nodig geacht, wijzigen, opschorten of intrekken. Deze periode van vier jaar is een regulatoire termijn en indien de Board dit nodig acht, kan hij het adequaatheidsbesluit opnieuw beoordelen vóór het verstrijken van deze periode.

b. Passend Waarborgen

Indien er geen adequaatheidsbesluit is, kan de doorgifte toch plaatsvinden indien aan een van de in de artikelen 5 en 6 genoemde voorwaarden voor gegevensverwerking is voldaan, op voorwaarde dat de betrokkene zijn rechten kan uitoefenen en toegang heeft tot doeltreffende rechtsmiddelen in het land van doorgifte, en dat er passende waarborgen zijn getroffen.

Overeenkomsten: Overdracht kan plaatsvinden als er een overeenkomst is, die niet is geclassificeerd als een internationale conventie, tussen openbare instellingen en organisaties, of professionele organisaties met de status van openbare instelling in Turkije en openbare instellingen, organisaties of internationale organisaties in het buitenland, en als de Raad toestemming verleent voor overdracht. Deze overeenkomsten kunnen de vorm hebben van samenwerkingsprotocollen, memoranda van overeenstemming of administratieve overeenkomsten, zoals de administratieve overeenkomst voor de overdracht van persoonsgegevens tussen het Turkse Geneesmiddelen- en Medische Hulpmiddelen Agentschap en de Europese Commissie.

Bindende bedrijfsregels: Overdrachten kunnen worden gedaan in aanwezigheid van BCR's die zijn goedgekeurd door de Raad, die bepalingen bevatten met betrekking tot de bescherming van persoonsgegevens waaraan bedrijven binnen een groep die gezamenlijke economische activiteiten uitvoeren, zich moeten houden. BCR's zijn regels voor de bescherming van persoonsgegevens die door groepsleden moeten worden gevolgd in het geval van overdrachtsactiviteiten van persoonsgegevens van een gegevensbeheerder of gegevensverwerker die in Turkije is gevestigd naar een gegevensbeheerder of gegevensverwerker die in het buitenland is gevestigd binnen dezelfde groep. Richtlijnen met de overwegingen die in acht moeten worden genomen bij het opstellen van BCR's zijn op 10.07.2024 op de officiële website van de Autoriteit gepubliceerd.

Standaardcontracten: Als de partijen bij de overdracht een standaardcontract ondertekenen dat door de Raad is aangekondigd en dat details bevat zoals gegevenscategorieën, doeleinden van de gegevensoverdracht, groepen ontvangers, technische en administratieve maatregelen die door de gegevensontvanger moeten worden genomen en aanvullende maatregelen voor speciale categorieën persoonsgegevens, kunnen gegevens naar het buitenland worden overgedragen. Vier typen standaardcontractsjablonen die verschillende overdrachtsscenario's bestrijken, werden op de website van de Autoriteit aangekondigd website na een openbare aankondiging op 10.07.2024.

Nadat partijen het juiste type standaardcontract hebben gekozen, kunnen ze alleen wijzigingen aanbrengen in optionele of alternatieve bepalingen ervan. Er kunnen geen toevoegingen, verwijderingen of wijzigingen worden aangebracht in de standaardcontracten, afgezien van deze bepalingen. Deze standaardcontracten moeten binnen 5 werkdagen na ondertekening door de verwerkingsverantwoordelijke of verwerker aan de Autoriteit worden gemeld. Het niet nakomen van deze meldingsplicht is onderworpen aan een administratieve boete. Ook als er wijzigingen zijn in de door de partijen verstrekte verklaringen of informatie of als het standaardcontract afloopt, moet er een melding worden gedaan aan de Autoriteit.

Toewijdingsbrief: Indien er tussen de partijen een schriftelijke toezegging tot overdracht bestaat, waarin bepalingen zijn opgenomen die een adequate bescherming waarborgen, het doel, de omvang, de aard en de rechtsgrondslag van de overdracht, een verbintenis om algemene beginselen, beperkingen op latere gegevensoverdrachten en soortgelijke regelgeving na te leven, en indien de Raad toestemming verleent voor de overdracht, kan de overdracht plaatsvinden zoals in de voorgaande uitvoeringsperiode.

c. Incidentele (uitzonderlijke) gevallen

In gevallen waarin er geen adequaatheidsbesluit is of er geen passende waarborgen kunnen worden geboden, kunnen gegevens onder beperkte omstandigheden die als incidenteel worden gespecificeerd, naar het buitenland worden overgedragen. Deze incidentele gevallen die in de wet worden gespecificeerd, omvatten:

  • De betrokkene geeft expliciet toestemming nadat hij is geïnformeerd over mogelijke risico's,
  • Wanneer de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van precontractuele maatregelen die op verzoek van de betrokkene zijn genomen,
  • Wanneer de doorgifte noodzakelijk is voor de sluiting of uitvoering van een overeenkomst die tussen de verwerkingsverantwoordelijke en een andere natuurlijke of rechtspersoon ten behoeve van de betrokkene moet worden uitgevoerd,
  • Indien overdracht noodzakelijk is voor een dwingend algemeen belang,
  • Wanneer overdracht noodzakelijk is voor de vaststelling, uitoefening of bescherming van een rechtsvordering,
  • Indien de overdracht noodzakelijk is voor de bescherming van het leven of de fysieke integriteit van de persoon zelf of van een andere persoon die zijn toestemming niet kan verklaren vanwege een fysieke handicap of wiens toestemming niet als rechtsgeldig wordt beschouwd,
  • De overdracht vindt plaats vanuit een register dat openbaar is of toegankelijk is voor personen met een rechtmatig belang, op voorwaarde dat aan de voorwaarden voor toegang tot het register volgens de relevante wetgeving is voldaan en dat de persoon met een rechtmatig belang de overdracht heeft aangevraagd.

In het geval van incidentele omstandigheden zijn de voorwaarden zoals uiteengezet in de artikelen 5 en 6 van de wet niet vereist. Voor de overdracht van persoonsgegevens op basis van incidentele omstandigheden is geen toestemming of goedkeuring van de Raad vereist, en er is ook geen meldingsplicht.

Echter, aangezien overdrachten die onder incidentele omstandigheden worden gedaan een uitzondering vormen, moet een nauwe interpretatie worden toegepast. Ten eerste moet worden beoordeeld of een adequaatheidsbesluit of een van de passende waarborgen beschikbaar is; bij afwezigheid daarvan, mag uitzonderlijke overdracht alleen als laatste redmiddel worden gebruikt.

Incidentele overdrachten kunnen meer dan eens plaatsvinden. Om echter als uitzonderlijk te worden beschouwd, mogen herhaaldelijk voorkomende overdrachten niet regelmatig zijn, mogen ze geen continuïteit hebben en moeten ze plaatsvinden onder onvoorziene omstandigheden en met onregelmatige tussenpozen, buiten de normale gang van zaken.”

3. Evaluaties en Conclusie

De regelgeving, waarin staat dat als er een bepaling is in een internationaal verdrag of andere wetten met betrekking tot de overdracht van gegevens naar het buitenland, persoonsgegevens naar het buitenland kunnen worden overgedragen op grond van dergelijke bepalingen, is behouden gebleven. Daarom moet, voordat adequaatheidsbesluiten, passende waarborgen of uitzonderlijke overdrachtsgevallen worden geëvalueerd, worden vastgesteld of er een bepaling bestaat in een internationaal verdrag of andere wetten in de beginfase van de overdrachtsactiviteit.

Als er geen bepaling is in internationale overeenkomsten of andere wetten, moet eerst worden onderzocht of er een adequaatheidsbesluit beschikbaar is. Als er geen adequaatheidsbesluit is, moet worden beoordeeld of een van de passende waarborgen kan worden geboden. Als dit niet mogelijk is, moet als laatste redmiddel worden beoordeeld of de overdracht een incidentele (uitzonderlijke) overdracht vormt.

Op het moment van publicatie van dit artikel is er geen land, sector of internationale organisatie die een adequaatheidsbesluit heeft gekregen. De redenen die de creatie van de lijst met veilige landen in het verleden hebben vertraagd, zijn over het algemeen factoren die ook een rol zullen spelen in het proces van het verkrijgen van een adequaatheidsbesluit, dus het is nog maar de vraag of het besluit op korte termijn zal worden genomen. Daarom wordt verwacht dat praktische toepassingen zich voorlopig zullen richten op passende waarborgen, waarbij standaard contractuele clausules overwegend worden toegepast tussen deze waarborgen.

Als andere opmerking bepaalt de wet dat waarborgen in de wetgeving ook moeten worden geboden voor latere overdrachten van persoonsgegevens die naar het buitenland worden overgedragen. Hoewel de wetgeving niet expliciet regelt hoe de naleving van de relevante regelgeving door derden moet worden afgedwongen wanneer de ontvangende partij de gegevens aan derden overdraagt, biedt de gids ook geen duidelijkheid over hoe latere overdrachten worden gemonitord. Daarom kunnen er praktische problemen ontstaan ​​met betrekking tot latere overdrachten. Verwacht wordt dat deze problemen in de komende periode door praktijken zullen worden vormgegeven.

Volgens de overgangsbepaling “Tijdelijk artikel 3” die aan de wet is toegevoegd, moeten gegevensverwerkingsactiviteiten voldoen aan de nieuwe regelgeving vanaf 01.09.2024. Het is immers duidelijk dat de overdrachten die door bedrijven zijn gedaan op basis van expliciete toestemming verkregen van betrokkenen tijdens de vorige implementatieperiode, niet langer geldig zijn, en het is van cruciaal belang dat bedrijven die nog niet aan de nieuwe regelgeving voldoen, snel de meest toepasselijke methode voor hun bedrijfsprocessen identificeren en hun nalevingsprocedures voltooien.

Avukat Ece Elvan Celep - ASY Juridisch

Av. Ece Elvan Celep

Neem contact op voor overleg

auteur Bio

gerelateerde berichten