Меню
Меню

Передача персональных данных за границу: действующая правовая база в Турции

Опубликованный в Официальном вестнике № 32487 от 12.03.2024 г. Закон № 7499 внес изменения в Закон о защите персональных данных № 6698 («о наморднике»). Впоследствии было принято Положение о порядке и принципах передачи персональных данных за рубеж («"Регулирование"») был опубликован и вступил в силу в Официальном вестнике № 32598 от 10.07.2024. В январе 2025 года было опубликовано Руководство по передаче персональных данных за границу («Guide») был опубликован на веб-сайте Органа по защите персональных данных («Власть»).

1. Введение

Ранее передача персональных данных за границу без получения явного согласия субъекта данных требовала наличия одного из условий, предусмотренных Законом, и Совета по защите персональных данных («Настольные»), приняв решение о том, что страна, в которую будут переданы данные, имеет достаточную защиту (находится в списке безопасных стран).

Если страна не считалась обеспечивающей адекватную защиту, персональные данные все равно могли передаваться без явного согласия субъекта данных, если было выполнено одно из соответствующих условий обработки данных, при условии, что контролеры данных в Турции и соответствующей стране взяли на себя обязательство обеспечить адекватную защиту (предоставив письмо-обязательство), а Совет дал разрешение. Для многонациональных компаний, передающих данные между собой, обязательные корпоративные правила («BCR») должны быть созданы и одобрены Правлением.

Однако из-за отсутствия практического применения писем-обязательств и BCR, а также из-за того, что Совет выдавал разрешения на очень небольшое количество заявлений, передача данных за рубеж фактически стала зависеть исключительно от получения явного согласия субъектов данных. До 01.06.2024 Совет получил 86 заявлений, поданных с предоставлением писем-обязательств, из которых только 10 были одобрены. Более того, было подано 3 заявления BCR, но ни одно из них не было одобрено из-за процедурных и существенных недостатков.

Такая ситуация сделала практически невозможным использование большинства серверов, расположенных за рубежом, и большинства облачных программ и приложений на законных основаниях, и это стало препятствием для инвестиций в нашу страну. В этом контексте был предусмотрен трехальтернативный механизм передачи персональных данных за рубеж. Изменения направлены на приведение законодательства в соответствие с Регламентом ЕС 2016/679 (Общий регламент по защите данных (GDPR)) и решение практических задач.

2. Методы передачи

 а) Решение о достаточности

 Передача данных за границу может осуществляться при наличии одного из условий обработки данных, указанных в статьях 5 и 6 Закона, и при вынесении Советом решения о достаточности места передачи.

Практика принятия решения о достаточности параллельна предыдущей практике «списка безопасных стран». Целью данной оценки является подтверждение того, что уровень защиты данных страны, сектора или международной организации, в которую передаются данные, эквивалентен уровню в Турции. Данная оценка будет учитывать такие факторы, как взаимность, законодательство соответствующей страны, наличие независимого и эффективного органа по защите данных, административные и судебные средства правовой защиты, а также является ли страна участником международных договоров или членом международных организаций.

Ранее в решении Совета от 02.05.2019 под номером 2019/125 было указано, что даже объем торговли с соответствующей страной будет учитываться при соответствующей оценке. На данном этапе, как подчеркивается в Руководстве, ожидается, что страны, являющиеся сторонами международных договоров, стороной которых является Турция, будут иметь приоритет при вынесении решения о достаточности.

Решение о достаточности, которое будет вынесено Советом, может касаться не только страны, в которую будут переданы данные, но и конкретного сектора в этой стране или международной организации. Совет будет пересматривать решение о достаточности не реже одного раза в четыре года и, если сочтет необходимым, может изменить, приостановить или отменить его. Этот четырехлетний период является нормативным сроком, и если Совет сочтет необходимым, он может пересмотреть решение о достаточности до истечения этого периода.

б) Соответствующий защитные меры

В случае отсутствия решения о достаточности передача данных может быть продолжена, если выполняется одно из условий обработки данных, указанных в статьях 5 и 6, при условии, что субъект данных может осуществлять свои права и иметь доступ к эффективным средствам правовой защиты в стране передачи, а также при условии, что приняты соответствующие меры безопасности.

Соглашения: Передача может быть осуществлена, если существует соглашение, не классифицируемое как международная конвенция, между государственными учреждениями и организациями или профессиональными организациями со статусом государственного учреждения в Турции и государственными учреждениями, организациями или международными организациями за рубежом, и если Правление дает разрешение на передачу. Эти соглашения могут быть в форме протоколов о сотрудничестве, меморандумов о взаимопонимании или административных соглашений, таких как административное соглашение о передаче персональных данных между Турецким агентством по лекарственным средствам и медицинским приборам и Европейской комиссией.

Обязательные корпоративные правила: Передача данных может осуществляться при наличии утвержденных Правлением BCR, содержащих положения о защите персональных данных, которые компании в группе, занимающиеся совместной экономической деятельностью, обязаны соблюдать. BCR — это правила защиты персональных данных, которые должны соблюдаться членами группы в случае передачи персональных данных от контролера данных или обработчика данных, учрежденного в Турции, контролеру данных или обработчику данных, учрежденному за рубежом в рамках той же группы. Руководящие принципы, содержащие соображения, которые следует учитывать при подготовке BCR, были опубликованы на официальном сайте Агентства 10.07.2024.

Стандартные контракты: Если стороны передачи подписывают стандартный договор, объявленный Советом, который содержит такие сведения, как категории данных, цели передачи данных, группы получателей, технические и административные меры, которые должны быть приняты получателем данных, и дополнительные меры для особых категорий персональных данных, данные могут быть переданы за границу. Четыре типа шаблонов стандартных договоров, охватывающих различные сценарии передачи, были объявлены на сайте Управления . после публичного объявления 10.07.2024.

После выбора подходящего типа стандартного договора стороны могут вносить изменения только в его необязательные или альтернативные положения. В стандартные договоры не могут быть внесены никакие дополнения, удаления или поправки, помимо этих положений. Контролер или обработчик данных должен сообщить об этих стандартных договорах в Орган в течение 5 рабочих дней с момента подписания. Невыполнение этого обязательства по уведомлению влечет за собой административный штраф. Кроме того, если в заявлениях или информации, предоставленных сторонами, есть какие-либо изменения или если срок действия стандартного договора истек, необходимо направить уведомление в Орган.

Письмо-обязательство: Если между сторонами передачи имеется письменное обязательство, включающее положения, обеспечивающие адекватную защиту, цель, объем, характер и правовую основу передачи, обязательство соблюдать общие принципы, ограничения на последующую передачу данных и аналогичные правила, и если Правление дает разрешение на передачу, передача может осуществляться так же, как и в предыдущий период реализации.

в) Случайные (исключительные) случаи

В случаях, когда нет решения о достаточности или не могут быть предоставлены соответствующие гарантии, данные могут быть переданы за границу при ограниченных обстоятельствах, указанных как случайные. Эти случайные случаи, указанные в Законе, включают:

  • Субъект данных дает явное согласие после того, как его проинформировали о потенциальных рисках,
  • Передача необходима для исполнения договора между субъектом данных и контролером данных или для реализации преддоговорных мер, принятых по просьбе субъекта данных,
  • Передача необходима для заключения или исполнения договора, который должен быть заключен между контролером данных и другим физическим или юридическим лицом в интересах субъекта данных,
  • Передача необходима в целях обеспечения первостепенного общественного интереса,
  • Передача необходима для установления, осуществления или защиты законного требования,
  • Передача необходима для защиты жизни или физической неприкосновенности самого лица или любого другого лица, которое не может объяснить свое согласие из-за физической инвалидности или согласие которого не считается юридически действительным,
  • Передача осуществляется из реестра, открытого для общественности или доступного лицам с законным интересом, при условии соблюдения условий доступа к реестру в соответствии с соответствующим законодательством и запроса лица с законным интересом на передачу.

В случае возникновения случайных обстоятельств условия, изложенные в статьях 5 и 6 Закона, не требуются. Передача персональных данных, основанная на случайных обстоятельствах, не требует разрешения или одобрения Совета, а также не требует какого-либо уведомления.

Однако, поскольку переводы, осуществляемые при случайных обстоятельствах, представляют собой исключение, следует применять узкое толкование. Во-первых, следует оценить, доступно ли решение о достаточности или одна из соответствующих гарантий; при их отсутствии исключительный перевод следует использовать только в качестве крайней меры.

Случайные переводы могут происходить более одного раза; однако для того, чтобы повторяющиеся переводы считались исключительными, они не должны быть регулярными, не должны иметь непрерывности и должны происходить при непредвиденных обстоятельствах и через нерегулярные промежутки времени, выходящие за рамки обычного хода действий».

3. Оценки и выводы

Сохранились положения, гласящие, что если в международном договоре или других законах есть положение о передаче данных за границу, то персональные данные могут передаваться за границу в соответствии с такими положениями. Поэтому перед оценкой решений о достаточности, соответствующих гарантий или исключительных случаев передачи необходимо определить, существует ли положение в международном договоре или других законах на начальном этапе деятельности по передаче.

Если в международных соглашениях или других законах нет положений, то сначала следует проверить, доступно ли решение о достаточности. Если решения о достаточности нет, то следует оценить, можно ли предоставить одну из соответствующих гарантий. Если это невозможно, то в качестве последнего средства следует оценить, является ли передача случайной (исключительной) передачей.

На дату публикации этой статьи нет ни одной страны, сектора или международной организации, которым было бы предоставлено решение об адекватности. Причины, которые задерживали создание списка безопасных стран в прошлом, как правило, являются факторами, которые также будут играть роль в процессе получения решения об адекватности, поэтому еще предстоит выяснить, будет ли решение принято в краткосрочной перспективе. Поэтому ожидается, что на данный момент практическое применение будет сосредоточено на соответствующих гарантиях, причем среди этих гарантий преимущественно применяются стандартные договорные положения.

В качестве еще одного замечания, Закон предусматривает, что гарантии в законодательстве должны быть также предусмотрены для последующих передач персональных данных, переданных за границу. Хотя законодательство явно не регламентирует, как должно обеспечиваться соблюдение третьих лиц соответствующих правил, когда сторона-получатель передает данные третьим лицам, и Руководство не дает ясности относительно того, как будут контролироваться последующие передачи. Таким образом, могут возникнуть практические вопросы относительно последующих передач. Ожидается, что эти вопросы будут сформированы практикой в ​​предстоящий период.

Согласно переходному положению «Временная статья 3», добавленному к Закону, деятельность по обработке данных должна соответствовать новым правилам с 01.09.2024. Действительно, очевидно, что передачи, осуществляемые компаниями на основе явного согласия, полученного от субъектов данных в течение предыдущего периода внедрения, больше не действительны, и крайне важно, чтобы компании, которые еще не выполнили новые правила, оперативно определили наиболее применимый метод для своих бизнес-процессов и завершили процедуры соответствия.

Авукат Эдже Эльван Челеп - ASY Legal

Av. Ece Elvan Celep

Контакт для консультации

Автор Био

Похожие статьи