Средний. Али Юрцевер LLM
Совет по защите данных недавно выпустил новый в соответствии и оштрафован Амазонка Турция 1.100.000 XNUMX XNUMX турецких лир за нарушение законодательства о защите данных и электронной коммерции, а также за незаконные трансграничная передача данных особенно для передачи данных своим зарубежным филиалам. В дальнейшем решение будет иметь серьезные последствия в отношении передачи данных в Турции, и чтобы лучше понять эти последствия, нам необходимо сначала понять предысторию, которая привела к такому решению.
Защита персональных данных в Турции
В глобализированной экономике, где технологические компании доминируют и контролируют большую часть контент-маркетинга, а данные рассматриваются как новое золото, ограничения и мониторинг трансграничная передача данных становится все более важным, что также подчеркивается в решении Совета по защите данных (DPB) Amazon Turkey. В этом отношении Турция занимает ту же позицию в отношении защиты данных, что и Европа, приняв Закон о защите персональных данных № 6698 (ЛППД), который по сути является турецкой версией Общего регламента по защите данных (GDPR).
Передача персональных данных третьим лицам
Передача персональных данных третьим лицам довольно строго регулируются LPPD (аналогично положениям GDPR). В статье 5 ЗЗПД четко указано, что контролеры данных не могут передавать персональные данные третьим лицам без явного согласия владельца данных, за исключением обстоятельств, изложенных в статьях 5/2 и 6/3. В статье 9 также говорится, что трансграничная передача данных запрещена, если только владелец данных не дает явного согласия на такую передачу. трансграничная передача данных. Статья 9/2 предусматривает исключение из этого правила и разрешает трансграничную передачу данных без явного согласия владельцев данных в случаях, когда применимы обстоятельства, изложенные в статьях 5/2 и 6/3, и если (i) «достаточная защита предоставляется в иностранном государстве, где данные должны быть переданы», или (ii) «контролеры в Турции и в соответствующей зарубежной стране гарантируют достаточную защиту в письменной форме, и Совет санкционировал такую передачу, если достаточная защита не обеспечена».
Передача данных и исключения из явно выраженного согласия
Как отмечалось выше, общее правило для передачи данных, как внутренней, так и международной, заключается в получении предварительного явного согласия владельца данных. Однако ЗЗПД предусматривает определенные исключения из этого требования как для персональных данных, так и для персональных данных особого характера, изложенных в статьях 5/2 и 6/3 соответственно. Согласно статье 5/2 персональные данные могут обрабатываться и передаваться третьим лицам без явного согласия владельца данных, если:
- Предусмотрено/требуется законом,
- Требуется для защиты жизни или физической неприкосновенности лица, которое физически не в состоянии дать согласие,
- Требуется для заключения, выполнения или закупки услуг, указанных в договоре,
- Требуется для контроллера данных для выполнения своих юридических обязанностей,
- Данные раскрываются общественности владельцем данных,
- Данные считаются обязательными для осуществления учреждением или защиты любого права, или
- Обязательно для законных интересов контролера, при условии, что это не нарушает основных прав и свобод владельца данных.
Статья 6/3 также гласит, что персональные данные особого характера, за исключением данных, касающихся здоровья и сексуальной жизни, могут обрабатываться и передаваться третьим лицам без явного согласия владельца данных, если это предусмотрено законодательством.
Трансграничная передача данных и проблема достаточной защиты
Эти положения, устанавливающие исключения из правила явного согласия на трансграничную передачу данных, совершенно ясны, поскольку в статье 9/2 говорится, что трансграничная передача данных может осуществляться без явного согласия владельца данных, если в зарубежная страна, в которую должны быть переданы данные. Принимая во внимание, что этот LPPD является почти прямым переводом GDPR, разумно предположить, что все трансграничные передачи данных в одну или несколько стран, где применяется GDPR, будут подпадать под действие этого положения и, следовательно, будут исключены. из требования явного согласия.
К сожалению, это не случай. Проблема здесь вытекает из подпункта 3 той же статьи 9, в которой говорится, что DPB определяет и объявляет страны, в которых обеспечивается достаточный уровень защиты. DPB еще не объявил такой список, а это означает, что исключение, предусмотренное статьей 9/2/a, еще не применяется к любой трансграничной передаче данных, в том числе в страны, где применяется GDPR.
Резюме решения Amazon Turkey о трансграничной передаче данных
Жалобы на Amazon в Турции
Как отмечалось в начале этой статьи, после жалобы, поданной пользователем Amazon Turkey на незаконную обработку и передачу данных, Совет по защите данных оштрафовал Amazon Turkey на 1.100.000 XNUMX XNUMX TRL за незаконную трансграничную передачу данных своим зарубежным филиалам и за незаконную передачу данных. соблюдение законов о защите данных и электронной коммерции. Одним из основных утверждений, изложенных в этом соответствии, был тот факт, что Amazon Turkey включила фразу «Мы можем передавать ваши личные данные в Европейский Союз и США для хранения и обработки вашей личной информации в контексте целей, изложенных в настоящем Уведомлении о конфиденциальности.», который, согласно жалобе, нарушил обязательства, изложенные в LPPD, в связи с тем, что Amazon Turkey не получила явного согласия владельца данных на такие международные передачи, а лишь уведомила, что может передавать данные за границу.
Решение DPB Amazon Turkey относительно трансграничной передачи данных
После жалобы DPB начал расследование в отношении Amazon Turkey и определил, что на самом деле он не получал явного согласия от владельцев данных на трансграничную передачу данных, а скорее предоставлял владельцам данных возможность отказаться или выбрать не передавать свои данные третьим лицам. Было установлено, что этот механизм отказа нарушает LPPD, поскольку закон явно требует явного согласия владельцев данных на трансграничную передачу данных и, следовательно, требует, чтобы владельцы данных явным образом «согласовывались» на такую передачу, а не чем предположить, что владельцы данных согласились на это по умолчанию, а затем предоставить им возможность отказа.
Поскольку Amazon Turkey не получала предварительного явного согласия владельцев данных, единственная возможность для Amazon Turkey законно осуществлять трансграничную передачу данных в Турции — заявить, что такая передача подпадает под действие исключений, предусмотренных статьей 9/2. ЛППД.
Однако, как показано выше, такие исключения применяются только к трансграничной передаче данных, если обеспечивается достаточная защита в иностранном государстве, куда данные должны быть переданы, и DPB уполномочен определять страны с достаточным уровнем защиты в соответствии со статьей 9. /3. Проблема здесь, как уже упоминалось выше, в том, что DPB еще не опубликовал такой список исключенных стран, и, поскольку этот список еще не доступен, это исключение, предоставленное для стран с достаточной защитой, еще не распространяется ни на одну страну, включая ЕС. страны, где применяется GDPR.
Поскольку Amazon Turkey не может воспользоваться этим исключением «достаточной защиты», остается последнее исключение, предусмотренное в статье 9/3, когда трансграничная передача данных может осуществляться без предварительного явного согласия в страны без достаточной защиты, если иностранные контролеры данных в Турция и связанная с ней зарубежная страна направляет гарантийные письма в DPB в письменной форме, и Совет утверждает такую передачу. Здесь следует отметить, что Amazon действительно представила Совету гарантию, чтобы воспользоваться таким освобождением.
Однако на момент подачи этой жалобы и принятия решения гарантийное письмо Amazon и заявление об освобождении все еще находились на рассмотрении в DPB, ожидая окончательного решения и утверждения Совета. В статье 9/3 четко указано, что это исключение будет применяться только в том случае, если будет предоставлено гарантийное письмо. И DPB утверждает передачу, и, поскольку DPB никогда не одобрял заявку Amazon Turkey на освобождение, DPB решил, что такие трансграничные передачи данных, осуществляемые Amazon Turkey, нарушают положения LPPD.
Движение вперед: влияние решения Amazon Turkey на трансграничную передачу данных
Решение о штрафе Amazon в Турции было весьма спорным решением DPB. Это было спорным, потому что Amazon Turkey передавала персональные данные в страны ЕС, которые должны были считаться странами с достаточной защитой, поскольку эти страны также подпадают под действие GDPR, а также потому, что Amazon Turkey уже предоставила Совету необходимые гарантийные письма. воспользоваться вторым исключением, предусмотренным статьей 9/3.
Хотя мы понимаем, откуда берутся аргументы против этого решения, мы также считаем, что закон достаточно ясен и прозрачен в отношении исключений. В положениях LPPD четко указано, что исключения для трансграничной передачи данных должны применяться только в том случае, если страна, в которую передаются данные, имеет достаточный уровень защиты (определяется Советом) или, если достаточная защита недоступна, гарантийное письмо. предоставляется, и передача утверждается Советом директоров.
Поскольку список исключенных стран еще не опубликован Правлением, единственный способ воспользоваться исключениями в отношении трансграничной передачи данных — отправить гарантийное письмо Правлению и дождаться одобрения Правлением передачи. Хотя Amazon предоставила гарантийное письмо, они не стали ждать обработки заявки и одобрения Совета и продолжили трансграничную передачу данных без получения явного согласия владельцев данных.
В этом отношении DPB совершенно ясно изложила свою позицию; если контролеры данных хотят осуществлять трансграничную передачу данных без получения явного согласия, им следует либо дождаться публикации списка исключенных стран, либо представить гарантийное письмо и дождаться одобрения Совета. В противном случае LPPD требует от всех контролеров данных получить явное согласие от владельцев данных перед осуществлением трансграничной передачи данных.