将个人数据转移到海外：土耳其现行的法律框架

第 32487 号法律于 12.03.2024 年 7499 月 6698 日在官方公报第 XNUMX 号上发布，对第 XNUMX 号个人数据保护法（“法律”)。随后，《个人信息向境外转移程序和原则条例》(“税法法规”）于 32598 年 10.07.2024 月 2025 日第 XNUMX 号官方公报上公布并生效。XNUMX 年 XNUMX 月，《个人数据向境外转移指南》（“产品指南”）已在个人数据保护局的网站上发布（“权威“）。

1. 引言

此前，未经数据主体明确同意而将个人数据转移到国外，需要满足法律规定的条件之一，并且个人数据保护委员会（“ ”）确定数据将被转移到的国家是否具有足够的保护（是否被列入安全国家名单）。

如果某个国家被认为没有提供足够的保护，则在满足相关数据处理条件之一的情况下，个人数据仍可以在未经数据主体明确同意的情况下进行转移，前提是土耳其和相关国家的数据控制者承诺提供足够的保护（通过提交承诺书）并且委员会给予许可。对于跨国公司之间传输数据，具有约束力的公司规则（“BCR”）需要由董事会制定并批准。

然而，由于承诺书和 BCR 缺乏实际应用，且委员会批准的申请非常少，因此将数据转移到国外实际上完全依赖于获得数据主体的明确同意。截至 01.06.2024 年 86 月 10 日，委员会收到了 3 份通过承诺书提出的申请，其中只有 XNUMX 份获得批准。此外，还提出了 XNUMX 份 BCR 申请，但由于程序和实质性缺陷，这些申请均未获批准。

这种情况使得大多数位于国外的服务器以及大多数基于云的软件和应用程序几乎无法合法使用，并且这正在成为我国投资的障碍。在此背景下，人们设想了一种将个人数据转移到国外的三种替代机制。这些变化旨在使立法与欧盟法规 2016/679（通用数据保护条例 (GDPR)）保持一致并满足实际需求。

2. 转移方式

a. 充分性决定

如果存在该法第 5 条和第 6 条中提到的数据处理条件之一，并且委员会就转移地点发布了充分性决定，则可以将数据转移到国外。

充分性决策实践与之前的“安全国家名单”实践平行。该评估的目的是确认数据被转移到的国家、部门或国际组织的数据保护水平与土耳其相当。该评估将考虑互惠、相关国家的立法、是否存在独立有效的数据保护机构、行政和司法补救措施以及该国是否是国际条约的缔约国或国际组织的成员等因素。

此前，委员会于 02.05.2019 年 2019 月 125 日通过了编号为 XNUMX/XNUMX 的决定，其中规定，在相关评估中，与相关国家的贸易量也将纳入考虑范围。目前，正如指南中所强调的那样，在发布充分性决定时，应优先考虑土耳其加入的国际条约的缔约国。

委员会发布的充分性决定可能不仅涉及数据将被传输到的国家，还可能涉及该国的特定部门或国际组织。委员会将至少每四年审查一次充分性决定，如有必要，可修改、暂停或撤销该决定。这四年期限是一个监管期限，如果委员会认为有必要，它可以在该期限到期之前重新评估充分性决定。

b. 适当保障

如果没有充分性决定，如果存在第 5 条和第 6 条规定的数据处理条件之一，则转移仍可继续进行，前提是数据主体可以在转移国行使其权利并获得有效的法律补救，并且有适当的保障措施。

协议： 如果土耳其的公共机构和组织或具有公共机构地位的专业组织与国外的公共机构、组织或国际组织之间有协议（但该协议不属于国际公约），并且委员会批准了转让，则可以进行转让。这些协议可以是合作协议、谅解备忘录或行政协议的形式，例如土耳其药品和医疗器械管理局与欧盟委员会之间关于个人数据传输的行政协议。

具有约束力的公司规则： 转移可在委员会批准的 BCR 下进行，其中包含有关个人数据保护的规定，集团内从事联合经济活动的公司必须遵守这些规定。BCR 是个人数据保护规则，在将个人数据从位于土耳其的数据控制者或数据处理者转移到同一集团内位于国外的数据控制者或数据处理者时，集团成员必须遵守这些规则。10.07.2024 年 XNUMX 月 XNUMX 日，管理局在其官方网站上发布了包含准备 BCR 时需要考虑的事项的指南。

标准合同： 如果转移方签署了委员会公布的标准合同，其中包含数据类别、数据转移目的、接收者群体、数据接收者应采取的技术和管理措施以及特殊类别个人数据的附加措施等详细信息，则可以将数据转移到国外。该局在网站上公布了四种涵盖不同转移场景的标准合同模板官方网站继 10.07.2024 年 XNUMX 月 XNUMX 日公开宣布之后。

在选择适当的标准合同类型后，双方只能对其中的可选或替代条款进行更改。除这些条款外，不得对标准合同进行任何添加、删除或修改。这些标准合同必须在签署后 5 个工作日内由数据控制者或处理者向管理局报告。不遵守此通知义务将被处以行政罚款。此外，如果双方提供的声明或信息有任何变化，或者标准合同到期，则必须向管理局发出通知。

承诺书： 如果转移双方之间有书面承诺，其中包括确保充分保护的条款、转移的目的、范围、性质和法律依据、遵守一般原则的承诺、对后续数据转移的限制和类似规定，并且如果委员会批准转移，则转移可以按照之前的实施期进行。

c. 偶然（例外）情况

在没有充分决定或无法提供适当保障的情况下，数据可以在有限的偶然情况下转移到国外。法律规定的这些偶然情况包括：

数据主体在被告知潜在风险后明确同意，
为了履行数据主体与数据控制者之间的合同或根据数据主体的要求采取合同前措施，有必要进行信息转移，
为了数据控制者与另一自然人或法人之间签订或履行合同，为了数据主体的利益，有必要进行信息转移，
为了维护公共利益，有必要进行转让，
对于建立、行使或保护合法权利而言，转让是必要的，
为了保护本人或他人的生命或身体完整性而有必要进行转移，且因身体残疾无法解释其同意的原因或其同意不被视为合法有效，
转移是通过向公众开放或有合法利益的人可访问的登记册进行的，前提是满足相关法律规定的访问登记册的条件，并且有合法利益的人已提出转移请求。

偶然情况下，无需符合本法第5、6条规定的条件。基于偶然情况的个人信息转移无需委员会的许可或批准，也无须任何通知义务。

然而，由于在偶然情况下进行的转移属于例外，因此应进行狭义解释。首先，应评估是否有充分性决定或适当的保障措施；如果没有，例外转移应仅作为最后的手段。

偶然转移可以发生多次；但是，重复发生的转移必须被视为例外，它们必须不是有规律的，不能具有连续性，并且必须在不可预见的情况下和不定期地发生，超出正常行动范围。”

3. 评估与结论

规定如果国际条约或其他法律中存在关于数据转移到国外的规定，则个人数据可以根据该规定转移到国外，这些规定一直得到保留。因此，在评估充分性决定、适当的保障措施或例外转移案例之前，必须在转移活动的初始阶段确定国际条约或其他法律中是否存在规定。

如果国际协议或其他法律没有规定，则应首先审查是否有充分性决定。如果没有充分性决定，则应评估是否可以提供适当的保障措施之一。如果无法提供，作为最后的手段，应评估转让是否构成偶然（例外）转让。

截至本文发表之日，尚无任何国家、部门或国际组织获得充分性决定。过去推迟创建安全国家名单的原因通常也是获得充分性决定过程中需要考虑的因素，因此短期内是否会做出决定还有待观察。因此，预计目前实际应用将侧重于适当的保障措施，其中主要采用标准合同条款。

值得注意的是，该法规定，立法中还必须为个人数据在境外的后续转移提供保障。尽管如此，立法并没有明确规定接收方将数据传输给第三方时应如何强制第三方遵守相关法规，指南也没有明确说明如何监控后续转移。因此，后续转移可能会出现实际问题。预计这些问题将在未来一段时间内通过实践加以解决。

根据法律中新增的过渡条款“临时第 3 条”，自 01.09.2024 年 XNUMX 月 XNUMX 日起，数据处理活动必须遵守新法规。事实上，很明显，公司在之前的实施期间基于从数据主体获得的明确同意而进行的转移不再有效，对于尚未遵守新法规的公司来说，及时确定最适合其业务流程的方法并完成合规程序至关重要。