personal data transfer turkey
2024年3月12日第32487号《官方公报》公布的第7499号法律,对第6698号《个人数据保护法》(“法律”)作出修订。随后,《个人数据出境传输程序和原则条例》(“条例”)于2024年7月10日第32598号《官方公报》公布并生效。2025年1月,个人数据保护局(“主管机关”)在其网站发布《个人数据出境传输指南》(“指南”)。本文围绕个人数据出境传输说明当前法律框架。
1. 引言
此前,在未取得数据主体明示同意的情况下将个人数据传输至境外,需要满足法律规定的处理条件之一,并由个人数据保护委员会(“委员会”)认定数据接收国具有充分保护水平,即列入安全国家名单。
如果某国未被认定具有充分保护水平,在满足相关数据处理条件之一的情况下,土耳其境内及相关国家的数据控制者承诺提供充分保护(通过提交承诺函),并经委员会许可后,个人数据仍可在未取得数据主体明示同意的情况下出境传输。对于跨国公司集团内部的数据传输,则需要制定约束性公司规则(“BCR”)并取得委员会批准。
然而,由于承诺函和BCR在实践中适用有限,且委员会批准的申请数量很少,个人数据出境传输实际上几乎完全依赖取得数据主体明示同意。截至2024年6月1日,委员会收到86件通过承诺函提出的申请,其中仅10件获批。此外,共提交3件BCR申请,但均因程序和实质缺陷未获批准。
这种情况使大多数位于境外的服务器以及多数云端软件和应用的合法使用几乎不可行,并逐渐成为对本国投资的障碍。在此背景下,法律设计了三种替代机制用于个人数据出境传输。相关修订旨在使立法与欧盟第2016/679号条例,即《通用数据保护条例》(GDPR)保持一致,并回应实践需求。
2. 传输方式
a. 充分性决定
如果存在法律第5条和第6条所列数据处理条件之一,且委员会就传输目的地作出充分性决定,则可进行数据出境传输。
充分性决定制度与此前“安全国家名单”的做法相平行。该评估的目的,是确认数据被传输至的国家、行业或国际组织的数据保护水平,与土耳其的保护水平相当。评估将考虑互惠性、相关国家法律、是否存在独立有效的数据保护机关、行政和司法救济,以及该国是否为国际条约缔约方或国际组织成员等因素。
委员会2019年5月2日第2019/125号决定曾指出,在相关评估中甚至会考虑与有关国家的贸易量。在这一点上,正如指南所强调,预计委员会在作出充分性决定时,将优先考虑与土耳其同为相关国际条约缔约方的国家。
委员会作出的充分性决定,不仅可以针对数据接收国,也可以针对该国特定行业或某一国际组织。委员会至少每四年审查一次充分性决定;如认为必要,可对其进行修改、中止或撤销。该四年期限属于监管性期限,如委员会认为有必要,也可在期限届满前重新评估充分性决定。
b. 适当 保障措施
在不存在充分性决定的情况下,如果存在第5条和第6条规定的数据处理条件之一,同时数据主体能够在传输目的国行使权利并获得有效法律救济,且已提供适当保障措施,则仍可进行传输。
协议: 如果土耳其公共机构和组织,或具有公共机构地位的职业组织,与境外公共机构、组织或国际组织之间存在不属于国际公约性质的协议,并且委员会准许传输,则可进行传输。这些协议可以采用合作议定书、谅解备忘录或行政协议形式,例如土耳其药品和医疗器械署与欧洲委员会之间关于个人数据传输的行政协议。
约束性公司规则: 如果存在经委员会批准的BCR,其中包含共同从事经济活动的集团公司必须遵守的个人数据保护规定,则可进行传输。BCR是集团成员在从设立于土耳其的数据控制者或数据处理者向同一集团内设立于境外的数据控制者或数据处理者传输个人数据时必须遵守的个人数据保护规则。关于编制BCR时应考虑事项的指南已于2024年7月10日在主管机关官方网站公布。
标准合同: 如果传输各方签署委员会公布的标准合同,且该合同包含数据类别、数据传输目的、接收方群体、数据接收方应采取的技术和行政措施,以及特殊类别个人数据的附加措施等细节,则数据可传输至境外。主管机关于2024年7月10日发布公告后,在其网站公布了覆盖不同传输场景的四类标准合同模板。
选择适当类型的标准合同后,各方只能修改其中的可选或替代性条款。除这些条款外,不得对标准合同作出新增、删除或变更。标准合同签署后,数据控制者或处理者必须在5个工作日内向主管机关报告。未履行通知义务将受到行政罚款。此外,如各方作出的声明或提供的信息发生变化,或标准合同终止,也必须向主管机关作出通知。
承诺函: 如果传输各方之间存在书面承诺,其中包含确保充分保护的规定、传输目的、范围、性质和法律依据、遵守一般原则的承诺、后续数据传输限制及类似安排,并且委员会准许传输,则可按照此前实践期间的方式进行传输。
c. 偶发(例外)情形
在不存在充分性决定且无法提供适当保障措施的情况下,数据可在法律规定的有限偶发情形下传输至境外。法律列明的偶发情形包括:
- 数据主体在被告知潜在风险后作出明示同意;
- 为履行数据主体与数据控制者之间的合同,或为执行应数据主体请求而采取的缔约前措施,传输属必要;
- 为订立或履行数据控制者与另一自然人或法人之间、以数据主体利益为目的的合同,传输属必要;
- 为重大公共利益,传输属必要;
- 为确立、行使或保护法律请求权,传输属必要;
- 为保护因身体障碍无法表达同意或其同意不具备法律效力的本人或其他人的生命或身体完整性,传输属必要;
- 传输来自向公众开放或可由具有合法利益者访问的登记簿,但须满足相关法律规定的登记簿访问条件,且具有合法利益者已请求该传输。
在偶发情形下,无需满足法律第5条和第6条规定的条件。基于偶发情形进行个人数据传输,不需要委员会许可或批准,也不存在通知义务。
但是,由于偶发情形下的传输构成例外,应作狭义解释。首先应评估是否存在充分性决定或某项适当保障;仅在二者均不存在时,才应将例外传输作为最后手段使用。
偶发传输可以发生不止一次;但若反复发生的传输要被视为例外,其不得具有规律性,不得具有持续性,并且必须在不可预见情形下、以不规则间隔、于通常活动流程之外发生。”
3. 评估与结论
有关规定保留了这样一项原则:如果国际条约或其他法律中存在关于数据出境传输的规定,个人数据可依据该等规定传输至境外。因此,在评估充分性决定、适当保障或例外传输情形之前,应在传输活动初始阶段先确定国际条约或其他法律中是否存在相关规定。
如果国际协议或其他法律中不存在规定,应首先审查是否存在充分性决定。如无充分性决定,应评估是否能够提供某项适当保障。如仍不可行,最后才应评估该传输是否构成偶发(例外)传输。
截至本文发布之日,尚无任何国家、行业或国际组织获得充分性决定。过去延迟制定安全国家名单的原因,通常也会在取得充分性决定的过程中产生影响,因此短期内是否会作出决定仍有待观察。因此,预计当前实践将集中于适当保障措施,其中标准合同条款可能成为主要适用方式。
另需注意,法律规定,对于已传输至境外的个人数据后续再传输,也必须提供立法规定的保障。尽管如此,立法并未明确规定当接收方将数据转让给第三方时,如何确保第三方遵守相关规定;指南也未说明如何监督后续传输。因此,后续传输可能在实践中产生问题。预计这些问题将在未来实践中逐步成形。
根据法律新增的过渡规定“临时第3条”,数据处理活动自2024年9月1日起必须符合新规定。事实上,企业在此前实践期间基于从数据主体取得的明示同意所进行的传输已不再有效;尚未完成新规合规的企业,必须迅速识别最适合其业务流程的方法并完成合规程序。
注:本译文仅为便利阅读而提供,可能与原文存在细微差异。
