一、前言
2025年1月,个人数据保护局(PDPA,“保护局”)发布了土耳其数据国际传输官方指南,旨在为在第6698号《个人数据保护法》第9条“向国外传输个人数据”的理解与适用提供指导,以及保护局阐明期望的保证。该指南对于哪些转让被视为根据《个人数据保护法》第9条进行的跨境数据传输进一步解释,诸如标准合同条款、向保护局申请具有约束里的公司规则的流程以及批准申请。除了解释,指南还包括各种示例和文本附件。本文将对指南主要内容进行简要总结和梳理。
二、概述
《个人数据保护法》没有明确规定数据国际传输的定义。但是,在《个人数据保护局组织条例》(下文简称“条例”)第4条第(e)项中,该项确定了实施经第7499号法律第9条修正案的程序和原则,即向国外传输个人数据。它被表述为“在第6698号法律范围内,数据控制者或数据处理者将个人数据传输给国外的数据控制者或数据处理者,或使其以任何其他方式访问”。
在这种情况下,“将个人数据传输到国外”的活动可以通过三个标准来定义。
1、数据控制者或数据处理者必须遵守个人数据处理活动的相关法律。
在受《个人数据保护法》约束时,《个人数据保护法》在地点方面的适用范围问题就凸显出来。指南首先强调了主管和管辖问题。在此框架内,《个人数据保护法》第2条对适用范围作了如下界定:“本法的规定适用于其个人数据被处理的自然人,以及全部或部分、自动或非自动方式处理这些数据的自然人和法人,前提是他们是任何数据记录系统的一部分”。同样,《保护个人免受个人数据自动处理公约》(第108号公约)第3条第1款的规定:“缔约方同意将本公约适用于公共和私营部门对个人数据文件和个人数据的自动处理”。公约规定的适用范围取决于个人数据处理活动及其性质。与欧盟的举措相对比,指南还介绍了土耳其刑法典中关于管辖问题的规定,指出了“所有权原则”在其中已经被采用。根据2019年1月24日第2019/10号《个人数据泄露通知程序和原则》的理事会决议,“如果数据泄露发生在位于该国的数据负责人的所在地,如果该侵权行为的后果影响了居住在士耳其的有关人员,并且有关人员在土耳其使用所提供的产品和服务,该数据负责人应决定在同样的原则框架内向保护局报告。“从地方的角度来看,法律的适用范围是从“所有权原则”而不是“影响原则”来解释的。
2、所涉数据必须被传输或以其他方式提供可访问性。
第二项标准要求数据输出者传输或提供有关个人数据。这一标准的具体例子包括创建账户、授予访问现有账户的权利、批准/接受有效的远程访问请求、安装硬盘驱动器或向文件发送密码。另一方面,如果没有数据控制者或数据处理者(数据转移者)向另一数据控制者或数据处理者传输或提供个人数据,例如个人数据由数据主体直接传输,则第二项标准不应被视为满足。
示例1:土耳其平台收集的数据,然后传输给第三方国家/地区的数据控制者。
通过在线旅行社预订国外酒店后,土耳其的在线旅行社作为数据控制者收集个人数据并将其发送给具有不同数据控制者的酒店将构成个人数据传输,并且国外传输的规定将在《个人数据保护法》范围内适用。
示例2:土耳其的数据处理者将数据返回给第三国的数据控制者。
一家非土耳其境内的数据控制者,由于数据处理者及其客户的个人数据在土耳其境内处理,因此其公司代表其在土耳其境内处理数据,因此数据处理者的义务在法律的范围内。由于非土耳其境内的数据控制者是第三国的数据控制者,因此将数据传输给该公司构成个人数据传输,《个人数据保护法》内将适用向国内数据传输的规定。
示例3:在土耳其的子公司的数据控制者与位于第三国的母公司(数据处理者)共享个人数据。
由于子公司将员工数据传输给第三国的母公司,以便将其存储在中央人力资源数据库中,因此它作为雇主和数据控制者处理这些数据,并且母公司拥有数据处理者的称号。由于子公司受法律约束,而母公司位于第三国,因此此处理活动将构成个人数据的传输,并且向国外传输的规定将在《个人数据保护法》内适用。
3、数据主体或数据处理者在地理上必须在第三国。
此外,从第三国进行远程访问(只能通过在屏幕上显示个人数据进行,例如在支持情况下,用于故障排除或管理目的)和/或在服务提供商提供的离岸云中进行存储,也将被视为跨境数据传输,前提是上述满足标准。
三、数据传输三要件
(一)是否具备适当性决定
7499号法律第9条题为“向国外转移个人数据”,其第1款规定如下:“如果存在第5条和第6条规定的条件之一,并且对将被转移的国家、国内部门或国际组织有资格认定决定,则数据控制者和数据处理者可向国外转移个人数据”,在第9条的旧版本中,必须有适当性决定才能进行转移活动,但在第7499号法律修订后,规定应就该国以外的国内部门或国际组织作出适当性决定。例如,在与土耳其汽车行业建立了密切贸易关系的外国,可以对汽车行业而不是整个外国作出适当性决定。
上述条款第2款规定如下,“适当性审查决定应由保护局作出并在《政府公报》上公布。如有必要,保护局应征求相关机构和组织的意见。适当性决定最迟应每四年评估一次。在评估结束时或在其他认为必要的情况下,保护局可修改、暂停或撤销适当性决定,并在今后生效。
因此,如果保护局就个人数据被要求转移至的国家、部门或国际组织发布了适当性决定,则有可能将个人数据转移至已发布适当性决定的国家、部门或国际组织,条件是《个人数据保护法》第5条和第6条规定的处理个人数据的条件之一得到满足。
1、适当性决定
保护局发布适当性决定的目的,是确认将进行数据传输的国家、部门或国际组织的数据保护水平与土耳其的数据保护水平相当。充分性适用于数据控制者和由负责数据主体权利和数据保护的组织所监督的数据控制者。适当性决定评估应包括两个主要因素:适用规则的内容和确保其有效实施的手段。
2、作出适当性决定时的考虑因素
根据《个人数据保护法》第9条第3款,在做出适当性决定时,首先要考虑:
- 个人数据将被转移到的国家、国内部门或国际组织,以及与土耳其之间个人数据转移不相容的情况;
- 个人数据将被转移至的国家的相关立法和惯例,以及个人数据将被转移至的国际组织的规则;
- 个人数据将被转移至的国家或国际组织是否存在独立有效的数据保护机构,以及是否存在行政和司法补救措施;
- 个人数据将被转移至的国家或国际组织作为保护个人数据国际协议的缔约方或国际组织成员的地位;
- 个人数据将被转移至的国家或国际组织,或该国家或国际组织在土耳其加入的全球或地区组织中的成员地位;
- 土耳其加入的国际公约。
另一方面,根据2019年5月2日颁布的、编号为20191125的保护局法令第9条“用于确定具有充分保护的国家的表格”,其中包括保护局使用的标准。根据《法令》第9条,理事会在确定享有充分保护的国家时所使用的标准已列入《法令》:
- 土耳其与个人数据将被转移至的国家之间的互惠状况;
- 有关当局处理个人数据的立法及其执行情况;
- 相关国家是否有独立的数据保护机构;
- 是否是有关保护个人数据的国际协议的缔约国以及国际组织的成员;
- 该国在全球和国际组织中的成员地位;
- 与有关国家的贸易额;
- 以及其他考虑因素。
在进行数据保护评估时,需要经过漫长而细致的过程。报告还指出,在与接受评估的国家互惠的基础上承认其在保护个人数据方面的安全国家地位,将使在我国运营的数据控制者和数据处理者能够以同样的方式从安全、无成本和快速的个人数据传输中受益。《个人数据保护法》第9条第3款(e)项规定,在保护局评估是否授权数据传输时,应优先考虑“土耳其加入的国际协定”。在此框架内,2020年10月26日的公告指出,个人数据将被转移至的国家是《第108号公约》的缔约国这一事实将是保护局评估的依据之一。同样,加入《第108号公约》也是保护局2019年5月2日第2019/125号决定中通过的标准之一,保护局在确定提供充分保护的国家时将使用这些标准。
3、审查适当性决定
根据《个人数据保护法》第9条第2款的规定,适当性决定最迟应每4年评审一次。此外,资格认定决定所针对的国家、部门或国际组织的法律框架发生变化,或在此背景下获得的信息可能要求提前对资格认定决定进行审查。事实上,根据《个人数据保护法》第9条第2款的规定,理事会有权根据评估结果或在其认为必要的其他情况下修改、暂停或撤销适当性决定,并立即生效。
(二)提供适当的保障措施
在没有资格认定决定的情况下,应检查当事人是否提供了适当的保障措施,前提是符合《个人数据保护法》第5条和第6条规定的条件之一,而且当事人有可能在转让发生地国行使其权利并申请有效补救。
适当的保障措施包括非国际协议、具有约束力的公司规则、标准合同和书面承诺。
1、通过非国际协议提供适当保障
可将个人资料转移到国外的情况之一是,符合本法第9条第4款规定的条件,以及国外公共组织机构或国际组织与土耳其公共组织机构或专业组织之间达成的,不具有国际合同性质的协议。
公共机构和国外组织或国际组织与土耳其的公共机构和组织或具有公共机构性质的专业组织之间存在非国际合同性质的协议,且保护局应授权转让。
指南指出,修正本条的理由如下:“我国公共机构有可能向国外公共机构转移相互开展活动所需的个人数据,但条件是保护局必须在我国公共机构与国外相关公共机构在某一领域签订的合作议定书框架内给予许可。在此框架内,该条例涵盖了公共机构之间出于合作目的而进行的数据传输,但不包括公共机构向私营机构,或私营机构向公共机构传输个人数据。
非国际协议的协议方有义务承诺为数据传输提供充分的数据保护保障。在即将制定的条例中,应采取步骤确保个人权利、补救和监督的有效运作,以使个人数据受益于法律规定的同等保护水平。在这方面,重要的是在数据传输机构和接收机构之间建立对话与合作机制。
该条例第11条规定了基于非国际协议的转移程序和原则。在非国际合同的协议范围内,必须获得董事会的批准才能将个人数据传输到国外。根据该条例的上述条款,该协议将由个人数据传输的各方签订,在协议的谈判过程中应征求董事会的意见。在此过程中,重要的是要详细说明协议中关于个人数据保护的规定,并确保遵守董事会制定的标准。在此背景下,根据条例第11条第3款,协议中有关个人数据保护的规定应特别包括以下问题:
- 个人数据传输的目的、范围、性质和法律依据;
- 根据本法和相关法律对基本概念进行定义;
- 遵守本法第4条规定的一般原则的承诺;
- 将协议和协议范围内的个人数据转移告知数据主体的原则和程序;
- 个人资料被转让者行使法律第11条规定的权利的承诺,以及申请行使这些权利的程序和原则;e)承诺采取一切必要的技术和行政措施,确保适当程度的数据安全;
- 承诺在转让特殊类别个人资料时采取由董事会决定的适当措施;
- 对随后转让个人资料的限制。
- 在违反协议中有关保护个人资料的规定时,资料当事人可采取的补救措施;
- 执行协议中个人数据保护规定的监督机制;
- 规定如果数据接收方未能遵守协议中关于保护个人数据的规定,数据发送方有权暂停数据传输并终止协议;
- 数据接收方承诺,在协议终止或到期的情况下,将根据数据输入方的选择,向数据输入方归还转让的个人数据及备份,或完全销毁个人数据"。
非国际协议可以采用合作协议、谅解备忘录或行政协议的形式。例如,土耳其药品和医疗器械保护局与欧盟保护局之间达成的行政协议。
2、通过纳入具有约束力的公司规则提供适当保障
集团范围的隐私政策在确保数据保护法规的遵守方面发挥着越来越重要的作用。在土耳其《个人数据保护法》之前,欧盟就引入了“具有约束力的公司规则”这一概念,GDPR最重要的创新之一就是接受具有约束力的公司规则作为向国外转移个人数据的适当保障,土耳其制定的《个人数据保护法》也沿用借鉴了该框架。
在土耳其第7499号法律修订之前的法律第9条中规定,在“当事人明确同意”、存在法律第5条第2款和第6条第3款规定的条件之一以及“个人数据将被转移到的外国存在足够的保护”或“如果个人数据将被转移到的国家没有适当的保护,则以书面形式进行充分保护并获得董事会的许可”的情况下可以执行。
由此可见,在旧法第9条中,就个人数据向国外传输的规定中规定的适当保证只是“承诺书”。然而,考虑到这些承诺通常促进公司之间的双边数据传输,但可能不足以为跨国公司集团之间的数据传输提供实施实践,董事会已采用“约束性公司规则”作为这些公司之间国际数据传输的另一种方法。在此背景下,随着2020年4月10日的公告,“数据控制者约束性公司规则申请表”和“关于数据控制者约束性公司规则应包含的基本问题的补充文件”已在保护局的官方网站上发布。
根据第9条第4款(b)项的规定,在没有适当性决定的情况下,个人数据应遵守《个人数据保护法》律第5条和第6条规定的条件、数据控制者和数据处理者可根据有约束力的公司规则将数据传输到国外,这些规则应具有适当的安全性,但数据主体必须有可能在进行传输的国家行使其权利并申请有效的法律补救。
可以看出,随着《个人数据保护法》的修订,有约束力的公司规则被确认为《个人数据保护法》第9条第4款所列的适当保障之一。具有约束力的公司规则中必须包含的最低限度问题在条例第13条第1款中进行了规定。根据条例第13条第1款应包含在具有约束力的公司规则中的问题以及根据条例第13条第2款确定的其他问题的详细解释包含在保护局发布的第KVKK-BCR/2024-2号数据控制者约束性公司规则辅助指南和第KVKKBŞK/2024-4号数据处理者约束性公司规则辅助指南中。
要根据母公司的规定向国外转移个人数据,必须向保护局提出批准申请。可通过专人递交、邮寄或董事会决定的其他方式向保护局提交申请。在申请范围内,只需填写一份《申请表》和《辅助指南》,并连同《BSK》文本以及保护局进行评估所需的所有其他信息和文件一并提交保护局。
3、通过标准合同提供适当保障
《个人数据保护法》第9条第4款(c)项规定,标准合同是在保护局未发布适当性决定的情况下为向国外传输个人数据提供充分保证的替代方法,可以很容易地纳入数据控制方或数据处理方的业务流程。指南对标准合同的定义和范围、缔约方、条款、附件等进行说明。
4、通过书面承诺提供适当保障
《个人数据保护法》第9条第4款(ç)项和条例第15条规定了为“以承诺书提供适当的保证”。指南详细介绍了书面承诺的定义和最低要素。除土耳其语外,承诺书还可以其他语言签署,但如发生任何争议,应以土耳其语文本为准。承诺书受土耳其法律管辖,双方同意承认土耳其法院的管辖权。
(三)存在特殊转移情况
根据《个人数据保护法》第9条第6款、第6条第2款和条例第16条第1款的规定,数据控制者和数据处理者可在没有适当性决定和未提供任何适当保障措施的情况下将个人数据附带转移到国外。只有是附带地、一次或数次地,数据才可以被转移到国外,而不是持续地转移。
例外情况包括:
- 数据主体明确同意转移,但已被告知可能存在的风险;
- 为履行数据主体与控制者之间的合同,或为执行应数据主体要求采取的合同前措施,有必要进行转移;
- 为数据控制者与另一自然人或法人之间为数据主体的利益而订立或履行合同所必需的传输;e)出于压倒一切的公共利益,必须进行传输;
- 为确立、使用或保护权利而必须传输个人数据;
- 为保护个人或他人的生命或人身安全,必须转让个人数据,而该个人或他人因实际不可能而无法表示同意,或其同意在法律上无效;
- 从向公众或有合法权益的个人开放的登记处转移,但必须满足相关法律规定的进入登记处的条件,且有合法权益的个人提出申请。
另一方面,经第7499号法律修订的《个人数据保护法》律第9条第7款对“明确同意”进行了定义:“对于数据主体与数据控制者之间合同的签订或应数据主体要求采取的合同前措施的执行是强制性的”,以及“对于数据控制者与另一自然人或法人之间为数据主体的利益建立或履行合同是强制性的”。
《个人数据保护法》第9条第9款,“在不影响国际公约规定的情况下,在土耳其或有关人员的利益将受到严重损害的情况下,个人数据只能在董事会同意并听取相关公共机构或组织的意见的情况下向国外传输。”和第10款“保留其他法律中关于向国外传输个人数据的规定”。在修正前的法律第9条的理据文本中,以第5549号法律关于防止洗钱犯罪所得的相关规定为例,作为保留其他法律条款的例子。
在这种情况下,如果国际协议或其他法律中有关于向国外转移的规定,则必须在个人数据可以根据这些规定向国外转移的基础上作出适当性决定、必须强调的是,在有适当的保障措施或特殊的转移情况之前,有必要在转移活动的第一步检查国际公约或其他法律中是否有相关规定。
根据特殊情况国际转移数据不需要保护局的授权或批准。法律和条例没有规定任何通知义务。然而,在土耳其的利益或当事人的利益会受到严重损害的情况下,只有在征得相关公共机构或组织的意见后,经保护局的许可,才可将个人资料转移到国外,且不得违反国际公约的规定。(《个人数据保护法》第9条第9款)。
在上述解释的框架内,根据《个人数据保护法》第9条向国外转让的情况表如下:
四、结语
综上所述,新修订的《个人数据保护法》第9条关于个人数据国际传输的规定,为数据控制者和数据处理者提供了清晰的操作指南,确保数据传输活动的合规性。通过适当性决定、保障措施以及特殊传输情况的明确规定,土耳其不仅与国际数据保护标准接轨,也在保障数据主体权益方面采取了严格的防护措施。随着全球数据流动的日益增加,土耳其对数据传输的严格管理不仅有助于保护本国公民的隐私权,也增强了跨境数据流动的透明度和安全性。企业和相关方必须高度关注这些法律要求,确保在全球化数字环境中合规运营,避免潜在的法律风险和责任。
脚注
[1] KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI REHBER, KİŞİSEL VERİLERİ KORUMA KURUMU, OCAK 2025, www.kvkk.gov.tr.
[2]Guidelines On The Cross-Border Transfer Of Personal Data Published,2025年1月13日发布,Guidelines On The Cross-Border Transfer Of Personal Data Published - Data Protection - Turkey.
(来源:兰迪海外观察,作者:徐芹)
声明:本文及其内容仅为交流目的,不代表上海兰迪律师事务所、分所或其律师出具的法律意见、建议或决策依据。