新闻动态

土耳其:国际数据跨境传输

在全球经济中,跨境数据传输是国家数据保护机构监管重点中高度相关的问题,土耳其在这方面也不例外。2020年5月7日,土耳其个人数据保护局('KVKK')发布了一份公告,其中包含有关跨境数据传输承诺书的重要说明。

土耳其:国际数据传输

背景 根据第6698号《个人数据保护法》(“数据保护法”),除了获得数据主体的明确同意外,数据控制者还可以在没有足够数据保护的情况下将个人数据传输到国家/地区。双方应以书面承诺提供保护级别,并获得董事会的批准。

麻管局尚未公布具有适当保护水平的国家清单,这之后必须使我们认为,就目前而言,就数据传输而言,所有国家都是不安全的。因此,对于将数据转移到国外以符合《数据保护法》的数据控制者而言,此类承诺书是关键过程。

董事会已于2018年5月16日在其网站上发布了跨境数据传输的标准条款。这些是必不可少的条款,必须包含在将个人数据传输到土耳其认为没有提供足够保护的国家的合同中。与数据处理器相比,最低条款包括对传输到数据控制器的单独规定。董事会设想的最低内容与欧盟的标准合同条款(SCC)相似。

考虑到实施中出现的问题,KVKK在最新公告中进一步扩展了承诺书流程的原则和程序,以指导土耳其的数据控制者。

程序重点 KVKK强调,数据控制者在申请执行局批准跨境数据传输的程序时需要考虑以下几点:

数据控制者必须向KVKK提供授权人的识别信息,并提供证明这些人是跨境数据传输应用程序中数据控制人的授权签署人的辅助法律文件。如果通过代理提出申请,则还需要提交代理的原始或认证副本。

签名和公司盖章必须放在承诺书及其附件的末尾。每页必须带有签名者的缩写。

每一份外语文件都必须翻译成土耳其语并经过公证。

承诺书必须至少包括KVKK发布的承诺书模板中预见的条款。如果承诺书中要包含其他条款,则这些条款必须包含在“其他条款”标题下。

承诺书下的所有承诺都必须以将来时起草(即“数据传输者将通知数据接收者,将根据该承诺书和《个人数据保护法》第6698号来处理所传输的个人数据')。

实质性要点 数据控制者必须注意以下承诺信的内容。根据数据当事人的明确同意进行的数据传输将不包含在承诺书中。

KVKK已发布了两种不同形式的承诺函模板,用于转移到数据控制器和数据处理器。在这种情况下,必须准确识别各方之间的关系以及各方在数据传输中的角色,并且必须使用正确的承诺函模板。此外,对当事方的法律地位和任何证明文件的详细解释清楚,表明当事方之间的关系(例如协议)必须与承诺书一起提交给KVKK。

承诺书中的术语必须遵循《数据保护法》或第二条规定。

各方必须对数据传输流程做出明确的解释,并且必须将个人数据,数据主体,处理目的以及数据传输的法律依据进行关联。

在准备承诺书的整个过程中,数据控制者必须遵守《数据保护法》第4条规定的个人数据处理一般原则。

KVKK在其公告中还澄清了当事方需要在承诺书附件中做出的解释,其中简要说明了数据传输流程的细节。以下是KVKK的解释摘要。

数据主体组:数据控制者必须避免使用诸如“类似,类似,可能,可能”之类的模棱两可的表达,并且必须清楚地指出数据主体组。

个人数据类别:在确定要传输的数据类别时,数据控制者必须遵守处理原理和要传输的数据类别,并且必须与传输目的相关,受限且成比例。数据类别也必须以清晰易懂的方式进行引用,并且在这方面不得使用模糊的表述。数据类别和数据主体组必须彼此链接,以便可以看到将传输哪个数据主体组的哪个数据类别。

转移目的:转移目的和数据类别之间的相关性必须在承诺书中显示。转移目的必须是明确,明确和合法的。数据控制者必须提供足够且易于理解的信息,以表明其传输目的符合该原则。

数据传输的法律依据:数据控制者必须通过在数据类别之间建立链接来明确指出传输的法律依据,以便可以理解哪种数据类别是在哪种法律基础上进行传输的。KVKK明确表示,为了基于合法利益进行跨境数据传输,数据控制者必须按照理事会2019年3月25日第2019/78号决定进行平衡测试,以达成并指出承诺信,为此目的的积极结论。

收件人组:收件人组是指与数据收件人位于同一国家/地区的数据控制者或数据处理器,数据收件人将对其进行后续数据传输。

仅当根据适用法律的数据接收方的法定义务将数据传输到主管机构和组织时,才有可能进行后续数据传输。否则,不能在承诺书的范围内进行从数据接收者到数据接收者的另一次数据传输,或者从该数据接收者到位于另一家公司的数据处理器的后续数据传输。在这种情况下,必须执行单独的承诺书。

KVKK还强调指出,在确定所需的技术和组织数据安全措施时,必须考虑其《个人数据安全指南》(技术和行政措施)。必须在单独的标题下解释技术和行政措施,并且与这些措施有关的支持文件必须随附在申请中。

此外,如果转移了任何特殊类别的个人数据,则必须根据董事会2018年1月31日的第2018/10号决定,通过提交支持文件获得其他要求的数据安全措施并在承诺书中予以标识。

KVKK强调,要包括在承诺书中的更多信息包括:

数据控制者注册中心('VERBIS')上的信息:数据控制者是否有义务与其理由一起进行注册,并且如果有注册义务,则VERBIS信息必须包括在承诺书中。

附加信息:保留期限和其他相关信息将在本节下提供,必须通过说明其理由来指明,并至少说明最长期限。如果法律规定了特定的保留期限,则承诺函中也必须注明适用的法律。

联系人信息:承诺信中必须包含有关联系人的信息。

数据传输到数据处理器的具体说明:必须在标题为“数据控制器”和“数据控制器”的部分中详细说明数据控制器或数据处理器的活动以及数据传输后的数据传输和处理活动。承诺书中的“数据处理器”,用于从数据控制器到数据处理器的数据传输。

最后,在上述承诺书中标题为“数据处理活动”的部分下,必须根据转移目的对与转移数据的处理活动有关的情况作出明确的解释。

上一篇:国际:在英国脱欧后的日本公司与英国之间传输数据

下一篇:加拿大:USMCA之后的跨境转移和数据本地化

关注云语科技

wechat qrcode

微信扫一扫,获取最新资讯