عمليات نقل البيانات عبر الحدود في تركيا وتأثيرات قرار مجلس حماية البيانات أمازون تركيا

Av. علي يورتسيفر ماجستير

مجلس حماية البيانات أصدر مؤخرًا ملفًا جديدًا القرار وغرامة أمازون تركيا 1.100.000 ليرة تركية لانتهاكات حماية البيانات وتشريعات التجارة الإلكترونية ، ولغير قانونية نقل البيانات عبر الحدود خاصة لنقل البيانات إلى الشركات التابعة لها في الخارج. من الآن فصاعدًا ، سيكون للقرار تداعيات خطيرة فيما يتعلق بنقل البيانات في تركيا ، ومن أجل فهم هذه العواقب بشكل أفضل ، نحتاج أولاً إلى فهم الخلفية التي أدت إلى مثل هذا القرار.

 حماية البيانات الشخصية في تركيا

 في اقتصاد معولم حيث تهيمن شركات التكنولوجيا وتتحكم في الكثير من تسويق المحتوى وحيث يُنظر إلى البيانات على أنها ذهب جديد ، يتم التقييد والمراقبة نقل البيانات عبر الحدود أصبحت أكثر أهمية من أي وقت مضى ، وهو ما تم تسليط الضوء عليه أيضًا في قرار مجلس حماية البيانات (DPB) أمازون تركيا. في هذا الصدد ، تتخذ تركيا موقفًا مشابهًا فيما يتعلق بحماية البيانات مثل أوروبا ، من خلال تطبيق قانون حماية البيانات الشخصية رقم 6698 (LPPD) ، وهي في الأساس النسخة التركية من اللائحة العامة لحماية البيانات (GDPR).

نقل البيانات الشخصية إلى جهات خارجية

عمليات نقل البيانات الشخصية للأطراف الثالثة منظمة بشكل صارم بموجب قانون حماية البيانات الشخصية (على غرار الأحكام الواردة في اللائحة العامة لحماية البيانات). تنص المادة 5 من قانون حماية البيانات الشخصية بوضوح على أن مراقبي البيانات لا يمكنهم نقل البيانات الشخصية إلى أطراف ثالثة دون موافقة صريحة من مالك البيانات باستثناء الظروف المنصوص عليها في المادة 5/2 و 6/3. تنص المادة 9 أيضًا على أن عمليات نقل البيانات عبر الحدود محظورة ما لم يوافق مالك البيانات صراحةً على ذلك نقل البيانات عبر الحدود. تنص المادة 9/2 على استثناء لهذه القاعدة وتسمح بنقل البيانات عبر الحدود دون موافقة صريحة من مالكي البيانات في الحالات التي تكون فيها الظروف المنصوص عليها في المادتين 5/2 و 6/3 قابلة للتطبيق وإذا (XNUMX) "توفر الحماية الكافية المقدمة في البلد الأجنبي حيث سيتم نقل البيانات "أو (XNUMX)" تضمن وحدات التحكم في تركيا وفي البلد الأجنبي ذي الصلة حماية كافية كتابيًا وقد أذن مجلس الإدارة بهذا النقل ، حيث لا يتم توفير الحماية الكافية ".

عمليات نقل البيانات والاستثناءات من الموافقة الصريحة

 كما هو مذكور أعلاه ، فإن القاعدة العامة لعمليات نقل البيانات ، سواء كانت محلية أو عبر الحدود ، هي الحصول على موافقة صريحة مسبقة من مالك البيانات. ومع ذلك ، فإن قانون حماية البيانات الشخصية لا يوفر استثناءات معينة لهذا المطلب لكل من البيانات الشخصية والبيانات الشخصية ذات الطبيعة الخاصة ، المنصوص عليها في المادتين 5/2 و 6/3 على التوالي. وفقًا للمادة 5/2 ، يمكن معالجة البيانات الشخصية ونقلها إلى أطراف ثالثة دون موافقة صريحة من مالك البيانات إذا:

  1. ينص عليها / يقتضيه القانون ،
  2. مطلوبة لحماية الحياة أو السلامة الجسدية لشخص غير قادر جسديًا على تقديم الموافقة ،
  3. مطلوب لإبرام أو إنجاز أو شراء الخدمات المذكورة في العقد ،
  4. مطلوب من مراقب البيانات لأداء واجباته القانونية ،
  5. يتم الكشف عن البيانات للجمهور من قبل مالك البيانات ،
  6. تعتبر البيانات إلزامية لإنشاء ممارسة أو حماية أي حق ، أو
  7. إلزامي للمصالح المشروعة للمراقب ، بشرط ألا ينتهك الحقوق والحريات الأساسية لمالك البيانات.

 تنص المادة 6/3 أيضًا على أنه يمكن معالجة البيانات الشخصية ذات الطبيعة الخاصة ، باستثناء البيانات المتعلقة بالصحة والحياة الجنسية ، ونقلها إلى أطراف ثالثة دون موافقة صريحة من مالك البيانات إذا نصت القوانين على ذلك.

 عمليات نقل البيانات عبر الحدود ومشكلة الحماية الكافية

هذه الأحكام التي تحدد الاستثناءات من قاعدة الموافقة الصريحة لعمليات نقل البيانات عبر الحدود واضحة تمامًا ، حيث تنص المادة 9/2 على أنه يمكن تنفيذ عمليات نقل البيانات عبر الحدود دون موافقة صريحة من مالك البيانات إذا تم توفير الحماية الكافية في الدولة الأجنبية حيث سيتم نقل البيانات. مع الأخذ في الاعتبار أن قانون حماية البيانات الشخصية هذا هو ترجمة مباشرة تقريبًا للائحة العامة لحماية البيانات ، فمن المعقول أن نفترض أن جميع عمليات نقل البيانات عبر الحدود إلى بلد أو أكثر من البلدان التي تنطبق عليها اللائحة العامة لحماية البيانات ستتم تغطيتها من خلال هذا البند ، وبالتالي سيتم إعفاؤها من شرط الموافقة الصريحة.

للأسف، ليست هذه هي القضية. تنشأ المشكلة هنا من الفقرة الفرعية 3 من نفس المادة 9 ، والتي تنص على أن مجلس الإدارة السياسية يجب أن يحدد ويعلن البلدان التي يتم فيها توفير مستوى كافٍ من الحماية. لم تعلن DPB بعد عن هذه القائمة ، مما يعني أن الإعفاء المنصوص عليه في المادة 9/2 / أ لا ينطبق بعد على أي عمليات نقل بيانات عبر الحدود ، بما في ذلك البلدان التي ينطبق فيها القانون العام لحماية البيانات (GDPR).

ملخص قرار أمازون تركيا بشأن عمليات نقل البيانات عبر الحدود

 شكاوى ضد أمازون تركيا

كما هو مذكور في بداية هذه المقالة ، عقب شكوى قدمها أحد مستخدمي Amazon Turkey بشأن معالجة البيانات غير القانونية ونقلها ، فرض مجلس حماية البيانات غرامة على Amazon Turkey 1.100.000 TRL بسبب عمليات نقل البيانات غير القانونية عبر الحدود إلى الشركات التابعة لها في الخارج وغير- الامتثال لقوانين حماية البيانات والتجارة الإلكترونية. كان أحد الادعاءات الرئيسية المذكورة في هذا التوافق حقيقة أن أمازون تركيا تضمنت العبارة "يجوز لنا نقل بياناتك الشخصية إلى الاتحاد الأوروبي والولايات المتحدة من أجل تخزين ومعالجة معلوماتك الشخصية في سياق الأغراض المنصوص عليها في إشعار الخصوصية هذا"، والتي ، وفقًا للشكوى ، انتهكت الالتزامات المنصوص عليها في قانون حماية البيانات الشخصية نظرًا لحقيقة أن أمازون تركيا لم تحصل على موافقة صريحة من مالك البيانات لمثل هذه التحويلات الدولية ، ولكنها أبلغت فقط أنه يمكنها نقل البيانات إلى الخارج.

قرار أمازون تركيا الصادر عن DPB بشأن عمليات نقل البيانات عبر الحدود

بعد الشكوى ، أطلقت DPB تحقيقًا في Amazon Turkey وقررت أنها لم تحصل ، في الواقع ، على موافقة صريحة من مالكي البيانات لعمليات نقل البيانات عبر الحدود ، بل وفرت لأصحاب البيانات خيار الانسحاب أو الاختيار عدم مشاركة بياناتهم مع أطراف ثالثة. تبين أن آلية إلغاء الاشتراك هذه تنتهك قانون حماية البيانات الشخصية ، حيث يتطلب القانون بوضوح موافقة صريحة من مالكي البيانات لعمليات نقل البيانات عبر الحدود ، وبالتالي يتطلب من مالكي البيانات "الاشتراك" صراحة في عمليات النقل هذه بدلاً من ذلك. بدلاً من افتراض أن مالكي البيانات قد اختاروا ذلك افتراضيًا ومن ثم تزويدهم بخيار إلغاء الاشتراك.

نظرًا لأن Amazon Turkey لم تحصل على موافقة صريحة مسبقة من مالكي البيانات ، فإن الخيار الوحيد لشركة Amazon Turkey لإجراء عمليات نقل البيانات عبر الحدود بشكل قانوني في تركيا هو الادعاء بأن عمليات النقل هذه تقع ضمن نطاق الإعفاءات المنصوص عليها في المادة 9/2 LPPD.

ومع ذلك ، كما رأينا أعلاه ، تنطبق هذه الإعفاءات فقط على عمليات نقل البيانات عبر الحدود إذا تم توفير حماية كافية في البلد الأجنبي حيث سيتم نقل البيانات وكان مجلس التخطيط الاستراتيجي مفوضًا بتحديد البلدان التي تتمتع بمستويات كافية من الحماية وفقًا للمادة 9 / 3. المشكلة هنا ، كما ذكرنا أعلاه ، أن مجلس السياسات الإنمائية لم ينشر بعد قائمة البلدان المستثناة هذه ، وبما أن هذه القائمة لم يتم توفيرها بعد ، فإن هذا الإعفاء المقدم للبلدان ذات الحماية الكافية لا ينطبق حتى الآن على أي دولة ، بما في ذلك الاتحاد الأوروبي البلدان التي تنطبق عليها اللائحة العامة لحماية البيانات (GDPR).

نظرًا لأن Amazon Turkey لا يمكنها الاستفادة من إعفاء "الحماية الكافية" هذا ، فإن ذلك يترك الإعفاء النهائي المنصوص عليه في المادة 9/3 ، حيث يمكن إجراء عمليات نقل البيانات عبر الحدود دون موافقة صريحة مسبقة إلى البلدان التي لا تتمتع بحماية كافية ، إذا كان مراقبو البيانات الأجنبية في تقدم تركيا وفي الدولة الأجنبية ذات الصلة خطابات ضمان إلى مجلس التخطيط الديمقراطي كتابيًا ويوافق المجلس على هذا النقل. وتجدر الإشارة هنا إلى أن أمازون قدمت بالفعل ضمانًا إلى مجلس الإدارة من أجل الاستفادة من هذا الإعفاء.

ومع ذلك ، في وقت تقديم هذه الشكوى والقرار ، كان خطاب الضمان وطلب الإعفاء من أمازون لا يزالان معلقين أمام مجلس التخطيط الديمقراطي ، في انتظار قرار المجلس النهائي والموافقة عليه. تنص المادة 9/3 بوضوح على أن هذا الإعفاء لن يكون قابلاً للتطبيق إلا إذا تم تقديم خطاب ضمان  و يوافق DPB على عمليات النقل ، وبما أن DPB لم يوافق أبدًا على طلب إعفاء Amazon Turkey ، فقد قرر DPB أن عمليات نقل البيانات عبر الحدود التي تنفذها Amazon Turkey تنتهك أحكام LPPD.

المضي قدمًا: آثار قرار أمازون تركيا على عمليات نقل البيانات عبر الحدود

كان قرار فرض غرامة على أمازون تركيا قرارًا مثيرًا للجدل إلى حد كبير من قبل مجلس التخطيط الديمقراطي. كان الأمر مثيرًا للجدل لأن Amazon Turkey كانت تنقل البيانات الشخصية إلى دول الاتحاد الأوروبي ، والتي كان ينبغي اعتبارها دولًا تتمتع بحماية كافية نظرًا لأن هذه البلدان تخضع أيضًا للوائح GDPR ، ولأن Amazon Turkey قد زودت مجلس الإدارة بالفعل بخطابات الضمان اللازمة الاستفادة من الإعفاء الثاني المنصوص عليه في المادة 9/3.

على الرغم من أننا نفهم من أين تأتي الحجج ضد هذا القرار ، إلا أننا نعتقد أيضًا أن القانون واضح تمامًا وشفاف بشأن الإعفاءات. تنص أحكام قانون حماية البيانات الشخصية بوضوح على أن الإعفاءات الخاصة بعمليات نقل البيانات عبر الحدود لا تنطبق إلا إذا كان لدى الدولة التي يتم فيها نقل البيانات مستويات كافية من الحماية (يحددها المجلس) ، أو في حالة عدم توفر الحماية الكافية ، خطاب ضمان يتم توفيره ويتم الموافقة على التحويل من قبل مجلس الإدارة.

نظرًا لأن قائمة البلدان المعفاة لم يتم نشرها من قبل مجلس الإدارة ، فإن الطريقة الوحيدة للاستفادة من إعفاءات نقل البيانات عبر الحدود هي تقديم خطاب ضمان إلى مجلس الإدارة وانتظار موافقة المجلس على عمليات النقل. على الرغم من أن أمازون قدمت بالفعل خطاب ضمان ، إلا أنها لم تنتظر معالجة الطلب وموافقة المجلس واستمرت في عمليات نقل البيانات عبر الحدود دون الحصول على موافقات صريحة من مالكي البيانات.

وفي هذا الصدد ، أوضح مجلس الدفاع عن السياسات موقفه بجلاء ؛ إذا أراد مراقبو البيانات إجراء عمليات نقل بيانات عبر الحدود دون الحصول على موافقات صريحة ، فيجب عليهم إما انتظار نشر قائمة البلدان المعفاة ، أو إرسال خطاب ضمان وانتظار موافقة المجلس. وبخلاف ذلك ، تطلب LPPD من جميع مراقبي البيانات الحصول على موافقة صريحة من مالكي البيانات قبل إجراء عمليات نقل البيانات عبر الحدود.

Select Language »