Трансгранични трансфери на данни в Турция и последици от решението на Съвета за защита на данните за Amazon Turkey

Av. Али Юрцевер LLM

Съвет за защита на данните наскоро издаде нов решение и глобен Амазонка Турция 1.100.000 XNUMX XNUMX TRL за нарушения на законодателството за защита на данните и електронната търговия и за незаконни трансгранични трансфери на данни особено за трансфер на данни към неговите задгранични филиали. Продължавайки напред, решението ще има сериозни последици по отношение на трансферите на данни в Турция и за да разберем по-добре тези последици, трябва първо да разберем фона, който води до такова решение.

 Защита на личните данни в Турция

 В глобализирана икономика, където технологичните компании доминират и контролират голяма част от маркетинга на съдържанието и където данните се разглеждат като новото злато, ограничаване и наблюдение трансгранични трансфери на данни става все по-важно, което е подчертано и в решението на Борда за защита на данните (DPB) за Amazon Turkey. В това отношение Турция заема сходна позиция по отношение на защитата на данните като Европа, като имплантира Закон за защита на личните данни № 6698 (ЗЗЛД), което по същество е турската версия на Общия регламент за защита на данните (GDPR).

Прехвърляне на лични данни на трети страни

Прехвърляне на лични данни към трети страни са доста рестриктивно регулирани от ЗЗЛД (подобно на разпоредбите в GDPR). В чл.5 от ЗЗЛД е ясно, че администраторите на лични данни не могат да прехвърлят лични данни на трети лица без изричното съгласие на собственика на данните, освен при обстоятелствата, посочени в чл.5/2 и 6/3. Член 9 по-нататък гласи, че трансграничното прехвърляне на данни е забранено, освен ако собственикът на данните не даде изрично съгласие за такова трансгранични трансфери на данни. Член 9/2 предвижда изключение от това правило и позволява трансгранично прехвърляне на данни без изричното съгласие на собствениците на данни в случаите, когато са приложими обстоятелствата, посочени в членове 5/2 и 6/3, и ако (i) „достатъчна защита е предоставени в чуждата държава, където данните трябва да бъдат прехвърлени“ или (ii) „администраторите в Турция и в свързаната чужда държава гарантират достатъчна защита в писмена форма и Съветът е разрешил такова прехвърляне, когато не е осигурена достатъчна защита“.

Прехвърляне на данни и изключения от изричното съгласие

 Както бе отбелязано по-горе, общото правило за прехвърляне на данни, независимо дали е вътрешен или презграничен, е да се получи предварително изрично съгласие на собственика на данните. Въпреки това ЗЗЛД предвижда някои изключения от това изискване както за лични данни, така и за лични данни от специално естество, посочени съответно в чл. 5/2 и 6/3. Съгласно член 5/2, личните данни могат да бъдат обработвани и прехвърляни на трети страни без изричното съгласие на собственика на данните, ако:

  1. Предвидено/изисквано от закона,
  2. Необходими за защита на живота или физическата цялост на лице, което не е в състояние да даде съгласие,
  3. Необходими за сключване, изпълнение или доставка на услуги, посочени в договор,
  4. Изисква се администраторът на данни да изпълнява законовите си задължения,
  5. Данните се разкриват на обществеността от собственика на данните,
  6. Данните се считат за задължителни за установяване упражняване или защита на което и да е право, или
  7. Задължително за законните интереси на администратора, при условие че не нарушава основните права и свободи на собственика на данните.

 Член 6/3 по-нататък гласи, че лични данни от специално естество, с изключение на данни, свързани със здравето и сексуалния живот, могат да бъдат обработвани и прехвърляни на трети лица без изричното съгласие на собственика на данните, ако това е предвидено от законите.

 Трансграничен трансфер на данни и проблемът с достатъчната защита

Тези разпоредби, които определят изключения от правилото за изрично съгласие за трансгранични трансфери на данни, са съвсем ясни, тъй като член 9/2 гласи, че трансграничните трансфери на данни могат да се извършват без изричното съгласие на собственика на данните, ако е осигурена достатъчна защита в чуждата държава, където данните ще бъдат прехвърлени. Като се има предвид, че този LPPD е почти директен превод на GDPR, разумно е да се предположи, че всички трансгранични трансфери на данни в една или повече от страните, където е приложим GDPR, ще бъдат обхванати от тази разпоредба и следователно ще бъдат освободени от изискването за изрично съгласие.

За съжаление това не е така. Проблемът тук произтича от алинея 3 на същия член 9, която гласи, че DPB определя и обявява страните, в които е осигурено достатъчно ниво на защита. DPB тепърва ще обяви такъв списък, което означава, че освобождаването, предвидено в член 9/2/a, все още не е приложимо за трансгранични трансфери на данни, включително за държави, където е приложим GDPR.

Резюме на решението на Amazon Turkey относно трансгранични трансфери на данни

 Жалби срещу Amazon Турция

Както беше отбелязано в началото на тази статия, след жалба, подадена от потребител на Amazon Turkey относно незаконна обработка и прехвърляне на данни, Съветът за защита на данните глоби Amazon Turkey с 1.100.000 XNUMX XNUMX TRL за незаконен трансграничен трансфер на данни към неговите задгранични филиали и за не- спазване на законите за защита на данните и електронна търговия. Едно от основните твърдения, посочени в това съвместимост, е фактът, че Amazon Turkey включва фразата „Можем да прехвърлим вашите лични данни към Европейския съюз и Съединените щати, за да съхраняваме и обработваме вашата лична информация в контекста на целите, посочени в това Уведомление за поверителност“, което според жалбата е нарушило задълженията, определени в ЗЗЛД, поради факта, че Amazon Turkey не е получила изричното съгласие на собственика на данните за такива международни трансфери, а по-скоро е уведомила, че може да прехвърля данните в чужбина.

Решението на DPB за Amazon Turkey относно трансгранични трансфери на данни

След жалбата DPB започна разследване срещу Amazon Turkey и установи, че всъщност не е получило изрично съгласие от собствениците на данни за трансгранични трансфери на данни, а по-скоро е предоставило на собствениците на данни възможността да се откажат или да изберат да не споделят своите данни с трети страни. Установено е, че този механизъм за отказ е в нарушение на ЗЗЛД, тъй като законът ясно изисква изрично съгласие от притежателите на данни за трансгранични трансфери на данни и следователно изисква собствениците на данни изрично да се „включват“ за такива трансфери, а не отколкото да приемем, че собствениците на данни са избрали това по подразбиране и след това да им предоставим опция за отказ.

Тъй като Amazon Turkey не е получил предварително изрично съгласие от собствениците на данни, единствената възможност Amazon Turkey да извършва законно трансгранични трансфери на данни в Турция беше да твърди, че такива трансфери попадат в обхвата на изключенията, предвидени в член 9/2 ЗЗЛД.

Въпреки това, както се вижда по-горе, такива изключения се прилагат само за трансгранични трансфери на данни, ако е осигурена достатъчна защита в чуждата държава, където данните ще бъдат прехвърлени, и DPB е упълномощен да определя страните с достатъчни нива на защита съгласно член 9 /3. Проблемът тук е, както също беше споменато по-горе, DPB тепърва ще публикува такъв списък с освободени държави и тъй като този списък все още не е наличен, това освобождаване, предвидено за държави с достатъчна защита, все още не се прилага за никоя държава, включително ЕС държави, в които е приложим GDPR.

Тъй като Amazon Turkey не може да се възползва от това освобождаване за „достатъчна защита“, това оставя окончателното изключение, предвидено в член 9/3, където трансграничните трансфери на данни могат да се извършват без предварително изрично съгласие към държави без достатъчна защита, ако чуждестранните администратори на данни в Турция и в свързаната чужда държава дават писмени гаранционни писма на DPB и Бордът одобрява това прехвърляне. Тук трябва да се отбележи, че Amazon действително представи гаранция на борда, за да се възползва от такова освобождаване.

Въпреки това, към момента на тази жалба и решението, гаранционното писмо на Amazon и заявлението за освобождаване все още бяха висящи пред DPB, в очакване на окончателното решение и одобрение от Борда. Член 9/3 ясно посочва, че това освобождаване ще бъде приложимо само ако е предоставено гаранционно писмо  И DPB одобрява трансфери и тъй като DPB никога не е одобрил заявлението за освобождаване на Amazon Turkey, DPB реши, че такива трансгранични трансфери на данни, извършени от Amazon Turkey, нарушават разпоредбите на LPPD.

Продължаване напред: Ефекти от решението на Amazon Turkey върху трансгранични трансфери на данни

Решението за глоба на Amazon Turkey беше изключително противоречиво решение на DPB. Това беше спорно, защото Amazon Turkey прехвърляше лични данни на страни от ЕС, които трябваше да се считат за страни с достатъчна защита, тъй като тези страни също са под регламента на GDPR, и защото Amazon Turkey вече беше предоставил на борда необходимите гаранционни писма да се възползват от второто освобождаване, предвидено в член 9/3.

Въпреки че разбираме откъде идват аргументите срещу това решение, ние също така вярваме, че законът е доста ясен и прозрачен относно изключенията. Разпоредбите на ЗЗЛД ясно посочват, че изключенията за трансгранични трансфери на данни се прилагат само ако страната, в която се прехвърлят данните, има достатъчни нива на защита (която трябва да се определи от Съвета) или когато не е налична достатъчна защита, гаранционно писмо се предоставя и прехвърлянето е одобрено от Борда.

Тъй като списъкът на освободените държави все още не е публикуван от Борда, единственият начин да се възползвате от изключенията за трансграничен трансфер на данни е да изпратите гаранционно писмо до Съвета и да изчакате одобрението на Съвета за трансфери. Въпреки че Amazon предостави гаранционно писмо, те не изчакаха заявлението да бъде обработено и одобрението на борда и продължиха с трансгранични трансфери на данни, без да получат изрично съгласие от собствениците на данни.

В това отношение DPB изрази позицията си напълно ясна; ако администраторите на данни искат да извършват трансгранични трансфери на данни, без да получат изрично съгласие, те трябва или да изчакат публикуването на списъка с освободени държави, или да представят гаранционно писмо и да изчакат одобрението на Съвета. В противен случай всички администратори на данни са задължени от ЗЗЛД да получат изрично съгласие от собствениците на данни, преди да извършват трансгранични трансфери на данни.

Select Language »