AV。 阿里Yurtsever 法学硕士
数据保护委员会 最近发布了一个新的 决定 并被罚款 亚马逊土耳其 1.100.000 TRL 违反数据保护和电子商务立法,以及非法 跨境数据传输 尤其是向其海外关联公司传输数据。 展望未来,该决定将对土耳其的数据传输产生严重影响,为了更好地理解这些后果,我们需要首先了解导致该决定的背景。
土耳其的个人数据保护
在技术公司主导和控制大部分内容营销以及数据被视为新黄金、限制和监控的全球化经济中 跨境数据传输 变得越来越重要,数据保护委员会 (DPB) 的亚马逊土耳其决定也强调了这一点。 在这方面,土耳其在数据保护方面采取了与欧洲类似的立场,实施了第 6698 号个人数据保护法(LPPD),它本质上是通用数据保护条例的土耳其版本 (通用数据保护条例).
将个人数据传输给第三方
个人数据传输 LPPD 对第三方进行了相当严格的监管(类似于 GDPR 中的规定)。 LPPD 第 5 条明确规定,除第 5/2 条和第 6/3 条规定的情况外,未经数据所有者明确同意,数据控制者不得将个人数据转移给第三方。 第 9 条进一步规定,除非数据所有者明确同意,否则禁止跨境数据传输 跨境数据传输. 第 9/2 条对此规则提供了一个例外,并允许在第 5/2 条和第 6/3 条规定的情况适用的情况下,如果 (i) “充分的保护是在要传输数据的外国提供”或(ii)“土耳其和相关外国的控制者以书面形式保证提供足够的保护,并且董事会已授权此类传输,但未提供足够的保护”。
明确同意的数据传输和例外情况
如上所述,国内或跨境数据传输的一般规则是事先获得数据所有者的明确同意。 但是,LPPD 确实为个人数据和特殊性质的个人数据提供了某些豁免,分别在第 5/2 和 6/3 条中规定。 根据第 5/2 条,在以下情况下,可以在未经数据所有者明确同意的情况下处理个人数据并将其转移给第三方:
- 法律规定/要求,
- 为保护身体无法提供同意的人的生命或身体完整性所必需的,
- 合同中注明的服务的缔结、履行或采购所必需的,
- 数据控制者履行其法律职责所必需的,
- 数据由数据所有者向公众披露,
- 数据被视为建立行使或保护任何权利的强制性数据,或
- 在不侵犯数据所有者的基本权利和自由的情况下,对控制者的合法利益是强制性的。
第 6/3 条进一步规定,如果法律规定,可以在未经数据所有者明确同意的情况下处理特殊性质的个人数据,不包括与健康和性生活有关的数据,并将其转移给第三方。
跨境数据传输和充分保护问题
这些规定跨境数据传输的明确同意规则的例外情况非常明确,因为第 9/2 条规定,如果提供足够的保护,可以在没有数据所有者明确同意的情况下执行跨境数据传输。数据将被传输到的外国。 考虑到本 LPPD 几乎是 GDPR 的直接翻译,因此可以合理地假设向一个或多个适用 GDPR 的国家/地区的所有跨境数据传输都将受到该条款的保护,因此将获得豁免从明确的同意要求。
不幸的是,这种情况并非如此。 这里的问题来自同一条第 3 条第 9 款,该款规定 DPB 应确定并宣布提供足够保护水平的国家。 DPB 尚未公布此类清单,这意味着第 9/2/a 条规定的豁免尚不适用于任何跨境数据传输,包括适用 GDPR 的国家/地区。
亚马逊土耳其关于跨境数据传输的决定摘要
针对亚马逊土耳其的投诉
如本文开头所述,在亚马逊土耳其用户就非法数据处理和传输提出投诉后,数据保护委员会因向其海外关联公司非法跨境传输数据以及非遵守数据保护和电子商务法律。 本合规文件中陈述的主要主张之一是亚马逊土耳其公司包含“我们可能会将您的个人数据传输到欧盟和美国,以便在本隐私声明中规定的目的范围内存储和处理您的个人信息”,根据投诉,这违反了 LPPD 中规定的义务,因为亚马逊土耳其没有获得数据所有者的明确同意进行此类国际传输,而只是通知其可以将数据传输到海外。
DPB 的亚马逊土耳其关于跨境数据传输的决定
投诉后,DPB 对亚马逊土耳其公司展开调查,并确定它实际上并未获得数据所有者的明确同意进行跨境数据传输,而是为数据所有者提供了选择退出或选择的选项不与第三方共享他们的数据。 这种选择退出机制被认为违反了 LPPD,因为法律明确要求数据所有者明确同意跨境数据传输,因此要求数据所有者明确“选择加入”此类传输,而不是而不是假设数据所有者默认选择加入,然后为他们提供选择退出选项。
由于亚马逊土耳其没有事先获得数据所有者的明确同意,亚马逊土耳其在土耳其合法进行跨境数据传输的唯一选择是声称此类传输属于第 9/2 条规定的豁免范围LPPD。
但是,如上所述,此类豁免仅适用于跨境数据传输,前提是在数据传输的外国提供了足够的保护,并且 DPB 有权根据第 9 条确定具有足够保护水平的国家/3。 这里的问题是,如上所述,DPB 尚未发布这样的豁免国家名单,并且由于该名单尚未提供,因此为有足够保护的国家提供的豁免尚未适用于任何国家,包括欧盟GDPR 适用的国家。
由于亚马逊土耳其无法从这种“充分保护”豁免中受益,因此留下了第 9/3 条规定的最终豁免,如果外国数据控制者在土耳其和相关外国以书面形式向 DPB 提供保函,董事会批准此类转让。 需要注意的是,亚马逊实际上确实向董事会提交了担保,以便从这种豁免中受益。
然而,在本次投诉和作出决定时,亚马逊的担保函和豁免申请仍在 DPB 待审,等待董事会的最终决定和批准。 第 9/3 条明确规定,此豁免仅适用于提供担保函的情况 AND DPB 批准传输,由于 DPB 从未批准亚马逊土耳其的豁免申请,DPB 认为亚马逊土耳其执行的此类跨境数据传输违反了 LPPD 的规定。
前进:亚马逊土耳其决定对跨境数据传输的影响
对亚马逊土耳其处以罚款的决定是 DPB 极具争议的决定。 之所以引起争议,是因为亚马逊土耳其公司正在将个人数据传输到欧盟国家,这些国家应该被视为受到足够保护的国家,因为这些国家也在 GDPR 的监管之下,而且亚马逊土耳其公司已经向董事会提供了必要的保证函受益于第 9/3 条规定的第二项豁免。
尽管我们了解反对该决定的论据来自何处,但我们也认为法律对豁免非常明确和透明。 LPPD 条款明确规定,只有在数据传输的国家/地区具有足够的保护水平(由委员会确定)或在没有足够保护的情况下,才适用于跨境数据传输的豁免已提供且转让已获董事会批准。
由于豁免国家名单尚未由委员会公布,因此受益于跨境数据传输豁免的唯一方法是向委员会提交担保函,并等待委员会批准转移。 尽管亚马逊确实提供了担保函,但他们并没有等待申请得到处理和董事会的批准,而是在没有获得数据所有者明确同意的情况下继续进行跨境数据传输。
在这方面,DPB 的立场非常明确; 如果数据控制者想要在没有获得明确同意的情况下进行跨境数据传输,他们应该等待豁免国家名单公布,或者提交担保函并等待董事会批准。 否则,LPPD 要求所有数据控制者在进行跨境数据传输之前获得数据所有者的明确同意。