Заголовок блога (один заголовок)

Это отдельная подпись к записи в блоге

Передача персональных данных за границу: условия и новые правила в соответствии с Законом о защите персональных данных (KVKK)

Вход

Передача персональных данных за границу является одной из наиболее важных и рискованных областей процесса соблюдения GDPR для компаний. Сегодня значительное число компаний обрабатывает данные через почтовые сервисы, облачные хранилища, CRM-системы, платформы управления персоналом, бухгалтерские программы, системы колл-центров, рекламные и аналитические инструменты, технологии cookie, платежные инфраструктуры и глобальных поставщиков программного обеспечения. Некоторые из этих услуг предоставляются компаниями, расположенными за пределами Турции, или персональные данные размещаются на серверах за рубежом. Поэтому многие компании могут неосознанно передавать персональные данные за границу.

Например, хранение компанией данных о клиентах в зарубежной CRM-системе, хранение информации о сотрудниках в глобальном программном обеспечении для управления персоналом, использование рекламных файлов cookie сторонних компаний на своем веб-сайте, передача списков электронных адресов клиентов на зарубежную платформу email-маркетинга или хранение данных на облачных серверах за рубежом — все это может считаться передачей данных за границу в соответствии с турецким Законом о защите персональных данных (KVKK). Передача не обязательно должна осуществляться в форме ручной отправки файлов; удаленный доступ, облачные системы, API-соединения, технология файлов cookie или доступ к системе со стороны иностранного поставщика услуг также могут считаться передачей данных в зависимости от конкретных обстоятельств.

В 2024 году были внесены существенные изменения в порядок передачи персональных данных за границу. Закон № 7499 внес поправки в статью 9 Закона № 6698 о защите персональных данных (KVKK), и новые правила вступили в силу 1 июня 2024 года. Если старая система в значительной степени основывалась на явном согласии или механизме обязательств, утвержденном советом директоров, то новая система предусматривает многоуровневую структуру, включающую решения о достаточности защиты, соответствующие гарантии, стандартные договоры, обязательные правила компании и исключительные случаи передачи данных. Управление KVKK также описывает новый режим как многоуровневую систему передачи данных, охватывающую решения о достаточности защиты, соответствующие гарантии и исключительные случаи.

Что такое передача данных за границу?

Передача данных за границу подразумевает передачу персональных данных, обрабатываемых в Турции или принадлежащих субъектам данных, находящимся в Турции, получателю, серверу, поставщику услуг, аффилированному лицу, деловому партнеру или третьей стороне за границу. Важным моментом здесь является не только физическая отправка данных за границу. Доступ к данным из-за границы, хранение данных на сервере за границей, доступ к данным со стороны иностранного поставщика программного обеспечения в целях технической поддержки или передача данных рекламным/аналитическим компаниям за границей через файлы cookie третьих лиц также могут вызывать вопросы о передаче данных за границу.

Персональные данные могут включать имя, фамилию, номер телефона, адрес электронной почты, IP-адрес, информацию о транзакциях клиентов, персональные данные сотрудников, данные о состоянии здоровья, платежную информацию, данные о местоположении, видеозаписи с камер, данные файлов cookie или данные о поведении пользователя. При передаче любых из этих данных получателю за пределами Турции или хранении в системах за рубежом необходимо учитывать положения Закона Турции о защите персональных данных (KVKK) в отношении передачи данных за границу.

К наиболее распространенным примерам передачи данных за границу на практике относятся: Google, Microsoft, Amazon, Meta, HubSpot, Salesforce, Mailchimp, Zoom, Slack, Shopify, глобальное программное обеспечение для управления персоналом, облачные системы бухгалтерского учета, услуги зарубежных центров обработки данных, пиксельные коды для рекламы, плагины для социальных сетей и зарубежные инфраструктуры колл-центров. Для каждой услуги в первую очередь следует задать следующий вопрос: передаются ли персональные данные получателю за границу, или же доступ к этим данным может получить лицо или система за границей? Если ответ положительный, необходимо провести отдельную юридическую оценку в соответствии со статьей 9 Закона о защите персональных данных (KVKK).

Новая система после поправок 2024 года

Статья 9 Закона о защите персональных данных (ЗЗОД), регулирующая передачу данных за границу, была изменена Законом № 7499. Согласно публичному заявлению ЗЗОД, поправки вступили в силу 1 июня 2024 года; однако существующий первый абзац старой статьи 9 продолжал применяться до 1 сентября 2024 года вместе с новым положением. Этот переходный период был предусмотрен для того, чтобы позволить операторам и обработчикам данных адаптироваться к новой системе передачи данных.

В соответствии с новой системой, для передачи данных за границу необходимо предварительно выполнить одно из условий обработки персональных данных, предусмотренных статьями 5 или 6 Закона. Иными словами, для передачи персональных данных за границу их обработка должна быть законной. Данные, собранные или обработанные незаконно, не могут считаться законно переданными за границу только потому, что был подписан стандартный договор.

Новое положение устанавливает трехэтапную структуру. На первом этапе проверяется наличие решения о достаточности защиты данных в отношении страны, сектора внутри страны или международной организации, в которую будут передаваться данные. Если решения о достаточности защиты данных нет, должна быть обеспечена одна из соответствующих гарантий, перечисленных в Законе. Если нет ни решения о достаточности защиты данных, ни соответствующих гарантий, передача может осуществляться только в исключительных случаях и только при наличии одного из ограниченного числа исключительных обстоятельств, перечисленных в Законе. Управление по защите персональных данных также прямо указывает на эту трехэтапную структуру.

Эта система внедрила модель, более близкую к подходу, предусмотренному Общим регламентом защиты данных Европейского союза (GDPR). В частности, стандартные договоры и обязательные корпоративные правила позволяют компаниям создавать более эффективные механизмы в процессах международной передачи данных. Однако использование этих инструментов не отменяет других обязательств компаний в рамках GDPR. Такие вопросы, как информирование общественности, безопасность данных, минимизация данных, срок хранения, необходимость явного согласия и права субъектов данных, должны рассматриваться отдельно.

Этап первый: Решение о соответствии критериям

В соответствии со статьей 9 нового Закона о защите персональных данных (KVKK) наиболее безопасным методом передачи данных является наличие решения Совета о целесообразности передачи данных в отношении страны, сектора внутри страны или международной организации, в которую будут переданы данные. Согласно новой системе, персональные данные могут передаваться за границу, если выполняется одно из условий обработки данных, указанных в статье 5 или статье 6 KVKK, и имеется решение о целесообразности передачи данных в отношении страны, сектора или международной организации, в которую будут переданы данные. Управление KVKK поясняет, что в соответствии с новым положением решение о целесообразности может быть вынесено не только в отношении всей страны, но и в отношении отдельных секторов или международных организаций.

Решение о достаточности означает, что Совет признает, что соответствующая страна или организация предоставляет достаточные гарантии в отношении защиты персональных данных. При проведении этой оценки Совет может учитывать такие факторы, как взаимность, законодательство соответствующей страны о защите персональных данных, наличие независимых органов аудита, участие в международных соглашениях, эффективные средства правовой защиты и аналогичные вопросы.

Однако на практике есть важный момент: на странице Управления по защите персональных данных (KVKK), посвященной передаче данных за границу, указано, что Управление еще не приняло решения относительно стран, где обеспечивается адекватная защита. Поэтому на практике подавляющее большинство компаний в настоящее время не могут передавать данные, основываясь исключительно на решении об адекватности защиты. В этом случае вступает в действие второй этап — обеспечение надлежащих гарантий.

Второй этап: Соответствующие гарантии

В случае отсутствия решения о достаточности защиты персональных данных, для передачи персональных данных за границу должна быть предусмотрена одна из соответствующих гарантий, перечисленных в Законе. Однако одних только соответствующих гарантий недостаточно. Также должно быть выполнено одно из условий обработки, изложенных в статьях 5 или 6 Закона, и субъект данных должен иметь возможность реализовать свои права и получить доступ к эффективным средствам правовой защиты в стране передачи. Управление по защите персональных данных (KVKK) заявляет, что в случаях отсутствия решения о достаточности защиты персональных данных передача данных возможна при наличии одной из соответствующих гарантий.

Надлежащие меры защиты можно разделить на четыре основные категории. Во-первых, наличие соглашения, не имеющего характера международного контракта, между государственными учреждениями или организациями за рубежом, или международными организациями и государственными учреждениями или профессиональными организациями со статусом государственных учреждений в Турции, и одобрение Совета директоров. Во-вторых, обязательные правила компании, утвержденные Советом директоров для компаний, входящих в одну группу предприятий. В-третьих, подписание стандартных договоров, объявленных Советом директоров, и уведомление Управления. В-четвертых, письменное обязательство, содержащее положения, обеспечивающие надлежащую защиту, и одобрение Совета директоров. Управление по защите персональных данных отдельно разъясняет эти надлежащие методы защиты на своей странице, посвященной международной передаче данных.

На практике наиболее важными методами для компаний частного сектора являются стандартные договоры и обязательные корпоративные правила. Хотя обязательные корпоративные правила могут быть более подходящими для многонациональных корпоративных групп, стандартные договоры выделяются как более практичный метод в отношениях с отдельными поставщиками услуг.

Стандартные контракты

Стандартные договоры являются одним из важнейших инструментов новой системы передачи персональных данных за границу. Согласно заявлению Управления по защите персональных данных (КВКК), стандартные договоры и обязательные правила компании предусмотрены в качестве надлежащих методов обеспечения достоверности данных, к которым могут прибегать контролеры и обработчики данных в рамках поправки к Закону № 7499; а документы, касающиеся стандартных текстов договоров и обязательных правил компании, были приняты решением Совета от 04.06.2024 за номером 2024/959.

Существенным преимуществом стандартных соглашений о передаче данных является то, что они позволяют передавать данные за границу без необходимости получения дополнительного разрешения от Совета. Однако эти соглашения должны быть подписаны в соответствии с текстами, опубликованными Советом. Стандартное соглашение — это не просто общее соглашение о передаче данных; оно должно включать такие элементы, как категории данных, цели передачи, получатели и группы получателей, технические и административные меры, которые должны быть приняты получателем данных, а также дополнительные меры для особых категорий персональных данных. Управление по защите персональных данных (KVKK) заявляет, что стандартные соглашения содержат эти элементы и что их подписание позволяет передавать данные без необходимости получения дополнительного разрешения.

Совет опубликовал четыре различных стандартных типа договоров: передача данных между контролерами данных, передача данных между контролерами данных и обработчиками данных, передача данных между обработчиками данных и передача данных между обработчиками данных и контролерами данных. Эти четыре модели перечислены отдельно на странице стандартных договоров на веб-сайте KVKK (Управление по защите персональных данных). Это различие чрезвычайно важно, поскольку выбор неправильного типа договора может ослабить юридическую обоснованность механизма передачи.

Например, если компания электронной коммерции в Турции передает данные клиентов зарубежному поставщику облачных услуг, то, как правило, может применяться модель передачи данных от контролера данных к обработчику данных. И наоборот, если группа компаний в Турции делится данными клиентов с другой группой компаний за рубежом для собственных целей, это может рассматриваться как передача данных от контролера данных к обработчику данных. В каждом конкретном случае необходимо отдельно анализировать, являются ли стороны контролерами данных или обработчиками данных.

Еще один важный момент, касающийся стандартных договоров, — это обязанность уведомления. Статья 9, пункт 5 Закона предусматривает, что уведомление о стандартных договорах должно быть направлено в Управление в течение пяти рабочих дней с момента их подписания. Управление по защите персональных данных (KVKK) также объявило, что уведомление о стандартных договорах может быть направлено в печатном виде, заказным электронным письмом (KEP) или другими способами, определенными Советом; и что уведомление через Модуль уведомления о стандартных договорах теперь возможно в соответствии с решением от 17 октября 2024 года под номером 2024/1793.

Следовательно, простого подписания стандартного договора недостаточно. Необходимо выбрать правильный тип договора, его приложения должны отражать фактическую передачу данных, он должен быть должным образом подписан обеими сторонами, о нем необходимо уведомить Управление в течение пяти рабочих дней, а фактическая передача должна осуществляться в соответствии с договором.

Обязывающие корпоративные правила

Для многонациональных корпоративных групп особенно важны обязательные корпоративные правила. При регулярном и непрерывном обмене данными между компаниями внутри одной группы использование отдельных стандартных договоров для каждого обмена может быть нецелесообразным. В таких случаях внутри группы могут быть установлены обязательные, подлежащие аудиту и утвержденные советом директоров правила защиты персональных данных.

Управление по защите персональных данных (КВКК) заявляет, что при наличии обязательных корпоративных правил, утвержденных Советом директоров, между компаниями, входящими в одну бизнес-группу, и при соблюдении одного из условий обработки, указанных в статьях 5 и 6 Закона, внутригрупповая передача данных может осуществляться без получения дополнительного разрешения от Совета директоров.

Обязательные корпоративные правила — это не просто политика на бумаге. Необходимо создать систему, применимую ко всем компаниям группы, защищающую права заинтересованных сторон, включающую меры по обеспечению безопасности данных, механизмы аудита и контроля, а также предлагающую эффективные пути защиты прав. Поэтому обязательные корпоративные правила являются особенно подходящим инструментом для многонациональных компаний с сильной корпоративной структурой.

Письменное обязательство и одобрение совета директоров

Еще одним подходящим методом обеспечения безопасности передачи данных за границу является письменное обязательство, содержащее положения, гарантирующие надлежащую защиту, а также разрешение Совета директоров. Этот метод был известен и в старой системе. Хотя его значение на практике несколько снизилось с введением стандартных контрактов в новой системе, он все еще может использоваться в некоторых особых случаях.

Управление по защите персональных данных (KVKK) заявляет, что стороны, которые не могут передавать данные, используя стандартное обязательство, в силу отраслевых или региональных требований, могут сделать это, если представят в Управление на утверждение обязательство, содержащее гарантии защиты персональных данных.

Этот метод отличается от стандартного контракта. Стандартный контракт не требует одобрения Совета директоров; однако необходимо уведомить уполномоченный орган. Письменное обязательство, напротив, требует одобрения Совета директоров. Поэтому, хотя стандартный контракт часто является быстрым и практичным методом для компаний, метод с обязательством может быть рассмотрен для структур передачи, имеющих особый характер или не соответствующих стандартному контракту.

Случайные и исключительные случаи перевода

В соответствии с новой системой, если нет решения о достаточности защиты данных и не может быть предоставлено надлежащее обеспечение, передача данных за границу возможна только в исключительных случаях и только при наличии одного из ограниченного числа исключительных обстоятельств, перечисленных в Законе. Управление по защите персональных данных заявляет, что эти исключения применяются к нерегулярной, прерывистой и нечастой передаче данных; и что, поскольку право на защиту персональных данных является основополагающим правом, исключительные обстоятельства следует толковать узко.

К таким исключительным обстоятельствам относятся: предоставление субъектом данных явного согласия при условии, что он проинформирован о потенциальных рисках; необходимость передачи данных для исполнения договора между субъектом данных и контроллером данных; необходимость передачи данных для исполнения договора между контроллером данных и третьей стороной в интересах субъекта данных; преобладающий общественный интерес; установление или защита права; защита жизни или физической неприкосновенности лица, которое не может дать согласие в силу фактической невозможности; и передача данных из общедоступных реестров при соблюдении определенных условий. Управление по защите персональных данных перечисляет эти обстоятельства в ограниченном объеме.

Наиболее распространенная ошибка здесь — использование исключительных случаев передачи данных в качестве основы для непрерывной и регулярной передачи данных. Например, компания, непрерывно передающая все данные о своих клиентах в зарубежную CRM-систему, не может быть легко признана компанией, осуществляющей исключительную передачу данных, на основании «необходимо для выполнения договора» или «мы получили явное согласие». Исключительная передача данных — это механизм, который следует использовать только в редких, единичных и необходимых случаях. Если используется система непрерывной передачи данных, облачная система, система маркетинга или управления персоналом, необходимо создать соответствующий механизм обеспечения безопасности.

Достаточно ли явного согласия?

В старой системе передача данных за границу в основном осуществлялась с явного согласия. Однако в новой системе явное согласие не является основным и общепринятым решением для передачи данных за границу. Явное согласие регулируется как один из случаев сопутствующей передачи данных. Поэтому компании, полагающиеся исключительно на явное согласие для непрерывных процессов передачи данных, могут представлять серьезный риск в новой системе.

Для того чтобы явное согласие было действительным, субъект данных должен быть проинформирован о потенциальных рисках, согласие должно касаться конкретной деятельности по передаче данных и должно быть дано добровольно. Общие и расплывчатые формулировки согласия, такие как «Я даю согласие на передачу моих персональных данных за границу», могут быть недостаточными. Субъект данных должен быть четко проинформирован о том, какие данные передаются, в какую страну, какому получателю, с какой целью и о рисках передачи.

Кроме того, явное согласие всегда может быть отозвано. Если основная инфраструктура непрерывного сервиса зависит от международных переводов, необходимо разработать отдельный план, гарантирующий продолжение работы сервиса в случае отзыва явного согласия. Поэтому компаниям следует рассмотреть возможность использования стандартных контрактов, обязательных корпоративных правил или других соответствующих механизмов защиты вместо явного согласия, особенно при регулярных и систематических переводах.

Как следует оформлять информацию о международных переводах в Уведомлении о конфиденциальности?

Компании, передающие данные за границу, должны четко указывать это в своих уведомлениях о защите данных. Общего заявления типа «ваши персональные данные могут передаваться внутри страны и за рубеж» недостаточно. В уведомлении должно быть указано, какие категории данных могут передаваться, для каких целей, каким группам получателей и на каких законных основаниях.

Например, если компания, занимающаяся электронной коммерцией, передает контактную информацию клиентов на зарубежную платформу email-маркетинга, необходимо указать цель маркетинга, группу получателей, правовое основание и механизм передачи. Если компания хранит данные сотрудников в глобальной системе управления персоналом, в уведомлении о данных сотрудников необходимо объяснить международную связь этой системы, цель передачи и правовое основание.

Не следует путать термины «информационное уведомление» и «явное согласие». Информационное уведомление — это обязанность информировать; явное согласие — это заявление о намерениях в отношении конкретной деятельности по обработке данных. Если международная передача данных осуществляется на основании стандартного договора, правовое основание для этой передачи должно быть разъяснено в информационном уведомлении; кроме того, не следует получать ненужное явное согласие, чтобы избежать путаницы в отношении правового основания.

Наиболее распространенные риски, с которыми сталкиваются компании на практике

Наиболее распространенная ошибка, которую допускают компании при передаче данных за границу, заключается в неспособности проанализировать, действительно ли используемое ими программное обеспечение и сервисы генерируют передачу данных. Многие компании работают, исходя из предположения, что «данные остаются с нами», но они не знают, что передают данные за границу через свои облачные сервисы, CRM-системы, электронную почту, рекламные системы, аналитические системы или системы управления персоналом.

Вторая ошибка заключается в том, чтобы полагаться на общую политику конфиденциальности, предлагаемую иностранным поставщиком услуг. Тот факт, что собственный договор поставщика услуг включает положения о защите данных, не означает автоматически, что контролер данных в Турции выполняет свои обязательства в соответствии со статьей 9 Закона о защите персональных данных (KVKK). Контролер данных в Турции также должен создать механизм передачи данных, соответствующий требованиям KVKK.

Третья ошибка — заполнение приложений к типовому договору пустыми полями или общими формулировками. В приложениях к типовому договору должны быть точно указаны категории данных, группы данных, цели передачи, получатели, сроки хранения, меры безопасности и дополнительные меры предосторожности при наличии данных особых категорий. Расхождение между договором и фактической передачей ослабляет защитный эффект договора.

Четвертая ошибка заключается в отсутствии пятидневного срока уведомления. Уведомление в Управление необходимо после подписания стандартного договора. Несвоевременное и неправильное уведомление может повлечь за собой административные санкции. Управление по защите персональных данных (KVKK) объявило, что стандартные договоры должны быть уведомлены в Управление в течение пяти рабочих дней после их подписания, и что уведомление может быть отправлено через модуль уведомления о стандартных договорах.

Пятая ошибка — игнорирование передачи данных, осуществляемой с помощью файлов cookie и рекламных технологий. Используемые на веб-сайтах аналитические и рекламные файлы cookie третьих сторон могут приводить к передаче пользовательских данных на зарубежные платформы. Поэтому политика использования файлов cookie, панель согласия и анализ передачи данных за границу должны проводиться одновременно.

Шестая ошибка — это пренебрежение дополнительными мерами безопасности при передаче конфиденциальных персональных данных за границу. Если передаются такие конфиденциальные данные, как медицинские данные, биометрические данные, информация о судимости или членстве в профсоюзе, одного лишь общего механизма передачи недостаточно; необходимо также принимать дополнительные меры безопасности в отношении конфиденциальных данных.

Как следует составить опись перемещений за границу?

Для обеспечения соответствия Закону Турции о защите персональных данных (KVKK) в отношении международных передач данных компаниям необходимо сначала подготовить реестр передаваемых данных. Этот реестр должен указывать, какие персональные данные передаются за границу, группы субъектов данных, цели передачи, получателей, страну получателя, используемую систему или поставщика услуг, частоту передач, правовое основание и механизм передачи.

Например, отдел кадров может передавать данные сотрудников на зарубежную HR-платформу. Отдел маркетинга может хранить адреса электронной почты клиентов в иностранной системе email-маркетинга. IT-отдел может хранить резервные копии на зарубежных облачных серверах. Веб-сайт может использовать сторонние рекламные и аналитические файлы cookie. Юридический или финансовый отдел может обмениваться данными с компаниями группы. Все эти процессы необходимо идентифицировать отдельно.

При составлении инвентаризации недостаточно просто изучить контракты. Необходимо также проанализировать фактическую техническую логику. Где расположены серверы? Из какой страны служба поддержки получает доступ к сайту? Какие API передают данные? Каким третьим сторонам передаются данные через cookie-файлы? Кто является субподрядчиками используемого программного обеспечения? Без четких ответов на эти вопросы невозможно обеспечить надежную совместимость международной передачи данных.

Процедура, которой следует придерживаться на практике

В итоге, процедура, которую должна соблюдать компания при передаче данных за границу, должна быть следующей:

Во-первых, необходимо оценить, были ли обрабатываемые персональные данные получены законным путем и соблюдены ли какие-либо условия обработки, предусмотренные в статье 5 или статье 6 Закона о защите персональных данных (ЗЗПД). Механизм передачи данных за границу не может быть создан на основе незаконной обработки данных.

Во-вторых, необходимо определить, действительно ли передача данных является международной. Даже если поставщик услуг, по-видимому, находится в Турции, серверы, субподрядчики или точки доступа могут располагаться за границей.

В-третьих, следует проверить, существует ли решение о достаточности защиты в отношении страны или организации, в которую будет осуществлена ​​передача. Поскольку Совет в настоящее время не определил, какие страны обеспечивают адекватную защиту, в большинстве случаев потребуется прибегнуть к соответствующим механизмам защиты.

В-четвертых, следует выбрать соответствующий метод обеспечения гарантий. Можно рассмотреть стандартные договоры для отношений с отдельными поставщиками услуг; обязательные правила компании для внутригрупповых переводов; соглашение и одобрение Совета директоров для сотрудничества между государственными учреждениями; а в особых случаях может быть рассмотрено письмо-обязательство и одобрение Совета директоров.

В-пятых, информационные тексты и, при необходимости, тексты, содержащие явное согласие, должны быть обновлены. Субъект данных должен иметь возможность четко и понятно понимать, что его персональные данные могут быть переданы за границу.

В-шестых, необходимо принять технические и административные меры. Шифрование, контроль доступа, ведение журналов, минимизация данных, договорные проверки, контроль со стороны нижестоящих операторов, процедуры сообщения о нарушениях и политика хранения и уничтожения данных должны быть частью процесса передачи.

В-седьмых, если используется стандартный договор, уведомление в адрес учреждения должно быть направлено в течение пяти рабочих дней. Процедуру уведомления не следует игнорировать, а документацию необходимо регулярно хранить.

Передача данных за границу и риск административных штрафов

Несоблюдение правил, касающихся передачи данных за границу, влечет за собой риск применения административных санкций к компаниям. В частности, невыполнение стандартных договорных обязательств по уведомлению, непринятие мер по обеспечению безопасности данных, неполное выполнение обязательства по информированию или незаконная передача данных могут стать предметом рассмотрения Совета.

Кроме того, пострадавшие лица могут потребовать компенсацию за материальный или моральный ущерб. Например, незаконная передача медицинских данных поставщику услуг за границу, несанкционированная отправка данных клиентов в сторонние рекламные сети или хранение данных сотрудников в глобальных системах без необходимых правовых механизмов могут привести не только к административным штрафам, но и к ущербу репутации и риску предъявления исков о компенсации.

Поэтому компаниям не следует рассматривать передачу данных за границу исключительно как вопрос контрактов или технической инфраструктуры. Этот вопрос следует рассматривать в совокупности с инвентаризацией данных, раскрытием информации, явным согласием, управлением контрактами, информационной безопасностью, управлением файлами cookie, процессами управления персоналом и потоками данных между компаниями группы.

Заключение

Передача персональных данных за границу является одной из наиболее технически сложных и тщательно регулируемых областей процесса соблюдения GDPR. Новая система, предусмотренная статьей 9 GDPR и измененная Законом № 7499, устанавливает поэтапную модель для международной передачи данных. Соответственно, сначала должно быть выполнено одно из условий обработки данных, указанных в статье 5 или статье 6 GDPR; затем передача должна осуществляться в рамках решения о достаточности, надлежащей гарантии или случайном исключении. Новый регламент вступил в силу 1 июня 2024 года, а переходный период продолжался до 1 сентября 2024 года.

На сегодняшний день, поскольку Совет еще не определил, какие страны обеспечивают адекватную защиту, на практике широко используются соответствующие механизмы защиты, такие как стандартные контракты, обязательные правила для компаний, обязательства и одобрение Совета. Стандартные контракты, в частности, служат практичным средством передачи данных для компаний; однако крайне важно выбрать правильный тип контракта, убедиться, что приложения отражают фактический поток данных, и уведомить Управление в течение пяти рабочих дней после подписания.

Наиболее распространенная ошибка компаний заключается в неспособности проанализировать, приводят ли используемые ими облачные сервисы, CRM-системы, электронная почта, рекламные сервисы, аналитические сервисы, системы управления персоналом и программное обеспечение к передаче данных за границу. Однако в настоящее время передача данных за границу часто осуществляется через невидимые технические инфраструктуры. Поэтому каждой компании необходимо составить перечень международных передач данных, проверить используемых поставщиков услуг, обновить заявления о защите данных, установить соответствующие механизмы безопасности и внедрить технические и административные меры.

В заключение, передача данных за границу в соответствии с Законом Турции о защите персональных данных (KVKK) — это не просто подписание договора. Этот процесс требует всестороннего анализа деятельности компании по обработке данных, точного определения правового основания, выбора механизма передачи, информирования соответствующих сторон, внедрения мер безопасности и документирования всего процесса. Правильно организованный процесс международной передачи данных защищает компанию от административных штрафов и рисков, связанных с компенсациями, одновременно обеспечивая надежный и прозрачный подход к управлению данными для клиентов, сотрудников и деловых партнеров.

Оставить комментарий

Кнопка «Позвонить сейчас»