الخدمات السحابية في تركيا وقانون KVKK: الالتزامات القانونية

باتت الخدمات السحابية ركيزةً أساسية في عمل كثير من الشركات العاملة في تركيا، سواء أكان الأمر يتعلق بتخزين البيانات على خوادم بعيدة، أم بأدوات SaaS، أم بخدمات البنية التحتية. غير أن ما يغفل عنه كثيرون هو أن توجيه البيانات الشخصية عبر مزود سحابي يُفعِّل تلقائياً أحكام قانون حماية البيانات الشخصية التركي (KVKK)، مولِّداً التزامات قانونية ملزمة على الطرفين. وقد أكد مجلس الدولة التركي (Danıştay) في قرارات صدرت بين عامَي 2023 و2025 أن مسؤولية المتحكم بالبيانات تظل قائمة بالكامل حتى حين يعهد بالمعالجة الفعلية إلى مزود خارجي.

كيف يُحدِّد القانون دور المزود السحابي؟

يرسم قانون KVKK حدوداً واضحة بين طرفين رئيسيين. المتحكم بالبيانات (veri sorumlusu) هو الجهة التي تحدد أغراض معالجة البيانات الشخصية ووسائلها، وهي في الغالب الشركة المشتركة في الخدمة السحابية. معالج البيانات (veri işleyen) هو أي شخص طبيعي أو اعتباري يعالج البيانات بتفويض من المتحكم ونيابةً عنه، وفقاً للمادة الثالثة من القانون.

يندرج المزود السحابي تحديداً ضمن هذا التعريف: سواء خزّنتم بيانات العملاء على خادم بعيد، أو أدرتم الرواتب عبر منصة SaaS، أو شغّلتم نظام إدارة علاقات العملاء في السحابة، فإن المزود يعالج بياناتكم الشخصية نيابةً عنكم. هذا التصنيف يُطلق مباشرةً أحكام المادة الثانية عشرة من القانون.

المسؤولية المشتركة: لا يمكنكم نقل المسؤولية بالكامل

هذه القاعدة هي الأكثر إثارةً للدهشة. تنص المادة 12(2) من قانون KVKK صراحةً على أنه حين يستعين المتحكم بالبيانات بطرف آخر لمعالجة بياناته، يكون الطرفان مسؤولَين بالتضامن عن اتخاذ جميع التدابير التقنية والإدارية اللازمة لحماية البيانات.

عملياً، يعني ذلك أنه إذا تعرّض مزودكم السحابي لاختراق أو قصّر في تطبيق إجراءات الحماية، فقد تتحمل شركتكم المسؤولية حتى لو كان الإخفاق من جانب المزود وحده. إدراج بند في عقد الخدمة يُحمِّل المزود المسؤولية الكاملة عن الأمن لا يُعفيكم من هذه المسؤولية، إذ يُرسي القانون التضامن بصرف النظر عن الاتفاقيات التعاقدية.

ما الذي يجب أن يتضمنه عقد معالجة البيانات؟

قبل إرسال أي بيانات شخصية إلى مزود سحابي، يجب إبرام اتفاقية معالجة بيانات مكتوبة. لا يفرض القانون نموذجاً معياراً، غير أن المسؤولية المشتركة بموجب المادة 12(2) وتوجيهات مجلس KVKK تستلزم أن تتضمن الاتفاقية على أدنى تقدير ما يلي:

• نطاق المعالجة والغرض منها
• التدابير التقنية والإدارية التي يتعهد المزود بتطبيقها
• حق المتحكم في إجراء عمليات تدقيق أو تكليف جهات بإجرائها (المادة 12(3))
• حظر استخدام البيانات لأغراض تتجاوز النطاق المتفق عليه (المادة 12(4))
• التزام المزود بإخطار المتحكم فور وقوع أي خرق، تمكيناً له من الوفاء بالتزام الإخطار المنصوص عليه في المادة 12(5)

تُلزم المادة 12(4) المزودَ أيضاً بشكل مستقل: يحق لمعالج البيانات استخدام البيانات الشخصية في حدود تعليمات المتحكم فقط، ويستمر هذا الالتزام حتى بعد انتهاء العلاقة التعاقدية.

الخوادم خارج تركيا: قواعد النقل العابر للحدود

تحتفظ كثير من كبرى المنصات السحابية بالبيانات في مراكز بيانات خارج تركيا. في هذه الحالة، تُعدّ العملية نقلاً للبيانات الشخصية إلى خارج البلاد بموجب المادة التاسعة من القانون، ما يستوجب استيفاء شروط إضافية.

أرست التعديلات التي أُجريت على قانون KVKK عام 2024 إطاراً مُحدَّثاً لعمليات النقل. يُسمح بالنقل إذا وفّرت الدولة المُستقبِلة مستوى حماية كافياً وفق تقدير مجلس KVKK، وإلا فيشترط توافر بنود تعاقدية نموذجية أو في حالات محددة الحصول على موافقة صريحة من أصحاب البيانات. ينبغي للشركات التي تعتمد على بنية تحتية سحابية أجنبية تحديد الأساس القانوني المنطبق قبل البدء في نقل البيانات.

للاطلاع على تفاصيل قواعد النقل، راجعوا مقالنا حول نقل البيانات الشخصية عبر الحدود للشركات الأجنبية في تركيا.

التسجيل في VERBİS والبيانات المخزّنة سحابياً

يتعين على الشركات التي تعالج بيانات شخصية — بما فيها عبر الخدمات السحابية — وليست مشمولة بالاستثناءات التي حددها مجلس KVKK، التسجيل في نظام VERBİS (Veri Sorumluları Sicil Bilgi Sistemi)، سجل المتحكمين بالبيانات في تركيا. يجب أن يُوثّق هذا التسجيل بدقة جميع أنشطة المعالجة وفئات البيانات وعمليات النقل، شاملةً التخزين السحابي. قد تُعرّض البيانات الناقصة أو غير الدقيقة شركتَكم لإجراءات جزائية مستقلة.

تفاصيل أوفى في مقالنا حول التزامات التسجيل في VERBİS بتركيا.

الإخطار بالخروقات حين يكون المزود طرفاً في الحادثة

إذا وقعت الحادثة الأمنية على بنية تحتية المزود السحابي، فإن التزام الإخطار بموجب المادة 12(5) يقع على عاتقكم أنتم بوصفكم المتحكم بالبيانات، لا على المزود. يجب إبلاغ أصحاب البيانات المتضررين ومجلس KVKK في أقرب وقت ممكن بعد اكتشاف الخرق. ويحق للمجلس كذلك الإعلان عن الحادثة على موقعه الإلكتروني.

لهذا السبب تحديداً، يستلزم عقدكم مع المزود تضمين التزام فوري بإخطاركم؛ فغياب هذه الجسر التعاقدي قد يُفوّت عليكم مهلة الإخطار. للاطلاع على إجراءات مفصلة، راجعوا مقالنا حول الإخطار بخروقات البيانات بموجب KVKK.

الأسئلة الشائعة

س: هل يمكننا استخدام أي مزود سحابي لمعالجة البيانات الشخصية التركية؟

نعم، شريطة أن يقبل المزود شروط معالجة ملائمة، ويطبّق تدابير أمنية كافية، وإذا كانت خوادمه خارج تركيا، فيجب أن يستوفي متطلبات المادة التاسعة من القانون. لا يُشكّل حجم المزود أو سمعته وحده أساساً قانونياً كافياً.

س: هل يتعين على المزود السحابي التسجيل في VERBİS أيضاً؟

ينصبّ التزام التسجيل على المتحكمين بالبيانات دون المعالجين الذين يعملون بموجب تعليمات. غير أنه إذا استخدم المزود بياناتكم لأغراضه الخاصة — كتدريب نماذج الذكاء الاصطناعي مثلاً — فقد يكتسب صفة المتحكم ويلتزم بالتسجيل المستقل.

س: ماذا يحدث إذا تعرّض مزودنا السحابي لاختراق؟

بوصفكم متحكمين بالبيانات، تتحملون المسؤولية المشتركة وتلتزمون بإخطار مجلس KVKK وأصحاب البيانات فور علمكم بالحادثة. قد يُساعدكم التعويض التعاقدي من المزود في تغطية التكاليف، لكنه لا يُلغي مسؤوليتكم التنظيمية.

س: هل يكفي الاتفاق الشفهي أو عبر البريد الإلكتروني مع المزود؟

لا. المسؤولية المشتركة بموجب المادة 12(2) وحقوق التدقيق بموجب المادة 12(3) لا يمكن تطبيقها عملياً دون عقد مكتوب يحدد التزامات كل طرف بوضوح.

كيف يمكن لمكتب Mona Hukuk مساعدتكم

يقدم فريقنا المشورة القانونية للشركات في أنطاليا وفي مختلف أنحاء تركيا، بما فيها الشركات الدولية، في مجالات الامتثال لقانون KVKK، وصياغة عقود معالجة البيانات، وإرساء أطر حوكمة البيانات السحابية. نستعرض عقودكم السحابية الحالية، ونكشف الثغرات، ونعاونكم على بناء البنية القانونية الصحيحة قبل أن يطرق باب التحقيق التنظيمي.

تواصلوا معنا على contact@monahukuk.com أو اتصلوا على +90 (242) 606 14 32 لتحديد موعد استشارة في أنطاليا.