نقل البيانات عبر الحدود بموجب قواعد KVKK الجديدة في تركيا

إذا كانت شركتك تعمل في تركيا وترفع تقاريرها إلى شركة أم أو تابعة في الخارج، فمن شبه المؤكد أنك تنقل بيانات شخصية عبر الحدود يومياً — كشوف الرواتب إلى نظام إدارة الموارد البشرية في ألمانيا، وسجلات العملاء إلى نظام CRM مستضاف في أيرلندا، وتذاكر الدعم إلى مكتب مساعدة عالمي. حتى وقت قريب، كانت معظم عمليات النقل هذه تقوم على أساس قانوني واحد: الموافقة الصريحة لكل صاحب بيانات. تغيّر هذا الوضع عام 2024. أدخل تعديل جوهري على قانون حماية البيانات الشخصية التركي (KVKK / القانون رقم 6698) إطاراً جديداً لإرسال البيانات الشخصية خارج تركيا، مستلهَماً من اللائحة الأوروبية GDPR — لكنه ليس مطابقاً لها. باتت الشركات ذات السيطرة الأجنبية العاملة في تركيا تمتلك عدة مسالك مشروعة لنقل البيانات إلى الخارج، غير أن كل مسلك ينطوي على التزامات توثيقية لم تكن موجودة من قبل.

ما الذي غيّره تعديل 2024 فعلاً

أعاد تعديل 2024 صياغة المادة 9 من قانون KVKK التي تحكم عمليات نقل البيانات عبر الحدود. بموجب القواعد القديمة، لم يكن بمقدورك نقل البيانات الشخصية خارج تركيا إلا بموافقة صريحة من صاحب البيانات، ما لم يكن البلد المستقبِل مدرجاً في "قائمة الدول الآمنة" التي كان من المفترض أن يصدرها مجلس حماية البيانات الشخصية (Kişisel Verileri Koruma Kurulu، "مجلس KVKK"). ونظراً لعدم صدور هذه القائمة قط، لجأت الشركات إلى الموافقة كخيار افتراضي — وهي موافقة يصعب الحصول عليها على نطاق واسع ويمكن سحبها في أي وقت.

يستبدل النظام الجديد هذا الثنائية بهيكل ثلاثي المستويات: قرارات الملاءمة، والضمانات الملائمة، والحالات المحددة. لكل مستوى شروطه وأوراقه وواجبات الإخطار الخاصة به.

المستوى الأول: قرارات الملاءمة

يستطيع مجلس KVKK الآن إصدار قرارات ملاءمة (yeterlilik kararı) تُعلن أن دولة معينة أو قطاعاً أو منظمة دولية توفر مستوى حماية للبيانات مكافئاً لما تقدمه تركيا. إذا كانت الوجهة تقع ضمن نطاق قرار من هذا القبيل، يجوز المضي في النقل دون اشتراطات إضافية، تماماً كعملية معالجة محلية.

من الناحية العملية، تحفّظ المجلس حتى الآن في إصدار قرارات الملاءمة، لذا ستعتمد معظم عمليات النقل على المستوى التالي.

المستوى الثاني: الضمانات الملائمة

إذا لم يكن ثمة قرار ملاءمة سارٍ، يتعين عليك توفير أحد الضمانات التالية قبل نقل البيانات:

• البنود التعاقدية المعيارية المعتمدة من مجلس KVKK، موقَّعة بين المُصدِّر التركي والمستورد الأجنبي. يجب إخطار المجلس بالعقد الموقَّع في غضون خمسة أيام عمل.
• قواعد الشركات الملزمة لعمليات النقل داخل المجموعة متعددة الجنسيات، خاضعة لموافقة المجلس.
• اتفاق دولي بين السلطات العامة (ذات صلة بعمليات النقل بين الدول فحسب).
• تعهد خطي من الطرفين يتضمن التزامات حماية محددة، معتمداً من المجلس.

بالنسبة لمعظم الشركات ذات السيطرة الأجنبية في أنطاليا وسواها، تُعدّ البنود التعاقدية المعيارية الأداة العملية الأساسية. وهي تشبه بنود GDPR المعيارية لكنها ليست مطابقة لها، لذا لا يمكن الاستعانة بنموذج أوروبي جاهز.

المستوى الثالث: الحالات المحددة

يُقرّ التعديل أيضاً بمجموعة ضيقة من الاستثناءات للنقل العرضي — على سبيل المثال، عندما يكون صاحب البيانات قد أعطى موافقة صريحة لنقل محدد بعينه، أو عندما يكون النقل ضرورياً لتنفيذ عقد مع صاحب البيانات، أو لحماية المصالح الحيوية لشخص ما، أو لإنشاء المطالبات القانونية أو ممارستها أو الدفاع عنها. تُفسَّر هذه الاستثناءات تفسيراً ضيقاً، وهي ليست بديلاً عن النقل المنهجي الذي ينبغي أن يستند إلى المستوى الأول أو الثاني.

ما يعنيه ذلك للشركات ذات السيطرة الأجنبية

تحتاج معظم الشركات التي لديها كيانات أم أو أنظمة موارد بشرية جماعية أو منصات سحابية مشتركة في الخارج إلى مراجعة تدفقات بياناتها واختيار المسلك القانوني المناسب لكل منها. يشتمل مشروع الامتثال النموذجي على رسم خرائط كل تدفق صادر، وتحديد المتحكم والمعالج لكل تدفق، واختيار آلية النقل المناسبة، وتوقيع الوثائق المطلوبة، وتحديث إشعار الخصوصية حتى يعلم أصحاب البيانات أين تذهب معلوماتهم. كما يُشترط الاحتفاظ بسجلات مستمرة: يجوز لمجلس KVKK طلب الاطلاع على العقود وجرد تدفقات البيانات في أي وقت.

قد يفضي عدم الامتثال إلى غرامات إدارية من مجلس KVKK، وشكاوى من أصحاب البيانات بصفة فردية، وتداعيات على السمعة. بالنسبة لبائعي التجارة الإلكترونية ومزودي SaaS، قد يُعطّل قرار التنفيذ أيضاً عملية تسجيل العملاء.

الأسئلة الشائعة

س: لدينا بنود تعاقدية معيارية GDPR متوافقة مع شركتنا الأم الأوروبية. هل ما زلنا بحاجة إلى بنود تعاقدية تركية؟

النظامان متشابهان لكنهما ليسا متكافئين. يتبع عقد مجلس KVKK المعياري نموذجه الخاص ويجب إخطار المجلس به بعد التوقيع. بنود GDPR المعيارية وحدها لا تستوفي متطلبات القانون التركي لعمليات النقل خارج تركيا.

س: هل لا تزال الموافقة الصريحة صالحة كأساس قانوني للنقل؟

نعم، لكن فقط للنقل العرضي أو المحدد بموجب المستوى الثالث. وهي ليست أساساً مستداماً للتدفقات الاعتيادية للبيانات الشخصية التي تأتي مع تشغيل فرع تركي داخل مجموعة عالمية.

س: هل هناك غرامات على الأخطاء؟

نعم. يستطيع مجلس KVKK فرض غرامات إدارية تتناسب مع جسامة المخالفة. المشكلات المتكررة، والمعالجة على نطاق واسع، أو البيانات الشخصية الحساسة تُضاعف حجم التعرض بشكل ملحوظ.

س: ماذا عن بيانات الموظفين المُرسَلة إلى نظام موارد بشرية أجنبي؟

تُعدّ بيانات الموظفين من أكثر تدفقات البيانات العابرة للحدود شيوعاً. وتستند عادةً إلى البنود التعاقدية المعيارية أو قواعد الشركات الملزمة، مدعومة بإشعار خصوصية محدَّث وتوثيق واضح للمسلك القانوني المستخدم.

كيف يمكن لـ Mona Hukuk المساعدة

يُقدّم فريقنا المتمركز في أنطاليا المشورة للشركات ذات السيطرة الأجنبية بشأن الامتثال لـ KVKK، ويُساعد في رسم خرائط تدفقات البيانات وتوثيقها، ويصيغ البنود التعاقدية المعيارية ويُخطر بها مجلس KVKK، ويدعم مشاريع قواعد الشركات الملزمة عبر المجموعات متعددة الجنسيات. نعمل باللغتين التركية والإنجليزية، مما يُتيح التعاون الفعّال بين فريقكم القانوني الداخلي ومكتبنا.

تواصل معنا على info@monahukuk.com أو اتصل بـ +90 (242) 606 14 32 لتحديد موعد استشارة في أنطاليا.