Облачные сервисы в Турции: обязательства по закону KVKK

Большинство компаний, работающих в Турции, уже давно используют облачные платформы: хранят клиентские данные на удалённых серверах, пользуются SaaS-инструментами, заказывают облачную инфраструктуру. Между тем немногие задумываются о том, что передача персональных данных облачному провайдеру автоматически подпадает под действие турецкого Закона о защите персональных данных (Kişisel Verilerin Korunması Kanunu, KVKK) — и порождает конкретные правовые обязательства для обеих сторон. Государственный совет Турции (Danıştay) в ряде недавних решений подтвердил, что ответственность оператора данных сохраняется в полном объёме даже тогда, когда фактическую обработку выполняет сторонний провайдер.

Как KVKK разграничивает роли?

Закон проводит чёткую границу между двумя участниками. Оператор данных (veri sorumlusu) — это организация, которая определяет цели и способы обработки персональных данных: как правило, именно она является клиентом облачного сервиса. Обработчик данных (veri işleyen) — физическое или юридическое лицо, которое обрабатывает данные на основании полномочий и в интересах оператора (статья 3 KVKK).

Облачный провайдер подпадает именно под это определение. Храните ли вы данные клиентов на удалённом сервере, ведёте ли расчёт зарплаты в SaaS-системе или держите CRM в облаке — провайдер обрабатывает персональные данные от вашего имени. Эта квалификация напрямую запускает механизм статьи 12 KVKK.

Совместная ответственность: делегировать обязательства нельзя

Именно это правило удивляет большинство компаний. Статья 12(2) KVKK прямо устанавливает: если оператор данных поручает обработку данных третьей стороне, оператор и эта сторона несут совместную ответственность за принятие всех необходимых технических и организационных мер защиты.

На практике это означает следующее: даже если утечка или сбой произошли целиком по вине провайдера, ваша компания всё равно может быть привлечена к ответственности. Пункт в сервисном соглашении, по которому провайдер «несёт полную ответственность за безопасность», не освобождает вас от этой ответственности. Закон закрепляет совместную ответственность независимо от договорных положений.

Данную позицию подтвердил Danıştay (10-я палата) в решениях 2023 и 2025 годов.

Что должен содержать договор об обработке данных?

До передачи персональных данных облачному провайдеру необходимо заключить письменный договор об обработке данных. KVKK не устанавливает типовой формы, однако совместная ответственность по статье 12(2) и практика Совета KVKK требуют как минимум следующего:

• Предмет и цель обработки
• Конкретные технические и организационные меры безопасности, которые обязан применять провайдер
• Право оператора проводить или заказывать аудиты (статья 12(3))
• Запрет использования данных в целях, выходящих за рамки согласованного назначения (статья 12(4))
• Обязанность провайдера незамедлительно уведомлять оператора об инцидентах, чтобы тот мог выполнить обязательство по уведомлению по статье 12(5)

Статья 12(4) связывает провайдера и самостоятельно: обработчик данных вправе использовать персональные данные исключительно по поручению оператора — этот запрет действует и после прекращения договорных отношений.

Серверы за рубежом: трансграничная передача данных

Многие крупные облачные платформы хранят данные в дата-центрах за пределами Турции. В таком случае речь идёт о трансграничной передаче персональных данных в соответствии со статьёй 9 KVKK, для которой предусмотрены дополнительные условия.

Поправки к KVKK 2024 года обновили регулирование трансграничных передач. Передача допустима, если страна-получатель обеспечивает надлежащий уровень защиты (что определяет Совет KVKK), либо — при отсутствии такой оценки — при наличии стандартных договорных условий или, в отдельных случаях, явного согласия субъекта данных. Компаниям, использующим зарубежную облачную инфраструктуру, следует установить применимое правовое основание до начала передачи данных.

Подробнее о правилах передачи читайте в нашем материале о трансграничной передаче персональных данных для иностранных компаний.

Реестр VERBİS и облачные данные

Компании, обрабатывающие персональные данные — в том числе через облачные сервисы — и не подпадающие под установленные Советом KVKK исключения, обязаны зарегистрироваться в системе VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), турецком реестре операторов данных. Запись в VERBİS должна точно отражать все виды обработки, категории данных и передачи, включая облачное хранение. Неполные или недостоверные сведения сами по себе могут стать основанием для взыскания.

Подробности — в нашей статье об обязательной регистрации в VERBİS в Турции.

Уведомление об инциденте при нарушении у провайдера

Если инцидент произошёл на инфраструктуре облачного провайдера, обязанность уведомить субъектов данных и Совет KVKK по статье 12(5) лежит на вас как на операторе. О нарушении необходимо сообщить как можно скорее после его обнаружения. Совет вправе также опубликовать информацию об инциденте на своём сайте.

Именно поэтому в договоре с провайдером должна быть предусмотрена его незамедлительная обязанность уведомлять вас: без этого звена вы рискуете пропустить срок уведомления. Подробный порядок описан в нашей статье об уведомлении о нарушении данных по KVKK.

Часто задаваемые вопросы

В: Можем ли мы использовать любого облачного провайдера для обработки турецких персональных данных?

Да, при условии что провайдер принимает соответствующие условия обработки данных, реализует достаточные меры безопасности и — если серверы находятся за рубежом — соответствует требованиям статьи 9 KVKK. Размер или известность провайдера сами по себе правовым основанием не являются.

В: Обязан ли облачный провайдер регистрироваться в VERBİS?

Обязанность регистрации распространяется на операторов данных. На обработчиков, действующих исключительно по поручению, она не распространяется. Если провайдер использует ваши данные в собственных целях — например, для обучения моделей — он может приобрести статус оператора и обязанность самостоятельной регистрации.

В: Что происходит, если облачного провайдера взломают?

Как оператор данных вы несёте совместную ответственность и обязаны уведомить Совет KVKK и субъектов данных при получении информации об инциденте. Договорная компенсация от провайдера может помочь возместить убытки, но не устраняет регуляторной ответственности.

В: Достаточно ли устного или письменного согласования по электронной почте?

Нет. Совместная ответственность по статье 12(2) и права на аудит по статье 12(3) на практике не реализуемы без письменного договора с чётко прописанными обязательствами сторон.

Как Mona Hukuk может помочь

Наша команда консультирует компании в Анталье и по всей Турции — в том числе международных клиентов — по вопросам соответствия требованиям KVKK, составления договоров с обработчиками данных и построения систем управления данными. Мы изучим ваши облачные контракты, выявим пробелы и поможем создать надёжную правовую основу до возникновения регуляторных претензий.

Свяжитесь с нами по адресу contact@monahukuk.com или по телефону +90 (242) 606 14 32, чтобы записаться на консультацию в Анталье.