Трансграничная передача персональных данных: правила KVKK 2024

Если Ваша компания работает в Турции, но подчиняется материнской или аффилированной структуре за рубежом, Вы почти ежедневно осуществляете трансграничную передачу персональных данных: расчёт зарплат уходит в немецкую HR-систему, клиентские записи — в CRM, размещённую в Ирландии, обращения службы поддержки — в глобальный helpdesk. До недавнего времени большинство таких трансграничных передач персональных данных опиралось на единственное правовое основание — явное согласие субъекта данных. В 2024 году это изменилось. Масштабная реформа турецкого закона о защите персональных данных (KVKK / Закон № 6698) ввела новый режим передачи данных за рубеж. Он напоминает европейский GDPR, но не совпадает с ним. У иностранных компаний, работающих в Турции, теперь есть несколько законных путей передачи данных за границу — однако каждый из них сопровождается обязанностями по документированию и уведомлению, которых раньше не существовало.

Что именно изменила реформа 2024 года

Реформа существенно переработала статью 9 KVKK, регулирующую трансграничную передачу данных. По прежним правилам передача персональных данных за пределы Турции, как правило, допускалась только при явном согласии субъекта данных, за исключением случаев, когда страна назначения была включена в список государств с надлежащим уровнем защиты, который должен был вести Совет KVKK (Kişisel Verileri Koruma Kurulu). Поскольку этот список так и не был опубликован, бизнес фактически вынужден был полагаться на согласие. А его сложно получить в массовом порядке, и оно может быть отозвано в любой момент.

Новая система заменяет эту дихотомию на трёхуровневую структуру: решения об адекватности, надлежащие гарантии и особые ситуации. У каждого уровня свои условия, документы и обязанности по уведомлению.

Уровень 1: Решения об адекватности

Совет KVKK теперь вправе принимать решения об адекватности (yeterlilik kararı), которыми признаёт, что определённая страна, отрасль или международная организация обеспечивает уровень защиты персональных данных, эквивалентный турецкому. Если страна назначения подпадает под такое решение, передача может осуществляться без дополнительных гарантий — как обычная внутренняя обработка.

На практике Совет пока подходит к выдаче решений об адекватности осторожно. Поэтому большинство передач придётся выстраивать на втором уровне.

Уровень 2: Надлежащие гарантии

Если решения об адекватности нет, передача допускается только при наличии одной из следующих гарантий:

• Стандартные договорные условия, утверждённые Советом KVKK и подписанные между турецким экспортёром данных и иностранным получателем. Подписанный договор должен быть направлен в Совет в течение пяти рабочих дней.
• Обязательные корпоративные правила для передач внутри транснационального холдинга, при условии одобрения Советом.
• Международное соглашение между публичными органами — актуально только для межгосударственных передач.
• Письменное обязательство обеих сторон с конкретными защитными гарантиями, утверждённое Советом.

Для большинства иностранных компаний в Анталье и в Турции в целом рабочим инструментом на практике становятся стандартные договорные условия. Они напоминают SCC по GDPR, но не совпадают с ними — европейский шаблон нельзя просто перенести "как есть".

Уровень 3: Особые ситуации

Реформа также предусматривает узкий перечень исключений для разовых передач: явное согласие субъекта данных именно на эту передачу, необходимость исполнения договора с субъектом данных, защита жизненно важных интересов, установление, осуществление или защита правовых требований. Эти исключения толкуются ограничительно. Они не заменяют системных передач, для которых должны использоваться уровни 1 или 2.

Что это значит для иностранных компаний

Компаниям с материнской структурой, групповой HR-системой или общей облачной платформой за рубежом необходимо пересмотреть свои потоки данных и подобрать правильный правовой путь для каждого из них. Типичный проект соответствия включает картирование всех исходящих потоков, определение оператора и обработчика по каждому потоку, выбор подходящего механизма передачи, подписание необходимых документов и обновление политики конфиденциальности так, чтобы субъекты данных понимали, куда уходит их информация. Также действует обязанность постоянного учёта: Совет KVKK в любой момент может запросить договоры и реестр потоков данных.

Несоблюдение влечёт административные штрафы Совета KVKK, жалобы субъектов данных и репутационные потери. У e-commerce-продавцов и SaaS-провайдеров действия регулятора могут напрямую нарушить процесс приёма клиентов. Для более широкого взгляда на тему см. наш гид по соблюдению KVKK и статью о KVKK и cookie-политике в e-commerce.

Часто задаваемые вопросы

В: У нас уже подписаны SCC по GDPR с европейской материнской компанией. Нужны ли турецкие SCC отдельно?

Эти системы похожи, но не эквивалентны. Стандартный договор Совета KVKK имеет свой шаблон, и после подписания он должен быть направлен в Совет. Одних SCC по GDPR для передач из Турции недостаточно.

В: Можно ли по-прежнему опираться на явное согласие как на основание передачи?

Да, но только для разовых передач в рамках третьего уровня. Для регулярных потоков данных турецкой дочерней компании внутри международной группы это не устойчивое основание.

В: Грозят ли штрафы за нарушение?

Да. Совет KVKK вправе налагать административные штрафы, размер которых зависит от тяжести нарушения. Повторные нарушения, массовая обработка или работа со специальными категориями персональных данных существенно повышают риски.

В: Что делать с данными сотрудников, передаваемыми в иностранную HR-систему?

Данные сотрудников — один из самых распространённых трансграничных потоков. Обычно они опираются на стандартные договорные условия или обязательные корпоративные правила, дополненные обновлённой политикой конфиденциальности и чётким документированием выбранного правового пути.

Как Mona Hukuk может помочь

Наша юридическая фирма в Анталье консультирует иностранные компании по соблюдению KVKK, помогает картировать и документировать потоки данных, готовит и подаёт стандартные договорные условия в Совет KVKK, сопровождает проекты по обязательным корпоративным правилам в международных группах. Мы работаем на турецком и английском, чтобы Ваша юридическая команда и наша могли эффективно сотрудничать.

Свяжитесь с нами по адресу info@monahukuk.com или по телефону +90 (242) 606 14 32, чтобы записаться на консультацию в Анталье.