IT-право и право в сфере ИИ
Оператор данных и обработчик данных в Турции: договорные обязательства
Опубликовано 14 июля 2026 г.·5 мин. чтения
Адв. Редакция Mona Hukuk - Анталья · Коллегия адвокатов Анталии
Когда компания размещает данные клиентов у облачного провайдера, передаёт на аутсорсинг расчёт заработной платы или работает с поставщиком программного обеспечения, быстро возникает юридический вопрос: кто является «оператором данных», а кто — «обработчиком данных»? Это не просто академический ярлык. Ответ напрямую определяет обязанности по регистрации, ответственность за безопасность и договор, который должен быть подписан между сторонами. В этой статье рассматривается разграничение двух ролей в соответствии с Законом № 6698 о защите персональных данных (KVKK), распределение обязанностей по безопасности и причины, по которым договор об обработке данных незаменим в коммерческой практике.
Определение двух ролей в статье 3 KVKK
Статья 3 KVKK чётко определяет обе роли. Оператор данных — это «физическое или юридическое лицо, которое определяет цели и средства обработки персональных данных и отвечает за создание и управление системой регистрации данных». Обработчик данных — это «физическое или юридическое лицо, которое обрабатывает персональные данные от имени оператора на основании предоставленных им полномочий».
Суть разграничения — в полномочиях принимать решения. Сторона, которая решает, с какой целью и какими средствами будут обрабатываться данные, является оператором. Сторона, которая осуществляет обработку исключительно по этим указаниям и от имени оператора, является обработчиком. Например, отель собирает данные о бронировании гостей для собственных целей; облачная компания, размещающая эти данные, или компания, предоставляющая программу бронирования, действует как обработчик по указаниям отеля. Чтобы считаться обработчиком, сторона должна обрабатывать данные в рамках, установленных оператором, а не для собственных целей; в момент, когда она начинает определять собственные цели, она сама становится оператором.
Почему разграничение важно: VERBİS и регистрация
Разделение ролей важно прежде всего для обязанности регистрации в Реестре операторов данных (VERBİS). Согласно статье 16 KVKK, обязанность по регистрации по общему правилу возлагается на операторов данных; Совет может устанавливать исключения по объективным критериям — таким как характер и количество обрабатываемых данных, наличие законного основания обработки или передача третьим лицам. Следовательно, регистрироваться должна не каждая компания, а только оператор, подпадающий под сферу применения. Компания, действующая исключительно как обработчик, не регистрируется в силу одного лишь этого статуса; однако, если в отношении собственной деятельности она является оператором, она обязана в этом качестве. Сфера, исключения и процедура регистрации в VERBİS подробно рассмотрены в отдельном руководстве; здесь достаточно подчеркнуть, что именно роли определяют обязанность регистрации.
Обязанности по безопасности возлагаются на обе стороны (статья 12)
Статья 12 KVKK регулирует обязанности по безопасности данных и ясно показывает, что ответственность не лежит только на одной стороне. Оператор обязан принять все технические и организационные меры для обеспечения надлежащего уровня безопасности, чтобы предотвратить незаконную обработку персональных данных и незаконный доступ к ним и обеспечить их сохранность (ст. 12/1).
Ключевой момент содержится во втором пункте: если данные обрабатываются другим лицом от имени оператора, оператор несёт солидарную ответственность с обработчиком за принятие этих мер (ст. 12/2). Оператор не может избежать своих обязанностей, передав обработку на аутсорсинг. Кроме того, ст. 12/4 предусматривает, что как операторы, так и обработчики не вправе разглашать ставшие им известными персональные данные вопреки Закону или использовать их за пределами цели обработки, и что эта обязанность сохраняется даже после ухода с должности. Обязанность уведомить Совет и субъекта данных в случае нарушения предусмотрена ст. 12/5. Коротко говоря, бремя конфиденциальности и безопасности распределено по каждому звену цепи.
Почему договор об обработке данных необходим
Здесь проявляется особенность турецкого права: в отличие от статьи 28 Общего регламента ЕС о защите данных (GDPR), KVKK не содержит нормы, которая прямо и во всех случаях предписывала бы договор определённого содержания между оператором и обработчиком. Это подлинное отличие от практики ЕС, заслуживающее внимательного отношения. Однако из этого не следует делать вывод, что договор не нужен. С учётом солидарной ответственности по ст. 12/2 и обязанности проведения проверок по ст. 12/3 документирование надзора оператора за обработчиком, границ его указаний и стандартов безопасности посредством письменного договора об обработке данных на практике становится фактически обязательным. Договор регулирует как внутренние отношения сторон при солидарной ответственности, так и служит доказательством соблюдения требований при любой проверке Совета.
Что должен регулировать договор и трансграничное использование
Тщательно составленный договор об обработке данных обычно регулирует следующее:
- Объём и цель обработки — что обработчик может действовать только по указаниям оператора и в определённой цели,
- Меры безопасности — минимальный стандарт технических и организационных мер согласно статье 12,
- Согласие на субобработчиков — предварительное согласие оператора до привлечения обработчиком другого поставщика,
- Возврат или удаление данных по окончании договора — возврат, стирание или уничтожение данных при прекращении отношений,
- Права на проверку — полномочие оператора проверять обработчика или инициировать его проверку,
- Цепочка уведомления о нарушении — как и в какой срок обработчик должен сообщить оператору о нарушении.
Для иностранных компаний, передающих обработку турецким поставщикам, существует дополнительный уровень: трансграничная передача данных подчиняется режиму статьи 9 KVKK, и договор должен охватывать также эти условия передачи. Аналогично турецкие компании, передающие обработку зарубежному провайдеру, должны оценить как правила передачи, так и право контрагента. Поэтому в трансграничных схемах договор должен прямо указывать не только роли, но и правовое основание передачи.
Часто задаваемые вопросы
Может ли компания одновременно быть оператором и обработчиком данных? Да. Например, бухгалтерская фирма является оператором в отношении данных собственных сотрудников и обработчиком при обработке заработной платы от имени клиента. Роль оценивается отдельно для каждой операции обработки.
Обязаны ли обработчики данных регистрироваться в VERBİS? Обязанность регистрации по общему правилу распространяется на операторов. Компания, действующая исключительно как обработчик, не регистрируется в силу этого статуса; но если в отношении собственной деятельности она является оператором, она может быть обязана в этом качестве.
Обязывает ли KVKK заключать договор об обработке данных? KVKK, в отличие от ст. 28 GDPR, не предписывает прямо определённую форму договора во всех случаях. Однако из-за солидарной ответственности и обязанности проверок по статье 12 письменный договор фактически неизбежен в коммерческой практике.
Может ли оператор быть наказан за вину обработчика? Да. Согласно ст. 12/2, оператор и обработчик несут солидарную ответственность за принятие мер безопасности; оператор не может избежать своих обязанностей, передав обработку на аутсорсинг.
Чем может помочь Mona Hukuk
Как Mona Hukuk мы помогаем предприятиям в определении ролей (разграничение оператор/обработчик), в подготовке и согласовании договоров об обработке данных, в управлении процессом регистрации в VERBİS и в договорном структурировании трансграничной передачи данных. Мы предоставляем комплексное сопровождение как иностранным компаниям, работающим с турецкими поставщиками, так и турецким предприятиям, использующим зарубежных провайдеров.
Для консультации в Анталье вы можете написать на contact@monahukuk.com или позвонить по номеру +90 (242) 606 14 32.
Хотите еженедельный обзор изменений в турецком праве?
Уведомления Официальной газеты, судебные решения и изменения в законодательстве — еженедельно. Бесплатно, отписка в любое время.
Связанные статьи
IT-право и право в сфере ИИ
Споры о доменах .tr в Турции: руководство для иностранных брендов
2 июл. 2026 г. · 5 мин. чтения
Читать статьюIT-право и право в сфере ИИ
Соглашения об эскроу программного обеспечения в Турции
22 июн. 2026 г. · 6 мин. чтения
Читать статьюIT-право и право в сфере ИИ
VERBİS: Реестр операторов персональных данных в Турции
9 июн. 2026 г. · 4 мин. чтения
Читать статью