在土耳其使用云服务：KVKK义务详解

在土耳其经营的企业越来越依赖云平台——SaaS工具、远程存储、基础设施服务——来维持日常运营。许多企业未曾意识到，将个人数据传输至云服务提供商，将自动触发土耳其《个人数据保护法》（Kişisel Verilerin Korunması Kanunu，以下简称"KVKK"）的适用，并由此产生由企业与云服务提供商共同承担的一系列具体法律义务。妥善处理这一关系至关重要：个人数据保护委员会（Kişisel Verileri Koruma Kurulu）长期以来持续执法，而最高行政法院（Danıştay）已对未能妥善管理第三方数据处理者的机构维持了大额处罚决定。

法律如何界定云服务提供商

根据KVKK第3条，数据处理链中的每一参与方均具有特定角色。数据控制者（veri sorumlusu）是决定个人数据处理目的与方式的主体——通常即使用云服务的企业本身。数据处理者（veri işleyen）是指依据数据控制者的指示、以其名义处理数据的任何自然人或法人。

云服务提供商明确属于数据处理者类别。无论是将客户记录存储于远程服务器、通过SaaS平台处理薪资，还是在云端托管CRM系统，云服务提供商均在代表您处理个人数据。这一定性在KVKK第12条项下产生直接法律后果。

连带责任：签约无法转移责任

这是令大多数企业感到意外的规则。KVKK第12条第2款规定，当数据控制者委托外部主体处理其数据时，控制者与该主体对采取一切必要技术与行政安全措施共同承担责任。

这意味着：若您的云服务提供商遭受数据泄露，或未能实施充分的安全控制，即便责任完全在于提供商一方，您的机构仍可能被追究法律责任。仅载明"安全责任由提供商承担"的合同并不能为您提供保护。无论服务协议如何约定，法律均将共同责任施加于双方。

最高行政法院第十行政庭在近期多项裁决中强化了这一原则，确认数据控制者在使用第三方处理者时，KVKK项下的责任依然完整存续。委托处理任务并不转移法律责任。

数据处理协议须涵盖的内容

在向云服务提供商传输任何个人数据之前，您须签订书面数据处理协议。尽管KVKK未规定统一的标准格式，但结合委员会的指导意见及第12条第2款项下的共同责任原则，该协议至少应涵盖以下内容：

• 明确界定处理的范围与目的
• 规定提供商须实施的技术与行政安全措施
• 赋予控制者开展或委托审计的权利（依第12条第3款要求）
• 禁止提供商将数据用于约定范围以外的任何目的（第12条第4款）
• 要求提供商在发生数据泄露时立即通知控制者，以便控制者履行第12条第5款规定的通知义务

KVKK第12条第4款同时对提供商课以独立义务：数据处理者不得披露或以控制者指示以外的目的使用个人数据——该义务在服务关系终止后继续有效。

云端服务器位于境外时的跨境数据传输

许多主流云平台将数据存储于土耳其境外的数据中心。若您的云服务提供商在境外服务器上处理个人数据，则构成KVKK第9条项下的跨境个人数据传输，须满足特定条件。

2024年KVKK修订案引入了更为完善的传输框架。在目的地国家经委员会认定具有充分保护水平时，传输方可进行；若未达充分保护水平，则双方须签署适当的标准合同条款，或在特定情况下取得数据主体的明确同意。依赖境外云基础设施的企业，应在数据开始流转前确认适用于其具体情形的合法依据。

如需深入了解传输规则，请参阅我们关于外资控股企业跨境个人数据传输的文章。

VERBİS登记与云端存储数据

若您的机构处理个人数据——包括通过云服务处理——且未达到委员会设定的豁免门槛，则须在VERBİS（Veri Sorumluları Sicil Bilgi Sistemi，数据控制者注册信息系统）进行登记，即土耳其的数据控制者注册系统。您的VERBİS登记信息须准确描述处理活动、所涉数据类别及传输情况，包括向云端存储的传输。信息不完整或不准确本身即可引发执法行动。

请参阅我们专门介绍土耳其VERBİS登记义务的指南。

云服务提供商涉及数据泄露时的通知义务

若泄露发生于云服务提供商的基础设施，法律通知义务落在您作为数据控制者一方，而非提供商。根据KVKK第12条第5款，在发现涉及个人数据的泄露后，您须尽快通知受影响的个人及委员会。委员会亦可选择在其官网公布该事件。

因此，您的数据处理协议必须要求提供商立即通知您——若缺乏此合同约定，您将面临错过通知时限的风险。我们关于KVKK项下数据泄露通知的文章详述了完整程序。

常见问题解答

问：处理土耳其个人数据可以使用任意云服务提供商吗？

可以使用任何同意适当数据处理条款、实施充分安全措施，且——若服务器位于土耳其境外——满足KVKK第9条跨境传输要求的提供商。单凭规模大小或品牌知名度，不构成合法依据。

问：我们的云服务提供商也需要在VERBİS登记吗？

VERBİS登记要求针对数据控制者，而非纯粹依据指示行事的数据处理者。若云服务提供商为自身商业目的而自主决定处理目的（例如利用您的数据训练模型），其本身可能成为数据控制者，须承担独立的登记义务。

问：若云服务提供商发生安全事件，应如何处理？

作为数据控制者，您承担连带法律责任，须在知悉后尽快通知委员会及受影响的个人。提供商的合同赔偿条款或有助于追偿损失，但不能消除您在KVKK项下的监管法律风险。

问：与云服务提供商的口头约定或邮件往来是否已足够？

不够。第12条第2款项下的共同责任框架及第12条第3款的审计权，在缺乏明确规定双方义务的书面协议时实际上无从执行。

问：我们是小型企业，这些规则对我们同样适用吗？

KVKK的核心义务适用于所有数据控制者，不论规模大小。对于纯粹出于个人目的处理数据的自然人及某些其他有限情形，存在豁免规定。若您经营的企业持有客户、员工或供应商数据，这些规则几乎肯定对您适用。

Mona Hukuk 如何为您提供帮助

我们的团队为土耳其各地企业——包括驻安塔利亚的国际公司——提供KVKK合规、数据处理协议及云治理框架方面的专业法律咨询。我们审查您现有的云服务合同，识别合规缺口，并在监管调查到来之前帮助您建立正确的法律架构。

请发送电子邮件至 contact@monahukuk.com 或拨打 +90 (242) 606 14 32 安排安塔利亚咨询。