信息技术与人工智能法
土耳其的数据控制者与数据处理者之分:合同义务
发布于 2026年7月14日·10 分钟阅读
律师 Mona Hukuk 编辑团队 - 安塔利亚 · 安塔利亚律师协会
当一家企业将客户数据托管于云服务商、把工资核算外包出去,或与软件供应商合作时,一个法律问题很快就会浮现:谁是"数据控制者",谁是"数据处理者"?这绝非单纯的理论标签。答案直接决定了登记义务、安全责任,以及双方之间应当签订的合同。本文依据第6698号《个人数据保护法》(KVKK),剖析这两种角色的区分、安全义务如何分担,以及为何在商业实践中数据处理协议不可或缺。
KVKK 第3条对两种角色的界定
KVKK 第3条对两种角色作出了明确界定。数据控制者是指"确定个人数据处理的目的与手段,并负责建立和管理数据记录系统的自然人或法人"。数据处理者则是指"基于控制者授予的权限、代表控制者处理个人数据的自然人或法人"。
区分的核心在于决策权。决定为何以及以何种手段处理数据的一方是控制者;仅依照上述指示、代表控制者执行处理的一方则是处理者。举例来说,一家酒店为自身目的收集客人的预订数据;托管该数据的云服务公司,或提供预订软件的公司,则是按照酒店指示行事的处理者。一方要被认定为处理者,就必须在控制者划定的框架内、而非为其自身目的处理数据;一旦它开始确定自己的目的,它本身就转变为数据控制者。
为何这一区分至关重要:VERBİS 与登记义务
区分角色首先在数据控制者登记册(VERBİS)义务方面具有重要意义。根据 KVKK 第16条,登记义务原则上课以数据控制者;主管机关(委员会)可依据客观标准设定豁免,例如所处理数据的性质与数量、处理是否源于法律规定,或数据是否向第三方转移等。因此,并非所有企业,而只有落入适用范围的控制者才须登记。仅以处理者身份行事的公司,不因该身份本身而登记;但若其就自身业务而言属于控制者,则在该范围内负有义务。VERBİS 登记的适用范围、豁免情形与办理流程,另有专门指南详细论述;在此只需强调:角色决定了登记义务。
安全义务由双方共同承担(第12条)
KVKK 第12条规范数据安全义务,并明确表明责任并非只落在一方身上。数据控制者必须采取一切技术与管理措施,以确保适当的安全水平,防止个人数据被非法处理和非法访问,并保障数据的妥善保存(第12条第1款)。
关键之处在于第2款:当数据由他人代表控制者处理时,就采取上述措施而言,控制者与处理者承担连带责任(第12条第2款)。也就是说,控制者不能通过将处理外包而摆脱自身义务。此外,第12条第4款规定,控制者与处理者均不得违法披露其所知悉的个人数据,也不得将其用于处理目的之外,且该义务在其离职之后仍然持续。发生数据泄露时向主管机关及数据主体通知的义务,则规定于第12条第5款。简而言之,保密与安全的负担被分摊到链条的每一个环节。
为何数据处理协议不可或缺
此处有一处土耳其法所特有的要点值得指出:与欧盟《通用数据保护条例》(GDPR)第28条不同,KVKK 并未规定必须在控制者与处理者之间、在一切情形下都强制订立特定内容的合同。这是与欧盟实践的一处真实差异,值得审慎对待。但不应据此认为合同就无关紧要。鉴于第12条第2款的连带责任和第12条第3款的监督义务,通过书面数据处理协议将控制者对处理者的监督、指示的界限以及安全标准加以记录,在实践中实际上已成为强制要求。该协议既规范连带责任下双方之间的内部关系,也在主管机关可能进行的检查中充当合规证据。
协议应涵盖的要素与跨境使用
一份拟定得当的数据处理协议通常会规范以下事项:
- 处理的范围与目的 —— 处理者只能依控制者的指示、为既定目的进行处理,
- 安全措施 —— 第12条项下技术与管理措施的最低标准,
- 次级处理者(sub-processor)的同意 —— 处理者在委托另一供应商之前须获得控制者的事先同意,
- 合同终止时数据的返还或删除 —— 关系结束时对数据的返还、抹除或销毁,
- 审计权 —— 控制者对处理者进行审计或委托审计的权限,
- 泄露通知链条 —— 处理者应在何种期限内、以何种方式向控制者报告泄露事件。
对于将处理活动外包给土耳其供应商的外国公司而言,还多出一层:数据的跨境转移适用 KVKK 第9条的规范,合同也必须涵盖这些转移条件。同理,将处理活动交由境外服务商的土耳其公司,也须同时评估转移规则与对方所适用的法律。因此,在跨境安排中,合同不仅要载明角色,还须明确转移的法律依据。
常见问题
一家公司能否同时既是数据控制者又是数据处理者? 可以。例如,一家会计公司就其自身员工数据而言是控制者,而在代表客户办理工资核算时则是处理者。角色须就每一项处理活动分别判断。
数据处理者必须在 VERBİS 登记吗? 登记义务原则上针对数据控制者。仅以处理者身份行事的公司不因该身份而登记;但若其就自身业务而言属于控制者,则可能在该范围内负有义务。
KVKK 是否强制要求订立数据处理协议? KVKK 并不像 GDPR 第28条那样,在一切情形下都明确强制要求特定形式的合同。然而,鉴于第12条的连带责任和监督义务,书面协议在商业实践中实际上难以避免。
数据控制者会因处理者的过错而受罚吗? 会。根据第12条第2款,控制者与处理者就采取安全措施承担连带责任;控制者不能通过将处理外包而摆脱自身义务。
Mona Hukuk 如何为您提供帮助
在 Mona Hukuk,我们协助企业进行角色认定(控制者/处理者之分)、起草与谈判数据处理协议、管理 VERBİS 登记流程,以及为跨境数据转移搭建合同架构。无论是与土耳其供应商合作的外国公司,还是使用境外服务商的土耳其企业,我们都提供端到端的咨询服务。
如需在安塔利亚获得咨询,您可发送邮件至 contact@monahukuk.com,或拨打 +90 (242) 606 14 32。
Türk Hukuku'ndaki gelişmeleri haftalık özet olarak almak ister misiniz?
Resmî Gazete duyuruları, yargı kararları ve mevzuat değişikliklerini haftalık olarak e-postanıza gönderiyoruz. Ücretsiz; istediğiniz an iptal edebilirsiniz.