文章介绍了土耳其DPA(KVKK)发布的《个人数据跨境传输指南》,该指南旨在指导DPO落实《个人数据保护法》第9条关于个人数据跨境传输的规定。文章详细阐述了个人数据跨境传输的三种主要方式:基于充分性决定的传输、基于适当保障的传输和例外传输。
土耳其DPA(KVKK)发布该指南,旨在指导个人数据控制者和处理者遵守土耳其《个人数据保护法》中关于跨境传输个人数据的规定。
文章还介绍了例外传输的情况,包括在特定情况下的数据传输,如数据主体的明确同意、合同执行、公共利益等。
可能一日内发布多篇推送,推荐标星⭐本号,避免错过数据合规新鲜资讯~
来源:https://kvkk.gov.tr/Icerik/8143/Kisisel-Verilerin-Yurt-Disina-Aktarilmasi-Rehberi
2025年1月2日,土耳其DPA(KVKK)发布《个人数据跨境传输指南》,旨在指导DPO落实《个人数据保护法》(第6698号)第9条“个人数据的跨境传输”条款下的个人数据跨境传输义务。
根据《个人数据保护法》第9条,一旦满足以下条件之一,就可以进行个人数据的跨境转移:
1、数据主体的明确同意
2、如果符合以下条件之一,个人数据也可以被转移到国外:
-被KVKK批准为符合LPPD第5(2)和6(3)条的 "适当国家Adequate Country",一个适当国家必须有足够的数据保护水平。或-如果KVKK没有批准该国家为 "适当国家",那么土耳其和国外的数据控制者以书面合同条款形式(和欧盟SCCs类似,目前土耳其只有c-c和c-p的模板)承诺提供足够的保护水平,并且KVKK已经批准和授权在满足LPPD第5(2)条和第6(3)条所述情况的情况下进行这种转移。主要内容:
A. 指南目的:本节阐述了该指南的目的是为了指导和协助个人数据控制者和处理者在跨境传输个人数据时遵守土耳其《个人数据保护法的规定,特别是第9条关于个人数据跨境传输的规定》。B. 机构活动领域:介绍了土耳其个人数据保护机构(KVKK)的职责,包括提高公众对个人数据保护的意识、处理个人数据权利受到侵犯的投诉、监控国际发展并与国际组织合作。C. 法律修订背景:讨论了对KVKK第9条的修改,这些修改是为了与欧盟一般数据保护条例(GDPR)保持一致,并更新了关于跨境数据传输的规定。D. 变更前个人数据:提供了法律变更的背景信息,包括变更的目的、原因和范围,以及这些变更如何影响个人数据的跨境传输。本节提供了关键术语的定义,如“个人数据”、“数据控制者”、“数据处理者”等,以确保在文档中对这些术语有一致的理解。列出了文档中使用的缩写词汇,如KVKK(Kişisel Verileri Koruma Kanunu)、个人数据保护法等,以便读者快速参考。A. 定义:明确了个人数据跨境传输的定义,即数据从土耳其传输到其他国家的过程。B. 一般而言:讨论了个人数据跨境传输的一般原则,包括数据主体的权利、数据传输的合法性基础以及数据传输的安全性要求。A. 充分性决定:解释了充分性决定的概念,即KVKK认定某些国家提供足够的个人数据保护水平。B. 充分性决定过程中的注意事项:讨论了在评估和授予充分性决定时需要考虑的因素。C. 充分性决定的审查:描述了充分性决定的审查和更新流程。A. 非国际协议的适当保障:讨论了在没有国际协议的情况下,如何通过其他方式提供适当的数据保护保障。B. 约束性公司规则:详细说明了约束性公司规则(BCRs)的概念,这是一种公司内部用于规范跨境数据传输的规则。C. 标准合同条款:讨论了标准合同条款(SCCs)的使用,这是一种用于确保跨境数据传输中数据保护的合同模板。D. 承诺书:描述了通过承诺书提供数据保护保障的方法。A. 例外传输:解释了在特定情况下允许的例外传输,即使没有充分性决定或适当的保障措施。B. 例外传输情况:列出了具体的例外传输情况,包括明确的同意、合同执行、公共利益等,并详细描述了每种情况下的要求和限制。提供了法律第9条修改前后的详细比较表格,展示了变更的具体内容和影响。
