トルコの KVKK コンプライアンス:企業と外国投資家のための法的ガイド

トルコにおける個人データのコンプライアンスは、もはや形式的な文書作成の作業ではありません。企業は、どのデータを収集し、なぜ処理し、どこへ移転し、どのように保護し、問題が生じたときにどう対応するかを理解しなければなりません。

Terziolu & Partners39 分で読めます
トルコの KVKK コンプライアンス:企業と外国投資家のための法的ガイド

個人データは、現代の企業が保有する最も価値が高く、最も機微な資産の一つとなりました。顧客データベース、従業員ファイル、供給者の記録、監視カメラ(CCTV)映像、ウェブ解析、決済情報、健康データ、マーケティングリスト、通話録音、クラウドシステム、国境を越える報告の流れは、いずれも個人データに関わります。

トルコでは、個人データの処理は主に、一般に KVKK として知られる個人データ保護法によって規律されます。

多くの企業にとって、KVKK コンプライアンスは文書化のプロジェクトとして始まりました——プライバシー通知、同意書、ポリシー、登録の記載です。この取り組み方はもはや十分ではありません。データ保護のコンプライアンスは今や、取締役会レベルの、運用上の、そして契約上の問題です。

企業は次のことを理解しなければなりません。

  • どの個人データを収集するか。
  • なぜそのデータを収集するか。
  • どの法的根拠が適用されるか。
  • だれがデータにアクセスするか。
  • データがどこに保存されるか。
  • データが国外に移転されるか。
  • データがどれくらいの期間保存されるか。
  • データ主体がどのように知らされるか。
  • 請求がどのように処理されるか。
  • 提供者がどのように管理されるか。
  • データ侵害が生じた場合に何が起こるか。

本ガイドは、トルコで事業を営む際に、企業・投資家・国際的な事業者が検討すべき主要な法的論点を説明します。

1. KVKK コンプライアンスはテクノロジー企業だけのものではない

よくある誤りは、データ保護法がテクノロジープラットフォーム、ソフトウェア企業、または電子商取引の事業者だけに関わると考えることです。

実務上、ほぼすべての企業が個人データを処理します。

企業は、従業員を雇用するとき、給与の記録を保持するとき、顧客情報を収集するとき、マーケティングのメッセージを送るとき、通話を録音するとき、監視カメラ(CCTV)を使うとき、来訪者を管理するとき、ウェブサイトを運営するとき、Cookie を使うとき、提供者と協働するとき、契約を保存するとき、請求書を処理するとき、供給者の連絡先を保持するとき、クラウドソフトウェアを使うとき、外国の親会社に報告するとき、求人応募を管理するとき、社内調査を行うとき、またはロイヤルティや会員のプログラムを運営するときに、個人データを処理し得ます。

このため、KVKK コンプライアンスは、製造業、法律事務所、診療所、ホテル、学校、不動産開発業者、金融事業者、物流企業、小売業者、代理店、同族企業、外国投資家に関係します。

問題は、企業が個人データを処理しているかどうかではありません。問題は、どのように、なぜそれを行っているかを知っているかどうかです。

2. 第一歩:データの洗い出し(データマッピング)

企業は、自らのデータの流れを知らなければ、KVKK を遵守できません。

文書を準備する前に、企業は自らの個人データ処理活動を洗い出すべきです。

実務的なデータマップは、データ主体の種類、個人データの種類、処理の目的、法的根拠、収集の方法、保存の場所、内部のアクセス権、第三者の受領者、国境を越える移転、保存期間、セキュリティ措置、削除または匿名化の過程を特定すべきです。

データ主体には、従業員、求職者、顧客、見込み客、供給者、来訪者、株主、取締役、委託先、ウェブサイトの利用者、患者または依頼者、イベントの参加者、従業員の家族、緊急連絡先が含まれ得ます。

データマッピングの目的は官僚的手続ではありません。可視性を生むことです。

可視性がなければ、プライバシー通知は不正確になり、同意書は不要または不備のあるものになり、提供者との契約は不完全になり、侵害への対応は混乱し得ます。

3. プライバシー通知と通知義務

トルコのデータ保護法における中心的な義務の一つは、データ主体に通知する義務です。これは通常、プライバシー通知によって果たされます。

プライバシー通知は、明確かつアクセスしやすい形で、データ管理者の身元、処理の目的、処理の法的根拠、受領者または受領者の群、収集の方法、データ主体の権利、ならびにデータ主体が権利をどのように行使できるかを説明すべきです。

トルコのデータ保護当局は、処理が明示的同意や他の法的根拠に基づく場合であっても、個人データが処理される際には常にデータ主体に通知すべきことを強調しています。

プライバシー通知は、別の企業から写した汎用的な文書であるべきではありません。処理の文脈が異なれば、通常は異なる通知が必要です——たとえば従業員向け通知、求職者向け通知、顧客向け通知、ウェブサイト向け通知、監視カメラ(CCTV)向け通知、来訪者向け通知、供給者連絡先向け通知、マーケティング向け通知、イベント参加者向け通知です。

企業はまた、プライバシー通知が正しいタイミングで提示されることを確かにすべきです。ウェブサイトのフッターに隠された通知は、対面で、雇用の手続を通じて、または物理的な来訪者システムを通じて収集されるデータには不十分であり得ます。

4. 明示的同意が常に正しい法的根拠とは限らない

多くの企業は、あらゆる処理活動について同意を取得すべきだと考えます。それは常に正しいわけではありません。

KVKK のもとで、明示的同意は可能な法的根拠の一つですが、唯一のものではありません。一定の処理活動は、状況に応じて他の法的根拠に基づき得ます。

同意を過度に用いると問題を生み得ます。企業が処理は同意に基づくと述べても、データ主体が現実には拒否できない場合、その同意は争われ得ます。これは、雇用主と従業員の間の不均衡が同意の有効性に影響し得る雇用関係において、とりわけ重要です。

当局は明示的同意を、特定の事項に関わり、情報に基づき、自由な意思で表明された同意と定義しています。

したがって企業は問うべきです——明示的同意は本当に必要か。他の法的根拠はあるか。同意は特定的か。データ主体は適切に知らされているか。本人は不利益なく拒否できるか。同意は記録されているか。同意は撤回できるか。撤回の後はどうなるか。

同意は装飾的な署名欄として用いるべきではありません。法的に必要で、適切に取得され、運用上も尊重されるべきものです。

5. VERBIS 登録とデータ目録

一定のデータ管理者は、一般に VERBIS として知られるデータ管理者登録簿への登録を求められる場合があります。

VERBIS 登録は、個人データ処理目録に基づくべきです。当局は、登録義務に服する管理者は個人データ処理目録を作成しなければならず、VERBIS の記載はそれに基づくべきだと述べています。

実際の処理活動を反映しない不十分な VERBIS 登録は、リスクを生み得ます。

企業は、登録義務に服するか、何らかの免除が適用されるか、データ目録が完全か、VERBIS の記載が実際の運用と一致するか、変更が更新されているか、保存期間が現実的か、受領者の群が正確に特定されているか、国境を越える移転の情報が正しいかを検討すべきです。

VERBIS は一度きりの様式として扱うべきではありません。事業の変更には更新が必要となり得ます。新しいソフトウェア、新しい人事の手続、新しいマーケティングの実務、新しい提供者、または国際的な報告の流れは、いずれもデータ目録に影響し得ます。

6. 従業員データと人事

雇用データは、KVKK コンプライアンスの最も機微な領域の一つです。

雇用主は、身元情報、連絡先、給与データ、銀行口座情報、社会保障データ、業績の記録、懲戒の記録、健康報告、限られた場合の犯罪歴の文書、休暇の記録、緊急連絡先、家族の情報、一部の職場における生体データ、監視カメラ(CCTV)映像、アクセスログ、メールおよび機器の利用データを含む、幅広い個人データを処理します。

従業員データは、雇用関係における力の不均衡ゆえに、とりわけ慎重に処理すべきです。

主な論点には、従業員向けプライバシー通知、雇用記録の保存、人事ファイルへのアクセス、健康データの処理、職場の機器の監視、職場での監視カメラ(CCTV)、社内調査、懲戒の手続、リモートワークのツール、従業員データのグループ会社への移転、給与計算提供者とのデータ共有、退職後の削除が含まれます。

雇用主は、後で役立つかもしれないという理由だけで過度にデータを収集することを避けるべきです。個人データは、必要で、適法で、比例的なものに限定すべきです。

7. 特別な種類の個人データ

一定の種類の個人データはより高い保護を要します。機微なデータには、適用される法律に応じて、健康データ、生体データ、労働組合への加入、犯罪歴の情報、その他の特別な種類が含まれ得ます。

企業は、雇用の健康報告、労働安全の手続、障害の記録、生体認証の入退室システム、医療サービス、保険の手続、従業員福利のプログラム、社内調査、訴訟ファイル、ダイバーシティやインクルージョンの取り組みにおいて、機微なデータに遭遇し得ます。

適切な法的根拠と保護措置なしに機微なデータを処理すると、重大なリスクを生み得ます。

企業は、機微なデータがなぜ収集されるか、収集が必要か、だれがアクセスするか、特別なセキュリティ措置が適用されるか、第三者と共有されるか、国外へ移転されるか、どれくらい保存されるか、どのように削除されるかを判断すべきです。

機微なデータは、決して通常の事務情報として扱うべきではありません。

8. マーケティング、CRM、商業的通信

マーケティングは、データ保護リスクのよくある源です。

企業は、ニュースレター、販促メール、SMS キャンペーン、顧客のセグメンテーション、CRM システム、リターゲティング、ソーシャルメディア広告、ロイヤルティプログラム、イベントの招待、リード獲得、コールセンターのフォローアップ、事業開発のために個人データを収集・利用し得ます。

マーケティングデータは、同意、プライバシー通知、電子的な商業通信の規則、Cookie の実務、CRM のアクセス権とあわせて検討すべきです。

企業は、マーケティングの連絡先がどのように収集されるか、同意が必要か、オプトアウトの仕組みが機能するか、顧客リストが適法に取得されたか、購入したデータベースが使われているか、グループ会社がマーケティングデータを共有しているか、マーケティング提供者がデータを処理しているか、同意の記録が保持されているかを検討すべきです。

事業開発のチームは、法的な確認なしに非公式の連絡先リストを使うべきではありません。これは、異なるプライバシー・マーケティングの規則が相互に作用しうるトルコ・EU・英国・中東にまたがって事業を営む企業にとって、とりわけ重要です。

9. ウェブサイト、Cookie、解析

企業のウェブサイトは、想定より多くの個人データを収集し得ます。データは、問い合わせフォーム、ニュースレターのフォーム、求人応募フォーム、Cookie、解析ツール、埋め込み地図、チャットウィジェット、ソーシャルメディアのピクセル、予約システム、ダウンロード可能なコンテンツ、IP ログ、セキュリティのツールを通じて収集され得ます。

ウェブサイトは、適切なプライバシー・Cookie の文書を備えるべきです。

企業は問うべきです——どの Cookie が使われているか。解析ツールは有効か。マーケティングのピクセルは設置されているか。データはトルコ国外へ移転されるか。一定の Cookie に利用者の同意が必要か。Cookie バナーは正確か。プライバシーポリシーは実際のツールと一致するか。フォームの送信は安全に保存されるか。ウェブサイトの問い合わせはだれが受け取るか。第三者のプラグインは適合しているか。

ウェブサイトのプライバシーポリシーは、データが保護されていると述べるだけでなく、ウェブサイトの実際の技術的構造を反映すべきです。

10. 提供者および処理者の管理

ほとんどの企業はデータを単独で処理しません。給与計算提供者、会計士、IT 提供者、クラウドホスティング企業、CRM プラットフォーム、マーケティング代理店、コールセンター、警備会社、採用プラットフォーム、決済提供者、物流提供者、ソフトウェア提供者、外部のコンサルタントといったサービス提供者を用います。

各提供者との関係は、データ保護の義務を生み得ます。

企業は、どの個人データが共有されるか、提供者がなぜ受け取るか、提供者が処理者として行為するか独立した管理者として行為するか、データ処理契約が必要か、提供者が再委託先を用いるか、データが国外へ移転されるか、どのセキュリティ措置が適用されるか、侵害の通知がどう機能するか、終了後にデータがどう返還または削除されるかを検討すべきです。

提供者との契約は、価格とサービスの範囲に限られるべきではありません。データ保護の条項は今や不可欠です。

11. 国境を越えるデータ移転

国境を越えるデータ移転は、トルコの国際的な企業にとって最も重要なコンプライアンスの論点の一つです。

多くの企業は、外国の親会社への報告、グローバルな人事システム、クラウドストレージ、CRM プラットフォーム、メールホスティング、会計システム、国際的な提供者、グループ会社のデータベース、技術サポートのアクセス、マーケティングのツール、外国のサーバーを通じて、個人データを国外へ移転します。

トルコのデータ保護当局は、法改正を受けて個人データの国境を越える移転に関するガイドを公表しており、企業は適用される移転の仕組みを慎重に検討すべきです。

企業は、グローバルなソフトウェア提供者を用いれば自動的に適合する、と考えるべきではありません。

企業は、どのデータがトルコを離れるか、どの国が受け取るか、だれが受け取るか、どの移転の仕組みが適用されるか、標準契約が必要か、当局への通知が必要か、機微なデータが関わるか、データ主体が知らされるか、提供者との契約がトルコの要件と整合するかを特定すべきです。

外国投資家にとっては、グループ内の報告や集中化されたシステムが一般的であるため、これはとりわけ重要です。

12. データ侵害とインシデント対応

データ侵害は、個人データへの権限のないアクセス、開示、滅失、改ざん、破壊、または違法な処理を含み得ます。

例としては、ランサムウェア攻撃、紛失したノートパソコン、誤った受領者に送られたメール、従業員による権限のないアクセス、ハッキングされた顧客データベース、盗まれた人事ファイル、設定を誤ったクラウドフォルダ、提供者の侵害、フィッシングの事案、露出したウェブサイトのフォームデータ、漏えいした医療・財務の記録があります。

企業は、インシデント対応計画を作るために侵害を待つべきではありません。

実務的な侵害対応計画は、だれが内部の報告を受けるか、だれが事案を評価するか、だれが証拠を保全するか、だれが IT・セキュリティの提供者に連絡するか、だれが通知の要否を判断するか、だれが影響を受けた個人と意思疎通するか、だれが経営陣に知らせるか、だれが法的秘匿と文書化を管理するか、だれがメディアや評判の問題に対応するか、是正措置がどう記録されるかを定めるべきです。

侵害ではタイミングが重要です。最初の24〜48時間の混乱は、法的・評判上の損害を生み得ます。

13. 取締役会と経営陣の責任

KVKK コンプライアンスは、すべてを下位の職員や外部のコンサルタントに委ねるべきではありません。経営陣は企業のリスクの全体像を理解すべきです。

上級の経営陣は定期的に問うべきです——自社がどの個人データを処理しているか把握しているか。プライバシー通知は正確か。同意に正しく依拠しているか。VERBIS に登録する必要があるか。データ目録は更新されているか。データを国外へ移転しているか。提供者は契約上管理されているか。侵害対応計画はあるか。従業員は研修を受けているか。保存期間は適用されているか。不要になったときにデータを削除しているか。人事と IT は法的要件と整合しているか。

データ保護は、単なる法的コンプライアンスの問題ではありません。ガバナンス、リスク、評判の問題です。

14. M&A、投資、デューデリジェンス

KVKK コンプライアンスは、合併・買収・投資の取引でますます重要になっています。

買主や投資家は、対象会社が、プライバシー通知を備えているか、必要な同意を取得しているか、データ目録を有するか、必要なら VERBIS に登録しているか、提供者との契約があるか、データを国外へ移転するか、データ侵害を被ったことがあるか、苦情を受けたことがあるか、機微なデータを処理するか、マーケティングのデータベースを使うか、顧客データを事業資産として頼っているか、従業員の監視の実務があるか、Cookie とウェブサイトのコンプライアンス文書を備えているか、削除・保存のポリシーを有するかを検討すべきです。

データ保護の問題は、評価、表明・保証、補償、クロージングの条件、クロージング後の統合、顧客データベースの利用可能性、提供者の移行、IT の再編、グループ内の報告に影響し得ます。

商業的価値が顧客データ、ソフトウェアプラットフォーム、健康記録、マーケティングのデータベース、利用者アカウントに依存する企業にとって、KVKK のデューデリジェンスは決定的であり得ます。

15. データの保存と削除

よくあるコンプライアンスの弱点は、データを無期限に保存することです。企業はしばしば、保存が安価であるため、削除が面倒であるため、またはだれが責任者かわからないために文書を保持します。しかし過度の保存は、法的・セキュリティ上のリスクを生みます。

データ保存のポリシーは、データの種類ごとの保存期間、保存の法的根拠、責任部署、削除の方法、該当する場合の匿名化の方法、アーカイブの規則、訴訟のための保持の例外、バックアップの削除の方針、定期的な見直しの過程を定めるべきです。

データの種類が異なれば、異なる保存の論理を要します。たとえば、雇用記録、会計書類、監視カメラ(CCTV)映像、マーケティングの同意、来訪者の記録、契約、訴訟ファイルは、すべて一つの一般的な期間で保存すべきではありません。

データの保存は、削除だけの問題ではありません。規律ある情報ガバナンスの問題です。

16. 社内ポリシーと研修

文書だけではコンプライアンスは生まれません。従業員は、日々の業務で個人データをどう扱うかを理解しなければなりません。

研修は、個人データとは何か、KVKK の基本原則、秘密保持、メールの誤り、安全な文書共有、パスワードとアクセスの管理、フィッシングへの意識、人事データの機微性、顧客データの取り扱い、データ主体の請求、侵害の報告、個人の機器の利用、リモートワーク、提供者との共有、ソーシャルメディアとマーケティングのデータを扱うべきです。

ポリシーは、単に形式的なものではなく、実務的であるべきです。有用な社内ポリシーには、個人データ保護ポリシー、保存・削除ポリシー、情報セキュリティポリシー、侵害対応手順、従業員プライバシーポリシー、監視カメラ(CCTV)ポリシー、クリーンデスクポリシー、許容利用ポリシー、提供者管理手順が含まれ得ます。

完璧なポリシーを持ちながら研修のない企業は、なお脆弱なままです。

17. KVKK コンプライアンスによくある誤り

よくある誤りには、次のものがあります——プライバシー通知を別の企業から写すこと、同意をすべての解決策として扱うこと、データの流れを洗い出さないこと、従業員データを無視すること、VERBIS の記載を更新しないこと、移転の分析なしに外国のクラウドツールを使うこと、従業員や顧客から過度に文書を集めること、データを無期限に保存すること、提供者を契約上管理しないこと、Cookie や追跡ツールを無視すること、従業員を研修しないこと、侵害対応計画を持たないこと、データ主体の請求を文書化しないこと、KVKK を一度きりのプロジェクトとして扱うこと、そして苦情や侵害の後にしか法律顧問を関与させないこと。

コンプライアンスの失敗の多くは、悪意によるものではありません。構造の欠如によるものです。

18. 実務的な KVKK コンプライアンス・チェックリスト

トルコで事業を営む企業は、次の問いを検討すべきです。

  1. 個人データ処理活動を洗い出したか。
  2. 処理するすべての個人データの種類を把握しているか。
  3. プライバシー通知は正確でアクセスしやすいか。
  4. 明示的同意に、適切な場合にのみ依拠しているか。
  5. 同意の記録は適切に保持されているか。
  6. VERBIS に登録する必要があるか。
  7. データ目録は更新されているか。
  8. 従業員データの手続は適合しているか。
  9. 特別な種類の個人データを処理するか。
  10. マーケティングと CRM の実務は検討されているか。
  11. ウェブサイトの Cookie と解析ツールは評価されているか。
  12. 提供者との契約はデータ保護の条項を含むか。
  13. データを国外へ移転するか。
  14. 国境を越える移転の仕組みは検討されているか。
  15. データ侵害対応計画はあるか。
  16. 従業員は研修を受けているか。
  17. 保存期間は定められているか。
  18. 必要なときにデータを削除または匿名化しているか。
  19. データ主体の請求は適切に処理されているか。
  20. 経営陣は企業のデータ保護リスクを認識しているか。
  21. 事業や技術の変更の後にコンプライアンスを見直しているか。

よくあるご質問

KVKK とは何ですか?

KVKK は、トルコの個人データ保護法の一般的な略称です。個人データの処理を規律し、データ管理者に——実務上はトルコで事業を営む多くの企業に——義務を課します。

すべての企業に KVKK コンプライアンスは必要ですか?

ほとんどの企業は個人データを処理するため、KVKK の義務を考慮する必要があります。コンプライアンスの範囲は、企業の活動、規模、データの種類、システム、提供者、移転によります。

プライバシー通知があれば十分ですか?

いいえ。プライバシー通知は重要ですが、コンプライアンスの一部にすぎません。企業はさらに、適法な処理の根拠、データの洗い出し、提供者の管理、保存のルール、セキュリティ措置、侵害対応の手順を必要とします。

明示的同意は常に必要ですか?

いいえ。明示的同意は法的根拠の一つですが、常に必要・適切とは限りません。企業は処理活動ごとに正しい法的根拠を特定すべきです。

VERBIS とは何ですか?

VERBIS はデータ管理者登録簿です。一定のデータ管理者は、登録し、個人データ処理目録に基づいて情報を維持することを求められる場合があります。

トルコの企業は外国のクラウドサービスを使えますか?

使える場合がありますが、国境を越えるデータ移転の規則を検討しなければなりません。企業は、どのデータが移転されるか、どこへ移転されるか、どの法的仕組みが適用されるかを特定すべきです。

データ侵害の後、企業は何をすべきですか?

企業は直ちに証拠を保全し、事案を評価し、法務・技術のチームを関与させ、通知義務を判断し、是正措置を講じ、すべての手順を文書化すべきです。

KVKK は企業買収で重要ですか?

はい。データ保護のコンプライアンスは、評価、表明・保証、補償、顧客データベースの利用可能性、クロージング後の統合に影響し得ます。

おわりに

KVKK コンプライアンスは形式ではありません。運用上の規律です。

トルコの企業は、自らのデータの流れを理解し、個人に適切に通知し、正しい法的根拠に依拠し、個人データを保護し、提供者を管理し、国際的な移転を評価し、起こりうる侵害に備えなければなりません。

強固なコンプライアンスの構造は事業を妨げません。事業をより信頼でき、監査でき、強靭なものにします。

国際的な投資家にとっても、トルコの企業にとっても、個人データの保護は、コーポレートガバナンス、契約、雇用の手続、IT システム、リスク管理に統合されるべきです。

データ保護を生きたコンプライアンスのプログラムとして扱う企業は、一度作って忘れられた文書のフォルダとして扱う企業よりも、より良い立場に立つでしょう。

Terziolu & Partners のご支援

Terziolu & Partners は、トルコに関わる会社・商事・規制・国境を越える案件について、企業、投資家、起業家、個人のお客様に助言します。私たちの業務には、次のものが含まれ得ます——KVKK コンプライアンスの構造の検討、プライバシー通知と社内ポリシーの作成、データ処理活動の評価、VERBIS とデータ目録に関する助言、従業員データの手続の検討、マーケティング・CRM のコンプライアンスに関する助言、提供者・データ処理契約の検討、国境を越えるデータ移転に関する助言、データ侵害対応の支援、取引におけるデータ保護のデューデリジェンスの実施、ならびに必要に応じた IT・サイバーセキュリティ・国際アドバイザーとの調整。

KVKK コンプライアンス、データ保護、または国境を越えるデータ移転の案件について、当方のチームにご相談ください。

本稿は一般的な情報の提供のみを目的としており、法的助言を構成するものではありません。データ保護の義務は、企業の活動、データの種類、法的根拠、業種、システム、提供者、移転の仕組み、セキュリティ措置、データ主体、助言の時期によって異なる場合があります。本稿のみに基づいて、いかなる行動を取り、または取らないこともすべきではありません。KVKK コンプライアンス、国境を越える移転、データ処理、提供者の管理、または侵害対応のいかなる措置を実施される前にも、具体的な法務・技術の助言をお求めください。Terziolu & Partners に問い合わせを送ることは、委任が書面で正式に受諾されない限り、また受諾されるまで、弁護士・依頼者間の関係を形成するものではありません。

規制・コンプライアンスイスタンブール
インサイト