Соответствие KVKK в Турции: юридическое руководство для компаний и иностранных инвесторов

Соблюдение требований к персональным данным в Турции — это уже не упражнение по подготовке документов. Компании должны понимать, какие данные они собирают, зачем их обрабатывают, куда передают, как защищают и как реагируют, когда что-то идёт не так.

Terziolu & Partners16 мин чтения
Соответствие KVKK в Турции: юридическое руководство для компаний и иностранных инвесторов

Персональные данные стали одним из самых ценных и чувствительных активов современных компаний. Клиентские базы, личные дела сотрудников, записи о поставщиках, записи видеонаблюдения (CCTV), веб-аналитика, платёжная информация, данные о здоровье, маркетинговые списки, записи звонков, облачные системы и трансграничные потоки отчётности — всё это связано с персональными данными.

В Турции обработка персональных данных в основном регулируется Законом о защите персональных данных, широко известным как KVKK.

Для многих компаний соответствие KVKK началось как проект по документации: уведомления о конфиденциальности, формы согласия, политики и записи в реестре. Такого подхода уже недостаточно. Соответствие защите данных сегодня — вопрос уровня совета директоров, операционный и договорный.

Компания должна понимать:

  • какие персональные данные она собирает;
  • зачем она их собирает;
  • какое правовое основание применяется;
  • кто имеет доступ к данным;
  • где хранятся данные;
  • передаются ли данные за рубеж;
  • как долго данные хранятся;
  • как информируются субъекты данных;
  • как обрабатываются запросы;
  • как контролируются поставщики;
  • что происходит в случае утечки данных.

Это руководство объясняет ключевые правовые вопросы, которые компаниям, инвесторам и международному бизнесу следует учитывать при работе в Турции.

1. Соответствие KVKK касается не только технологических компаний

Распространённая ошибка — считать, что закон о защите данных касается только технологических платформ, софтверных компаний или электронной коммерции.

На практике почти каждая компания обрабатывает персональные данные.

Компания может обрабатывать персональные данные, когда нанимает сотрудников, ведёт расчётные ведомости, собирает информацию о клиентах, рассылает маркетинговые сообщения, записывает звонки, использует видеонаблюдение (CCTV), управляет посетителями, ведёт сайт, использует cookie, работает с поставщиками, хранит договоры, обрабатывает счета, ведёт контакты поставщиков, использует облачное ПО, отчитывается перед иностранной материнской компанией, обрабатывает заявки о приёме на работу, проводит внутренние расследования или ведёт программы лояльности или членства.

По этой причине соответствие KVKK актуально для производственных компаний, юридических фирм, клиник, отелей, школ, девелоперов недвижимости, финансовых организаций, логистических компаний, ритейлеров, агентств, семейных предприятий и иностранных инвесторов.

Вопрос не в том, обрабатывает ли компания персональные данные. Вопрос в том, знает ли она, как и зачем это делает.

2. Первый шаг: картирование данных

Компания не может соблюдать KVKK, если не знает собственных потоков данных.

Прежде чем готовить документы, компании следует составить карту своих операций обработки персональных данных.

Практическая карта данных должна определять категории субъектов данных, категории персональных данных, цели обработки, правовые основания, методы сбора, места хранения, права внутреннего доступа, сторонних получателей, трансграничные передачи, сроки хранения, меры безопасности и процессы удаления или анонимизации.

Субъектами данных могут быть сотрудники, соискатели, клиенты, потенциальные клиенты, поставщики, посетители, акционеры, директора, подрядчики, пользователи сайта, пациенты или клиенты, участники мероприятий, члены семей сотрудников и контакты для экстренной связи.

Цель картирования данных — не бюрократия. Это создание видимости.

Без видимости уведомления о конфиденциальности могут быть неточными, формы согласия — излишними или дефектными, договоры с поставщиками — неполными, а реагирование на утечки — хаотичным.

3. Уведомления о конфиденциальности и обязанность информировать

Одна из центральных обязанностей по турецкому закону о защите данных — обязанность информировать субъектов данных. Обычно это выполняется через уведомления о конфиденциальности.

Уведомление о конфиденциальности должно ясно и доступно объяснять личность оператора данных, цели обработки, правовое основание обработки, получателей или группы получателей, метод сбора, права субъекта данных и порядок, в котором субъекты данных могут осуществлять свои права.

Турецкое ведомство по защите данных подчёркивает, что субъекты данных должны информироваться всякий раз, когда обрабатываются их персональные данные, даже если обработка основана на явном согласии или ином правовом основании.

Уведомление о конфиденциальности не должно быть универсальным документом, скопированным из другой компании. Разные контексты обработки обычно требуют разных уведомлений — например, уведомление для сотрудников, для соискателей, для клиентов, для сайта, для видеонаблюдения (CCTV), для посетителей, для контактов поставщиков, для маркетинга и для участников мероприятий.

Компании также следует обеспечить, чтобы уведомление о конфиденциальности предоставлялось в правильный момент. Уведомления, спрятанного в подвале сайта, может быть недостаточно для данных, собранных лично, через процессы найма или через физическую систему учёта посетителей.

4. Явное согласие не всегда является правильным правовым основанием

Многие компании полагают, что должны получать согласие для каждой операции обработки. Это не всегда верно.

Согласно KVKK, явное согласие — одно из возможных правовых оснований, но не единственное. Определённые операции обработки могут основываться на других правовых основаниях в зависимости от обстоятельств.

Чрезмерное использование согласия может создавать проблемы. Если компания говорит, что обработка основана на согласии, но субъект данных реалистично не может отказаться, согласие может быть оспорено. Это особенно важно в трудовых отношениях, где дисбаланс между работодателем и работником может влиять на действительность согласия.

Ведомство определяет явное согласие как согласие, относящееся к конкретному предмету, основанное на информации и выраженное свободной волей.

Поэтому компании следует спросить: действительно ли нужно явное согласие? Есть ли другое правовое основание? Является ли согласие конкретным? Должным ли образом проинформирован субъект данных? Может ли человек отказаться без негативных последствий? Зафиксировано ли согласие? Можно ли его отозвать? Что происходит после отзыва?

Согласие не должно использоваться как декоративная строка для подписи. Оно должно быть юридически необходимым, надлежащим образом полученным и операционно соблюдаемым.

5. Регистрация в VERBIS и реестр данных

Некоторые операторы данных могут быть обязаны зарегистрироваться в Реестре операторов данных, широко известном как VERBIS.

Регистрация в VERBIS должна основываться на реестре операций обработки персональных данных. Ведомство указало, что операторы, подлежащие обязанности регистрации, должны подготовить реестр операций обработки персональных данных и что записи VERBIS должны на нём основываться.

Слабая регистрация в VERBIS может создавать риск, если она не отражает реальные операции обработки.

Компаниям следует проверить, подлежат ли они регистрации, применяется ли какое-либо исключение, полон ли реестр данных, соответствуют ли записи VERBIS реальной практике, обновлены ли изменения, реалистичны ли сроки хранения, точно ли определены группы получателей и верна ли информация о трансграничной передаче.

VERBIS не следует рассматривать как разовую форму. Изменения в бизнесе могут потребовать обновлений. Новое ПО, новые HR-процессы, новые маркетинговые практики, новые поставщики или международные потоки отчётности — всё это может влиять на реестр данных.

6. Данные сотрудников и кадровая служба

Данные о занятости — одна из самых чувствительных областей соответствия KVKK.

Работодатели обрабатывают широкий спектр персональных данных, включая идентификационные данные, контактные данные, данные о зарплате, банковские реквизиты, данные социального обеспечения, записи об эффективности, дисциплинарные записи, медицинские справки, в ограниченных случаях документы о судимости, записи об отпусках, контакты для экстренной связи, сведения о семье, в некоторых организациях биометрические данные, записи видеонаблюдения (CCTV), журналы доступа, а также данные об использовании почты и устройств.

Данные сотрудников следует обрабатывать с особой осторожностью из-за дисбаланса сил в трудовых отношениях.

Ключевые вопросы включают уведомления о конфиденциальности для сотрудников, хранение кадровых записей, доступ к личным делам, обработку данных о здоровье, мониторинг рабочих устройств, видеонаблюдение (CCTV) на рабочем месте, внутренние расследования, дисциплинарные процессы, инструменты удалённой работы, передачу данных сотрудников компаниям группы, обмен данными с провайдерами расчёта зарплаты и удаление после увольнения.

Работодателям следует избегать сбора избыточных данных лишь потому, что они могут пригодиться позже. Персональные данные должны ограничиваться тем, что необходимо, законно и соразмерно.

7. Специальные категории персональных данных

Определённые категории персональных данных требуют более высокой защиты. Чувствительные данные могут включать данные о здоровье, биометрические данные, членство в профсоюзе, сведения об уголовной судимости и другие специальные категории в зависимости от применимого права.

Компании могут сталкиваться с чувствительными данными в медицинских справках по занятости, процессах охраны труда, записях об инвалидности, биометрических системах доступа, медицинских услугах, страховых процессах, программах льгот для сотрудников, внутренних расследованиях, судебных делах и инициативах по разнообразию или инклюзии.

Обработка чувствительных данных без надлежащего правового основания и гарантий может создавать значительный риск.

Компаниям следует определить, зачем собираются чувствительные данные, необходим ли сбор, кто имеет доступ, применяются ли особые меры безопасности, передаются ли данные третьим лицам, передаются ли за рубеж, как долго хранятся и как удаляются.

Чувствительные данные никогда не должны рассматриваться как обычная административная информация.

8. Маркетинг, CRM и коммерческие коммуникации

Маркетинг — распространённый источник риска для защиты данных.

Компании могут собирать и использовать персональные данные для рассылок, рекламных писем, SMS-кампаний, сегментации клиентов, систем CRM, ретаргетинга, рекламы в соцсетях, программ лояльности, приглашений на мероприятия, генерации лидов, сопровождения через колл-центр и развития бизнеса.

Маркетинговые данные следует рассматривать вместе с согласием, уведомлениями о конфиденциальности, правилами электронных коммерческих сообщений, практикой использования cookie и правами доступа в CRM.

Компаниям следует учитывать, как собираются маркетинговые контакты, требуется ли согласие, работают ли механизмы отказа (opt-out), законно ли получены списки клиентов, используются ли купленные базы данных, делятся ли компании группы маркетинговыми данными, обрабатывают ли данные маркетинговые поставщики и ведутся ли записи о согласии.

Команда по развитию бизнеса не должна использовать неформальные контактные списки без правовой проверки. Это особенно актуально для компаний, работающих в Турции, ЕС, Великобритании или на Ближнем Востоке, где могут взаимодействовать разные правила конфиденциальности и маркетинга.

9. Сайт, cookie и аналитика

Сайт компании может собирать больше персональных данных, чем ожидается. Данные могут собираться через контактные формы, формы подписки, формы заявок о приёме на работу, cookie, инструменты аналитики, встроенные карты, чат-виджеты, пиксели соцсетей, системы записи на приём, загружаемый контент, IP-журналы и инструменты безопасности.

У сайта должна быть надлежащая документация по конфиденциальности и cookie.

Компаниям следует спросить: какие cookie используются? Активны ли инструменты аналитики? Установлены ли маркетинговые пиксели? Передаются ли данные за пределы Турции? Требуется ли согласие пользователя для определённых cookie? Точен ли баннер cookie? Соответствует ли политика конфиденциальности фактическим инструментам? Безопасно ли хранятся отправленные формы? Кто получает запросы с сайта? Соответствуют ли требованиям сторонние плагины?

Политика конфиденциальности сайта не должна просто заявлять, что данные защищены. Она должна отражать фактическую техническую структуру сайта.

10. Управление поставщиками и обработчиками

Большинство компаний не обрабатывают данные в одиночку. Они используют поставщиков услуг, таких как провайдеры расчёта зарплаты, бухгалтеры, ИТ-поставщики, компании облачного хостинга, платформы CRM, маркетинговые агентства, колл-центры, охранные компании, рекрутинговые платформы, платёжные провайдеры, логистические провайдеры, поставщики ПО и внешние консультанты.

Каждое отношение с поставщиком может создавать обязательства по защите данных.

Компаниям следует проверить, какие персональные данные передаются, зачем поставщик их получает, действует ли поставщик как обработчик или как самостоятельный оператор, нужен ли договор об обработке данных, использует ли поставщик субобработчиков, передаются ли данные за рубеж, какие меры безопасности применяются, как работает уведомление об утечке и как данные возвращаются или удаляются после прекращения.

Договоры с поставщиками не должны ограничиваться ценой и объёмом услуг. Положения о защите данных теперь обязательны.

11. Трансграничная передача данных

Трансграничная передача данных — один из важнейших вопросов соответствия для международных компаний в Турции.

Многие компании передают персональные данные за рубеж через отчётность перед иностранной материнской компанией, глобальные HR-системы, облачное хранилище, платформы CRM, хостинг электронной почты, бухгалтерские системы, международных поставщиков, базы данных компаний группы, доступ для технической поддержки, маркетинговые инструменты и иностранные серверы.

Турецкое ведомство по защите данных опубликовало руководство по трансграничной передаче персональных данных после изменений в законодательстве, и компаниям следует внимательно проверить применимый механизм передачи.

Компаниям не следует полагать, что использование глобального поставщика ПО автоматически обеспечивает соответствие.

Им следует определить, какие данные покидают Турцию, какая страна их получает, кто их получает, какой механизм передачи применяется, нужны ли стандартные договоры, требуется ли уведомление ведомства, затронуты ли чувствительные данные, информируются ли субъекты данных и соответствуют ли договоры с поставщиками турецким требованиям.

Для иностранных инвесторов это особенно важно, поскольку отчётность внутри группы и централизованные системы распространены.

12. Утечки данных и реагирование на инциденты

Утечка данных может включать несанкционированный доступ, раскрытие, потерю, изменение, уничтожение или незаконную обработку персональных данных.

Примеры включают атаку программы-вымогателя, потерянный ноутбук, письмо, отправленное не тому получателю, несанкционированный доступ сотрудника, взломанную клиентскую базу, украденное кадровое дело, неправильно настроенную облачную папку, утечку у поставщика, фишинговый инцидент, открытые данные форм сайта и утёкшие медицинские или финансовые записи.

Компании не следует ждать утечки, чтобы создать план реагирования на инциденты.

Практический план реагирования должен определять, кто получает внутренние сообщения, кто оценивает инцидент, кто сохраняет доказательства, кто связывается с ИТ- и охранными провайдерами, кто решает, требуется ли уведомление, кто общается с затронутыми лицами, кто информирует руководство, кто управляет юридической тайной и документацией, кто занимается вопросами СМИ или репутации и как фиксируются корректирующие меры.

При утечке важно время. Замешательство в первые 24–48 часов может причинить юридический и репутационный ущерб.

13. Ответственность совета директоров и руководства

Соответствие KVKK не следует полностью делегировать младшему персоналу или внешним консультантам. Руководство должно понимать профиль рисков компании.

Высшему руководству следует периодически спрашивать: знаем ли мы, какие персональные данные обрабатываем? Точны ли наши уведомления о конфиденциальности? Правильно ли мы полагаемся на согласие? Обязаны ли мы регистрироваться в VERBIS? Обновлён ли наш реестр данных? Передаём ли мы данные за рубеж? Контролируются ли поставщики договорно? Есть ли у нас план реагирования на утечки? Обучаются ли сотрудники? Применяются ли сроки хранения? Удаляем ли мы данные, когда они больше не нужны? Согласованы ли HR и ИТ с правовыми требованиями?

Защита данных — не только вопрос правового соответствия. Это вопрос управления, риска и репутации.

14. M&A, инвестиции и due diligence

Соответствие KVKK всё более актуально при слияниях, поглощениях и инвестиционных сделках.

Покупателю или инвестору следует проверить, есть ли у целевой компании уведомления о конфиденциальности, получены ли необходимые согласия, есть ли реестр данных, зарегистрирована ли она в VERBIS, если требуется, есть ли договоры с поставщиками, передаёт ли она данные за рубеж, случались ли утечки данных, получала ли она жалобы, обрабатывает ли чувствительные данные, использует ли маркетинговые базы, полагается ли на клиентские данные как на актив, есть ли практики мониторинга сотрудников, есть ли документы по соответствию для cookie и сайта и есть ли политики удаления и хранения.

Вопросы защиты данных могут влиять на оценку, гарантии, возмещения, условия закрытия, интеграцию после закрытия, пригодность клиентской базы к использованию, миграцию поставщиков, реструктуризацию ИТ и отчётность внутри группы.

Для компаний, чья коммерческая ценность зависит от клиентских данных, программных платформ, медицинских записей, маркетинговых баз или пользовательских аккаунтов, due diligence по KVKK может быть критичным.

15. Хранение и удаление данных

Распространённая слабость в соответствии — бессрочное хранение данных. Компании часто хранят документы, потому что хранилище дёшево, удаление неудобно или никто не знает, кто ответственен. Однако чрезмерное хранение создаёт правовой риск и риск безопасности.

Политика хранения данных должна определять срок хранения по категории данных, правовое основание хранения, ответственное подразделение, метод удаления, метод анонимизации при необходимости, правила архивирования, исключения для удержания в связи с судебным спором, подход к удалению резервных копий и процесс периодического пересмотра.

Разные типы данных требуют разной логики хранения. Например, кадровые записи, бухгалтерские документы, записи видеонаблюдения (CCTV), маркетинговые согласия, журналы посетителей, договоры и судебные дела не должны храниться под одним общим сроком.

Хранение данных касается не только удаления. Речь идёт о дисциплинированном управлении информацией.

16. Внутренние политики и обучение

Одни документы не создают соответствия. Сотрудники должны понимать, как обращаться с персональными данными в повседневной работе.

Обучение должно охватывать, что такое персональные данные, базовые принципы KVKK, конфиденциальность, ошибки в электронной почте, безопасный обмен документами, контроль паролей и доступа, осведомлённость о фишинге, чувствительность HR-данных, обращение с клиентскими данными, запросы субъектов данных, сообщение об утечках, использование личных устройств, удалённую работу, передачу поставщикам и данные соцсетей и маркетинга.

Политики должны быть практическими, а не просто формальными. Полезные внутренние политики могут включать политику защиты персональных данных, политику хранения и удаления, политику информационной безопасности, процедуру реагирования на утечки, политику конфиденциальности сотрудников, политику видеонаблюдения (CCTV), политику чистого стола, политику допустимого использования и процедуру управления поставщиками.

Компания с идеальными политиками, но без обучения остаётся уязвимой.

17. Распространённые ошибки в соответствии KVKK

К распространённым ошибкам относятся: копирование уведомлений о конфиденциальности из другой компании; восприятие согласия как решения для всего; отсутствие картирования потоков данных; игнорирование данных сотрудников; необновление записей VERBIS; использование иностранных облачных инструментов без анализа передачи; сбор избыточных документов от сотрудников или клиентов; бессрочное хранение данных; отсутствие договорного контроля поставщиков; игнорирование cookie и инструментов отслеживания; отсутствие обучения сотрудников; отсутствие плана реагирования на утечки; отсутствие документирования запросов субъектов данных; восприятие KVKK как разового проекта; и привлечение юридического советника только после жалобы или утечки.

Многие провалы в соответствии вызваны не недобросовестностью. Они вызваны отсутствием структуры.

18. Практический чек-лист соответствия KVKK

Компаниям, работающим в Турции, следует рассмотреть следующие вопросы:

  1. Составили ли мы карту операций обработки персональных данных?
  2. Знаем ли мы все категории персональных данных, которые обрабатываем?
  3. Точны ли и доступны ли наши уведомления о конфиденциальности?
  4. Полагаемся ли мы на явное согласие только там, где это уместно?
  5. Надлежащим ли образом ведутся записи о согласии?
  6. Обязаны ли мы регистрироваться в VERBIS?
  7. Обновлён ли наш реестр данных?
  8. Соответствуют ли процессы обработки данных сотрудников?
  9. Обрабатываем ли мы специальные категории персональных данных?
  10. Пересмотрены ли маркетинговые и CRM-практики?
  11. Оценены ли cookie сайта и инструменты аналитики?
  12. Содержат ли договоры с поставщиками положения о защите данных?
  13. Передаём ли мы данные за рубеж?
  14. Пересмотрены ли механизмы трансграничной передачи?
  15. Есть ли у нас план реагирования на утечку данных?
  16. Обучаются ли сотрудники?
  17. Определены ли сроки хранения?
  18. Удаляем ли или анонимизируем ли мы данные, когда требуется?
  19. Надлежащим ли образом обрабатываются запросы субъектов данных?
  20. Осведомлено ли руководство о рисках защиты данных компании?
  21. Пересматривается ли соответствие после деловых или технологических изменений?

Часто задаваемые вопросы

Что такое KVKK?

KVKK — распространённое сокращение турецкого Закона о защите персональных данных. Он регулирует обработку персональных данных и налагает обязательства на операторов и, на практике, на многие компании, работающие в Турции.

Нужно ли каждой компании соответствие KVKK?

Большинство компаний обрабатывают персональные данные и поэтому должны учитывать обязательства KVKK. Объём соответствия зависит от деятельности компании, её размера, категорий данных, систем, поставщиков и передач.

Достаточно ли уведомления о конфиденциальности?

Нет. Уведомление о конфиденциальности важно, но это лишь часть соответствия. Компаниям также нужны законные основания обработки, картирование данных, контроль поставщиков, правила хранения, меры безопасности и процедуры реагирования на утечки.

Всегда ли требуется явное согласие?

Нет. Явное согласие — одно из правовых оснований, но оно не всегда необходимо или уместно. Компаниям следует определить правильное основание для каждой операции обработки.

Что такое VERBIS?

VERBIS — Реестр операторов данных. Некоторые операторы могут быть обязаны зарегистрироваться и вести сведения на основе своего реестра операций обработки персональных данных.

Могут ли турецкие компании использовать иностранные облачные сервисы?

Возможно, но нужно проверить правила трансграничной передачи данных. Компания должна определить, какие данные передаются, куда они передаются и какой правовой механизм применяется.

Что компании следует делать после утечки данных?

Компании следует немедленно сохранить доказательства, оценить инцидент, привлечь юридические и технические команды, определить обязательства по уведомлению, принять корректирующие меры и задокументировать все шаги.

Имеет ли KVKK значение при приобретении компаний?

Да. Соответствие защите данных может влиять на оценку, гарантии, возмещения, пригодность клиентской базы к использованию и интеграцию после закрытия.

Заключение

Соответствие KVKK — не формальность. Это операционная дисциплина.

Компании в Турции должны понимать свои потоки данных, надлежащим образом информировать людей, полагаться на правильные правовые основания, защищать персональные данные, управлять поставщиками, оценивать международные передачи и готовиться к возможным утечкам.

Сильная структура соответствия не мешает бизнесу. Она делает бизнес более надёжным, проверяемым и устойчивым.

Как для международных инвесторов, так и для турецких компаний защита персональных данных должна быть интегрирована в корпоративное управление, договоры, процессы найма, ИТ-системы и управление рисками.

Компании, относящиеся к защите данных как к живой программе соответствия, окажутся в лучшем положении, чем те, кто рассматривает её как папку документов, подготовленную однажды и забытую.

Как может помочь Terziolu & Partners

Terziolu & Partners консультирует компании, инвесторов, предпринимателей и частных клиентов по корпоративным, коммерческим, регуляторным и трансграничным вопросам, связанным с Турцией. Наша работа может включать анализ структур соответствия KVKK; подготовку уведомлений о конфиденциальности и внутренних политик; оценку операций обработки данных; консультирование по VERBIS и реестру данных; анализ процессов обработки данных сотрудников; консультирование по соответствию маркетинга и CRM; анализ договоров с поставщиками и об обработке данных; консультирование по трансграничной передаче данных; поддержку реагирования на утечки данных; проведение due diligence по защите данных в сделках; и координацию с ИТ-, кибербезопасностными и международными консультантами при необходимости.

Обсудите вопрос соответствия KVKK, защиты данных или трансграничной передачи данных с нашей командой.

Эта статья предоставляется исключительно в общих информационных целях и не является юридической консультацией. Обязательства по защите данных могут различаться в зависимости от деятельности компании, категорий данных, правового основания, сектора, систем, поставщиков, механизмов передачи, мер безопасности, субъектов данных и времени получения консультации. Никаких действий не следует предпринимать или воздерживаться от них исключительно на основании этой публикации. Перед реализацией любой меры по соответствию KVKK, трансграничной передаче, обработке данных, управлению поставщиками или реагированию на утечку следует получить конкретную юридическую и техническую консультацию. Направление обращения в Terziolu & Partners не создаёт отношений «адвокат — клиент», если и пока поручение не будет официально принято в письменной форме.

Регулирование и комплаенсСтамбул
Аналитика