土耳其 KVKK 合规:面向企业与外国投资者的法律指南

在土耳其,个人数据合规已不再是一项形式上的文档工作。企业必须了解自己收集哪些数据、为何处理、传输至何处、如何保护,以及出现问题时如何应对。

Terziolu & Partners30 分钟阅读
土耳其 KVKK 合规:面向企业与外国投资者的法律指南

个人数据已成为现代企业所持有的最有价值、也最敏感的资产之一。客户数据库、员工档案、供应商记录、监控(CCTV)画面、网站分析、支付信息、健康数据、营销名单、通话录音、云系统以及跨境报告流程,无一不涉及个人数据。

在土耳其,个人数据的处理主要受《个人数据保护法》规范,该法通用简称为 KVKK。

对许多公司而言,KVKK 合规最初是作为一项文档项目开始的:隐私告知、同意书、政策与登记条目。这一做法已不再足够。数据保护合规如今是一项董事会层面、运营层面与合同层面的问题。

公司必须了解:

  • 收集哪些个人数据;
  • 为何收集这些数据;
  • 适用何种法律依据;
  • 谁可以访问数据;
  • 数据存储于何处;
  • 数据是否被传输至境外;
  • 数据保存多久;
  • 数据主体如何被告知;
  • 请求如何处理;
  • 供应商如何受到管控;
  • 一旦发生数据泄露会怎样。

本指南阐释企业、投资者与国际企业在土耳其经营时应考虑的主要法律问题。

1. KVKK 合规不仅关乎科技公司

一个常见误区,是认为数据保护法只关乎科技平台、软件公司或电子商务企业。

实际上,几乎每家公司都会处理个人数据。

当一家公司聘用员工、保存薪资记录、收集客户信息、发送营销信息、录制通话、使用监控(CCTV)、管理访客、运营网站、使用 Cookie、与供应商合作、保存合同、处理发票、保存供应商联系人、使用云软件、向外国母公司报告、管理求职申请、开展内部调查,或运行忠诚度或会员计划时,都可能在处理个人数据。

因此,KVKK 合规适用于制造企业、律师事务所、诊所、酒店、学校、房地产开发商、金融企业、物流公司、零售商、代理机构、家族企业与外国投资者。

问题不在于一家公司是否处理个人数据,而在于它是否知道自己如何以及为何处理。

2. 第一步:数据梳理

一家公司若不了解自身的数据流,便无法遵守 KVKK。

在准备文档之前,公司应当梳理其个人数据处理活动。

一份切实可行的数据图谱应当识别:数据主体的类别、个人数据的类别、处理目的、法律依据、收集方式、存储位置、内部访问权限、第三方接收方、跨境传输、保存期限、安全措施,以及删除或匿名化流程。

数据主体可能包括员工、求职者、客户、潜在客户、供应商、访客、股东、董事、承包商、网站用户、患者或客户、活动参与者、员工家属与紧急联系人。

数据梳理的目的不是官僚程序,而是创造可见性。

缺乏可见性时,隐私告知可能不准确,同意书可能不必要或有瑕疵,供应商合同可能不完整,泄露应对也可能陷入混乱。

3. 隐私告知与告知义务

土耳其数据保护法的核心义务之一,是告知数据主体的义务。这通常通过隐私告知来履行。

一份隐私告知应以清晰、易获取的方式说明:数据控制者的身份、处理目的、处理的法律依据、接收方或接收方群体、收集方式、数据主体的权利,以及数据主体如何行使其权利。

土耳其个人数据保护机构强调,凡处理数据主体的个人数据时,均应告知数据主体——即便处理以明确同意或其他法律依据为基础。

隐私告知不应是从另一家公司复制而来的通用文件。不同的处理情境通常需要不同的告知——例如员工告知、求职者告知、客户告知、网站告知、监控(CCTV)告知、访客告知、供应商联系人告知、营销告知与活动参与者告知。

公司还应确保在正确的时点提供隐私告知。藏于网站页脚的告知,对于以面对面方式、通过雇佣流程或通过实体访客系统收集的数据,可能并不足够。

4. 明确同意并非总是正确的法律依据

许多公司以为,自己应对每一项数据处理活动都取得同意。这并不总是正确。

依 KVKK,明确同意是可能的法律依据之一,但并非唯一。某些处理活动可视情形而以其他法律依据为基础。

过度依赖同意可能带来问题。若公司声称处理以同意为基础,但数据主体在现实中无法拒绝,该同意便可能受到质疑。这在雇佣关系中尤为重要,因为雇主与员工之间的不对等可能影响同意的有效性。

机构将明确同意定义为:就特定事项作出、基于信息并以自由意志表达的同意。

因此公司应自问:是否真的需要明确同意?是否存在其他法律依据?同意是否针对特定事项?数据主体是否已获妥善告知?当事人能否在无不利后果的情况下拒绝?同意是否已记录?同意能否撤回?撤回之后会怎样?

同意不应被用作装饰性的签名栏。它应当是法律上必需、妥善取得并在运营中得到遵守的。

5. VERBIS 登记与数据清单

某些数据控制者可能需要在数据控制者登记系统(通用简称 VERBIS)登记。

VERBIS 登记应以个人数据处理清单为基础。机构已指出,负有登记义务的控制者必须编制个人数据处理清单,且 VERBIS 条目应以该清单为依据。

若 VERBIS 登记不能反映真实的数据处理活动,薄弱的登记可能带来风险。

公司应审查:是否负有登记义务、是否适用任何豁免、数据清单是否完整、VERBIS 条目是否与实际做法相符、变更是否已更新、保存期限是否切合实际、接收方群体是否准确识别,以及跨境传输信息是否正确。

VERBIS 不应被视为一次性的表格。业务变化可能需要更新。新软件、新的人力资源流程、新的营销做法、新供应商或国际报告流程,都可能影响数据清单。

6. 员工数据与人力资源

雇佣数据是 KVKK 合规中最敏感的领域之一。

雇主处理范围广泛的个人数据,包括身份信息、联系信息、薪资数据、银行账户信息、社会保障数据、绩效记录、纪律记录、健康报告、有限情形下的无犯罪记录文件、休假记录、紧急联系信息、家庭信息、某些工作场所的生物识别数据、监控(CCTV)画面、访问日志,以及电子邮件与设备使用数据。

由于雇佣关系中的权力不对等,员工数据应以特别的审慎加以处理。

主要问题包括员工隐私告知、雇佣记录的保存、对人事档案的访问、健康数据处理、工作设备的监控、工作场所的监控(CCTV)、内部调查、纪律程序、远程办公工具、向集团公司转移员工数据、与薪资服务商的数据共享,以及离职后的删除。

雇主应避免仅因日后可能有用便收集过多数据。个人数据应限于必要、合法且适度的范围。

7. 特殊类别个人数据

某些类别的个人数据需要更高的保护。视适用法律而定,敏感个人数据可能包括健康数据、生物识别数据、工会会员身份、刑事定罪信息及其他特殊类别。

公司可能在以下场合遇到敏感数据:雇佣健康报告、职业安全流程、残障记录、生物识别门禁系统、医疗服务、保险流程、员工福利计划、内部调查、诉讼卷宗,以及多元与包容倡议。

在缺乏适当法律依据与保障的情况下处理敏感数据,可能带来重大风险。

公司应确定:为何收集敏感数据、收集是否必要、谁可访问、是否采取特别安全措施、是否与第三方共享、是否传输至境外、保存多久,以及如何删除。

敏感数据绝不应被当作普通的行政信息对待。

8. 营销、CRM 与商业通讯

营销是数据保护风险的常见来源。

公司可能为以下用途收集并使用个人数据:通讯(newsletter)、促销邮件、短信营销、客户细分、CRM 系统、再营销、社交媒体广告、忠诚度计划、活动邀请、获客、呼叫中心跟进与业务拓展。

营销数据应与同意、隐私告知、电子商业通讯规则、Cookie 做法与 CRM 访问权限一并审查。

公司应考虑:营销联系人如何收集、是否需要同意、退订(opt-out)机制是否有效、客户名单是否合法取得、是否使用购买的数据库、集团公司是否共享营销数据、营销供应商是否处理数据,以及是否保留同意记录。

业务拓展团队不应在未经法律审查的情况下使用非正式的联系人名单。对于在土耳其、欧盟、英国或中东之间经营的公司,这尤为重要,因为不同的隐私与营销规则可能相互作用。

9. 网站、Cookie 与分析

公司网站收集的个人数据可能超出预期。数据可能通过联系表单、订阅表单、求职申请表单、Cookie、分析工具、嵌入式地图、聊天插件、社交媒体像素、预约系统、可下载内容、IP 日志与安全工具收集。

网站应具备适当的隐私与 Cookie 文件。

公司应自问:使用了哪些 Cookie?分析工具是否启用?是否安装了营销像素?数据是否传输至土耳其境外?某些 Cookie 是否需要用户同意?Cookie 横幅是否准确?隐私政策是否与实际工具相符?表单提交是否安全存储?谁接收网站咨询?第三方插件是否合规?

网站隐私政策不应仅声明数据受到保护,而应反映网站的实际技术结构。

10. 供应商与受托处理方管理

大多数公司并非独自处理数据。它们使用各类服务商,例如薪资服务商、会计师、IT 供应商、云托管公司、CRM 平台、营销代理、呼叫中心、安保公司、招聘平台、支付服务商、物流服务商、软件供应商与外部顾问。

每一段供应商关系都可能产生数据保护义务。

公司应审查:共享了哪些个人数据、供应商为何接收、供应商是作为受托处理方还是独立控制者、是否需要数据处理协议、供应商是否使用次级处理方、数据是否传输至境外、采取何种安全措施、泄露通知如何运作,以及终止后数据如何返还或删除。

供应商合同不应仅限于价格与服务范围。数据保护条款如今已不可或缺。

11. 跨境数据传输

跨境数据传输是土耳其国际公司最重要的合规问题之一。

许多公司通过以下方式将个人数据传输至境外:向外国母公司报告、全球人力资源系统、云存储、CRM 平台、电子邮件托管、会计系统、国际供应商、集团公司数据库、技术支持访问、营销工具与境外服务器。

土耳其个人数据保护机构在立法修订后发布了关于个人数据跨境传输的指南,公司应仔细审查适用的传输机制。

公司不应以为使用全球软件供应商便自动合规。

公司应识别:哪些数据离开土耳其、由哪个国家接收、由谁接收、适用何种传输机制、是否需要标准合同、是否需要向机构通知、是否涉及敏感数据、数据主体是否被告知,以及供应商合同是否与土耳其要求相一致。

对外国投资者而言,这尤为重要,因为集团报告与集中化系统颇为常见。

12. 数据泄露与事件应对

数据泄露可能涉及个人数据的未经授权访问、披露、丢失、篡改、损毁或非法处理。

例子包括勒索软件攻击、丢失的笔记本电脑、发往错误收件人的邮件、员工的未经授权访问、被黑的客户数据库、被盗的人力资源文件、配置错误的云文件夹、供应商泄露、网络钓鱼事件、暴露的网站表单数据,以及泄露的医疗或财务记录。

公司不应等到发生泄露才制定事件应对计划。

一份切实可行的泄露应对计划应界定:谁接收内部报告、谁评估事件、谁保全证据、谁联系 IT 与安全服务商、谁决定是否需要通知、谁与受影响个人沟通、谁告知管理层、谁管理法律保密与文档、谁处理媒体或声誉问题,以及纠正措施如何记录。

在泄露中,时机至关重要。最初 24–48 小时的混乱可能造成法律与声誉损害。

13. 董事会与管理层的责任

KVKK 合规不应完全交由初级人员或外部顾问。管理层应了解公司的风险状况。

高级管理层应定期自问:我们是否知道自己处理哪些个人数据?隐私告知是否准确?我们是否正确地依赖同意?是否需要在 VERBIS 登记?数据清单是否已更新?我们是否向境外传输数据?供应商是否受到合同管控?是否有泄露应对计划?员工是否接受培训?保存期限是否得到适用?不再需要时是否删除数据?人力资源与 IT 是否与法律要求保持一致?

数据保护不仅是一项法律合规问题,更是一项治理、风险与声誉问题。

14. 并购、投资与尽职调查

KVKK 合规在并购与投资交易中日益重要。

买方或投资者应审查目标公司是否:拥有隐私告知、是否取得必要的同意、是否有数据清单、在需要时是否已在 VERBIS 登记、是否有供应商协议、是否向境外传输数据、是否发生过数据泄露、是否收到投诉、是否处理敏感数据、是否使用营销数据库、是否将客户数据作为商业资产倚重、是否有员工监控做法、是否有 Cookie 与网站合规文件,以及是否有删除与保存政策。

数据保护问题可能影响估值、陈述与保证、赔偿、交割条件、交割后整合、客户数据库的可用性、供应商迁移、IT 重组与集团报告。

对于其商业价值依赖客户数据、软件平台、健康记录、营销数据库或用户账户的公司而言,KVKK 尽职调查可能至关重要。

15. 数据保存与删除

一项常见的合规弱点,是无限期保存数据。公司常因存储便宜、删除麻烦或无人知晓谁负责而保留文档。然而,过度保存会带来法律与安全风险。

一份数据保存政策应界定:按数据类别的保存期限、保存的法律依据、负责部门、删除方法、相关情形下的匿名化方法、归档规则、因诉讼而保留的例外、备份删除方式,以及定期审查流程。

不同的数据类型需要不同的保存逻辑。例如,雇佣记录、会计文件、监控(CCTV)画面、营销同意、访客记录、合同与诉讼卷宗,不应一律以单一的通用期限保存。

数据保存不仅关乎删除,更关乎有纪律的信息治理。

16. 内部政策与培训

仅有文档无法形成合规。员工必须了解在日常工作中如何处理个人数据。

培训应涵盖:什么是个人数据、KVKK 的基本原则、保密、电子邮件失误、安全的文档共享、密码与访问控制、网络钓鱼意识、人力资源数据的敏感性、客户数据的处理、数据主体请求、泄露报告、个人设备的使用、远程办公、与供应商的共享,以及社交媒体与营销数据。

政策应当切实可行,而非仅具形式。有用的内部政策可包括:个人数据保护政策、数据保存与删除政策、信息安全政策、泄露应对程序、员工隐私政策、监控(CCTV)政策、清洁桌面政策、可接受使用政策与供应商管理程序。

一家拥有完美政策却无培训的公司,仍然脆弱。

17. KVKK 合规中的常见错误

常见错误包括:从另一家公司复制隐私告知;将同意视为万能解决方案;未梳理数据流;忽视员工数据;不更新 VERBIS 条目;在未作传输分析的情况下使用外国云工具;从员工或客户处收集过多文件;无限期保存数据;未以合同管控供应商;忽视 Cookie 与追踪工具;不培训员工;没有泄露应对计划;不记录数据主体请求;将 KVKK 视为一次性项目;以及仅在投诉或泄露之后才让法律顾问介入。

许多合规失败并非源于恶意,而是源于缺乏结构。

18. 实用 KVKK 合规核查清单

在土耳其经营的公司应考虑以下问题:

  1. 我们是否梳理了个人数据处理活动?
  2. 我们是否知道所处理的所有个人数据类别?
  3. 隐私告知是否准确且易获取?
  4. 我们是否仅在适宜时才依赖明确同意?
  5. 同意记录是否得到妥善保存?
  6. 我们是否需要在 VERBIS 登记?
  7. 数据清单是否已更新?
  8. 员工数据流程是否合规?
  9. 我们是否处理特殊类别个人数据?
  10. 营销与 CRM 做法是否经过审查?
  11. 网站 Cookie 与分析工具是否经过评估?
  12. 供应商合同是否包含数据保护条款?
  13. 我们是否向境外传输数据?
  14. 跨境传输机制是否经过审查?
  15. 我们是否有数据泄露应对计划?
  16. 员工是否接受培训?
  17. 保存期限是否已界定?
  18. 我们是否在必要时删除或匿名化数据?
  19. 数据主体请求是否得到妥善处理?
  20. 管理层是否了解公司的数据保护风险?
  21. 业务或技术变化之后是否审查合规?

常见问题

什么是 KVKK?

KVKK 是土耳其《个人数据保护法》的通用简称。它规范个人数据的处理,并对数据控制者——在实践中也对许多在土耳其经营的企业——课以义务。

每家公司都需要 KVKK 合规吗?

大多数公司都会处理个人数据,因此应当考虑 KVKK 义务。合规的范围取决于公司的活动、规模、数据类别、系统、供应商与传输。

有一份隐私告知就足够了吗?

不够。隐私告知很重要,但只是合规的一部分。公司还需要合法的处理依据、数据梳理、供应商管控、保存规则、安全措施与泄露应对程序。

明确同意总是必需的吗?

不是。明确同意是法律依据之一,但并非总是必需或适宜。公司应为每一项处理活动确定正确的法律依据。

什么是 VERBIS?

VERBIS 是数据控制者登记系统。某些数据控制者可能需要登记,并依据其个人数据处理清单维护相关信息。

土耳其公司可以使用外国云服务吗?

可能可以,但必须审查跨境数据传输规则。公司应确定传输了哪些数据、传输至何处,以及适用何种法律机制。

发生数据泄露后公司应当怎么做?

公司应立即保全证据、评估事件、让法律与技术团队介入、确定通知义务、采取纠正措施,并记录所有步骤。

KVKK 在公司收购中重要吗?

重要。数据保护合规可能影响估值、陈述与保证、赔偿、客户数据库的可用性以及交割后整合。

结语

KVKK 合规并非形式,而是一种运营纪律。

土耳其的公司必须了解其数据流,妥善告知个人,依赖正确的法律依据,保护个人数据,管理供应商,评估国际传输,并为可能发生的泄露作好准备。

稳健的合规结构不会妨碍业务,而会使业务更可靠、更可审计、更具韧性。

对于国际投资者与土耳其公司而言,个人数据保护都应融入公司治理、合同、雇佣流程、IT 系统与风险管理之中。

将数据保护视为一项动态合规计划的公司,将比把它视为一次准备完便束之高阁的文件夹的公司,处于更有利的位置。

Terziolu & Partners 如何提供帮助

Terziolu & Partners 就涉及土耳其的公司、商事、监管与跨境事务,为企业、投资者、创业者与私人客户提供咨询。我们的工作可能包括:审查 KVKK 合规结构;起草隐私告知与内部政策;评估数据处理活动;就 VERBIS 与数据清单提供咨询;审查员工数据流程;就营销与 CRM 合规提供咨询;审查供应商与数据处理协议;就跨境数据传输提供咨询;支持数据泄露应对;在交易中开展数据保护尽职调查;以及在需要时与 IT、网络安全及国际顾问协调。

欢迎就 KVKK 合规、数据保护或跨境数据传输事务,与我们的团队商谈。

本文仅供一般参考,不构成法律意见。数据保护义务可能因公司的活动、数据类别、法律依据、行业、系统、供应商、传输机制、安全措施、数据主体与提供意见的日期而有所不同。不应仅凭本刊物采取或不采取任何行动。在实施任何 KVKK 合规、跨境传输、数据处理、供应商管理或泄露应对措施之前,应获取具体的法律与技术意见。向 Terziolu & Partners 提交咨询,并不形成律师与客户关系,除非且直至委托以书面正式接受。

监管与合规伊斯坦布尔
洞察