Статья 9 КВКК: Передача персональных данных за границу возможна при ограниченных условиях.
Передача за границу
- Явное согласие (соответствующего лица)
- Передача в страну, обеспечивающую адекватную защиту
- Если нет достаточной защиты, письмо-обязательство + разрешение Совета директоров
Достаточно защищенная страна Список
Соответствующие страны еще не были объявлены Советом КВКК. По этой причине для каждой международной передачи требуется либо явно выраженное согласие, либо письмо-обязательство/разрешение Совета директоров.
Письмо-обязательство
- Между отправителем д��нных и получателем данных
- Обязательства по обеспечению безопасности в соответствии с KVKK
- Защита прав соответствующего лица
- Подписано или одобрено Советом директоров
Совет Разрешение
- Если подписано письмо-обязательство. Заявление в Совет директоров.
- Правление оценивает соответствующие интересы.
- Передача может быть произведена, если разрешено.
Общие сценарии передачи
- Облачные сервисы (AWS, Azure, GCP)
- Офшорное программное обеспечение/SaaS
- Автоматизация маркетинга (HubSpot, Salesforce)
- Звонок оффшорный центр
- Резервные серверы
Решение Совета KVKK
В последние годы Совет KVKK наложил серьезные административные штрафы на компании, которые передают данные за границу, и проводит строгие проверки, особенно в отношении «передач, скрытых в рамках контракта на обслуживание».
Практические рекомендации
- Проверка места хранения данных поставщиков
- Добавить пункт о местонахождении данных в облачных контрактах.
- Можно рассмотреть альтернативные варианты внутри страны.