トルコ個人データ保護法

トルコデータ保護局（DPA）は、2020年4月10日に、多国籍グループ企業間での個人データの転送に関する拘束力のある企業ルール（Binding Corporate Rules）を導入する発表を発表しました。Binding Corporate Rulesは、適切な保護レベルを備えた国を決定するために使用される基準と方法論を規定します。

これまでのDPL（Data Protection Law）に基づく、国境を越えた個人データ転送ルールでは、データ管理者によるデータ主体者の権利やデータ保護が十分に確保される場合など、一定条件下で、データ主体者から明示的な同意を得ずに、トルコ国外にデータ転送が許可されていましたが、その基準が明確でありませんでした。一方で、EUの慣行では、拘束力のある企業ルール（BCR）の実装などの自主規制アプローチにより、多国籍グループは、欧州データ保護法（GDPR）に準拠した一連のルールを拘束することにより、欧州経済領域から当該域外の関連会社にデータを転送できます。そこでトルコ個人情報保護局（DPA）は、グループ会社間の国際的なデータ転送に使用できる別の手段としてBinding Corporate Rulesを開始させました。

Binding Corporate Rules（BCR）の目的は、適切なレベルの保護を提供していると認識されていない国で活動する多国籍グループ内の国際的なデータ移転を、DPAの事前承認を条件として促進することにあります。つまり、BCRは、トルコからデータ管理者またはデータ処理者として活動するトルコ国外のグループ企業への個人データの移転に適用されます。ただし、Data Transfer Agreementとは異なり、DPAによるモデル条項が用意されておらず、自ら作成する必要があります。トルコのBCRが2020年4月に導入されたばかりで限られた情報しかない点も考慮すると、BCRの承認取得までに相当のコスト（リーガルフィー等）がかかることも想定されます。

Data Transfer Agreementと同様BCRによる承認手続きにかかる時間は、不透明で1年ほどの長期にわたる可能性があることから、多くの企業で事前承認を得るまでの期間に、個人データをトルコ国外に移転する必要性が生じるため、対象となる従業員から個人同意書を取得する必要があります。また、より短期間に個人従業員から同意を得ることが可能であれば、オンラインを利用することも可能です。ただし、紛争が生じた場合には、データ管理者であが立証責任を負うことになりますので、会社が、いつ、誰が同意したのか、同意の内容はどうだったのか、従業員の記録を残すための方法を用意しておく必要があります。共通のオンラインプラットフォームによる信頼できる方法がない場合は、代わりに電子メールで同意を得ることが望ましいと考えられます。

トルコに本社を持たないグループは、トルコのグループメンバーを通じて申請する必要があります。トルコのグループメンバーは、本社から与えられた適切な権限に従い、トルコにおける個人データ保護のための「公認グループメンバー」として行動します。したがって、トルコのグループメンバーによるDPAへのBCR申請行為を本社が承認することになります。本社が当該承認を行う際は、申請ファイルにアポスティーユ付きの公証版を添付する必要があります。
トルコのグループメンバーは、グループを代表して、正式な申請者として、以下の書類を作成し、直接または郵送で DPA に提出します。これらの書類は、(i) 申請書、(ii) BCRの文書、(iii) 申請に関連するその他の情報および文書です。

(i) 申請書：

DPAのウェブサイトで公開されている申請書によると、以下の主な情報を記載する必要があります。

o グループおよびVansanに関する一般情報

o トルコからデータが転送される国、BCRの対象となるすべてのグループメンバーとその連絡先

o グループ会社、従業員、データ処理者およびデータ対象者に対するBCRの法的拘束力を確保するための説明および宣言書

o 効果的な実施を確保するための従業員、グループ内の苦情処理メカニズム、コンプラ イアンスコントロール、BCR の実施責任者に対する研修や意識調査に関する説明

o 申請者がグループを代表してDPAとどのように連絡および調整を行うかについての情報

o グループ内の個人データ処理に関する詳細な情報（個人データのカテゴリーと目的、期間、方法など）

o 報告および記録変更の仕組みに関する情報

o データセキュリティの確保に関する情報

o 説明責任についての説明

o 追加の情報および文書（関連する国際条約（ある場合）、データが転送される国の法律およびその実施状況）

(ii) BCRの文書：

グループが採用すべき BCR 文書のドラフトは公表されていません。DPA は、BCR 文書に期待される主な内容についてのガイダンスを発表しており、次のとおりです。

o BCR を遵守する義務

o データ対象者の権利および法的請求

o BCR の違反に対する補償金の支払いと是正の責任の受諾

o 適切なトレーニングおよび認識プロセス、苦情処理メカニズム、コンプライアンス監査プロセス、BCR の実施を担当する人員のネットワークの存在

o DPA に協力する義務

o BCR の内容についての説明及び BCR の地理的範囲の記述

o DPA に対する変更の報告及び記録のメカニズム

o トルコからの移転またはトルコへの移転を対象としたデータ保護原則に関する説明、国内法によりBCRの遵守が妨げられる場合の透明性

o 説明責任およびその他のツールに関する説明

拝