Turkish Patent and Trademark Office | What has changed for the revocation of registered trademarks?

As of today, the revocation procedure for registered trademarks in Turkey has changed and the authority to revoke registered trademarks is now vested in the Turkish Patent and Trademark Office (“Office”). Previously, this authority belonged to the Intellectual Property Courts; and the courts used to send their revocation decisions to the Office for execution. With this change, the Office will now be able to directly receive and decide on revocation requests from parties with interest.

In October 2023, the Office invited stakeholders to provide feedback for the "Draft Regulation Amending the Regulation on the Implementation of the Industrial Property Law", which was prepared to establish the procedures and principles for the implementation of this authorisation granted to the Office. However, the draft regulation has not been published on the Turkish Official Gazette yet, meaning that the details of its implementation are yet to be determined.

For details of this new procedure, please see our article here.


Our firm’s Q&A Guide on Advertising Law in Turkey can be accessed here.


Anayasa Mahkemesi’nden Reklam Kurulu’nun Ceza Yetkisini Daraltan Karar

Anayasa Mahkemesi, 13 Eylül 2023 tarihli kararı (2022/70 E. 2023/152 K.) ile 6502 sayılı Tüketicinin Korunması Hakkında Kanun’un (“Kanun") 77. maddesi ile düzenlenen ticari reklam düzenlemelerine aykırı halinde Reklam Kurulu’nun uygulamakla yetkili olduğu erişim engeli yaptırımını iptal etmiştir. Karar, 27 Ekim 2023 tarihli Resmî Gazete ’de yayımlanmıştır.

Bu doğrultuda, Kanun’un 77. maddesinin 12. fıkrasında “aykırılığın internet ortamı üzerinden gerçekleştirilmesi hâlinde, ihlalin gerçekleştiği yayın, kısım, bölüm ile ilgili olarak (URL vb. şeklinde) erişimin engellenmesine Reklam Kurulu tarafından karar verilebileceğini” ve “teknik olarak ihlale ilişkin içeriğe erişimin engellenmesi yapılamadığı veya ilgili içeriğe erişimin engellenmesi yoluyla ihlalin önlenemediği durumlarda, internet sitesinin tümüne yönelik olarak erişimin engellenmesi kararı verilebileceğini” şeklinde öngörülen hüküm Anayasa Mahkemesi tarafından iptal edilmiştir.

Bu kapsamda Anayasa Mahkemesi, iptal kararına gerekçe olarak, Anayasa’nın 26. maddesinde güvence altına alınan ifade özgürlüğünü göstermektedir. Anayasa Mahkemesi’ne göre, Reklam Kurulu’na tanınan yetki, ifade özgürlüğünü sınırı belli olmayacak şekilde daraltmaktadır. Bununla beraber, Reklam Kurulu’na tanınan yetkinin keyfi uygulamalara yol açabileceğini ve çekirdek haklar kapsamında olan ifade özgürlüğünü zedeleyebileceğini belirtmiştir. Erişim engelinin kapsamının açık bir şekilde belirtilmemiş olması ve ihlal durumunda erişime tekrar olanak sağlanacak sürenin gösterilmemiş olması, Mahkeme’nin merceği altına alınmıştır.

Ayrıca, kararın Resmî Gazete’de yayınlanmasından itibaren 9 ay sonra yürürlüğe gireceğine hükmedilmiştir. Böylece Ağustos 2024’ten itibaren, Kanun’da düzenlenen ticari reklamlara ilişkin düzenlemelere aykırılığın internet ortamı üzerinden gerçekleştirilmesi halinde, Reklam Kurulu’nun ilgili siteye yönelik erişim engeli kararı vermesi veya erişimin engellenemediği durumlarda internet sitesine yönelik tamamen erişim engeli kararı vermesi söz konusu olmayacaktır.

 

Yazarlar: Hatice Ekici Tağa, Begüm Alara Şahinkaya, Göksu Tuğrul


Constitutional Court’s Decision Restricts the Advertisement Board's Criminal Jurisdiction

The Constitutional Court annulled the Article 77 of the Law No. 6502 on the Protection of Consumers ("Law"), which authorizes the Advertisement Board to impose access blocking sanctions on those who violate the commercial advertisement regulations. The decision of the Constitutional Court (2022/70 E. 2023/152 K.) was published in the Official Gazette on October 27, 2023.

In this regard, the paragraph 12 of the Article 77 of the Law, regulated as “in the event that the violation is carried out through the internet environment, the Advertisement Board may decide to block access (in the form of URL, etc.) regarding the publication, section, section where the violation occurs” and “in cases where it is technically impossible to block access to the infringing content or where the infringement cannot be prevented by blocking access to the relevant content, a decision to block access to the entire website may be rendered” was annulled with the decision of the Constitutional Court.

In this context, the Constitutional Court cited the freedom of expression guaranteed under Article 26 of the Constitution as justification for its annulment decision. According to the Constitutional Court, the authority granted to the Advertisement Board is restricting the freedom of expression without any limitations.  The Constitutional Court further clarified that the Advertisement Board’s authority may infringe core rights and may cause arbitrary practices. The lack of a clear indication of the scope of the access block and the period for restoring access in the event of a violation was examined under the scrutiny of the Constitutional Court.

Finally, the decision underlines that the annulment will enter into force 9 months after its publication. Thus, as of August 2024, in case of a violation regarding commercial advertisements, the Advertisement Board will not be authorized to block access to the content or block access to the whole website.

 

Authors: Hatice Ekici Tağa, Begüm Alara Şahinkaya, Göksu Tuğrul


Kişisel Verileri Koruma Kurumu’ndan Yeni Rehber: Genetik Veri İşlenirken Dikkat Edilmesi Gerekenler

Kişisel Verileri Koruma Kurumu’ndan Yeni Rehber: Genetik Veri İşlenirken Dikkat Edilmesi Gerekenler

Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber (“Rehber”), 13 Ekim 2023 tarihinde Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından resmi internet sitesinde yayınlanmıştır.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) genetik veriler, ayrı bir şekilde tanımlanmamakla birlikte, özel nitelikli kişisel veri olarak kabul edilmektedir. Bu bağlamda, genetik verilerin kullanım alanları, Rehber’de (i) sağlık alanında teşhis ve tedavi amaçlı genetik analiz, (ii) üstsoy ve alt soy tespiti amaçlı genetik analiz ve (iii) genetik yatkınlık tespiti amaçlı genetik analiz olarak sıralanmaktadır.

Rehber kapsamında, genetik veri sorumluları ve ilgili kişiler, genetik verilerin işlenme şartları, veri sorumlularının yükümlülükleri, genetik veri güvenliği ve son olarak Kurum’un önerileri ve tavsiyeleri düzenlenmektedir.

  1. Veri Sorumlusu ve Veri İşleyen

Rehber, veri sorumluların belirlenmesi hususunda, Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği’ne (“Genetik Hastalıklar Yönetmeliği”) atıf yapmaktadır. Genetik Hastalıklar Yönetmeliği, genetik hastalıkların teşhisi, genetik hastalıklara yatkınlığın tespiti gibi tıbbi gereklilik halinde ve tıbbi amaçlı bilimsel araştırmalar amacıyla faaliyete bulunan bütün kuruluşların, Genetik Hastalıklar Değerlendirme Merkezi (“Merkez”) olarak faaliyet gösterebilmesi için ruhsat almasını zorunlu kılmaktadır. Bu bağlamda, Rehber, Merkezlerin Kanun’un 3. maddesi doğrultusunda veri sorumlusu niteliğini haiz olduğunu belirtmektedir.

Aynı zamanda, Merkezlerin genetik verileri tuttuğu bulut sistemlerinin veri işleyen olarak değerlendirilebileceği belirtilmektedir.

  1. İlgili Kişi

Genetik veriler, doğası gereği yalnızca bir kişiyi değil, o kişi ile genetik irtibatı olan diğer kişileri de ilgilendirmektedir. Rehber bu hususa değinerek, genetik verinin elde edildiği ilgili kişi dışında, ilgili kişi ile genetik irtibatı olan diğer kişilerin genetik verilerinin işlenmesinin, farklı bir işleme amacı doğuracağını belirtmektedir.

  1. Genetik Verilerin İşlenmesi

Genetik verilerin işlenmesi sırasında, Kanun’da yer verilen genel ilkelere uyumlu bir şekilde hareket edilmesi gerekmektedir. Bu bağlamda Rehber, özellikle aşağıdaki ilkelere değinmektedir:

  • Temel hak ve özgürlüklerin özüne dokunulmaması,
  • Genetik veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması,
  • Genetik veri işlemeyle ulaşılmak istenilen amaç ve araç arasında orantı bulunması,
  • İşlenen genetik verilerin gereken süre kadar tutulması, gereklilik ortadan kalktıktan sonra gecikmeksizin kişisel veri saklama ve imha politikasına uygun olarak imha edilmesi (Genetik Hastalıklar Yönetmeliği’nde, raporlar ve kayıtların en az 30 yıl, elektronik kayıtların yedekleme ile birlikte süresiz ve numune ve lamların en az 2 yıl süre ile muhafaza edilmesi öngörülmektedir).

Bunlara ek olarak Rehber’de, Kanun’un 6. maddesinde düzenlenen bazı veri işleme şartları, genetik veriler özelinde detaylandırılmaktadır:

  • Açık Rıza

Rehber, genetik verileri işlenen kişilerin açık rıza metnini okuyup imzalamasının yeterli olmadığının altını çizmektedir. Bu bağlamda veri sorumlusu, genetik verisi işlenen ilgili kişiye, genetik veri işleme faaliyetlerini ve sonuçlarını açık ve anlaşılır bir şekilde anlatmakla yükümlüdür. Aynı zamanda, açık rıza sonucunda işlenen genetik veriler başka amaçlarla kullanılmamalı ve veri sorumlularının ilgili kişilerin aydınlatması konusunda gerekli özen ve dikkati göstermeleri gerekmektedir. Ek olarak Rehber’de, açık rıza ile özgür irade arasındaki bağın altı çizilerek açık rızanın bir hizmetten yararlanılmasının şartı olarak sunulmasının hukuka uygun olmadığı hatırlatılmaktadır. 

Rehber uyarınca, genetik verilerin teşhis veya tedavi amaçlı işlenmediği durumlarda veri sorumlusu tarafından, ilgili kişiye (i) işleme faaliyetinin ilgili kişinin ait olduğu soy bağına mensup kişilerin kişisel verilerini içerme ihtimali, (ii) genetik verilerinin işlenmesinin barındırdığı riskler, (iii) genetik verilerin yurt dışına aktarılması durumunda, verilerin akıbetinin takip edilmesine ilişkin muhtemel zorluklar, (iv) yurt dışında yerleşik veri sorumlularının veri güvenliği konusunda barındırdığı riskler, (v) yurt dışına aktarılan genetik verilerin üçüncü kişilere aktarılma ihtimali gibi netlik arz etmeyen durumlar ve (iv) bu durumların yaratabileceği olumsuz sonuçlar hakkında açık ve ayrıntılı bir şekilde bilgi vermelidir.

Ayrıca, genetik verilerin, bir sağlık verisi olarak işlenmesi durumunda, ilgili kişinin açık rızası aranmaksızın, yalnızca (i) kamu sağlığının korunması, (ii) koruyucu hekimlik, (iii) tıbbî teşhis, (iv) tedavi ve bakım hizmetlerinin yürütülmesi, (v) sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebileceği hatırlatılmaktadır. Rehber, bu tür durumlarda, genetik verilerin sağlık gerekçeleri ile işlenmesi amacının bulunması ve zorunlu veri işleme faaliyetleri sırasında ilgili kişinin aydınlatılması gerektiğinin altını çizmektedir. 

  1. Genetik Verilerin Yurt Dışına Aktarımı

Rehber, Kanun uyarınca genetik verilerin yurt dışına aktarımı için aşağıdaki koşullardan birinin sağlanması gerektiğini belirtmektedir:

  • İlgili kişilerin açık rızalarının alınması ya da,
  • Açık rıza aranmadığı durumlarda
    • Genetik verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması (yeterli koruma bulunan yabancı ülkelerin listesi henüz Kurum tarafından yayınlanmamıştır),
    • Bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) izninin bulunması.

Bununla birlikte Rehber, ilgili kişinin veya Türkiye’nin menfaatinin ciddi bir şekilde zarar görebileceği hallerde, ilgili kamu kurumunun görüşünün alınması kaydıyla, Kurul’un izniyle yurt dışına aktarım yapılabileceğini de belirtmektedir. Ancak yurt dışındaki veri sorumluları tarafından gerekli teknik ve idari tedbirlerin alınmadığı ve ilgili kişinin veya Türkiye’nin menfaatlerinin zarar görebileceği durumlarda, Kurul’un Kanun kapsamında önlemler alabileceği de düzenlenmektedir.

  1. Veri İşleme İstisnaları

Genetik verilerin, Kanun’da düzenlenen istisnalar çerçevesinde bilimsel amaçlarla işlenmesi durumunda Rehber, aşağıdaki kriterlerin uygulanması gerektiğini ifade etmektedir:

  • Rehber, Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında sağlık verilerinin bilimsel araştırmalarda kullanılmasına ilişkin koşullara atıf yaparak, genetik verilerin veri sorumlusu tarafından ilgili kişiler ile ilişkilendirilemeyecek hale getirilmesi ve takma ad kullanımı (pseudonymization) gibi yöntemlerin kullanılması ile kişisel veri güvenliğine ilişkin risklerin en aza indirilmesi gerektiğinin altını çizmektedir.
  • Genetik verilerin bilimsel çalışma amacıyla işlenmesi Kanun’da her ne kadar bir istisna olarak düzenlenmiş olsa da Rehber, bilimsel bir çalışmadan beklenen sonuca ulaşılması için zorunlu olduğu durumlarda genetik verilerin işlenmesinin yerinde olduğunu savunmaktadır.
  • Bilimsel amaçlarla genetik verilerin işlenmesi durumunda, veri sorumlularının gerekli güvenlik tedbirleri alması ve veri işleme sürecinde amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi doğrultusunda hareket etmesi gerektiği belirtilmektedir.
  • Rehber uyarınca, bilimsel araştırmanın tamamlanmasının ardından, genetik verilerin saklanıp saklanmayacağı değerlendirilmeli ve saklanmaması durumunda imha politikasına uygun gerekli mekanizmalar inşa edilmelidir.
  1. Veri Sorumlularının Yükümlülükleri
  • Aydınlatma Yükümlülüğü

Rehber, Kanun’un veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e ek olarak, genetik veri işleyen veri sorumlularının aşağıda sıralanan hususlar konusunda da ilgili kişiyi bilgilendirmeleri gerektiğinin altını çizmektedir:

  • Genetik verilerin önemi
  • Veri ihlali durumunda ortaya çıkabilecek riskler
  • Genetik verilerin hem ilgili kişiye hem de diğer aile fertlerine ilişkin verileri içermesi
  • Sicile Kayıt Yükümlülüğü

Rehber, genetik veri işleyen veri sorumlularının Veri Sorumluları Siciline (VERBIS) kayıt yükümlülüğü bulunduğunu hatırlatmaktadır.

  • Veri Koruma Yükümlülüğü

Rehber, genetik verilerin niteliğini ve işlenmesi durumunda ortaya çıkabilecek muhtemel riskleri değerlendirerek aşağıdaki teknik ve idari tedbirlere yer vermektedir:

  • Teknik Tedbirler:
    • Rehber, genetik verilerin bulut sistemlerinde tutulmasını sakıncalı bulmaktadır. Bununla birlikte, Rehber genetik verilerin bulut sistemleri vasıtasıyla işlenmesi durumunda aşağıdaki hususlara dikkat edilmesi gerektiğini belirtmektedir:
      • Bulutta depolanan verilerin kayıtları tutulmalıdır.
      • Verilerin bulut dışında yedekleri alınmalıdır.
      • Buluttaki verilere erişim konusunda iki kademeli kimlik doğrulama kontrolü uygulanmalıdır.
      • Veriler güncel teknolojiye uygun, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir.
      • Standartlaştırılmış ve güvenli kriptografik algoritma takımında yer alan algoritmaları barındıran uygulama, cihaz ve sistemler kullanılmalı ve bu algoritmalara yönelik endüstri standartları ve en iyi uygulama örnekleri dikkate alınmalıdır.
      • Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır.
      • Kriptografik anahtarlara erişim sadece yetki sahibi kleranslı (kripto güvenlik belgesi) personel ile sınırlandırılmalıdır.
      • Mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılmalıdır.
    • Kişisel verilerin işlenmesi sırasında kullanılan cihazların bakım ve onarımı veya iadesi gibi durumlarda, cihaz içindeki veri muhafaza üniteleri sökülerek alınmalı veya bütün veriler harddisk ortamında veri sorumlusuna teslim edilmelidir. Cihazlar ve sunucularda kişisel veri olmadığına dair cihaz sahibinden yazılı taahhütname alınmalıdır.
    • Veri işleme sistemi kurulmadan önce, sistem sentetik veriler kullanılarak test edilmelidir. Test sırasında gerçek veriler kullanılıyor ise veri minimizasyonu ilkesine uygun şekilde hareket edilmelidir. Bununla birlikte, veri sorumluları sisteme yetkisiz erişim durumunda, sistem yöneticisini uyaran, verileri koruma altına alan ve rapor veren önlemler almalıdır.
    • Veri sorumluları, sistemde sertifikalı cihazlar, güncel yazılımlar kullanmalı, yama yönetimi sağlamalı ve açık kaynak kodlu yazılımlar tercih etmelidir.
    • Veri sorumluları, sistem üzerinde kullanıcı işlemlerini izleyebilmeli ve kısıtlayabilmelidir. Sistem üzerinde gerçekleştirilen hareketlerin işlem kayıtları da düzenli bir şekilde tutulmalı ve korunmalıdır.
    • Sistemlerin donanımsal ve yazılımsal güvenlik testleri düzenli olarak yapılmalıdır.
  • İdari Tedbirler:
    • Veri işleme mekanizmaları, Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (“GDPR”) düzenlenen ve bir ürünün/teknolojinin üretimine dair bütün süreçlerin gizlilik ve mahremiyet esasları önde tutularak tasarlanmasına ilişkin olan Mahremiyet Temelli Tasarım (Privacy by Design) ilkesine dayalı bir şekilde kurulmalı ve yönetilmelidir.
    • GDPR kapsamında düzenlenen Veri Koruma Etki Değerlendirmesi uygulanmalıdır.
    • Genetik verilere yalnızca eğitimli, akredite ve gizlilik sözleşmesi yapılmış personel tarafından erişilebilmelidir.
    • İşleme süreçlerine ilişkin işleme politikaları, acil durum prosedürleri ve raporlama mekanizmaları hazırlanması ve güvenli yedekleme sistemi kurulması gerekmektedir.
    • Veri sorumlularının veri işleyenlerle akdedecekleri sözleşmede ilgili güvenlik tedbirlerine yer verilmelidir.
  1. Kurum’un Öneri ve Tavsiyeleri

Kurum, genetik verilerin içerdiği bilgiler nedeniyle toplumu etkileme ve ulusal sonuçlar doğurma riskinin altını çizerek, genetik verilerin işlenme sürecinin belirli kural ve prosedürlere tabi olması gerektiğini ve ulusal önlemler alınmasının elzem olduğunu belirtmektedir.

Ek olarak, Rehber ulusal çapta alınabilecek tedbirleri aşağıdaki şekilde listelemektedir:

  • Genetik verilerin farklı işlenme amaçlarına göre farklı prosedürlerin ve kuralların uygulanmasının faydalı olacağı yer almaktadır. Örnek olarak Rehber, Genetik Hastalıklar Yönetmeliği kapsamında yurt dışına gönderilecek olan genetik veri içeren numuneleri kişisel veri olarak kabul ederek Kanun’un yurt dışına aktarım hükmü ve genel ilkeleri çerçevesinde değerlendirilmesi gerektiğini belirtmektedir.
  • Rehber, UNESCO Genel Konferansı’nın 16 Ekim 2003 tarihli İnsan Genetik Verileri Üzerine Uluslararası Bildirgesi’ne (International Declaration on Human Genetic Data) atıf yaparak, genetik veri içeren test ve araştırmaların yurt dışında yapılmasının zorunlu olduğu durumlarda mahremiyetin sağlanması ve genetik verilerin yalnızca toplanma amaçları dahilinde kullanılması konusunda gerekli önlemlerin alınması gerektiğinin altını çizmektedir.
  • Genetik verilere ilişkin test ve araştırmaların yurt içinde yapılması amacıyla ulusal laboratuvarların desteklenmesi gerektiğinin altı çizilmektedir.
  • Genetik verilerin yurt içinde barındırılması amacıyla idari düzenlemeler yapılması ve yerli, milli ve akredite bilişim altyapılarının desteklenmesi gerektiği belirtilmektedir.
  • Genetik verilerin işlenmesi ile ilgili olarak, toplumun bilgilendirilmesi sağlayacak şekilde şeffaflık, açıklık ve hesap verilebilirlik uygulamalarının geliştirilmesi gerektiği belirtilmektedir.
  • İlgili kişilerin talepleri söz konusu olduğunda, kuruluşlarda gerekli eğitimleri almış personel barındırılmasının önemli olduğunun altı çizilmektedir.

 

Yazarlar: Burak Özdağıstanli, Sümeyye Uçar, Begüm Alara Şahinkaya


New Guideline from the Turkish Personal Data Protection Authority: Considerations When Processing Genetic Data

The Guideline on Matters to Consider when Processing Genetic Data ("Guideline") was published by the Personal Data Protection Authority ("Authority") on its official website on October 13, 2023.

While genetic data is not defined separately under the Law No. 6698 on the Protection of Personal Data ("Law"), it is categorized as one of the special categories of personal data. In this context, the Guideline lists genetic data’s areas of use as (i) genetic analysis for diagnostic and therapeutic purposes in the health field, (ii) genetic analysis to determine parentage and ancestry, and (iii) genetic analysis to determine genetic predisposition.

The Guideline includes genetic data controllers and data subjects, the conditions for processing genetic data, the data controllers’ obligations, the genetic data security and, finally, the recommendations and suggestions of the Authority.

  1. Data Controllers and Data Processors

For the determination of the data controllers, the Guideline refers to the Regulation on Genetic Diseases Evaluation Centers ("Genetic Diseases Regulation"). Accordingly, the Genetic Diseases Regulation requires that, in cases of medical necessity, such as diagnosis of genetic diseases, determination of predisposition to genetic diseases, and for the purpose of scientific research for medical purposes, organizations to obtain a license to be able to operate as a Genetic Diseases Evaluation Center ("Center"). In this context, the Guideline states that the Centers are deemed data controllers under Article 3 of the Law.

The Guideline further highlights that the cloud systems in which the Centers store genetic data, may be considered as data processors.

  1. Data Subjects

Genetic data, by its very nature, concerns not only an individual but also others who are genetically related to that individual. The Guideline addresses this issue by stating that the processing of other persons’ genetic data who are genetically related to the data subject, other than the relevant data subject, will result a different purpose of processing to arise.

  1. Genetic Data Processing

The Guideline states that the processing of genetic data must comply with the general principles set out in the Law. In this context, the following principles are mentioned by the Guideline:

  • The essence of fundamental rights and freedoms shall not be violated,
  • The genetic data processing shall be appropriate to the purpose,
  • The genetic data processing tools and purposes shall be proportionate,
  • Data controllers shall act in accordance with the retention of processed genetic data for the required period of time and immediate destruction of such data when no longer needed in accordance with the personal data retention and destruction policy (under the Genetic Diseases Regulation, reports and records are required to be retained for at least 30 years, electronic records are required to be retained indefinitely with backup, and samples and slides are required to be retained for at least 2 years).

In addition, few data processing conditions regulated in Article 6 of the Law are detailed specifically for genetic data: 

  • Explicit Consent

The Guideline emphasizes that it is not sufficient for the individuals whose genetic data are processed, to read and sign the explicit consent form. In this context, the data controller is obliged to explain the genetic data processing activities and their consequences in a clear and comprehensible manner to the data subject. Moreover, genetic data processed on the basis of explicit consent should not be used for other purposes and that data controllers should take due care to inform data subjects. In addition, the Guideline highlights the link between explicit consent and free will, stating that it is not lawful to require explicit consent as a condition of providing a service/good.

Pursuant to the Guideline, if genetic data is not processed for diagnostic or therapeutic purposes, the data controller must inform the data subject in a clear and detailed manner on (i) the likelihood that the processing may involve personal data of individuals belonging to the data subject's lineage, and (ii) the risks associated with processing genetic data, (iii) potential difficulties in tracing the fate of genetic data in case it is transferred abroad,  (iv) the risks that data controllers, who are located abroad, pose in terms of data security, (v) unclear situations such as the possibility of transferal of the genetic data transferred abroad previously, to third parties, (vi) the negative consequences that these situations may create.

Furthermore, the Guideline emphasizes that if genetic data is processed as health data, it may only be processed for certain purposes without explicit consent from the data subject. These purposes include (i) protecting public health, (ii) preventative medicine, (iii) medical diagnosis, (iv) execution of treatment and care services, and (v) health services and finance planning and management. Such processing may be conducted by authorized individuals or institutions under the obligation of confidentiality. The Guideline also highlights the necessity of informing the data subject during mandatory data processing activities and ensuring the presence of a health-related purpose while processing genetic data. 

  1. International Transfer of Genetic Data

The Guideline mandates that genetic data may only be transferred abroad provided that one of the specified conditions is met in accordance with the Law:

  • If data subject’s explicit consent is obtained, or
  • In cases where explicit consent is not obtained;
    • Adequate protection is provided in the country where the genetic data will be transferred (the list of countries with adequate protection has not yet been published by the Authority),
    • If adequate protection is not provided, the sender and recipient data controllers must sign an undertaking reflecting the adequate protection and obtain permission from the Personal Data Protection Board ("Board").

Additionally, the Guideline underlines that transfers can be made abroad with the Board’s permission in cases where the interests of the data subject or Turkey may be seriously harmed, provided that the opinion of the relevant public institution is obtained. Nevertheless, if the data controllers abroad fail to take the necessary technical and administrative measures, which may harm the interests of the data subject or Turkey, the Board may also take relevant measures provided under the Law.

  1. Data Processing Exceptions

In the event that genetic data is processed for scientific purposes within the framework of the exceptions set out in the Law, the Guidelines state that the following criteria should be applied:

  • The Regulation on Personal Health Data governs the use of health data in scientific research. The Guideline refers to the Regulation on Personal Health Data and emphasizes the need to minimize risks to personal data security by rendering genetic data unattributable to data subjects and by utilizing techniques like pseudonymization.
  • Although genetic data processing for scientific studies is regulated as an exception by the Law, the Guideline asserts that genetic data processing is only appropriate when it is necessary to achieve anticipated results in scientific studies.
  • When processing genetic data for scientific purposes, data controllers must take appropriate measures to ensure security and adhere to the principle of purpose-related, limited, and proportionate data processing.
  • Upon completion of scientific research, an evaluation should be made as to whether genetic data warrants retention. If it is not deemed necessary, appropriate mechanisms should be established in compliance with the destruction policy.
  1. Data Controllers’ Obligations
  • Obligation to Inform

In addition to Article 10 of the Law regulating the data controller's obligation to inform data subjects and the Communiqué on the Procedures and Principles of the Obligation to Inform, the Guideline underlines that data controllers who process genetic data must also inform the data subject on the following issues:

  • The importance of genetic data,
  • Risks that may arise in the event of a data breach,
  • The fact that genetic data includes data of both the data subject and their family members.
  • Registration Obligation

The Guideline reminds the obligation of data controllers who process genetic data, to register with the Data Controllers Registry (VERBIS).

  • Data Protection Obligation

The Guideline evaluates the nature of genetic data and the possible risks that may arise in case of processing, and lists the following technical and administrative measures:

  • Technical Measures:
    • The Guideline does not recommend storing genetic data in cloud systems. However, the Guideline also states that the following points should be considered when processing genetic data through cloud systems:
      • Records of data stored in the cloud should be kept.
      • Data should be backed up outside the cloud.
      • Two-factor authentication control should be used to access data stored in the cloud.
      • Data should be encrypted using cryptographic methods that provide adequate security in line with the current technology.
      • Applications, devices and systems that include algorithms from the standardized and secure cryptographic algorithm suite should be used, and industry standards and best practices for these algorithms should be considered.
      • If it is necessary to use cryptographic algorithms that are not part of the standard cryptographic algorithm suite, they should be analyzed and evaluated by an authorized cryptanalysis laboratory to determine whether they provide a sufficient level of security prior to use.
      • Encryption and key management policies should be clearly defined.
      • Access to cryptographic keys should be restricted to authorized personnel with a crypto-security certificate.
      • Where possible, separate encryption keys should be used, especially for each cloud solution.
    • In cases such as maintenance, repair, or the return of equipment used in the processing of personal data, the data storage units in the equipment should be removed and transported, or all data should be delivered to the data controller on hard disk media. A written undertaking, stating that there is no personal data on the equipment and servers, should be obtained from the owner of the equipment.
    • Before installing the data processing system, it should be tested using synthetic data. If real data is used during testing, the principle of data minimization should be followed. In addition, data controllers should take measures to alert the system administrator, protect the data, and report in case of unauthorized access to the system.
    • Data controllers should use certified equipment, up-to-date software, provide patch management, and prefer open-source software.
    • Data controllers should be able to monitor and restrict user actions on the system. Transaction records of the transactions performed on the system should also be maintained and protected on a regular basis.
    • Hardware and software security tests of the systems should be performed on a regular basis.
  • Administrative Measures:
    • Data processing mechanisms should be set up and managed based on the principle of Privacy by Design, as set out in the European Union's General Data Protection Regulation ("GDPR"), which states that all processes regarding the production of a product/technology should be designed with privacy and confidentiality at the forefront.
    • Data controllers should conduct a Data Protection Impact Assessment as regulated under the GDPR.
    • Genetic data should be accessible only to trained, accredited and confidential personnel.
    • The processing policies, emergency procedures and reporting mechanisms should be prepared for processing operations, and a secure back-up system should be established, with back-ups of records kept offline.
    • The relevant security measures should be included in the contract that data controllers conclude with data processors.
  1. Recommendations and Suggestions by the Authority

Underlining the risk that genetic data may affect society and have national consequences due to the information it contains, the Authority states that the processing of genetic data should be subject to certain rules and procedures and that it is essential to take national measures.

In addition, the Guideline lists the following actions that can be taken at the national level:

  • It would be beneficial to apply different procedures and rules according to the different purposes of the processing of genetic data. For instance, the Guideline states that samples containing genetic data to be sent abroad within the scope of the Genetic Diseases Regulation should be considered as personal data and should be evaluated within the framework of the international transfer provision and general principles of the Law.
  • Referring to the International Declaration on Human Genetic Data adopted by the General Conference of UNESCO on October 16, 2003, the Guideline emphasizes that in cases where tests and research involving genetic data must be conducted abroad, necessary measures must be taken to ensure privacy and to ensure that genetic data are used only for the purposes for which they were collected.
  • The Guideline states that national laboratories should be supported to conduct testing and research on genetic data domestically.
  • Administrative arrangements should be made to host genetic data in Turkey and domestic, national and accredited IT infrastructures suitable for hosting genetic data should be supported.
  • The practices of transparency, openness and accountability should be developed in the processing of genetic data, enabling the public to be informed on such issues.
  • Data subject requests should be managed by a staff who have the necessary training.

 

Authors: Burak Özdağıstanli, Sümeyye Uçar, Begüm Alara Şahinkaya


Türk Hukuku’nda Birlikte Var Olma Sözleşmeleri

Literatürde, co-existing anlaşmaları olarak da adlandırılan birlikte var olma sözleşmeleri ve Türk Hukuku’nda düzenlenen muvafakatname, önceki marka sahibi tarafından verilen izne dayalı olarak aynı ya da ayırt edilemeyecek kadar benzer markanın aynı veya aynı türdeki mal veya hizmetler için iki farklı başvurucu adına tescil edilmesine olanak tanımaktadır.

Muvafakatname

Muvafakatname hukuk sistemimize 6769 sayılı Sınai Mülkiyet Kanunu’nun (“SMK”) 10 Ocak 2017’de yürürlüğe girmesiyle dahil olmuştur. Bu düzenlemenin temelinde, Türkiye’deki sınai mülkiyet hukukunun Avrupa Birliği düzenlemeleri ile uyumlu hale getirilmesi çalışmaları kapsamında 2016 yılında yürürlüğe giren 2015/2424 sayılı “Avrupa Birliği Marka Tüzüğü” yer almaktadır. SMK’da muvafakatname, m. 5/1(ç)’de düzenlenen mutlak ret sebeplerinden olan aynı veya aynı türdeki mal veya hizmetlerle ilgili olarak tescil edilmiş ya da daha önceki tarihte tescil başvurusu yapılmış marka ile aynı veya ayırt edilemeyecek kadar benzer işaretlerin tescil edilememesi kuralının istisnası olarak düzenlemektedir.

Muvafakatnameye ilişkin usul ve esaslar ise Sınai Mülkiyet Kanunu’nun Uygulanmasına Dair Yönetmelik (“Yönetmelik”) ile düzenlenmektedir. Yönetmelik kapsamında muvafakatname:

  • İmzalı form şeklinde düzenlenmelidir.
  • Noter onaylı olarak Türk Patent ve Marka Kurumu’na (“TürkPatent”) sunulmalıdır.
  • Her marka başvurusu için ayrı bir muvafakat formu sunulmalıdır.
  • Başvuru formuyla beraber veya karara itiraz halinde, itirazla ilgili karar verilene dek TürkPatent’e sunulabilir.
  • Kayıtsız ve şartsız olmalıdır.

Ayrıca, muvafakatnamede aşağıdaki unsurlar aranmaktadır:

  • Başvuru sahibinin kimlik ve iletişim bilgileri,
  • Muvafakat formunun başvuru aşamasında sunumu halinde muvafakata konu marka örneği, karara itiraz aşamasında sunumu halinde ise başvuru numarası,
  • Muvafakat veren başvuru veya marka sahiplerinin kimlik ve iletişim bilgileri,
  • Muvafakate konu önceki tarihli başvuru veya markalara ait başvuru ve tescil numaraları,
  • Muvafakat verilen mal veya hizmetler ile bunların sınıf numaraları,
  • Muvafakat formu başvuru veya marka sahibi adına vekil tarafından imzalanmışsa, muvafakat yetkisini içeren noter onaylı vekâletname veya söz konusu vekâletnamenin noter onaylı örneği.

Birlikte Var Olma Anlaşmaları

Muvafakatname uygulaması Türk marka hukukunu Avrupa sistemi ile yakınlaştıran uygulamalardan birisi olmakla beraber, birlikte var olma anlaşmalarını da hukuk sistemimize dahil etmiştir.

Her ne kadar birlikte var olma sözleşmeleri SMK veya Yönetmelik’te düzenlenmemekte ise de sözleşme serbestisi ilkesinin bir sonucu olarak birlikte var olmaya devam edecek markaların kullanımlarına ilişkin usul ve esasları düzenlediği için tavsiye edilmektedir. Türkiye’de günlük hayatta sıklıkla karşılaşılan bir uygulama olmasa da Yargıtay dahil olmak üzere mahkeme kararlarında yer bulmuştur ve eğer birlikte var olma sözleşmesi mevcutsa uyuşmazlıklar tarafların iradelerine uygun olarak incelenmektedir.

Birlikte var olma sözleşmelerinin düzenlenmesinde ise dikkat edilmesi gereken en önemli husus, ilgili markaların birlikte var olacak şekilde korunmasına ve kullanılmasına hizmet etmesini sağlamaktır. Bu kapsamda, markaların hangi stillerde ve ne şekilde kullanılacağı dahil olmak üzere kullanım alanları, hitap ettikleri tüketici kitlesi veya dağıtım kanalları da belirlenebilmektedir.

Ayrıca, piyasada birlikte yer alan markaların kullanım yollarının ve şekillerinin tüketiciler nezdinde karışıklığa sebebiyet vermesinin önlenmesi adına, markaların hitap edeceği tüketici kitlesi farklılaştırılabileceği gibi taraflara markaların ayırt edilmesini sağlamak adına marka ile birlikte ek bilgiye yer verme yükümlülükleri de tanınabilmektedir. Aksi takdirde, korunmaya yarar menfaati bulunan tüketiciler, markaların karışıklığa sebebiyet verdiği gerekçesiyle, SMK kapsamında markanın hükümsüzlüğünü isteyebilecektir.

Dolayısıyla, Türk hukukunda bulunan uygulamalarla benzer markaların piyasada birlikte var olabilmeleri mümkünken hem Avrupa’daki hem de Türkiye’deki gelişmeler göstermektedir ki; marka sahiplerinin menfaatleri korunurken marka mevzuatının temel ilkelerinden olan tüketicilerin yanılmasının önlenmesi de önem taşımaktadır.

 

Yazarlar: Hatice Ekici Tağa, Sümeyye Uçar, Bensu Özdemir, Göksu Tuğrul


Co-Existing Agreements under Turkish Law

Turkish legislation enables the registration of signs with the Turkish Patent and Trademark Office ("TürkPatent"), even if they are identical to or indistinguishably similar to a trademark for identical goods or services or goods and services of the same type, with co-existing agreements and deed of consent.

Deed of Consent

The deed of consent was included to our legal system with the Industrial Property Law No. 6769 ("IP Law") that came into force on January 10, 2017; which was part of the harmonization process with the "European Union Trademark Regulation" numbered 2015/2424 in 2016.

IP Law regulates the deed of consent as an exemption to the Article 5/1(ç), which is one of the absolute grounds for refusal of a trademark application, regulating that signs that are identical or indistinguishably similar to a trademark, which has been registered or applied for registration, for identical goods or services or goods and services of the same type, cannot be registered.

The principles and procedures regarding the deed of consent are regulated under the Regulation on the Implementation of Industrial Property Law ("Regulation"). According to the Regulation, the deed of consent:

  • Must be prepared as a signed form.
  • Must be presented to TürkPatent, notarized by a notary public.
  • Must be submitted separately for each trademark application.
  • Can be submitted to TürkPatent with the application form or, in the case of an objection against a TürkPatent decision, until a decision is given about the objection.
  • Must be unconditional.

In addition, the following information must be provided with the deed of consent:

  • The applicant’s identity and contact information,
  • If submitted at the application stage, the trademark sample subject to consent; or if submitted at the objection against a TürkPatent decision stage, the application number,
  • Identity and contact information of the consenting applicants or trademark owners,
  • Application and registration numbers of previous applications or trademarks subject to consent,
  • Consented goods or services and their class numbers,
  • If the deed of consent is signed by an attorney on behalf of the applicant or trademark owner, a notarized or notarized copy of a power of attorney containing the authority to provide consent.

Co-Existence Agreements

While the deed of consent is one of the practices that ensured harmonization of the IP Law with the European system, it also introduced co-existing agreements to Turkish practice.

Even though co-existence agreements are not regulated in the IP Law or the Regulation, they are recommended because as a result of the principle of freedom of contract, they regulate the procedures and principles regarding the use of trademarks that will continue to co-exist. Although the co-existence agreements are not frequently used in Turkey, they can be found in the decisions of courts, including the Supreme Court, and disputes where there is a co-existence agreement, are examined in accordance with the will of the parties.

One of the most important things regarding co-existence agreements is ensuring that the agreement enables the protection and use of the relevant trademarks in a way that they coexist. In this context, these agreements can determine the trademarks’ are of use, including the styles and ways in which they will be used, the consumer audience they will appeal to, or the distribution channels.

Additionally, to prevent creating confusion for the consumers with the co-existing trademarks’ forms of use; the target consumer audience can be differentiated as well as obligation to provide additional information with the trademarks can be regulated in order to distinguish the trademarks. Otherwise, consumers, who have an interest to protect, may request the invalidity of the trademark within the scope of the IP Law, on the grounds that the trademarks cause confusion.

Therefore, while it is possible for similar trademarks to co-exist with the practices under the Turkish law, developments in both Europe and Turkey show that while protecting the interests of trademark owners, it is essential to prevent consumers from being misled, which is one of the basic principles of the trademark legislation.

Authors: Hatice Ekici Tağa, Sümeyye Uçar, Bensu Özdemir, Göksu Tuğrul


FinTech Sector in Turkey: Critical Legislative Amendments

 

The Regulation Amending the Regulation on Payment Services and Electronic Money Issuance, Payment Service Providers (“Amending Regulation”) and the Communiqué Amending the Communiqué on the Management and Supervision of the IT Systems of Payment and Electronic Money Institutions and Data Sharing Services of Payment Service Providers in Payment Services Area (“Amending Communiqué”) has been published on the Official Gazette on October 7, 2023.

The relevant stakeholders have been eagerly anticipating the Amending Regulation and Amending Communiqué due to their significant impact on the business models of fintech companies. As expected, the Amending Regulation has introduced the significant provisions, including digital wallet services, which are regulated under the Turkish law for the first time.

In this regard, the following are the significant amendments made regarding the Regulation on Payment Services and Electronic Money Issuance, Payment Service Providers (“Regulation”) and the Communiqué on the Management and Supervision of the IT Systems of Payment and Electronic Money Institutions and Data Sharing Services of Payment Service Providers in Payment Services Area (“Communiqué”).

Digital Wallets

The Central Bank of the Republic of Turkey (“CBRT”) previously categorized the digital wallet services within the scope of payment service, under the Guidance on Associating Payments Business Models with Payment Service Types, published in September 2022 and the Guidelines on Data Sharing Services in Payment Services, published in April 2023. However, the secondary regulations did not embody any provisions on digital wallet services.

For the first time, with the publication of the Amending Regulation, digital wallet services have been introduced to the Turkish payment legislation and are now considered as payment services, which provokes the license requirements for digital wallet service providers. In this regard, in order to provide digital wallet services, these service providers will be required to obtain a license as a payment service provider and/or electronic money institution (“Institution”) from the CBRT.

The Institutions who were already providing digital wallet services must obtain authorization from the CBRT within one year from the Regulation’s effective date, namely October 7, 2024.

Definition of Digital Wallets

The Amending Regulation defines the digital wallet as a payment instrument which has the following characteristics:

  • offered as an electronic device, online service or application,
  • stores the information relating to the payment account or instrument defined by the customer,
  • enables the customer to perform a payment transaction using the information relating to the payment account or instrument defined by the customer.

Exemptions of the Digital Wallet Services

In addition to the exemptions regulated under the Law No. 6493 on Payment and Securities Settlement Systems, Payment Services and Electronic Money Institutions (“Law”), the Amending Regulation underlines the following services are not within the scope of digital wallet services:

  • Services provided by an Institution which can only identify and store the payment account held and payment instrument issued by the same Institution,
  • Services that store sensitive customer data on behalf of the business or the Institution that provided payment service, within the limits permitted by the legislation, that are not a direct party to any legal transaction with the customer, that do not create the impression on the customer that the payment transaction is performed through the custodian legal entity, where the custodian legal entity does not own the fund subject to the payment transaction at any time during the payment transaction, and that the rights and obligations regarding the activity carried out are clearly determined in the contract concluded between the parties.

Licenses for Digital Wallet Services

The Amending Regulation foresees that digital wallet service providers must obtain the following license based on the characteristics of their services:

For all digital wallet services  The Institution must be at least authorized for the issuance of payment instruments 

Depending on the services provided to the customer using the digital wallet, the Institution must be authorized to operate under the relevant licenses as well. 

For digital wallets being used as a payment instrument at businesses and funds related to these payment transactions are transferred through the Institution providing digital wallet service* The Institution must be authorized for the issuance of electronic money. 
For digital wallets that are valid in a way that the payment account within another Institution identified for the digital wallet or the payment instrument issued by another Institution is directly used for payment transactions carried out at businesses  The Institution must be authorized for the payment initiation services. 

*The transfer of the funds related to the payment transaction through the organization providing digital wallet service is not considered within the scope of such authorization since the organization providing digital wallet service provides the necessary payment services to the business for the direct use of the payment account or payment instrument defined in the digital wallet in the payment transaction to be carried out at the business.

Expansion of the Activities of the PSPs

The Regulation had established a strict regime regarding the activities of the payment service providers (“PSPs”). The Amending Regulation expands the range of activities that can be carried out by the PSPs as follows:

  • PSPs may provide (i) value-added services to legal entities and (ii) qualified services to natural persons:
    • The value-added services are defined as “services that facilitate, secure or increase the efficiency of administrative and operational processes of legal entities and businesses, such as commercial debt and receivable management, accounting, invoicing, product, stock and supply management”.
    • The qualified services are defined as “services that do not fall within the scope of payment services as per the Law but facilitate, secure or increase the efficiency of payment services offered by supporting the financial status and financial awareness of natural persons, such as individual budget management, invoice management, account verification, reminders regarding payments”.
  • PSPs may provide services as an interface provider, as stipulated under the Regulation on the Operating Principles of Digital Banks and Service Model Banking (“Digital Banks Regulation”), except for transactions related to the purchase and sale of precious metals, precious stones and foreign exchange.
    • Pursuant to the Digital Banks Regulation, the interface providers are responsible for enabling their customers to perform their banking transactions by accessing the banking services offered by the service bank through the bank's open banking services via its mobile application or internet browser-based interface.
  • PSPs may provide ancillary services that may increase the use of their payment services, such as marketing and directing the customer to the systems of the relevant financial institution in order to access the services of financial institutions whose activities are regulated and supervised by a competent authority within the framework of the relevant legislation, except for transactions related to foreign exchange.
  • PSPs may provide services within the scope of intermediation in activities related to the purchase and sale of processed precious metals and precious stones, provided that the amount of transactions to be intermediated by the PSPs within a month is limited to a maximum of 1% of the payment volume of the previous calendar year calculated in accordance with the Regulation.

Expansion of the Activities of the Open Banking Institutions

The PSPs authorized for open banking services, namely (i) payment initiation services and (ii) service of presenting consolidated information regarding the payment account on online platforms, were only allowed to provide value-added services to legal entities pursuant to the Regulation.

With the recent amendment, PSPs authorized for open banking services can provide qualified services to natural persons, including individual budget management, invoice management, account verification, reminders regarding payments.

Equal Treatment Rule

The Regulation already regulates the obligation of PSPs with regards to providing the payment account services and infrastructure services related to payment services to another PSP that wishes to use these services, on the same terms and conditions as it provides them to its other business customers, business partners and other PSPs whom it transacts.

The Amending Regulation further sets forth that, in the event that a PSP’s payment account services and infrastructure services related to payment services are used by other PSPs, including a PSP over which it has control (i.e. banks and their affiliated Institutions):

  • The PSP must offer the same services of the same nature to PSPs that are under their control and other PSPs under the same conditions and facilities and with the same fee policy, and
  • The PSP cannot direct or coerce its customers to receive services from the PSP that it has control over in a manner that would give an advantage over other PSPs.

Deadlines on License Applications

The Amending Regulation introduces novel deadlines regarding the license applications:

  • Notification Phase: The deficiencies in the information and documents at the initial notification made for the license application must be corrected within 3 months following the notification of the CBRT letter regarding the deficiency. If not corrected, the license application will be deemed as not filed.
  • License Expansion Phase: If the deficiencies in the information and documents related to the application for expansion of activity are not corrected within 6 months following the notification of the CBRT letter regarding the deficiency, the application will be deemed as not filed.

Cross-Border Data Transfers

Pursuant to the Communiqué, PSPs are required to keep their primary and secondary systems in Turkey. Additionally, it is regulated that outsource service providers are also required to keep their information systems within the borders of Turkey, if PSPs outsource services regarding the execution of payment transactions between customers.

On the other hand, with the Amending Communiqué, a more flexible regime is foreseen regarding the data localization requirement. PSPs are now allowed to share the required data with the relevant third parties abroad where one of the parties to the payment transaction is located abroad, depending on the request or instruction received from the customer regarding the payment transaction, provided that:

  • the data continues to be stored domestically,
  • it is limited only to the extent required for the smooth performance of the payment transaction,
  • in accordance with the principle of proportionality,
  • without prejudice to the obligations regarding the Article 9 of the Law on Protection of Personal Data No. 6698, which regulates the international transfer for personal data.

Furthermore, the CBRT is authorized suspend or impose additional limitations on such cross-border data transfers, if it determines that these transfers will adversely affect the development of the payments area as a result of its assessment.

 

Authors: Burak Özdağıstanli, Sümeyye Uçar, Begüm Alara Şahinkaya


Health Claims Q&A Guide - Turkey

Our firm’s Q&A Guide on Health Claims in Turkey can be accessed here.