ЗАЩИТА НА ЛИЧНИ ДАННИ И ИЗПОЛЗВАНЕ НА БИОМЕТРИЧНИ ДАННИ В ТУРЦИЯ

I. ЗАЩИТА НА ЛИЧНИ ДАННИ ПРЕГЛЕД

Защитата на личните данни беше спорна тема в Турция в продължение на много години, главно поради процедурите за присъединяване към Европейския съюз. Въпреки че Турция подписа и следователно е страна по Договор № 108 на Европейския съюз за защита на лицата по отношение на автоматичното обработване на лични данни (Договор 108) още през 1981 г., последващите местни разпоредби никога не са били приложени и следователно Договор 108 никога не е влязъл в сила.

За да поправи това, Турция прие нов закон относно защитата на личните данни, Закон за защита на личните данни № 6698, който беше публикуван в Законодателен вестник от 7 април 2016 г. и № 29677 (Закон), следователно ефективно прилага Договорът 108 на вътрешния пазар.

Този закон се разглежда като много необходимо подобрение в защитата на личните данни и определя нови задължения към притежателите на данни, надзорните органи и обработващите лични данни за запазване на личните данни по всяко време. Законът обаче има малко неясни дефиниции, когато става въпрос за дефиниране на това какво представляват лични данни, които могат да бъдат намерени и в Договор 108.

Тези неясни дефиниции позволяват гъвкава дефиниция на това какво представляват лични данни, което позволява различни набори от данни да се считат за лични данни без необходимост от изменения в законодателството. Това обаче може също да причини неяснота и объркване по отношение на определени набори от данни, като например биометрични данни. Съответно, за да се определят правилата относно използването на биометрични данни, първо трябва да се разгледат общите принципи и определението на личните данни.

II. ОПРЕДЕЛЕНИЕ НА ЛИЧНИ ДАННИ И МЕТОДИ НА ОБРАБОТКА

Член 2 от Закона определя личните данни като „цялата информация, свързана с идентифицирано или идентифицируемо физическо лице“, докато член 6 гласи, че „лични данни, свързани с раса, етнически произход, политически възгледи, философски убеждения, религия, секта или други вярвания, облекло, членство в асоциации, фондации или синдикати, здраве, сексуален живот, убеждения и мерки за сигурност, както и биометрични и генетични данните се считат за лични данни от специално естество".

Член 2 също така определя обработването на лични данни като „всяка операция, извършена върху лични данни, като събиране, запис, съхранение, задържане, промяна, реорганизация, разкриване, прехвърляне, поемане, правене на възстановяване, класифициране или предотвратяване на използването им, изцяло или частично чрез автоматични средства или при условие, че процесът е част от всяка система за регистър на данни чрез неавтоматични средства".

Съответно, дори събирането, записването и/или съхранението на лични данни се счита за обработка на данни и следователно подлежи на строгите процедурни правила, предвидени в закона. Следователно всяко действие, посочено в член 2 по отношение на лични данни, подлежи на изричното съгласие на собственика на данните съгласно член 5. Разбира се, има някои изключения от това правило. Съгласно член 5 лични данни могат да бъдат обработвани без изричното съгласие на собственика на данните, ако:

а) ясно е предвидено от законите,
б) е задължително за защита на живота или физическата неприкосновеност на лицето или на всяко друго лице, което е телесно неспособно да даде своето съгласие или чието съгласие се счита за невалидно,
в) обработването на лични данни, принадлежащи на страните по договор, се изисква, при условие че е пряко свързано със сключването или изпълнението на този договор,
г) е задължително администраторът да може да изпълнява своите законови задължения,
д) съответните данни са предоставени на обществеността от самия субект на данните,
е) обработката на данни е задължителна за установяване, упражняване или защита на всяко право,
ж) е задължително за законните интереси на администратора, при условие че това обработване не нарушава основните права и свободи на субекта на данните.

III. ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА И ПРАВА НА СОБСТВЕНИКИТЕ НА ДАННИ

  • Задължения на администратора на лични данни

Съгласно член 10, по време на събирането и/или обработката на данни, администраторът на данни или лицата, упълномощени от администратора, са длъжни да информират собственика на данните относно (а) самоличността на администратора и всички негови представители, (б) цел на обработката на данни, (в) на кого и за какви цели могат да бъдат прехвърлени обработваните данни и (г) метода и правната причина за събиране на лични данни.

Освен това от администраторите на данни се изисква да предприемат всички необходими мерки, технически и административни, за да предотвратят незаконен достъп и/или обработка на такива данни. Ако данните се обработват/обработват от упълномощени трети страни, тогава администраторът на данни носи солидарна отговорност заедно с третото лице за предприемането на тези превантивни мерки и гарантиране на безопасността на събраните данни.

  • Права на собственика на данните

Освен задълженията, наложени на администраторите на лични данни, собствениците на данни имат и справедлив размер на правата съгласно Закона. Съгласно член 11, собствениците на данни имат право да изискват от администратора на лични данни информация относно това дали неговите/нейните лични данни се обработват или по друг начин се съхраняват и събират, ако е така, тогава с каква цел и до каква степен се обработват личните данни , информация относно трети лица, които имат достъп до такава информация, ако има такива, да поискат коригиране на непълната или неточна информация, ако има такава, да поискат изтриване и/или унищожаване на съответните лични данни и да поискат обезщетение за претърпени вреди поради неправомерно обработване на лични данни.

Двете важни права за собствениците на данни тук са правото да поискат коригиране на непълната или неточна информация и правото да претендират обезщетение за вреди, понесени поради неправомерно обработване на данни. Това на практика дава право на собственика на данните да изтрие и унищожи личните си данни, които се обработват или са били обработвани в миналото, а също така дава право да иска обезщетение, ако администраторите на данни нарушат задълженията си, произтичащи от закона.

IV. ОПРЕДЕЛЕНИЕ НА БИОМЕТРИЧНИ ДАННИ

Доскоро законодателството не предоставяше отделна дефиниция за биометрични данни или ясна и обширна дефиниция на това какво представляват лични данни. Вместо това личните данни бяха определени като „цялата информация, свързана с идентифицирано или идентифицируемо физическо лице“. Единствената друга класификация по отношение на личните данни е определението за „лични данни от специално естество“, посочено в член 6 (както е отбелязано по-горе).

Въпреки че този член 6 е почти пряк превод на член 6 от Договора 108, има една съществена разлика. Още през 1981 г., когато за първи път беше приложен Договор 108, терминът биометрични данни не съществуваше и следователно този термин не беше включен в оригиналния текст на Договор 108 и биометричните данни не бяха класифицирани като лични данни от специално естество. Член 6 от Закона обаче отбелязва, че „биометрични и генетични данни” се считат за лични данни от специално естество.

Интересен факт е прецедентът на Апелативния съд по отношение на биометричните данни (издадени преди прилагането на закона). Според прецедента, установен от Апелативния съд, „пръстови отпечатъци и биологични проби като ДНК, коса, слюнка и проби от нокти“ се считат за лични данни.

Освен това Конституционният съд, позовавайки се на съответните членове на Договор 108, постанови, че „данните, получени чрез биометрични методи“ се считат за лични данни, но тези данни не могат да се считат за „изключително чувствителни лични данни, като политически мнения , религиозни вярвания, здраве, сексуален живот или наказателни присъди, както е посочено в член 6 от Договора 108”. Следователно не е ясно как трябва да се преразгледа този съдебен прецедент в светлината на новите промени в закона, въпреки че се очаква Апелативният съд да измени този прецедент в съответствие с новия закон.

V. БИОМЕТРИЧНА ОБРАБОТКА НА ДАННИ

С последните технологични постижения и биометричните технологии, които стават по-евтини, търсенето и достъпът до такива технологии се увеличиха драстично. Биометричните скенери се използват все по-често за сигурност (особено в технологични компании, където поверителната информация е с висока стойност и в големи компании, холдинги с голям брой служители) и за целите на идентификация (най-вече в медицинския сектор, в болници, клиники и др.).

Най-важният проблем при използването на биометрични данни за целите на сигурността и/или идентификацията е получаването на изричното съгласие на собственика на данните. Ако е необходимо съгласие от всеки собственик на данни, тогава как могат компаниите да използват системи за сигурност, които изискват биометрични данни (като безопасни/поверителни стаи, достъпни чрез скенери за пръстови отпечатъци), ако един или повече от служителите им откажат да го предоставят, или компаниите могат да изискват своите служители да използват биометрични скенери, за да следят техните смени, или медицинският сектор може да изисква биометрични данни, преди да предостави медицинска помощ, за да провери самоличността на пациентите?

Всичко това са спорни въпроси поради скорошното развитие на технологиите, което позволява подобни системи да бъдат внедрени на много по-ниска цена. Освен това биометричните скенери и системите за сигурност са вероятно по-сигурни от обикновените пароли, които могат да бъдат разбити, или по-сигурни системи за идентификация от подписа на човек, който може да бъде дублиран.

За съжаление Законът и последващите наредби не дават ясни отговори на тези въпроси. Следователно висшите съдилища (главно Апелативният съд, Държавният съвет и Конституционният съд) са постановили различни решения за различните ситуации за всеки отделен случай, в зависимост от принципа на пропорционалност.

  • Биометрични данни в медицинския сектор за целите на идентификация на пациента

Съгласно член 67 от Закона за социално и общо здравно осигуряване № 5510, държавните болници в Турция могат да изискват от пациентите си да предоставят своите биометрични данни като средство за проверка на идентификацията на пациента (членът гласи, че пациентите трябва да докажат или самоличността им чрез биометрични средства или с лична карта, шофьорска книжка, свидетелство за брак или паспорт, за да се възползват от здравни услуги).

Съответно някои държавни болници започнаха да използват биометрични проверки за проверка на самоличността на пациента-жалбоподател и това предизвика известно противоречие, тъй като се разглеждаше като нарушение на правото на личен живот.

И накрая, през 2014 г. Държавният съвет подаде жалба до Конституционния съд за отмяна на съответните разпоредби в този член 67, като твърди, че той нарушава членове 2, 13 и 20 от Конституцията. Конституционният съд отхвърли молбата и постанови, че биометричните данни могат да се изискват от държавните болници за проверка на самоличността на пациента и това не нарушава правото на личен живот, заложено в Конституцията. 

Обосновката, дадена от Съда в това решение, е, че тъй като проверката на самоличността чрез биометрични средства е по-сигурна срещу неоторизирано използване, тъй като такива данни не могат да бъдат фалшифицирани, тя е много по-ефективна в борбата с корупцията в държавните служби.

С други думи, Съдът постанови, че предотвратяването на злоупотребата със здравната система е от първостепенно значение и в сравнение с нарушаването на правото на личен живот, тази разпоредба не нарушава принципа на пропорционалност. Поради това Съдът постанови, че тази разпоредба не нарушава конституцията, тъй като е имало пропорционалност между защитаваните права (целостта на здравната система) и тези, които са били нарушени (правото на личен живот).

  • Биометрични данни за контрол на смяната на служителите

Това е друг въпрос, особено по отношение на големите компании и холдингите, които имат голям брой служители. Тези компании използват различни системи, за да контролират и записват работното време на своите служители, като листове за подписи или картови системи. Въпреки това, друга система, която може да се използва, е система за сканиране на пръстови отпечатъци, при която служителите подпечатват часа на пристигане и заминаване, като сканират пръстовите си отпечатъци.

Една държавна болница в Турция започна да използва такова приложение за контрол на смяната, което следи часовете на смяна на служителите чрез скенери за пръстови отпечатъци. Впоследствие беше заведено дело срещу това задължително приложение за сканиране на пръстови отпечатъци, което беше окончателно решено от Държавния съвет.

Държавният съвет постанови в това решение, че пръстовите отпечатъци на дадено лице трябва да се считат за неразделна част от личния живот на това лице и следователно са под защитата на правото на личен живот съгласно член 20 от Конституцията. Освен това Съдът постанови, че има други и също толкова компетентни средства за проследяване на смените на служителите и ползата, която може да бъде извлечена от такова приложение за проследяване, дори в публичния сектор, е незначителна в сравнение с нарушаването на правото на личен живот. Поради това Държавният съвет постанови, че подобни приложения нарушават Конституцията и служителите не могат да бъдат принуждавани да използват системи за сканиране на пръстови отпечатъци за целите на проследяването на смяната дори в публичния сектор.

  • Биометрични данни за сигурни/поверителни стаи

Друга тенденция в бизнеса, особено в технологичните компании, е внедряването на защитени стаи за безопасно съхраняване на поверителна информация. Това се изисква особено от чуждестранните компании от турските им колеги в случаите, когато между страните се обменя високо класифицирана и поверителна информация. Тези защитени стаи са били защитени от системи, използващи прости пароли, докато в момента компаниите изискват защитени стаи, които са достъпни само чрез биометрични данни, като пръстови отпечатъци, скенери за ретината или лицево идентификатор (тъй като се счита за по-безопасно от паролите).

Въпреки това, защитените стаи, достъпни чрез биометрични данни, отново повдигат въпроса за съгласието. Тъй като компаниите се нуждаят от един или повече от служителите си, за да имат достъп до тези защитени стаи, те трябва да получат биометрични данни на тези служители, за да въведат правилно защитена стая. Въпреки че все още няма конкретни решения на висшия съд по този въпрос, решението на Съвета на държавите относно използването на биометрични данни за контрол на смяната на служителите (споменати по-горе) трябва да служи като добра основа.

Прилагайки това решение към този случай, е ясно, че ползата от въвеждането на защитена стая (в частни компании) ще бъде незначителна в сравнение с нарушаването на правото на личен живот. Поради това компаниите не могат да изискват биометрични данни от своите служители за внедряване на защитени стаи и не могат да прекратяват трудови договори въз основа на отказ на служител да предостави такива данни. Въпреки това, все още е възможно да се получат такива данни от съгласни служители (въпреки че това съгласие трябва да бъде внимателно формулирано, за да се избегне нарушаване на каквито и да било разпоредби на закона).

VI. ЗАКЛЮЧЕНИЕ

Регламентите в Турция относно защитата на личните данни все още са доста нови и следователно досега няма установени съдебни прецеденти. Наличните в момента съдебни решения обикновено са датирани преди прилагането на Закона и въпреки че някои от тях се позовават на Договор 108, все пак ще трябва да изчакаме още няколко години, докато висшите съдилища да установят прецедент, специфичен за самия Закон, и неговите вторични разпоредби. Ето защо е изключително важно компаниите да разполагат с изчерпателни текстове за защита на личните данни (информационни текстове и формуляри за съгласие), за да се избегнат евентуални бъдещи отговорности, които могат да бъдат наложени от съдебните прецеденти.

За допълнителна информация и съдействие по въпроса, моля, не се колебайте да се свържете с нас тук.

Select Language »