8 принципа за законосъобразна обработка на лични данни в Турция

Av. Али Юрцевер LLM

Обработка на лични данни и ЗЗЛД

Правната среда около цифровите данни непрекъснато се променя и развива през годините. Общият темп на тази промяна се увеличи с прилагането на GDPR от Европа, което подтикна други държави да се адаптират към този нов набор от правила и регулации. За да бъде в крак с промените в международното законодателство, Турция прие и Закон за защита на личните данни № 6698 („ЗЗЛД“) и наложи нови правила и задължения (подобни на Директива 95/46/ЕО) за обработка на лични данни в Турция. (Моля, вижте предишната ни статия „Защита на личните данни в Турция” за преглед на разпоредбите на ЗЗЛД).

Прилагането на ЗЗЛД означава и допълнителни изисквания за съответствие и задължения за бизнеса, който контролира и/или обработва по друг начин лични данни. Въпреки това, постигането на пълно съответствие със ЗЗЛД и Орган за защита на данните (DPA) решенията не е лесна задача, тъй като от бизнеса се изисква да прилага различни мерки, от изготвянето на нови документи, свързани с обработката на лични данни, до допълнителни административни и технически мерки, посочени от DPA. За по-добро разбиране на ЗЗЛД и неговите потенциални задължения, моля, вижте предишната ни статия „Защита на данните в Турция“ (достъпна също тук).

Въпреки че може да изглежда сложно, една от най-важните стъпки за постигане на пълно съответствие със ЗЗЛД е пълното разбиране кога и къде фирмите, администраторите на данни и обработващите данни могат законно да извършват дейности по обработване на лични данни. Съответно, чл.5 от ЗЗЛД очертава 8 принципа (известни още като общи условия) за законосъобразно обработване на данни:

 Legal Bases of Lawful Personal Data Processing in Turkey

Общи условия за законосъобразна обработка на лични данни

Както е илюстрирано в горната графика, ЗЗЛД позволява обработването на лични данни, ако; (i) собственикът на данните дава изрично съгласие, (ii) то е ясно предвидено в законодателството, (iii) необходимо за защита на законните интереси на администратора на данни, (iv) задължително за установяване, упражняване или защита на право , (v) се разкрива на обществеността от съответния собственик на данни, (vi) има отношение към подписването, изпълнението и сключването на договор, (vii) е необходимо за защитата на живота и/или физическата цялост на собственика на данните, в ситуации, при които не е възможно да се получи изрично съгласие, or (viii) задължително за администратора на данни да изпълнява своите законови задължения.

Основната причина ЗЗЛД да предоставя множество правни основания за обработка на данни е да не позволи тези правила за защита на личните данни да възпрепятстват ежедневните B2C търговски дейности. По-специално основанията относно легитимния интерес, упражняването на право и изпълнението на договор са специално разработени, за да позволят на администраторите/обработващите данни да обработват данните на своите клиенти, необходими за изпълнението на конкретния договор, подписан между тях.

Това обаче не означава, че администраторите/обработващите данни могат да обработват всякакви данни, които искат, без да извършват необходимите проверки и преглед, тъй като определени условия, отбелязани по-горе, се изключват взаимно, което означава, че не може да присъства, ако друго правно основание е приложимо за тези конкретни лични данни обработка.

Съответно, един от основните въпроси, които трябва да се отбележи тук, е, че ако законността на обработката на данни не се основава на изрично съгласие, а по-скоро се основава на едно от останалите 7 условия, отбелязани по-горе, администраторите на данни трябва да се въздържат от получаване на допълнително съгласие.

Проблеми с получаването на гаранционни съгласия

Една от най-често срещаните грешки, допускани от администраторите и обработващите данни, е, че се опитват да получат съгласие от съответните собственици на данни, в случай, че едно или повече от другите условия за обработка на данни са изпълнени. Получаването на отделно съгласие от клиента за лични данни, които са необходими за изпълнение на договор, може да бъде добър пример тук.

Те се наричат ​​„гаранционни съгласия“, тъй като обикновено се получават, защото администраторите на данни искат да гарантират, че са защитени срещу санкции по ЗЗЛД. Тези гаранционни съгласия обаче носят повече вреда, отколкото полза, тъй като DPA не приема такива клаузи за гаранционно съгласие и изрично посочва, че ако едно от другите 7 общи условия (различни от съгласието) е приложимо за обработката на лични данни, тогава данните администраторите не трябва да получават отделно съгласие за тази обработка.

DPA твърди, че клауза за (гаранционно) съгласие ще накара собственика на данните да вярва, че може да оттегли съгласието по всяко време и следователно да изиска от администратора на данни да спре обработката. Въпреки това, в случаите, когато се прилага някое от другите 7 условия, това фалшиво впечатление, причинено от клаузата за съгласие, подвежда собствениците на данни, тъй като администраторът на данни може (а в някои случаи е длъжен) да продължи да обработва данните, дори ако собственикът на данните оттегля съгласието въз основа на едно или повече от 7-те други общи условия, приложими за съответните данни.

Тези „гаранционни“ съгласия могат дори да доведат до административни мерки и глоби, издадени от DPA, тъй като DPA счита тези видове съгласия за нарушения на принципите на ЗЗЛД [за подробен преглед на административните глоби по ЗЗЛД, моля, вижте нашата предишна статия „Как да обжалвате административни глоби, наложени от турския орган за защита на данните", (също достъпно тук)].

Следователно е наложително предприятията и администраторите на данни да извършат пълна оценка на личните данни, които ще обработват, за да определят точно дали едно или повече от гореспоменатите 7 условия (с изключение на съгласието) са приложими за този конкретен набор от данни . Ако отговорът е да, те трябва да се въздържат от получаване на допълнително съгласие от собствениците на данни. Като има предвид, че ако нито едно от 7-те условия не се прилага за конкретния набор от данни, тогава ще са необходими изрични съгласия за законно обработване на тези данни.

Select Language »