Защита на личните данни в Турция

Av. Али Юрцевер LLM

Проверка на фактите – Прилага ли се ЗЗЛД за вашия бизнес?

Един от основните проблеми с приложимостта на ЗЗЛД е, че фирмите, акционерите и/или физическите лица неправилно тълкуват термините, посочени в законодателството. Най-честите грешки се отнасят до термините „обработка на данни“ и „администратор на данни“, тъй като повечето представители на компаниите погрешно смятат, че съхраняването и обработката на данни са две различни концепции и тъй като съхраняват само лични данни, те не могат да се считат за администратори на данни, които в обрат води до това, че дружеството не предприема никакви действия по отношение на спазването на ЗЗЛД и защитата на личните данни.

Ето защо е изключително важно акционерите и представителите на дружеството да разбират напълно концепциите/условията за лични данни, обработка на данни, администратора на данни и обработващия данните, за да определят точно кои разпоредби на ЗЗЛД/защита на лични данни са приложими за тях.

а. Лични данни е дефиниран много широко в ЗЗЛД. Съгласно това определение лични данни означава „цялата информация, принадлежаща на физическо лице, чиято самоличност е или може да бъде определена“. С това широко определение всяка и цялата информация, която може да позволи на притежателя на данните да идентифицира конкретно лице, се счита за лични данни. Те могат да включват данни за самоличност, име, фамилия, дата на раждане, телефонни номера, CV, снимки, доходи, предпочитания за разходи, адрес, брой деца, имейл и IP адреси, хобита, информация за местоположението и т.н. Съответно общите правилото е, че ако някой фрагмент от информация може да позволи идентифицирането на конкретно лице, тази информация се счита за лични данни.

б. Обработка на лични данни по-нататък в ЗЗЛД се определя като „всяка операция, извършена върху лични данни като събиране, запис, съхранение, задържане, промяна, реорганизация, разкриване, прехвърляне, поемане, правене на възстановяване, класифициране или предотвратяване на използването им, изцяло или частично чрез автоматични средства или при условие, че процесът е част от която и да е система за регистър на данни, чрез неавтоматични средства“. Следователно, дори самото действие на съхраняване на някое от гореспоменатите лични данни ще се счита за акт на обработване, дори ако съответният администратор на данни не използва данните по какъвто и да е смислен или въздействащ начин.

° С. Контролер на данни се определя като „физическото или юридическото лице, което определя целта и средствата за обработване на лични данни и отговаря за създаването и управлението на системата за регистър на данните“. За илюстрация, ако вашата компания обработва някакви лични данни като имейл адрес на клиента, телефонен номер, домашен адрес, име, фамилия или рождена дата, или на физически носител, цифрово в сървър или чрез доставчици на услуги от трети страни , тогава вашата компания ще се счита за администратор на лични данни съгласно ЗЗЛД и ще трябва да спазвате правилата за защита на личните данни.

д. Процесор на данни се определя като „физическото или юридическото лице, което обработва лични данни от името на администратора след негово разрешение“. В този контекст, ако например финансите на вашата компания и нейните данъчни декларации се обработват от счетоводител трета страна, физическо лице или компания трета страна, този счетоводител трета страна обработва тези счетоводни документи (като фактури, които могат съдържат лични данни) се считат за обработващи лични данни.

д. Система за регистър на данни се определя като „системата на регистъра, в която са регистрирани личните данни чрез структуриране според определени критерии“. Следователно всички системи, предназначени да съхраняват и обработват по друг начин данни, се считат за система за регистър на данни.

Изисквания на ЗЗЛД и потенциални задължения

Както бе отбелязано по-горе, всяко физическо и/или юридическо лице, което може да бъде класифицирано като администратор на лични данни и/или обработващ лични данни, ще трябва да се придържа към правилата, определени от ЗЗЛД, когато обработва лични данни. Тези условия са общо известни като общи условия за обработка на данни, които са анализирани подробно в отделна статия. Съответно по-голямата част от обработката на данни, извършена в съответствие с тези общи условия, ще се счита за съобразена, при условие че администраторът/обработващият лични данни спазва изцяло ЗЗЛД и неговите вторични разпоредби.

Обратно, неспазването на правилата и условията, посочени в ЗЗЛД, може да доведе до прилагането на редица ограничения и глоби срещу администратора/обработващия лични данни. Те могат да варират от ограничителни мерки до административни глоби до 1.000.000 XNUMX XNUMX TRY (може да се прилагат дори по-високи глоби в зависимост от нарушението).

Определянето на административните глоби е оставено на преценката на личното лице Орган за защита на данните (DPA), тъй като чл.18 от ЗЗЛД предвижда само долна и горна граница за административни глоби, които могат да се налагат. Съответно ЗЗД е упълномощено да налага административни санкции на лицата, които нарушат задълженията, предвидени в ЗЗЛД по чл.22 от ЗЗЛД.

Това широко дискреционно правомощие на DPA е причинило някои проблеми в определени административни мерки, прилагани към различни администратори/обработващи данни в миналото, тъй като някои твърдят, че DPA е злоупотребило с правомощията си, като е налагало глоби от горната граница, без да предостави основателна причина за направете го (някои дори са завели дела срещу наложените глоби). За да разберете по-добре тези проблеми около административните глоби, издадени от ЗЗЛД, моля, вижте предишната ни статия, озаглавена „Обжалване срещу административни глоби, наложени от турския орган за защита на данните" (също достъпно тук).

Заключение

За да бъдем честни, правилата и разпоредбите, регулиращи обработката на данни, могат да изглеждат сложни, особено за чуждестранни субекти, които се опитват да работят на турския пазар. Основният източник на объркване е, разбира се, текстът на LPDP и фактът, че администраторите на данни и обработващите данни също трябва да вземат предвид решенията на DPA, когато прилагат нови вътрешни правила за обработка на данни, което може да бъде предизвикателство за чужденците, тъй като решенията на DPA са обикновено не се предлага на друг език освен турски.

Освен това това законодателство за защита на личните данни все още е съвсем ново и следователно непрекъснато се развива и променя главно с нови решения на DPA и глоби. Този развиващ се характер на механизмите за съответствие също представлява значителни предизвикателства и проблеми, ако администраторите/обработващите данни изберат да използват стандартизиран правен текст, за да гарантират спазването на тези правила, тъй като тези стандартизирани текстове обикновено са силно остарели и съдържат грешни или в някои случаи напълно недостатъчни формулировки и механизми.

Поради това е наложително администраторите на данни и/или обработващите данни да се консултират с експерт, за да гарантират, че техните механизми за спазване на изискванията за защита на личните данни се прилагат правилно, за да се избегнат всякакви ненужни и избегнати глоби в бъдеще.