Schutz personenbezogener Daten in der Türkei

Ein V. Ali Yurtsever LLM

Faktencheck – Gilt das LPDP für Ihr Unternehmen?

Eines der Hauptprobleme bei der Anwendbarkeit des LPDP ist, dass Unternehmen, Anteilseigner und/oder Einzelpersonen die in der Gesetzgebung aufgeführten Begriffe falsch interpretieren. Die häufigsten Fehler betreffen die Begriffe „Datenverarbeitung“ und „Datenverantwortlicher“, da die meisten Unternehmensvertreter fälschlicherweise denken, dass Speichern und Verarbeiten von Daten zwei verschiedene Konzepte sind, und da sie nur personenbezogene Daten speichern, können sie nicht als Datenverantwortliche angesehen werden, was in wiederum führt dazu, dass das Unternehmen keine Maßnahmen in Bezug auf die Einhaltung von LPDP und den Schutz personenbezogener Daten ergreift.

Daher ist es von entscheidender Bedeutung, dass die Aktionäre und Unternehmensvertreter die Konzepte/Begriffe von personenbezogenen Daten, Datenverarbeitung, dem Datenverantwortlichen und dem Datenverarbeiter vollständig verstehen, um genau zu bestimmen, welche LPDP-/Personendatenschutzbestimmungen auf sie anwendbar sind.

a. Persönliche Daten wird innerhalb des LPDP sehr breit definiert. Gemäß dieser Definition sind personenbezogene Daten „alle Informationen, die einer natürlichen Person gehören, deren Identität bestimmt oder bestimmbar ist“. Mit dieser weit gefassten Definition gelten alle Informationen als personenbezogene Daten, die es dem Dateninhaber ermöglichen, eine bestimmte Person zu identifizieren. Dies können Ausweisdaten, Vorname, Nachname, Geburtsdatum, Telefonnummern, Lebenslauf, Fotos, Einkommen, Ausgabenpräferenzen, Adresse, Anzahl der Kinder, E-Mail- und IP-Adressen, Hobbies, Standortinformationen etc. sein Regel ist, wenn ein Informationsausschnitt die Identifizierung einer bestimmten Person ermöglichen kann, gelten diese Informationen als personenbezogene Daten.

b. Verarbeitung personenbezogener Daten wird beim LPDP weiter definiert als „jeder Vorgang, der mit personenbezogenen Daten durchgeführt wird, wie das Erheben, Aufzeichnen, Speichern, Aufbewahren, Ändern, Reorganisieren, Offenlegen, Übertragen, Übernehmen, Abrufbarmachen, Klassifizieren oder Verhindern der Verwendung derselben, ganz oder teilweise durch automatische Mittel oder, sofern der Prozess Teil eines Datenregistrierungssystems ist, durch nicht automatische Mittel“. Daher gilt selbst die bloße Speicherung einer der oben genannten personenbezogenen Daten als Verarbeitungshandlung, selbst wenn der jeweilige Datenverantwortliche die Daten nicht in sinnvoller oder wirkungsvoller Weise verwendet.

c. Datencontroller ist definiert als „die natürliche oder juristische Person, die den Zweck und die Mittel der Verarbeitung personenbezogener Daten bestimmt und für die Einrichtung und Verwaltung des Datenregistrierungssystems verantwortlich ist“. Zur Veranschaulichung, ob Ihr Unternehmen personenbezogene Daten wie E-Mail-Adresse, Telefonnummer, Privatadresse, Vorname, Nachname oder Geburtsdatum eines Kunden verarbeitet, entweder auf einem physischen Medium, digital auf einem Server oder über Drittanbieter , dann gilt Ihr Unternehmen als Datenverantwortlicher gemäß dem LPDP und Sie müssen die Datenschutzbestimmungen einhalten.

d. Datenprozessor ist definiert als „die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen mit dessen Genehmigung verarbeitet“. Wenn in diesem Zusammenhang beispielsweise die Finanzen Ihres Unternehmens und seine Steuererklärungen von einem Drittbuchhalter, entweder einer natürlichen Person oder einem Drittunternehmen, bearbeitet werden, verarbeitet dieser Drittbuchhalter diese Buchhaltungsunterlagen (wie Rechnungen, die ggf personenbezogene Daten enthalten) gelten als Auftragsverarbeiter.

e. Datenregistrierungssystem ist definiert als „das Registrierungssystem, in das die personenbezogenen Daten eingetragen werden, indem es nach bestimmten Kriterien strukturiert wird“. Als Datenregistrierungssystem gelten daher alle Systeme, die Daten speichern und anderweitig verarbeiten.

LPDP-Anforderungen und potenzielle Verbindlichkeiten

Wie oben erwähnt, muss jede natürliche und/oder juristische Person, die entweder als Verantwortlicher für personenbezogene Daten und/oder als Verarbeiter personenbezogener Daten eingestuft werden kann, bei der Verarbeitung personenbezogener Daten die vom LPDP festgelegten Regeln einhalten. Diese Bedingungen werden zusammenfassend als allgemeine Bedingungen für die Datenverarbeitung bezeichnet, die in einem separaten Artikel ausführlich analysiert werden. Dementsprechend gelten die meisten Datenverarbeitungen, die in Übereinstimmung mit diesen allgemeinen Bedingungen durchgeführt werden, als konform, sofern der Verantwortliche/Verarbeiter personenbezogener Daten das LPDP und seine sekundären Vorschriften vollständig einhält.

Umgekehrt kann die Nichteinhaltung der vom LPDP festgelegten Regeln und Bedingungen zur Anwendung einer Reihe von Einschränkungen und Bußgeldern gegen den für die Verarbeitung Verantwortlichen/Verarbeiter personenbezogener Daten führen. Diese können von restriktiven Maßnahmen bis zu Verwaltungsstrafen bis zu TRY 1.000.000.- reichen (je nach Verstoß können sogar noch höhere Strafen verhängt werden).

Die Festsetzung der Bußgelder bleibt dem persönlichen Ermessen überlassen Datenschutzbehörde (DPA), da Artikel 18 der LPPD nur eine Unter- und Obergrenze für verhängbare Verwaltungsgeldbußen vorsieht. Dementsprechend ist die DPA befugt, Verwaltungssanktionen gegen Personen zu verhängen, die gegen die im LPPD festgelegten Verpflichtungen gemäß Artikel 22 des LPDP verstoßen.

Diese weitreichende Ermessensbefugnis der Datenschutzbehörde hat in der Vergangenheit zu einigen Problemen bei bestimmten Verwaltungsmaßnahmen geführt, die auf verschiedene Datenverantwortliche/-verarbeiter angewendet wurden, da einige argumentierten, dass die Datenschutzbehörde ihre Befugnisse missbraucht hat, indem sie Bußgelder von der Obergrenze verhängt hat, ohne einen gerechtfertigten Grund dafür anzugeben tun (einige haben sogar Klagen gegen die verhängten Bußgelder eingereicht). Um diese Probleme im Zusammenhang mit den von der LPDP verhängten Verwaltungsstrafen besser zu verstehen, lesen Sie bitte unseren vorherigen Artikel mit dem Titel „Einsprüche gegen von der türkischen Datenschutzbehörde verhängte Verwaltungsstrafen" (auch verfügbar hier).

Zusammenfassung

Um fair zu sein, die Regeln und Vorschriften zur Datenverarbeitung können komplex erscheinen, insbesondere für ausländische Unternehmen, die versuchen, auf dem türkischen Markt tätig zu werden. Die Hauptursache für Verwirrung ist natürlich der LPDP-Text und die Tatsache, dass Datenverantwortliche und Datenverarbeiter bei der Umsetzung neuer interner Datenverarbeitungsregeln auch DPA-Entscheidungen berücksichtigen müssen, was für Ausländer wie die DPA-Entscheidungen eine Herausforderung sein kann im Allgemeinen nicht in einer anderen Sprache als Türkisch verfügbar.

Darüber hinaus ist diese Gesetzgebung zum Schutz personenbezogener Daten noch recht neu und wird daher ständig weiterentwickelt und geändert, hauptsächlich durch neue DPA-Entscheidungen und Bußgelder. Diese sich entwickelnde Art der Compliance-Mechanismen stellt auch erhebliche Herausforderungen und Probleme dar, wenn sich die Datenverantwortlichen/-verarbeiter für die Verwendung standardisierter Rechtstexte entscheiden, um die Einhaltung dieser Regeln sicherzustellen, da diese standardisierten Texte in der Regel stark veraltet sind und falsche oder in einigen Fällen völlig unzureichende Formulierungen enthalten und Mechanismen.

Daher ist es für Datenverantwortliche und/oder Datenverarbeiter unbedingt erforderlich, einen Experten zu konsultieren, um sicherzustellen, dass ihre Mechanismen zur Einhaltung des Schutzes personenbezogener Daten ordnungsgemäß implementiert werden, um unnötige und vermeidbare Bußgelder in Zukunft zu vermeiden.