トルコの個人データ保護

Av。 Ali Yurtsever LLM

個人情報保護法

個人データ保護法第6698号(「LPDP」)の施行に伴い、データ管理者とデータ処理者に新しい規則と義務が課せられました。 LPDPはさらに、これらの義務に違反した者に対して重大な罰金と懲役刑を規定しました。 残念ながら、トルコのほとんどのデータ管理者/処理者は、LPDP条項から生じる潜在的な責任を把握できませんでした。 データ管理者/処理者の間でよくある間違いのXNUMXつは、LPDPと個人データ保護の規定は、 データコントローラーレジストリ(VERBIS).

もちろん、VERBIS登録要件は別個の要件/義務であり、LPDP条項の適用可能性とは関係がないため、この仮定は誤りです。 したがって、個人データを処理するすべての企業(または個人)が、VERBISの登録義務とは関係なく、LPDPに定められた規則と手順に準拠することが非常に重要です。

ファクトチェック– LPDPはあなたのビジネスに適用されますか?

LPDPの適用性に関する主な問題のXNUMXつは、企業、株主、および/または個人が法律に記載されている用語を誤って解釈していることです。 最も一般的な間違いは、「データ処理」と「データ管理者」という用語に関するものです。ほとんどの企業の代表者は、データの保存と処理はXNUMXつの異なる概念であり、個人データのみを保存するため、データ管理者とは見なされないため、ターンは、LPDPおよび個人データ保護の遵守に関して会社が何の行動も起こさないことにつながります。

したがって、株主および会社の代表者が個人データ、データ処理、データ管理者、およびデータ処理者の概念/用語を完全に理解して、どのLPDP/個人データ保護規定が適用可能かを正確に判断することが重要です。

a。 個人データ LPDP内で非常に広い方法で定義されます。 この定義によると、個人データとは、「身元を特定できる、または特定できる自然人に属するすべての情報」を意味します。 この広い定義では、データ所有者が特定の個人を識別できるようにする可能性のあるすべての情報は、個人データと見なされるものとします。 これらには、IDの詳細、名前、名前、生年月日、電話番号、履歴書、写真、収入、費用の好み、住所、子供の数、電子メールとIPアドレス、趣味、位置情報などが含まれる場合があります。ルールは、情報の断片が特定の人物の識別を可能にする場合、その情報は個人データと見なされるということです。

b。 個人データ処理 さらに、LPDPでは、「収集、記録、保存、保持、変更、再編成、開示、転送、引き継ぎ、取得可能にする、分類、またはその使用の完全または部分的な防止など、個人データに対して実行されるすべての操作」と定義されています。自動手段を介して、またはプロセスがデータレジストリシステムの一部である場合は、非自動手段を介して」。 したがって、上記の個人のいずれかを保存するという単なる行為でさえ、関連するデータ管理者が意味のあるまたは影響力のある方法でデータを使用しない場合でも、処理の行為と見なされるものとします。

c。 データコントローラー 「個人データを処理する目的と手段を決定し、データ登録システムの確立と管理に責任を負う自然人または法人」と定義されています。 たとえば、会社が顧客の電子メールアドレス、電話番号、自宅の住所、名前、姓、生年月日などの個人データを、物理メディア、サーバー、またはサードパーティのサービスプロバイダーを介して処理する場合、その後、あなたの会社はLPDPに従ってデータ管理者と見なされ、個人データ保護規則を遵守する必要があります。

d。 データプロセッサ 「管理者の許可を得て、管理者に代わって個人データを処理する自然人または法人」と定義されています。 これに関連して、たとえば、会社の財務とその納税申告書が、自然人または第三者企業のいずれかの第三者会計士によって処理される場合、この第三者会計士はこれらの会計文書(請求書など)を処理します。個人データを含む)は、データ処理者と見なされます。

e。 データレジストリシステム 「特定の基準に従って構成され、個人データが登録されるレジストリシステム」と定義されています。 したがって、データを保存または処理するように設計されたすべてのシステムは、データレジストリシステムと見なされるものとします。

LPDPの要件と潜在的な責任

上記のように、個人データ管理者および/または個人データ処理者として分類できる個人および/または法人は、個人データを処理する際にLPDPによって定められた規則を遵守する必要があります。 これらの用語は、データ処理の一般的な条件としてまとめて知られており、別の記事で詳細に分析されています。 したがって、これらの一般的な条件に従って実行されるほとんどのデータ処理は、個人データの管理者/処理者がLPDPおよびその二次規制に完全に準拠している場合、準拠していると見なされます。

逆に、LPDPで定められた規則や条件に従わなかった場合、個人データの管理者/処理者に対して多くの制限や罰金が科せられる可能性があります。 これらは、制限措置から最高1.000.000トルコリラまでの行政罰金にまで及ぶ可能性があります。-(違反によってはさらに高い罰金が適用される場合があります)。

行政罰金の決定は、個人の裁量に委ねられています データ保護当局(DPA)、LPPDの第18条は、発​​行できる行政罰金の下限と上限のみを規定しているためです。 したがって、DPAは、LPDPの第22条に従って、LPPDに定められた義務に違反する者に行政処分を課す権限を与えられています。

DPAのこの幅広い裁量権は、過去にさまざまなデータコントローラー/プロセッサーに適用された特定の管理措置にいくつかの問題を引き起こしました。そうします(課された罰金に対して訴訟を起こした人もいます)。 LPDPによって発行された行政罰金を取り巻くこれらの問題をよりよく理解するには、「以前の記事「トルコのデータ保護機関によって課された行政罰金に対する控訴」(こちらもご利用いただけます 詳細を見る).

結論

公平を期すために、データ処理を管理する規則や規制は、特にトルコ市場で事業を展開しようとしている外国の事業体にとっては複雑に見える可能性があります。 もちろん、混乱の主な原因はLPDPテキストであり、データコントローラーとデータプロセッサーも新しい内部データ処理ルールを実装するときにDPAの決定を考慮する必要があるという事実は、DPAの決定が外国人にとって難しい場合があります。通常、トルコ語以外の言語では利用できません。

さらに、この個人データ保護法はまだ非常に新しいため、主に新しいDPAの決定と罰金により、継続的に進化し、変化しています。 データ管理者/処理者がこれらの規則への準拠を確実にするために標準化された法的テキストを使用することを選択した場合、コンプライアンスメカニズムのこの進化する性質は、これらの標準化されたテキストが通常非常に古く、間違った、または場合によっては完全に不十分な表現を含むため、重大な課題と問題を提示しますとメカニズム。

したがって、データ管理者および/またはデータ処理者は専門家に相談して、個人データ保護コンプライアンスメカニズムが適切に実装されていることを確認し、将来の不必要で回避可能な罰金を回避することが不可欠です。

Select Language »