トルコにおける個人データの保護と生体認証データの使用

I.個人データの保護 概要

個人データの保護は、主に欧州連合の昇格手続きのために、トルコで長年にわたって物議を醸したトピックでした。 トルコは108年に署名したため、個人データの自動処理に関する個人の保護に関する欧州連合条約第108号(条約1981)の締約国ですが、その後の現地規制は実施されなかったため、条約108発効することはありません。

これを是正するために、トルコは個人データ保護に関する新しい法律、6698年7月2016日付けの立法ジャーナルに発行された個人データ保護法第29677号および第108号(法律)を採用し、したがって効果的に実施しました。国内での条約XNUMX。

この法律は、個人データ保護において非常に必要とされている改善と見なされており、そのような個人データを常に非公開に保つために、データ所有者、監督者、および処理者に新たな責任を定めています。 ただし、個人データを構成するものを定義することに関しては、法律にはやや曖昧な定義があります。これは、条約108にも記載されています。

これらのあいまいな定義により、個人データを構成するものを柔軟に定義できます。これにより、法律の改正を必要とせずに、さまざまなデータセットを個人データと見なすことができます。 ただし、生体認証データなどの特定のデータセットに関してあいまいさや混乱を引き起こす可能性もあります。 したがって、生体認証データの使用に関する規則を決定するために、個人データの一般原則と定義を最初に検討する必要があります。

II。 の定義 個人データ および処理方法

法律の第2条では、個人データを「特定された、または特定可能な自然人に関連するすべての情報」と定義していますが、第6条では、「人種、民族的出身、政治的意見、哲学的信念、宗教、宗派またはその他の信念、衣服、協会の会員、財団または労働組合、健康、性生活、有罪判決および安全対策、ならびに生物測定および遺伝に関する個人データデータは特別な性質の個人データと見なされます"。

第2条では、個人データの処理を「収集、記録、保管、保持、変更、再編成、開示、転送、引き継ぎ、取得可能にする、分類、または自動手段による使用の完全または部分的な防止などの個人データに対して実行される操作、またはプロセスが提供される場合非自動手段によるデータレジストリシステムの一部です"。

したがって、個人データの収集、記録および/または保管でさえ、データ処理と見なされ、したがって、法律で規定された厳格な手続き規則に従うものとします。 したがって、個人データに関する第2条に規定された行動は、第5条に従い、データ所有者の明示的な同意に従うものとします。もちろん、この規則には特定の例外があります。 第5条によると、個人データは、次の場合にデータ所有者の明示的な同意なしに処理される場合があります。

a)法律によって明確に規定されている、
b)その人または身体的に同意を与えることができない、またはその同意が法的に有効であるとみなされない他の人の生命または身体的完全性の保護のために義務付けられている、
c)契約の当事者に属する個人データの処理は、それがその契約の締結または履行に直接関連している場合に必要です。
d)管理者は、彼の法的義務を履行できることが義務付けられています。
e)関連するデータは、データ主体自身によって一般に公開されます。
f)データ処理は、権利の確立、行使、または保護のために必須です。
g)この処理がデータ主体の基本的な権利と自由を侵害してはならないという条件で、管理者の正当な利益のために義務付けられています。

III。 データ管理者およびデータ所有者の権利の義務

  • データ管理者の義務

第10条によると、データの収集および/または処理中に、データ管理者またはデータ管理者によって承認された人物は、(a)管理者とそのすべての代表者の身元、(b)データ処理の目的、(c)処理されたデータを誰に、どのような目的で転送できるか、および(d)個人データの収集方法および法的理由。

さらに、データ管理者は、そのようなデータへの違法なアクセスおよび/または処理を防ぐために、技術的および管理的に必要なすべての措置を講じる必要があります。 データが許可された第三者によって処理/処理されている場合、データ管理者は、これらの予防措置を講じ、収集されたデータの安全性を確保するために、第三者と連帯して責任を負うものとします。

  • データ所有者の権利

データ管理者に課せられた義務とは別に、データ所有者は法律の下でかなりの量の権利も持っています。 第11条によると、データ所有者は、個人データが処理されているか、またはその他の方法で保存および収集されているかどうかに関する情報をデータ管理者に要求する権利を有します。 、そのような情報にアクセスできる第三者に関する情報(ある場合)、不完全または不正確な情報の修正を要求する、関連する個人データの消去および/または破壊を要求する、および発生した損害の補償を要求する個人データの違法な処理によるものです。

ここでのデータ所有者のXNUMXつの重要な権利は、不完全または不正確な情報の修正を要求する権利と、データの違法な処理によって生じた損害の補償を請求する権利です。 これにより、データ所有者は、処理中または過去に処理された個人データを削除および破棄する権限を効果的に付与され、データ管理者が法律に起因する義務に違反した場合に補償を請求する権利も付与されます。

IV。 生体認証データの定義

最近まで、法律は生体認証データの個別の定義や、個人データを構成するものの明確で広範な定義を提供していませんでした。 代わりに、個人データは「識別された、または識別可能な自然人に関連するすべての情報」として定義されました。 個人データに関するその他の分類は、第6条に規定されている「特別な性質の個人データ」の定義のみです(上記のとおり)。

この第6条は、条約6の第108条をほぼ直接翻訳したものですが、決定的な違いが1981つあります。 108年に条約108が最初に施行されたとき、生体認証データという用語は存在しなかったため、この用語は条約6の元のテキストに含まれず、生体認証データは特別な性質の個人データとして分類されませんでした。 しかし、法律の第XNUMX条は、次のように述べています。生体認証および遺伝子データ」 特別な性質の個人データと見なされるものとします。

注目すべき興味深い事実は、生体認証データ(法の施行前に発行された)に関する控訴裁判所の判例です。 控訴裁判所の判例によれば、「指紋およびDNA、髪の毛、唾液、指の爪のサンプルなどの生物学的サンプル」は個人データと見なされるものとします。

さらに、憲法裁判所は、条約108の関連条項を参照して、「生物測定法によって取得されたデータ」を個人データと見なすとの判決を下しましたが、そのようなデータは「政治的意見などの非常に機密性の高い個人データ」とは見なされません。 、条約6の第108条に記載されているように、宗教的信念、健康、性生活または刑事上の有罪判決。 したがって、控訴裁判所は新法に従ってこの判例を修正することが期待されているが、法に加えられた新たな変更に照らして、この裁判所の判例をどのように検討すべきかは不明確である。

V.生体認証データ処理

最近の技術の進歩と生体認証技術の安価化に伴い、そのような技術の需要とアクセスは劇的に増加しています。 生体認証スキャナーは、セキュリティ(特に、機密情報の価値が高いテクノロジー企業や大企業、多数の従業員を抱える保有物)および識別目的(主に医療部門、病院、診療所など)でますます使用されています。

セキュリティおよび/または識別の目的で生体認証データを使用する際の最も重要な問題は、データ所有者の明示的な同意を取得することです。 すべてのデータ所有者からの同意が必要な場合、XNUMX人以上の従業員がデータの提供を拒否した場合、企業は生体認証データを必要とするセキュリティシステム(指紋スキャナーでアクセスできる安全/機密室など)をどのように使用できますか、または企業は従業員を要求できますか生体認証スキャナーを使用してシフトを追跡するか、または医療部門が患者の身元を確認するために医療支援を提供する前に生体認証データを要求できますか?

これらはすべて、そのようなシステムをはるかに安い価格で実装することを可能にする技術の最近の開発のために物議を醸す問題です。 さらに、生体認証スキャナーとセキュリティシステムは、解読される可能性のある単純なパスワードよりも間違いなく安全であり、複製される可能性のある個人の署名よりも安全なIDシステムです。

残念ながら、法律とその後の規制はこれらの問題に対する明確な答えを提供していません。 したがって、高等裁判所(主に控訴裁判所、州議会、憲法裁判所)は、比例の原則に応じて、ケースバイケースでさまざまな状況に対してさまざまな判決を下しました。

  • 患者IDを目的とした医療セクターの生体認証データ

社会保障および一般健康保険法第67号の第5510条によると、トルコの州立病院は、患者の身元を確認する手段として、患者に生体データの提供を要求する場合があります(この記事では、患者はどちらかを証明する必要があると述べています医療サービスの恩恵を受けるために、生体測定手段を介して、またはIDカード、運転免許証、結婚証明書、またはパスポートを使用して患者の身元を確認します。

したがって、一部の州立病院は、申請者の患者の身元を確認するために生体認証を使用し始めました。これは、プライバシーの権利の侵害と見なされたため、いくつかの論争を引き起こしました。

最後に、2014年に、国務院は、憲法第67条、第2条、および第13条に違反しているとして、この第20条の関連規定の廃止を求める上訴を憲法裁判所に提出しました。 憲法裁判所は申請を却下し、州立病院から患者の身元を確認するために生体認証データを要求できるとの判決を下しました。これは憲法に定められたプライバシーの権利を侵害するものではありませんでした。 

この判決で裁判所が下した理由は、生体認証によるID検証は不正使用に対してより安全であり、そのようなデータは偽造できないため、官公庁の汚職との闘いにおいてはるかに効果的であるというものでした。

言い換えれば、裁判所は、医療制度の乱用を防ぐことが最も重要であり、プライバシーの権利の侵害と比較した場合、この規定は比例の原則に違反しないと裁定しました。 したがって、裁判所は、保護されている権利(医療制度の完全性)と侵害されている権利(プライバシーの権利)との間に比例関係があるため、この規定は憲法に違反していないと判断しました。

  • 従業員シフトコントロールの生体認証データ

これは別の問題であり、特に大企業や多数の従業員を抱える持ち株会社に関してはそうです。 これらの企業は、署名シートやカードシステムなど、従業員の労働時間を管理および記録するためにさまざまなシステムを使用しています。 ただし、使用できるもうXNUMXつのシステムは、従業員が指紋をスキャンして到着時刻と出発時刻をスタンプする指紋スキャンシステムです。

トルコのある州立病院は、指紋スキャナーを介して従業員のシフト時間を追跡するこのようなシフト制御アプリケーションの使用を開始しました。 その後、この必須の指紋スキャンアプリケーションに対して訴訟が提起され、最終的に国務院によって決定されました。

国務院はこの決定において、人の指紋はその人の私生活の不可分の実体と見なされるべきであり、したがって憲法第20条に従ってプライバシーの権利の保護下にあると裁定しました。 さらに、裁判所は、従業員のシフトを追跡する他の同等の有能な手段があり、そのような追跡アプリケーションから得られる利益は、公共部門であっても、プライバシーの権利の侵害と比較した場合、無視できると判断しました。 したがって、国務院は、そのような申請は憲法に違反しており、公的部門であっても、従業員がシフト追跡の目的で指紋スキャンシステムを使用することを強制することはできないと判断しました。

  • 安全な/機密の部屋の生体認証データ

特にテクノロジー企業におけるビジネスのもうXNUMXつの傾向は、機密情報を安全に保管するための安全な部屋の実装です。 これは、高度に分類された機密情報が当事者間で交換される場合に、トルコのカウンターパートからの外国企業によって特に要求されます。 これらの安全な部屋は、以前は単純なパスワードを使用するシステムによって保護されていましたが、現在、企業は指紋、網膜スキャナー、Face IDなどの生体認証データを介してのみアクセスできる安全な部屋を必要としています(パスワードよりも安全であると考えられているため)。

ただし、生体認証データでアクセスできる安全な部屋では、同意の問題が再び発生します。 企業はこれらの安全な部屋にアクセスするためにXNUMX人以上の従業員を必要とするため、安全な部屋を適切に実装するには、そのような従業員の生体認証データを取得する必要があります。 この問題に関する特定の高等裁判所の判決はまだありませんが、従業員のシフト管理(上記)の生体認証データの使用に関する国務院の決定は、良い根拠となるはずです。

この決定をこのケースに適用すると、プライバシーの権利の侵害と比較した場合、(民間企業で)安全な部屋を実装することから得られる利益は無視できることは明らかです。 したがって、企業は、安全な部屋の実装のために従業員に生体認証データを要求することはできず、そのようなデータの提供を従業員が拒否したことに基づいて雇用契約を終了することはできません。 ただし、同意した従業員からそのようなデータを取得することは可能です(ただし、法律の規定に違反しないように、そのような同意は慎重に表現する必要があります)。

VI。 結論

個人データ保護に関するトルコの規制はまだ非常に新しいため、これまでのところ確立された判例はありません。 現在利用可能な裁判所の判決は、通常、法の施行前に日付が付けられており、それらのいくつかは条約108を参照していますが、高等裁判所が法自体に固有の判例を確立するまで、さらに数年待つ必要があります。その二次規制。 したがって、判例によって課せられる可能性のある将来の責任を回避するために、企業が包括的な個人データ保護テキスト(情報テキストおよび同意書)を用意することは非常に重要です。

この件に関する詳細およびサポートについては、お気軽にお問い合わせください。 ここに。

Select Language »