トルコにおける合法的な個人データ処理の8つの原則

Av。 Ali Yurtsever LLM

個人データ処理とLPDP

デジタルデータを取り巻く法的な状況は、長年にわたって着実に変化し、進化しています。 この変更の全体的なペースは、ヨーロッパでGDPRが実施されたことで増加し、他の国々はこの新しい一連の規則や規制に適応するようになりました。 国際的な法改正に対応するため、トルコは個人データ保護法第6698号(「LPDP」)を制定し、トルコでの個人データ処理に新しい規則と義務(指令95/46 / ECと同様)を課しました。 (以前の記事を参照してください。トルコの個人データ保護LPDP条項の概要については、」を参照してください)。

LPDPの実装は、個人データを管理および/または処理する企業に対する追加のコンプライアンス要件と責任も意味しました。 ただし、LPDPおよび データ保護当局(DPA) 企業は、個人データ処理に関連する新しいドキュメントの作成から、DPAで概説されている追加の管理および技術的手段まで、さまざまな手段を実装する必要があるため、決定は簡単な作業ではありません。 LPDPとその潜在的な責任について理解を深めるには、以前の記事「トルコのデータ保護」(こちらもご覧ください)を参照してください。

複雑に見えるかもしれませんが、LPDPに完全に準拠するための最も重要なステップの5つは、企業、データ管理者、およびデータ処理者がいつどこで個人データ処理活動を合法的に実施できるかを完全に理解することです。 したがって、LPDPの第8条は、合法的なデータ処理のためのXNUMXつの原則(一般条件としても知られています)を概説しています。

 Legal Bases of Lawful Personal Data Processing in Turkey

合法的な個人データ処理の一般条件

上の図に示されているように、LPDPでは、次の場合に個人データの処理が可能です。 (i)データ所有者が明示的な同意を与える、(ii)法律の範囲内で明確に規定されている、(iii)データ管理者の正当な利益を保護するために必要、(iv)権利の確立、行使、または保護に義務付けられている、(v)関連するデータ所有者によって一般に開示されている、(vi)契約の署名、履行、および締結に関連している、(vii)データ所有者の生命および/または物理的完全性の保護に必要である、明示的な同意を得ることができない状況では、 or (viii)データ管理者がその法的義務を履行するために義務付けられている。

LPDPがデータ処理のための多数の法的基盤を提供する主な理由は、これらの個人データ保護規則が日常のB2C商業活動を妨げるのを防ぐためです。 特に、正当な利益、権利の行使、および契約の履行に関する基盤は、データ管理者/処理者が、顧客間で署名された特定の契約の履行に必要な顧客のデータを処理できるように特別に設計されています。

ただし、これは、データ管理者/処理者が必要なチェックとレビューを実行せずに好きなデータを処理できることを意味するものではありません。上記の特定の条件は相互に排他的であり、その特定の個人データに別の法的根拠が適用される場合は存在できないことを意味します処理。

したがって、ここで注意すべき主な問題の7つは、データ処理の合法性が明示的な同意に基づくのではなく、上記の残りのXNUMXつの条件のいずれかに基づく場合、データ管理者は追加の同意を取得しないようにする必要があるということです。

保証同意の取得に関する問題

データコントローラーとプロセッサーが犯す最も一般的な間違いのXNUMXつは、他のXNUMXつ以上のデータ処理条件が満たされた場合に、関連するデータ所有者から同意を得ようとすることです。 ここでは、契約の履行に必要な個人データについて顧客から個別の同意を得ることが良い例です。

これらは、データ管理者がLPDP制裁から保護されていることを保証したいため、一般的に取得されるため、「保証同意」と呼ばれます。 ただし、DPAはそのような保証同意条項を受け入れず、他の7つの一般条件(同意以外)のいずれかが個人データの処理に適用される場合、データはコントローラーは、その処理について個別の同意を取得するべきではありません。

DPAは、(保証)同意条項により、データ所有者はいつでも同意を取り消すことができると信じ、データ管理者に処理の停止を要求すると主張しています。 ただし、他の7つの条件のいずれかが当てはまる場合、データ管理者はデータ所有者がデータを処理し続けることができるため(場合によってはデータ所有者がデータを処理し続けることができるため)、同意条項によって引き起こされるこの誤った印象はデータ所有者を誤解させます。関連するデータに該当する場合、他の7つの一般的な条件のXNUMXつ以上に基づいて、同意を撤回します。

これらの「保証」同意は、DPAがこれらのタイプの同意をLPDP原則の違反と見なすため、DPAによって発行される行政措置および罰金につながる可能性さえあります[LPDP行政罰金の詳細なレビューについては、以前の記事を参照してください。トルコのデータ保護機関によって課せられた行政罰金に対して上訴する方法」、(また利用可能 詳細を見る)]。

したがって、企業およびデータ管理者は、処理する個人データを完全に評価して、上記の7つの条件(同意を除く)の7つ以上がその特定のデータセットに適用できるかどうかを正確に判断することが不可欠です。 。 はいの場合、データ所有者から追加の同意を得るのは控えるべきです。 一方、XNUMXつの条件のいずれも特定のデータセットに適用されない場合、そのデータを合法的に処理するには明示的な同意が必要になります。

Select Language »