トルコにおける個人データの保護と生体認証データの使用

II. の定義 個人データ および処理方法

同法第 2 条では個人データを「特定された、または特定可能な自然人に関するすべての情報」と定義していますが、第 6 条では「人種、民族的出身、政治的意見、哲学的信念、宗教、宗派またはその他の信念、衣服、協会の会員、財団または労働組合、健康、性生活、有罪判決および安全対策、ならびに生物測定および遺伝に関する個人データデータは特別な性質の個人データと見なされます"。

第 2 条でも、個人データの処理を次のように定義しています。完全または部分的に自動手段によって行われる、またはプロセスが適切である場合に限り、個人データに対して行われる収集、記録、保管、保持、変更、再編成、開示、転送、引き継ぎ、取得可能化、分類、または使用の防止などの操作。非自動手段によるデータ レジストリ システムの一部である"。

したがって、個人データの収集、記録、および/または保管もデータ処理とみなされ、法律で定められた厳格な手順規則の対象となります。 したがって、個人データに関して第 2 条に定められた行為は、第 5 条に従ってデータ所有者の明示的な同意が必要となります。もちろん、この規則には一定の例外があります。 第 5 条によると、以下の場合には、データ所有者の明示的な同意なしに個人データが処理される場合があります。

a) 法律で明確に規定されている場合
b) 身体的に同意することができない、または同意が法的に有効であるとみなされない個人またはその他の人の生命または身体を保護するために必須である場合。
c) 契約当事者に属する個人データの処理は、その契約の締結または履行に直接関連する場合に必要となります。
d) 管理者が法的義務を履行できることは必須です。
e) 当該データはデータ主体自身によって一般に公開されており、
f) データ処理は、権利の確立、行使、または保護のために必須である。
g) この処理がデータ主体の基本的権利と自由を侵害しないことを条件として、管理者の正当な利益のために必須です。

Ⅲ． データ管理者の義務とデータ所有者の権利

• データ管理者の義務

第 10 条によると、データの収集および/または処理中に、データ管理者またはデータ管理者によって権限を与えられた者は、(a) 管理者およびそのすべての代表者の身元、(b)データ処理の目的、(c) 処理されたデータが誰に、どのような目的で転送されるのか、(d) 個人データの収集方法と法的理由。

さらに、データ管理者は、そのようなデータへの違法なアクセスや処理を防止するために、技術的および管理的に必要なすべての措置を講じる必要もあります。 データが認可された第三者によって取り扱われている場合、データ管理者は第三者とともにこれらの予防措置を講じ、収集されたデータの安全性を確保する責任を連帯して負うものとします。

• データ所有者の権利

データ管理者に課せられる義務とは別に、データ所有者も法律に基づいて相当の権利を有します。 第 11 条によると、データ所有者は、自分の個人データが処理されているか、その他の方法で保存および収集されているかどうか、個人データがどの目的でどの程度処理されているかについて、データ管理者に情報を要求する権利を有します。 、当該情報にアクセスできる第三者に関する情報（存在する場合）、不完全または不正確な情報（存在する場合）の修正の要求、関連する個人データの消去および/または破壊の要求、および被った損害の賠償の要求個人データの不法な処理によるもの。

ここでのデータ所有者にとっての XNUMX つの重要な権利は、不完全または不正確な情報の修正を要求する権利と、データの不法な処理によって生じた損害の賠償を請求する権利です。 これにより、データ所有者には事実上、処理中または過去に処理された個人データを削除および破棄する権限が与えられ、データ管理者が法律に起因する義務に違反した場合には賠償を請求する権利も与えられます。

IV. 生体認証データの定義

最近まで、この法律では生体認証データの個別の定義や、個人データを構成するものについての明確かつ広範な定義が規定されていませんでした。 代わりに、個人データは「特定された、または特定可能な自然人に関するすべての情報」と定義されました。 個人データに関するその他の分類は、第 6 条に規定される「特殊な性質の個人データ」の定義のみです (上記参照)。

この第6条は6号条約の第108条をほぼ直訳したものですが、決定的な違いが1981つあります。 条約 108 号が最初に施行された 108 年には、生体認証データという用語は存在しなかったため、この用語は条約 6 号の原文には含まれておらず、生体認証データは特別な性質の個人データとして分類されていませんでした。 しかし、同法第 XNUMX 条には次のように記されています。生体および遺伝データ」 は、特別な性質の個人データとみなされます。

注目すべき興味深い事実は、（法律の施行前に発行された）生体認証データに関する控訴裁判所の判例です。 控訴裁判所が定めた先例によれば、「指紋および DNA、毛髪、唾液、爪のサンプルなどの生体サンプル」は個人データとみなされます。

さらに、憲法裁判所は、条約第 108 号の関連条項を参照して、「生体認証方法によって取得されたデータ」は個人データとみなされるが、そのようなデータは「政治的意見などの非常に機密性の高い個人データ」とはみなされないとの判決を下しました。 、宗教的信念、健康、性生活、または条約 6 の第 108 条に記載されている有罪判決」。 したがって、控訴裁判所が新しい法律に従ってこの判例を修正することが期待されているものの、法律に加えられた新たな変更を踏まえてこの裁判所の判例をどのように検討すべきかは不明である。

V. 生体認証データの処理

最近の技術の進歩と生体認証技術の低価格化に伴い、そのような技術への需要とアクセスが大幅に増加しています。 生体認証スキャナは、セキュリティ (特に機密情報の価値が高いハイテク企業や多数の従業員を抱える大企業、ホールディングス) や本人確認の目的 (主に医療分野、病院、診療所など) で使用されることが増えています。

セキュリティおよび/または識別目的で生体認証データを使用する場合の最も重要な問題は、データ所有者の明示的な同意を取得することです。 すべてのデータ所有者からの同意が必要な場合、XNUMX 人以上の従業員が生体認証データの提供を拒否した場合、企業は生体認証データを必要とするセキュリティ システム (指紋スキャナーでアクセスできる安全な/機密室など) をどのように使用できるか、または企業は従業員に同意を求めることができるでしょうか。生体認証スキャナーを使用してシフトを追跡すること、あるいは医療部門は患者の身元を確認するために医療支援を提供する前に生体認証データを要求することができますか?

これらはすべて、そのようなシステムをより安価な価格で実装できるようにする技術の最近の発展により、物議を醸している問題です。 さらに、生体認証スキャナーとセキュリティ システムは、おそらく、解読される可能性がある単純なパスワードよりも安全であり、複製される可能性がある個人の署名よりも安全な ID システムよりも安全です。

残念ながら、法律とそれに続く規制は、これらの問題に対する明確な答えを提供していません。 したがって、高等裁判所（主に控訴裁判所、国務院、憲法裁判所）は、比例原則に応じて、ケースバイケースで異なる状況に応じて異なる判決を下してきました。

• 医療分野における患者ID目的の生体認証データ

社会保障および一般健康保険法第 67 号の第 5510 条によると、トルコの州立病院は、患者の身元を確認する手段として、患者に生体認証データの提供を要求する場合があります (同条では、患者は次のいずれかを証明する必要があると規定されています)医療サービスの恩恵を受けるためには、生体認証手段、または ID カード、運転免許証、結婚証明書、パスポートなどによる本人確認）。

したがって、一部の州立病院は申請患者の身元を確認するために生体認証検査を使用し始めましたが、これはプライバシーの権利の侵害とみなされ、多少の論争を引き起こしました。

最後に2014年、国務院は憲法第67条、第2条、第13条に違反しているとして、この第20条の関連規定の無効を求める控訴を憲法裁判所に提出した。 憲法裁判所はこの申請を却下し、州立病院は患者の身元を確認するために生体認証データを要求することができ、これは憲法に定められたプライバシーの権利を侵害しないとの判決を下した。 

この判決で裁判所が示した理由は、生体認証による ID 認証は不正使用に対してより安全であり、そのようなデータは偽造できないため、官公庁における汚職と戦うのにはるかに効果的であるというものでした。

言い換えれば、裁判所は、医療制度の乱用を防ぐことが最も重要であり、プライバシーの権利の侵害と比較した場合、この規定は比例原則に違反しないとの判決を下しました。 したがって、裁判所は、保護される権利（医療制度の完全性）と侵害される権利（プライバシーの権利）との間には比例関係があるため、この規定は憲法に違反しないとの判決を下した。

• 従業員のシフト管理のための生体認証データ

これは、特に多数の従業員を抱える大企業やホールディングスに関する別の問題です。 これらの企業は、従業員の労働時間を管理および記録するために、署名シートやカード システムなど、さまざまなシステムを使用しています。 ただし、使用できる別のシステムは、従業員が指紋をスキャンして出退勤時間をスタンプする指紋スキャン システムです。

トルコのある州立病院は、指紋スキャナーを介して従業員のシフト時間を追跡するシフト管理アプリケーションの使用を開始しました。 その後、この必須の指紋スキャン申請に対して訴訟が起こされ、最終的には国務院によって決定されました。

国務院はこの決定の中で、個人の指紋はその個人の私生活と切り離せないものとみなされるべきであり、したがって憲法第20条に基づくプライバシーの権利の保護下にあるとの判決を下した。 さらに、裁判所は、従業員のシフトを追跡するための同様に有能な手段は他にもあり、公共部門であってもそのような追跡アプリケーションから得られる利益は、プライバシーの権利の侵害と比較すると取るに足らないものであるとの判決を下した。 したがって、国務院は、そのようなアプリケーションは憲法に違反し、公共部門であってもシフト追跡目的で従業員に指紋スキャンシステムの使用を強制することはできないとの判決を下した。

• 安全な/機密室のための生体認証データ

ビジネス、特にテクノロジー企業におけるもう XNUMX つのトレンドは、機密情報を安全に保管するためのセキュア ルームの導入です。 これは、当事者間で機密性の高い機密情報が交換される場合、外国企業がトルコの企業に対して特に要求するものです。 これらのセキュア ルームは、以前は単純なパスワードを使用するシステムによって保護されていましたが、現在、企業は、指紋、網膜スキャナー、顔 ID などの生体認証データ (パスワードよりも安全であると考えられているため) を介してのみアクセスできるセキュア ルームを必要としています。

ただし、生体認証データによってアクセスできる安全な部屋では、再び同意の問題が生じます。 企業は、これらのセキュリティ ルームにアクセスするには XNUMX 人以上の従業員が必要であるため、セキュリティ ルームを適切に実装するには、そのような従業員の生体認証データを取得する必要があります。 この問題に関する具体的な高等裁判所の判決はまだありませんが、従業員のシフト管理のための生体認証データの使用に関する国務院の決定 (上記) は、良い根拠となるはずです。

この判決を本件に当てはめると、（民間企業で）セキュアルームを導入することで得られる利益は、プライバシー権の侵害と比較すると取るに足らないものであることは明らかです。 したがって、企業はセキュリティルームの導入のために従業員に生体認証データを要求することはできず、従業員がそのようなデータの提供を拒否したことに基づいて雇用契約を解除することもできません。 ただし、同意した従業員からそのようなデータを取得することは依然として可能です (ただし、そのような同意は、法の規定に違反しないように慎重に表現する必要があります)。

VI。 結論

トルコの個人データ保護に関する規制はまだ非常に新しいため、これまで確立された判例はありません。 現在入手可能な裁判所の判決は一般に同法の施行前の日付であり、その一部は条約 108 に言及しているものの、高等法院が同法自体に特有の先例を確立するまでにはさらに数年待つ必要がある。その二次規制。 したがって、企業にとって、判例によって課される可能性のある将来の責任を回避するために、包括的な個人データ保護文書（情報文書および同意書）を用意することが非常に重要です。

この件に関する詳細およびサポートについては、お気軽にお問い合わせください。 ページ をご覧ください