ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ И ИСПОЛЬЗОВАНИЕ БИОМЕТРИЧЕСКИХ ДАННЫХ В ТУРЦИИ

II. ЗНАЧЕНИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ И МЕТОДЫ ОБРАБОТКИ

Статья 2 Закона определяет персональные данные как «вся информация, относящаяся к идентифицированному или идентифицируемому физическому лицу», тогда как в статье 6 говорится, что «персональные данные, относящиеся к расе, этническому происхождению, политическим взглядам, философским убеждениям, религии, секте или иным убеждениям, одежде, членству в ассоциациях, фондах или профсоюзах, состоянию здоровья, сексуальной жизни, убеждениям и мерам безопасности, а также биометрические и генетические данные считаются персональными данными особого характера».

Статья 2 также определяет обработку персональных данных как «любая операция, выполняемая с персональными данными, такая как сбор, запись, хранение, удержание, изменение, реорганизация, раскрытие, передача, получение, извлечение, классификация или предотвращение их использования, полностью или частично с помощью автоматических средств или при условии, что процесс является частью любой системы регистрации данных с помощью неавтоматических средств».

Соответственно, даже сбор, запись и/или хранение персональных данных считается обработкой данных и, следовательно, регулируется строгими процедурными правилами, предусмотренными Законом. Таким образом, любые действия, указанные в статье 2 в отношении любых персональных данных, подлежат прямому согласию владельца данных в соответствии со статьей 5. Конечно, из этого правила есть определенные исключения. Согласно статье 5, персональные данные могут обрабатываться без явного согласия владельца данных, если:

а) это прямо предусмотрено законами,
б) обязательно для защиты жизни или физической неприкосновенности лица или любого другого лица, которое физически не в состоянии дать свое согласие или чье согласие не считается юридически действительным,
в) обработка персональных данных, принадлежащих сторонам договора, требуется при условии, что она непосредственно связана с заключением или исполнением этого договора,
г) контролер должен быть в состоянии выполнять свои юридические обязательства,
e) соответствующие данные становятся доступными для общественности самим субъектом данных,
f) обработка данных является обязательной для установления, осуществления или защиты любого права,
g) это обязательно для законных интересов контролера, при условии, что такая обработка не должна нарушать основные права и свободы субъекта данных.

III. ОБЯЗАННОСТИ КОНТРОЛЛЕРА ДАННЫХ И ПРАВА ВЛАДЕЛЬЦА ДАННЫХ

• Обязанности контроллера данных

В соответствии со статьей 10 во время сбора и/или обработки данных контролер данных или лица, уполномоченные контролером данных, обязаны информировать владельца данных о (а) личности контролера и всех его представителей, (б) цель обработки данных, (c) кому и для каких целей могут быть переданы обработанные данные и (d) способ и правовая причина сбора персональных данных.

Кроме того, контролеры данных также обязаны принимать все необходимые меры, технические и административные, для предотвращения любого незаконного доступа и/или обработки таких данных. Если данные обрабатываются/обрабатываются уполномоченными третьими лицами, то контроллер данных несет совместную ответственность с третьим лицом за принятие этих превентивных мер и обеспечение безопасности собранных данных.

• Права владельца данных

Помимо обязательств, налагаемых на контролеров данных, владельцы данных также имеют достаточный объем прав в соответствии с Законом. В соответствии со статьей 11 владельцы данных имеют право запросить у контроллера данных информацию о том, обрабатываются ли его/ее персональные данные или иным образом хранятся и собираются, если да, то с какой целью и в каком объеме обрабатываются персональные данные. , информацию о третьих лицах, которые имеют доступ к такой информации, если таковые имеются, запросить исправление неполной или неточной информации, если таковая имеется, потребовать удаления и/или уничтожения соответствующих персональных данных и потребовать возмещения понесенного ущерба. в связи с неправомерной обработкой персональных данных.

Двумя важными правами владельцев данных здесь являются право требовать исправления неполной или неточной информации и право требовать возмещения ущерба, понесенного в результате незаконной обработки данных. Это фактически дает владельцу данных право удалять и уничтожать свои личные данные, которые обрабатываются или обрабатывались в прошлом, а также дает право требовать компенсацию, если контролеры данных нарушают свои обязательства, вытекающие из закона.

IV. ОПРЕДЕЛЕНИЕ БИОМЕТРИЧЕСКИХ ДАННЫХ

До недавнего времени законодательство не содержало отдельного определения биометрических данных или четкого и развернутого определения того, что представляют собой персональные данные. Вместо этого персональные данные были определены как «вся информация, относящаяся к идентифицированному или идентифицируемому физическому лицу». Единственной другой классификацией персональных данных является определение «персональных данных особого характера», изложенное в статье 6 (как указано выше).

Хотя эта статья 6 является почти прямым переводом статьи 6 Договора 108, есть одно принципиальное отличие. Еще в 1981 году, когда Договор № 108 впервые вводился в действие, термина «биометрические данные» не существовало, и поэтому этот термин не был включен в первоначальный текст Договора № 108, а биометрические данные не относились к персональным данным особого характера. Однако статья 6 Закона отмечает, что «биометрические и генетические данные» считаются персональными данными специального характера.

Интересным фактом является прецедент Апелляционного суда в отношении биометрических данных (выданных до вступления Закона в силу). Согласно прецеденту, установленному Апелляционным судом, «отпечатки пальцев и биологические образцы, такие как образцы ДНК, волос, слюны и ногтей» считаются персональными данными.

Кроме того, Конституционный суд, сославшись на соответствующие статьи Договора 108, постановил, что «данные, полученные с помощью биометрических методов», должны рассматриваться как персональные данные, однако такие данные не могут считаться «чрезвычайно конфиденциальными персональными данными, такими как политические взгляды». , религиозные убеждения, здоровье, сексуальная жизнь или судимость, как указано в статье 6 Договора 108». Таким образом, неясно, как этот судебный прецедент следует пересматривать в свете новых изменений, внесенных в Закон, хотя ожидается, что Апелляционный суд внесет поправки в этот прецедент в соответствии с новым Законом.

V. ОБРАБОТКА БИОМЕТРИЧЕСКИХ ДАННЫХ

Благодаря последним технологическим достижениям и удешевлению биометрических технологий спрос на такие технологии и доступ к ним резко возросли. Биометрические сканеры все чаще используются в целях безопасности (особенно в технологических компаниях, где конфиденциальная информация имеет большое значение, а также в крупных компаниях, холдингах с большим количеством сотрудников) и для целей идентификации (преимущественно в медицинском секторе, в больницах, клиниках и т. д.).

Наиболее важным вопросом при использовании биометрических данных в целях безопасности и/или идентификации является получение явного согласия владельца данных. Если согласие требуется от каждого владельца данных, то как компании могут использовать системы безопасности, которым требуются биометрические данные (например, безопасные/конфиденциальные комнаты, доступные для сканеров отпечатков пальцев), если один или несколько их сотрудников отказываются предоставлять их, или могут ли компании требовать от своих сотрудников использовать биометрические сканеры для отслеживания своих смен, или может ли медицинский сектор потребовать биометрические данные перед оказанием медицинской помощи для проверки личности пациентов?

Все это спорные вопросы из-за недавнего развития технологий, которые позволяют внедрять такие системы по гораздо более низкой цене. Кроме того, биометрические сканеры и системы безопасности, возможно, более безопасны, чем простые пароли, которые можно взломать, или более безопасные системы идентификации, чем подпись человека, которую можно дублировать.

К сожалению, Закон и последующие подзаконные акты не дают четких ответов на эти вопросы. Таким образом, высокие суды (главным образом Апелляционный суд, Государственный совет и Конституционный суд) выносили разные решения для разных ситуаций в каждом конкретном случае в зависимости от принципа соразмерности.

• Биометрические данные в медицинском секторе для идентификации пациентов

В соответствии со статьей 67 Закона о социальном обеспечении и общем медицинском страховании № 5510, государственные больницы в Турции могут потребовать от своих пациентов предоставить свои биометрические данные в качестве средства проверки личности пациента (в статье говорится, что пациенты должны либо доказать их идентификацию с помощью биометрических средств или с помощью удостоверения личности, водительских прав, свидетельства о браке или паспорта, чтобы пользоваться услугами здравоохранения).

Соответственно, некоторые государственные больницы начали использовать биометрические проверки для проверки личности пациента-заявителя, и это вызвало некоторые разногласия, поскольку было расценено как нарушение права на неприкосновенность частной жизни.

Наконец, в 2014 году Государственный совет подал жалобу в Конституционный суд об отмене соответствующих положений этой статьи 67, утверждая, что она нарушила статьи 2, 13 и 20 Конституции. Конституционный суд отклонил заявление и постановил, что государственные больницы могут запрашивать биометрические данные для проверки личности пациента, и это не нарушает права на неприкосновенность частной жизни, закрепленного в Конституции. 

Аргументация, приведенная судом в этом решении, заключалась в том, что, поскольку проверка личности с помощью биометрических средств более защищена от несанкционированного использования, поскольку такие данные не могут быть подделаны, она намного эффективнее в борьбе с коррупцией в государственных учреждениях.

Другими словами, Суд постановил, что предотвращение злоупотреблений системой здравоохранения имеет первостепенное значение, и по сравнению с нарушением права на неприкосновенность частной жизни это положение не нарушает принцип соразмерности. Таким образом, суд постановил, что это положение не нарушает конституцию, поскольку существует соразмерность между защищаемыми правами (честность системы здравоохранения) и теми, которые нарушаются (право на неприкосновенность частной жизни).

• Биометрические данные для контроля смены сотрудников

Это другой вопрос, особенно в отношении крупных компаний и холдингов с большим штатом сотрудников. Эти компании используют различные системы для контроля и учета рабочего времени своих сотрудников, такие как подписные листы или карточные системы. Однако другая система, которую можно использовать, — это система сканирования отпечатков пальцев, в которой сотрудники отмечают время своего прихода и ухода, сканируя свои отпечатки пальцев.

Одна государственная больница в Турции начала использовать такое приложение для управления сменой, которое отслеживало часы смены сотрудников с помощью сканеров отпечатков пальцев. Впоследствии против этого обязательного приложения для сканирования отпечатков пальцев был подан иск, решение по которому было окончательно принято Государственным советом.

В этом решении Государственный совет постановил, что отпечатки пальцев человека должны рассматриваться как неотъемлемая часть частной жизни этого лица и, следовательно, находятся под защитой права на неприкосновенность частной жизни в соответствии со статьей 20 Конституции. Кроме того, Суд постановил, что существуют другие и столь же компетентные средства отслеживания смен сотрудников, и выгода, которую можно получить от такого приложения отслеживания, даже в государственном секторе, ничтожно мала по сравнению с нарушением права на неприкосновенность частной жизни. Поэтому Государственный совет постановил, что такие приложения нарушают Конституцию, и сотрудников нельзя заставлять использовать системы сканирования отпечатков пальцев для отслеживания смен даже в государственном секторе.

• Биометрические данные для безопасных/конфиденциальных помещений

Еще одним трендом в бизнесе, особенно в технологических компаниях, является внедрение защищенных комнат для безопасного хранения конфиденциальной информации. Особенно этого требуют иностранные компании от своих турецких коллег в случаях, когда между сторонами происходит обмен строго секретной и конфиденциальной информацией. Раньше эти безопасные комнаты защищались системами с использованием простых паролей, тогда как в настоящее время компаниям требуются безопасные комнаты, доступ к которым возможен только с помощью биометрических данных, таких как отпечатки пальцев, сканеры сетчатки глаза или идентификация лица (поскольку это считается более безопасным, чем пароли).

Однако безопасные помещения, доступные по биометрическим данным, снова поднимают вопрос о согласии. Поскольку компаниям требуется, чтобы один или несколько их сотрудников имели доступ к этим безопасным комнатам, им необходимо получить биометрические данные таких сотрудников, чтобы должным образом реализовать защищенную комнату. Хотя конкретных постановлений Верховного суда по этому вопросу еще нет, решение Совета штатов относительно использования биометрических данных для контроля смены сотрудников (упомянутое выше) должно служить хорошей основой.

Применяя это решение к данному делу, становится ясно, что польза от внедрения защищенной комнаты (в частных компаниях) будет незначительной по сравнению с нарушением права на неприкосновенность частной жизни. Поэтому компании не могут требовать от своих сотрудников биометрические данные для реализации безопасных комнат и не могут расторгнуть трудовые договоры на основании отказа работника от предоставления таких данных. Однако по-прежнему возможно получить такие данные от давших согласие сотрудников (хотя такое согласие должно быть тщательно сформулировано, чтобы не нарушать какие-либо положения Закона).

VI. ВЫВОД

Правила в Турции, касающиеся защиты персональных данных, все еще довольно новы, и поэтому до сих пор нет установленных судебных прецедентов. Имеющиеся в настоящее время судебные постановления, как правило, датированы до введения в действие Закона, и, хотя некоторые из них действительно ссылаются на Договор 108, нам все равно придется подождать еще несколько лет, прежде чем высокие суды создадут прецедент, характерный для самого Закона, и его второстепенные правила. Поэтому для компаний крайне важно иметь исчерпывающие тексты о защите персональных данных (информационные тексты и формы согласия), чтобы избежать любой возможной ответственности в будущем, которая может быть наложена судебными прецедентами.

Для получения дополнительной информации и помощи по этому вопросу, пожалуйста, не стесняйтесь обращаться к нам здесь.