土耳其合法处理个人数据的 8 条原则

AV。 阿里Yurtsever 法学硕士

LPDP 的实施还意味着对控制和/或以其他方式处理个人数据的企业的额外合规要求和责任。 但是，要完全遵守 LPDP 和 数据保护局 (DPA) 做出决定并非易事，因为企业需要实施各种措施，从起草与个人数据处理有关的新文件到 DPA 概述的其他行政和技术措施。 要更好地了解 LPDP 及其潜在责任，请参阅我们之前的文章“土耳其的数据保护”（也可在此处获得）。

尽管看起来很复杂，但要完全遵守 LPDP，最重要的步骤之一是充分了解企业、数据控制者和数据处理者可以在何时何地合法开展个人数据处理活动。 因此，LPDP 第 5 条概述了合法数据处理的 8 项原则（也称为一般条件）：

合法个人数据处理的一般条件

如上图所示，LPDP 允许在以下情况下处理个人数据： (i) 数据所有者明确同意，(ii) 法律明确规定，(iii) 为保护数据控制者的合法利益所必需，(iv) 为确立、行使或保护权利所必需, (v) 由相关数据所有者向公众披露，(vi) 与合同的签署、履行和缔结相关，(vii) 为保护数据所有者的生命和/或身体完整性所必需，在无法获得明确同意的情况下， or (viii) 数据控制者必须履行其法律义务。

LPDP 为数据处理提供众多法律依据的主要原因是防止这些个人数据保护规则阻碍日常 B2C 商业活动。 尤其是关于合法利益、权利行使和合同履行的基础是专门设计用于使数据控制者/处理者能够处理其客户为履行他们之间签订的特定合同所需的数据。

但是，这并不意味着数据控制者/处理者可以在不进行必要检查和审查的情况下处理他们喜欢的任何数据，因为上述某些条件是相互排斥的，这意味着如果另一个法律依据适用于该特定个人数据，则不能存在加工。

因此，此处需要注意的主要问题之一是，如果数据处理的合法性不是基于明确同意，而是基于上述其余 7 个条件之一，则数据控制者应避免获得额外的同意。

获得担保同意的问题

数据控制者和处理者最常犯的错误之一是他们试图获得相关数据所有者的同意，当满足一个或多个其他数据处理条件时。 获得客户对执行合同所需的个人数据的单独同意就是一个很好的例子。

这些被称为“保证同意”，因为它们通常是因为数据控制者希望保证他们受到保护免受 LPDP 制裁。 但是，这些保证同意弊大于利，因为 DPA 不接受此类保证同意条款，并明确指出，如果其他 7 个一般条件之一（同意除外）适用于个人数据的处理，则数据控制者不应就该处理获得单独的同意。

DPA 认为，（保证）同意条款将导致数据所有者相信他们可以随时撤回同意，因此要求数据控制者停止处理。 但是，在其他 7 个条件之一适用的情况下，由同意条款引起的这种错误印象会误导数据所有者，因为数据控制者可以（并且在某些情况下被要求）继续处理数据，即使数据所有者根据适用于相关数据的其他 7 项一般条件中的一项或多项撤回同意。

这些“保证”同意甚至可能导致 DPA 发出行政措施和罚款，因为 DPA 认为这些类型的同意违反了 LPDP 原则[有关 LPDP 行政罚款的详细审查，请参阅我们之前的文章“如何对土耳其数据保护局的行政罚款提出上诉“， （也提供 点击此处）]。

因此，企业和数据控制者必须对他们将要处理的个人数据进行全面评估，以准确确定上述 7 个条件中的一个或多个（同意除外）是否适用于该特定数据集. 如果是，他们应避免获得数据所有者的额外同意。 然而，如果 7 个条件均不适用于特定数据集，则需要明确同意才能合法处理该数据。