القائمة
القائمة

معالجة فئات خاصة من البيانات الشخصية: الإطار القانوني الحالي في تركيا

تم إجراء تعديلات على قانون حماية البيانات الشخصية رقم 6698 ("القانون") من خلال القانون رقم 7499، المنشور في الجريدة الرسمية بتاريخ 12 مارس 2024، ورقم 32487. في فبراير 2025، تم إصدار دليل معالجة الفئات الخاصة من البيانات الشخصية ("دليل") تم نشره على الموقع الإلكتروني لهيئة حماية البيانات الشخصية ("سلطان").

1. مقدمة

 وبموجب القانون، تشمل الفئات الخاصة من البيانات الشخصية معلومات عن عرق الأفراد، وأصلهم العرقي، وآرائهم السياسية، ومعتقداتهم الفلسفية، ودينهم، وطائفتهم، أو معتقداتهم الأخرى، ومظهرهم الجسدي وملابسهم، وعضويتهم في الجمعيات أو المؤسسات أو النقابات، وصحتهم، وحياتهم الجنسية، والإدانات الجنائية، والتدابير الأمنية، فضلاً عن البيانات البيومترية والوراثية.

قبل التعديل، كانت معالجة فئات خاصة من البيانات الشخصية، كقاعدة عامة، خاضعة لموافقة صريحة من صاحب البيانات. وفيما يتعلق بمعالجة مثل هذه البيانات دون موافقة صريحة، أنشأ القانون في السابق تمييزًا بين "البيانات المتعلقة بالصحة والحياة الجنسية"و"فئات خاصة أخرى من البيانات الشخصية"وبموجب هذا التمييز:

  • فئات خاصة أخرى من البيانات الشخصية:لا يجوز معالجتها إلا بدون موافقة صريحة، إذا نص القانون صراحة على ذلك.
  • البيانات المتعلقة بالصحة والحياة الجنسية: لا يمكن معالجة البيانات الشخصية إلا بدون موافقة صريحة، لأغراض مثل حماية الصحة العامة، والطب الوقائي، والتشخيص الطبي، وخدمات العلاج والرعاية، والتخطيط وإدارة الخدمات الصحية والتمويل، ولكن فقط من قبل الأشخاص أو المؤسسات الخاضعة لالتزام السرية.

وبموجب اللائحة السابقة، كان من الممكن معالجة البيانات الصحية بشكل حصري تقريبًا من قبل مؤسسة الضمان الاجتماعي ووزارة الصحة ومؤسسات الرعاية الصحية. وقد أثار هذا العديد من المخاوف العملية فيما يتعلق بمعالجة البيانات الصحية اللازمة في قطاعات مثل التأمين والصحة والسلامة المهنية والخدمات الاجتماعية. في الواقع، قيدت اللائحة بعض أنشطة المؤسسات العامة وأصحاب المصلحة في القطاع الخاص والمنظمات غير الحكومية، مما منعهم من الوفاء ببعض التزاماتهم القانونية. لذلك، تهدف التعديلات إلى معالجة هذه القضايا العملية وتلبية الاحتياجات الحالية.

2. الوضع الحالي

 مع التعديلات الأخيرة، أصبح التمييز بين ""البيانات المتعلقة بالصحة والحياة الجنسية" و"فئات خاصة أخرى من البيانات الشخصية"تم إلغاء هذا البند. وبالتالي، لم تعد البيانات المتعلقة بالصحة والحياة الجنسية تخضع لأسس قانونية مختلفة للمعالجة عن الفئات الخاصة الأخرى من البيانات الشخصية. وعلاوة على ذلك، تمت مراجعة شروط المعالجة لتطبيقها بشكل موحد على جميع الفئات الخاصة من البيانات الشخصية، وتم تقديم أسس قانونية إضافية.

بموجب اللوائح الجديدة، يمكن معالجة فئات خاصة من البيانات الشخصية في ظل الظروف التالية:

أ) الموافقة الصريحة من صاحب البيانات:إذا قدم صاحب البيانات موافقة صريحة، فقد تستمر معالجة فئات خاصة من بياناته الشخصية بناءً على هذه الموافقة. لا يوجد فرق هرمي بين الموافقة الصريحة والأسس القانونية الأخرى المدرجة أدناه. ومع ذلك، تجدر الإشارة إلى أن الموافقة الصريحة يجب أن تستمر في الامتثال للمبادئ العامة التي وضعها القانون.

ب) المنصوص عليه صراحة في القانون:قد تتم معالجة فئات خاصة من البيانات الشخصية دون موافقة صريحة من صاحب البيانات إذا نص القانون صراحة على ذلك. على سبيل المثال، بموجب المادة 5 من القانون 2559 بشأن صلاحيات وواجبات الشرطة، يجوز جمع بيانات بصمات الأصابع من الأفراد الذين يتقدمون بطلب للحصول على رخصة قيادة أو جواز سفر. يوضح الدليل أن اللوائح مثل اللوائح والبلاغات والنشرات الصادرة بموجب السلطة الممنوحة صراحة بموجب القانون لمعالجة فئات خاصة من البيانات الشخصية سوف تندرج أيضًا تحت هذا الأساس القانوني.

ج) الاستحالة العملية:إذا كان صاحب البيانات غير قادر على تقديم الموافقة بسبب حالة من الاستحالة العملية/الإعاقة أو كانت موافقته غير صالحة قانونًا، فقد تتم معالجة فئات خاصة من البيانات الشخصية دون موافقة إذا كان ذلك ضروريًا لحماية حياة أو سلامة صاحب البيانات الجسدية أو شخص آخر. ومن الأمثلة على هذا الأساس القانوني معالجة المعلومات حول فصيلة دم الشخص والأمراض السابقة في حالة طبية طارئة حيث يكون الفرد فاقدًا للوعي.

د) البيانات التي تم الكشف عنها علنًا من قبل صاحب البيانات:إذا جعل صاحب البيانات فئاته الخاصة من البيانات الشخصية علنية، فيجوز معالجة هذه البيانات دون موافقة، بشرط أن تتوافق المعالجة مع نية صاحب البيانات. على سبيل المثال، إذا شارك شخص ما علنًا معلومات فصيلة دمه وحساسيته لأغراض الطوارئ، فيجوز استخدام هذه البيانات لهذا الغرض. يجب التأكيد على أن حقيقة أن صاحب البيانات جعل فئاته الخاصة من البيانات الشخصية علنية ليست كافية في حد ذاتها؛ يجب على مسؤول البيانات التصرف وفقًا لنية صاحب البيانات أو غرضه من الإفصاح عند معالجة هذه البيانات.

هـ) إنشاء الحقوق القانونية أو ممارستها أو حمايتها:قد تتم معالجة فئات خاصة من البيانات الشخصية دون موافقة إذا كان ذلك ضروريًا لإنشاء حق قانوني أو ممارسته أو حمايته. على سبيل المثال، قد يحتفظ صاحب العمل ببيانات صحة الموظف السابق للنزاعات القانونية المحتملة بعد إنهاء اتفاقية العمل.

وبالمثل، في الحالات التي لا يمكن فيها للمحامي تأكيد حقوق موكله بأي طريقة أخرى، قد يُعتبر تقديم فئات خاصة من البيانات الشخصية التي تم الحصول عليها بشكل قانوني إلى المحكمة كجزء من ملف القضية أساسًا قانونيًا للمعالجة. كمثال آخر، في الحالات التي تكون فيها معالجة فئات خاصة من البيانات الشخصية، مثل معلومات الإعاقة أو الصحة المتعلقة بأزواج وأطفال الموظفين، مطلوبة لدفع الرواتب، فقد يُعتبر معالجة هذه البيانات من قبل صاحب العمل أيضًا ضمن هذا النطاق.

و) خدمات الرعاية الصحية والضروريات المماثلة:يجوز للأشخاص أو المؤسسات والمنظمات المرخص لها بموجب التزام السرية الاستمرار في معالجة فئات خاصة من البيانات الشخصية دون الحصول على موافقة صريحة إذا لزم الأمر لحماية الصحة العامة والطب الوقائي والتشخيص الطبي وخدمات العلاج والرعاية، وكذلك للتخطيط وإدارة وتمويل الخدمات الصحية.

وتعتبر وزارة الصحة ومؤسسات الرعاية الصحية بكافة أنواعها ومؤسسة الضمان الاجتماعي ضمن هذا النطاق فيما يتعلق بالبيانات التي تجمعها لأغراض محددة، ويشير الدليل إلى أن مصطلح "المؤسسات والمنظمات المعتمدة"لا يشمل هذا المصطلح المؤسسات والمنظمات العامة فحسب، بل يشمل أيضًا الأفراد والكيانات القانونية الخاصة التي تقدم خدمات الرعاية الصحية. ويشير مصطلح ""الأشخاص الخاضعون لالتزام السرية"يشمل جميع المتخصصين في الرعاية الصحية، وكذلك أولئك الذين، حتى لو لم يكونوا متخصصين في الرعاية الصحية، يشاركون في تقديم الخدمات الصحية.

ج) الامتثال للالتزامات القانونية المتعلقة بالتوظيف:قد تتم معالجة فئات خاصة من البيانات الشخصية دون موافقة صريحة من صاحب البيانات إذا كان ذلك ضروريًا للوفاء بالالتزامات القانونية في مجالات التوظيف والصحة والسلامة المهنية والضمان الاجتماعي والخدمات الاجتماعية والمساعدة الاجتماعية.

تشمل أمثلة هذا الأساس القانوني ما يلي؛ أصحاب العمل الذين يعالجون البيانات الصحية أو الإدانة الجنائية للوفاء بالتزامهم بتوظيف الأفراد ذوي الإعاقة أو المدانين بموجب قانون العمل رقم 4857 (المادة 30)، ومعالجة البيانات الصحية للفحوصات الصحية المطلوبة بموجب اتفاقيات المساومة الجماعية (قانون النقابات العمالية واتفاقيات المساومة الجماعية رقم 6356، المادة 36 (1))، ومعالجة البيانات الصحية والإدانة الجنائية للسائقين (لائحة النقل البري، المادة 34) وأفراد الأمن (القانون رقم 5188 بشأن خدمات الأمن الخاصة، المادة 10).

ح) العضوية في المؤسسات والجمعيات والمنظمات غير الربحية:يمكن معالجة فئات خاصة من البيانات الشخصية (للأعضاء الحاليين أو السابقين والأفراد الذين هم على اتصال منتظم مع هذه المنظمات) دون موافقة صريحة من قبل المؤسسات والجمعيات والمنظمات غير الربحية المنشأة لأغراض سياسية أو فلسفية أو دينية أو نقابية، شريطة أن تكون المعالجة وفقًا لإطارها القانوني وأهدافها، وتقتصر على أنشطتها، ولا يتم الكشف عنها لأطراف ثالثة.

 على سبيل المثال، سيتم النظر في معالجة المعلومات المتعلقة بالأعضاء الحاليين، وكذلك الأعضاء السابقين والأفراد الذين يتواصلون بانتظام من خلال تقديم التبرعات، ضمن هذا النطاق. وبالمثل، لا يمكن للنقابات معالجة البيانات المتعلقة بعضوية النقابة إلا فيما يتعلق بنطاق أنشطتها وأهدافها. ومع ذلك، لا يمكن معالجة البيانات الشخصية المتعلقة بصحة أو دين أعضاء النقابة إذا كانت غير مرتبطة بنطاق الأنشطة والأهداف.

تحتوي بعض الأسس القانونية المذكورة أعلاه على مصطلحي "ضروري" أو "أساسي". ووفقًا للدليل:

  • على المدى "ضروري" وهذا يعني أن أنشطة معالجة البيانات يجب أن يتم تقييمها على أساس كل حالة على حدة من خلال تبرير استخدام البيانات الشخصية على أساس أدلة موضوعية. كما يعني أنه يجب أن تكون هناك صلة بين البيانات المعالجة والغرض المشروع المزعوم، بما يتماشى مع مبدأ كونها ذات صلة ومحدودة ومتناسبة مع الغرض الذي تتم معالجتها من أجله.
  • على المدى "أساسى" لا يعتمد هذا المصطلح على تقييم شخصي بل يشير إلى موقف تتطلب فيه الظروف العامة والمجتمعية معالجة فئات خاصة من البيانات الشخصية. وفي مثل هذه الأنشطة المعالجة، يجب ألا تكون هناك طريقة بديلة لمعالجة فئات خاصة من البيانات الشخصية، مما يجعل نشاط المعالجة أمرًا لا مفر منه في نطاق الغرض المحدد.

لذلك، قبل البدء في معالجة فئات خاصة من البيانات الشخصية استنادًا إلى أي من هذه الأسس القانونية، يجب إجراء تقييم شامل لتحديد ما إذا كانت هذه المعايير مستوفاة.

3. اختتام

 وبموجب التعديلات، يتعين على مسؤولي البيانات الذين يقومون بمعالجة فئات خاصة من البيانات الشخصية مراجعة العمليات بناءً على موافقة صريحة، وتحديث مخزونات معالجة البيانات الشخصية، وإشعارات المعلومات، وسياسات الاحتفاظ والتدمير.

المتطلب لاتخاذ "التدابير الكافية" تظل دون تغيير. يجب الاستمرار في معالجة فئات خاصة من البيانات الشخصية وفقًا لقواعد مجلس حماية البيانات الشخصية القرار بتاريخ 31 يناير 2018، ورقم 2018/10 بشأن التدابير المناسبة التي يتعين على مسؤولي البيانات اتخاذها في معالجة فئات خاصة من البيانات الشخصية. إذا لم يتم تنفيذ التدابير المناسبة بعد، فيجب على المنظمات ضمان الامتثال في أقرب وقت ممكن.

بالإضافة إلى ذلك، يجب على مسؤولي البيانات الذين يقومون بمعالجة البيانات الجينية و/أو البيومترية أيضًا مراعاة المبادئ الموضحة في دليل معالجة البيانات الجينية و المبادئ التوجيهية بشأن الاعتبارات في معالجة البيانات البيومترية.

Avukat Ece Elvan Celep - ASY Legal

أف. إيجي إلفان جلب

الاتصال للحصول على المشورة

كاتب السيرة الذاتية

منشورات ذات علاقة