Средний. Али Юрцевер LLM
Закон о защите персональных данных
С введением в действие Закона о защите персональных данных № 6698 («ЗПДП») на контролеров и обработчиков данных были наложены новые правила и обязательства. Кроме того, ЛДДП предусматривала серьезные денежные штрафы и тюремное заключение для тех, кто нарушает эти обязательства. К сожалению, большинство контролеров/обработчиков данных в Турции не осознали потенциальных обязательств, вытекающих из положений LPDP. Одна из наиболее распространенных ошибок среди контролеров/обработчиков данных заключается в том, что они склонны полагать, что LPDP и положения о защите персональных данных применимы только к тем, кто должен зарегистрироваться в Реестр контролеров данных (VERBIS).
Это предположение, конечно же, неверно, поскольку требование регистрации VERBIS является отдельным требованием/обязательством и не связано с применимостью положений LPDP. Поэтому крайне важно, чтобы все компании (или физические лица), обрабатывающие персональные данные, соблюдали правила и процедуры, изложенные в LPDP, независимо от обязательства регистрации VERBIS.
Проверка фактов. Применяется ли LPDP к вашему бизнесу?
Одна из основных проблем с применимостью LPDP заключается в том, что компании, акционеры и/или физические лица неправомерно толкуют термины, указанные в законодательстве. Наиболее распространенные ошибки касаются терминов «обработка данных» и «контролер данных», поскольку большинство представителей компаний ошибочно полагают, что хранение и обработка данных — это два разных понятия, и поскольку они хранят только персональные данные, их нельзя считать контролерами данных, что в очередь приводит к тому, что компания не предпринимает никаких действий в отношении соблюдения LPDP и защиты персональных данных.
Поэтому крайне важно, чтобы акционеры и представители компании полностью понимали концепции/условия персональных данных, обработки данных, контроллера данных и обработчика данных, чтобы точно определить, какие положения LPDP/защиты персональных данных применимы к ним.
а. Личные данные определяется очень широко в рамках LPDP. В соответствии с этим определением персональные данные означают «вся информация, принадлежащая физическому лицу, личность которого установлена или может быть установлена». Согласно этому широкому определению любая и вся информация, которая может позволить владельцу данных идентифицировать конкретное лицо, считается персональными данными. Это могут быть данные, удостоверяющие личность, имя, фамилия, дата рождения, номера телефонов, резюме, фотографии, доход, предпочтения в расходах, адрес, количество детей, адреса электронной почты и IP-адреса, хобби, информация о местоположении и т. д. Соответственно, общие правило заключается в том, что если какой-либо фрагмент информации может позволить идентифицировать конкретное лицо, эта информация считается персональными данными.
б. Обработка персональных данных далее определяется в LPDP как «любая операция, выполняемая с персональными данными, такая как сбор, запись, хранение, удержание, изменение, реорганизация, раскрытие, передача, захват, обеспечение возможности извлечения, классификация или предотвращение их использования, полностью или частично». с помощью автоматических средств или при условии, что процесс является частью какой-либо системы регистрации данных, с помощью неавтоматических средств». Следовательно, даже простое действие по хранению любого из вышеупомянутых персональных данных считается действием по обработке, даже если соответствующий контроллер данных не использует данные каким-либо осмысленным или действенным образом.
в. Контроллер данных определяется как «физическое или юридическое лицо, которое определяет цель и средства обработки персональных данных и несет ответственность за создание и управление системой регистрации данных». Например, если ваша компания обрабатывает какие-либо личные данные, такие как адрес электронной почты клиента, номер телефона, домашний адрес, имя, фамилия или дата рождения, либо на физическом носителе, либо в цифровом виде на сервере, либо через сторонних поставщиков услуг. , то ваша компания будет считаться контролером данных в соответствии с LPDP, и вам необходимо будет соблюдать правила защиты персональных данных.
д. Обработчик данных определяется как «физическое или юридическое лицо, которое обрабатывает персональные данные от имени контролера с его разрешения». В этом контексте, если, например, финансы вашей компании и ее налоговые декларации обрабатываются сторонним бухгалтером, физическим лицом или сторонней компанией, этот сторонний бухгалтер, обрабатывающий эти бухгалтерские документы (например, счета-фактуры, которые могут содержат персональные данные) считаются обработчиками данных.
е. Система регистрации данных определяется как «система реестра, в которой регистрируются персональные данные посредством структурирования в соответствии с определенными критериями». Таким образом, все системы, предназначенные для хранения и иной обработки данных, считаются системой регистрации данных.
Требования LPDP и возможные обязательства
Как отмечалось выше, любое физическое и/или юридическое лицо, которое может быть классифицировано как контролер персональных данных и/или обработчик персональных данных, будет обязано соблюдать правила, изложенные в LPDP, при обработке персональных данных. Эти термины в совокупности известны как общие условия обработки данных, которые подробно анализируются в отдельной статье. Соответственно, большая часть обработки данных, выполняемая в соответствии с этими общими условиями, будет считаться соответствующей при условии, что контролер/обработчик персональных данных полностью соблюдает LPDP и его дополнительные положения.
И наоборот, несоблюдение правил и условий, установленных LPDP, может привести к применению ряда ограничений и штрафов к контролеру/обработчику персональных данных. Они могут варьироваться от ограничительных мер до административных штрафов до 1.000.000 XNUMX XNUMX турецких лир (в зависимости от нарушения могут применяться и более высокие штрафы).
Определение административных штрафов оставлено на усмотрение личного Орган по защите данных (DPA), так как статья 18 ЗЗПД устанавливает только нижний и верхний пределы административных штрафов, которые могут быть наложены. Соответственно, DPA уполномочен налагать административные санкции на тех, кто нарушает обязательства, изложенные в LPPD в соответствии со статьей 22 LPDP.
Эта широкая дискреционная власть DPA вызывала некоторые проблемы с некоторыми административными мерами, применяемыми к различным контролерам/обработчикам данных в прошлом, поскольку некоторые утверждали, что DPA злоупотребляло своими полномочиями, налагая штрафы, превышающие верхний предел, без предоставления уважительной причины для сделать это (некоторые даже подали иски против наложенных штрафов). Чтобы лучше понять эти вопросы, связанные с административными штрафами, налагаемыми LPDP, обратитесь к нашей предыдущей статье под названием «Обжалование административных штрафов, наложенных Турецким органом по защите данных" (также доступны здесь).
Заключение
Честно говоря, правила и положения, регулирующие обработку данных, могут показаться сложными, особенно для иностранных организаций, пытающихся работать на турецком рынке. Основным источником путаницы является, конечно же, текст LPDP, а также тот факт, что контролеры данных и обработчики данных также должны принимать во внимание решения DPA при внедрении новых внутренних правил обработки данных, которые могут быть сложными для иностранцев, поскольку решения DPA обычно не доступен ни на одном языке, кроме турецкого.
Кроме того, это законодательство о защите персональных данных все еще является совершенно новым и поэтому постоянно развивается и изменяется, в основном за счет новых решений DPA и штрафов. Этот развивающийся характер механизмов соблюдения также создает серьезные проблемы и проблемы, если контролеры / обработчики данных решат использовать стандартизированный юридический текст для обеспечения соблюдения этих правил, поскольку эти стандартизированные тексты обычно сильно устарели и содержат неверные или в некоторых случаях явно недостаточные формулировки. и механизмы.
Поэтому контролерам данных и/или обработчикам данных крайне важно проконсультироваться с экспертом, чтобы убедиться, что их механизмы соблюдения требований по защите персональных данных реализованы должным образом, чтобы избежать любых ненужных и предотвратимых штрафов в будущем.