Меню
Меню

Обработка особых категорий персональных данных: действующая правовая база в Турции

Внесены изменения в Закон о защите персональных данных № 6698 («о наморднике») Законом № 7499, опубликованным в Официальном вестнике от 12 марта 2024 года под номером 32487. В феврале 2025 года было принято Руководство по обработке особых категорий персональных данных («Guide») был опубликован на веб-сайте Органа по защите персональных данных («Власть»).

 

1. Введение

 

В соответствии с Законом к особым категориям персональных данных относятся сведения о расе, этническом происхождении, политических взглядах, философских убеждениях, религии, секте или других убеждениях, внешности и одежде, членстве в ассоциациях, фондах или союзах, состоянии здоровья, сексуальной жизни, судимостях и мерах безопасности, а также биометрические и генетические данные.

 

До внесения изменений обработка особых категорий персональных данных, как правило, осуществлялась с явного согласия субъекта данных. В отношении обработки таких данных без явного согласия Закон ранее устанавливал различие между «данные, касающиеся здоровья и сексуальной жизни(Основной ключ) и иные специальные категории персональных данных.” Согласно этому различию:

 

  • Другие специальные категории персональных данных: могут быть обработаны без явного согласия только в случаях, прямо предусмотренных законом.

 

  • Данные, касающиеся здоровья и сексуальной жизни: может обрабатываться без явного согласия только в таких целях, как охрана общественного здоровья, профилактическая медицина, медицинская диагностика, лечение и уход, а также планирование и управление медицинскими услугами и финансированием, но только лицами или учреждениями, на которых распространяется обязательство о конфиденциальности.

 

Согласно предыдущему постановлению, данные о состоянии здоровья могли обрабатываться почти исключительно Институтом социального обеспечения, Министерством здравоохранения и учреждениями здравоохранения. Это вызвало ряд практических опасений относительно обработки данных о состоянии здоровья, необходимых в таких секторах, как страхование, охрана труда и безопасность, а также социальные услуги. Фактически, постановление ограничило определенные виды деятельности государственных учреждений, заинтересованных сторон частного сектора и неправительственных организаций, не дав им возможности выполнять некоторые из своих уставных обязательств. Поэтому поправки были направлены на решение этих практических вопросов и удовлетворение текущих потребностей.

 

2. Текущая ситуация

 

С недавними поправками различие между «данные, касающиеся здоровья и сексуальной жизни» и "иные специальные категории персональных данных” был исключен. Следовательно, данные, связанные со здоровьем и половой жизнью, больше не подлежат обработке на иных правовых основаниях, чем другие специальные категории персональных данных. Более того, условия обработки были пересмотрены для их единообразного применения ко всем специальным категориям персональных данных, а также были введены дополнительные правовые основания.

 

Согласно новым правилам, обработка особых категорий персональных данных может осуществляться при соблюдении следующих условий:

 

а) Явное согласие субъекта данных: Если субъект данных дает явное согласие, его особые категории персональных данных могут продолжать обрабатываться на основе такого согласия. нет иерархической разницы между явным согласием и другими правовыми основаниями, перечисленными ниже. Однако следует отметить, что явное согласие должно продолжать соответствовать общим принципам, установленным Законом.

 

б) Прямо предусмотрено законом: Особые категории персональных данных могут обрабатываться без явного согласия субъекта данных, если это прямо предусмотрено законом. Например, в соответствии со статьей 5 закона 2559 о полномочиях и обязанностях полиции, данные об отпечатках пальцев могут собираться у лиц, подающих заявление на получение водительских прав или паспорта. В Руководстве разъясняется, что такие нормативные акты, как подзаконные акты, коммюнике и циркуляры, выпущенные в соответствии с полномочиями, прямо предоставленными законом для обработки особых категорий персональных данных, также будут подпадать под эту правовую базу.

 

в) Практическая невозможность: Если субъект данных не может предоставить согласие в связи с ситуацией практической невозможности/инвалидности или его/ее согласие является юридически недействительным, специальные категории персональных данных могут обрабатываться без согласия, если это необходимо для защиты жизни или физической неприкосновенности субъекта данных или другого лица. Примером такой правовой базы является обработка информации о группе крови человека и перенесенных заболеваниях в экстренной медицинской ситуации, когда человек находится без сознания.

 

г) Данные, публично раскрытые субъектом данных: Если субъект данных сделал свои особые категории персональных данных общедоступными, такие данные могут обрабатываться без согласия, при условии, что обработка соответствует намерениям субъекта данных. Например, если человек публично делится своей группой крови и информацией об аллергии в экстренных случаях, такие данные могут использоваться для этой цели. Следует подчеркнуть, что сам по себе факт того, что субъект данных сделал свои особые категории персональных данных общедоступными, недостаточен; контролер данных должен действовать в соответствии с намерением субъекта данных или целью раскрытия при обработке этих данных.

 

д) Установление, осуществление или защита законных прав: Особые категории персональных данных могут обрабатываться без согласия, если это необходимо для установления, осуществления или защиты законного права. Например, работодатель может сохранить данные о здоровье бывшего сотрудника для потенциальных правовых споров после расторжения трудового договора.

 

Аналогичным образом, в случаях, когда адвокат не может отстаивать права своего клиента иным способом, предоставление в суд законно полученных специальных категорий персональных данных в составе материалов дела может считаться законным основанием для обработки. В качестве другого примера, в случаях, когда обработка специальных категорий персональных данных, таких как информация об инвалидности или состоянии здоровья супругов и детей сотрудников, необходима для выплаты заработной платы, обработка таких данных работодателем также может рассматриваться в рамках этой сферы.

 

f) Медицинские услуги и аналогичные потребности: Лица или уполномоченные учреждения и организации, обязанные соблюдать конфиденциальность, могут продолжать обработку особых категорий персональных данных без получения явного согласия, если это необходимо для защиты общественного здоровья, профилактической медицины, медицинской диагностики, лечения и ухода, а также для планирования, управления и финансирования услуг здравоохранения.

 

Министерство здравоохранения, все типы учреждений здравоохранения и Институт социального обеспечения рассматриваются в рамках этой сферы в отношении данных, которые они собирают для определенных целей. Руководство указывает, что термин «уполномоченные учреждения и организации" включает в себя не только государственные учреждения и организации, но также физических и юридических лиц, оказывающих услуги здравоохранения. Термин "лица, на которых возложена обязанность соблюдения конфиденциальности» включает всех специалистов здравоохранения, а также тех, кто, даже если не является специалистом здравоохранения, участвует в предоставлении медицинских услуг.

 

ж) Соблюдение правовых обязательств, связанных с трудоустройством: Особые категории персональных данных могут обрабатываться без явного согласия субъекта данных, если это необходимо для выполнения юридических обязательств в области занятости, охраны труда и техники безопасности, социального обеспечения, социальных услуг и социальной помощи.

 

Примерами такой правовой базы являются: обработка работодателем данных о состоянии здоровья или судимости для выполнения своих обязательств по найму инвалидов или осужденных лиц в соответствии с Законом о труде № 4857 (статья 30), обработка данных о состоянии здоровья для медицинских осмотров, требуемых коллективными договорами (Закон о профсоюзах и коллективных договорах № 6356, статья 36(1)), а также обработка данных о состоянии здоровья и судимости водителей (Положение о дорожном транспорте, статья 34) и сотрудников службы безопасности (Закон № 5188 о частных охранных службах, статья 10).

 

з) Членство в фондах, ассоциациях и некоммерческих организациях: Особые категории персональных данных (действующих или бывших членов и лиц, которые находятся в постоянном контакте с этими организациями) могут обрабатываться без явного согласия фондами, ассоциациями и некоммерческими организациями, созданными в политических, философских, религиозных или профсоюзных целях, при условии, что обработка осуществляется в соответствии с их правовыми рамками и целями, ограничивается их деятельностью и не раскрывается третьим лицам.

 

Например, обработка информации, касающейся нынешних членов, а также бывших членов и лиц, которые регулярно контактируют посредством пожертвований, будет рассматриваться в рамках этой сферы. Аналогично, профсоюз может обрабатывать данные, касающиеся членства в профсоюзе, только в связи со сферой его деятельности и задачами. Однако персональные данные, касающиеся здоровья или религии членов профсоюза, не могут обрабатываться, если они не связаны со сферой деятельности и задачами.

 

Некоторые из вышеприведенных правовых оснований содержат термины «необходимый» или «существенный». Согласно Руководству:

 

  • Термин "необходимо" означает, что действия по обработке данных должны оцениваться в каждом конкретном случае путем обоснования использования персональных данных на основе объективных доказательств. Это также подразумевает, что должна быть связь между обработанными данными и заявленной законной целью в соответствии с принципом релевантности, ограниченности и соразмерности цели, для которой они обрабатываются.

 

  • Термин «Существенный» не опирается на субъективную оценку, а относится к ситуации, когда общественные и социальные условия требуют обработки особых категорий персональных данных. В таких действиях по обработке не должно быть альтернативного метода обработки особых категорий персональных данных, что делает действия по обработке неизбежными в рамках указанной цели.

 

Поэтому, прежде чем приступить к обработке особых категорий персональных данных на основании любого из этих правовых оснований, необходимо провести тщательную оценку для определения соответствия этим критериям.

 

3. Заключение

 

После внесения поправок контролеры данных, обрабатывающие особые категории персональных данных, должны пересмотреть процессы, основанные на явном согласии, обновить свои описи обработки персональных данных, информационные уведомления, а также политики хранения и уничтожения.

 

Требование принять «адекватные меры» остается неизменным. Специальные категории персональных данных должны продолжать обрабатываться в соответствии с требованиями Совета по защите персональных данных в соответствии от 31 января 2018 года и под номером 2018/10 относительно адекватных мер, которые должны быть приняты контролерами данных при обработке особых категорий персональных данных. Если адекватные меры еще не были реализованы, организации должны обеспечить соответствие как можно скорее.

 

Кроме того, контролеры данных, обрабатывающие генетические и/или биометрические данные, также должны учитывать принципы, изложенные в Руководство по обработке генетических данных и Руководство по рассмотрению вопросов обработки биометрических данных.

Авукат Эдже Эльван Челеп - ASY Legal

Av. Ece Elvan Celep

Контакт для консультации

Автор Био

Похожие статьи