Средний. Али Юрцевер LLM
Обработка персональных данных и LPDP
Правовой ландшафт, связанный с цифровыми данными, неуклонно менялся и развивался на протяжении многих лет. Общий темп этого изменения увеличился с внедрением GDPR в Европе, что подтолкнуло другие страны к адаптации к этому новому набору правил и норм. Чтобы не отставать от международных законодательных изменений, Турция также приняла Закон № 6698 о защите персональных данных («ЗПДП») и ввела новые правила и обязательства (аналогичные Директиве 95/46/ЕС) для обработки персональных данных в Турции. (Пожалуйста, обратитесь к нашей предыдущей статье «Защита персональных данных в Турции» для обзора положений LPDP).
Внедрение LPDP также означало дополнительные требования и обязательства для предприятий, которые контролируют и / или иным образом обрабатывают персональные данные. Однако достижение полного соответствия LPDP и Орган по защите данных (DPA) принятие решений — непростая задача, так как от бизнеса требуется принятие различных мер, от разработки новых документов, касающихся обработки персональных данных, до дополнительных административных и технических мер, предусмотренных DPA. Чтобы лучше понять LPDP и ее потенциальные обязательства, обратитесь к нашей предыдущей статье «Защита данных в Турции» (также доступна здесь).
Хотя это может показаться сложным, одним из наиболее важных шагов в достижении полного соответствия LPDP является полное понимание того, когда и где предприятия, контролеры данных и обработчики данных могут законно осуществлять деятельность по обработке персональных данных. Соответственно, в статье 5 LPDP изложены 8 принципов (также известных как общие условия) законной обработки данных:
Общие условия правомерной обработки персональных данных
Как показано на приведенном выше рисунке, LPDP позволяет обрабатывать персональные данные, если; (i) владелец данных дает прямое согласие, (ii) это четко предусмотрено законодательством, (iii) необходимо для защиты законных интересов контролера данных, (iv) обязательно для установления, осуществления или защиты права , (v) раскрывается общественности соответствующим владельцем данных, (vi) имеет значение для подписания, исполнения и заключения контракта, (vii) необходимо для защиты жизни и/или физической неприкосновенности владельца данных, в ситуациях, когда невозможно получить прямое согласие, or (viii) обязательным для контроллера данных для выполнения своих юридических обязательств.
Основная причина, по которой LPDP предоставляет многочисленные правовые основы для обработки данных, заключается в том, чтобы эти правила защиты персональных данных не мешали повседневной коммерческой деятельности B2C. В частности, основы, касающиеся законных интересов, осуществления права и выполнения контракта, специально разработаны для того, чтобы позволить контролерам/обработчикам данных обрабатывать данные своих клиентов, необходимые для выполнения конкретного контракта, подписанного между ними.
Однако это не означает, что контролеры/обработчики данных могут обрабатывать любые данные, которые им нравятся, без выполнения необходимых проверок и обзоров, поскольку определенные условия, указанные выше, являются взаимоисключающими, то есть они не могут присутствовать, если к этим конкретным персональным данным применимо другое правовое основание. обработка.
Соответственно, один из основных вопросов, на который следует обратить внимание, заключается в том, что если законность обработки данных основана не на явном согласии, а на одном из оставшихся 7 условий, указанных выше, контролеры данных должны воздерживаться от получения дополнительного согласия.
Проблемы с получением гарантийного согласия
Одна из наиболее распространенных ошибок, которую совершают контролеры и обработчики данных, заключается в том, что они пытаются получить согласие от соответствующих владельцев данных, даже если выполняется одно или несколько других условий обработки данных. Хорошим примером здесь может быть получение отдельного согласия от клиента на персональные данные, необходимые для исполнения договора.
Они называются «гарантийными согласиями», поскольку обычно их получают, потому что контролеры данных хотят гарантировать, что они защищены от санкций LPDP. Однако эти гарантийные согласия приносят больше вреда, чем пользы, поскольку DPA не принимает такие положения о гарантийном согласии и прямо заявляет, что если одно из других 7 общих условий (кроме согласия) применимо к обработке персональных данных, то данные контролеры не должны получать отдельное согласие на эту обработку.
DPA утверждает, что пункт (гарантия) о согласии заставит владельца данных поверить, что он может отозвать согласие в любое время, и поэтому потребует от контроллера данных прекратить обработку. Однако в случаях, когда применяется одно из других 7 условий, это ложное впечатление, вызванное пунктом о согласии, вводит владельцев данных в заблуждение, поскольку контролер данных может (а в некоторых случаях обязан) продолжать обработку данных, даже если владелец данных отзывает согласие на основании одного или нескольких из 7 других общих условий, применимых к соответствующим данным.
Эти «гарантийные» согласия могут даже привести к административным мерам и штрафам со стороны DPA, поскольку DPA рассматривает такие типы согласий как нарушение принципов LPDP [подробный обзор административных штрафов LPDP см. в нашей предыдущей статье «Как обжаловать административные штрафы, наложенные Турецким органом по защите данных", (также доступны здесь)].
Поэтому крайне важно, чтобы предприятия и контролеры данных провели полную оценку персональных данных, которые они собираются обрабатывать, чтобы точно определить, применимы ли одно или несколько из вышеупомянутых 7 условий (за исключением согласия) к этому конкретному набору данных. . Если да, им следует воздержаться от получения дополнительного согласия от владельцев данных. Принимая во внимание, что если ни одно из 7 условий не применяется к конкретному набору данных, то для законной обработки этих данных потребуется явное согласие.