目录
目录

特殊类别的个人数据的处理:土耳其当前的法律框架

对第 6698 号《个人数据保护法》(“法律”)通过 7499 年 12 月 2024 日第 32487 号《官方公报》上公布的第 2025 号法律。XNUMX 年 XNUMX 月,《特殊类别个人数据处理指南》(“产品指南”)已在个人数据保护局的网站上发布(“权威“)。

1. 引言

 根据该法,特殊类别的个人数据包括个人的种族、民族血统、政治观点、哲学信仰、宗教、教派或其他信仰、外貌和衣着、协会、基金会或工会会员资格、健康、性生活、犯罪定罪和安全措施等信息,以及生物特征和基因数据。

修订前,处理特殊类别的个人数据通常需要获得数据主体的明确同意。关于未经明确同意处理此类数据,该法此前规定了“与健康和性生活相关的数据“和”其他特殊类别的个人数据根据这一区别:

  • 其他特殊类别的个人数据:仅当法律明确规定时,才可以在无需明确同意的情况下进行处理。
  • 与健康和性生活相关的数据:仅可在未经明确同意的情况下,出于保护公共卫生、预防医学、医疗诊断、治疗和护理服务、卫生服务和融资的规划和管理等目的进行处理,但仅限于负有保密义务的个人或机构。

根据之前的法规,健康数据几乎只能由社会保障机构、卫生部和医疗机构处理。这引发了保险、职业健康与安全以及社会服务等行业所需的健康数据处理方面的一些实际问题。事实上,该法规限制了公共机构、私营部门利益相关者和非政府组织的某些活动,阻止它们履行部分法定义务。因此,修正案旨在解决这些实际问题并满足当前的需求。

一、现状

 随着最近的修订,“与健康和性生活相关的数据” 和“其他特殊类别的个人数据”已被删除。因此,与健康和性生活相关的数据不再受到与其他特殊类别的个人数据不同的处理法律依据的约束。此外,处理条件已被修订,以统一适用于所有特殊类别的个人数据,并引入了额外的法律依据。

根据新规定,特殊类别的个人数据可以在以下条件下处理:

a) 数据主体的明确同意:如果数据主体明确同意,则其特殊类别的个人数据可以继续基于此类同意进行处理。明确同意与下文列出的其他法律依据之间没有等级差异。但应注意的是,明确同意必须继续遵守法律规定的一般原则。

b) 法律明确规定:如果法律明确规定,特殊类别的个人数据可以在未经数据主体明确同意的情况下进行处理。例如,根据《警察权力和职责法》第 5 条第 2559 款,可以从申请驾驶执照或护照的个人那里收集指纹数据。指南澄清,根据法律明确授予的权力处理特殊类别个人数据而发布的条例、公报和通告等法规也属于这一法律基础。

c) 实际不可能:如果数据主体因实际不可能/残疾的情况而无法表示同意,或者其同意在法律上无效,则特殊类别的个人数据可以在未经同意的情况下处理,前提是这对于保护数据主体或其他人的生命或身体完整性至关重要。此法律依据的一个例子是在个人失去意识的紧急医疗情况下处理有关其血型和既往疾病的信息。

d) 数据主体公开披露的数据:如果数据主体已公开其特殊类别的个人数据,则此类数据可在未经同意的情况下进行处理,前提是处理符合数据主体的意图。例如,如果个人出于紧急情况公开分享其血型和过敏信息,则此类数据可用于此目的。应该强调的是,仅仅数据主体已公开其特殊类别的个人数据这一事实本身并不够;数据控制者在处理这些数据时必须按照数据主体的披露意图或目的行事。

e) 建立、行使或保护合法权利:如果对于建立、行使或保护合法权利至关重要,则特殊类别的个人数据可能会在未经同意的情况下被处理。例如,雇主可能会保留前雇员的健康数据,以应对终止雇佣协议后可能出现的法律纠纷。

同样,在律师无法以其他方式主张其委托人的权利的情况下,将合法获得的特殊类别的个人数据作为案件档案的一部分提交给法院可被视为合法处理的依据。再举一个例子,在需要处理特殊类别的个人数据(例如与雇员配偶和子女有关的残疾或健康信息)以支付工资的情况下,雇主对此类数据的处理也可被视为在此范围内。

f) 医疗服务及类似必需品:如果出于保护公共卫生、预防医学、医疗诊断、治疗和护理服务以及医疗保健服务的规划、管理和融资的需要,负有保密义务的个人或授权机构和组织可以继续处理特殊类别的个人数据,而无需获得明确同意。

卫生部、各类医疗机构和社会保障机构为特定目的收集的数据均属于这一范围。指南指出,“认可机构及组织”不仅包括公共机构和组织,还包括提供医疗保健服务的个人和私人法人实体。“负有保密义务的人员”包括所有医疗专业人士,以及参与提供医疗服务的人员(即使不是医疗专业人士)。

g) 遵守与就业相关的法律义务:如果为了履行就业、职业健康和安全、社会保障、社会服务和社会援助领域的法律义务所必需的,特殊类别的个人数据可以在未经数据主体明确同意的情况下进行处理。

这一法律基础的例子包括:雇主处理健康或犯罪定罪数据以履行《劳动法》第 4857 号(第 30 条)规定的雇用残疾人或被定罪人员的义务,处理集体谈判协议所要求的健康检查健康数据(《工会和集体谈判协议法》第 6356 号,第 36(1) 条),以及处理驾驶员(《道路运输条例》第 34 条)和保安人员(《关于私人保安服务的法律》第 5188 号,第 10 条)的犯罪定罪和健康数据。

h) 基金会、协会和非营利组织的会员资格:出于政治、哲学、宗教或工会目的而成立的基金会、协会和非营利组织可以在未经明确同意的情况下处理特殊类别的个人数据(现任或前任成员以及与这些组织有定期联系的个人的个人数据),前提是处理符合其法律框架和目标、仅限于其活动并且不向第三方披露。

 例如,处理与现任会员以及前任会员和通过捐款定期联系的个人相关的信息将被视为属于这一范围。同样,工会只能处理与其活动范围和目标相关的工会会员资格数据。但是,如果与工会会员的健康或宗教信仰相关的个人数据与活动范围和目标无关,则不能处理这些数据。

上述一些法律依据包含“必要”或“基本”等术语。根据指南:

  • 期限 “必要的” 意味着数据处理活动必须逐案评估,并根据客观证据证明个人数据的使用是合理的。这还意味着处理的数据必须与声称的合法目的有联系,符合与处理目的相关、有限和相称的原则。
  • 期限 “必要” 不依赖于主观评估,而是指公共和社会条件要求处理特殊类别的个人数据的情况。在这种处理活动中,必须没有替代方法来处理特殊类别的个人数据,使得在指定目的范围内处理活动不可避免。

因此,在根据任何法律依据开始处理特殊类别的个人数据之前,应进行全面评估以确定是否满足这些标准。

3. 结论

 修订后,处理特殊类别个人数据的数据控制者必须修改基于明确同意的流程,更新其个人数据处理清单、信息通知以及保留和销毁政策。

采取的要求 “适当措施” 保持不变。特殊类别的个人数据必须继续按照个人数据保护委员会的规定进行处理 做出合理的决策, 31 年 2018 月 2018 日颁布的编号为 10/XNUMX 的法令,规定了数据控制者在处理特殊类别的个人数据时应采取的适当措施。如果尚未采取适当措施,组织必须尽快确保合规。

此外,处理遗传和/或生物特征数据的数据控制者还必须考虑 基因数据处理指南 以及 生物特征数据处理注意事项指南.

Avukat Ece Elvan Celep - ASY Legal

埃斯·埃尔万·塞莱普大街

联系咨询

作者介绍

相关文章