Регистрация

Сфера действия закона о защите персональных данных Закон не делает различий между государственными и частными организациями. Процедуры и принципы, определенные Законом, применимы ко всем учреждениям и организациям. Поэтому положения данного закона распространяются и на персональные данные, обрабатываемые государственными учреждениями. Сфера действия Закона о защите персональных данных чрезвычайно широка и ясна. Этот закон распространяется на всех физических и юридических лиц, которые частично или полностью, автоматически или неавтоматически обрабатывают персональные данные, при условии, что они являются частью системы записи данных, а также на физических лиц, чьи персональные данные обрабатываются. Для учреждений, входящих в группу юридических лиц, не делается различий в том, являются ли они частными или государственными организациями, и для всех них признаются одинаковые процедуры и принципы. Поскольку стороной, чьи данные обрабатываются, являются реальные лица, все, кто обладает правоспособностью, подпадают под действие закона. Поскольку закон основан на защите "персональных" данных и в его положениях используется термин "физические лица, чьи персональные данные обрабатываются", данные юридических лиц исключены из этого закона. Кроме того, физические и юридические лица, которые собирают и обрабатывают данные, не являясь частью системы учета данных, также не подпадают под действие закона. Закон обязывает физических и юридических лиц, которые будут обрабатывать данные, зарегистрироваться в Реестре контролеров данных (VERBIS). Однако в некоторых случаях, учитывая такие критерии, как объем, характер, предмет и цель обрабатываемых данных, Совет может освободить некоторых контролеров данных от регистрации в этом реестре. Закон применяется только к данным, относящимся к физическим лицам. Данные, относящиеся к юридическим лицам, не подпадают под действие этого закона. Поскольку в статье 1 Закона используется выражение "физические лица, чьи персональные данные обрабатываются". Положения Закона об обработке персональных данных не распространяются на персональные данные, которые записаны физически и не являются частью системы записи данных.

После вступления в силу Закона № 6698 одним из понятий, вошедших в нашу жизнь вместе с персональными данными и их обработкой, стало понятие "явное согласие". В статье 3 Закона явное согласие определяется как "согласие в отношении конкретного субъекта, основанное на информации и выраженное по доброй воле". Соответственно, согласно Закону; - Статья 5, пункт 1 "Персональные данные не могут обрабатываться без явно выраженного согласия субъекта данных", - Статья 6, пункт 2 "Обработка чувствительных персональных данных без явно выраженного согласия субъекта данных запрещена", - Статья 8, пункт 1 "Персональные данные не могут быть переданы без явно выраженного согласия субъекта данных", - Статья 9, пункт 1 "Персональные данные не могут быть переданы за границу без явно выраженного согласия субъекта данных". Анонимизация (Анонимизация) Анонимизация или обезличивание означает, что данные не могут быть связаны с идентифицированным или идентифицируемым физическим лицом ни при каких обстоятельствах, даже если эти данные сопоставлены с другими данными. В этом контексте, если можно понять, кому принадлежат данные после сопоставления и дополнения другими данными путем отслеживания оставшихся данных, эти данные не могут считаться обезличенными. На этом этапе следует отметить, что существует разница между анонимными и анонимизированными данными. В то время как анонимные данные относятся к данным, которые не могут быть связаны с конкретным лицом, обезличенные данные - это данные, которые ранее были связаны с каким-либо лицом, но больше не связаны с ним. Субъект данных Закон устанавливает, что защите подлежат только данные физических лиц. По этой причине термин "субъект данных" используется для обозначения реального лица, чьи персональные данные обрабатываются. Согласно цели Закона, основной принцип, подлежащий защите, состоит из основных прав и свобод, особенно права на неприкосновенность частной жизни. Лицо, подлежащее защите, - это "физическое лицо", как четко указано в разделе определений закона. Персональные данные Персональные данные - это любая информация, относящаяся к конкретному или идентифицируемому лицу. В данном случае можно сказать, что для отличия персональных данных от неперсональных используются в основном два критерия. Соответственно, чтобы говорить о персональных данных, они должны относиться к какому-либо лицу, и это лицо должно быть конкретным или идентифицируемым. Персональные данные - это любая информация, отражающая личные, профессиональные и семейные характеристики человека, позволяющая отличить его от других людей и выявить его квалификацию. В законе персональные данные определяются как "любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу". Эта информация включает в себя такие вопросы, как личность, этническое происхождение, физические характеристики, здоровье, образование, статус занятости, сексуальная жизнь, семейная жизнь, общение с другими людьми, адрес проживания, кредитная карта, личные мысли и убеждения, членство в ассоциациях и профсоюзах, покупательские привычки определенного лица. Обработка персональных данных Понятие обработки персональных данных относится к цепочке циклов. Статья 2 Закона определяет обработку данных как процесс, который начинается с получения персональных данных впервые полностью или частично автоматизированными или неавтоматизированными средствами, при условии, что они являются частью любой системы записи данных, и любой последующей обработки. После сбора персональных данных указанным способом любая деятельность, осуществляемая в рамках этого процесса, вплоть до удаления, уничтожения или обезличивания, рассматривается как обработка персональных данных в рамках закона. Персональные данные могут обрабатываться различными способами: - Сбор или запись: Обработка персональных данных начинается с момента их первого получения. - Организация/хранение: Организация, размещение или хранение персональных данных в цифровой или физической среде рассматривается как обработка. - Использование/изменение: Любое использование персональных данных, включая визуализацию, считается обработкой. - Передача: Передача персональных данных различными методами. - Распространение/доступность: Предоставление доступа к данным третьим лицам в цифровой среде, например, физическое распространение или совместное использование, также является одним из видов обработки. - Блокирование/удаление/уничтожение/анонимизация: эти действия также считаются обработкой. Контроллер данных и обработчик данных Под контроллером данных понимается физическое или юридическое лицо, которое определяет цели и средства обработки персональных данных и несет ответственность за создание и управление системой учета данных. Юридические лица сами являются "контролерами данных" в рамках своей деятельности по обработке персональных данных, и юридическая ответственность, предусмотренная соответствующими нормативными актами, наступает в лице юридического лица. Под обработчиком данных понимаются физические или юридические лица, которые обрабатывают персональные данные по поручению контролера данных на основании разрешения, выданного контролером данных. Эти лица представляют собой отдельное физическое или юридическое лицо, которое обрабатывает персональные данные в рамках данных ему инструкций и которое уполномочено контролером данных путем заключения соглашения об обработке персональных данных. Деятельность обработчика данных в основном ограничивается техническими аспектами обработки данных. Полномочия по принятию решений об обработке персональных данных принадлежат контролеру данных. Контролер данных - это лицо, определяющее цель и способ обработки персональных данных. Другими словами, это лицо, которое отвечает на вопросы "почему" и "как" будет осуществляться обработка. Можно сказать, что юридическое или физическое лицо может быть одновременно и контролером данных, и их обработчиком. Например, туристическая компания выступает в качестве "контролера данных" в отношении данных своих собственных сотрудников, в то время как она выступает в качестве "обработчика данных" в отношении данных сотрудников своих клиентов.

СИСТЕМА ЗАПИСИ ДАННЫХ (VERBIS) Система записи данных означает систему записи, в которой персональные данные структурируются и обрабатываются в соответствии с определенными критериями. Эти системы могут быть созданы в электронной или физической среде. Закон обязывает физических и юридических лиц, которые будут обрабатывать данные, зарегистрироваться в Реестре контролеров данных (VERBIS). Согласно обоснованию закона, персональные данные, обрабатываемые неавтоматическими средствами, не будут считаться подпадающими под действие закона, если они не являются частью системы регистрации данных.

СИСТЕМА РЕГИСТРАЦИИ КОНТРОЛЛЕРОВ ДАННЫХ (VERBIS) VERBIS - это система регистрации, в которой физические и юридические лица, обрабатывающие персональные данные, должны зарегистрироваться до начала обработки персональных данных и внести категорическую информацию о персональных данных, которые они обрабатывают. В соответствии со статьей 16 Закона № 6698 о защите персональных данных, физические и юридические лица, обрабатывающие персональные данные, обязаны зарегистрироваться в Реестре контролеров данных до начала обработки персональных данных. В связи с этим Президиум подготовил Информационную систему реестра контролеров данных ("VERBIS"), и контролеры данных будут регистрироваться в этой системе. Подробную информацию для регистрации в VERBIS можно получить в руководстве VERBIS, размещенном на сайте www.kvkk.gov.tr. Кроме того, через горячую линию по защите данных ALO 198, которая стала выполнять функции информационно-консультационного центра KVKK, можно получить доступ к техническим и юридическим вопросам о VERBIS и бесплатно получить информацию из любой точки Турции без дискриминации GSM. Регистрация в VERBIS не требует платы.

КАКИЕ КОНТРОЛЕРЫ ДАННЫХ ОБЯЗАНЫ РЕГИСТРИРОВАТЬСЯ В VERBIS? В соответствии со статьей 162 Закона, физические и юридические лица, обрабатывающие персональные данные, обязаны зарегистрироваться в Verbis до начала обработки персональных данных. В этом контексте, по общему правилу, контролеры данных физических и юридических лиц, проживающие в Турции, контролеры данных физических и юридических лиц, проживающие за рубежом, и контролеры данных государственных учреждений и организаций обязаны зарегистрироваться в VERBIS, если они обрабатывают персональные данные в Турции.

ОБЯЗАНЫ ЛИ ВСЕ ФИЗИЧЕСКИЕ И ЮРИДИЧЕСКИЕ ЛИЦА, ЯВЛЯЮЩИЕСЯ КОНТРОЛЕРАМИ ДАННЫХ, РЕГИСТРИРОВАТЬСЯ В VERBIS? В рамках своей деятельности все физические и юридические лица, обрабатывающие персональные данные на территории Турции, обязаны регистрироваться в Verbis по общему правилу. Соответственно, все контролеры данных физических лиц, за исключением тех, кто освобожден от этой обязанности положениями закона или решениями совета директоров, обязаны зарегистрироваться в Verbis.

ДОЛЖНЫ ЛИ ВСЕ ДАННЫЕ, ОБРАБАТЫВАЕМЫЕ КОНТРОЛЕРАМИ ДАННЫХ, РЕГИСТРИРОВАТЬСЯ В VERBIS? Информация, которую контролеры данных должны внести в регистрационную запись в VERBIS, будет представлять собой не персональные данные физических лиц, чьи персональные данные обрабатываются, а только категориальную информацию в виде заголовков данных, обрабатываемых контролерами данных. Например, государственное учреждение обрабатывает некоторые персональные данные, такие как имя, фамилия, номер телефона, турецкий идентификационный номер, номерной знак, выполняя обязательство по информированию физических лиц, посещающих учреждение. В этом случае оно внесет в VERBIS информацию о том, что обрабатывает не имя, фамилию, номер телефона, турецкий идентификационный номер, номерной знак реальных лиц, а "категорию личности" и "категорию связи", которые являются их верхней категорией и уже включены в VERBIS в качестве необязательных полей.