GDPR

Сравнение Закона о защите персональных данных "KVKK" и Общего Положения о защите данных "GDPR"

Сравнение Закона о защите персональных данных (будет называться “KVKK") и Общего Положения о защите данных (будет называться “GDPR”)

ИНДЕКС

I. Сфера охвата

II.Сравнение

a. Обязанности по ведению записей Контроллера и Процессора

b. Сотрудник по защите данных

c. Оценка воздействия на защиту данных

d. Защитные меры для детей

e. Уведомление о конфиденциальности

f. Политика хранения данных

III.Публичное Объявление От 08.11.2019

IV.Заключение

I. СФЕРА ОХВАТА

Поскольку территориальный охват KVKK не может быть определен из его текста из-за отсутствия соответствующего положения, неясно, подпадают ли под действие KVKK субъекты данных, контроллеры или процессоры, не расположенные в Турции. GDPR, однако, подходит для применения во всем мире, учитывая статью, предусматривающую, что все контроллеры и процессоры, предлагающие товары или услуги субъектам данных в ЕС или контролирующие их поведение, происходящее в ЕС, подпадают под действие GDPR независимо от их местоположения, если они обрабатывают персональные данные таких субъектов данных в контексте этой деятельности. В рамках этой деятельности они обрабатывают персональные данные таких владельцев данных

Кроме того, это Положение также применяется, когда контролер или обработчик имеет представительство в Европейском Союзе и обрабатывает персональные данные в рамках деятельности этого учреждения, независимо от того, где происходит обработка.Тем не менее, важно помнить, что KVKK будет применяться ко всем фирмам, созданным в соответствии с турецким законодательством, и ко всем юридическим лицам, обрабатывающим персональные данные на территории Турции.

2. СРАВНЕНИЕ

a.            ОБЩИЕ ПРИНЦИПЫ

b.    УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 Несмотря на то, что вышеупомянутые различия между этими двумя законодательствами в отношении общих принципов и условий обработки данных, по-видимому, очень минимальны, коммюнике и подзаконные акты, перечисленные в разделе “Дальнейшее чтение”, устанавливают обширные обязательства, которые будут разъяснены в последующих подпунктах.

c. ОБЯЗАННОСТЬ КОНТРОЛЛЕРА И ПРОЦЕССОРА ВЕСТИ УЧЕТ

Еще одним вопросом, который необходимо рассмотреть, является сравнение между национальным реестром данных, содержащим общую информацию о контроллерах, а также об их деятельности по обработке данных в рамках KVKK, и обязанностями по ведению учета контроллера и процессора в соответствии с GDPR.

 Контролеры, в которых работают 250 или более человек, должны вести, в соответствии с   GDPR, подробный отчет о своей деятельности по обработке и постоянно предоставлять эту запись для дальнейшей проверки соответствующим надзорным органом, если обработка не является случайной или включает личные данные или категории персональных данных.

 В соответствии с KVKK контролеры, отвечающие указанным условиям (50 или более сотрудников, определенное количество активов компании и т.д.), обязаны зарегистрироваться в национальном реестре данных, а также вести аналогичную подробную запись, в которой перечислены все действия по обработке персональных данных, и они также обязаны обновлять любые изменения.

d. СОТРУДНИК ПО ЗАЩИТЕ ДАННЫХ

В отличие от KVKK, в статье 37 GDPR говорится, что контролеры и обработчики должны назначить сотрудника по защите данных, если обработка осуществляется государственным органом или органом, за исключением судов, действующих в их судебном качестве; или их основная деятельность состоит в операциях по обработке, которые требуют регулярного и систематического мониторинга субъектов данных в больших масштабах, или их основная деятельность состоит в обработке в больших масштабах специальных категорий данных и персональных данных, относящихся к уголовным судимостям и преступлениям.

e. ОЦЕНКА ВОЗДЕЙСТВИЯ НА ЗАЩИТУ ДАННЫХ

Оценка воздействия на защиту данных, определенная в соответствии со статьей 35 GDPR, представляет собой оценку воздействия обработки на защиту персональных данных, проводимую контролером до применения новых технологий для обработки или если обработка, с учетом ее характера, объема, контекста и целей, может привести к высокому риску для прав и свобод физических лиц.

Хотя эта ответственность контролера была сформулирована в GDPR в виде длинной и подробной статьи, KVKK не несет никаких таких обязательств для контролеров или любых других лиц, упоминая только, что должны быть приняты все технические и административные меры для обеспечения надлежащей безопасности.

        f. МЕРЫ ЗАЩИТЫ ДЕТЕЙ

   Еще одна тема, представленная GDPR, но не KVKK, - это защита данных детей, регулируемая статьей 8 GDPR, которая предусматривает, что обработка таких данных регулируется определенными специальными условиями. Поскольку нельзя ожидать, что дети в полной мере осознают важность таких вопросов, как обработка персональных данных, связанные с этим последствия и риски, а также необходимые меры, GDPR требует, чтобы ребенку было не менее 16 лет, чтобы он мог дать согласие на обработку своих данных в рамках услуг информационного общества, предлагаемых непосредственно ребенку. Обработка персональных данных ребенка младше этого возраста зависит от согласия лица, несущего родительскую ответственность за ребенка. В соответствии с KVKK не существует всеобъемлющего регулирования в отношении данных о детях.

g. УВЕДОМЛЕНИЕ О КОНФИДЕНЦИАЛЬНОСТИ

Как видно из раздела “Публичное объявление От 08.11.2019”, обязательство информировать должно выполняться в первую очередь для KVKK из-за “Коммюнике о принципах и процедурах, которым необходимо следовать при выполнении Обязательства информировать”. Это законодательство устанавливает обширные правила для выполнения обязательства быть информированным. Например, правовая основа для обработки должна быть указана в уведомлениях о конфиденциальности со ссылкой на подпункты статьи 5 и 6.

Как указано в Решении Совета по защите персональных данных от 30.10.2019 и под номером 2019/315, уведомления о конфиденциальности, ориентированные на GDPR, подготовленные контроллерами данных, не снимают обязательств контроллеров данных перед Законом о защите персональных данных № 6698 (KVKK). В этой связи полезно напомнить, что в дополнение к ссылкам на GDPR в политике и правилах, указанных в уведомлениях о конфиденциальности, в первую очередь должно быть указано, что они соответствуют Закону о защите персональных данных № 6698.

h. ПОЛИТИКА ХРАНЕНИЯ ДАННЫХ

В соответствии с KVKK необходимо подготовить несколько обязательных юридических текстов, таких как Уведомления о конфиденциальности, Политика в отношении Обработки Персональных данных Особого характера, и если контролеру данных требуется зарегистрировать Национальный реестр Обработчиков данных (50 или более сотрудников, определенное количество активов компании и т.д.), контроллеры данных также должны иметь Политику хранения данных. Процесс хранения и уничтожения персональных данных регулируется Подзаконными актами об удалении, уничтожении или анонимизации персональных данных.Подзаконный акт регулирует сроки хранения, порядок ведения учета уничтоженных персональных данных и т.д. Поскольку весь этот процесс очень детализирован и тщателен, использование политики и процедур, ориентированных на GDPR, не сможет охватить весь процесс, и могут возникнуть проблемы с соблюдением законодательства.

ПУБЛИЧНОЕ ОБЪЯВЛЕНИЕ ОТ 08.11.2019

Как известно, статья 10 Закона о защите персональных данных № 6698, озаглавленная “Обязанность Контролера информировать”, гласит, что “(1) Во время сбора персональных данных контролер или уполномоченное им лицо обязаны информировать субъектов данных о следующем: а) личность контролера и его представителя, если таковые имеются, б) цель обработки данных; в) кому и для каких целей могут быть переданы обработанные данные, г) метод и юридическое основание сбора персональных данных, г) другие права, упомянутые в статье 11”.

В исследованиях, проведенных нашим учреждением, видно, что Европейское Общее положение о защите данных (GDPR) прямо упоминается в пояснениях относительно политики и правил, применяемых в отношении обработки персональных данных, в пояснительных текстах, представленных на интернет-страницах различных учреждений/организаций/фирм и т.д.

В этом контексте, в соответствии с Решением Совета по защите персональных данных от 30.10.2019 и номером 2019/315; Включение заявлений о соблюдении GDPR в уведомления о конфиденциальности, подготовленные контроллерами данных, не снимает обязательств контроллеров данных перед Законом о защите персональных данных № 6698. В этой связи полезно напомнить, что в дополнение к ссылкам на GDPR в политике и правилах, указанных в уведомлениях о конфиденциальности, в первую очередь должно быть указано, что они соответствуют Закону о защите персональных данных № 6698.

В уведомлениях о конфиденциальности, опубликованных контролерами данных, должны быть четко изложены следующие вопросы, и следует избегать расплывчатых и двусмысленных выражений в соответствии с положениями статьи 10 Закона и статьи 4 Коммюнике о процедурах и принципах, которые должны соблюдаться при выполнении Обязательства по Уведомлениям о конфиденциальности;

• Личность контролера данных и его представителя, если таковые имеются,
• С какой целью будут обрабатываться персональные данные,
• Кому и с какой целью могут быть переданы персональные данные,
• Метод и юридическое основание для сбора персональных данных (прямо указывающее, на каком из условий обработки в статьях 5 и 6 Закона основано)
• Другие права соответствующего субъекта данных, перечисленные в статье 11 Закона
• Об этом с уважением объявляется общественности.

4. ЗАКЛЮЧЕНИЕ

В заключение следует отметить, что KVKK, который является основным законодательным актом в области защиты персональных данных в Турции, в значительной степени соответствует GDPR при оценке вместе с его целью, сферой применения и положениями. Хотя между европейскими и турецкими правилами обработки данных есть некоторые существенные сходства, поскольку оба они основаны на характеристиках соответствующих правовых систем, существуют некоторые технические и административные различия, которые необходимо учитывать при проведении программы соблюдения законодательства.