第6698号个人数据保护法(KVKK)
在数字化时代,个人数据对政府和私营企业都至关重要。在土耳其, 2016年生效的第6698号《个人数据保护法》(KVKK)是首部全面规范个人数据处理并保障基本权利和自由的法律。
目的:
-
为确保个人数据安全,
-
为了保护个人隐私,
-
其目的是对处理数据的个人和组织施加义务。.
2. 个人数据保护法(KVKK)的基本概念
2.1 个人数据
任何与已识别或可识别的自然人有关的信息。
例如:姓名、姓氏、国民身份证号码、电话号码、IP地址、健康数据、生物识别数据。
2.2 数据处理
获取、记录、存储、修改、传输或删除个人数据。.
2.3 数据控制器
它指的是决定数据处理的目的和方式的个人或机构。.
2.4. 明确同意
个人数据是指个人自愿同意将其个人数据用于特定目的的处理。.
3. 个人数据保护法基本原则(第4条)
在处理个人数据时:
-
遵守法律和诚实原则,
-
必要时做到准确和及时更新。
-
为特定、明确和合法目的进行处理
-
与所致力于的目的相关、有限且适度,
-
必要的保存期限
至关重要。
4. 处理个人数据的条件(第5-6条)
4.1 一般数据
-
经明确同意后方可进行处理。.
-
在法律有规定、已订立合同或存在法律义务的情况下,无需明确同意即可处理数据。.
4.2 特殊类别数据
-
种族、民族、政治观点、宗教、教派、健康状况和性生活都是敏感数据。.
-
已对这些人采取了更严格的保护措施。.
5. 数据主体的权利(第 11 条)
-
要了解您的数据是否正在被处理,
-
如果已经处理完毕,请索取相关信息。
-
查明它是否被用于其预期用途。
-
请求更正或删除
-
查明处理后的数据是否已转移给第三方。.
6. 数据控制者的义务
-
告知义务 (第 10 条)
-
确保数据安全 (第 12 条)
-
必须在数据控制者注册机构(VERBIS)注册。
-
有义务回应相关人员的申请
7. 违规处罚
7.1. 行政罚款
-
违反提供信息义务:29,852 土耳其里拉 – 597,191 土耳其里拉
-
数据安全漏洞:59,702 土耳其里拉 – 1,791,399 土耳其里拉
-
违反 VERBİS 注册义务:罚款金额 119,428 土耳其里拉 – 5,971,989 土耳其里拉
7.2. 刑法制裁(土耳其刑法典第135-140条)
-
记录个人数据:处以 1-3 年监禁。
-
非法给予或获取:判处 2-4 年监禁。
-
未能销毁数据:判处 1-2 年监禁。.
8. 最高法院及案例研究示例
-
最高法院第十二刑事庭,案件编号 2017/1896:在社交媒体上分享个人隐私信息违反了土耳其刑法典第 136 条的规定,属于犯罪行为。
-
个人数据保护委员会决定(2019/81): 一家银行因与第三方共享客户数据而被处以重罚。
9. 国际维度
-
土耳其数据保护法(KVKK)在很大程度上符合欧盟通用数据保护条例(GDPR) 。
-
然而,也存在一些差异;在土耳其,制裁措施是根据土耳其刑法典处以行政罚款和监禁。.
个人数据保护法(KVKK):
-
这是保障个人隐私和个人数据安全的基本规定。.
-
违规行为可能导致高额行政罚款和监禁。.
-
这给个人和公司都带来了巨大的责任。.
-
司法判决和委员会裁决对实施过程的影响日益增强。.
什么是明确同意?
1. 定义
根据《个人数据保护法》(KVKK 第 6698 号) ,明确同意是指数据主体基于知情和自身自由意志,就特定事项给予的批准。
➡ 换句话说,明确同意意味着一个人 有意识地允许处理自己的数据。
2. 明确同意的要素
2.1. 与特定主题有关
-
同意应该是具体的,而不是笼统的。
-
以“您可以随意处理我的所有数据”为形式的同意无效。.
-
例如:“我允许将我的姓名(包括姓和名)公布在活动参与者名单上。”
2.2. 以信息为基础
-
个人应该知道他们的哪些数据将被处理、出于什么目的、由谁处理以及处理多长时间。.
-
未提供信息而获得的同意无效。.
2.3. 出于自由意志的给予
-
在胁迫、威胁或以访问服务为条件的情况下获得的同意无效。.
-
“除非你同意,否则你不能接受服务”之类的强制措施 消除了自由意志的因素。
3. 何时需要明确同意?
-
一般规则:未经明确同意,不得处理个人数据。
-
例外情况(KVKK 第 5 条和第 6 条):
-
如果法律有明确规定,
-
在实际上不可能给予同意的情况下,保护无法给予同意的人的生命或身体完整性。
-
这是合同订立或履行所必需的。
-
数据控制者必须履行其法律义务。
-
权利的确立、行使或保护
-
这件事是由当事人公开的,
-
必须出于正当利益的需要。.
-
➡ 在这些情况下,不需要明确的同意。.
4. 特殊类别数据的明确同意
-
健康数据、生物识别数据、政治观点和宗教信仰等 敏感个人数据 通常 明确同意。
-
只有在法律规定的例外情况下,才能在未经同意的情况下处理数据(例如,卫生部为保护公众健康而进行的数据处理)。.
5.撤回明确同意
-
明确的同意是可以随时撤回的。.
-
数据控制者有义务在收到此类请求后停止处理个人数据。.
-
这一原则在GDPR中也同样适用。.
6. 司法和委员会决定
-
KVKK 委员会决定(2018/88): 已裁定通过社交媒体帐户收到的一般同意信息不能被视为明确的同意。
-
董事会决定(2019/157): 经查明,银行在贷款申请中将“明确同意”与服务条件挂钩是违法的。
-
最高法院第十二刑事庭,案件编号 2017/1896:未经他人知情和同意分享其个人数据构成侵犯隐私权的犯罪行为。
7. 结论
-
明确同意 基本法律依据。
-
要想有效, 具体的、有依据的,并且基于自由意志 。
-
以服务协议为条件或性质笼统的同意无效。.
-
相关人员可以随时撤回其明确同意。.
