Защита персональных данных и конфиденциальность
1. Введение
В информационную эпоху персональные данные стали основополагающим источником экономической и политической власти. Однако, когда эта власть используется без правовых ограничений для защиты частной жизни, это нарушает социальное равновесие. В Турции Закон № 6698 о защите персональных данных (KVKK) и статья 20/3 Конституциигарантируют право на неприкосновенность частной жизни как основополагающее право.
В данной статье подробно рассматривается определение персональных данных, принципы их защиты, правовая основа и нарушения, встречающиеся на практике.
2. Концепция персональных данных
2.1. Определение
Согласно статье 3 КВКК (Закона о защите персональных данных):
«Персональные данные — это любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу»
Сюда входят имя, фамилия, турецкий национальный идентификационный номер, номер телефона, местоположение, голосовые записи, IP-адрес, биометрические данные и даже предпочтения при совершении покупок.
2.2. Особые категории данных
Статья 6 Закона Турции о защите персональных данных (KVKK) классифицирует такие данные, как «раса, состояние здоровья, сексуальная жизнь и политические взгляды», как конфиденциальную информацию и предусматривает более строгую защиту.
3. Конституционные основы права на неприкосновенность частной жизни и конфиденциальность
Статья 20/3 Конституции:
«Каждый имеет право требовать защиты своих персональных данных»
Благодаря этой статье право на неприкосновенность частной жизни стало не только этической ценностью, но и конституционным правом .
Обязанность государства двояка:
-
Государственные органы несут негативную ответственность в случае утечки данных
-
Обеспечение эффективного надзора и защиты от частных компаний является важной обязанностью.
В своем решении № 2016/13010 Конституционный суд заявил, что «распространение персональных данных без согласия нарушает право на неприкосновенность частной жизни».
4. Основные принципы Закона о защите персональных данных (КВКК)
Согласно статье 4 КВКК (Закона о защите персональных данных), деятельность по обработке данных должна основываться на следующих принципах:
-
Соблюдение закона и принципа честности
-
Точная и актуальная информация
-
Обработка данных в конкретных, четко определенных и законных целях
-
Будучи релевантными цели, ради которой они предназначены, ограниченными и соразмерными,
-
Срок хранения устанавливается в соответствии с действующим законодательством или на период, необходимый для достижения цели, для которой осуществлялась обработка данных.
Эти принципы следует рассматривать как «эталонный кодекс» в каждом процессе обработки данных.
5. Условия обработки персональных данных
Обработка данных должна основываться на одном из правовых оснований, указанных в статьях 5 и 6 КВКК (Закона о защите персональных данных):
-
Явное согласие,
-
Это прямо предусмотрено законом
-
Заключение или исполнение договора,
-
Юридические обязательства контролера данных,
-
Установление, осуществление или защита права,
-
Данные, обнародованные соответствующим лицом.
Любые действия, предпринятые без явного согласия, незаконными .
6. Обязанность обеспечить освещение
Контролер данных обязан уведомить субъекта данных до сбора данных (статья 10 Гражданского процессуального кодекса).
Уведомление должно содержать информацию о личности контролера данных, цели обработки данных, передаче данных и правах, которые могут быть реализованы.
Невыполнение этого обязательства административные штрафы в размере до 1 миллиона турецких лир .
7. Защита данных и технические меры
В соответствии со статьей 12 КВКК (Закона о защите персональных данных) операторы персональных данных обязаны принимать следующие меры:
-
Предотвращение несанкционированного доступа,
-
Шифрование и ведение журналов
-
Система контроля доступа,
-
Обучение персонала,
-
План реагирования на кибер-инциденты.
Если эти меры не будут приняты и произойдет утечка данных, Совет может наложить штрафы и провести проверки.
8. Нарушение защиты данных и обязанность уведомления
В случае утечки данных,
-
Представить Совету директоров в течение 72 часов,
-
как можно скорее уведомить соответствующее лицо
(статья 12/5).
В период с 2024 по 2025 год учреждениям, не предоставившим отчеты, были наложены штрафы в среднем от 750 000 до 2 500 000 турецких лир
9. Обязательство анонимизировать и удалить
Когда цель обработки данных прекращается, персональные данные должны быть либо удалены , уничтожены , либо анонимизированы (статья 7). Этот процесс определяется документом « Политика хранения и уничтожения данных ». В своем решении № 2023/310 Совет подчеркнул, что «анонимизация должна быть необратимой».
10. Соглашения о передаче данных и конфиденциальности
При передаче персональных данных третьим лицам обязательно наличие письменного соглашения.
Соглашение должно включать следующее:
-
Цель и продолжительность обработки,
-
Обязанности сторон,
-
Меры по обеспечению безопасности данных,
-
Процедура сообщения о нарушениях.
Для передачи данных за границу требуется разрешение Совета или список стран, обеспечивающих надлежащую защиту, в соответствии со статьей 9 КВКК (Закона о защите персональных данных).
11. Различие между государственными учреждениями и частным сектором
Государственные учреждения также подпадают под действие Закона о защите персональных данных (KVKK); однако «деятельность в сфере безопасности и судебной деятельности» является исключением.
В частном секторе обязательства более строгие, особенно в банковской сфере, страховании, электронной коммерции и здравоохранении.
Для банков руководящие принципы Агентства по регулированию и надзору за банковской деятельностью (BDDK) и KVKK, а для сектора здравоохранения — Руководство по обработке медицинских данных .
12. GDPR и международное сравнение
12.1. ЕС (GDPR)
Общий регламент ЕС по защите персональных данных (GDPR) установил глобальные стандарты.
Турция подготовила проект пересмотра своего Закона о защите персональных данных (KVKK), чтобы к 2025 году приблизить его к этим стандартам.
12.2. США
В Соединенных Штатах нет федерального закона о защите данных; действуют правила, установленные на уровне штатов (CCPA).
12.3. Местоположение Турции
В Турции разработано типовое приложение, соответствующее Закону о защите персональных данных (KVKK) и системе регистрации и предоставления информации о данных (VERBİS); однако, по-прежнему существует необходимость в обновлении в отношении «международной передачи данных и создания профилей».
13. Подход к справедливости и правосудию
Верховный суд и Конституционный суд рассматривают утечки персональных данных как «нарушения личных прав».
-
Гражданская палата Верховного суда, 4-я, дело № 2020/3106: «Несанкционированное распространение данных является основанием для возмещения морального ущерба».
-
Решение Конституционного суда № 2018/14884: «Мониторинг электронной почты сотрудников работодателями ограничивается законными целями и соразмерностью».
Принцип справедливости требует от оператора данных найти баланс между мерами защиты и неприкосновенностью частной жизни человека.
14. Административные санкции и наказания
Ниже приводится краткое описание мер наказания, налагаемых в 2025 году в соответствии со статьей 18 Закона о защите персональных данных:
| Тип нарушения | Диапазон штрафных санкций (TL) |
|---|---|
| Нарушение обязанности предоставлять информацию | 100.000 – 1.000.000 |
| Непринятие мер по обеспечению безопасности данных | 200.000 – 2.500.000 |
| Не зарегистрирован в VERBİS | 500.000 – 2.000.000 |
| Несоблюдение решения совета директоров | 300.000 – 3.000.000 |
Кроме того, в связи с утечкой данных может возникнуть уголовная ответственность согласно статьям 136-138 Уголовного кодекса Турции
15. Заключение и оценка
Защита персональных данных является гарантией свободы и достоинства личности в современных демократиях. В Турции, благодаря Закону о защите персональных данных (KVKK), право на неприкосновенность частной жизни перестало быть абстрактным понятием и стало юридически закрепленным правом
В заключение:
Операторы данных обязаны обрабатывать данные прозрачно и соразмерно.
Персональные данные должны быть удалены после того, как цель их обработки будет достигнута.
О случаях утечки данных необходимо сообщать в течение 72 часов.
Анонимизация и политика явного согласия являются обязательными.
Конфиденциальность — это не только техническое, но и этическое обязательство.