اللائحة العامة لحماية البيانات

مقارنة في قانون حماية البيانات الشخصية

واللائحة العامة لحماية البيانات

Comparison on Personal Data Protection Law "KVKK"

and General Data Protection Regulation "GDPR"

مقارنة بين قانون حماية البيانات الشخصية (سيشار إليه) واللائحة العامة لحماية البيانات (سيشار إليها باسم "القانون العام لحماية البيانات")

فهرس

أولا النطاق

. مقارنة

أ. واجب حفظ السجلات للمراقب والمعالج

ب. مسؤول حماية البيانات

ج. تقييم تأثير حماية البيانات

د. قياسات وقائية للأطفال

ه. إشعار الخصوصية

. سياسات الاحتفاظ بالبيانات

- إعلان عام بتاريخ 08.11.2019

الرابع. استنتاج

نظرًا لأنه لا يمكن تحديد النطاق الإقليمي لـ من نصه بسبب عدم وجود حكم ذي صلة ، فليس من الواضح ما إذا كانت موضوعات البيانات أو وحدات التحكم أو المعالجات غير الموجودة في تركيا ستخضع لها. ، ومع ذلك ، فهي مناسبة للتطبيق في جميع أنحاء العالم بالنظر إلى المادة التي تنص على أن جميع وحدات التحكم والمعالجات التي تقدم سلعًا أو خدمات لأصحاب البيانات في الاتحاد الأوروبي ، أو تراقب سلوكهم الذي يحدث في الاتحاد الأوروبي ، يجب أن يخضعوا للائحة العامة لحماية البيانات بغض النظر عن موقعهم إذا يقومون بمعالجة البيانات الشخصية لموضوعات البيانات هذه في سياق هذه الأنشطة. في نطاق هذه الأنشطة ، يقومون بمعالجة البيانات الشخصية لمالكي البيانات هؤلاء

علاوة على ذلك ، تنطبق اللائحة أيضًا عندما يكون لدى وحدة تحكم أو معالج مؤسسة في الاتحاد الأوروبي ويقوم بمعالجة البيانات الشخصية في نطاق أنشطة هذه المؤسسة ، بغض النظر عن مكان إجراء المعالجة

ومع ذلك ، من المهم أن تتذكر أنه سيتم تطبيقه على جميع الشركات المنشأة بموجب القوانين التركية ، وجميع الأشخاص الاعتباريين الذين يعالجون البيانات الشخصية داخل الحدود التركية.

مقارنة

a. المبادئ العامة

KVKK

GDPR

الشرعية والإنصاف*

الدقة والتحديث عند الضرورة*

يتم معالجتها لأغراض محددة وصريحة وشرعية*

أن تكون ذات صلة ومحدودة ومتناسبة مع الأغراض التي يتم معالجتها من أجلها*

يتم تخزينها للفترة التي تحددها التشريعات ذات الصلة أو الفترة المطلوبة للغرض الذي تتم معالجة البيانات الشخصية من أجلها

الشرعية والإنصاف والشفافية*

تحديد الغرض*

تصغير البيانات*

صحة*

النزاهة والسرية*

الحد من التخزين*

*المسؤولية

ب. شروط معالجة البيانات الشخصية

KVKK

GDPR

تنص عليه صراحة القوانين *

· ضروري لحماية حياة الشخص نفسه أو سلامته الجسدية أو أي شخص آخر غير قادر على شرح موافقته بسبب الإعاقة الجسدية أو التي لا تعتبر موافقته صالحة من الناحية القانونية*

· تعتبر معالجة البيانات الشخصية لأطراف العقد أمرًا ضروريًا ، بشرط أن تكون مرتبطة بشكل مباشر بإنشاء العقد أو تنفيذه*

ضروري للامتثال للالتزام القانوني الذي يخضع له مراقب البيانات

· تم نشر البيانات الشخصية بواسطة موضوع البيانات بنفسه

· معالجة البيانات ضرورية لإنشاء أو ممارسة أو حماية أي حق

· تعد معالجة البيانات ضرورية للمصالح المشروعة التي تنتهجها وحدة التحكم في البيانات ، بشرط ألا تنتهك هذه المعالجة الحقوق والحريات الأساسية لصاحب البيانات

وافق صاحب البيانات على معالجة بياناته الشخصية لغرض واحد أو أكثر من الأغراض المحددة

المعالجة ضرورية لأداء عقد يكون موضوع البيانات طرفًا فيه أو من أجل اتخاذ خطوات بناءً على طلب صاحب البيانات قبل إبرام العقد

المعالجة ضرورية للامتثال للالتزام القانوني الذي يخضع له المتحكم ؛

المعالجة ضرورية لحماية المصالح الحيوية لصاحب البيانات أو لشخص طبيعي آخر

المعالجة ضرورية لأداء مهمة يتم تنفيذها للمصلحة العامة أو في ممارسة السلطة الرسمية المخولة للمراقب ؛

المعالجة ضرورية لأغراض المصالح المشروعة التي يتبعها المتحكم أو طرف ثالث ، باستثناء الحالات التي يتم فيها تجاوز هذه المصالح من خلال المصالح أو الحقوق والحريات الأساسية لصاحب البيانات التي تتطلب حماية البيانات الشخصية ، حيث يكون موضوع البيانات هو طفل

على الرغم من أن الاختلافات المذكورة أعلاه بين هذين التشريعين فيما يتعلق بالمبادئ والشروط العامة لمعالجة البيانات تبدو ضئيلة للغاية إلا أن البيانات واللوائح المدرجة في قسم "مزيد من القراءة" تحدد التزامات واسعة سيتم شرحها في فقرات فرعية لاحقة.

ج. واجب الاحتفاظ بالسجلات لوحدة التحكم والمعالج

هناك مسألة أخرى يجب أخذها في الاعتبار وهي المقارنة بين سجل البيانات الوطني الذي يحتوي على معلومات عامة حول وحدات التحكم بالإضافة إلى أنشطة معالجة البيانات الخاصة بهم بموجب واجبات حفظ السجلات لوحدة التحكم والمعالج بموجبها

يجب على المتحكمين الذين يستخدمون 250 شخصًا أو أكثر الاحتفاظ ، بموجب ، بسجل مفصل لأنشطة المعالجة الخاصة بهم والاحتفاظ بهذا السجل متاحًا في جميع الأوقات لمزيد من التفتيش من قبل السلطة الإشرافية ذات الصلة إذا لم تكن المعالجة عرضية أو تتضمن بيانات خاصة أو فئات شخصية

بموجب الـ ، يُطلب من المتحكمين الذين يستوفون الشروط المحددة (50 موظفًا أو أكثر ، وكمية معينة من أصول الشركة ، وما إلى ذلك) التسجيل في سجل بيانات وطني وكذلك الاحتفاظ بسجل مفصل مماثل يسرد جميع أنشطة معالجة البيانات الشخصية ، وهم مطالبون أيضًا بتحديث أي تغييرات

د. مسؤول حماية البيانات

على عكس ، تنص المادة 37 من اللائحة العامة لحماية البيانات على أن وحدات التحكم والمعالجات يجب أن تعين مسؤول حماية البيانات إذا تم تنفيذ المعالجة من قبل سلطة أو هيئة عامة ، باستثناء المحاكم التي تعمل بصفتها القضائية ؛ أو تتكون أنشطتها الأساسية من عمليات المعالجة التي تتطلب مراقبة منتظمة ومنهجية لموضوعات البيانات على نطاق واسع أو تتكون أنشطتها الأساسية من معالجة على نطاق واسع من الفئات الخاصة من البيانات والبيانات الشخصية المتعلقة بالإدانات الجنائية والجرائم.

ه. تقييم تأثير حماية البيانات

تقييم تأثير حماية البيانات على النحو المحدد وفقًا للمادة 35 من اللائحة العامة لحماية البيانات هو تقييم لتأثير المعالجة على حماية البيانات الشخصية ، يتم إجراؤه بواسطة وحدة التحكم قبل استخدام تقنيات جديدة للمعالجة أو إذا كانت المعالجة ، مع مراعاة طبيعتها ونطاقها والسياق والأغراض ، من المرجح أن يؤدي إلى مخاطر كبيرة على حقوق وحريات الأشخاص الطبيعيين

على الرغم من أن مسؤولية المراقب قد تمت صياغتها في اللائحة العامة لحماية البيانات في شكل مقالة طويلة ومفصلة ، إلا أنها لا تفرض مثل هذا الالتزام على الإطلاق بالنسبة للمراقبين أو أي أشخاص آخرين ، مع الإشارة فقط إلى أنه يجب اتخاذ جميع التدابير الفنية والإدارية لتحقيق السلامة الكافية

الإجراءات الوقائية للأطفال

موضوع آخر تم تقديمه من قبل وليس هو حماية بيانات الأطفال ، التي تنظمها المادة 8 من اللائحة العامة لحماية البيانات والتي تجعل معالجة هذه البيانات تخضع لشروط خاصة معينة. نظرًا لأنه لا يمكن توقع أن يفهم الأطفال تمامًا أهمية مثل هذه المشكلات مثل معالجة البيانات الشخصية والعواقب والمخاطر التي تنطوي عليها بالإضافة إلى التدابير اللازمة ، تتطلب اللائحة العامة لحماية البيانات أن يكون عمر الطفل 16 عامًا على الأقل حتى يتمكن من الموافقة لمعالجة بياناته في إطار خدمات مجتمع المعلومات المقدمة مباشرة إلى الطفل. تعتمد معالجة البيانات الشخصية للطفل دون هذا العمر على موافقة صاحب المسؤولية الأبوية عن الطفل. لا توجد لائحة شاملة فيما يتعلق ببيانات الأطفال تحت.

ز. إشعار الخصوصية

كما هو موضح في قسم "الإعلان العام بتاريخ 08.11.2019" ، يجب ممارسة الالتزام بالإبلاغ بشكل أساسي بسبب "بيان المبادئ والإجراءات الواجب اتباعها للوفاء بالتزام الإبلاغ". وضع هذا التشريع قواعد واسعة النطاق لإنجاز واجب الحصول على المعلومات. على سبيل المثال ، يجب ذكر الأساس القانوني للمعالجة في إشعارات الخصوصية بالرجوع إلى المادة 5 والفقرات الفرعية 6

كما هو مذكور في قرار مجلس حماية البيانات الشخصية بتاريخ 30.10.2019 ورقم 2019/315 ، فإن إخطارات الخصوصية المتمحورة حول إجمالي الناتج المحلي والتي أعدتها مراقبو البيانات لا تلغي التزامات مراقبي البيانات لقانون حماية البيانات الشخصية رقم 6698. في هذا الصدد ، من المفيد التذكير بأنه بالإضافة إلى الإشارات إلى القانون العام لحماية البيانات (GDPR) ، يجب أن تنص السياسات والقواعد المحددة في إشعارات الخصوصية في المقام الأول على أنها تمتثل لقانون حماية البيانات الشخصية رقم 6698

ح. سياسات الاحتفاظ بالبيانات

بموجب القانون ، هناك نصان قانونيان إلزاميان يجب إعدادهما مثل إشعارات الخصوصية ، والسياسة المتعلقة بمعالجة البيانات الشخصية ذات الطبيعة الخاصة ، وإذا كان مراقب البيانات مطلوبًا لتسجيل السجل الوطني لمعالجي البيانات (50 موظفًا أو أكثر ، وكمية معينة من أصول الشركة ، وما إلى ذلك) ، يُطلب من مراقبي البيانات أيضًا أن يكون لديهم سياسة الاحتفاظ بالبيانات. يتم تنظيم عملية الاحتفاظ بالبيانات الشخصية وتدميرها بموجب اللائحة الداخلية بشأن محو البيانات الشخصية أو إتلافها أو إخفاء هويتها

ينظم القانون الداخلي فترات الاحتفاظ ، وكيفية الاحتفاظ بسجلات البيانات الشخصية التي تم تدميرها ، وما إلى ذلك. نظرًا لأن هذه العملية برمتها مفصلة وشاملة للغاية ، فإن استخدام السياسة والإجراءات التي تركز على الناتج المحلي الإجمالي لن تكون قادرة على تغطية العملية برمتها وقضايا الامتثال القانوني قد ترتفع

إعلان عام بتاريخ 08.11.2019

كما هو معروف ، تنص المادة 10 من قانون حماية البيانات الشخصية رقم 6698 ، بعنوان "التزام المراقب المالي بالإبلاغ" ، على أنه "(1) أثناء جمع البيانات الشخصية ، يكون المتحكم أو الشخص المفوض من قبله ملزمًا لإبلاغ أصحاب البيانات بما يلي: أ) هوية المتحكم وممثله ، إن وجد ، ب) الغرض من معالجة البيانات ؛ ج) لمن ولأي أغراض يمكن نقل البيانات المعالجة ، ج) الطريقة والسبب القانوني لجمع البيانات الشخصية ، د) الحقوق الأخرى المشار إليها في المادة 11. "

في الاختبارات التي أجرتها مؤسستنا ، يُلاحظ أن اللائحة الأوروبية العامة لحماية البيانات يشار إليها مباشرة في التفسيرات المتعلقة بالسياسات والقواعد المطبقة فيما يتعلق بمعالجة البيانات الشخصية في النصوص التوضيحية المعروضة على صفحات الإنترنت لمختلف المؤسسات / المنظمات / الشركات إلخ.

في هذا السياق ، ووفقًا لقرار مجلس حماية البيانات الشخصية بتاريخ 30.10.2019 ورقم 2019/315 ؛ لا يؤدي إدراج البيانات المتعلقة بالامتثال للائحة العامة لحماية البيانات في إشعارات الخصوصية التي أعدها مراقبو البيانات إلى إلغاء التزامات مراقبي البيانات تجاه قانون حماية البيانات الشخصية رقم 6698. وفي هذا الصدد ، من المفيد التذكير بذلك ، بالإضافة إلى يجب أن تنص الإشارات إلى القانون العام لحماية البيانات والسياسات والقواعد المحددة في إشعارات الخصوصية في المقام الأول على أنها تمتثل لقانون حماية البيانات الشخصية رقم 6698.

في إشعارات الخصوصية المنشورة من قبل مراقبي البيانات ، يجب تحديد الأمور التالية بوضوح ، ويجب تجنب التعبيرات الغامضة والغامضة وفقًا لأحكام المادة 10 من القانون والمادة 4 من البيان الخاص بالإجراءات والمبادئ الواجب اتباعها. الامتثال للوفاء بالالتزام بإشعارات الخصوصية ؛

هوية مراقب البيانات وممثله إن وجد *
لأي غرض ستتم معالجة البيانات الشخصية *
إلى من ولأي غرض يمكن نقل البيانات الشخصية *
الطريقة والسبب القانوني لجمع البيانات الشخصية (تحديد أي من شروط المعالجة في المادتين 5 و 6 من القانون يستند صراحة)
الحقوق الأخرى لصاحب البيانات المعني كما هو مذكور في المادة 11 من القانون

يتم الإعلان عنها للجمهور باحترام.

استنتاج

لوضع اللمسات الأخيرة ، من المفهوم أن ، وهو التشريع الرئيسي في قانون حماية البيانات الشخصية في تركيا ، يتماشى إلى حد كبير مع اللائحة العامة لحماية البيانات عند تقييمه جنبًا إلى جنب مع الغرض والنطاق والأحكام. في حين أن هناك بعض أوجه التشابه الكبيرة بين لوائح البيانات الأوروبية والتركية حيث تم تشكيل كلاهما حول خصائص الأنظمة القانونية ذات الصلة ، إلا أن هناك بعض الاختلافات الفنية والإدارية التي يجب وضعها في الاعتبار عند تنفيذ برنامج الامتثال القانوني

General Data Protection Regulation

نموذج الاتصال