(Data Protection Legal Framework in Turkey)
چارچوب قانونی حمایت از داده های شخصی در ترکیه
مقدمه مترجم
با تصویب «مقررات عمومی حمایت از دادههای شخصی» (GDPR) در اتحادیه اروپا در سال 2016، ترکیه نیز همگام با کشورهای توسعهیافته به این مهم توجه نشان داد و قانون «حمایت از دادههای شخصی» (PDPL) را به عنوان قانونی خاص در همین سال به تصویب رسانید. در حالیکه کشور همسایه، ترکیه از سال 2010 در قانون اساسی خود دادههای شخصی را به طور ویژه مورد حمایت قرار داده است، درکشور ما هنوز قانون جامعی در حوزه حمایت از دادههای شخصی تصویب نشده است. شایسته است که جامعه حقوقی ایران با حساسیت بیشتری این موضوع را تا به نتیجه رساندن آن دنبال نماید.
در چارچوب پویشهای حقوقی، این نوشتار به بررسی وضعیت حمایت از دادههای شخصی در ترکیه پرداخته است، با این امید که مورد توجه مقامات تقنینی و قضایی قرار گیرد و اهمیت نگاه به تحول در این زمینه را روشن سازد.
چارچوب قانونی حمایت از دادههای شخصی
قانون «حمایت از دادههای شخصی» ترکیه که از اکتبر 2016 لازمالاجرا شده است، از مقررات اتحادیه اروپا در مورد دادههای شخصی (GDPR) پیروی کرده و بر اصول آن بنا گردیده است.
ترکیه همچنین یکی از طرفین «کنوانسیون شورای اروپا در حمایت از افراد در برابر پردازش خودکار دادههای شخصی» مصوب 1981 است. این کنوانسیون در مارس 2016 در روزنامه رسمی ترکیه منتشر و به قانون داخلی تبدیل شده است.
جرایم علیه حمایت از دادههای شخصی و ضمانت اجراهای مرتبط نیز در قانون جزای ترکیه تدوین شدهاند.
مرجع حمایت از دادههای شخصی
در ترکیه، «مقام حمایت از دادههای شخصی» (Personal Data Protection Authority) بر اجرای قانون حمایت از دادههای شخصی نظارت میکند. این مقام همچنین مسئولیت نظارت بر آخرین تحولات مقررهگذاری در این حوزه، ارزیابی و ارائه توصیه، انجام تحقیقات و تجزیه و تحلیلها، و همکاری با نهادها و سازمانهای عمومی، سازمانهای بینالمللی، سازمانهای غیردولتی، انجمنهای حرفهای و دانشگاهها را بر عهده دارد.
«هیئت حمایت از دادهها» (Data Protection Board) در این مقام تشکیل میشود و عهدهدار وظایف زیر است:
- حصول اطمینان از اینکه دادههای شخصی در تطابق با قانون حمایت از دادههای شخصی و حقوق و آزادیهای بنیادی پردازش می شود؛
- انتشار قواعد و مقررات به موجب قانون حمایت از دادههای شخصی؛
- تعیین ضمانتاجراهای اداری به موجب قانون حمایت از دادههای شخصی؛
- بررسی شکایات مربوط به نقض و اتخاذ تدابیر لازم در برابر نقض قانون حمایت از دادههای شخصی؛
- تنظیم یک برنامه راهبردی برای مقام حمایت از دادههای شخصی؛
- تعیین اهداف، استانداردهای کیفیت خدمات و معیارهای عملکرد مقام حمایت از دادههای شخصی؛
- تعیین تدابیر خاص برای پردازش دادههای شخصی حساس؛
- تعیین قواعد خاص در مورد امنیت دادهها و وظایف، اختیارات و مسئولیتهای کنترلگر داده؛
- ارائه نظرات در مورد قواعد و مقررات تدوین شده توسط سایر نهادها و سازمانها که شامل مقررات دادههای شخصی باشد؛ و
- انتشار گزارشهای دورهای از عملکرد، وضعیت مالی، فعالیتهای سالانه و سایر امور مرتبط با مقام حمایت از دادههای شخصی.
همکاری با سایر مراجع حمایت از دادههای شخصی
«مقام حمایت از دادههای شخصی» تنها نهاد مجاز تحت قانون حمایت از دادههای شخصی است که مسئولیت نظارت و ارزیابی تحولات بینالمللی را در مسائل مربوط به دادههای شخصی و همکاری با سازمانهای بینالمللی و همتایان خارجی بر عهده دارد. در عمل، علیرغم تصمیمات معدودی که «هیئت حمایت از دادهها» از زمان تشکیل خود صادر کرده، روند قابل مشاهده این است که این هیئت به هنگام بررسی پروندهها، تصمیمات «هیئت اروپایی حمایت از دادهها» (European Data Protection Board) را مدنظر قرار میدهد. هرچند الزامی به اخذ تصمیم مشابه ندارد.
نقض قانون حمایت از دادههای شخصی
نقض قانون حمایت از دادههای شخصی میتواند منجر به جریمههای اداری و مجازاتهای کیفری شود. هیئت حمایت از دادهها میتواند اقدامات موقت و سایر تدابیر لازم مانند ضمانتاجرای مالی را در برابر تخلفات اتخاذ کند.
علاوه بر این، اعمال مجرمانه مانند دستیابی یا ثبت غیرقانونی دادههای شخصی و عدم تخریب دادههای شخصی در صورت لزوم، ممکن است مشمول مجازاتهای کیفری بر اساس قانون جزای ترکیه شود.
قلمرو شمول قانون حمایت از دادههای شخصی
قانون حمایت از دادههای شخصی، دامنه حمایت را بر اساس طبقهبندی و یا انواع دادهها محدود نمیکند. تمامی اطلاعات مربوط به یک شخص حقیقی شناساییشده یا قابلشناسایی، در هر قالبی نگهداری و ذخیره شود، مشمول حمایت این قانون قرار میگیرد. البته، دادههای شخصی حساس تحت عنوان «طبقهبندی خاص دادههای شخصی» مورد حمایت خاص قرار گرفتهاند.
این قانون بر همه اشخاص حقیقی که دادههای شخصی آنها پردازش میشود اعمال میگردد. همچنین بر تمامی اشخاص حقیقی و حقوقی که دادههای شخصی را با استفاده از ابزار کاملاً یا جزئاً خودکار پردازش میکنند، مشروط بر اینکه بخشی از سیستم ثبت دادهها یعنی «سیستم بایگانی» تحت مقررات اتحادیه اروپا در مورد دادههای شخصی، از طریق ابزار غیر خودکار باشند.
در قانون حمایت از دادههای شخصی هیچ تمایزی میان نهادها و مؤسسات بخش خصوصی و بخش دولتی پیشبینی نشده است. به این ترتیب، قانون حمایت از دادههای شخصی برای همه انواع نهادها و اشخاص اعمال میشود.
با این حال، قانون حمایت از دادههای شخصی در موارد زیر اعمال نمیشود:
- پردازش توسط اشخاص حقیقی در محدوده فعالیتهای مربوط به خود یا اعضای خانوادهشان که در یک خانه زندگی میکنند صورت گیرد، مشروط بر اینکه دادهها محفوظ مانده و در اختیار اشخاص ثالث قرار نگیرد؛
- پردازش برای اهداف آماری، تحقیقاتی، برنامهریزی و اهداف مشابه به صورت بینامسازیشده صورت گیرد؛
- پردازش برای اهداف هنری، تاریخی، ادبی و علمی، یا به عنوان بخشی از اِعمال آزادی بیان انجام شود، مشروط بر اینکه به دفاع ملی، امنیت ملی، نظم عمومی، امنیت عمومی، امنیت اقتصادی، حریم خصوصی و سایر حقوق شخصی لطمه وارد نکند، یا جرمی را تشکیل ندهد؛
- پردازش در محدوده فعالیتهای پیشگیرانه، حفاظتی و اطلاعاتی توسط نهادهای دولتی که وظایف دفاع ملی، امنیت ملی، نظم عمومی، امنیت عمومی یا امنیت اقتصادی را برعهده دارند، انجام شود؛ و
- پردازش توسط مقامات قضایی یا مقامات اجرایی در رابطه با تحقیقات، تعقیب، پروندههای قضایی، دادرسی کیفری و مراحل اجرایی صورت گیرد.
انتقال فرامرزی دادههای شخصی
در قانون حمایت از دادههای شخصی، قواعد خاصی برای انتقال این دادهها به خارج از ترکیه تنظیم شده است. به عنوان قاعده کلی، دادههای شخصی را نمیتوان بدون رضایت صریح شخص موضوع داده به خارج از کشور منتقل کرد. با این حال، ممکن است این دادهها بدون رضایت صریح شخص موضوع داده به خارج از کشور منتقل شوند، مشروط بر اینکه یکی از شرایط مقرر در قانون احراز شود:
- در کشور مقصد که دادهها به آن منتقل میشوند، حفاظت کافی ارائه شود (هیئت حمایت از دادهها باید فهرستی از کشورهایی که سطح مناسبی از حمایت از دادههای شخصی را فراهم آوردهاند، تهیه کند. اگرچه این امر تاکنون محقق نشده است)؛
- در مواردی که در کشور مقصد حفاظت کافی ارائه نشده است، کنترلگر داده در ترکیه و کشور خارجی به صورت کتبی حفاظت از دادهها را تضمین کرده باشند و هیئت حمایت از دادهها چنین انتقالی را مجاز دانسته باشد.
سایر قوانین و مقررات مرتبط با حمایت از دادههای شخصی
علاوه بر قانون حمایت از دادههای شخصی، در زمینههای مختلف قواعد خاصی برای حمایت از این دادهها وضع شده است. برای مثال، وفق «قانون کار» ترکیه، کارفرمایان موظفند از دادههای شخصی کارکنان با حسن نیت و در تطابق با قوانین لازمالاجرا استفاده کنند و دادههای شخصیِ کارمند را که برای او واجد منفعت قانونی است و درخواست کرده که خصوصی بماند، فاش نسازند. نمونه دیگر، «مقررات پردازش و حفظ حریم خصوصی دادههای شخصیِ سلامت» است که قواعد و رویههایی را که باید به هنگام پردازش دادههای مرتبط با سلامت اشخاص مورد استفاده قرار گیرند، تنظیم میکند.
«قانون بانکداری» ترکیه، «قانون سیستمهای پرداخت و قراردادهای امنیتی»، و «قانون کارتهای بانکی و کارتهای اعتباری»، پردازش و انتقال دادههای مالی را در ترکیه و خارج از آن تنظیم کرده است. «مقررات مرتبط با مخابرات» در این کشور نیز قواعدی را برای پردازش و انتقال دادهها در نظر گرفته است.
منبع:
turunc
مترجم و مؤلف:
دکتر شیما عطّار
میتوانید برای خواندن اخبار دیگر جهان به صفحه پویش های حقوقی پژوهشکده حقوقی شهر دانش مراجعه کنید.