چارچوب قانونی حمایت از داده‌های شخصی در ترکیه

Data Protection Legal Framework in Turkey

مقدمه مترجم

با تصویب «مقررات عمومی حمایت از داده‌های شخصی» (GDPR) در اتحادیه اروپا در سال 2016، ترکیه نیز همگام با کشورهای توسعه‌یافته به این مهم توجه نشان داد و قانون «حمایت از داده‌های شخصی» (PDPL) را به عنوان قانونی خاص در همین سال به تصویب رسانید. در حالی­که کشور همسایه، ترکیه از سال 2010 در قانون اساسی خود داده‌های شخصی را به طور ویژه مورد حمایت قرار داده است، درکشور ما هنوز قانون جامعی در حوزه حمایت از داده‌های شخصی تصویب نشده است. شایسته است که جامعه حقوقی ایران با حساسیت بیشتری این موضوع را تا به نتیجه رساندن آن دنبال نماید.

در چارچوب پویش‌های حقوقی، این نوشتار به بررسی وضعیت حمایت از داده‌های شخصی در ترکیه پرداخته است، با این امید که مورد توجه مقامات تقنینی و قضایی قرار گیرد و اهمیت نگاه به تحول در این زمینه را روشن سازد.

چارچوب قانونی حمایت از داده‌های شخصی

قانون «حمایت از داده‌های شخصی» ترکیه که از اکتبر 2016 لازم‌الاجرا شده است، از مقررات اتحادیه اروپا در مورد داده‌های شخصی (GDPR) پیروی کرده و بر اصول آن بنا گردیده است.

ترکیه همچنین یکی از طرفین «کنوانسیون شورای اروپا در حمایت از افراد در برابر پردازش خودکار داده‌های شخصی» مصوب 1981 است. این کنوانسیون در مارس 2016 در روزنامه رسمی ترکیه منتشر و به قانون داخلی تبدیل شده است.

جرایم علیه حمایت از داده‌های شخصی و ضمانت ­اجراهای مرتبط نیز در قانون جزای ترکیه تدوین شده‌اند.

مرجع حمایت از داده‌های شخصی

در ترکیه، «مقام حمایت از داده‌های شخصی» (Personal Data Protection Authority) بر اجرای قانون حمایت از داده‌های شخصی نظارت می­کند. این مقام همچنین مسئولیت نظارت بر آخرین تحولات مقرره‌گذاری در این حوزه، ارزیابی و ارائه توصیه‌، انجام تحقیقات و تجزیه و تحلیل‌ها، و همکاری با نهادها و سازمان‌های عمومی، سازمان‌های بین‌المللی، سازمان‌های غیردولتی، انجمن‌های حرفه‌ای و دانشگاه‌ها را بر عهده دارد.

«هیئت حمایت از داده‌ها» (Data Protection Board) در این مقام تشکیل می‌شود و عهده‌دار وظایف زیر است:

1. حصول اطمینان از اینکه داده‌های شخصی در تطابق با قانون حمایت از داده‌های شخصی و حقوق و آزادی‌های بنیادی پردازش می شود؛
2. انتشار قواعد و مقررات به موجب قانون حمایت از داده‌های شخصی؛
3. تعیین ضمانت‌اجراهای اداری به موجب قانون حمایت از داده‌های شخصی؛
4. بررسی شکایات مربوط به نقض و اتخاذ تدابیر لازم در برابر نقض قانون حمایت از داده‌های شخصی؛
5. تنظیم یک برنامه راهبردی برای مقام حمایت از داده‌های شخصی؛
6. تعیین اهداف، استانداردهای کیفیت خدمات و معیارهای عملکرد مقام حمایت از داده‌های شخصی؛
7. تعیین تدابیر خاص برای پردازش داده‌های شخصی حساس؛
8. تعیین قواعد خاص در مورد امنیت داده‌ها و وظایف، اختیارات و مسئولیت‌های کنترلگر داده­؛
9. ارائه نظرات در مورد قواعد و مقررات تدوین شده توسط سایر نهادها و سازمان‌ها که شامل مقررات داده‌های شخصی باشد؛ و

• انتشار گزارش‌های دوره‌ای از عملکرد، وضعیت مالی، فعالیت‌های سالانه و سایر امور مرتبط با مقام حمایت از داده‌های شخصی.

همکاری با سایر مراجع حمایت از داده‌های شخصی

«مقام حمایت از داده‌های شخصی» تنها نهاد مجاز تحت قانون حمایت از داده‌های شخصی است که مسئولیت نظارت و ارزیابی تحولات بین‌المللی را در مسائل مربوط به داده‌های شخصی و همکاری با سازمان‌های بین‌المللی و همتایان خارجی بر عهده دارد. در عمل، علیرغم تصمیمات معدودی که «هیئت حمایت از داده‌ها» از زمان تشکیل خود صادر کرده، روند قابل مشاهده این است که این هیئت به هنگام بررسی پرونده‌ها، تصمیمات «هیئت اروپایی حمایت از داده‌ها» (European Data Protection Board) را مدنظر قرار می‌دهد. هرچند الزامی به اخذ تصمیم مشابه ندارد.

نقض قانون حمایت از داده‌های شخصی

نقض قانون حمایت از داده‌های شخصی می‌تواند منجر به جریمه‌های اداری و مجازات‌های کیفری شود. هیئت حمایت از داده‌ها می‌تواند اقدامات موقت و سایر تدابیر لازم مانند ضمانت‌اجرای مالی را در برابر تخلفات اتخاذ کند.

علاوه بر این، اعمال مجرمانه مانند دست­یابی یا ثبت غیرقانونی داده‌های شخصی و عدم تخریب داده‌های شخصی در صورت لزوم، ممکن است مشمول مجازات‌های کیفری بر اساس قانون جزای ترکیه شود.

قلمرو شمول قانون حمایت از داده‌های شخصی

قانون حمایت از داده‌های شخصی، دامنه حمایت را بر اساس طبقه‌بندی و یا انواع داده‌ها محدود نمی‌کند. تمامی اطلاعات مربوط به یک شخص حقیقی شناسایی‌شده یا قابل‌شناسایی، در هر قالبی نگهداری و ذخیره شود، مشمول حمایت این قانون قرار می‌گیرد. البته، داده‌های شخصی حساس تحت عنوان «طبقه‌بندی خاص داده‌های شخصی» مورد حمایت خاص قرار گرفته‌اند.

این قانون بر همه اشخاص حقیقی که داده‌های شخصی آن­ها پردازش می‌شود اعمال می‌گردد. همچنین بر تمامی اشخاص حقیقی و حقوقی که داده‌های شخصی را با استفاده از ابزار کاملاً یا جزئاً خودکار پردازش می‌کنند، مشروط بر اینکه بخشی از سیستم ثبت داده‌ها یعنی «سیستم بایگانی» تحت مقررات اتحادیه اروپا در مورد داده‌های شخصی، از طریق ابزار غیر خودکار باشند.

در قانون حمایت از داده‌های شخصی هیچ تمایزی میان نهادها و مؤسسات بخش خصوصی و بخش دولتی پیش‌بینی نشده است. به این ترتیب، قانون حمایت از داده‌های شخصی برای همه انواع نهادها و اشخاص اعمال می‌شود.

با این حال، قانون حمایت از داده­های شخصی در موارد زیر اعمال نمی‌شود:

1. پردازش توسط اشخاص حقیقی در محدوده فعالیت‌های مربوط به خود یا اعضای خانواده‌شان که در یک خانه زندگی می‌کنند صورت گیرد، مشروط بر اینکه داده‌ها محفوظ مانده و در اختیار اشخاص ثالث قرار نگیرد؛
2. پردازش برای اهداف آماری، تحقیقاتی، برنامه‌ریزی و اهداف مشابه به صورت بی‌نام‌سازی‌شده صورت گیرد؛
3. پردازش برای اهداف هنری، تاریخی، ادبی و علمی، یا به عنوان بخشی از اِعمال آزادی بیان انجام شود، مشروط بر اینکه به دفاع ملی، امنیت ملی، نظم عمومی، امنیت عمومی، امنیت اقتصادی، حریم خصوصی و سایر حقوق شخصی لطمه وارد نکند، یا جرمی را تشکیل ندهد؛
4. پردازش در محدوده فعالیت‌های پیشگیرانه، حفاظتی و اطلاعاتی توسط نهادهای دولتی که وظایف دفاع ملی، امنیت ملی، نظم عمومی، امنیت عمومی یا امنیت اقتصادی را برعهده دارند، انجام شود؛ و
5. پردازش توسط مقامات قضایی یا مقامات اجرایی در رابطه با تحقیقات، تعقیب، پرونده‌های قضایی، دادرسی کیفری و مراحل اجرایی صورت گیرد.

انتقال فرامرزی داده‌های شخصی

در قانون حمایت از داده‌های شخصی، قواعد خاصی برای انتقال این داده‌ها به خارج از ترکیه تنظیم شده است. به عنوان قاعده کلی، داده‌های شخصی را نمی‌توان بدون رضایت صریح شخص موضوع داده به خارج از کشور منتقل کرد. با این حال، ممکن است این داده‌ها بدون رضایت صریح شخص موضوع داده به خارج از کشور منتقل شوند، مشروط بر اینکه یکی از شرایط مقرر در قانون احراز شود:

1. در کشور مقصد که داده‌ها به آن منتقل می‌شوند، حفاظت کافی ارائه شود (هیئت حمایت از داده‌ها باید فهرستی از کشورهایی که سطح مناسبی از حمایت از داده‌های شخصی را فراهم آورده‌اند، تهیه کند. اگرچه این امر تاکنون محقق نشده است)؛
2. در مواردی که در کشور مقصد حفاظت کافی ارائه نشده است، کنترلگر داده در ترکیه و کشور خارجی به صورت کتبی حفاظت از داده‌ها را تضمین کرده باشند و هیئت حمایت از داده‌ها چنین انتقالی را مجاز دانسته باشد.

سایر قوانین و مقررات مرتبط با حمایت از داده‌های شخصی

علاوه بر قانون حمایت از داده‌های شخصی، در زمینه‌های مختلف قواعد خاصی برای حمایت از این داده‌ها وضع شده است. برای مثال، وفق «قانون کار» ترکیه، کارفرمایان موظفند از داده‌های شخصی کارکنان با حسن نیت و در تطابق با قوانین لازم‌الاجرا استفاده کنند و داده‌های شخصیِ کارمند را که برای او واجد منفعت قانونی است و درخواست کرده که خصوصی بماند، فاش نسازند. نمونه دیگر، «مقررات پردازش و حفظ حریم خصوصی داده‌های شخصیِ سلامت» است که قواعد و رویه‌هایی را که باید به هنگام پردازش داده‌های مرتبط با سلامت اشخاص مورد استفاده قرار گیرند، تنظیم می‌کند.

«قانون بانکداری» ترکیه، «قانون سیستم‌های پرداخت و قراردادهای امنیتی»، و «قانون کارت‌های بانکی و کارت‌های اعتباری»، پردازش و انتقال داده‌های مالی را در ترکیه و خارج از آن تنظیم کرده است. «مقررات مرتبط با مخابرات» در این کشور نیز قواعدی را برای پردازش و انتقال داده‌ها در نظر گرفته است.

منبع:

turunc

مترجم و مؤلف:

دکتر شیما عطّار

میتوانید برای خواندن اخبار دیگر جهان به صفحه پویش های حقوقی پژوهشکده حقوقی شهر دانش مراجعه کنید.