معالجة البيانات البيومترية في تركيا: ما يجب معرفته عن قانون KVKK

باتت البيانات البيومترية حاضرةً في كل مكان داخل تركيا: أجهزة بصمة الأصابع عند مداخل المكاتب، وكاميرات التعرف على الوجه في فنادق أنطاليا، وأجهزة مسح أوردة اليد بدلاً من بطاقات الحضور. غير أن هذا الانتشار السريع لا يعني أن الباب مفتوح أمام أي جهة تريد استخدامها. يُصنّف قانون حماية البيانات الشخصية التركي (Kişisel Verilerin Korunması Kanunu — KVKK) البيانات البيومترية باعتبارها من أكثر أنواع المعلومات حساسيةً، ويضع قيوداً صارمة على معالجتها. والمستثمرون الأجانب والشركات الدولية العاملة في تركيا مطالَبون بالامتثال لهذه القواعد تماماً كالشركات المحلية.

ما الذي يُعدّ بيانات بيومترية في القانون التركي؟

لا يتضمن قانون KVKK تعريفاً مستقلاً للبيانات البيومترية، إلا أن المادة السادسة منه تُدرج صراحةً البيانات البيومترية والجينية ضمن الفئة الخاصة من البيانات الشخصية (özel nitelikli kişisel veri)، إلى جانب البيانات الصحية والمعتقدات الدينية والمواقف السياسية والحياة الجنسية. وقد استعانت المحاكم التركية بتعريف لائحة الاتحاد الأوروبي (GDPR) لملء هذه الفجوة: البيانات البيومترية هي تلك المستخلصة من معالجة تقنية خاصة للخصائص الجسدية أو الفسيولوجية أو السلوكية للشخص، بحيث تُتيح التعرف عليه بصورة فريدة ولا لبس فيها.

عملياً، يشمل هذا الوصف بصمات الأصابع، وهندسة الوجه، ومسح قزحية العين، وأجهزة قراءة أوردة اليد، وأنظمة التحقق الصوتي. فمتى كانت التقنية تحدد هوية شخص بعينه من خلال سماته الجسدية، فإنها تعالج بيانات بيومترية بمفهوم قانون KVKK.

حظر المعالجة والمبررات القانونية الاستثنائية

تنطلق المادة السادسة من قانون KVKK من مبدأ الحظر العام: معالجة الفئات الخاصة من البيانات الشخصية — بما فيها البيانات البيومترية — محظورة ما لم يتوافر أحد الأسس القانونية المحددة. وقد وسّع تعديل عام 2024 (القانون رقم 7499) قائمة هذه الأسس لتشمل:

• الموافقة الصريحة (açık rıza) للشخص المعني — حرة وواعية وخاصة بالغرض المحدد
• نص قانوني صريح يُجيز هذه المعالجة تحديداً
• ضرورة قصوى لحماية حياة الشخص أو سلامته الجسدية في حال عجزه عن الموافقة
• بيانات أفصح عنها الشخص بنفسه للعموم
• ضرورة إثبات حق أو ممارسته أو الدفاع عنه
• أغراض الرعاية الصحية والصحة العامة (من قِبَل متخصصين ملتزمين بالسرية المهنية)
• الوفاء بالالتزامات القانونية في مجالات العمل والسلامة المهنية والضمان الاجتماعي

تُضيف الفقرة الرابعة من المادة السادسة شرطاً آخر يسري بصرف النظر عن أي مسوّغ قانوني: يجب أن تخضع معالجة الفئات الخاصة من البيانات للتدابير الأمنية التي يحددها مجلس حماية البيانات الشخصية (Kişisel Verilerin Korunması Kurulu)، وتشمل هذه التدابير تشفير النماذج البيومترية وقيود الوصول وسجلات المراجعة وتدريب الموظفين.

للاطلاع على نظرة عامة حول متطلبات KVKK، يمكنكم الرجوع إلى مقالنا حول الامتثال لقانون KVKK في تركيا.

البيانات البيومترية في بيئة العمل: اختبار التناسب

أكثر ما أثار الجدل أمام القضاء التركي هو استخدام الأنظمة البيومترية لتسجيل الحضور والانصراف والتحكم في دخول المنشآت. وقد خلصت المحاكم، ولا سيما مجلس الدولة التركي (Danıştay)، إلى مبدأ واضح وثابت: لا يُشكّل التيسير التقني وحده مسوّغاً قانونياً لجمع البيانات البيومترية.

في قرار صدر عام 2022، ألغت الغرفة الثانية عشرة في مجلس الدولة قراراً إدارياً يُلزم موظفين حكوميين باستخدام أجهزة بصمة الأصابع لتسجيل ساعات العمل. وأكدت المحكمة انعدام الأساس القانوني الصريح وانعدام الموافقة الحرة الحقيقية، ثم ذهبت إلى أبعد من ذلك: حتى لو كانت الموافقة موجودة، يبقى شرط التناسب قائماً؛ إذ يقضي مبدأ تقليص البيانات المنصوص عليه في المادة الرابعة من قانون KVKK بعدم اللجوء إلى جمع البيانات البيومترية متى كانت أساليب أقل تدخلاً — كبطاقات الهوية أو أنظمة الرقم السري — قادرةً على تحقيق الهدف ذاته.

وفي عام 2023، أصدرت الغرفة نفسها قراراً مماثلاً بشأن جهاز مسح أوردة اليد، إذ تبيّن أن البدائل الأقل تدخلاً كانت تؤدي وظيفتها فعلاً، مما يجعل النظام البيومتري مفرطاً ومن ثَمَّ مخالفاً للقانون.

الرسالة لا تحتمل اللبس: الكفاءة التشغيلية لا تسوّغ جمع البيانات البيومترية. وإن أمكن لأسلوب أقل تدخلاً أداء المهمة ذاتها، فإن القانون التركي قد يستوجب اعتماده.

ما الذي يتعين على المنشآت فعله قبل تشغيل الأنظمة البيومترية؟

سواء كنتم تديرون فندقاً في أنطاليا أو مصنعاً أو مجمعاً سكنياً أو شركة متعددة الجنسيات، تبقى قائمة الالتزامات واحدة قبل أي جمع بيومتري:

• تحديد الأساس القانوني. هل المسوّغ موافقة صريحة أم نص قانوني؟ لا يجوز ربط الموافقة بعقد العمل ولا اشتراطها للدخول إلى المبنى.
• إجراء اختبار التناسب وتوثيقه. ما الذي يجعل البيانات البيومترية ضرورية؟ ولماذا لا تكفي الأساليب الأقل تدخلاً؟
• توجيه إشعار الخصوصية للمعنيين قبل البدء في المعالجة. للتعرف على الفرق بين الإشعار والموافقة وفق KVKK، اطلعوا على مقالنا حول الإشعار والموافقة الصريحة في KVKK.
• تطبيق تدابير الأمان المقررة من المجلس — التشفير وقيود الوصول والتوثيق ومدد الاحتفاظ.
• تحديد مدة الاحتفاظ وحذف البيانات البيومترية أو إخفاء هويتها متى انتفى الغرض من جمعها.
• التسجيل في سجل VERBİS إذا كانت منشأتكم ملزمة بالتسجيل كمتحكم في البيانات. تُعلَن عمليات المعالجة البيومترية باعتبارها فئة مستقلة وعالية الحساسية. مزيد من التفاصيل في مقالنا حول سجل VERBİS.

الأسئلة الشائعة

س: هل يحق لصاحب العمل في تركيا إلزام الموظفين ببصمة الأصابع؟

في الغالب لا؛ فبدون أساس قانوني صريح أو موافقة صريحة وحقيقية يكون ذلك مخالفاً للقانون. وحتى في حال وجود الموافقة، قد يظل النظام غير مشروع إذا كانت بدائل أقل تدخلاً قادرة على تحقيق الهدف.

س: هل ينطبق قانون KVKK على الشركات الأجنبية؟

نعم. يسري القانون على أي جهة تعالج بيانات شخصية لأشخاص في تركيا، بصرف النظر عن بلد تأسيسها أو مقر إدارتها.

س: ما العواقب المترتبة على المعالجة البيومترية دون أساس قانوني؟

يملك المجلس صلاحية فرض عقوبات إدارية. وقد تترتب أيضاً على المعالجة غير المشروعة للفئات الخاصة مسؤوليةٌ جنائية بموجب قانون العقوبات التركي (Türk Ceza Kanunu).

س: ماذا غيّر تعديل KVKK لعام 2024 في أحكام البيانات البيومترية؟

وسّع التعديل قائمة الأسس القانونية الجائزة لمعالجة الفئات الخاصة، لكن الاشتراطات الجوهرية — توافر الأساس القانوني، والتناسب، وتدابير الأمان الخاصة — لا تزال سارية بالكامل.

كيف يمكن لمكتب Mona Hukuk مساعدتك

يقدم مكتبنا القانوني في أنطاليا استشاراتٍ متخصصة لأصحاب العمل والشركات التقنية والمستثمرين الأجانب في كل ما يتعلق بالامتثال لقانون KVKK، من التأسيس القانوني للأنظمة البيومترية إلى التمثيل أمام مجلس حماية البيانات الشخصية.

تواصل معنا على contact@monahukuk.com أو اتصل على +90 (242) 606 14 32 لتحديد موعد استشارة في أنطاليا.