الإخطار بانتهاك البيانات الشخصية وفق قانون KVKK التركي: التزامات الشركات والأفراد

تخيّل أن شركتك تعمل في تركيا وتكتشف أن قاعدة بيانات عملائها تعرّضت لاختراق غير مصرّح به. ما الذي يتعيّن عليك فعله؟ وفي أي مهلة زمنية؟ يُجيب قانون حماية البيانات الشخصية التركي (KVKK، القانون رقم 6698) على هذه التساؤلات بصرامة تامة، إذ يُلزم المسؤولين عن معالجة البيانات بالإخطار الفوري تحت طائلة غرامات إدارية مرتفعة.

الأساس القانوني: المادة 12 من قانون KVKK

تُرسي المادة 12 من قانون KVKK التزامات أمن البيانات الجوهرية المفروضة على المسؤول عن المعالجة، وهي: منع المعالجة غير المشروعة للبيانات الشخصية، ومنع الوصول غير المشروع إليها، وضمان حفظها وصونها، وذلك باتخاذ جميع التدابير التقنية والإدارية اللازمة.

وتتضمن الفقرة الخامسة من المادة ذاتها الحكم المنظّم للإخطار: إذا حصل أشخاص غير مخوّلين على البيانات الشخصية بطرق غير مشروعة، وجب على المسؤول إخطار أصحاب البيانات ومجلس حماية البيانات الشخصية (مجلس KVK) بذلك في أقرب وقت ممكن.

مهلة الـ 72 ساعة

جسّد قرار مجلس KVK رقم 2019/10 مفهوم "أقرب وقت ممكن" بصورة ملموسة، إذ ألزم المسؤول بإخطار المجلس خلال 72 ساعة من لحظة علمه بالانتهاك. وفي حال تعذّر ذلك، يجب بيان أسباب التأخير مع الإخطار. أما إخطار أصحاب البيانات فيجب أن يتم دون تأخير غير مبرر وبما يتناسب مع مستوى الخطر.

محتوى الإخطار المُقدَّم للمجلس

يُقدَّم الإخطار عبر النظام الإلكتروني على الموقع الرسمي لمجلس KVK، ويجب أن يتضمن:

• تاريخ الانتهاك وساعته (إن كانا معلومَين)
• عدد الأشخاص المتضررين وفئات البيانات المعنية
• الآثار المحتملة للانتهاك
• الإجراءات المتخذة أو المزمع اتخاذها
• بيانات التواصل مع مسؤول حماية البيانات (إن وُجد)
• تبرير التأخر في الإخطار عند الاقتضاء

إخطار أصحاب البيانات

يكون إخطار أصحاب البيانات واجباً حين يُشكّل الانتهاك خطراً مرتفعاً على حقوقهم وحرياتهم. يجب أن يتضمّن الإخطار وصفاً للانتهاك والبيانات المتأثرة والإجراءات المتخذة وسُبل التواصل. وإن تعذّر الإخطار الفردي جاز الإعلان للعموم.

قائمة الاستجابة الفورية للحوادث

1. احتواء الحادثة. عزل الأنظمة المتضررة وإلغاء الوصول المخترَق وإيقاف أي تسرّب إضافي.
2. التوثيق. تسجيل البيانات المتأثرة وعدد الأشخاص المعنيين وطريقة وقوع الانتهاك.
3. تقييم المخاطر. تحديد مستوى الضرر المحتمل على أصحاب البيانات لتحديد نطاق الإخطار.
4. بدء العدّ التنازلي للـ 72 ساعة. يبدأ السريان من لحظة العلم بالانتهاك. تواصل فوراً مع المستشار القانوني.
5. إخطار مجلس KVK. أرسل النموذج مع المعلومات المتوفرة مع الإشارة إلى أي بيانات ستُستكمَل لاحقاً.
6. إخطار أصحاب البيانات. بالقدر المناسب مع مستوى الخطر ووسائل التواصل المتاحة.
7. الاحتفاظ بالسجلات. توثيق جميع خطوات الاستجابة لأن المجلس يحتفظ بحق التدقيق.

الغرامات الإدارية

تصل الغرامات المقررة بموجب المادة 18 من قانون KVKK على الإخلال بالتزامات أمن البيانات إلى مليوني ليرة تركية، وتُحدَّث سنوياً وفق معامل إعادة التقييم. ويُعدّ الإخلال بالتزام الإخطار انتهاكاً مستقلاً قابلاً للمعاقبة عليه بغرامة إضافية.

أسئلة شائعة

هل يستلزم كل انتهاك بيانات إخطار المجلس؟ لا. تنشأ الإلزامية فقط حين يُشكّل الانتهاك خطراً على أصحاب البيانات. أما الحوادث منخفضة المخاطر فيكفي توثيقها داخلياً، غير أن هذا التقدير يجب أن يُوثَّق كتابةً.

هل يسري قانون KVKK على الشركات الأجنبية؟ نعم، إذا كانت تعالج بيانات أشخاص مقيمين في تركيا في سياق تقديم منتجات أو خدمات لهم، بصرف النظر عن موقع الشركة.

هل يمكن تقديم الإخطار الأولي قبل اكتمال المعلومات؟ نعم. يقبل المجلس الإخطارات المرحلية؛ تُقدَّم المعلومات المتاحة أولاً ثم تُستكمَل تدريجياً.

هل يترتب على الانتهاك مسؤولية جنائية؟ نعم. يُجرّم الإفصاح غير المشروع عن البيانات أو الوصول إليها وفق المادة 136 من قانون العقوبات التركي.

ما الحال عند انتهاك البيانات المنقولة خارج تركيا؟ تخضع هذه الحالات لتقييم منفصل بموجب المادة 9 من KVKK وقد تستلزم إخطاراً في ولايات قضائية متعددة.

كيف تساعدك مكتب Mona Hukuk

في أوقات الأزمات تكون كل ساعة ثمينة. يساعد مكتب Mona Hukuk الشركات على وضع بروتوكولات الاستجابة استباقياً، ويتولّى عند وقوع الحوادث إرسال الإخطارات إلى مجلس KVK وصياغة رسائل أصحاب البيانات وتقديم التمثيل القانوني في التحقيقات الإدارية.

تواصل معنا على contact@monahukuk.com أو اتصل بنا على +90 (242) 606 14 32.