قانون تقنية المعلومات والذكاء الاصطناعي
المسؤول عن البيانات ومعالج البيانات في تركيا: الالتزامات التعاقدية
نُشر في ١٤ يوليو ٢٠٢٦·5 دقيقة للقراءة
المحامي فريق تحرير Mona Hukuk - أنطاليا · نقابة محامي أنطاليا
عندما تستضيف شركة بيانات عملائها لدى مزود خدمة سحابية، أو تُسند حساب الرواتب إلى جهة خارجية، أو تتعامل مع مزود برمجيات، يبرز سؤال قانوني سريعًا: من هو «المسؤول عن البيانات» ومن هو «معالج البيانات»؟ ليست هذه مجرد تسمية أكاديمية. فالإجابة تحدد مباشرةً واجبات التسجيل، ومسؤولية الأمن، والعقد الذي ينبغي توقيعه بين الطرفين. يتناول هذا المقال التمييز بين الدورين بموجب القانون رقم 6698 الخاص بحماية البيانات الشخصية (KVKK)، وكيفية توزيع التزامات الأمن، ولماذا يُعد عقد معالجة البيانات لا غنى عنه في الممارسة التجارية.
تعريف الدورين في المادة 3 من قانون KVKK
تُعرّف المادة 3 من قانون KVKK الدورين بوضوح. المسؤول عن البيانات هو «الشخص الطبيعي أو الاعتباري الذي يحدد أغراض ووسائل معالجة البيانات الشخصية ويكون مسؤولًا عن إنشاء نظام تسجيل البيانات وإدارته». أما معالج البيانات فهو «الشخص الطبيعي أو الاعتباري الذي يعالج البيانات الشخصية نيابةً عن المسؤول استنادًا إلى الصلاحية الممنوحة له من المسؤول».
يكمن جوهر التمييز في سلطة اتخاذ القرار. فالطرف الذي يقرر لأي غرض وبأي وسيلة تُعالج البيانات هو المسؤول. والطرف الذي ينفّذ المعالجة وفق تلك التعليمات حصريًا ونيابةً عن المسؤول هو المعالج. فعلى سبيل المثال، يجمع الفندق بيانات حجز النزلاء لأغراضه الخاصة؛ وتعمل شركة الاستضافة السحابية التي تحتضن هذه البيانات، أو الشركة التي توفر برنامج الحجز، بصفتها معالجًا وفق تعليمات الفندق. ولكي يُعدّ الطرف معالجًا، يجب أن يعالج البيانات ضمن الإطار الذي يحدده المسؤول وليس لأغراضه الخاصة؛ وفي اللحظة التي يبدأ فيها بتحديد أغراضه الخاصة، يصبح هو نفسه مسؤولًا عن البيانات.
لماذا يهم التمييز: VERBİS والتسجيل
يُعدّ الفصل بين الدورين مهمًا أولًا لالتزام التسجيل في سجل المسؤولين عن البيانات (VERBİS). فبموجب المادة 16 من قانون KVKK، يقع التزام التسجيل كقاعدة على المسؤولين عن البيانات؛ وللمجلس أن يضع استثناءات وفق معايير موضوعية مثل طبيعة البيانات المُعالجة وعددها، أو استناد المعالجة إلى القانون، أو نقلها إلى أطراف ثالثة. وبالتالي لا تُسجّل كل شركة، بل فقط المسؤول الداخل في نطاق الالتزام. والشركة التي تعمل بصفة معالج فقط لا تُسجَّل بسبب هذه الصفة وحدها؛ لكن إذا كانت مسؤولًا فيما يتعلق بأنشطتها الخاصة، فإنها تُلزَم بهذه الصفة. أما نطاق التسجيل في VERBİS واستثناءاته وإجراءاته فتُتناول بالتفصيل في دليل منفصل؛ ويكفي هنا التأكيد على أن الأدوار هي التي تحدد التزام التسجيل.
التزامات الأمن تقع على كلا الطرفين (المادة 12)
تنظّم المادة 12 من قانون KVKK التزامات أمن البيانات وتوضّح أن المسؤولية لا تقع على طرف واحد فحسب. فالمسؤول ملزم باتخاذ جميع التدابير الفنية والإدارية لضمان مستوى أمني ملائم، بهدف منع المعالجة غير المشروعة للبيانات الشخصية والوصول غير المشروع إليها وضمان حفظها (المادة 12/1).
وتكمن النقطة الحاسمة في الفقرة الثانية: عند معالجة البيانات من قبل شخص آخر نيابةً عن المسؤول، يكون المسؤول مسؤولًا بالتضامن مع المعالج عن اتخاذ تلك التدابير (المادة 12/2). فلا يستطيع المسؤول التنصّل من التزاماته بإسناد المعالجة إلى الغير. كما تنص المادة 12/4 على أنه لا يجوز للمسؤولين ولا للمعالجين إفشاء البيانات الشخصية التي علموا بها خلافًا للقانون أو استخدامها لغير غرض المعالجة، وأن هذا الالتزام يستمر حتى بعد تركهم مناصبهم. أما الالتزام بإخطار المجلس وصاحب البيانات عند وقوع خرق فيقع بموجب المادة 12/5. وباختصار، فإن عبء السرية والأمن موزَّع على كل حلقة من حلقات السلسلة.
لماذا يُعد عقد معالجة البيانات ضروريًا
هنا تبرز خصوصية للقانون التركي: فخلافًا للمادة 28 من اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR)، لا يتضمّن قانون KVKK حكمًا يفرض صراحةً وفي جميع الأحوال عقدًا بمحتوى محدد بين المسؤول والمعالج. وهذا فرق حقيقي عن الممارسة الأوروبية يستحق اهتمامًا دقيقًا. غير أن ذلك لا ينبغي أن يُفهم على أنه يجعل العقد غير ضروري. فبالنظر إلى المسؤولية التضامنية بموجب المادة 12/2 والتزام الرقابة بموجب المادة 12/3، يصبح توثيق إشراف المسؤول على المعالج، وحدود تعليماته، ومعايير الأمن من خلال عقد معالجة بيانات مكتوب أمرًا إلزاميًا فعليًا في الممارسة. فالعقد ينظّم العلاقة الداخلية بين الطرفين في المسؤولية التضامنية، ويُعدّ في الوقت نفسه دليلًا على الامتثال في أي تفتيش من المجلس.
ما ينبغي أن يعالجه العقد والاستخدام العابر للحدود
عادةً ما يعالج عقد معالجة البيانات المُحكم الصياغة الجوانب التالية:
- نطاق المعالجة وغرضها — أن المعالج لا يتصرف إلا بناءً على تعليمات المسؤول وللغرض المحدد،
- التدابير الأمنية — الحد الأدنى من التدابير الفنية والإدارية بموجب المادة 12،
- موافقة على المعالج الفرعي — الموافقة المسبقة من المسؤول قبل استعانة المعالج بمزود آخر،
- إعادة البيانات أو حذفها عند انتهاء العقد — إعادة البيانات أو محوها أو إتلافها عند انتهاء العلاقة،
- حقوق التدقيق — صلاحية المسؤول في تدقيق المعالج أو إجراء تدقيق عليه،
- سلسلة الإخطار بالخرق — كيف وفي أي مهلة يجب على المعالج إبلاغ المسؤول بأي خرق.
بالنسبة إلى الشركات الأجنبية التي تُسند المعالجة إلى مزودين أتراك، توجد طبقة إضافية: فنقل البيانات عبر الحدود يخضع لنظام المادة 9 من قانون KVKK، ويجب أن يغطي العقد شروط هذا النقل أيضًا. وبالمثل، يجب على الشركات التركية التي تُسند المعالجة إلى مزود في الخارج أن تقيّم قواعد النقل وقانون الطرف المقابل معًا. ولهذا السبب يجب أن ينص العقد في الترتيبات العابرة للحدود لا على الأدوار فحسب، بل على الأساس القانوني للنقل أيضًا.
الأسئلة الشائعة
هل يمكن أن تكون الشركة مسؤولًا عن البيانات ومعالجًا في الوقت نفسه؟ نعم. فمثلًا تكون شركة محاسبة مسؤولًا فيما يتعلق ببيانات موظفيها، ومعالجًا عند معالجتها للرواتب نيابةً عن عميل. ويُقيَّم الدور بشكل منفصل لكل نشاط معالجة.
هل يجب على معالجي البيانات التسجيل في VERBİS؟ يسري التزام التسجيل كقاعدة على المسؤولين عن البيانات. فالشركة التي تعمل بصفة معالج فقط لا تُسجَّل بسبب هذه الصفة؛ لكن إذا كانت مسؤولًا فيما يتعلق بأنشطتها الخاصة، فقد تُلزَم بهذه الصفة.
هل يفرض قانون KVKK عقد معالجة بيانات إلزاميًا؟ لا يفرض قانون KVKK، كما تفعل المادة 28 من GDPR، صيغة عقد محددة صراحةً في جميع الأحوال. لكن بسبب المسؤولية التضامنية والتزام الرقابة بموجب المادة 12، يكون العقد المكتوب أمرًا لا مفر منه فعليًا في الممارسة التجارية.
هل يمكن معاقبة المسؤول بسبب خطأ المعالج؟ نعم. فبموجب المادة 12/2، يتحمل المسؤول والمعالج المسؤولية بالتضامن عن اتخاذ التدابير الأمنية؛ ولا يستطيع المسؤول التنصّل من التزاماته بإسناد المعالجة إلى الغير.
كيف يمكن لـ Mona Hukuk المساعدة
نحن في Mona Hukuk نساعد المؤسسات في تحديد الأدوار (التمييز بين المسؤول والمعالج)، وفي صياغة عقود معالجة البيانات والتفاوض عليها، وفي إدارة عملية التسجيل في VERBİS، وفي الهيكلة التعاقدية لنقل البيانات عبر الحدود. ونقدّم استشارة متكاملة للشركات الأجنبية التي تتعامل مع مزودين أتراك، وكذلك للمؤسسات التركية التي تستعين بمزودين في الخارج.
للاستشارة في أنطاليا يمكنكم الكتابة إلى contact@monahukuk.com أو الاتصال بالرقم +90 (242) 606 14 32.
هل تودّ موجزاً أسبوعياً لتطورات القانون التركي؟
إشعارات الجريدة الرسمية، قرارات المحاكم وتعديلات التشريعات — أسبوعياً عبر البريد. مجاني ويمكنك إلغاء الاشتراك متى شئت.
مقالات ذات صلة
قانون تقنية المعلومات والذكاء الاصطناعي
نزاعات أسماء النطاق .tr في تركيا: دليل للشركات الأجنبية
٢ يوليو ٢٠٢٦ · 5 دقيقة للقراءة
قراءة المقالقانون تقنية المعلومات والذكاء الاصطناعي
اتفاقيات إيداع الكود البرمجي في تركيا: دليل قانوني شامل
٢٢ يونيو ٢٠٢٦ · 6 دقيقة للقراءة
قراءة المقالقانون تقنية المعلومات والذكاء الاصطناعي
VERBİS: دليل تسجيل متحكمي البيانات الشخصية في تركيا
٩ يونيو ٢٠٢٦ · 4 دقيقة للقراءة
قراءة المقال