قانون تقنية المعلومات والذكاء الاصطناعي
محو البيانات الشخصية وإتلافها وإخفاء هويتها في تركيا
نُشر في ١٤ يوليو ٢٠٢٦·5 دقيقة للقراءة
المحامي فريق تحرير Mona Hukuk - أنطاليا · نقابة محامي أنطاليا
ماذا يحدث للبيانات الشخصية التي تحتفظ بها شركتك بعد انتهاء عقد أحد العملاء، أو مغادرة موظف، أو سحب موافقة على التسويق؟ لا يسمح قانون حماية البيانات الشخصية التركي (KVKK، القانون رقم 6698) بحفظ البيانات الشخصية إلى أجل غير مسمّى. فبمجرد زوال الأسباب التي استوجبت معالجتها، يلتزم المسؤول عن البيانات بمحوها أو إتلافها أو إخفاء هويتها. وينبع هذا الالتزام من المادة 7 من KVKK ومن "اللائحة الخاصة بمحو البيانات الشخصية أو إتلافها أو إخفاء هويتها" (الجريدة الرسمية بتاريخ 28/10/2017). يوضّح هذا الدليل الفرق بين الطرق الثلاث للتخلص من البيانات، والتزام إعداد سياسة الحفظ والإتلاف، والمواعيد التي يجب على الشركات التقيّد بها.
متى ينشأ التزام التخلص من البيانات؟
المادة 7(1) من KVKK واضحة: حتى لو كانت البيانات قد عولجت بشكل مشروع، فبمجرد زوال الأسباب التي استوجبت معالجتها يلتزم المسؤول عن البيانات بمحوها أو إتلافها أو إخفاء هويتها، إمّا من تلقاء نفسه أو بناءً على طلب صاحب البيانات. وتحدّد اللائحة ذلك بزوال جميع شروط المعالجة الواردة في المادتين 5 و6 من القانون. وتزول هذه الشروط عادةً عندما:
- يتحقّق الغرض من معالجة البيانات أو يزول،
- تُسحب الموافقة الصريحة التي استندت إليها المعالجة،
- تنقضي المدة القصوى للحفظ المنصوص عليها في التشريعات ذات الصلة،
- لم تعد هناك حاجة إلى البيانات بعد انتهاء العقد الأساسي.
تبقى التزامات الحفظ المقرّرة في قوانين أخرى (مثل الحد الأدنى لمدد الحفظ في التشريعات الضريبية أو التجارية) محفوظة؛ ولا يجوز التخلص من البيانات قبل انقضاء هذه المدد.
الطرق الثلاث والفرق بينها
تستخدم اللائحة مصطلح "التخلص" (imha) كتعبير جامع يشمل ثلاث عمليات مستقلة، لكلٍّ منها تعريف منفصل:
- المحو (المادة 8): جعل البيانات الشخصية غير قابلة للوصول أو إعادة الاستخدام بأي شكل بالنسبة للمستخدمين المعنيين. وقد تبقى البيانات موجودة تقنياً في النظام لبعض الوقت؛ لكن الفيصل هو أن المستخدمين المخوّلين بالمعالجة لم يعد بإمكانهم الوصول إليها.
- الإتلاف (المادة 9): جعل البيانات غير قابلة للوصول أو الاسترجاع أو إعادة الاستخدام بأي شكل من قِبَل أي شخص كان. ويندرج ضمن ذلك إتلاف المستندات الورقية أو الإتلاف غير القابل للاسترجاع للوسائط المغناطيسية.
- إخفاء الهوية (المادة 10): جعل البيانات بحيث يستحيل ربطها بشخص طبيعي محدّد أو قابل للتحديد حتى لو قُورنت ببيانات أخرى. والبيانات التي أُخفيت هويتها بشكل سليم تفقد صفتها كبيانات شخصية، ولذلك تُفضَّل هذه الطريقة لأغراض الإحصاء والتحليل.
سياسة حفظ البيانات الشخصية وإتلافها
تُلزم المادة 5 من اللائحة المسؤولين عن البيانات الملزَمين بالتسجيل في سجل المسؤولين عن البيانات (VERBİS) بإعداد سياسة حفظ البيانات الشخصية وإتلافها. ويجب أن تشمل هذه السياسة كحدٍّ أدنى (المادة 6):
- وسائط التسجيل والأسباب القانونية أو التقنية التي تستوجب الحفظ،
- التدابير التقنية والإدارية المتخذة،
- مسمّيات ومهام الأشخاص المشاركين في الحفظ والإتلاف،
- جدولاً يبيّن مدد الحفظ والإتلاف،
- مواعيد الإتلاف الدوري.
ومن المهم الانتباه: مجرد إعداد السياسة لا يعني أن البيانات قد أُتلفت فعلاً بشكل مشروع (المادة 5(2)). كما أن التزام المحو والإتلاف وإخفاء الهوية يظل قائماً حتى بالنسبة للمسؤول عن البيانات الذي لا يقع عليه واجب إعداد سياسة (المادة 5(3)).
الإتلاف الدوري والمواعيد
تختلف المواعيد بحسب ما إذا كان لدى المسؤول عن البيانات سياسة:
- المسؤول الذي لديه سياسة يتخلّص من البيانات في أول عملية إتلاف دوري تلي تاريخ نشوء الالتزام. ويُحدَّد الفاصل الزمني في السياسة، لكنه لا يجوز بأي حال أن يتجاوز ستة أشهر (المادة 11(2)) — أي يجب إجراء الإتلاف الدوري مرة كل ستة أشهر على الأقل.
- المسؤول الذي لا يقع عليه واجب إعداد سياسة يُجري التخلص خلال ثلاثة أشهر من تاريخ نشوء الالتزام (المادة 11(3)).
- وعندما يتم التخلص بناءً على طلب صاحب البيانات وتكون جميع شروط المعالجة قد زالت، يجب البت في الطلب خلال ثلاثين يوماً (المادة 12).
ويجوز للمجلس تقصير هذه المدد عند وجود خطر ضرر يصعب أو يستحيل تداركه ومخالفة صريحة للقانون (المادة 11(4)).
توثيق الامتثال
لا تكتفي اللائحة بإيجاب التخلص من البيانات، بل توجب أيضاً توثيقه. فجميع عمليات المحو والإتلاف وإخفاء الهوية تُسجَّل، وتُحفَظ هذه السجلات — مع عدم الإخلال بالالتزامات القانونية الأخرى — لمدة ثلاث سنوات على الأقل (المادة 7(3)). كما يلتزم المسؤول عن البيانات ببيان الطرق التي يطبّقها في سياساته وإجراءاته. وعملياً يُنصح الشركات بما يلي:
- إعداد سجل لأنشطة معالجة البيانات الشخصية وتحديد مدة حفظ قصوى لكل فئة من فئات البيانات.
- إعداد سياسة الحفظ والإتلاف وتحديد الفاصل الزمني للإتلاف الدوري (بما لا يتجاوز ستة أشهر).
- توثيق كل عملية تخلص بمحضر وحفظه لمدة ثلاث سنوات على الأقل.
- معالجة طلبات أصحاب البيانات ضمن مهلة الثلاثين يوماً.
- مراجعة السياسة والسجل وتحديثهما بانتظام.
الأسئلة الشائعة
ما الفرق بين المحو والإتلاف؟ في المحو تُجعَل البيانات غير قابلة للوصول بالنسبة للمستخدمين المعنيين المخوّلين بالمعالجة، وإن كان يجوز أن تبقى في النظام تقنياً لبعض الوقت. أما في الإتلاف فتُزال البيانات بحيث لا يمكن لأحد استرجاعها بأي وسيلة.
هل يجب على كل شركة إعداد سياسة حفظ وإتلاف؟ لا. يقع هذا الالتزام على المسؤولين عن البيانات الملزَمين بالتسجيل في VERBİS. غير أن الشركات غير الملزَمة بإعداد سياسة تبقى مُلزَمة بالتخلص من البيانات عند انقضاء مدة حفظها.
ما أقصى موعد لإجراء الإتلاف الدوري؟ يُحدَّد الفاصل الزمني بحرية في السياسة، لكنه لا يجوز بأي حال أن يتجاوز ستة أشهر. لذا يجب على المسؤول الذي لديه سياسة إجراء الإتلاف الدوري مرة كل ستة أشهر على الأقل.
هل تدخل البيانات التي أُخفيت هويتها في نطاق KVKK؟ البيانات التي أُخفيت هويتها بشكل سليم لم يعد بالإمكان ربطها بشخص محدّد، وبذلك تفقد صفتها كبيانات شخصية وتخرج من نطاق KVKK. أما إذا ظلّ بالإمكان الوصول إلى الهوية عبر المقارنة، فلا يُعَدّ إخفاء الهوية صحيحاً.
كيف يمكن لمكتب Mona Hukuk المساعدة
نحن في Mona Hukuk نساعد الشركات في إعداد سجلات البيانات الشخصية، وصياغة سياسات الحفظ والإتلاف، وبناء إجراءات الإتلاف الدوري، وتوثيق عمليات التخلص من البيانات على نحوٍ مطابق للقانون. وبفضل خبرتنا في قانون تقنية المعلومات والذكاء الاصطناعي، نضمن امتثال شركتك الكامل لالتزامات KVKK المتعلقة بالتخلص من البيانات.
للاستشارة في أنطاليا يمكنكم مراسلتنا عبر contact@monahukuk.com أو الاتصال على الرقم +90 (242) 606 14 32.
هل تودّ موجزاً أسبوعياً لتطورات القانون التركي؟
إشعارات الجريدة الرسمية، قرارات المحاكم وتعديلات التشريعات — أسبوعياً عبر البريد. مجاني ويمكنك إلغاء الاشتراك متى شئت.
مقالات ذات صلة
قانون تقنية المعلومات والذكاء الاصطناعي
نزاعات أسماء النطاق .tr في تركيا: دليل للشركات الأجنبية
٢ يوليو ٢٠٢٦ · 5 دقيقة للقراءة
قراءة المقالقانون تقنية المعلومات والذكاء الاصطناعي
اتفاقيات إيداع الكود البرمجي في تركيا: دليل قانوني شامل
٢٢ يونيو ٢٠٢٦ · 6 دقيقة للقراءة
قراءة المقالقانون تقنية المعلومات والذكاء الاصطناعي
VERBİS: دليل تسجيل متحكمي البيانات الشخصية في تركيا
٩ يونيو ٢٠٢٦ · 4 دقيقة للقراءة
قراءة المقال