Биометрические данные в Турции: правила обработки по KVKK

Сканеры отпечатков пальцев на входе в офис, системы распознавания лиц при регистрации в отеле, считыватели вен ладони вместо пропусков — биометрические технологии стремительно входят в деловую жизнь Турции. Для компаний, которые их внедряют, незнание закона обходится дорого. Турецкий закон о защите персональных данных — Kişisel Verilerin Korunması Kanunu (KVKK) — относит биометрические данные к самой чувствительной категории информации и устанавливает для их обработки строгие правила. Иностранные граждане и международные компании, ведущие бизнес в Анталье или в других регионах страны, обязаны соблюдать эти требования в полном объёме.

Что закон считает биометрическими данными

В самом KVKK определения биометрических данных нет, однако статья 6 закона прямо называет биометрические и генетические данные особой категорией персональных данных (özel nitelikli kişisel veri) — наряду со сведениями о состоянии здоровья, религиозных убеждениях, политических взглядах и сексуальной жизни. Турецкие суды при толковании этого понятия ориентируются на Европейский регламент GDPR: биометрическими считаются данные, полученные в результате специальной технической обработки физических, физиологических или поведенческих характеристик человека и позволяющие однозначно его идентифицировать.

На практике к этой категории относятся шаблоны отпечатков пальцев, геометрия лица, сканы радужной оболочки глаза, считыватели вен ладони и системы голосовой аутентификации. Если технология идентифицирует конкретного человека по биологическим признакам — она работает с биометрическими данными по смыслу KVKK.

Запрет обработки и законные основания

Статья 6 KVKK исходит из принципа запрета: обработка особых категорий персональных данных, включая биометрические, запрещена, если не выполнено одно из условий, установленных законом. После реформы 2024 года (Закон № 7499) перечень допустимых оснований расширился и теперь включает:

• Свободно данное, информированное и однозначное согласие субъекта данных (açık rıza)
• Прямое указание в законе — применимый нормативный акт должен явно предусматривать такую обработку
• Жизненная необходимость в ситуации, когда субъект не может дать согласие
• Данные, которые субъект сделал общедоступными самостоятельно
• Необходимость для установления, реализации или защиты права
• Медицинские и санитарно-эпидемиологические цели (только профессионалами, соблюдающими врачебную тайну)
• Выполнение правовых обязательств в сфере занятости, охраны труда и социального обеспечения

Часть 4 статьи 6 KVKK устанавливает дополнительное условие, действующее поверх любого из вышеперечисленных оснований: обработка особых категорий данных должна сопровождаться мерами безопасности, определёнными Советом по защите персональных данных (Kişisel Verilerin Korunması Kurulu). Речь идёт о шифровании биометрических шаблонов, строгом разграничении доступа, ведении журналов аудита и регулярном обучении персонала.

Общий обзор требований KVKK — в нашей статье о соответствии KVKK в Турции.

Биометрия на рабочем месте: тест на соразмерность

Самая распространённая область споров — использование биометрических систем для учёта рабочего времени и контроля доступа. Данıştay (Государственный совет Турции) рассмотрел несколько подобных дел и выработал последовательную позицию: практичность системы не является самостоятельным правовым основанием для сбора биометрических данных.

В 2022 году 12-я палата Данıştay отменила административное решение, обязывавшее государственных служащих проходить учёт рабочего времени с помощью сканера отпечатков пальцев. Суд констатировал отсутствие как законного основания, так и добровольного согласия. Важнее другое: суд указал, что даже при наличии согласия необходимо соблюдать принцип соразмерности — если альтернативные методы (пропускные карты, PIN-коды) обеспечивают тот же результат, применение биометрии является избыточным и нарушает принцип минимизации данных, закреплённый в статье 4 KVKK.

В 2023 году та же палата пришла к аналогичному выводу по делу о считывателе вен ладони: работодатель проверил альтернативы и убедился, что они работают, — значит, биометрическая система была излишней и, следовательно, незаконной.

Вывод однозначен: удобство и экономия времени не оправдывают сбор биометрических данных. Если менее инвазивный метод справляется с задачей, турецкое право может требовать именно его применения.

Что должны сделать организации до внедрения биометрии

Для работодателей и компаний — как местных, так и иностранных, работающих в Анталье, — перед любым биометрическим проектом необходимо выполнить следующие шаги:

• Определить правовое основание. Согласие субъекта или прямое указание закона? Согласие должно быть действительно добровольным: его нельзя встраивать в трудовой договор или превращать в условие прохода через турникет.
• Провести тест на соразмерность и зафиксировать его результаты. Почему биометрия необходима и почему менее чувствительный метод не подходит?
• Подготовить и вручить уведомление о конфиденциальности до начала обработки. О разнице между уведомлением и согласием по KVKK — в статье об аydınlatma и açık rıza в Турции.
• Внедрить меры безопасности по стандартам Совета — шифрование, контроль доступа, журналирование, регулярные проверки.
• Установить срок хранения и удалить или обезличить биометрические данные после достижения цели.
• Зарегистрировать обработку в VERBİS, если организация обязана состоять в реестре операторов персональных данных. Биометрические операции фиксируются отдельно. Подробнее — в нашей статье о реестре VERBİS.

Часто задаваемые вопросы

В: Вправе ли работодатель обязать сотрудников в Турции сдавать отпечатки пальцев?

Как правило, нет — без законного основания или подлинно добровольного согласия это незаконно. Даже при наличии согласия необходимо доказать соразмерность: если существуют работающие альтернативы, суд может признать систему незаконной.

В: Распространяется ли KVKK на иностранные компании?

Да. Закон применяется к любой организации, обрабатывающей персональные данные лиц, находящихся в Турции, независимо от страны регистрации.

В: Какие последствия грозят за незаконную обработку биометрических данных?

Совет вправе вынести административные санкции. Кроме того, обработка особых категорий данных без законного основания может повлечь уголовную ответственность по Уголовному кодексу Турции (Türk Ceza Kanunu).

В: Что изменила реформа KVKK 2024 года применительно к биометрии?

Поправки расширили перечень оснований для обработки особых категорий данных, однако ключевые требования — наличие правового основания, соразмерность, специальные меры безопасности — остались в силе.

Как Mona Hukuk может помочь

Наша юридическая фирма в Анталье консультирует работодателей, технологические компании и иностранных инвесторов по вопросам соответствия KVKK — от юридического проектирования биометрических систем до представительства перед Советом по защите персональных данных.

Свяжитесь с нами по адресу contact@monahukuk.com или по телефону +90 (242) 606 14 32, чтобы записаться на консультацию в Анталье.