Соответствие KVKK: защита персональных данных в Турции

Закон о защите персональных данных (KVKK) — основной турецкий закон, регулирующий обработку персональных данных. Содержащий в значительной мере параллельные с GDPR ЕС положения, KVKK создаёт обязательства по комплаенсу для каждой организации, обрабатывающей данные клиентов, работников или деловых партнёров. Для бизнеса в Анталье в туризме, здравоохранении, недвижимости, образовании и технологиях KVKK — это не просто рядовое законодательство, а серьёзная тема комплаенса, создающая финансовые, юридические и репутационные риски. Это руководство охватывает основы соответствия KVKK и шаги, которые должны предпринимать компании.

Сфера действия KVKK

KVKK распространяется на все физические и юридические лица, обрабатывающие персональные данные. Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу:

• Имя, фамилия,
• Турецкий идентификационный номер / иностранный идентификационный номер,
• Email, телефон,
• IP-адрес,
• Сведения о местоположении,
• Данные о здоровье,
• Сексуальная ориентация,
• Биометрические данные,
• Сведения об эффективности работника,
• Предпочтения клиентов,
• Сведения о cookie.

Для специальных категорий персональных данных (здоровье, этническое происхождение, религиозные убеждения, биометрия и др.) применяются дополнительные правила защиты.

Контролёр и обработчик данных

KVKK выделяет две основные роли:

• Контролёр данных: лицо/организация, определяющая цели и средства обработки, ответственная за создание и управление системой реестра данных.
• Обработчик данных: лицо/организация, обрабатывающая данные от имени и по поручению контролёра.

Компания обычно — контролёр данных; используемые ей облачный сервис или CRM-программа — обработчик данных.

Основные обязанности по комплаенсу

1. Обязанность информирования

Контролёр должен проинформировать субъекта данных о:

• Идентичности контролёра,
• Целях обработки,
• Кому могут передаваться данные,
• Способе и правовом основании сбора,
• Правах субъекта данных (доступ, удаление, исправление и т. п.).

Это информирование обычно публикуется на сайте как Уведомление о конфиденциальности или Политика конфиденциальности; представляется субъекту данных при подаче заявки, заключении договора или получении услуги.

2. Явное согласие

Для некоторых видов обработки должно быть получено явное согласие субъекта данных. Явное согласие:

• Должно касаться конкретного предмета,
• Должно основываться на информации,
• Должно быть свободно данным,
• Должно быть отзывным.

Информирование и явное согласие не следует путать. Информирование требуется в каждом случае; явное согласие запрашивается только для определённых операций.

3. Регистрация в VERBİS

Контролёры данных выше определённого размера должны зарегистрироваться в Информационной системе реестра контролёров данных (VERBİS). VERBİS — это публично доступный реестр, фиксирующий:

• Какие типы данных обрабатываются,
• Чьи данные обрабатываются,
• Для каких целей,
• В течение какого срока хранятся,
• С кем разделяются.

К контролёрам, обязанным регистрироваться, но не сделавшим этого, либо с неполными записями VERBİS применяются административные санкции.

4. Политика хранения и уничтожения персональных данных

Контролёры, обязанные регистрироваться в VERBİS, должны подготовить Политику хранения и уничтожения персональных данных. Эта политика:

• Содержит инвентаризацию персональных данных,
• Устанавливает, как долго хранятся какие данные,
• Показывает способ уничтожения или анонимизации по истечении срока,
• Описывает механизм периодического аудита.

5. Меры безопасности данных

Контролёры обязаны:

• Принимать административные и технические меры, предотвращающие несанкционированный доступ,
• Применять шифрование, контроль доступа, резервное копирование,
• Заключать соглашения о конфиденциальности с работниками,
• Создавать план реагирования на нарушения данных.

6. Уведомление о нарушении

При наступлении нарушения данных (кибератака, утечка и т. п.) контролёр:

• Должен уведомить Орган в кратчайший возможный срок,
• Должен проинформировать затронутых субъектов данных.

Позднее уведомление и позднее реагирование ведут к дополнительным санкциям.

7. Реагирование на обращения субъекта данных

Субъект данных имеет право:

• Узнать, обрабатываются ли его данные,
• Получить сведения об обрабатываемых данных,
• Требовать исправления или удаления,
• Возражать, если возникают неблагоприятные последствия от автоматизированного анализа.

Контролёр обязан отвечать на такие обращения в установленный срок.

Трансграничная передача данных

Трансграничная передача персональных данных, обрабатываемых в Турции, обычно подлежит ограничениям. Применяются механизмы: явное согласие субъекта, перечень стран, признанных Турецким органом защиты данных обеспечивающими адекватный уровень защиты, или обязательные корпоративные правила.

Передачи клиентских данных через облачные сервисы, почтовые сервисы или иностранным организациям подпадают под этот режим; несоблюдение влечёт значительные санкции.

Административные санкции

За нарушения KVKK Орган защиты данных уполномочен применять административные штрафы. Размеры штрафов зависят от:

• Типа нарушения,
• Числа затронутых лиц,
• Размера контролёра,
• Повторности —

и могут достигать серьёзных уровней. Опубликованные решения Органа доступны публично и создают репутационный ущерб.

Практические шаги по соответствию в компаниях

Типичный путь KVKK-комплаенса:

1. Создание инвентаризации данных — картирование всех потоков данных в компании.
2. Подготовка уведомлений о конфиденциальности и политик конфиденциальности.
3. Проектирование процессов явного согласия — в маркетинговом, кадровом, клиентском контекстах.
4. Подготовка политики хранения и уничтожения.
5. Завершение регистрации в VERBİS.
6. Обучение работников.
7. Обновление договоров — особенно положений KVKK в договорах с обработчиками (CRM, облака, IT-услуги).
8. Создание плана реагирования на нарушения.
9. Периодический аудит и обновления при необходимости.

Отраслевые особенности

Туристический бизнес

Гостиницы и турагентства обрабатывают большие объёмы персональных данных: паспортные сведения, декларации о здоровье, платёжные данные. Особенно важны трансграничная передача и хранение данных карт.

Здравоохранение

Данные пациентов относятся к специальным категориям; применяются более строгие правила.

Электронная коммерция

Политика cookie, аналитика пользователей и инструменты таргетированной рекламы требуют тщательной оценки по KVKK.

Недвижимость

Удостоверения личности клиентов, финансовые данные, документы по титулу требуют долгосрочного хранения.

Юридическая поддержка

Для бизнеса в Анталье, обеспечивающего соответствие KVKK, MONA HUKUK оказывает комплексное сопровождение от создания инвентаризации данных до регистрации в VERBİS, от подготовки уведомлений о конфиденциальности до обучения работников. С нашей экспертизой в IT-праве мы гарантируем соответствие вашей компании как законодательству, так и международным стандартам.

Свяжитесь с нами по адресу contact@monahukuk.com или по телефону +90 (242) 606 14 32, чтобы записаться на консультацию в Анталье.