Актуальный анализ в рамках Закона № 6698 «О защите персональных данных»
Введение
С ростом цифровизации защита персональных данных стала одной из приоритетных задач как для частных лиц, так и для компаний.
Закон о защите персональных данных № 6698, сокращенно KVKK, является основным законодательным актом в этой сфере и распространяется на всех физических и юридических лиц, осуществляющих обработку данных в Турции.
В частности, для компаний соблюдение Закона о защите персональных данных (KVKK) уже является не только юридическим обязательством, но и проявлением корпоративной ответственности, а также имеет огромное значение с точки зрения доверия к организации.
Кто несет ответственность за соблюдение Закона о защите персональных данных?
В соответствии с Законом № 6698 о защите персональных данных любое физическое или юридическое лицо, осуществляющее обработку персональных данных, считается контролером данных.
То есть, будь вы холдингом или небольшой компанией, если вы обрабатываете персональные данные ваших клиентов, сотрудников или деловых партнеров, вы обязаны соблюдать требования этого закона.
Обработка персональных данных включает в себя любые операции и действия, такие как сбор, запись, хранение, изменение, передача, классификация или удаление данных, относящихся к физическому лицу.
«Эти операции могут выполняться вручную или автоматически и, независимо от того, хранятся ли данные на физическом или цифровом носителе, с юридической точки зрения рассматриваются как «обработка».
Например;
- Регистрация фамилий, имен и номеров удостоверений личности граждан Турции сотрудников завода,
- Сбор данных о посетителях в письменной форме,
- хранение записей с камер,
считается обработкой персональных данных.
Основные обязательства компаний в соответствии с Законом о защите персональных данных
1. Обязанность по информированию (ст. 10 Закона о защите персональных данных)
Контролеры данных обязаны в ходе обработки персональных данных предоставлять заинтересованным лицам:
- Какие данные вы собираете,
- с какой целью обрабатывает данные,
- с кем вы делитесь данными,
- На каком правовом основании осуществляется обработка данных
обязан сообщать об этом в ясной и понятной форме.
В случае невыполнения данного обязательства налагается административный штраф.
В частности, в таких секторах, как торговля, здравоохранение, образование и консалтинг, подготовка информационных материалов и их представление заинтересованным лицам имеет решающее значение.
2. Обязательства по обеспечению безопасности данных
Компании обязаны обеспечить, чтобы обрабатываемые ими персональные данные:
- Несанкционированный доступ,
- Потере данных,
- Он несет ответственность за обеспечение защиты с помощью технических и административных мер от утечки или неправомерного использования.
В связи с этим:
- Personel eğitimi,
- Антивирусные системы,
- Безопасные серверы,
- Контроль доступа,
- Шифрование
необходимо принять такие меры.
«Хотя в этом смысле защита персональных данных подлежит контролю со стороны комиссии, она может повлечь за собой серьезные административные штрафы и даже уголовное преследование».
3. Обязательность регистрации в системе VERBİS
VERBİS — это система, известная как Реестр контролеров данных, в которой контролеры данных обязаны регистрироваться и где ведется учет информации, касающейся деятельности по обработке данных.
Регистрация в системе VERBİS является обязательной для следующих предприятий:
- Предприятия, в которых ежегодно работает более 50 человек,
- Предприятия, годовой финансовый баланс которых превышает 100 миллионов турецких лир,
- Ответственные лица — физические и юридические лица, проживающие за рубежом,
- Предприятия, основной деятельностью которых является обработка персональных данных особого характера
(без учета критериев численности персонала и финансового баланса)
К предприятиям, не выполняющим обязательства по системе VERBİS, налагаются административные штрафы.
Кроме того, невнесение обновлений в эту информацию или внесение неверных данных также влечет за собой санкции.
4. Обязанность соблюдать решения Совета
Решения, принятые Советом по защите персональных данных, являются обязательными для всех контролеров данных.
Несоблюдение этих решений влечет за собой дополнительную уголовную ответственность для соответствующей компании.
Например, к компаниям, рассылающим SMS-сообщения в маркетинговых целях без получения явного согласия, в рамках данной меры применяются штрафные санкции.
Актуальные размеры административных штрафов на 2025 год
Коэффициент переоценки, установленный на 2025 год, был объявлен на уровне 43,93 %.
В связи с этим увеличением штрафы, налагаемые в соответствии с Законом о защите персональных данных, были обновлены следующим образом:
| Тип нарушения | Диапазон наказаний |
|---|---|
| Обязанность по предоставлению информации | 68 083 – 1 362 021 турецких лир |
| Необеспечение безопасности данных | 204 285 – 13 620 402 турецких лир |
| Действия, противоречащие решениям Совета | 340 476 – 13 620 402 турецких лир |
| Отсутствие регистрации в системе VERBİS | 272 380 – 13 620 402 турецких лир |
«Эти штрафы ежегодно увеличиваются, что может иметь разрушительные финансовые последствия для многих малых и средних предприятий».
Что должны делать компании?
Для обеспечения соответствия требованиям Закона о защите персональных данных компаниям необходимо предпринять следующие основные шаги:
- Составьте перечень данных:
Определите, какие виды персональных данных вы обрабатываете и для каких целей их используете. - Подготовьте текст уведомления и документы о согласии.
- Проверьте, подпадаете ли вы под обязательства VERBİS, и зарегистрируйтесь.
- Проведите для своих сотрудников обучение по вопросам Закона о защите персональных данных.
- Примите меры по обеспечению кибербезопасности.
- Опубликуйте свою политику конфиденциальности на своем веб-сайте.
- Своевременно обращайтесь за консультационной поддержкой, чтобы свести юридические риски к минимуму.
Вывод: адаптация — это уже не роскошь, а необходимость
Соблюдение требований Закона о защите персональных данных имеет огромное значение не только для избежания штрафов, но и для поддержания доверия клиентов, укрепления репутации и минимизации правовых рисков.
«Независимо от размера — будь то малые или крупные предприятия — все компании обязаны действовать с осознанием своей ответственности за данные в соответствии с законодательством».
С уважением,
Адвокат Идил Зейнеп Яглыджа
