Защита данных и конфиденциальность сотрудников в Турции

1) Какие существуют законодательные акты в Турции, регулирующие защиту персональных данных сотрудников, и как они соотносятся с международными стандартами?

В Турции защита персональных данных работников поверхностно регулируется Законом о труде № 4857 и Законом о защите персональных данных («KVKK» и «Закон»), который вступил в силу 7 апреля 2016 года. Этот закон соответствует принципам Общего регламента по защите данных Европейского Союза («GDPR»), но существует ряд различий в сфере применения и реализации.

Сравнение с международными стандартами:

1. Соответствие GDPR: KVKK во многих отношениях следует GDPR, включая права субъекта данных, принципы обработки данных и требование явного согласия. Однако GDPR в целом считается более всеобъемлющим и строгим, особенно в таких областях, как штрафы и условия для передачи данных за границу.

2. Различия в исполнении: Механизмы обеспечения соблюдения требований по KVKK менее надежны по сравнению с GDPR. В то время как GDPR предусматривает более высокие штрафы и более строгие механизмы надзора, исполнение KVKK подвергалось критике за менее строгий характер.

3. Сфера и охват: GDPR применяется ко всем компаниям, обрабатывающим персональные данные граждан ЕС, независимо от того, где находится компания. KVKK, с другой стороны, применяется к деятельности по обработке данных на территории Турции.

В целом, хотя KVKK обеспечивает солидную основу для защиты данных в Турции, он имеет некоторые отличия от GDPR и других международных стандартов, особенно в области обеспечения соблюдения требований и международной передачи данных. Передача персональных данных за пределы Турции регулируется более строго и затруднительна по сравнению с GDPR.

2) Какие типы персональных данных обычно защищаются трудовым законодательством?

Трудовой кодекс Турции конкретно не упоминает защищенные персональные данные работников. Однако в рамках KVKK защищается следующая информация о работниках: идентификационная информация, контактная информация, семейная информация, трудовая история, информация о здоровье, изображения и голосовые записи.

3) Как обеспечить соблюдение законодательства о защите персональных данных при передаче персональных данных сотрудников третьим лицам (например, подрядчикам, партнерам)?

Для обеспечения соблюдения турецкого законодательства о защите данных (KVKK) при передаче персональных данных работников третьим лицам (например, подрядчикам, партнерам) необходимо выполнить следующие действия:

• Получить согласие субъекта данных если это требуется в соответствии с KVKK;
• Заключить соглашения о передаче данных: подписать соглашения с третьими лицами, в которых определены их обязанности по обработке данных и обязательства по конфиденциальности;
• Обеспечить меры безопасности: проверить, что третьи лица применяют меры защиты данных;
• Провести должную проверку: оценить соответствие третьих лиц KVKK до и после передачи данных;
• Сообщить о нарушениях данных: обеспечить гарантию того, что третьи лица будут обязаны немедленно уведомить вас об утечке данных;
• Минимизировать передачу данных: передавать только необходимые данные и придерживаться принципа минимизации данных;
• Применять трансграничные гарантии: обеспечить наличие соответствующих правовых гарантий или получить согласие при передаче данных за пределы Турции;
• Вести всестороннюю документацию: вести подробную документацию обо всех передачах данных для демонстрации соблюдения KVKK.

Выполняя эти действия, передача персональных данных может осуществляться в соответствии с законом и безопасным образом.

4) В каком виде получается согласие на обработку персональных данных сотрудников?

KVKK не предусматривает какой-либо обязательной формы согласия соответствующего лица. Однако на практике, в связи с бременем доказывания, согласие получается в письменной форме, включая в виде электронного документа.

5) Какие персональные данные сотрудников не могут запрашиваться и обрабатываться со стороны работодателя?

Данные об расе, этническом происхождении, политических взглядах, философских убеждениях, религии или других убеждениях, внешности и одежде, членстве в ассоциациях, фондах или профсоюзах, здоровье, сексуальной жизни, судимостях и мерах безопасности, а также биометрические и генетические данные являются конфиденциальными персональными данными. Обработка конфиденциальных персональных данных запрещена, если иное не предусмотрено соответствующими законами.

6) Каковы последствия нарушения законодательства о защите персональных данных сотрудников?

KVKK налагает значительные административные штрафы за нарушения. В 2024 году штрафы могут измениться следующим образом:

• Невыполнение обязанности по раскрытию информации: 47.303 TL - 946.308 TL;
• Невыполнение обязательств в отношении безопасности данных: 141.934 TL - 9.463.213 TL;
• Невыполнение решений Совета по защите персональных данных: 236.557 TL - 9.463.213 TL;
• Нарушение обязательства по регистрации и уведомлению Регистра данных контроллеров: 189.245 TL - 9.463.213 TL.

Автор: Селин Челик