个人数据处理与LPDP
围绕数字数据的法律环境多年来一直在稳定变化和发展。随着欧洲实施GDPR,这一变化的总体速度加快,并推动其他国家适应这一新的规则和监管体系。为跟上国际立法变化,土耳其也颁布了第6698号《个人数据保护法》(“LPDP”),并针对土耳其的个人数据处理施加了新的规则和义务(类似于第95/46/EC号指令)。关于LPDP条款概览,请参阅我们此前的文章“土耳其个人数据保护”。
LPDP的实施还意味着,控制和/或以其他方式处理个人数据的企业需要承担额外的合规要求和责任。然而,要全面遵守LPDP以及数据保护机构(DPA)的决定并非易事,因为企业需要实施各种措施,从起草与个人数据处理相关的新文件,到按照DPA要求采取额外的行政和技术措施。若要更好地理解LPDP及其潜在责任,请参阅我们此前的文章“土耳其数据保护”(也可在此处查阅)。
尽管这看起来可能较为复杂,但实现LPDP全面合规最重要的步骤之一,是充分理解企业、数据控制者和数据处理者在何时何地可以合法开展个人数据处理活动。据此,LPDP第5条列明了合法数据处理的8项原则(亦称一般条件):
合法个人数据处理的一般条件
如上图所示,LPDP允许在以下情况下处理个人数据:(i)数据主体给予明确同意;(ii)法律有明确规定;(iii)为保护数据控制者的合法利益所必需;(iv)为权利的设立、行使或保护所必须;(v)相关数据主体已将该数据公开;(vi)与合同的签署、履行和完成有关;(vii)在无法取得明确同意的情况下,为保护数据主体的生命和/或身体完整性所必需;或(viii)数据控制者为履行其法定义务所必须。
LPDP为数据处理提供多种法律依据的主要原因,是防止这些个人数据保护规则妨碍日常B2C商业活动。尤其是与合法利益、权利行使以及合同履行有关的依据,专门旨在使数据控制者/处理者能够处理履行其与客户之间签署的特定合同所需的客户数据。
然而,这并不意味着数据控制者/处理者可以在未进行必要核查和审查的情况下处理任何其希望处理的数据,因为上文所列某些条件彼此排斥,亦即如果某一法律依据适用于特定个人数据处理,则另一条件可能不能同时存在。
因此,这里需要注意的主要问题之一是,如果数据处理的合法性并非基于明确同意,而是基于上述其余7项条件之一,数据控制者应避免再取得额外同意。
取得保证性同意的问题
数据控制者和处理者最常见的错误之一,是即使已经满足一个或多个其他数据处理条件,仍试图从相关数据主体处取得同意。要求客户对履行合同所必需的个人数据另行给予同意,就是一个很好的例子。
这类同意被称为“保证性同意”,因为其通常是数据控制者为确保自身免受LPDP制裁而取得。然而,这些保证性同意弊大于利,因为DPA并不接受此类保证性同意条款,并明确表示,如果除同意以外的其他7项一般条件之一适用于个人数据处理,则数据控制者不应为该处理另行取得同意。
DPA认为,(保证性)同意条款会使数据主体相信其可以随时撤回同意,并因此要求数据控制者停止处理。然而,在适用其他7项条件之一的情况下,同意条款造成的这种错误印象会误导数据主体,因为即使数据主体撤回同意,数据控制者仍可以(且在某些情况下被要求)基于适用于相关数据的一项或多项其他7项一般条件继续处理该数据。
这些“保证性”同意甚至可能导致DPA采取行政措施并处以罚款,因为DPA将这类同意视为违反LPDP原则的行为[关于LPDP行政罚款的详细评述,请参阅我们此前的文章“如何对土耳其数据保护机构作出的行政罚款提出申诉”(也可在此处查阅)]。
因此,企业和数据控制者必须对其拟处理的个人数据进行全面评估,以准确判断上述7项条件(同意除外)中的一项或多项是否适用于该特定数据集。如果适用,则应避免向数据主体取得额外同意。相反,如果7项条件均不适用于该特定数据集,则需要取得明确同意方可合法处理该数据。
本译文仅供参考,可能与原文存在差异。
