土耳其个人数据保护

事实核查——LPDP是否适用于您的业务？

LPDP适用性方面的主要问题之一，是公司、股东和/或个人错误解释了立法中所列的术语。最常见的误解涉及“数据处理”和“数据控制者”这两个术语，因为许多公司代表错误地认为数据存储和数据处理是两个不同概念，并认为既然其只是存储个人数据，就不能被视为数据控制者，这进而导致公司不就LPDP和个人数据保护合规采取任何行动。

因此，股东和公司代表充分理解个人数据、数据处理、数据控制者和数据处理者这些概念/术语至关重要，以便准确判断哪些LPDP/个人数据保护条款适用于其自身。

a. 个人数据在LPDP中被作出非常宽泛的定义。根据该定义，个人数据是指“属于身份已被或能够被识别的自然人的全部信息”。在这一宽泛定义下，任何可能使数据持有人识别特定个人的全部信息，均应被视为个人数据。这些信息可能包括身份证明详情、姓名、姓氏、出生日期、电话号码、简历、照片、收入、支出偏好、地址、子女人数、电子邮件和IP地址、爱好、位置信息等。因此，一般规则是，如果任何信息片段能够识别某一特定个人，该信息即被视为个人数据。

b. 个人数据处理在LPDP中进一步定义为“以完全或部分自动化方式，或在该过程属于任何数据登记系统一部分的前提下以非自动化方式，对个人数据进行的任何操作，例如收集、记录、存储、保存、变更、重新组织、披露、传输、接收、使其可被检索、分类或阻止其使用”。因此，即使仅仅存储上述任何个人数据，也将被视为处理行为，即便相关数据控制者并未以任何有意义或有影响的方式使用该数据。

c. 数据控制者被定义为“决定个人数据处理目的和方式，并负责建立和管理数据登记系统的自然人或法人”。举例而言，如果您的公司以实物介质、服务器中的数字形式或通过第三方服务提供商处理任何个人数据，例如客户的电子邮件地址、电话号码、家庭地址、姓名、姓氏或出生日期，那么根据LPDP，您的公司应被视为数据控制者，并且您需要遵守个人数据保护规则。

d. 数据处理者 被定义为“根据控制者授权，代表控制者处理个人数据的自然人或法人”。在这一语境下，例如，如果您公司的财务和纳税申报由第三方会计人员处理，无论其为自然人还是第三方公司，该第三方会计人员在处理这些会计文件（例如可能包含个人数据的发票）时，应被视为数据处理者。

e. 数据登记系统被定义为“按照特定标准结构化后登记个人数据的登记系统”。因此，所有设计用于存储或以其他方式处理数据的系统均应被视为数据登记系统。

LPDP要求与潜在责任

如上所述，任何可被归类为个人数据控制者和/或个人数据处理者的个人和/或法人实体，在处理个人数据时均需遵守LPDP规定的规则。这些术语统称为数据处理的一般条件，并在另一篇文章中进行了详细分析。据此，在遵循这些一般条件的情况下进行的大多数数据处理，只要个人数据控制者/处理者完全遵守LPDP及其次级法规，便将被视为合规。

相反，未遵守LPDP规定的规则和条件，可能导致个人数据控制者/处理者受到若干限制和罚款。这些后果可能从限制性措施到最高TRY 1.000.000.-的行政罚款不等（根据违法行为的不同，还可能适用更高罚款）。

行政罚款的确定由个人数据保护机构（DPA）酌定，因为LPPD第18条仅规定了可作出行政罚款的下限和上限。据此，根据LPDP第22条，DPA有权对违反LPPD所规定义务者施加行政制裁。

DPA这种广泛的酌处权在过去针对不同数据控制者/处理者采取的某些行政措施中引发了一些问题，因为有人主张，DPA在未提供正当理由的情况下按上限作出处罚，滥用了其权限（部分主体甚至就被处以的罚款提起诉讼）。为更好理解LPDP作出的行政罚款相关问题，请参阅我们此前题为“对土耳其数据保护机构作出的行政罚款提出申诉”的文章（也可在此处查阅）。

结论

公平地说，规范数据处理的规则和法规可能显得复杂，尤其是对于试图在土耳其市场运营的外国实体而言。混淆的主要来源当然是LPDP文本本身，以及数据控制者和数据处理者在实施新的内部数据处理规则时还需要考虑DPA决定这一事实；而这对外国人而言可能具有挑战性，因为DPA决定通常不以土耳其语以外的任何语言提供。

此外，该个人数据保护立法仍相当新，因此主要随着新的DPA决定和罚款而持续发展和变化。这种合规机制的演变性质也带来了重大挑战和问题，如果数据控制者/处理者选择使用标准化法律文本以确保遵守这些规则，问题尤为明显，因为这些标准化文本通常严重过时，并包含错误或在某些情况下明显不足的措辞和机制。

因此，数据控制者和/或数据处理者必须咨询专家，确保其个人数据保护合规机制得到妥善实施，从而避免未来产生任何不必要且可避免的罚款。

本译文仅供参考，可能与原文存在差异。