special category personal data turkey
2024年3月12日第32487号《官方公报》公布的第7499号法律,对第6698号《个人数据保护法》(“法律”)作出修订。2025年2月,个人数据保护局(“主管机关”)在其网站发布《特殊类别个人数据处理指南》(“指南”)。本文围绕特殊类别个人数据说明当前法律框架。
1. 引言
根据法律,特殊类别个人数据包括个人的种族、民族出身、政治观点、哲学信仰、宗教、教派或其他信念、外貌和着装、协会、基金会或工会成员身份、健康、性生活、刑事定罪和安全措施,以及生物识别和遗传数据。
修订前,处理特殊类别个人数据原则上须取得数据主体的明示同意。关于未取得明示同意处理此类数据,法律此前在“与健康和性生活有关的数据”与“其他特殊类别个人数据”之间作出区分。根据该区分:
- 其他特殊类别个人数据:只有法律明确规定时,方可在未取得明示同意的情况下处理。
- 与健康和性生活有关的数据:只有在保护公共健康、预防医学、医学诊断、治疗和护理服务,以及医疗服务和融资的规划与管理等目的下,并且仅由负有保密义务的人员或机构处理时,方可在未取得明示同意的情况下处理。
在此前规定下,健康数据几乎只能由社会保障机构、卫生部和医疗机构处理。这在保险、职业健康安全和社会服务等行业需要处理健康数据时引发了诸多实践问题。事实上,该规定限制了公共机构、私营部门主体和非政府组织的某些活动,使其无法履行部分法定义务。因此,修订旨在解决这些实践问题并回应现实需求。
2. 当前情况
随着近期修订,“与健康和性生活有关的数据”与“其他特殊类别个人数据”之间的区分已被取消。因此,与健康和性生活有关的数据不再适用不同于其他特殊类别个人数据的处理法律依据。此外,处理条件已被修订为统一适用于所有特殊类别个人数据,并新增了若干法律依据。
根据新规定,特殊类别个人数据可在以下条件下处理:
a) 数据主体明示同意:如果数据主体作出明示同意,其特殊类别个人数据仍可基于该同意处理。明示同意与下列其他法律依据之间不存在层级差异。不过,应注意明示同意仍必须符合法律确立的一般原则。
b) 法律明确规定:如法律明确规定,特殊类别个人数据可在未取得数据主体明示同意的情况下处理。例如,根据第2559号《警察职责与权限法》第5条,申请驾驶证或护照的个人可被采集指纹数据。指南明确指出,在法律明确授权处理特殊类别个人数据的基础上发布的规章、公告、通函等规范,也将纳入这一法律依据。
c) 实际不能:如数据主体因实际不能或障碍无法作出同意,或其同意在法律上无效,并且为保护数据主体或他人的生命或身体完整性所必需,则可在未取得同意的情况下处理特殊类别个人数据。该法律依据的例子包括:在个人昏迷的紧急医疗情况下,处理其血型和既往疾病信息。
d) 数据主体公开披露的数据:如果数据主体已公开其特殊类别个人数据,在处理符合数据主体意图的前提下,可在未取得同意的情况下处理该等数据。例如,个人为应急目的公开分享其血型和过敏信息,则该等数据可用于该目的。需要强调的是,仅凭数据主体公开其特殊类别个人数据这一事实本身并不足够;数据控制者在处理这些数据时,必须符合数据主体公开披露时的意图或目的。
e) 确立、行使或保护法律权利:如为确立、行使或保护某项法律权利所必需,特殊类别个人数据可在未取得同意的情况下处理。例如,雇主可保留离职员工的健康数据,以应对劳动合同终止后的潜在法律争议。
类似地,在律师无法以其他方式主张客户权利的情况下,将依法取得的特殊类别个人数据作为案卷的一部分提交法院,可被视为合法处理依据。再如,如果为了支付工资而必须处理与员工配偶和子女有关的残疾或健康信息等特殊类别个人数据,雇主处理该等数据亦可纳入本范围。
f) 医疗服务及类似必要性:负有保密义务的人员或授权机构、组织,如为保护公共健康、预防医学、医学诊断、治疗和护理服务,以及医疗服务的规划、管理和融资所必要,可在未取得明示同意的情况下继续处理特殊类别个人数据。
卫生部、各类医疗机构和社会保障机构,就其为特定目的收集的数据,均被视为属于本范围。指南指出,“授权机构和组织”不仅包括公共机构和组织,也包括提供医疗服务的个人和私法法人。“负有保密义务的人员”包括所有医疗专业人员,也包括虽非医疗专业人员但参与提供医疗服务的人士。
g) 遵守与雇佣相关的法律义务:如为履行雇佣、职业健康安全、社会保障、社会服务和社会援助领域的法律义务所必需,特殊类别个人数据可在未取得数据主体明示同意的情况下处理。
该法律依据的例子包括:雇主为履行第4857号《劳动法》第30条下雇佣残疾人或有定罪记录人员的义务而处理健康或刑事定罪数据;为集体劳动协议要求的健康检查而处理健康数据(第6356号《工会和集体劳动协议法》第36(1)条);以及为驾驶员(《道路运输条例》第34条)和安保人员(第5188号《私人安保服务法》第10条)处理刑事定罪和健康数据。
h) 基金会、协会和非营利组织成员身份:为政治、哲学、宗教或工会目的设立的基金会、协会和非营利组织,可在不取得明示同意的情况下处理其现任或前任成员,以及与其保持定期联系人员的特殊类别个人数据,但前提是处理符合其法律框架和宗旨,限于其活动范围,且不向第三方披露。
例如,处理现任成员、前任成员以及通过捐赠等方式与组织保持定期联系人员的信息,将被视为属于本范围。类似地,工会只能在其活动范围和宗旨内处理与工会成员身份相关的数据。但如果与活动范围和宗旨无关,则不得处理工会成员的健康或宗教相关个人数据。
上述部分法律依据包含“必要”或“必需”等表述。根据指南:
- “必要”一词表示,数据处理活动必须基于客观证据,逐案论证使用个人数据的正当性。这也意味着,被处理数据与所主张的合法目的之间必须存在联系,并符合与处理目的相关、有限且相称的原则。
- “必需”并不依赖主观评估,而是指公共和社会条件要求处理特殊类别个人数据的情形。在此类处理活动中,不得存在处理特殊类别个人数据的替代方法,处理活动在特定目的范围内必须不可避免。
因此,在基于任何上述法律依据开始处理特殊类别个人数据之前,应进行充分评估,以确定是否满足这些标准。
3. 结论
修订后,处理特殊类别个人数据的数据控制者必须修订基于明示同意的流程,更新个人数据处理清单、告知文本以及保存和销毁政策。
采取“充分措施”的要求保持不变。特殊类别个人数据仍须按照个人数据保护委员会2018年1月31日第2018/10号关于数据控制者处理特殊类别个人数据时应采取充分措施的决定进行处理。如尚未实施充分措施,组织必须尽快确保合规。
此外,处理遗传数据和/或生物识别数据的数据控制者,还必须考虑《遗传数据处理指南》和《生物识别数据处理注意事项指南》中列明的原则。
注:本译文仅为便利阅读而提供,可能与原文存在细微差异。
