Das Gesetz zum Schutz der personenbezogenen Daten Nr. 6698 (Gesetz") wurde im April 2016 veröffentlicht und im Oktober desselben Jahres in Kraft getreten. Das Gesetz reguliert die Verpflichtungen von Auftragsverarbeiter und Datenverantwortlichen und verfolgt den Zweck, die Grundrechte und Freiheiten, insbesondere die Vertraulichkeit der Privatsphäre der natürlichen Personen im Datenverarbeitungsprozess zu schützen.

Das Gesetz definiert die personenbezogenen Daten als alle Informationen über bestimmte oder bestimmbare natürliche Personen. Die Verarbeitung von personenbezogener Daten umfasst alle Vorgangsreihen wie das Erheben, das Speichern, die Aufbewahrung, die Veränderung und die Weitergabe. Im Gesetz sind die natürlichen und juristischen Personen, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, als Datenverantwortlichen" definiert. Der Datenverantwortlicher kann eine andere natürliche oder juristische Person beauftragen, um die personenbezogenen Daten in seinem Namen zu verarbeiten. Diese Personen sind als Auftragsverarbeiter" definiert. Der Auftragsverarbeiter kann eine Person sein, die in einem Beschäftigungsverhältnis zum Datenverantwortlichen steht oder kann eine natürliche oder juristische Person sein, die eine solche Dienstleistung anbietet. In diesem Zusammenhang besteht eine Mithaftung zwischen dem Datenverantwortlichen und Auftragsverarbeiter.

Um personenbezogene Daten zu verarbeiten, soll der Datenverantwortlichen an erster Linie die entsprechende betroffene Person über den Zweck der Verarbeitung benachrichtigen und danach die ausdrückliche Einwilligung von der betroffenen Person einholen. Es gibt einige Ausnahmen für die ausdrückliche Einwilligungsregel. Zum Beispiel, es ist möglich, die personenbezogenen Daten ohne der ausdrücklichen Einwilligung der betroffenen Person zu verarbeiten, wenn die Verarbeitung (i) in den Gesetzen ausdrücklich vorgesehen ist, (ii) der personenbezogenen Daten von Vertragsparteien erforderlich ist, die eine direkte Beziehung mit dem Abschluss oder der Erfüllung eines Vertrags haben, (iii) zur Erfüllung einer rechtlichen Haftung vom Datenverantwortlichen erforderlich ist, (iv) zur Geltendmachung, Erfüllung oder Verteidigung von Rechtansprüchen erforderlich ist, oder (v) wenn die personenbezogenen Daten von der betroffenen Person selbst veröffentlicht wurden. Außerdem legt das Gesetz auch die Regeln für die Verarbeitung von speziellen Daten (z.B. Rasse, politische Gedanken usw.) fest, die im Gesetz beschränkt aufgezählt sind, und sieht einige Ausnahmen zur ausdrücklichen Einwilligungsregel für diese Daten vor. Aber auch in diesen Fällen bleibt die Aufklärungspflicht des Datenverantwortlicher bestehen.

Nach dem Gesetz sollen die personenbezogenen Daten, die vor dem Veröffentlichungsdatum des Gesetzes verarbeitet wurden, bis zum 7. April 2018 entsprechend dieses Gesetzes umgesetzt werden. In diesem Zusammenhang sind die Gesellschaften gerade in einem beschleunigten Umsetzungsprozess, da der Termin für die Umsetzung des Gesetzes annähert und die im Gesetz vorgesehene Sanktionen schwer sind. Im Rahmen des Umsetzungsprozesses des Gesetzes müssen die Datenverantwortlichen an erster Linie feststellen, wessen und welche Daten zu welchem Zweck sie verarbeiten und in dieser Hinsicht einen persönlichen Datenbestand erstellen. Die Angelegenheiten, die im Datenbestand aufgenommen werden sollen, sind im Gesetz vorgesehen (z.B. Datenverarbeitungstätigkeiten der Datenverantwortlichen, Verarbeitungszweck, maximale Verarbeitungszeit, die Daten, die zu fremden Ländern übertragen werden und Maßnahmen zur Verarbeitungssicherheit). Nach der Vorbereitung des Datenbestandes werden die Datenverantwortlichen festlegen, welche von verarbeiteten Daten die ausdrückliche Einwilligung des Betreffenden brauchen und danach folgend werden sie die ausdrückliche Einwilligung des Betreffenden einholen, nachdem sie die Aufklärungspflicht ausgeführt haben. Das Kommuniqué über Verfahren und Grundsätze bei der Erfüllung der Aufklärungspflicht, das am 10. März 2018 in Kraft getreten ist, bestimmt unter welchen Bedingungen die Aufklärungspflicht erfüllt werden kann. Aber die Gesetze enthalten keine Regulationen für die Form der ausdrücklichen Einwilligung. Im Rahmen des Umsetzungsprozesses sind die Datenverantwortlichen auch verpflichtet, eine Datenspeicherung und Vernichtungspolitik vorzubereiten und ihre vorher abgeschlossen Verträge überprüfen und mit den Datenschutzgesetzen in Einklang zu bringen. Zuletzt, alle Datenverantwortlichen (einschließlich der Datenverantwortlichen in Ländern außerhalb der Türkei) sind verpflichtet, zum Register der Datenverantwortlichen zu melden, der von der Datenschutzbehörde öffentlich geführt wird, außer einigen Ausnahmen, die im Gesetz und in der am 1. Januar 2018 in Kraft getretenen Verordnung über Register der Datenverantwortlichen vorgesehen sind. Da der Register ab heutigem Tag nicht aktiv ist, ist die Pflicht zur Meldung bei dem Register noch nicht angefangen, aber es wird jedoch erwartet, dass die Datenschutzbehörde eine Ankündigung über dieses Thema in näherer Zukunft machen wird.

Das Gesetz reguliert auch die auf die Verletzung der obengenannten Pflichten anwendbaren Sanktionen. Die Sanktionen umfassen Verwaltungsstrafen bis zu TRY 1,000,000 sowie Fälle von strafrechtlicher Haftung. In dieser Hinsicht ist es sehr wichtig für die Datenverantwortlichen den obengenannten Umsetzungsprozess so schnell wie möglich abzuschließen.

© Kolcuoğlu Demirkan Koçaklı Attorneys at Law 2017

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.