Am 7. April 2016 ist das türkische Datenschutzgesetz in Kraft getreten. Grundsätzlich können nach dem türkischen Datenschutzgesetz, wie auch nach dem GDPR personenbezogene Daten nicht ohne die ausdrückliche Zustimmung des Betroffenen verarbeitet werden. Doch damit ist es nicht getan. Nach dem türkischen Datenschutzgesetz besteht eine Registrierungspflicht für Datenverantwortliche beim Zentralen Datenregister (VERBIS). Danach muss jeder Datenverantwortliche ein Verzeichnis von Verarbeitungstätigkeiten, ähnlich dem des Art. 30 DSGVO erstellen und dieses beim zentralen Datenregister (VERBIS) hinterlegen. Die Deadline zur Erfüllung dieser Verpflichtung wurde mehrmals verlängert und ist nunmehr zum 31.12.2021 (!) endgültig abgelaufen. Der Verstoss gegen diese Pflicht wird von der türkischen Datenschutzbehörde mit Bußgeldern von bis zu 2 Millionen TL geahndet
AUCH AUSLÄNDISCHE UNTERNEHMEN HABEN DIE PFLICHT, DAS TÜRKISCHE DATENSCHUTZGESETZ ZU BEACHTEN!
Das türkische Datenschutzgesetz unterscheidet nicht danach, ob die verarbeitende Person im Inland oder im Ausland ansässig ist. Für das Erfordernis der Compliance mit dem türkischen Datenschutzgesetz reicht es bereits aus, dass Daten von Personen verarbeitet werden, die in der Türkei ansässig sind oder diese Personen die türkische Staatsangehörigkeit haben.
Folglich sind auch:
- Juristische Personen, die im Ausland ansässig sind und in der Türkei Daten erheben,
- Türkische Niederlassungen der im Ausland ansässigen juristischen Personen,
- Muttergesellschaften von Verbindungsbüros mit Sitz in der Türkei
Verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen und sich beim Zentralen Datenregister (VERBİS) zu registrieren.
WAS VERSTEHT MAN UNTER VERARBEITUNG SIND DIE PERSONENBEZOGENEN DATEN IM SINNE DES TÜRKISCHEN DATENSCHUTZGESETZES?
Parallel zur Datenschutz-Grundverordnung (DSGVO) versteht man im Rahmen des türkischen Datenschutzgesetzes unter „Verarbeitung“:
jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
Demnach werden personenbezogene Daten beispielsweise durch:
Aufzeichnungen von Stimme oder Bild einer Person (z.B. zur Überwachung von einem Arbeitsplatz)
- Abrufungen von Telefonnummer, E-Mail-Adresse oder IP-Adressen
- Überprüfung oder Verarbeitung von Informationen, aus denen die Kreditwürdigkeit der Person hervorgeht
- Übertragung von Informationen auf andere Behörden und/oder Verwendung für die Bereitstellung neuer Dienste,
verarbeitet.
WAS SIND DIE ALLGEMEINEN PFLICHTEN NACH DEM TÜRKISCHEN DATENSCHUTZGESETZ?
Ähnlich der Datenschutz-Grundverordnung (DSGVO) dürfen Personenbezogene Daten nur in Übereinstimmung mit den in den Gesetzen festgelegten Verfahren und Grundsätzen verarbeitet werden. Darüber hinaus sind folgende Grundsätze einzuhalten:
a) Rechtmäßigkeit und Übereinstimmung mit den Regeln von Treu und Glauben
b) Genauigkeit und Aktualität, falls erforderlich
c) Verarbeitung zu bestimmten, eindeutigen und rechtmäßigen Zwecken
d) Relevant, beschränkt und verhältnismäßig für die Zwecke, für die sie verarbeitet werden.
e) Aufbewahrung für den Zeitraum, der durch die einschlägigen Rechtsvorschriften oder den Zweck, für den sie verarbeitet werden, vorgeschrieben ist.
WAS SIND DIE SPEZIFISCHEN PFLICHTEN DER DATENVERANTWORTLICHEN IN DER TÜRKEI NACH DEM TÜRKISCHEN DATENSCHUTZGESETZ?
Neben der Pflicht zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten und der Registrierung beim zentralen Datenregister (VERBİS), bestehen folgende Verpflichtungen von Datenverantwortlichen nach dem türkischen Datenschutzgesetz mit entsprechender Ahnung mit Bußgeldern bei Verstoß:
- Einholung der ausdrücklichen Zustimmung zur Verarbeitung und Übermittlung personenbezogener Daten,
- Information der betroffenen Personen,
- Gewährleistung der Datensicherheit
- Erstellung der Richtlinie zur Löschung, Vernichtung und Anonymisierung
- Erstellung einer Sicherheitsrichtlinie für besondere personenbezogene Daten
UNSERE RECHTSANWÄLTE BERATEN SIE ZU ALLEN FRAGEN DES DATENSCHUTZRECHTES, INSBESONDERE BEI:
- Der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten,
- Der Registrierung beim zentralen Datenregister (VERBIS)
- Bei der Erstellung von Datenschutzerklärungen, z.B. für Webseiten, Social Media-Plugins (Facebook etc.)
- Bei der Datenschutzrechtlichen Compliance
- Bei Datenschutz im Personalwesen und Arbeitsrecht (Mitarbeiterdatenschutz, Arbeitnehmerdatenschutz)
- Bei Schutz vor Abmahnungen und einstweiligen Verfügungen
- Bei der Vertretung in Bußgeldverfahren und Strafverfahren