- القانون الجنائي
- قانون الأجانب والقانون الدولي
- قانون التأمين
- قانون العمل والضمان الاجتماعي
- قانون الأسرة
- قانون التجارة والشركات
- القانون الضريبي
- قانون التنفيذ والإفلاس
- القانون الإداري
- قانون العقارات
- قانون المعلومات وحماية البيانات الشخصية (KVKK)
- قانون الملكية الفكرية والصناعية
- قانون الميراث
- قانون المستهلك
في العالم الرقمي، أصبحت البيانات واحدة من أغلى الأصول للشركات. تتم معالجة المئات من البيانات الشخصية يومياً، من معلومات العملاء إلى سجلات الموظفين. قانون حماية البيانات الشخصية رقم 6698 (KVKK) هو القانون الأساسي الذي ينظم كيفية معالجة هذه الأصول القيمة وتخزينها وحمايتها. الامتثال لـ KVKK ليس مجرد التزام قانوني، بل هو أيضاً ضرورة لبناء الشفافية والثقة مع العملاء وشركاء العمل. يعرض عدم الامتثال الشركات لغرامات إدارية جسيمة وخطر فقدان السمعة. إليك التزامات KVKK الأساسية التي يجب على كل شركة معرفتها وتطبيقها.
1. اعرف مسؤولياتك كـ “مسؤول بيانات”
يُطلق على الأشخاص الحقيقيين أو الاعتباريين الذين يحددون أهداف ووسائل معالجة البيانات الشخصية والمسؤولين عن إنشاء وإدارة نظام تسجيل البيانات اسم “مسؤول البيانات” (Veri Sorumlusu). بعبارة أخرى، إذا كنت تعالج بيانات عملائك أو موظفيك، فإن شركتك هي مسؤول بيانات، وجميع الالتزامات بموجب KVKK تلزمك.
2. الوفاء بـ “التزام التوضيح” (نص التوضيح)
يجب أن تكون شفافاً تجاه كل شخص تعالج بياناته الشخصية (عميل، موظف، زائر للموقع الإلكتروني، إلخ). بمجرد البدء في جمع البيانات، يجب عليك تقديم معلومات عبر “نص توضيح” (Aydınlatma Metni) يسهل الوصول إليه حول القضايا التالية:
-
هوية مسؤول البيانات (شركتك).
-
الغرض من معالجة البيانات الشخصية.
-
لمن ولأي غرض يمكن نقل البيانات.
-
طريقة وسبب جمع البيانات القانوني.
-
الحقوق التي يمتلكها صاحب البيانات (طلب المعلومات، حذف البيانات، تصحيحها، إلخ).
3. الحصول على “الموافقة الصريحة” عند الضرورة
إذا لم يتوفر أحد الأسباب المشروعة المذكورة في القانون لمعالجة البيانات (تأسيس عقد، التزام قانوني، إلخ)، يجب عليك الحصول على “موافقة صريحة” (Açık Rıza) من صاحب البيانات. الموافقة الصريحة إلزامية بشكل خاص لإرسال رسائل SMS / بريد إلكتروني لأغراض التسويق، أو برامج بطاقات الولاء، أو معالجة البيانات الشخصية ذات الطابع الخاص (الصحة، عضوية الجمعيات، إلخ). الموافقة الصريحة هي موافقة تتعلق بموضوع معين، وتستند إلى المعلومات، ويتم الإعلان عنها بإرادة حرة. لا يمكن إخفاؤها داخل عقود أخرى.
4. اتخاذ تدابير لضمان أمن البيانات
يفرض KVKK التزاماً على مسؤولي البيانات باتخاذ جميع التدابير الفنية والإدارية اللازمة لحماية البيانات التي يعالجونها.
-
التدابير الفنية: أنظمة مكافحة الفيروسات، والجدران النارية، وبرامج منع فقدان البيانات، والتشفير، واختبارات الاختراق، ومصفوفات صلاحيات الوصول.
-
التدابير الإدارية: إنشاء سياسات الامتثال لـ KVKK، وتوفير تدريب منتظم للموظفين، وتوقيع اتفاقيات السرية، وإعداد قوائم جرد معالجة البيانات.
5. التسجيل في نظام VERBIS
VERBIS (نظام معلومات سجل مسؤولي البيانات) هو نظام يسجل فيه مسؤولو البيانات بشكل علني. الشركات التي يزيد عدد موظفيها السنوي عن 50 موظفاً أو يبلغ مجموع ميزانيتها المالية السنوية أكثر من 100 مليون ليرة تركية (قد تتغير هذه الحدود) أو الشركات التي يتمثل نشاطها الرئيسي في معالجة بيانات شخصية ذات طابع خاص (المستشفيات، شركات التأمين، إلخ) ملزمة بالتسجيل في VERBIS.
6. إنشاء سياسة الاحتفاظ بالبيانات وإتلافها
لا يمكن الاحتفاظ بالبيانات الشخصية إلى الأبد. يجب الاحتفاظ بالبيانات لأقصى فترة ضرورية للغرض الذي تمت معالجتها من أجله، وفي نهاية هذه الفترة، يجب حذفها أو إتلافها أو جعلها مجهولة الهوية بشكل آمن. الشركات ملزمة بإنشاء “سياسة تخزين وإتلاف البيانات” لإدارة هذه العمليات.
7. الإبلاغ عن انتهاكات البيانات
إذا حدث انتهاك للبيانات (هجوم إلكتروني، تسرب بيانات، إلخ) على الرغم من جميع الاحتياطات، يجب عليك إخطار هيئة حماية البيانات الشخصية في غضون 72 ساعة كحد أقصى من لحظة علمك بالوضع. بالإضافة إلى ذلك، يجب عليك إخطار الأشخاص المتضررين من الانتهاك مباشرة في أقرب وقت معقول.
الخاتمة الامتثال لـ KVKK هو مسؤولية مستمرة يجب تحويلها إلى ثقافة شركة بدلاً من كونها مشروعاً لمرة واحدة. العقوبات الجنائية لعدم الامتثال للالتزامات ثقيلة للغاية. إن الحصول على استشارة من محامٍ متخصص في KVKK وقانون المعلوماتية لتحليل الوضع الحالي لشركتك، وإزالة النواقص، وتقليل المخاطر القانونية هو أحد أفضل الاستثمارات التي ستقوم بها لمستقبل عملك.
