Vergleich des Datenschutzgesetzes (wird als „KVKK“ bezeichnet) und der Datenschutz-Grundverordnung (wird als „DSGVO“ bezeichnet)
INDEX
I.Umfang
II.Vergleich
a. Aufzeichnungspflicht des Verantwortlichen und des Auftragsverarbeiters
b. Datenschutzbeauftragter
c. Datenschutz-Folgenabschätzung
d. Schutzmaßnahmen für Kinder
e. Datenschutzerklärung
f. Richtlinien zur Datenaufbewahrung
III.Öffentliche Bekanntmachung vom 08.11.2019
IV. Schlussfolgerung
I.Umfang
Da der räumliche Geltungsbereich der KVKK mangels einer entsprechenden Bestimmung aus ihrem Text nicht ersichtlich ist, ist nicht klar, ob betroffene Personen oder Verantwortliche oder Auftragsverarbeiter, die nicht in der Türkei ansässig sind, der KVKK unterliegen. Die DSGVO ist jedoch für eine weltweite Anwendung geeignet, da der Artikel vorsieht, dass alle Verantwortlichen und Auftragsverarbeiter, die den betroffenen Personen in der EU Waren oder Dienstleistungen anbieten oder deren Verhalten in der EU überwachen, unabhängig von ihrem Standort der DSGVO unterliegen wenn sie im Rahmen dieser Tätigkeiten personenbezogene Daten dieser betroffenen Personen verarbeiten. Im Rahmen dieser Tätigkeiten verarbeiten sie die personenbezogenen Daten dieser Dateneigentümer
Im Übrigen gilt die Verordnung auch dann, wenn ein Verantwortlicher oder ein Auftragsverarbeiter eine Niederlassung in der Europäischen Union hat und personenbezogene Daten im Rahmen der Tätigkeit dieser Niederlassung verarbeitet, unabhängig davon, wo die Verarbeitung stattfindet. Es ist jedoch wichtig, sich daran zu erinnern, dass KVKK auf alle nach türkischem Recht gegründeten Unternehmen und alle juristischen Personen angewendet wird, die personenbezogene Daten innerhalb der türkischen Grenzen verarbeiten.
II. VERGLEICH
a. Allgemeine Grundsätze
KVKK · Rechtmäßigkeit und Fairness · Korrekt sein und bei Bedarf auf dem neuesten Stand gehalten werden. · Verarbeitung zu bestimmten, eindeutigen und legitimen Zwecken. · Relevant, begrenzt und verhältnismäßig für die Zwecke, für die sie verarbeitet werden. · Aufbewahrung für die von den einschlägigen Rechtsvorschriften vorgeschriebene Dauer oder die für den Zweck, für den die personenbezogenen Daten verarbeitet werden, erforderliche Dauer. | DSGVO Rechtmäßigkeit, Fairness und Transparenz · Zweckbeschränkung · Datenminimierung · Genauigkeit · Integrität und Vertraulichkeit · Speicherbeschränkung · Rechenschaftspflicht
|
|
|
b. BEDINGUNGEN FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN
KVKK |
DSGVO |
· Es ist ausdrücklich in den Gesetzen vorgesehen, · Es ist zum Schutz des Lebens oder der körperlichen Unversehrtheit der Person selbst oder einer anderen Person erforderlich, die ihre Einwilligung aufgrund der körperlichen Behinderung nicht erklären kann oder deren Einwilligung nicht rechtswirksam ist. · Die Verarbeitung personenbezogener Daten der Vertragsparteien ist erforderlich, sofern diese in direktem Zusammenhang mit der Begründung oder Durchführung des Vertrags stehen. · es zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt, · Personenbezogene Daten wurden von der betroffenen Person selbst öffentlich gemacht. · Die Datenverarbeitung ist für die Geltendmachung, Ausübung oder den Schutz eines Rechts erforderlich, · Die Verarbeitung von Daten ist für die berechtigten Interessen des Verantwortlichen erforderlich, sofern diese Verarbeitung nicht die Grundrechte und Grundfreiheiten der betroffenen Person verletzt.
| · Die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke zugestimmt; · die Verarbeitung zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person erforderlich ist, · Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; · Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; · die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; · Die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich, es sei denn, die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen diese Interessen, sofern die betroffene Person ist ein Kind.
|
Auch wenn die oben erwähnten Unterschiede zwischen diesen beiden Gesetzen bezüglich der allgemeinen Grundsätze und Bedingungen für die Verarbeitung von Daten scheinbar sehr gering sind, legen die im Abschnitt „Weiterführende Literatur“ aufgeführten Kommuniques und Verordnungen umfangreiche Verpflichtungen fest, die in späteren Unterabsätzen erläutert werden.
C. RECORD-KEEPING DUTY OF THE CONTROLLER AND PROCESSOR
Ein weiterer zu berücksichtigender Punkt ist der Abgleich zwischen dem nationalen Datenregister, das allgemeine Informationen über die Verantwortlichen sowie deren Datenverarbeitungstätigkeiten nach KVKK enthält, und den Aufzeichnungspflichten des Verantwortlichen und des Auftragsverarbeiters nach der DSGVO.
Verantwortliche, die 250 oder mehr Personen beschäftigen, müssen gemäß der DSGVO ein detailliertes Verzeichnis ihrer Verarbeitungstätigkeiten führen und diese Aufzeichnungen jederzeit zur weiteren Einsichtnahme durch die zuständige Aufsichtsbehörde bereithalten, wenn die Verarbeitung nicht gelegentlich erfolgt oder personenbezogene Daten oder personenbezogene Kategorien umfasst.
Nach der KVKK müssen sich die Verantwortlichen, die die festgelegten Bedingungen erfüllen (50 oder mehr Mitarbeiter, ein bestimmter Betrag des Unternehmensvermögens usw.), sich bei einem nationalen Datenregister registrieren und ein ähnliches detailliertes Verzeichnis führen, in dem alle Aktivitäten zur Verarbeitung personenbezogener Daten aufgeführt sind , und sie sind auch erforderlich, um alle Änderungen zu aktualisieren.
D. DATENSCHUTZBEAUFTRAGTER
Anders als bei der KVKK legt Artikel 37 der DSGVO fest, dass Verantwortliche und Auftragsverarbeiter einen Datenschutzbeauftragten benennen müssen, wenn die Verarbeitung durch eine Behörde oder Einrichtung erfolgt, mit Ausnahme von Gerichten, die in ihrer gerichtlichen Eigenschaft tätig sind; oder ihre Kerntätigkeit in Verarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung betroffener Personen in großem Umfang erfordern, oder ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten und personenbezogenen Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten besteht.
e. DATENSCHUTZ-FOLGENABSCHÄTZUNG
Datenschutz-Folgenabschätzung im Sinne des Art. 35 DSGVO ist eine Bewertung der Auswirkungen der Verarbeitung auf den Schutz personenbezogener Daten, die von dem Verantwortlichen vor dem Einsatz neuer Technologien für die Verarbeitung durchgeführt wird oder wenn die Verarbeitung unter Berücksichtigung ihrer Art und ihres Umfangs , Kontext und Zweck, wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen.
Obwohl diese Haftung des Verantwortlichen in der DSGVO in Form eines langen und ausführlichen Artikels formuliert wurde, trifft die KVKK keinerlei Verpflichtung für die Verantwortlichen oder sonstige Personen, sondern weist lediglich darauf hin, dass alle technischen und administrativen Maßnahmen getroffen werden müssen, um eine angemessene Sicherheit zu gewährleisten.
f. SCHUTZMASSNAHMEN FÜR KINDER
Ein weiteres Thema, das von der DSGVO, aber nicht von der KVKK eingeführt wurde, ist der Schutz von Kinderdaten, der in Artikel 8 der DSGVO geregelt ist, der die Verarbeitung solcher Daten bestimmten besonderen Bedingungen unterwirft. Da von Kindern nicht erwartet werden kann, dass sie die Bedeutung von Themen wie der Verarbeitung personenbezogener Daten, die damit verbundenen Folgen und Risiken sowie die erforderlichen Maßnahmen vollständig verstehen, verlangt die DSGVO, dass ein Kind mindestens 16 Jahre alt ist, um einwilligen zu können zur Verarbeitung seiner Daten im Rahmen von Diensten der Informationsgesellschaft, die dem Kind direkt angeboten werden. Die Verarbeitung personenbezogener Daten eines Kindes unter diesem Alter hängt von der Zustimmung des Trägers der elterlichen Verantwortung für das Kind ab. In der KVKK gibt es keine umfassende Regelung zu Kinderdaten.
g. DATENSCHUTZERKLÄRUNG
Wie aus dem Abschnitt „Öffentliche Bekanntmachung vom 08.11.2019“ hervorgeht, soll die Informationspflicht aufgrund des „Kommuniqué über Grundsätze und Verfahren zur Erfüllung der Informationspflicht“ in erster Linie für die KVKK wahrgenommen werden. Dieses Gesetz legt umfangreiche Regeln zur Erfüllung der Informationspflicht fest. Die Rechtsgrundlage für die Verarbeitung sollte beispielsweise in den Datenschutzhinweisen unter Bezugnahme auf die Unterabsätze von Artikel 5 und 6 erwähnt werden.
Wie im Beschluss des Ausschusses für den Schutz personenbezogener Daten vom 30.10.2019 mit der Nummer 2019/315 angegeben, heben die von den Verantwortlichen erstellten Datenschutzhinweise auf die DSGVO nicht die Verpflichtungen der Verantwortlichen aus dem Gesetz zum Schutz personenbezogener Daten Nr. 6698 (KVKK) auf. . In diesem Zusammenhang ist es sinnvoll, daran zu erinnern, dass die in den Datenschutzhinweisen aufgeführten Richtlinien und Regeln neben den Verweisen auf die DSGVO in erster Linie angeben müssen, dass sie dem Gesetz zum Schutz personenbezogener Daten Nr. 6698 entsprechen.
h. RICHTLINIEN ZUR DATENAUFBEWAHRUNG
Im Rahmen der KVKK müssen einige obligatorische Rechtstexte erstellt werden, z Mitarbeiter, eine bestimmte Menge an Unternehmensvermögen usw.), müssen die Datenverantwortlichen auch über eine Richtlinie zur Datenaufbewahrung verfügen. Der Prozess der Aufbewahrung und Vernichtung personenbezogener Daten ist in der Satzung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten geregelt.
Die Satzung regelt die Aufbewahrungsfristen, die Aufbewahrung von Aufzeichnungen über die zerstörten personenbezogenen Daten usw. Da dieser gesamte Prozess sehr detailliert und gründlich ist, kann die Verwendung von GDPR-zentrierten Richtlinien und Verfahren nicht den gesamten Prozess und die rechtlichen Compliance-Probleme abdecken steigen kann.
III. ÖFFENTLICHE MITTEILUNG VOM 08.11.2019
Bekanntlich besagt Artikel 10 des Gesetzes über den Schutz personenbezogener Daten Nr. 6698 mit dem Titel „Informationspflicht des Verantwortlichen“: „(1) Bei der Erhebung personenbezogener Daten ist der Verantwortliche oder die von ihm bevollmächtigte Person verpflichtet, die betroffenen Personen über Folgendes zu informieren: a) die Identität des Verantwortlichen und gegebenenfalls seines Vertreters, b) den Zweck der Datenverarbeitung; c) an wen und zu welchen Zwecken die verarbeiteten Daten übermittelt werden können, ç) die Methode und der Rechtsgrund der Erhebung personenbezogener Daten, d) weitere Rechte gemäß Artikel 11.“
Bei den Prüfungen durch unser Institut hat sich ergeben, dass in den Erläuterungen zu den Richtlinien und Vorschriften zum Umgang mit personenbezogenen Daten in den Aufklärungstexten auf den Internetseiten der diverse Institutionen/Organisationen/Firmen etc.
In diesem Zusammenhang gemäß dem Beschluss des Datenschutzausschusses vom 30.10.2019 mit der Nummer 2019/315; Die Aufnahme von Erklärungen zur Einhaltung der DSGVO in die von den für die Verarbeitung Verantwortlichen erstellten Datenschutzerklärungen entbindet nicht die Verpflichtungen der für die Verarbeitung Verantwortlichen gegenüber dem Gesetz über den Schutz personenbezogener Daten Nr. 6698. In diesem Zusammenhang sei daran erinnert, dass zusätzlich zu die Verweise auf die DSGVO, die in den Datenschutzhinweisen angegebenen Richtlinien und Regeln müssen in erster Linie angeben, dass sie dem Gesetz zum Schutz personenbezogener Daten Nr. 6698 entsprechen.
In den von den für die Verarbeitung Verantwortlichen veröffentlichten Datenschutzhinweisen sollten die folgenden Punkte klar dargelegt und vage und mehrdeutige Formulierungen gemäß den Bestimmungen von Artikel 10 des Gesetzes und Artikel 4 des Kommuniqués über die anzuwendenden Verfahren und Grundsätze vermieden werden Zur Erfüllung der Verpflichtung zur Datenschutzerklärung eingehalten;
Identität des Datenverantwortlichen und seines Vertreters, falls vorhanden,
Zu welchem Zweck werden personenbezogene Daten verarbeitet,
An wen und zu welchem Zweck personenbezogene Daten übermittelt werden können,
Methode und rechtlicher Grund für die Erhebung personenbezogener Daten (explizite Angabe, auf welcher der Verarbeitungsbedingungen in den Artikeln 5 und 6 des Gesetzes beruht)
Sonstige Rechte der betroffenen Person gemäß Artikel 11 des Gesetzes
Es wird der Öffentlichkeit mit Respekt bekannt gegeben.
IV .Schlußfolgerung
Abschließend wird davon ausgegangen, dass KVKK, die wichtigste Gesetzgebung zum Schutz personenbezogener Daten in der Türkei, bei der Bewertung zusammen mit ihrem Zweck, Umfang und Bestimmungen weitgehend der DSGVO entspricht. Obwohl die europäischen und türkischen Datenvorschriften einige wesentliche Ähnlichkeiten aufweisen, da beide an den Merkmalen der jeweiligen Rechtssysteme orientiert sind, gibt es einige technische und administrative Unterschiede, die bei der Durchführung eines Programms zur Einhaltung gesetzlicher Vorschriften beachtet werden müssen.