قانون حفاظت از داده های شخصی
حق شکایت
برای شکایت شخص مربوطه، ابتدا باید درخواستی که طبق ماده 13 قانون به مسئول داده شده است رد شود یا پاسخ داده شده کافی نباشد یا ظرف 30 روز به درخواست پاسخ داده نشود. . شکایت، مستقیماً به هیئت مدیره بدون مراجعه به کنترل کننده داده برای اشخاص ذیربط امکان پذیر نیست.
در زمینه پردازش دادههای شخصی، حقوق شخصی افراد زیان دیده حفظ شده است. به دلیل الزامآور بودن مسیر درخواست و اختیاری بودن مسیر شکایت، فردی که درخواستش به طور ضمنی یا صریح رد شده باشد، میتواند از یک سو به کمیسیون شکایت کند و از سوی دیگر به طور مستقیم به دادگاههای قضایی یا اداری مراجعه کند.
مدت زمان تعیینشده برای شکایت فرد به کمیسیون، سی روز از تاریخ آگاهی دادهپرداز از پاسخ و حداکثر شصت روز از تاریخ شکایت است. اما برای بررسی کمیسیون، وجود شکایت فرد الزامی نیست. کمیسیون میتواند در صورت اطلاع از هرگونه ادعای نقض، به طور خودکار اقدام کرده و بررسیهای لازم را در زمینههای مربوطه انجام دهد.
ماده ۱۵ قانون به تنظیم رویه و اصول بررسیهای کمیسیون پرداخته است. بر این اساس، کمیسیون میتواند در صورت شکایت یا در صورت اطلاع از ادعای نقض به طور خودکار، بررسیهای لازم را در زمینههای مربوطه انجام دهد. این بررسی محدود به شکایت یا ادعای نقضی است که به صورت خودکار یادآوری شده است.
قانون مربوط به حق درخواست در ماده ۶ شرایطی را برای شکایات و اطلاعیهها تعیین کرده است که در صورت عدم احراز، این موارد مورد بررسی قرار نمیگیرند. دادهپردازان باید به جز اطلاعات و اسناد محرمانه دولتی، اطلاعات و اسناد خواستهشده را ظرف ۱۵ روز به کمیسیون ارسال کنند یا در صورت نیاز، امکان بررسی در محل را فراهم کنند.
در قانون پیشبینی شده است که کمیسیون باید پس از بررسی شکایت، پاسخ دهد و اگر ظرف شصت روز از تاریخ شکایت پاسخی داده نشود، درخواست رد شده تلقی میشود. بر این اساس، با گذشت شصت روز از تاریخ شکایت، مهلت اقامه دعوی در دادگاههای اداری آغاز خواهد شد.
اگرچه کمیسیون موظف است که در مدت شصت روز از تاریخ شکایت پاسخ دهد، اما برای بررسیهای خودکار هیچ مهلتی تعیین نشده است. اگر کمیسیون پس از بررسی، به نقض مقررات قانونی پی ببرد، تصمیم میگیرد که نقایص شناساییشده باید توسط دادهپردازنده مربوطه اصلاح شود و این تصمیم به ذینفعان ابلاغ میشود. این تصمیم باید بدون تأخیر و حداکثر ظرف سی روز اجرا شود. همچنین، اگر کمیسیون تشخیص دهد که نقض قانونی به طور گستردهای اتفاق میافتد، با اخذ نظر از نهادها و سازمانهای مربوطه، تصمیمات اصولی اتخاذ و منتشر میشود.
علاوه بر این، کمیسیون مجاز است در صورتی که آسیبهای جبرانناپذیر یا غیرممکن ایجاد شود و شرایط نقض قانونی به وضوح تحقق یابد، قبل از صدور تصمیم نهایی، تصمیم به توقف پردازش دادهها یا انتقال دادهها به خارج از کشور بگیرد. همچنین، ذینفعان میتوانند علیه تصمیمات کمیسیون در دادگاههای اداری اقامه دعوی کنند.
اطلاعیه در مورد روشها و اصول اعلام نقض دادههای شخصی بر اساس تصمیم شماره 2019/10 شورای حفاظت از دادههای شخصی
ماده 12 قانون
در بند 5 ماده 12 قانون آمده است: “در صورتی که دادههای شخصی به طرق غیرقانونی توسط دیگران به دست آید، مسئول داده باید این موضوع را در اسرع وقت به شخص ذیربط و شورای مربوطه اطلاع دهد…” عبارت “در اسرع وقت” باید به عنوان 72 ساعت تفسیر شود و در این زمینه، مسئول داده باید بدون هیچگونه تأخیری و حداکثر ظرف 72 ساعت پس از آگاهی از این موضوع، به شورای مربوطه اطلاع دهد. همچنین پس از شناسایی افرادی که تحت تأثیر نقض داده قرار گرفتهاند، مسئول داده باید در کمترین زمان معقول، در صورت امکان به آدرس ارتباطی شخص ذیربط بهصورت مستقیم و در غیر این صورت از طریق روشهای مناسب مانند انتشار اطلاعات در وبسایت خود، اطلاعرسانی نماید.
در صورت عدم امکان اطلاعرسانی به کمیسیون توسط مسئول دادهها ظرف ۷۲ ساعت با دلیل موجه، لازم است در کنار اطلاعرسانی، دلایل تأخیر نیز به کمیسیون توضیح داده شود.
همچنین در اطلاعرسانی به کمیسیون باید از “فرم اطلاعرسانی نقض دادههای شخصی” استفاده شود.
در مواردی که ارائه اطلاعات مندرج در فرم بهطور همزمان ممکن نباشد، این اطلاعات باید بدون تأخیر بهطور مرحلهای ارائه شوند.
مسئول داده، اطلاعات مربوط به نقض دادهها، تأثیرات آنها و تدابیر اتخاذ شده را باید ثبت کند و بهصورت آماده برای بررسی هیئت در دسترس قرار دهد.
در صورتی که نقض دادهها در نزد مسئول داده مستقر در خارج از کشور اتفاق بیفتد و نتایج این نقض تأثیراتی بر روی افراد مرتبط مقیم در ترکیه داشته باشد، و همچنین اگر این افراد از محصولات و خدمات ارائهشده در ترکیه بهرهمند شوند، مسئول داده موظف است مطابق همان اصول به هیئت مربوطه اطلاعرسانی کند.
در صورت وقوع نقض داده، مسئول داده موظف است که برنامهای برای مداخله در نقض دادهها تهیه کند که شامل مواردی مانند اینکه به چه کسانی گزارشدهی خواهد شد، ارزیابی پیامدهای احتمالی نقض داده در چارچوب قانون و تعیین مسئولیتها در این زمینه باشد. همچنین این برنامه باید بهصورت دورهای مورد بازبینی قرار گیرد.
