Sekilas Tentang Hukum Perlindungan Data Turki

December 16, 2021 0 Comments

33bits.org – Undang-Undang Perlindungan Data Turki (hukum Turki no. 6698 – KVKK) diadopsi pada Maret 2016 dan mulai berlaku pada April 2016. Antara lain, Pasal 16 KVKK mencakup ketentuan yang mewajibkan pendaftaran untuk semua pengontrol data yang tunduk pada undang-undang ini di sebuah Data Controller Registry (VERBIS). Selain itu, pengontrol data yang berlokasi di luar Turki diharuskan untuk menunjuk perwakilan. Batas waktu untuk memenuhi kewajiban ini telah ditunda beberapa kali. Batas akhir sekarang adalah 31 Desember 2021.

Sekilas Tentang Hukum Perlindungan Data Turki

Sekilas Tentang Hukum Perlindungan Data Turki – Cari tahu di artikel ini apakah organisasi Anda tunduk pada KVKK dan apa yang harus dipertimbangkan sebelum 31 Desember 2021! Informasi lebih lanjut dapat Anda temukan di sini.

 Apakah organisasi Anda tunduk pada KVKK?

Pasal 2 KVKK mendefinisikan ruang lingkup peraturan perlindungan data Turki. KVKK berlaku untuk perorangan dan badan hukum yang memproses data pribadi subjek data Turki.

“Subjek data” adalah orang yang data pribadinya diproses. “Data pribadi” berarti informasi apa pun yang berkaitan dengan orang alami yang teridentifikasi atau dapat diidentifikasi. Definisi “pemrosesan” sangat luas dan mencakup setiap operasi yang dilakukan pada data, seperti mengumpulkan, merekam, menyimpan, mengubah, mentransfer, dll.

Undang-undang tidak membedakan antara badan publik dan swasta. Prosedur dan prinsip yang ditetapkan umumnya berlaku untuk semua organisasi.

Baca Juga : Cara Mengidentifikasi Anomisasi Secara Akurat

Pengecualian penerapan termasuk pemrosesan hanya untuk keperluan rumah tangga pribadi, statistik resmi dengan data anonim, pemrosesan oleh otoritas peradilan dan pemrosesan untuk ketertiban umum.

Registri Pengontrol Data VERBIS dan perwakilan VERBIS

“Pengendali data” menurut Pasal 4 ayat (1) lit (i) KVKK adalah badan hukum atau perorangan yang menentukan tujuan dan sarana pemrosesan data pribadi. Pasal 16 KVKK menetapkan bahwa semua pengontrol data Turki dan non-Turki harus mendaftar di Data Controller Registry (VERBIS) sebelum mulai memproses data pribadi. Hanya profesi tertentu seperti notaris, firma hukum dan kantor akuntan, serikat pekerja dan partai politik yang dikecualikan. Untuk pengontrol data non-Turki tidak ada ambang batas karena pergantian atau jumlah karyawan, yang berarti bahwa organisasi non-Turki kecil pun tunduk pada KVKK.

Pendaftaran VERBIS mengharuskan memasuki aktivitas pemrosesan perusahaan dengan

  •     kategori data,
  •     kategori subjek data,
  •     tujuan pengolahan,
  •     dasar Hukum,
  •     transfer data,
  •     langkah-langkah teknis dan organisasional dan
  •     jangka waktu penyimpanan.

Setiap perubahan pada catatan ini harus dipublikasikan melalui VERBIS dalam waktu tujuh hari setelah perubahan.

Registri ini akan dipublikasikan di bawah pengawasan otoritas perlindungan data Turki

Persyaratan untuk pengontrol Non-Turki

Mirip dengan Pasal 27 GDPR, peraturan perlindungan data Turki berisi ketentuan yang hanya berlaku pada pengontrol data asing yang mengharuskan mereka menunjuk perwakilan di Turki selain pendaftaran VERBIS. Selain berdasarkan GDPR, tidak ada kewajiban bagi pemroses data untuk menunjuk perwakilan. Namun, penting untuk dicatat bahwa penerapan KVKK tidak bergantung pada jumlah data yang diproses dari subjek data Turki. Jadi menjadi penyedia layanan B2B dengan aktivitas penjualan terbatas di Turki tidak dengan sendirinya mengecualikan penerapan KVKK.

Perwakilan akan menjadi titik kontak untuk otoritas perlindungan data Turki dan untuk subjek data dan menangani komunikasi dengan para pemangku kepentingan ini. Fakta bahwa perwakilan ditunjuk oleh perusahaan harus dikomunikasikan kepada subjek data Turki, saat mengumpulkan data pribadinya untuk mematuhi kewajiban informasi. Cara biasa untuk mematuhi kewajiban ini adalah dengan memasukkan kata-kata dalam kebijakan privasi.

Selanjutnya, perwakilan melakukan pendaftaran VERBIS. Pendapat hukum yang berlaku menganggap pendaftaran oleh pengawas asing itu sendiri tidak mungkin. Setidaknya dari sudut pandang praktis, ini masuk akal, karena upaya pengontrol data asing untuk mendaftar sendiri seolah-olah seseorang telah menyatakan ketidakpatuhan mereka sendiri terhadap persyaratan untuk menunjuk perwakilan otoritas perlindungan data Turki.

 Di GDPR dan UK-GDPR Anda akan menemukan pengecualian untuk penunjukan perwakilan badan publik, yang berarti mis. universitas negeri dan lembaga pemerintah tidak harus menunjuk perwakilan menurut GDPR Pasal 27 (Inggris Raya). Namun demikian, sebagaimana disebutkan di atas, KVKK tidak membedakan antara badan swasta dan publik, tetapi hanya berisi pengecualian untuk kegiatan preventif, protektif, dan intelijen oleh badan publik.

Proses penunjukan perwakilan pengontrol data di Turki lebih rumit daripada di bawah GDPR, karena penunjukan perlu ditandatangani dan tanda tangan perlu diaktakan dan diturunkan. Proses digital ujung ke ujung tidak mungkin dilakukan.

Hak subjek data di bawah KVKK

Saat menjangkau pasar Turki, pengontrol data asing juga harus siap menangani hak subjek data sesuai dengan KVKK. Pasal 10 KVKK mewajibkan pengontrol data untuk memberi tahu subjek data tentang aktivitas pemrosesan saat mengumpulkan data pribadi. Ini dapat dilakukan dalam kebijakan privasi. Pengontrol harus menginformasikan tentang identitasnya, perwakilannya di Turki, tujuan pemrosesan, transfer data, dasar hukum, dan tentang hak subjek data yang diberikan oleh KVKK. Kami berasumsi bahwa standar serupa akan diterapkan dalam penilaian informasi ini seperti untuk kewajiban informasi berdasarkan GDPR. Oleh karena itu, informasi harus ringkas, transparan, dapat dipahami, dan dalam bentuk yang mudah diakses, menggunakan bahasa yang jelas dan lugas.

Selain hak informasi, subjek data Turki memiliki hak subjek data (DSR) berikut:

  •     Hak untuk mengakses
  •     Hak untuk memperbaiki
  •     Hak untuk dilupakan
  •     Hak untuk membatasi
  •     Hak untuk menolak pemrosesan melalui pengambilan keputusan otomatis
  •     Hak atas ganti rugi atas kerusakan

Untuk prosedur permintaan subjek data, sebuah Komunike telah diterbitkan oleh otoritas perlindungan data Turki. Permintaan yang dibuat oleh subjek data harus menyertakan nama, alamat fisik, nomor Warga Negara Turki (TC), metode kontak (email, nomor faks, telepon) dan tentu saja subjek DSR. Jawaban pengontrol harus berisi informasi yang sama.

Apa denda untuk ketidakpatuhan?

Untuk pelanggaran kewajiban pengungkapan, denda hingga TL 270.000 dapat dikenakan pada tahun 2022. Namun, untuk pelanggaran kewajiban pendaftaran dalam VERBIS, denda yang jauh lebih tinggi hingga TL 2.700.000 dapat dikenakan. Denda administratif di Turki dievaluasi ulang setiap tahun. Peningkatan dari tahun 2021 hingga 2022 adalah 36,20%. Ini harus diingat ketika bekerja sesuai dengan KVKK.