Qu'est-ce que la loi sur la protection des données personnelles – KVKK ?

Qu'est-ce que KVKK ? Que signifie KVKK ?

KVKK est l'abréviation des premières lettres de la loi n° 6698 sur la protection des données personnelles ; Elle est entrée en vigueur afin de protéger les droits et libertés fondamentaux des personnes, notamment le droit à la vie privée, dans le traitement des données personnelles et de réglementer les procédures et principes à suivre par les personnes physiques et morales qui traitent des données personnelles par des moyens entièrement ou partiellement automatisés ou par des moyens non automatiques à condition qu'elles fassent partie d'un système d'enregistrement de données.

Il fait également référence aux abréviations constituées des premières lettres de l'Autorité de protection des données personnelles, qui est une institution créée par la présente loi, dotée d'une autonomie administrative et financière et est une personne morale de droit public, et du Conseil de protection des données personnelles, dont les pouvoirs et les devoirs sont énumérés dans la loi pertinente.

Que sont les données personnelles KVKK ? Que sont les données personnelles spéciales ?

Toute information qui révèle l'identité d'une personne physique identifiée ou identifiable et qui lui est propre (nom, prénom, date de naissance, adresse du domicile, adresse professionnelle, adresse e-mail, adresse IP, numéro de téléphone, numéro de fax, informations de carte de crédit, numéro de citoyenneté, numéro fiscal, numéro de passeport, numéro de sécurité sociale, numéro de permis de conduire, plaque d'immatriculation du véhicule, CV, photographie, vidéo, etc.) est considérée comme une donnée personnelle au sens de la loi n° 6698 sur la protection des données personnelles ; Le traitement par des personnes physiques ou morales n'est possible qu'avec le consentement explicite de la personne concernée.

En outre, l'article 6 de la loi sur la protection des données personnelles n° 6698 inclut des données sur la race, l'origine ethnique, l'opinion politique, la conviction philosophique, la religion, la secte ou autre conviction, l'apparence et la tenue vestimentaire, l'appartenance à des associations, fondations ou syndicats, la santé, la vie sexuelle, les condamnations pénales et les mesures de sécurité, ainsi que les données biométriques et génétiques des individus, qui sont considérées comme des données personnelles spéciales et dont le traitement est interdit sans le consentement explicite des parties concernées.

Qu'est-ce que le consentement explicite KVKK ? Quel est le texte de divulgation ?

L'article 3 de la loi n° 6698 sur la protection des données personnelles intitulé Définitions définit le consentement explicite comme suit ; Il est défini comme un consentement fondé sur des informations et exprimé librement concernant un sujet spécifique ; Comme on peut le comprendre à partir de cette définition, le consentement explicite doit être fondé sur des informations.

Le fait qu'il n'existe aucune exigence de forme spécifique concernant la manière dont ces informations seront fournies et la manière dont le consentement explicite sera obtenu permet de remplir les obligations d'information et de consentement explicite dans l'environnement électronique avec le texte d'information et le bouton d'acceptation situé en dessous ou via le centre d'appels, à condition que la charge de la preuve incombe au responsable du traitement des données.

Quand le KVKK est-il entré en vigueur ?

L'Union européenne a adopté la « Directive du Parlement européen et du Conseil de l'Europe relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données » en 1995 afin d'harmoniser les réglementations entre les États membres en matière de protection des données personnelles. Cette directive est la source des réglementations juridiques dans les lois nationales des États membres, y compris la Turquie, et le règlement général de l'Union européenne sur la protection des données (RGPD) n° 2016/679, qui a été adopté par le Parlement européen, le Conseil européen et la Commission européenne en 2016, est entré en vigueur en 2018 et constitue toujours la législation en vigueur dans l'UE aujourd'hui.

Dans notre pays, le KVKK a été préparé pour la protection efficace des droits de l'homme, les négociations d'adhésion à l'UE et l'augmentation de la coopération et du commerce internationaux, et a été soumis à la présidence de la Grande Assemblée nationale de Turquie le 26 décembre 2014 ; Elle est devenue loi le 24 mars 2016 et est entrée en vigueur dès sa publication au Journal officiel du 7 avril 2016 et numérotée 29677.

Pour qui le KVKK est-il obligatoire ?

L'article 2 de la loi n° 6698 sur la protection des données personnelles définit le champ d'application de la loi comme « applicable aux personnes physiques et morales qui traitent des données personnelles par des moyens entièrement ou partiellement automatisés ou par des moyens non automatiques à condition qu'elles fassent partie d'un système d'enregistrement de données ».

Le traitement des données personnelles désigne toute opération effectuée sur des données, telle que l'obtention, l'enregistrement, le stockage, la conservation, la modification, le réarrangement, la divulgation, le transfert, la prise en charge, la mise à disposition, la classification ou l'empêchement de l'utilisation de données personnelles ; Toute personne, sans distinction entre personnes physiques et morales qui effectuent ces actes, est soumise à l’obligation de se conformer aux réglementations introduites par le KVKK.

Qui est le responsable du traitement des données de KVKK ? Qui est le responsable du traitement des données ?

Conformément à l'article 3 de la loi sur la protection des données personnelles n° 6698, intitulé Définitions, le responsable du traitement des données est défini comme la personne physique ou morale qui détermine les finalités et les moyens du traitement des données personnelles et est responsable de l'établissement et de la gestion du système d'enregistrement des données.

Le sous-traitant est défini dans le même article comme la personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement sur la base de l'autorité accordée par le responsable du traitement. Afin de distinguer les deux concepts, il est nécessaire de déterminer la personne qui répondra aux questions « pourquoi » et « comment » l’activité de traitement sera réalisée.

Que faut-il faire dans le cadre du KVKK ?

Conformément à la loi sur la protection des données personnelles n° 6698, les obligations du responsable du traitement des données peuvent être énumérées comme l'information des demandes des personnes concernées (personne concernée : la personne dont les données personnelles sont traitées), la prise des mesures nécessaires pour assurer la sécurité des données, l'inscription au registre des responsables du traitement des données (VERBIS), la réponse aux demandes des personnes concernées et la suppression, la destruction ou l'anonymisation des données personnelles d'office ou à la demande de la personne concernée dans le cas où les raisons nécessitant le traitement sont éliminées et l'exécution des décisions du Conseil de protection des données personnelles.

Quelles sont les pénalités et sanctions du KVKK ?

Selon le Code pénal turc n° 5237, toute personne qui enregistre illégalement des données personnelles sera condamnée à une peine d'emprisonnement d'un à trois ans ; (selon la nature des données, cette peine peut être augmentée de moitié) Quiconque obtient ou diffuse illégalement ces données sera condamné à une peine de deux à quatre ans ; Quiconque contrevient à l’obligation de supprimer, détruire ou anonymiser ces données sera puni d’une peine d’emprisonnement d’un à deux ans.

En outre, conformément à la loi sur la protection des données personnelles n° 6698, des amendes administratives comprises entre 5 000 et 10 000 livres turques seront imposées aux responsables du traitement des données qui ne remplissent pas leur obligation d'information, entre 15 000 et 1 000 000 livres turques seront imposées à ceux qui ne remplissent pas leurs obligations en matière de sécurité des données, et entre 20 000 et 1 000 000 livres turques seront imposées à ceux qui violent l'obligation de s'inscrire au registre des responsables du traitement des données.

Quelles sont les différences entre KVKK et GDPR ?

Bien que les réglementations juridiques de l’UE aient été prises comme modèle lors de l’élaboration de la loi n° 6698 sur la protection des données personnelles, il existe certaines différences entre la KVKK et le RGPD ;

En vertu du RGPD, toute entreprise ou personne physique qui traite des données, même si elle n'est pas le responsable du traitement des données (y compris les tiers tels que les fournisseurs de services cloud), est considérée comme responsable du traitement licite des données, alors que conformément à l'article 18/2 de la loi sur la protection des données personnelles n° 6698, un niveau de responsabilité différent est déterminé pour le responsable du traitement des données et le sous-traitant des données, et la sanction d'amende administrative s'applique uniquement aux responsables du traitement des données, et l'obligation de s'inscrire au registre des responsables du traitement des données ne couvre que les responsables du traitement des données.

Bien que le concept de droit à l'oubli, qui s'exprime généralement comme le droit des individus à contrôler et, si possible, à supprimer leurs données personnelles, ait été inclus pour la première fois dans un cadre réglementaire juridique avec le RGPD ; Il n’existe pas de réglementation distincte à ce sujet dans la loi n° 6698 sur la protection des données personnelles, et ce concept est façonné par les décisions de la Cour suprême et de la Cour constitutionnelle de notre pays.

Alors que des sanctions importantes, telles que 200 millions d'euros ou 4 % du chiffre d'affaires global du prestataire de services, sont prévues pour les violations des règles de protection des données introduites par le RGPD, on constate que les amendes administratives correspondantes dans la loi n° 6698 sur la protection des données personnelles sont limitées à des montants relativement inférieurs (5 000 livres turques - 1 million de livres turques).

Les réglementations concernant les institutions telles que le « droit à la portabilité des données » réglementé par le RGPD, le « délégué à la protection des données obligatoire » pour le traitement des données sensibles et « l’évaluation d’impact obligatoire sur la protection des données » pour les activités de traitement de données à risque ne sont pas incluses dans la loi n° 6698 sur la protection des données personnelles.