Закон № 6698 о защите персональных данных вступил в силу в 2016 году.
Закон устанавливает и обеспечивает правовую основу для процедур и принципов обработки персональных данных.
Положение о порядке обработки персональных данных субъекта данных предоставляет субъектам данных множество прав и, следовательно, налагает обязанности на операторов данных, обрабатывающих персональные данные.
Оператором данных можно просто определить любое физическое или юридическое лицо, обрабатывающее персональные данные.
Кто является оператором данных? Оператором данных является аптека, где вы покупаете лекарства, ваш врач, местный рынок, ваша школа — короче говоря, лицо или учреждение, с которыми вы взаимодействуете во всех аспектах своей жизни.
Операторы данных обязаны принимать необходимые административные и технические меры для защиты персональных данных и не должны допускать потери данных.
Кроме того, лица, отвечающие определенным условиям, должны зарегистрироваться в Информационной системе реестра операторов данных (VERBIS). В связи с пандемией Управление по защите персональных данных продлило сроки регистрации в системе VERBİS, и текущий окончательный срок — 31 декабря 2021 года.
Действия, требуемые в соответствии с Законом о защите персональных данных, должны осуществляться в два этапа.
ЭТАП 1:
МЕРЫ ПО ОБЕСПЕЧЕНИЮ СОБЛЮДЕНИЯ ЗАКОНА:
На этом этапе оператор данных должен определить необходимые действия в соответствии с Законом о защите персональных данных и принять требуемые меры.
Ввиду сложности процесса и большого количества задействованных процедур, следует обратиться за профессиональной помощью.
Для управления процессом обеспечения соответствия необходимо сотрудничать с лицами или организациями, обладающими глубокими знаниями законодательства как в техническом, так и в административном плане. Каждая административная и техническая мера должна быть рассмотрена индивидуально, и все процедуры должны быть выполнены.
Любая ошибка, допущенная в конце процесса, повлечет за собой значительные финансовые и уголовные последствия.
Необходимо, так сказать, «снимок» состояния оператора данных и определить необходимые меры и действия на основе полученных результатов.
На этом этапе, который мы определяем как первый этап, необходимо принять соответствующие административные и технические меры, а также привести контролера данных в соответствие с GDPR.
С этого момента начинается второй этап.
ЭТАП 2:
ПРОДОЛЖЕНИЕ И ОБЕСПЕЧЕНИЕ НЕПРЕРЫВНОСТИ ПРОЦЕССА СОБЛЮДЕНИЯ GDPR:
После начала процесса соблюдения GDPR и принятия необходимых технических и административных мер крайне важно обеспечить непрерывность этих мер. Процесс GDPR – это живой процесс.
Если технические и административные меры, принимаемые контролерами данных, изменятся, необходимо будет обновить ранее подготовленные документы и процессы.
Например, трудовой договор мог быть приведен в соответствие с GDPR, но при последующих изменениях в законодательстве трудовой договор необходимо будет обновить.
Что произойдет, если в политике хранения и уничтожения данных создан комитет по обработке данных, но члены комитета впоследствии покинут компанию?
Аналогично, как будут оформлены необходимые заявления в случае потери данных внутри компании? Как будет осуществляться уничтожение персональных данных, хранившихся в течение установленных законом сроков, по истечении этого срока, и кто будет принимать решение по этому вопросу?
Что будет сделано в ответ на заявление субъекта данных?
Этот второй этап, игнорируемый операторами данных и не разъясняемый им, будет иметь негативные последствия для операторов данных в будущем.
Как мы пытались объяснить выше, операторы данных, которые доверяют первый этап неосведомленным лицам и выполняют его очень дешево из-за повседневных забот, останутся одни и без поддержки на втором этапе.
Это может привести к финансовым и уголовным санкциям.
Все предприятия, независимо от размера, рассматривают эти процессы как дополнительную нагрузку и стараются избежать затрат. Поскольку в этой области нет квалифицированного персонала, этот вопрос делегируется отделу кадров или бухгалтерии. Однако сотрудник отдела кадров или бухгалтерии будет воспринимать это как рутину наряду со своей основной работой и не сможет должным образом выполнить процедуру GDPR.
Чтобы избежать этого сложного процесса, операторам данных необходимо сотрудничать с серьезными и надежными партнерами, которые гарантируют качество своей работы.
Подобно тому, как внешняя поддержка необходима для бухгалтерских процессов, процессов охраны труда и техники безопасности, профессиональная внешняя поддержка может быть получена и для инициирования судебных разбирательств, принятия мер предосторожности, выполнения процессов и обеспечения непрерывности процесса в соответствии с Законом о защите персональных данных.
Таким образом, можно будет беспрепятственно пройти процесс соответствия требованиям KVKK и поддерживать соответствие законодательству.