full screen background image

Νέα

Published on February 17th, 2016 | by ethemis

0

Το καθεστώς προστασίας των προσωπικών δεδομένων στην Τουρκία

Σύμφωνα με την έκθεση προόδου της Τουρκίας, η οποία δημοσιεύθηκε πρόσφατα από την Ευρωπαϊκή Επιτροπή[1], «ένας ολοκληρωμένος νόμος-πλαίσιο για την προστασία των προσωπικών δεδομένων και η δημιουργία μιας ανεξάρτητης εποπτικής αρχής προστασίας των δεδομένων σύμφωνα με τα ευρωπαϊκά πρότυπα είναι από τα βήματα που πρέπει να ληφθούν. Ης η σχετική Σύμβαση του Συμβουλίου της Ευρώπης και του πρωτοκόλλου της δεν έχουν ακόμη επικυρωθεί από την Τουρκία». Η σημασία που έχει για την Τουρκία να διαθέσει ένα συνεκτικό πλαίσιο για την προστασία των δεδομένων αντανακλάται σε συνδυασμό με τις επιπτώσεις σε άλλους τομείς, δεδομένου ότι η «έγκριση ενός νόμου για την προστασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με το κεκτημένο είναι μια απαίτηση στο πλαίσιο του διαλόγου για την ελευθέρωση των θεωρήσεων, καθώς και για τη σύναψη συμφωνιών επιχειρησιακής συνεργασίας με Eurojust και Europol και την ενίσχυση της δικαστικής και αστυνομικής συνεργασίας με τα κράτη μέλη της ΕΕ, συμπεριλαμβανομένης της καταπολέμησης της τρομοκρατίας. Σε περίπτωση απουσίας προόδου σε αυτόν τον τομέα, η ισχύουσα νομοθεσία σχετικά με την Εθνική Υπηρεσία Πληροφοριών και ο τροποποιημένος νόμος για το διαδίκτυο, το οποίο χορηγεί ευρείες εξουσίες στην Εθνική Υπηρεσία Πληροφοριών και Τηλεπικοινωνιών, συνεχίζουν να προκαλούν ανησυχίες».

Το πολυαναμενόμενο νομοσχέδιο για την προστασία των δεδομένων θα είναι χωρίς αμφιβολία μια σημαντική εξέλιξη για την ενίσχυση της προστασίας των προσωπικών δεδομένων και της ιδιωτικής ζωής των υποκειμένων στην Τουρκία. Ωστόσο, το νομοσχέδιο αυτό έχει επικριθεί ότι βασίζεται σε ξεπερασμένη νομοθεσία, καθώς και για τους κινδύνους που συνεπάγεται η ισχυτή επιτήρηση τους κράτους στα υποκείμενα των δεδομένων. Λαμβάνοντας υπόψη ότι αυτό το νομοσχέδιο εισήχθη στο πλαίσιο της δέσμης νομοθετικών μέτρων για την εσωτερική ασφάλεια, είναι προφανές ότι αυτή η προσέγγιση έχει ενσωματωθεί στο σχέδιο, εισάγοντας ασαφείς εξαιρέσεις και παρέχοντας τα κυβερνητικά όργανα με “ασυλία”, όταν πρόκειται για την προστασία των προσωπικών δεδομένων. Το νομοσχέδιο προβλέπει επίσης ότι η διερεύνηση των μελών του διοικητικού συμβουλίου θα εξαρτηθεί από την άδεια του πρωθυπουργού, ενώ προβλέπονται ευρύτατες εξουσίες στα μέλη του διοικητικού συμβουλίου της αρχής σχετικά με τη μεταφορά των προσωπικών δεδομένων σε ξένες χώρες. Τέλος, πρέπει να σημειωθεί ότι δεν έχουν ληφθεί υπόψη οι πρόσφατες εξελίξεις του προτεινόμενου γενικού κανονισμού προστασίας δεδομένων και συνεπώς είναι αμφίβολη μια αποτελεσματική και διαχρονική προστασία των προσωπικών δεδομένων στην Τουρκία, καθώς και η  δυνατότητα παροχής μιας ισχυρής διεθνούς συνεργασίας.

Επισκόπηση του ισχύοντος νομικού πλαισίου

Η Τουρκία υπέγραψε τη Σύμβαση για την προστασία από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα (Σύμβαση 108 του Συμβουλίου της Ευρώπης) στις 28 Ιανουαρίου 1981.[2] Ωστόσο, η σύμβαση δεν αποτέλεσε θέμα συζήτησης στην Τουρκική Εθνική Εθνοσυνέλευση, παρά μόνο την 1η Αυγούστου 2014 και η επικύρωσή της ακόμη εκκρεμεί. Δεδομένου ότι δεν υπάρχει κωδικοποιημένη νομοθεσία ειδικά για την προστασία ττης ιδιωτικής ζωής και την προστασία των προσωπικών δεδομένων, τα σχετικά ζητήματα ρυθμίζονται από διάσπαρτες διατάξεις που βρίσκονται στον Τούρκικο Σύνταγμα, στον Αστικό Κώδικα, στον Κώδικα Υποχρεώσεων, στον Ποινικό Κώδικα και σε επιμέρους κανονισμούς.

Πιο συγκεκριμένα, η κύρια βάση για το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που προβλέπεται από το άρθρο 20 του Συντάγματος της Τουρκίας της 9ης Νοεμβρίου, 1982[3] στηρίζεται στο δικαίωμα για την προστασία της ιδιωτικής ζωής, το οποίο ορίζει ότι: «Ο καθένας έχει το δικαίωμα να απαιτήσει την προστασία των προσωπικών του δεδομένων. Το δικαίωμα αυτό περιλαμβάνει το δικαίωμα να ενημερώνεται σχετικά με τα προσωπικά δεδομένα που αφορούν τον εαυτό του, την πρόσβαση σε τέτοια δεδομένα, δικαίωμα διόρθωσης ή διαγραφή τους, καθώς και το δικαίωμα να ενημερώνεται αν τα δεδομένα αυτά χρησιμοποιούνται σύμφωνα με τους σκοπούς για τους οποίους συλλέχθηκαν. Τα δεδομένα προσωπικού χαρακτήρα μπορεί να είναι αντικείμενο επεξεργασίας μόνο στις περιπτώσεις που ρυθμίζονται με νόμο και με τη ρητή συγκατάθεση του υποκειμένου».  Επιπλέον, το άρθρο 22 του Συντάγματος, όπως τροποποιήθηκε τον Οκτώβριο του 2001 προβλέπει ότι « Η επικοινωνία δεν πρέπει να εμποδίζεται ούτε το απόρρητο του να παραβιάζεται, εκτός εάν υπάρχει δικαστική απόφαση και στις περιπτώσεις που ορίζονται ρητά από τη νομοθεσία, εκτός και αν υπάρχει υπάρχει παραγγελία οργανισμού, που επιτρέπεται από το νόμο, σε περιπτώσεις όπου η καθυστέρηση θεωρείται επιζήμια».

Διατάξεις περί προστασίας δεδομένων υπάρχουν επίσης στον αστικό κώδικα, το οποίο ορίζει στο άρθρο 24ότι «κάθε πρόσωπο έχει δικαίωμα να ζητήσει την προστασία των προσωπικών τους δικαιωμάτων», επιτρέποντας ως εκ τούτου, τα υποκείμενα των δεδομένων να ζητούν ασφαλιστικά μέτρα κατά παράνομων παρεμβάσεων, καθώς και χρηματική αποζημίωση, η οποία προβλέπεται από τον κώδικα υποχρεώσεων (άρθρο 49). Επιπλέον, σχετικές διατάξεις μπορούν να βρεθούν στον τουρκικό ποινικό κώδικα[4], και ιδίως στα άρθρα 135 (σχετικά με την καταγραφή των προσωπικών δεδομένων), 136 (παράνομη διάδοση δεδομένων), 138 (για την αποτυχία καταστροφής δεδομένων) και 244 (για την πρόληψη και αλλοίωση ή καταστροφή των δεδομένων), που τιμωρούν αντίστοιχα την παράνομη αποθήκευση, μετάδοση, λήψη ή αλλοίωση, καταστροφή ή αδυναμία να καταστροφής δεδομένων προσωπικού χαρακτήρα, όταν η διατήρησή τους δεν είναι πλέον νόμιμα επιτρεπτή. Ο Ποινικός Κώδικας παρέχει επίσης έναν ορισμό για τα ευαίσθητα προσωπικά δεδομένα, τα οποία περιγράφονται ως «πληροφορίες σχετικά με τις πολιτικές, φιλοσοφικές ή θρησκευτικές απόψεις ενός ατόμου, την εθνοτική καταγωγή, και τις λεπτομέρειες της σεξουαλική ζωής, το ιατρικό ιστορικό και τις συνδέσεις των συνδικαλιστικών οργανώσεων».

Επιπλέον, ο Εργατικός Κώδικας[5] παρέχει διατάξεις για την προστασία των δεδομένων, όπου προβλέπεται ειδιότερα ότι ο εργοδότης είναι υποχρεωμένος να χρησιμοποιεί τα προσωπικά δεδομένα των εργαζομένων του, σύμφωνα με τους νόμους και σύμφωνα με την αρχή της καλής πίστης, και να μην αποκαλύπτει οποιαδήποτε δεδομένα, εφόσον ο εργαζόμενος έχει μια εύλογη προσδοκία για την εμπιστευτική μεταχείριση των δεδομένων του αυτών. Τέλος, διάπσαρτες διατάξεις για την προστασία των προσωπικών δεδομένων υπάρχουν σε διάφορους κανονισμούς, όπως ο κανονισμό σχετικά με τις διαδικασίες και τις αρχές των εκπομπών μέσω του διαδικτύου[6] και τον κανονισμό για τους παρόχους χρήση του διαδικτύου, τον κανονισμό για τις τραπεζικές κάρτες και πιστωτικές κάρτες[7] κτλ.

Παρά το γεγονός ότι στα προαναφερόμενα νομοθετήματα περιλαμβάνονται διάφορες διατάξεις για την προστασία των προσωπικών δεδομένων, δεν υπάρχει ένα ολοκληρωμένο και συνεκτικό νομικό πλαίσιο για την προστασία των δεδομένων των υποκειμένων. Ως εκ τούτου, στις 12 Σεπτεμβρίου 2010, διεξήχθη δημοψήφισμα σχετικά με ένα πακέτο μεταρρυθμίσεων, που εισάγει τροποποιήσεις στο Τουρκικο Σύνταγμα του 1982, εισάγωντας αυστηρότερες απαιτήσεις για την προστασία των προσωπικών δεδομένων. Παρ ‘όλα αυτά, αυτή η συνταγματική προστασία των προσωπικών δεδομένων δεν υποστηρίχθηκε από την εγχώρια πολιτική εξουσία εκείνη τη στιγμή.

Πρόσφατες νομοθετικές εξελίξεις

Στις 26 Δεκεμβρίου 2014 και σύμφωνα με τους όρους προσχώρησης της Τουρκίας[8] το σχέδιο νόμου για την προστασία των δεδομένων προσωπικού χαρακτήρα που είχε εκπονηθεί το 2003[9], παρουσιάστηκε στην Προεδρία της Τουρκικής Εθνοσυνέλευσης. Αυτό το σχέδιο νόμου, το οποίο βασίζεται στην τρέχουσα Ευρωπαική Οδηγία για την προστασίας των δεδομένων και της απόφασης της Επιτροπής σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες[10], συζητήθηκε στην επιτροπή της Τουρκικής Εθνοσυνέλευσης, χωρίς ωστόσο να έχει θεσπιστεί μέχρι σήμερα. Το νομοσχέδιο αυτό δεν λαμβάνει υπόψη τις πρόσφατες εξελίξεις στον τομέα της προστασίας των δεδομένων και της ιδιωτικής ζωής στον τομέα και κυρίως επικεντρώνεται στο κράτος και όχι στα υποκείμενα των δεδομένων.

Τα κύρια βασικά χαρακτηριστικά αυτού του νομοσχεδίου θα μπορούσαν να συνοψιστούν ως εξής. Τα προσωπικά δεδομένα ορίζονται ως οποιαδήποτε πληροφορία σχετικά με ένα προσδιορισμένο ή προσδιορίσιμο φυσικό ή νομικό πρόσωπο, ενώ τα ευαίσθητα προσωπικά δεδομένα ορίζονται ως δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλή, τις πολιτικές απόψεις, τις φιλοσοφικές πεποιθήσεις, τη θρησκεία ή άλλες πεποιθήσεις…. Θα πρέπει να συλλέγονται και να επεξεργάζονται σε σχέση με τις απαιτήσεις που προβλέπονται από το νόμο και λαμβάνοντας υπόψη την αρχή της καλής πίστης, και με κριτήριο την προστασία της ιδιωτικής ζωής των υποκειμένων των δεδομένων και των ατομικών δικαιωμάτων τους. Το νομοσχέδιο υιοθετεί την αρχή του opt-in και προβλέπει τη δημιουργία μιας αρχής για την προστασία των δεδομένων, υπεύθυνο για την τήρηση του μητρώου και τον χειρισμό των αιτημάτων και παραπόνων των υποκειμένων των δεδομένων. Όσον αφορά βασικές έννοιες του πλαισίου προστασίας, όπως η συγκατάθεση των υποκειμένων, προβλέπεται ότι μόνο με τη ρητή συγκατάθεση του υποκειμένου των δεδομένων θα υποβληθούν σε επεξεργασία τα προσωπικά του δεδομένα και υπό σαφώς καθορισμένους όρους που προβλέπονται από το νόμο. Επιπλέον, το υποκείμενο των δεδομένων έχει το δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή και αυτή η ανάκληση δεν επηρεάζει τη νομιμότητα της επεξεργασίας, η οποία είχε βασιστεί στη συναίνεση, ενώ σε περίπτωση ένστασης από το υποκείμενο των δεδομένων, τα δεδομένα δεν μπορούν να να υποβάλλονται σε επεξεργασία εκτός από την εκπλήρωση των υποχρεώσεων που προβλέπονται από τους νόμους. Η επεξεργασία των ευαίσθητων δεδομένων απαγορεύεται, με ορισμένες περιορισμένες εξαιρέσεις που προβλέπονται από το άρθρο 6 και το υποκείμενο των δεδομένων πρέπει να δώσει την απερίφραστη συγκατάθεσή του για την επεξεργασία αυτού του είδους των δεδομένων.

Επιπλέον, οι υποχρεώσεις των υπευθύνων επεξεργασίας δεδομένων σχετικά με την κοινοποίηση, την ασφαλή επεξεργασία και την αποθήκευση των δεδομένων και την καταγραφή ορίζεται με σαφήνεια. Όσον αφορά τη μεταφορά των δεδομένων, προηγούμενη ρητή συγκατάθεση του υποκειμένου των δεδομένων απαιτείται κατ ‘αρχήν, ενώ αν η δικαιούχος χώρα δεν παρέχει επαρκείς εγγυήσεις, η μεταφορά μπορεί να πραγματοποιηθεί μόνο αν το υποκείμενο των δεδομένων παρέχει ρητή συναίνεση ή αν οι υπεύθυνοι της επεξεργασίας δεδομένων στον τομέα της χώρας παρέχουν γραπτή δέσμευση για την παροχή επαρκών εγγυήσεων και η ανεξάρτητη αρχή προστασίας δεδομένων επιτρέπει τη μεταφορά αυτή των δεδομένων. Η μεταφορά των ειδικών κατηγοριών δεδομένων υπόκεινται σε ακόμη αυστηρότερους όρους, που απαιτούν εκτός από τη συγκατάθεση του υποκειμένου των δεδομένων και την ύπαρξη επαρκών εγγυήσεων στη δικαιούχο χώρα και την άδεια της ΑΠΔ.

Το γεγονός ότι το νομοσχέδιο αυτό έρχεται προς ψήφιση στην Τουρκική Εθνοσυνέλευση έπειτα από πολυετή αναμονή και από έπειτα πλήρη απουσία οποιουδήποτε προστατευτικού πλαισίου για τα προσωπικά δεδομένα των πολιτών αποτελεί σίγουρα ένα θετικό στοιχείο. Ωστόσο, έντονες αντιδράσεις προκαλούν οι διατάξεις που ρυθμίζουν την λειτουργία της αρχής αυτής. Η κριτική επικεντρώνεται στο κατά πόσο η αρχή αυτή θα είναι πραγματικά ανεξάρτητη στη λήψη των αποφάσεών της, όταν τα μέλη του διοικητικου συμβουλίου εξαρτώνται άμεσα από τις εκάστοτε κυβερνητικές επιλογές.

17/02/2016

Στεφανία Μιχαήλ

Δικηγόρος Αθηνών

Νομική ερευνήτρια στο στο δίκαιο νέων τεχνολογιών-CiTiP, KU Leuven University, Belgium


[1]   Turkey 2015 Progress Report, Commission Staff Working Document, November 11, 2015 http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52015SC0216&from=EN

[2] Chart of signatures and ratifications of the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, No. 108, http://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures?p_auth=Kr4tSfeQ

[3] Constitution of Turkey of November 7, 1982, No 2709, published in the Official Gazette on November 9, 1982 https://global.tbmm.gov.tr/docs/constitution_en.pdf

[4] Turkish Criminal Code, No 5237, published in the Official Gazette on October 12, 2004 http://www.wipo.int/wipolex/en/text.jsp?file_id=247129

[5] The Turkish Labor Code entered into force on July 10, 2003, replacing the old Labor Code No. 1475.

[6] Regulation on procedures and principles of broadcasts via Internet and Regulation on mass internet use providers, Act No 5651 http://mis.antalya.edu.tr/?5651-yasasi&changelang=EN

[7] Regulation on bank cards and credit cards, No. 5464, published in the Official Gazette on March 1, 2006 http://www.tbb.org.tr/english/credit_cards_law.doc

[8] Council Decision of 18 February 2008 on the principles, priorities and conditions contained in the Accession Partnership with the Republic of Turkey and repealing Decision 2006/35/EC (2008/157/EC) http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32008D0157&from=EN

[9] Draft law on the Protection of Personal Data, http://www.kgm.adalet.gov.tr/Tasariasamalari/Tbmmkms/Tbmmkom/ki%C5%9Fisel%20veriler.pdf

[10] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data Official Journal L 281, 23/11/1995 P. 0031 – 0050 Data Protection Directive http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML





About the Author


Back to Top ↑
  • Κακόβουλο Λογισμικό – Hackers

    Της Χρύσης Χρυσοχού

    Με τη ραγδαία ανάπτυξη του διαδικτύου, των social media και του online marketing τα τελευταία χρόνια, ολοένα και περισσότεροι επαγγελματίες χτίζουν το εταιρικό τους προφίλ, των κύκλο πελατών τους και την επαγγελματική τους δραστηριότητα μέσω των επαγγελματικών ιστοσελίδων, των e-shops και των social media. Εκτός όμως από τα μεγάλα οικονομικά οφέλη που μπορεί να έχει μια επιχείρηση, απλά και μόνο από την ύπαρξη της στο διαδίκτυο, ή την διαφήμιση της μέσω διαδικτύου, μπορεί να αντιμετωπίσει και τεράστια προβλήματα από επιθέσεις hackers στον κυβερνοχώρο.

    Περισσότερα εδώ.