سيتم نقل مسودة قانون حماية البيانات الشخصية الى رئاسة مجلس الامة التركي الكبير بتاريخ 18 كانون الثاني/ يناير 2016. لقد تم اقرار قانون حماية البيانات الشخصية من خلال الموافقة من قبل الادارة العامة لمجلس الامة التركي الكبير بتاريخ 24 اذار / مارس 2016 ولقد دخل حيز التنفيذ بعد نشرها في الجريدة الرسمية بالعدد 29677 وبتاريخ 7 نيسان/ابريل 2016. ولقد وصلت الى حالة فعالة بعد اكمال فترة مرور القانون بتاريخ 7 نيسان/ ابريل 2018. لقد تم اعطا المسؤوليات الذي يتوجب تطبيق جزء منها قي المشغلات لقانون حماية البيانات الشخصية اعتبارا من هذا القانون.
لقد تم تعريف الهدف من نشر هذا القانون على انه "يجمل هدف تعديل القواعد والشروط الذي سيتم تطبيقه بالاشتراك مع الاحمال والمسؤوليات الخاصة بالاشخاص او الكيانات الحقيقية والقانونية الذين يقومون باشتغال البيانات الشخصية وحماية الحقوق والحريات الاساسية للاشخاص على ان يكون سرية الحياة الخاصة في مقدمتها عند اشتغال البيانات الشخصية."
ومن اجل هذا الهدف يجب ان يتم اتخاذ الاجراءات والقيام بالعودة بالزمن لطلبات البيانات الشخصية القادمة وامحاء البيانات الشخصية المنتهية مدة حفظها بشكل دوري وتعديل البنية التحتية التقنية واتخاذ التدابير الادارية, القيام باعمال التوثيق, الحصول على الموافقة الصريحة في الحالات الضرورية, اعطاء البيان بمعايير محددة, ابلاغ الاشخاص المعنيين, اتخاذ التدابير بالشكل المبين في القانون من اجل جميع البيانات الشخصية الذي يتم اشتغالها في المشغلات لهذا الغرض.
ان الكشف الخاطئ في الحقيقة ولكن الذي يعتقد انها صحيحة جدا في القطاع كما هو مبين في الآتي؛
- نحن مؤسسة حكومية. لن يتم اعطاء العقوبات للمؤسسات الحكومية.
- ان شروط القانون لايشملني من اجل عدم دخول اعلام البيانات ضمن شمولية النظام.
- سأقوم باخراج جردي بنفسي. يمكنني تنفيذ هذه الفترات دون الحصول على الدعم.
- لايزال لدي الكثير من الوقت. سنقوم بها بحلول الوقت.
- لن تقوم محماية البيانات الشخصية بلمسي طوال المدة التي لا اقدم الشكوى فيها ويتم اجراء المقارنة عن طريق التوعية الخاطئة.
- يتم أخذ الفترات الادارية, التقنية والقانونية بنظر الاعتبار خلال فترات تطبيق القانون. يتم النظر الى انه قد تم القيام باعمال الملائمة الذي تم انجازها من خلال التفكير من طرف واحد بشكل خاطئ.
نظام معلومات البيانات (VERBİS)
ما هي البيانات الشخصية للمؤسسات من اجل ادخال قوانين جديدة الى الحياة في تركيا, لأي هدف يتم اشتغاله, كيف يتم حفظه, ما هي المدة الزمنية لحفظه, مع من يتم مشاركته وهل يمكن ان يتم تحويله الى خارج القطر؟ كان هناك انحرافات اثناء القيام بتحليل المشغلات في تحليل المعايير وما شابه. ان نظام معلومات البيانات لمؤسسة حماية البيانات الشخصية (Verbis) عبارة عن المحددات التي تستوجب اشتغال البيانات الشخصية وحمايتها باتجاه هذا البيان والقيام بانجاز التحليلات الخاصة بالمشغل بدون نقص من اجل ادخالها الى الحياة. لقد تم اعطاء بعض القطاعات من Verbis. مثال؛ الجمعيات, الاوقاف, المحاميين, المستشارين الماليين, كاتب العدل وما شابه.
اما من اجل عدم اعفاء المؤسسات من Verbis؛
- ان يكون معلومات الميزانية السنوية اكثر من 25 مليون ليرة
- ان يكون عدد الموظفين اكثر من 50
- الحاصلين على البيانات الشخصة ذات المؤهلات الخاص لاغلبية البيانات الشخصية التي تم اشتغالها بالاشتراك مع الفعاليات والنشاطات الرئيسية.
فترات Verbis؛
مسؤول البيانات |
تاريخ بداية تنفيذ التسجيل |
التاريخ الاخير لتنفيذ التسجيل |
مسؤول البيانات الشخص الحقيقي والقانوني الذي يكون مجموع ميزانيته المالية السنوي السنوية وعدد العمال السنويين 25 مليون. |
01.10.2018 |
30.06.2020 |
مسؤول البيانات الشخصية الحقيقية والقانونية المترتبة في خارج القطر. |
01.10.2018 |
30.06.2020 |
مسؤول البيانات الشخصية الحقيقية والقانونية الذي يتم فيها اشتغال البيانات الشخصية ذات المؤهلات الخاصة الذي هو موضوع الفعاليات والنشاطات الرئيسية ةالذي يكون مجموع ميزانيتها المالينة السنوي أقل من 25 مليون ليرة تركية وعدد العاملين السنويين فيها أقل من 50. |
01.01.2019 |
30.09.2020 |
مسؤول البيانات للدوائر والمؤسسات العامة |
01.04.2019 |
31.12.2020 |
التدابير الادارية والتقنية؛
يتطلب القانون اتخاذ التدابير التقنية والادارية المبينة في ادناه فيما يتعلق بحماية البيانات الشخصية للمشغلات. يتم انتظار المشلات عقوبات كبيرة في موضوع نقص التدابير التقنية والادارة لحظة حصول اي اخلال.
التدابير الادارية؛
- تجهيز جرد اشتغال البيانات الشخصية
- السياسات المؤسساتية (الوصول, حماية المعلومات, الاستعمال, الحفظ والامحاء وما شابه)
- العقود
- التعهدات اليرية
- الاشراف بشكل دوري و/او عشوائي داخل المؤسسة
- تحليلات الخطورة
- عقد العمل, ادارة الانضباط (اضافة الاحكام المناسبة للقانون)
- الاتصال المؤسساتي (ادارة الازمة, فترات اعلام الشخص او المؤسسة ذات العلاثة, ادارة الاعتبار وما شابه)
- الفعاليات والنشاطات الخاصة بالتدريب والتوعية (حماية المعلومات وقانونها)
- اعلام نظام معلومات سجل مسؤول البيان (VERBİS)
التدابير التقنية ؛
- مصفوفة الصلاحية
- فحص الصلاحية
- شعارات الوصول
- ادارة حساب المستخدم
- حماية الشبكة
- حماية التطبيق
- التشفير
- اختبار الاختراق
- انظمة الكشف عن الهجمات ومكافحتها
- تسجيلات السجل
- حجب البيانات
- برامجيات مكافحة فقدان المعلومات
- النسخ الاحتياطي
- جدار الحماية
- انظمة مضادات – الفايروسات المستحدثة
- المسح, الامحاء او احضارها الى حالة مجهولة
- ادارة المفتاح
اعمال التوثيق ؛
يتم استخدام نظريات تجهيز المستندات الذي تم ذكرها والمبينة في التعليمات والارشاد ودليل الاستعمال الذي تم نشر عدد كبير من القوانين في اعمال الملائمة لقانون حماية البيانات الشخصية. في الحقيقة اذا ما تم النظر بشكل صحيح فانه عبارة عن دراسة ناقصة. ان تجهيز المستندات الاضافية الذي سيقوم باحياء القانون من خلال النظر الى المعدل الذي يتواجد فيها البيانات الشخصية الذي قاموا باشتغالها, فتراتها, المواصفات القياسية التي تمتلكها, هيكلية المؤسسة تعرض اهمية كبيرة.
ان المستندات الاساسية المطلوب انجازها ضمن شمولية القانون هي؛
- ابلاغ البيانات الشخصية
- الموافقة الصريحة
- سياسات حماية البيانات الشخصية
- سياسات حفظ وامحاء البيانات الشخصية
- طرق طلب البيانات الشخصية
- جرد البيانات الشخصية
من المهم ان تبقى المستندات الذي تم ذكر اسمائها في اعلاه محددة.
من المهم ان يتم تقييم ملائمة محتويات المستندات من الناحية القانونية. من الممكن ان يتم اجراء اعادة البناء القانوني في نتيجة المستندات الذي تم نشرها بشكل خاطئ او ناقص.
خطوات الخدمات من اجل مشروع قانون حماية البيانات الشخصية
يقوم UITSEC بتوفير اشتغال فترات ملائمة المشغلات للقانون بدون مشاكل من خلال التدقيق في فترات الملائمة لقانون حماية البيانات الشخصية بجميع اتجاهاتها بواسطة الوحدات والعاملين المختصين الذين لهم خبرة في القطاع. يتم تقديم الاعمال الذي تم انجازها الى المشغلات بشكل كامل والذي يتم تدقيقها من قبل الموظفين المختصين في موضوع الفترات القانونية والادارية والتقنية الذي يتم الحاجة الى متطلباته من اجل تطبيق القانون.
يتم متابعة الخطوات المبينة في ادناه في المشغلات ؛
- تحديد الادوار والمسؤوليات
- تحديد استيراتيجيات التشغيل واهدافها
- تجهيز جرد البيانات الشخصية. طوال مدة تجهيز الجرد؛
- تحديد فترات العمل
- الكشف عن الاشخاص المعنيين
- الكشف عن البيانات المستلمة
- الكشف عن اهداف اخذ البيانات الشخصية
- اكشف عن طرق الحصول على البيانات الشخصية
- تحديد الاطراف التي تقوم بمشاركة البيانات الشخصية
- تحديد طرق مشاركة البيانات الشخصية
- تحديد فترات حفظ البيانات الشخصية
- تحديد مشاكرة البيانات الشخصية في خارج القطر
- تحديد معدل مشاركة البيانات الشخصية داخل المؤسسة
- المصدر القانوني للبيانات الشخصية
- تسيير فترات التسجيل في Verbis.
- تجهيز السياسة المتعلقة بأمن البيانات
- تحديد طرق التوزيع وتنفيذ الاحمال والمسؤوليات الخاصة بالابلاغ
- تحديد طرق الاتصال بالشخص المعني
- تحديد الموافقات الصريحة
- تقديم التوصية من اجل التدقيق في المستندات الحالية وتحسينها
- تشكيل مصفوفة صلاحية لوصول البيانات الشخصية
- التدقيق في الصلاحيات الموجودة والاعلام بانها
- القيام بتحليل خطورة البيانات الشخصية
- التدقيق في التدابير الادارية
- التدقيق في التدابير التقنية
- تقديم التدريبات
- تحقيق تدقيق العمل وعمل تقرير وتصحيح نتائجها
- التدقيق في العقود من الناحية القانونية
- تشكيل مبادئ الامحاء, الادارة وما شابه والمتعلقة باستخدام البيانات الشخصية.
- الكسف عن معايير تقييم تحليل مقياس المتابعة.