UitSec Logo

Закон о защите личных данных

Проект закона о защите персональных данных был представлен в Президиум Великого национального собрания Турции 18 января 2016 года. Роскомнадзор был принят Генеральной ассамблеей Великого национального собрания Турции 24 марта 2016 года и принят и вступил в силу после того, как был принят. опубликовано в «Официальном вестнике» от 7 апреля 2016 года под номером 29677. 7 апреля 2018 года переходный период Закона завершился и вступил в силу. С этой даты Роскомнадзор возложил на бизнес ряд обязанностей, которые необходимо выполнять.   

 

Целью публикации Закона является «защита основных прав и свобод людей, особенно неприкосновенности частной жизни, при обработке персональных данных, а также регулирование обязательств и правил, которым должны следовать физические и юридические лица, которые обрабатывать личные данные ». был определен как. 

 

С этой целью предприятиям следует предпринять действия, предусмотренные Законом, в отношении всех обрабатываемых ими персональных данных, проинформировать соответствующих лиц, сделать заявление в соответствии с определенными критериями, получить явное согласие, когда это необходимо, провести документированные исследования, принять административные меры и организовать их техническое обслуживание. инфраструктура, периодически должна уничтожать свои персональные данные, своевременно отвечать на входящие запросы персональных данных и принимать меры.

 

Представления, которые считаются наиболее правильными в отрасли, но на самом деле ошибочны;

  • Мы государственное учреждение. Государственные учреждения не наказываются. 
  • Поскольку я не нахожусь в сфере действия Информационной системы данных, положения Закона меня не распространяют.
  • Я провожу инвентаризацию самостоятельно. Я могу запускать эти процессы без поддержки 
  • У нас больше времени. Мы сделаем это, когда придет время. 
  • Пока не поступит жалоба, Институт КВК меня не трогает.

Встречаются и т. Д. Неправильные представления. 

Следует отметить, что существуют административные, технические и юридические процессы в соответствии с законом. Похоже, что исследования по гармонизации, проведенные с односторонним учетом, были сделаны неправильно. 

 

Информационная система данных (VERBIS)

 

Поскольку Закон только что вступил в силу в Турции, каковы личные данные учреждений, с какой целью, как они хранятся, как долго они хранятся, кому они передаются, есть ли какие-либо передачи за границу? И т.д. Были отклонения, когда предприятия анализировали анализ критериев. Он заявил, что, внедряя информационную систему данных (Verbis) учреждения KVK, предприятия должны проводить свой анализ полностью, а отдельные лица должны обрабатывать и защищать данные в соответствии с этим заявлением. Некоторые секторы были признаны освобожденными от Verbis. Например; Ассоциация, фонд, юрист, финансовые консультанты, нотариусы и т. Д.      

 

Для учреждений, которые не освобождены от Verbis;

  • Те, чья годовая балансовая информация превышает 25 миллионов турецких лир.
  • Те, у кого более 50 сотрудников
  • Основным видом деятельности или большей частью обрабатываемых персональных данных являются особые категории персональных данных.

Как определено. Эти предприятия обязаны подавать декларации до установленных законом сроков. 

 

Продолжительность для Verbis;

 

Контроллеры данных

Дата начала обязательной регистрации

Срок подачи заявки на регистрацию

Контроллеры данных физических и юридических лиц со штатом более 50 сотрудников в год или с годовым финансовым балансом более 25 миллионов турецких лир

01.10.2018

30.06.2020

Контроллеры данных физических и юридических лиц, проживающие за границей

01.10.2018

30.06.2020

Контроллеры данных физических и юридических лиц с менее чем 50 сотрудниками и годовым финансовым балансом менее 25 миллионов турецких лир, основной сферой деятельности которых является обработка специальных персональных данных

01.01.2019

30.09.2020

Контроллеры данных государственных учреждений и организаций

01.04.2019

31.12.2020

 

 

Административные и технические меры;

Закон требует от предприятий принимать следующие административные и технические меры в отношении безопасности личных данных. Крупные штрафы ждут бизнес за отсутствие административных и технических мер в случае нарушения. 

 

Административные меры;

 

  • Подготовка описи обработки персональных данных
  • Корпоративные политики (доступ, информационная безопасность, использование, хранение и утилизация и т. Д.)
  • Контракты
  • Обязательства по конфиденциальности
  • Внутренние периодические и / или случайные аудиты
  • Анализ риска
  • Трудовой договор, дисциплинарное регулирование (добавление правовых норм)
  • Корпоративные коммуникации (антикризисное управление, информирование совета и соответствующего лица, управление репутацией и т. Д.)
  • Образовательная и информационная деятельность (информационная безопасность и право)
  • Уведомление в информационной системе реестра контроллеров данных (VERBIS)

 

Технические меры;

 

  • Матрица полномочий
  • Авторитетный контроль
  • Журналы доступа
  • Управление учетной записью пользователя
  • Сетевая безопасность
  • Безопасность приложений
  • Шифрование
  • Тест на проникновение
  • Системы обнаружения и предотвращения вторжений
  • Журнал записей
  • Маскировка данных
  • Программное обеспечение для предотвращения потери данных
  • Резервное копирование
  • Межсетевые экраны
  • Современные антивирусные системы
  • Удаление, уничтожение или анонимизация
  • Ключевой менеджмент

 

Документированные исследования:

 

Предприятия в основном используют метод подготовки документов, упомянутых и указанных в руководствах, руководствах и положениях, опубликованных в Законе, в своих исследованиях соответствия Роскомнадзор. На самом деле это незавершенная работа, хотя она может показаться правильной. Структура учреждения, стандарты, которые у него есть, его процессы, среда, в которой находятся обрабатываемые ими персональные данные и т. Д. Важно подготовить дополнительные документы, которые учреждение может поддерживать.   

Основные документы, которые необходимо оформить в рамках закона;

 

  • Раскрытие личных данных
  • Явное согласие
  • Политика защиты персональных данных
  • Политика хранения и удаления персональных данных
  • Способы запроса персональных данных
  • Инвентаризация личных данных

 

Важно, чтобы это не ограничивалось указанными выше документами. Важно оценить совместимость содержания документов с юридической точки зрения. Некорректная или неполная публикация документов может иметь правовые последствия.  

 

Этапы обслуживания для проекта Орган по защите персональных данных

 

UITSEC, со своими опытными сотрудниками и подразделениями с отраслевым опытом, исследует процессы соответствия Роскомнадзор во всех аспектах и ​​обеспечивает бесперебойную работу процессов соответствия на предприятиях. Технические, административные и правовые процессы, требуемые Законом для гармонизации, изучаются экспертным персоналом, а исследования представляются предприятиям в целом. 

 

Следующие шаги выполняются в бизнесе;

 

  • Определение ролей и обязанностей
  • Определение бизнес-стратегии и целей
  • Подготовка инвентаризации персональных данных. В процессе подготовки инвентаризации; 
    • Определение бизнес-процессов
    • Идентификация соответствующих лиц
    • Обнаружение полученных данных
    • Определение целей сбора персональных данных
    • Определение способов получения персональных данных
    • Выявление сторон, которым передаются личные данные
    • Определение способов передачи персональных данных
    • Определение сроков хранения персональных данных
    • Определение международного обмена личными данными
    • Определение среды обмена личными данными для учреждения
    • Юридические ссылки на личные данные
  • Управление процессом регистрации в Verbis
  • Подготовка политик по безопасности данных
  • Выполнение светотехнических обязательств и определение способов распространения.
  • Определение способов связи с контактным лицом
  • Определение выраженного согласия
  • Обзор существующих документов и рекомендации по улучшению
  • Создание матрицы авторизации доступа к персональным данным
  • Изучение существующих полномочий и брифинги
  • Анализ рисков персональных данных
  • Рассмотрение административных мер
  • Экспертиза технических мероприятий
  • Проведение тренингов
  • Проведение внутреннего аудита, отчетность и исправление выводов
  • Экспертиза договоров с правовой точки зрения
  • Уничтожение, управление и т. Д., Связанные с использованием личных данных. установление процедур 
  • Определение критериев мониторинга, измерения, анализа и оценки
Содержание
© 2020 UITSEC. Все права защищены.