Im Rahmen des Gesetzes Nr. 6698 über den Schutz personenbezogener Daten (KVKK) werden die Verantwortlichkeiten von Arbeitgebern, die für die Verarbeitung personenbezogener Daten verantwortlich sind, immer wichtiger. Die Beschlüsse des Ausschusses für den Schutz personenbezogener Daten unterstreichen die Sorgfalt, die die für die Datenverarbeitung Verantwortlichen bei der Verarbeitung personenbezogener Daten walten lassen sollten, die Bedeutung der Führung eines Dateninventars und ihre Verpflichtungen, auf an sie gerichtete Anträge zu reagieren.
Gemäß Artikel 11 der LPPD;
Jeder kann, indem er sich an den Datenverantwortlichen wendet;
a) Zu erfahren, ob personenbezogene Daten verarbeitet wurden,
b) Auskunft zu verlangen, ob personenbezogene Daten verarbeitet wurden,
c) Den Zweck der Verarbeitung personenbezogener Daten zu erfahren und ob sie in Übereinstimmung mit ihrem Zweck verwendet werden,
ç) Die Dritten zu kennen, an die personenbezogene Daten im In- oder Ausland übermittelt werden,
d) Bei unvollständiger oder unrichtiger Verarbeitung die Berichtigung personenbezogener Daten zu verlangen,
e) Die Löschung oder Vernichtung personenbezogener Daten im Rahmen der in Artikel 7 festgelegten Bedingungen zu verlangen,
f) die Benachrichtigung der gemäß den Buchstaben d und e getätigten Transaktionen an Dritte, an die personenbezogene Daten übermittelt werden, zu verlangen,
g) Dem Eintreten eines Ergebnisses zum Nachteil der Person selbst zu widersprechen, indem die verarbeiteten Daten ausschließlich durch automatisierte Systeme analysiert werden,
ğ) Im Schadensfall aufgrund rechtswidriger Verarbeitung personenbezogener Daten,
hat das Recht, Schadensersatz zu verlangen.
Gemäß Artikel 13 der LPPD kann sich die betroffene Person schriftlich oder auf andere vom Ausschuss festgelegte Weise an den für die Verarbeitung Verantwortlichen wenden, um ihre Rechte auszuüben. Der Ausschuss für den Schutz personenbezogener Daten hat die Antragsverfahren mit dem im Amtsblatt vom 10. März 2018 unter der Nummer 30356 veröffentlichten Kommuniqué über die Verfahren und Grundsätze der Antragstellung beim für die Verarbeitung Verantwortlichen festgelegt. Dementsprechend kann der Antrag gestellt werden
- Schriftlich (handschriftlich, per Post),
- Registrierte E-Mail-Adresse (KEP),
- Sichere elektronische Signatur, mobile Signatur,
- Über die zuvor von der betroffenen Person mitgeteilte und im System registrierte E-Mail-Adresse.
Der Datenverantwortliche ist verpflichtet, den von der betroffenen Person eingegangenen Antrag wirksam und in Übereinstimmung mit dem Gesetz und nach Treu und Glauben zu bewerten. Gemäß Artikel 13 der LPPD ist der Datenverantwortliche verpflichtet, den Antrag spätestens innerhalb von 30 Tagen abzuschließen.
Die Antwort sollte nicht allgemein und oberflächlich sein und die angeforderten Informationen detailliert und verständlich enthalten. Die Tatsache, dass die Antwort der für die Datenverarbeitung Verantwortlichen auf die Anträge der betroffenen Personen allgemein und oberflächlich ist und nicht klar erkennen lässt, welche Daten zu welchem Zweck verarbeitet werden, verstößt gegen die Grundsätze der Transparenz und Rechenschaftspflicht.
In diesem Zusammenhang:
- Welche personenbezogenen Daten verarbeitet werden,
- Die Zwecke der Verarbeitung dieser Daten,
- Die Rechtsgrundlage der Daten,
- An wen die Daten übermittelt werden und
- Aufbewahrungsfristen sollten klar angegeben werden.
Für Datenverantwortliche ist es wichtig, ein Dateninventar zu erstellen und dieses Inventar auf dem neuesten Stand zu halten, um einfach auf die zu erteilende Antwort reagieren zu können. Tatsächlich enthält das Inventar bereits detaillierte Informationen zu den Daten, die Gegenstand des Antrags sind.
Zu den Grundprinzipien für die Verarbeitung personenbezogener Daten gemäß Artikel 4 der LPPD gehören die Grundsätze der Einhaltung der Gesetze und von Treu und Glauben sowie die Verarbeitung für bestimmte, eindeutige und rechtmäßige Zwecke. Diese Grundsätze verlangen vom Datenverantwortlichen, bei seinen Datenverarbeitungstätigkeiten offen und rechenschaftspflichtig zu sein.
Die Sorgfalt, die die für die Datenverarbeitung Verantwortlichen bei der Verarbeitung personenbezogener Daten von betroffenen Personen walten lassen sollten, und die Bedeutung der Verantwortung für die Führung eines Dateninventars zeigen sich deutlich in den Sanktionen, die für eine unzureichende Beantwortung von Anträgen verhängt werden.
Datenverantwortliche müssen die Verarbeitung personenbezogener Daten betroffener Personen transparent und rechenschaftspflichtig durchführen, Datenbestände detailliert und in Übereinstimmung mit den gesetzlichen Vorschriften führen, die Aufbewahrungsfristen klar festlegen und auf die Anträge betroffener Personen detailliert reagieren.
Es ist zu beachten, dass die Nichteinhaltung dieser Pflichten zu Verwaltungsstrafen gemäß Artikel 18 der LPPD führen kann. Darüber hinaus sollten notwendige Korrekturen in Datenverarbeitungsprozessen gemäß den Anweisungen des Vorstands vorgenommen werden.
Daher ist es für die für die Verarbeitung Verantwortlichen von großer Bedeutung, ihre Pflichten gemäß der LPPD zu erfüllen, um rechtliche Sanktionen zu vermeiden und den Schutz der personenbezogenen Daten der Mitarbeiter zu gewährleisten.
Direktor Rechtsanwalt Öykü Güldürmez
