ニュース
注意事項: この記事は、英語から自動翻訳されています。原文については、英語の記事をご覧ください。一部の自動翻訳が不自然な場合がありますが、予めご理解いただけますようお願い申し上げます。
Illustration of the Turkish flag.

トルコデータ保護法(KVKK)、VERBIS登録、そして2021年12月31日までにすべきこと!

Andreas Man called Michael in a suit.

Andreas Maetzler, Michael Schweiger

KVKKとは?

トルコデータ保護法(Turkish law no. 6698 - KVKK)は2016年3月に採択され、2016年4月に施行された。とりわけ、KVKKの第16条には、この法律の対象となるすべてのデータ管理者について、データ管理者登録簿(VERBIS)への登録を義務付ける規定が含まれています。さらに、トルコ国外に所在するデータ管理者は、代理人を任命することが義務付けられている。これらの義務の遵守期限は何度か延期され、最終的に2021年12月31日に失効した。

この記事で、あなたの組織がKVKKの対象となるかどうかをご確認ください!詳細はこちらをご覧ください。

1.あなたの組織はKVKKの対象ですか?

KVKK第2条は、トルコのデータ保護規則の適用範囲を定めています。KVKKは、トルコのデータ主体の個人データを処理する自然人および法人に適用されます。データ主体」とは、個人データが処理される個人を指します。「個人データ」とは、特定または識別可能な自然人に関するあらゆる情報を意味します。処理」の定義は非常に幅広く、収集、記録、保存、変更、転送など、データに対して行われるあらゆる操作が含まれます。適用除外として、個人世帯の目的に限定した処理、匿名化されたデータによる公的統計、司法当局による処理、公序良俗に反する処理などがある。

2.データ管理者登録VERBISおよびVERBIS代理人

KVKK第4条第1項第1号に基づく「データ管理者」とは、個人データ処理の目的および手段を決定する法人または自然人である。KVKK第16条は、全てのトルコ人及び非トルコ人のデータ管理者は、個人情報の処理を開始する前にデータ管理者登録簿(VERBIS)に登録しなければならないと規定しています。公証人、法律事務所、会計事務所、労働組合、政党など特定の職業のみが免除されています。トルコ人以外のデータ管理者については、売上高や従業員数による閾値がないため、トルコ人以外の小規模組織であってもKVKKの対象となる。

VERBISの登録には、企業のデータ処理活動を入力する必要があります:

  • データ・カテゴリー
  • データ対象者のカテゴリー
  • 処理目的
  • 法的根拠
  • データ移転
  • 技術的および組織的措置
  • 保存期間。

これらの記録に変更があった場合は、変更後7日以内にVERBISを通じて公表しなければならない。

この登録簿はトルコのデータ保護当局の監督下で公開される。

3.トルコ以外の管理者に対する要件

GDPR第27条と同様に、トルコのデータ保護規則には、VERBIS登録に加え、トルコにおける代理人の選任を要求する、外国データ管理者にのみ適用される規定が含まれている。GDPR以外では、データ処理者に代理人を任命する義務はありません。しかし、KVKKの適用がトルコのデータ主体のデータ処理量に依存しないことは重要です。そのため、トルコでの販売活動が限定的なB2Bサービスプロバイダーであっても、それ自体がKVKKの適用除外となるわけではありません。

代表者は、トルコのデータ保護当局およびデータ主体との窓口となり、これらの利害関係者とのコミュニケーションを処理します。情報提供義務を遵守するために個人データを収集する際には、トルコのデータ主体に対して、企業によって代理人が任命されているという事実を伝えなければなりません。さらに、代理人はVERBISへの登録を行います。一般的な法的見解では、外国の管理者自身による登録は不可能とされています。というのも、外国のデータ管理者が自己登録を試みることは、トルコのデータ保護当局に対し、代理人を任命するという要件を自ら遵守していないと宣言したのと同じことになるからです。 GDPRおよびUK-GDPRでは、公的機関に対する代理人任命の免除規定があり、例えば公立大学や政府機関はGDPR第27条(UK)に従い代理人を任命する必要がありません。しかし、前述の通り、KVKKは民間団体と公的団体を区別しておらず、公的団体による予防、保護、諜報活動についてのみ適用除外を含んでいます。 トルコにおけるデータ管理者の代理人選任プロセスは、選任に署名が必要であり、その署名は公証およびアポスチルが必要であるため、GDPRの場合よりも複雑です。エンドツーエンドのデジタルプロセスは不可能である。

4.KVKKにおけるデータ主体の権利

トルコ市場に参入する場合、外国のデータ管理者はKVKKに準拠したデータ主体の権利の取り扱いに備える必要があります。KVKK第10条は、データ管理者が個人データを収集する際、データ対象者に処理活動について通知することを義務付けています。これはプライバシー・ポリシーの中で行うことができる。管理者は、その身元、トルコにおける代表者、処理目的、データ移転、法的根拠、およびKVKKが認めるデータ主体の権利について通知しなければなりません。この情報の評価には、GDPRに基づく情報義務と同様の基準が適用されると想定されます。従って、情報は簡潔で、透明性があり、分かりやすく、明確で平易な言語を使用し、容易にアクセス可能な形式でなければなりません。トルコのデータ主体は、情報の権利の他に、以下のデータ主体の権利(DSR)を有しています:

  • アクセス権
  • 修正する権利
  • 忘れられる権利
  • 制限する権利
  • 自動化された意思決定による処理に異議を唱える権利
  • 損害賠償を請求する権利

データ主体による要求の手続きについては、トルコのデータ保護当局からコミュニケが発表されています。情報主体による要求には、氏名、住所、トルコ市民番号(TC)、連絡方法(電子メール、ファックス番号、電話番号)、そしてもちろんDSRの対象が含まれていなければなりません。管理者からの回答にも同様の情報が含まれていなければなりません。

5.違反した場合の罰金は?

開示義務違反に対しては、2022年に最高27万TLの罰金が課される可能性があります。ただし、VERBISへの登録義務違反に対しては、最高270万TLの罰金が科される可能性がある。トルコの行政罰は毎年再評価される。2021年から2022年までの増加率は36.20%である。KVKKのコンプライアンスに取り組む際には、この点に留意する必要がある。