Dans le cadre de la Loi n ° 6698 sur la Protection des Données Personnelles (KVKK), les responsabilités des employeurs qui sont responsables du traitement des données dans le traitement des données personnelles deviennent de plus en plus importantes. Les décisions du Conseil de Protection des Données personnelles soulignent le soin que les responsables du traitement des données doivent apporter lors du traitement des données personnelles, l’importance de tenir un inventaire des données et leurs obligations de répondre aux demandes qui leur sont faites.
Conformément à l’article 11 de la LPPD;
Chacun peut, en s’adressant au responsable du traitement des données;
a) Pour savoir si des données personnelles ont été traitées,
b) Demander des informations si des données personnelles ont été traitées,
c) Pour connaître la finalité du traitement des données personnelles et savoir si elles sont utilisées conformément à sa finalité,
ç) Connaître les tiers auxquels les données personnelles sont transférées au pays ou à l’étranger,
d) Demander la correction des données personnelles en cas de traitement incomplet ou incorrect,
e) Demander la suppression ou la destruction des données personnelles dans le cadre des conditions stipulées à l’article 7,
f) Demander la notification des transactions effectuées conformément aux alinéas (d) et (e) aux tiers auxquels les données personnelles sont transférées,
g) S’opposer à la survenance d’un résultat au détriment de la personne elle-même en analysant les données traitées exclusivement à l’aide de systèmes automatisés,
ğ) En cas de dommage dû à un traitement illicite des données personnelles,
a le droit d’exiger une indemnisation pour les dommages.
Conformément à l’article 13 de la LPPD, la personne concernée peut s’adresser au responsable du traitement des données par écrit ou par d’autres méthodes déterminées par le Conseil d’administration afin d’exercer ses droits. Le Conseil de Protection des Données à Caractère Personnel a déterminé les modalités d’application avec le « Communiqué sur les Procédures et Principes d’Application au Responsable du Traitement » publié au Journal Officiel du 10 mars 2018 et numéroté 30356. En conséquence, l’application peut être faite
- Par écrit (à la main, par courrier),
- Adresse de courrier électronique recommandé (KEP) ,
- Signature électronique sécurisée, signature mobile,
- Via l’adresse de courrier électronique préalablement communiquée par la personne concernée et enregistrée dans le système.
Le responsable du traitement des données est tenu d’évaluer la demande reçue de la personne concernée de manière efficace et conformément à la loi et de bonne foi. Conformément à l’article 13 de la LPPD, le responsable du traitement des données est tenu de finaliser la demande dans un délai de 30 jours au plus tard.
La réponse ne doit pas être générale et superficielle et doit inclure les informations demandées de manière détaillée et compréhensible. Le fait que la réponse des responsables du traitement aux demandes des personnes concernées soit générale et superficielle, et ne révèle pas clairement quelles données sont traitées et dans quel but, constitue une violation des principes de transparence et de responsabilité.
Dans ce contexte:
- Quelles données personnelles sont traitées,
- Les finalités du traitement de ces données,
- La base juridique des données,
- À qui les données sont transférées et
- Les périodes de conservation doivent être clairement indiquées.
Il est important pour les responsables de traitement de créer un Inventaire des données et de maintenir cet inventaire à jour afin de pouvoir répondre facilement à la réponse à donner. En fait, l’inventaire contiendra déjà des informations détaillées sur les données faisant l’objet de la demande.
Parmi les principes de base concernant le traitement des données à caractère personnel spécifiés à l’article 4 de la LPPD figurent les principes de « respect de la loi et de bonne foi « et de » traitement à des fins spécifiques, explicites et légitimes ». Ces principes exigent que le responsable du traitement des données soit ouvert et responsable dans ses activités de traitement des données.
Le soin que les responsables du traitement doivent apporter au traitement des données à caractère personnel des personnes concernées et l’importance de la responsabilité de tenir un inventaire des données sont clairement démontrés par les sanctions imposées en cas de réponse inadéquate aux demandes.
Les responsables du traitement des données doivent effectuer le traitement des données à caractère personnel des personnes concernées de manière transparente et responsable, tenir des inventaires détaillés des données et conformément aux réglementations légales, déterminer clairement les durées de conservation et répondre en détail aux demandes des personnes concernées.
Il convient de noter que le non-respect de ces responsabilités peut entraîner des amendes administratives conformément à l’article 18 de la LPPD. En outre, les corrections nécessaires devraient être apportées aux processus de traitement des données conformément aux instructions données par le Conseil.
Par conséquent, il est très important que les responsables du traitement des données s’acquittent de leurs responsabilités en vertu de la LPPD afin d’éviter les sanctions légales et d’assurer la protection des données personnelles des employés.
Avocat Directeur Öykü Güldürmez
