Türkei: Verantwortliche und Auftragsverarbeiter müssen jetzt aktiv werden!
Die lang erwarteten Änderungen des türkischen Gesetzes zum Schutz personenbezogener Daten mit der Nummer 6698 (PDPL) wurden durch das Änderungsgesetz zur Strafprozessordnung und weiteren Gesetzen umgesetzt und am 12. März 2024 veröffentlicht. Die Änderungen traten am 1. Juni 2024 in Kraft, wobei der derzeitige erste Absatz von Artikel 9 PDPL der die Verfahren und Grundsätze für die Übermittlung personenbezogener Daten ins Ausland regelt, noch bis zum 1. September 2024 zusammen mit seiner geänderten Fassung weiter angewendet wird.
Im Allgemeinen wurden mit dem Änderungsgesetz neue Rechtsgrundlagen für die Verarbeitung sensibler personenbezogener Daten eingeführt (Artikel 6), neue Grundsätze und Verfahren für grenzüberschreitende Datenübermittlungen festgelegt (Artikel 9), ein neuer Bußgeldtatbestand hinzugefügt (Artikel 18 Absätze 1 und 2) und die Verwaltungsgerichte als Berufungsinstanz gegen Entscheidungen des türkischen Gremiums für den Schutz personenbezogener Daten ("Gremium") bestimmt (Artikel 18 Absatz 3).
Die Änderungen der Artikel 6 und 9 zielen darauf ab, die Bestimmungen der PDPL zur grenzüberschreitenden Datenübermittlung und zu sensiblen Daten an die DSGVO anzugleichen und gleichzeitig operative Herausforderungen zu beseitigen. Mit der Änderung von Artikel 18 Abs. 1 und 2 können Bußgelder in Höhe von 50.000 bis 1.000.000 TRY gegen Verantwortliche und Auftragsverarbeiter erlassen werden, wenn sog. Standardvertragsklauseln nicht innerhalb von fünf Tagen nach ihrer Unterzeichnung dem Board gemeldet werden. Schließlich zielt die neue Bestimmung in Artikel 18 Absatz 3 darauf ab, das Urteilsverfahren zu verbessern.
Das PDPL folgt dem Ansatz der Datenschutz-Grundverordnung und gilt für Verantwortliche sowohl innerhalb als auch außerhalb der Türkei, die Verarbeitungen durchführen, die personenbezogene Daten einer Personen in der Türkei betreffen oder Verarbeitungen durchführen, die an Personen in der Türkei gerichtet sind (durch die Bereitstellung von Waren oder Dienstleistungen in oder für die Türkei). Nach dem PDPL sind die Verantwortlichen verpflichtet, die Daten im Einklang mit dem PDPL zu verarbeiten und die nachstehend genannten Verpflichtungen zu erfüllen:
- Information der betroffenen Personen (Artikel 10)
- Beantwortung der Anfragen von betroffenen Personen (Artikel 11)
- Ergreifen organisatorischer und technischer Maßnahmen zur Datensicherheit (Artikel 12)
- Benachrichtigung bei Datenschutzverletzungen (Artikel 12 Absatz 5)
- Umsetzung der Beschlüsse des Boards (Artikel 15)
- Eintragung in das Register der Verantwortlichen (Artikel 16)
- Ernennung eines Vertreters des Verantwortlichen in der Türkei (ausschließlich für im Ausland ansässige Verantwortliche)
Um diese Verpflichtungen zu erfüllen, müssen die Verantwortlichen unter anderem ein Verzeichnis über die Verarbeitung personenbezogener Daten führen, Datenschutzhinweise veröffentlichen, Richtlinien für die Verarbeitung und Löschung personenbezogener Daten aufstellen, Verfahren für die Meldung von Datenschutzverstößen entwickeln sowohl zur internen Dokumentation als auch hinsichtlich einer Meldung an das Board und Schulungs- und Sensibilisierungsmaßnahmen durchführen.
Nach den Änderungen müssen Verantwortliche ihre Richtlinien und Maßnahmen aktualisieren, um sie an das aktuelle PDPL anzupassen, und das Board bei grenzüberschreitenden Datenübermittlungen auf der Grundlage von Standardvertragsklauseln nach deren Unterzeichnung gemäß Artikel 9 Absatz 4 innerhalb von fünf Tagen informieren.
Bitte kontaktieren Sie uns, wenn Sie Fragen haben oder wir Ihnen behilflich sein können.