En el marco de la Ley No. 6698 de Protección de Datos Personales (KVKK), las responsabilidades de los empleadores que son controladores de datos en el procesamiento de datos personales son cada vez más importantes. Las decisiones del Consejo de Protección de Datos Personales enfatizan el cuidado que los controladores de datos deben tener al procesar datos personales, la importancia de mantener un inventario de datos y sus obligaciones de responder a las solicitudes que se les hagan.
De conformidad con el artículo 11 de la LPPD;
Todo el mundo puede, mediante solicitud al controlador de datos;
a) Saber si se han tratado datos personales,
b) Solicitar información si se han tratado datos personales,
c) Conocer la finalidad del tratamiento de los datos personales y si se utilizan de acuerdo con su finalidad,
ç) Conocer a los terceros a quienes se transfieren datos personales en el país o en el extranjero,
d) Solicitar la rectificación de los datos personales en caso de tratamiento incompleto o incorrecto,
e) Solicitar la supresión o destrucción de los datos personales en el marco de las condiciones estipuladas en el artículo 7,
f) Solicitar la notificación de las transacciones realizadas de conformidad con los incisos (d) y (e) a terceros a quienes se transfieran datos personales,
g) Oponerse a que se produzca un resultado en perjuicio de la propia persona mediante el análisis de los datos tratados exclusivamente a través de sistemas automatizados,
ğ) En caso de daño debido al procesamiento ilegal de datos personales,
tiene derecho a exigir una indemnización por los daños.
De conformidad con el artículo 13 de la LPPD, el interesado podrá dirigirse al responsable del tratamiento por escrito o por los medios que determine el Patronato para ejercer sus derechos. El Consejo de Protección de Datos Personales ha determinado los métodos de solicitud con el ‘Comunicado sobre los Procedimientos y Principios de Aplicación al Responsable del Tratamiento’ publicado en el Boletín Oficial del 10 de marzo de 2018 y numerado 30356. En consecuencia, se puede realizar la solicitud
- Por escrito (a mano, por correo),
- Dirección de correo electrónico registrada (KEP) ,
- Firma electrónica segura, firma móvil,
- A través de la dirección de correo electrónico previamente notificada por el interesado y registrada en el sistema.
El controlador de datos está obligado a evaluar la solicitud recibida del interesado de manera efectiva y de conformidad con la ley y la buena fe. De conformidad con el artículo 13 de la LPPD, el responsable del tratamiento está obligado a finalizar la solicitud en un plazo máximo de 30 días.
La respuesta no debe ser general y superficial y debe incluir la información solicitada de manera detallada y comprensible. El hecho de que la respuesta de los responsables del tratamiento a las solicitudes de los interesados sea general y superficial, y no revele claramente qué datos se tratan y con qué finalidad, constituye una vulneración de los principios de transparencia y rendición de cuentas.
En este contexto:
- Qué datos personales se procesan,
- Las finalidades del tratamiento de estos datos,
- La base jurídica de los datos,
- A quién se ceden los datos y
- Los períodos de retención deben estar claramente establecidos.
Es importante que los controladores de datos creen un Inventario de datos y lo mantengan actualizado para poder responder fácilmente a la respuesta que se les dará. De hecho, el inventario ya contendrá información detallada sobre los datos sujetos a la solicitud.
Entre los principios básicos respecto al tratamiento de datos personales especificados en el artículo 4 de la LPPD se encuentran los principios de ‘cumplimiento de la ley y buena fe’ y ‘tratamiento con finalidades determinadas, explícitas y legítimas’. Estos principios requieren que el controlador de datos sea abierto y responsable en sus actividades de procesamiento de datos.
El cuidado que los controladores de datos deben tener en el procesamiento de datos personales de los interesados y la importancia de la responsabilidad de mantener un inventario de datos quedan claramente demostrados por las sanciones impuestas por una respuesta inadecuada a las solicitudes.
Los controladores de datos deben llevar a cabo el procesamiento de datos personales de los interesados de manera transparente y responsable, mantener inventarios de datos detallados y de acuerdo con las regulaciones legales, determinar claramente los períodos de retención y responder a las solicitudes de los interesados en detalle.
Cabe señalar que el incumplimiento de estas responsabilidades puede dar lugar a multas administrativas de conformidad con el artículo 18 de la LPPD. Además, se deben realizar las correcciones necesarias en los procesos de procesamiento de datos de acuerdo con las instrucciones dadas por la Junta.
Como resultado, es de gran importancia que los controladores de datos cumplan con sus responsabilidades en virtud de la LPPD para evitar sanciones legales y garantizar la protección de los datos personales de los empleados.
Abogado Director Öykü Güldürmez
