حماية البيانات الشخصية في قانون العمل التركي

حماية البيانات الشخصية وقانون العمل

تنظم القواعد والإجراءات المتعلقة بحماية البيانات الشخصية بموجب القانون. وفي هذا السياق، فإن قانون حماية البيانات الشخصية رقم 6698 يعرّف البيانات الشخصية على أنها أي معلومات تتعلق بشخص محدد أو يمكن تحديده. تشمل هذه البيانات معلومات الهوية، الأصل، الخصائص الفيزيائية، المعلومات الصحية، الحالة التعليمية، التاريخ الوظيفي، مكان الإقامة، العضويات في الجمعيات والنقابات، المهنة، المعلومات المالية، السجل الجنائي، رقم الهاتف، الصور، المعلومات الجينية، معلومات الاتصال، الأنشطة على وسائل التواصل الاجتماعي وأي بيانات أخرى تحدد الشخص.

مفهوم معالجة البيانات الشخصية يعني الحصول على البيانات الشخصية، تسجيلها، تخزينها، الحفاظ عليها، تغييرها، إعادة تنظيمها، الإفصاح عنها، نقلها، استلامها، إتاحتها، تصنيفها أو منع استخدامها بأي طريقة كانت بشكل كلي أو جزئي عبر وسائل آلية أو غير آلية.

لا يمكن معالجة البيانات الشخصية دون موافقة صريحة من الشخص المعني. في حال وجود أحد الشروط التالية، يمكن معالجة البيانات الشخصية دون الحاجة لموافقة صريحة من الشخص المعني:

إذا كانت المعالجة منصوص عليها صراحة في القوانين.

إذا كان من الضروري لحماية حياة أو سلامة الشخص نفسه أو شخص آخر ولا يمكن الحصول على موافقته بسبب استحالة فعلية.

إذا كانت معالجة البيانات ضرورية لإقامة أو تنفيذ عقد مرتبط مباشرة.

إذا كانت المعالجة ضرورية للامتثال للالتزامات القانونية للمسؤول عن البيانات.

إذا كانت البيانات قد تم نشرها من قبل الشخص المعني بنفسه.

إذا كانت المعالجة ضرورية لإقامة أو استخدام أو حماية حق.

إذا كانت المعالجة ضرورية لمصالح مشروعة للمسؤول عن البيانات دون الإضرار بالحقوق والحريات الأساسية للشخص المعني.

لا شك أن الترتيبات المنصوص عليها في قانون حماية البيانات الشخصية ملزمة أيضًا لأطراف علاقة العمل. وتنعكس هذه الالتزامات في عدة مظاهر في القوانين الأخرى.

المادة 75 من قانون العمل تنص على أن صاحب العمل ملزم بتنظيم ملف شخصي لكل عامل يتضمن معلومات الهوية وكل الوثائق والسجلات التي يجب تنظيمها بموجب قانون العمل والقوانين الأخرى، ويجب عليه إظهارها عند الطلب للموظفين والمسؤولين المختصين. كما أن حدود هذه الالتزامات مرسومة باستخدام المعلومات التي تم الحصول عليها عن العامل بشكل قانوني ووفق قواعد النزاهة، وملزم بعدم الكشف عن هذه المعلومات إذا كان للعامل مصلحة مشروعة.

المادة 419 من قانون الالتزامات التركي رقم 6098 تمنح صاحب العمل حق معالجة البيانات الشخصية للعامل بقدر ما يتعلق بمدى ملاءمة العامل للعمل أو إذا كان ذلك ضرورياً لتنفيذ عقد العمل.

المادة 15 من قانون الصحة والسلامة المهنية رقم 6331 تلزم بالحفاظ على سرية البيانات التي تم الحصول عليها نتيجة الفحوص الصحية التي يجب إجراؤها بناءً على المخاطر الصحية والسلامة التي قد يتعرض لها العمال في مكان العمل، وذلك لحماية الخصوصية وسمعة العامل.

ما هو نطاق وحدود حق إدارة صاحب العمل؟

عقد العمل هو عقد يلتزم فيه العامل بأداء عمله بتبعية، ويلتزم صاحب العمل بدفع الأجر، ويشمل عنصر التبعية التزام العامل بالتصرف وفق أوامر وتعليمات صاحب العمل. وتمنح العلاقة الهرمية الناجمة عن أوامر وتعليمات صاحب العمل الحق في إدارة العمل. في هذا السياق، لا يمكن الحديث عن حق إدارة غير محدود لصاحب العمل الذي يتمتع بسلطة أقوى مقارنة بالعامل الذي يعتمد اقتصاديًا ويكون في موقف ضعيف ماديًا. على الدولة اتخاذ التدابير اللازمة لحماية العاملين والعاطلين عن العمل، ودعم العمل، ومنع البطالة، وخلق بيئة اقتصادية مناسبة لضمان السلام في العمل، بما يتماشى مع مبدأ حماية العامل في علاقة العمل. وبالتالي، يتبين أن حق إدارة صاحب العمل له معنى محدود، حيث يتم تقييد حق إدارة صاحب العمل بمصادر مثل الدستور، القوانين، اللوائح، الاتفاقيات الجماعية/الفردية، لوائح العمل، وتطبيقات مكان العمل. وآلية الحماية الأكثر أهمية التي تحدد حدود حق إدارة صاحب العمل هي الحقوق والحريات الأساسية المضمونة دستوريًا للعامل.

الخصوصية هي أحد الحقوق والحريات الأساسية التي يجب حمايتها، وتتعلق بحقوق الشخصية للعامل. يحق لكل شخص احترام حياته الخاصة والعائلية، وحماية بياناته الشخصية. يشمل هذا الحق الحصول على معلومات عن البيانات الشخصية المتعلقة به، والوصول إليها، وطلب تصحيحها أو حذفها، ومعرفة ما إذا كانت تستخدم وفقًا للأغراض المحددة أم لا.

من الواضح أن التدخل في الخصوصية أصبح أسهل وأكثر شيوعًا في كل مجالات الحياة مع التحولات الناجمة عن التطورات التكنولوجية. عند النظر في تأثير هذا الوضع على علاقة العمل، يمكن القول إن أصحاب العمل يتمتعون بالبنية التحتية اللازمة لمراقبة وتتبع الأنشطة مثل المكالمات الهاتفية للعاملين، تاريخ الإنترنت، محتويات البريد الإلكتروني، سجلات المركبات، تسجيلات الفيديو، أو أنظمة التعرف التي تستخدم للرقابة على الدخول والخروج، وغالباً ما يتم اللجوء إلى هذه الإمكانيات. هذه الإمكانيات تتيح الوصول إلى ومعالجة البيانات الشخصية للعاملين، وتفرض مبدأ حماية العامل اللجوء إلى تنظيمات لمنع حدوث انتهاكات في هذه المجالات ولعدم تجاوز حدود حق الإدارة.

المبادئ الحاكمة لمعالجة بيانات العامل الشخصية في إطار قانون حماية البيانات الشخصية

يربط قانون حماية البيانات الشخصية المسؤول عن البيانات ببعض المبادئ في عملية معالجة البيانات. عند معالجة بيانات العامل الشخصية، يجب على صاحب العمل الامتثال للمبادئ التالية ومتطلباتها:

يجب أن تتم عملية المعالجة بما يتوافق مع القانون وقواعد النزاهة.

يلتزم صاحب العمل عند معالجة بيانات العامل الشخصية بالتصرف وفقًا للقوانين وجميع التشريعات الأخرى، والتصرف كشخص معقول وصادق.

يجب أن تكون البيانات الشخصية صحيحة ومحدثة عند الضرورة.

يفرض هذا المبدأ على صاحب العمل الالتزام بالتحقق من معالجة بيانات العامل الشخصية بشكل يتوافق مع الحقيقة وتحديثها عند الضرورة، ووضع سياسة للبيانات عند الحاجة.

يجب معالجة البيانات لأغراض محددة، واضحة ومشروعة.

يمكن لصاحب العمل معالجة بيانات العامل الشخصية لأغراض محددة بوضوح يمكن للعامل فهمها، وبأسباب واضحة ومفهومة.

يجب معالجة البيانات الشخصية بطريقة تتعلق بالغرض، محدودة ومتناسبة.

يجب على صاحب العمل معالجة البيانات بما يتناسب مع متطلبات علاقة العمل وطبيعة العمل.

يجب الاحتفاظ بالبيانات الشخصية لمدة تحددها التشريعات أو للمدة اللازمة للأغراض التي تم معالجتها من أجلها.

يجب تحديد مدة الاحتفاظ بالبيانات بناءً على أحكام التشريعات، طبيعة البيانات، أحكام المسؤولية ومصالح العامل المشروعة.

التزامات صاحب العمل في معالجة البيانات الشخصية

المسؤول عن البيانات هو الشخص الطبيعي أو الاعتباري الذي يحدد أغراض ووسائل معالجة البيانات الشخصية، ويكون مسؤولاً عن إنشاء وإدارة نظام تسجيل البيانات، ويعادل صفة صاحب العمل في علاقة العمل.

التسجيل في سجل مسؤولي البيانات

يجب على الأشخاص الطبيعيين والاعتباريين الذين يعالجون البيانات الشخصية التسجيل في سجل مسؤولي البيانات قبل بدء معالجة البيانات. ومع ذلك، يمكن للمجلس إعفاء التسجيل في سجل مسؤولي البيانات بناءً على معايير موضوعية يحددها، مثل طبيعة البيانات الشخصية المعالجة، عددها، مصدر معالجة البيانات من القانون أو نقلها إلى أطراف ثالثة. يجب على المسؤولين عن البيانات المسجلين إعداد سياسة لحفظ وإتلاف البيانات الشخصية وفقًا لجرد معالجة البيانات الشخصية. ويجب عليهم توضيح الأنشطة المتعلقة بمعالجة البيانات الشخصية التي يقومون بها بناءً على أغراض معالجة البيانات الشخصية، فئة البيانات، مجموعة المستلمين الذين يتم نقل البيانات إليهم، مجموعة الأشخاص الذين تتعلق بهم البيانات، والحد الأقصى المدة اللازمة للأغراض التي تم معالجتها من أجلها، وتفاصيل نقل البيانات الشخصية إلى دول أجنبية، والتدابير الأمنية المتخذة لحماية البيانات.

واجب الإعلام

يجب على صاحب العمل عند الحصول على البيانات الشخصية إبلاغ العامل بهوية المسؤول عن البيانات وممثله إن وجد، وأغراض معالجة البيانات الشخصية، والأطراف الذين يمكن نقل البيانات الشخصية إليهم والأغراض من النقل، وطريقة وجانب القانون لجمع البيانات الشخصية، وحق العامل في معرفة ما إذا كانت بياناته الشخصية قد تمت معالجتها، وطلب معلومات إذا تم معالجة بياناته الشخصية، ومعرفة الغرض من معالجة البيانات وما إذا كانت تستخدم للأغراض المحددة أم لا، ومعرفة الأطراف الثالثة الذين تم نقل البيانات الشخصية إليهم، وطلب تصحيح البيانات إذا كانت غير كاملة أو غير صحيحة، وطلب حذف البيانات أو إتلافها، وطلب إبلاغ الأطراف الثالثة الذين تم نقل البيانات إليهم بالتعديلات، والاعتراض على النتائج التي قد تنشأ ضد الشخص نفسه نتيجة لتحليل البيانات المعالجة حصراً بواسطة أنظمة آلية، وطلب تعويض الأضرار في حال تعرضه للضرر بسبب معالجة البيانات بشكل غير قانوني.

واجب الحصول على الموافقة الصريحة

تكون الموافقة الصريحة صالحة عندما تكون بناءً على إرادة الشخص وقراره المستقل. في الحالات التي لا تكون فيها الأطراف في وضع متساوٍ أو حيث يكون لأحد الأطراف تأثير على الآخر، يجب تقييم ما إذا كانت الموافقة قد تم تقديمها بحرية. في العلاقة بين العامل وصاحب العمل، إذا لم يتم توفير إمكانية فعالة للعامل لرفض الموافقة أو إذا كان رفض الموافقة سيؤدي إلى عواقب سلبية على العامل، فلا يمكن اعتبار أن الموافقة قد تم تقديمها بحرية. في إطار قانون حماية البيانات الشخصية، تعني الموافقة الصريحة موافقة الشخص على معالجة بياناته الشخصية بناءً على رغبته أو بناءً على طلب الطرف الآخر. وتعتبر الموافقة الصريحة أيضًا مهمة لأنها توجه الشخص الذي يعالج البيانات فيما يتعلق بالإجراء الذي سيقوم به. من خلال إعلان الموافقة الصريحة، يبلغ الشخص المسؤول عن البيانات بقراره بشأن قيمته القانونية الخاصة. تحدد الموافقة الصريحة أيضًا حدود ونطاق وطريقة ومدة معالجة البيانات التي سمح الشخص بمعالجتها.

واجب اتخاذ التدابير التقنية والإدارية

بصفته المسؤول عن البيانات، يتعين على صاحب العمل اتخاذ جميع التدابير التقنية والإدارية اللازمة لضمان مستوى مناسب من الأمان لمنع معالجة البيانات الشخصية بشكل غير قانوني، ومنع الوصول غير القانوني إلى البيانات الشخصية، وضمان حفظ البيانات الشخصية.

النتائج القانونية لمعالجة البيانات الشخصية بشكل غير قانوني في نطاق القانون الخاص

توجد نتائج قانونية وجنائية وإدارية لمعالجة البيانات الشخصية للعامل بشكل غير قانوني في علاقة العمل.

1. النتائج القانونية

– المطالبة بتعويض الأضرار في حالة حدوث ضرر بسبب معالجة البيانات الشخصية بشكل غير قانوني

المطالبة بتعويض الأضرار الناجمة عن انتهاك حقوق الشخصية بموجب الأحكام العامة

طلب الحماية من القاضي ضد المعتدين، ووقف التهديد بالاعتداء، وإنهاء الاعتداء المستمر، وتحديد أن الاعتداء غير القانوني قد حدث حتى لو انتهى تأثيره

يمكن أيضًا طلب تصحيح القرار أو إبلاغه إلى الأطراف الثالثة أو نشره.

2. النتائج الجنائية

– السجن من سنة إلى ثلاث سنوات لمن يسجل البيانات الشخصية بشكل غير قانوني.

السجن من سنتين إلى أربع سنوات لمن يعطي أو ينشر أو يحصل على البيانات الشخصية بشكل غير قانوني.

السجن من سنة إلى سنتين لمن لم يقم بتدمير البيانات رغم مرور الفترات التي تحددها القوانين.

3. النتائج الإدارية

– غرامة إدارية تتراوح بين 5,000 ليرة تركية و 100,000 ليرة تركية لمن لا يلتزم بواجب الإعلام.

غرامة إدارية تتراوح بين 15,000 ليرة تركية و 1,000,000 ليرة تركية لمن لا يلتزم بواجبات الأمن المتعلقة بالبيانات.

غرامة إدارية تتراوح بين 25,000 ليرة تركية و 1,000,000 ليرة تركية لمن لا يلتزم بقرارات المجلس.

غرامة إدارية تتراوح بين 20,000 ليرة تركية و 1,000,000 ليرة تركية لمن يخالف واجب التسجيل في سجل مسؤولي البيانات والإبلاغ.

تقييم تطبيقات صاحب العمل في نطاق حق الإدارة في إطار قانون حماية البيانات الشخصية

1. مراقبة المكالمات الهاتفية

إذا وفر صاحب العمل هاتفًا لاستخدام العامل، يجب على العامل استخدامه بما يتماشى مع الغرض الذي تم توفيره له. يمكن قبول مراقبة الامتثال لهذا الاستخدام بسبب مصلحة مشروعة لصاحب العمل. عند استخدام حق المراقبة، لا يمكن لصاحب العمل انتهاك حرية التواصل للعامل من خلال الاستماع إلى المكالمات الهاتفية، بل يمكنه مراقبة سجل المكالمات ومدتها فقط. بصفة عامة، يتمتع الجميع بحرية التواصل. تكون خصوصية التواصل هي الأصل. لا يمكن منع التواصل أو انتهاك خصوصيته إلا بناءً على قرار قضائي يتم اتخاذه بناءً على أسباب تتعلق بالأمن القومي، النظام العام، منع الجريمة، الصحة العامة، الأخلاق العامة أو حماية حقوق وحريات الآخرين.

2. مراقبة حركة الإنترنت

يمكن لصاحب العمل ممارسة حق المراقبة على حركة الإنترنت لمنع استخدام الإنترنت بطريقة تعوق أداء واجب العمل أثناء ساعات العمل، ومنع الوصول إلى المواقع التي قد تشكل خطرًا قانونيًا، وحماية المعلومات التجارية الحساسة مثل معلومات الإنتاج، التشغيل أو العملاء. إذا لم يعلن صاحب العمل عن إمكانية استخدام الإنترنت لأغراض خاصة، سيتم اعتبار أن استخدام الإنترنت يتعلق بأداء العمل فقط. في كلتا الحالتين، يجب إبلاغ العامل بأن جميع الأنشطة التي تتم عبر الإنترنت يتم مراقبتها من قبل صاحب العمل. ومع ذلك، ينبغي أن تكون مراقبة حركة الإنترنت الحل الأخير، وينبغي اتخاذ تدابير تقنية، مثل حظر الوصول، كإجراءات أولية لمنع المخاطر المذكورة.

فيما يتعلق بالمراسلات التي تتم عبر البريد الإلكتروني الذي يوفره صاحب العمل لاستخدام العامل، هناك نقطتان مهمتان: يجب إبلاغ العامل بوضوح بأن البريد الإلكتروني المخصص له يجب أن يستخدم فقط لأداء العمل، ويجب إبلاغه بأن المراسلات تتم مراقبتها. بعد ذلك، يجب تحديد ما إذا كانت المراسلات تتعلق بأداء العمل. لا يوجد مانع من مراقبة المراسلات المتعلقة بأداء العمل من خلال التحقق من العناوين والعناوين المستلمة.

3. مراقبة الفيديو

لصاحب العمل الحق في مراقبة العامل بالكاميرا إذا كان لديه سبب مشروع ومعقول ومقبول من الجميع. لا يمكن اعتبار الهدف من المراقبة هو الضغط على العامل لأداء العمل. يمكن اللجوء إلى هذه الطريقة باستخدام جهاز بدون ميزة تسجيل الصوت كإجراء للسلامة الصحية في حالة عدم إمكانية اتخاذ أي تدابير أخرى، أو كإجراء ضد السرقة غير القابلة للسيطرة، ويجب إبلاغ العامل بذلك.

4. متابعة الموقع باستخدام السيارة

يمكن استخدام هذه الطريقة لأغراض الأمان أو الرقابة في حالة العمل المتنقل أو نشاط النقل أو تخصيص سيارة للعامل بناءً على طبيعة العمل، ويجب إبلاغ العامل بالتطبيق. لتحديد الوقت الذي ينطبق عليه حق المراقبة، يجب النظر في ما إذا كانت السيارة مخصصة فقط لأداء العمل أو ما إذا كانت هناك إذن بالاستخدام الخاص. إذا كان الاستخدام مقتصرًا على أداء العمل فقط، يمكن ممارسة حق المراقبة خارج ساعات العمل أيضًا، ولكن إذا كان هناك إذن للاستخدام الخاص، فإن المراقبة تقتصر على ساعات العمل فقط.

5. مراقبة الدخول والخروج للعمل

تشمل الطرق المستخدمة لضمان مراقبة الحضور في العمل توقيع الحضور، نظام المرور بالبطاقة، مسح الشبكية، نظام التعرف على الوجه، وبصمات الأصابع، شريطة أن تكون كل طريقة مناسبة لمستوى الأمان المطلوب بالنظر إلى طبيعة العمل. إذا كانت هناك طريقة أكثر معقولية لمراقبة الدخول والخروج، فيجب تفضيلها، وإذا لم يكن كذلك، يجب تفضيل الطرق الأكثر معقولة مثل تحديد الهوية أو توقيع الحضور أو الدخول باستخدام البطاقة. يتطلب اللجوء إلى البيانات الجينية للعامل وجود مستوى عالٍ من الأمان يتطلبه طبيعة العمل.

للمزيد من المساعدة أو الاستشارة، يمكنك الاتصال بنا.