Conservazione e distruzione dei dati personali
Nel mondo digitalizzato, i dati personali sono diventati la merce più preziosa. L'accesso e l'elaborazione di questi dati sono di importanza critica sia per le aziende che vogliono raggiungere i consumatori, sia per i truffatori. Ciò rende la conservazione e la distruzione dei dati personali un aspetto imprescindibile. L'avvocato Öykü Ergün ha scritto per 12punto un approfondimento sulle leggi e i regolamenti in materia.
Quando facciamo acquisti, navighiamo in Internet o scarichiamo applicazioni, forniamo costantemente i nostri dati personali alla controparte, volontariamente o meno. I dati che forniamo vengono elaborati e ci vengono riproposti sotto forma di pubblicità o come strumenti di frode. Per questo motivo, la conservazione e la distruzione dei dati personali rivestono un'importanza fondamentale per la sicurezza individuale. L'avvocato Öykü Ergün ha scritto per 12punto un approfondimento sulle leggi e i regolamenti relativi alla KVKK (Legge sulla protezione dei dati personali).
L'articolo dell'avvocato Ergün è il seguente:
La fonte principale per la conservazione e la distruzione dei dati personali è innanzitutto la Legge sulla protezione dei dati personali n. 6698 (“KVKK”), seguita dal Regolamento sulla cancellazione, distruzione o anonimizzazione dei dati personali (“Regolamento”), pubblicato nella Gazzetta Ufficiale del 28.10.2017 con numero 30224, e dalla Guida alla cancellazione, distruzione o anonimizzazione dei dati personali (“Guida”) preparata dall'Autorità per la protezione dei dati personali (“Autorità”). In conformità con la legislazione citata, sarà possibile determinare come conservare i dati personali del lavoratore e come distruggerli quando necessario.
Al fine di determinare i dettagli su come e in che modo debba avvenire la distruzione dei dati personali e per garantire l'uniformità procedurale, è stato pubblicato nella Gazzetta Ufficiale del 28.10.2017 con numero 30224 il Regolamento sulla cancellazione, distruzione o anonimizzazione dei dati personali.
L'articolo 4 del Regolamento, nel definire la distruzione dei dati personali, utilizza i termini cancellazione, distruzione o anonimizzazione.
La cancellazione dei dati personali si riferisce al processo di rendere i dati personali inaccessibili e non riutilizzabili in alcun modo per gli utenti interessati. Le modalità di esecuzione della cancellazione non sono disciplinate nel Regolamento. Viene solo affermato che il titolare del trattamento deve adottare le misure tecniche e amministrative necessarie per l'operazione di cancellazione. Pertanto, il datore di lavoro può garantire la cancellazione dei dati utilizzando il metodo scelto in conformità con la procedura di conservazione. Come indicato nella Guida, se i dati sono salvati in un sistema cloud, deve essere impartito un comando di cancellazione; se si trovano su supporto cartaceo, devono essere cancellati mediante oscuramento.
Per la distruzione dei dati personali, è necessaria la distruzione fisica del documento o dell'hardware in cui si trovano i dati.
L'anonimizzazione dei dati personali è leggermente diversa dagli altri due concetti. Nel Regolamento, l'anonimizzazione dei dati personali è definita come il processo di rendere i dati personali tali da non poter essere associati in alcun modo a una persona fisica identificata o identificabile, anche se abbinati ad altri dati. Secondo la Guida, l'anonimizzazione è il processo di rimozione o modifica di tutti gli identificatori diretti e/o indiretti in un set di dati, impedendo l'identificazione della persona interessata o facendo perdere la caratteristica di essere distinguibile all'interno di un gruppo o di una folla, in modo tale da non poter essere associati a una persona fisica. In altre parole, i dati anonimi sono dati il cui legame con la persona è stato completamente interrotto. Le statistiche pubblicate ogni anno dall'Istituto di Statistica Turco (TÜİK) possono essere citate come esempio, così come i risultati degli studi noti al pubblico come sondaggi elettorali, che riflettono le preferenze politiche della popolazione, sono considerati dati anonimi.
Sebbene l'art. 7 della KVKK, riportato di seguito, sia una disposizione generale relativa alla distruzione dei dati personali, esistono diverse normative in leggi differenti, specialmente per quanto riguarda i tempi di distruzione.
“Cancellazione, distruzione o anonimizzazione dei dati personali”
ARTICOLO 7- (1) Nonostante siano stati trattati in conformità con la presente Legge e le disposizioni di altre leggi pertinenti, qualora vengano meno le ragioni che ne richiedono il trattamento, i dati personali sono cancellati, distrutti o anonimizzati dal titolare del trattamento, d'ufficio o su richiesta dell'interessato.
(2) Restano salve le disposizioni contenute in altre leggi relative alla cancellazione, distruzione o anonimizzazione dei dati personali.
(3) Le procedure e i principi relativi alla cancellazione, distruzione o anonimizzazione dei dati personali sono disciplinati da un regolamento.”
Ad esempio; ai sensi dell'art. 7/1 del Regolamento sui servizi di salute e sicurezza sul lavoro, “il datore di lavoro conserva le cartelle sanitarie personali dei dipendenti per almeno 15 anni dalla data di cessazione del rapporto di lavoro”; ai sensi dell'art. 17 del Regolamento sulle misure di salute e sicurezza nei lavori con sostanze cancerogene o mutagene, l'elenco aggiornato dei lavoratori impiegati in lavori rischiosi per la salute e la sicurezza, insieme ai registri indicanti le loro condizioni di esposizione e i registri di sorveglianza sanitaria, “vengono conservati per almeno 40 anni dopo la fine dell'esposizione”.
Sempre in merito a ciò, per avere un carattere più generale, riguardo alla conservazione dei fascicoli personali del lavoratore; il secondo comma dell'articolo 86 della Legge sull'assicurazione sociale e sull'assicurazione sanitaria generale stabilisce che: “I datori di lavoro e i proprietari dei luoghi di lavoro sono tenuti a conservare i libri, i registri e i documenti del luogo di lavoro per dieci anni a partire dall'inizio dell'anno successivo a quello di riferimento, le amministrazioni pubbliche per trent'anni, e i curatori fallimentari e di liquidazione per tutta la durata del loro incarico, e a presentarli entro quindici giorni se richiesto dai funzionari incaricati della vigilanza e del controllo dell'Istituto.” Se il datore di lavoro agisce in violazione di questa disposizione, viene applicata una sanzione amministrativa pecuniaria.
Nell'ambito della Legge sul Lavoro (“İK”), per quanto riguarda il periodo di conservazione dei dati personali del lavoratore, si possono utilizzare come criterio i termini di prescrizione. Considerando che il termine di prescrizione per le controversie che possono sorgere tra lavoratore e datore di lavoro dopo la cessazione del rapporto di lavoro, basate sui crediti elencati nell'art. 3 aggiuntivo della İK, è di 5 anni, sarà opportuno conservare i dati del lavoratore per questo periodo. Per i crediti non elencati nell'art. 3 aggiuntivo della İK, si applica il termine di prescrizione generale di 10 anni.
Un altro problema da menzionare riguardo alla conservazione dei dati del lavoratore è cosa accade ai dati raccolti se il processo di assunzione non ha esito positivo. Qui è necessario parlare di pertinenza allo scopo. Se non esiste uno scopo basato sulla legge per conservare i dati della persona che ha fatto domanda di lavoro dopo che la domanda ha avuto esito negativo, i dati devono essere cancellati immediatamente. Tuttavia, potrebbero esserci alcuni motivi che richiedono la conservazione di questi dati. Ad esempio; se la persona che ha fatto domanda di lavoro ritiene di aver subito discriminazioni e desidera esercitare i propri diritti legali, la conservazione dei dati sarà necessaria. In questo caso, sarà consentita la conservazione dei dati tenendo conto dei termini di prescrizione per le azioni legali.
Se il processo di assunzione ha esito positivo, si discuterà quali dati del lavoratore debbano essere conservati durante l'esecuzione del lavoro. Potrebbe non esserci più motivo di trattare alcuni dei dati elaborati durante il processo di assunzione durante il lavoro; in tal caso, sarà necessaria la distruzione dei dati.
I dati personali devono essere distrutti quando, pur essendo stati trattati in conformità con la legge, vengono meno le ragioni che ne richiedono il trattamento. Ciò può avvenire d'ufficio o su richiesta della persona i cui dati sono stati trattati. Con il venir meno della situazione che ne richiede il trattamento, sorge in capo al titolare del trattamento l'obbligo di distruggere tali dati. Il titolare dei dati personali può richiedere la distruzione dei propri dati in caso di negligenza del titolare del trattamento.
Un diritto simile al diritto di rettifica e al diritto alla cancellazione, noto anche come diritto all'oblio, disciplinato dagli articoli 16 e 17 del Regolamento generale sulla protezione dei dati dell'Unione Europea, è previsto anche dagli articoli 11/e e 7 della KVKK. Di conseguenza; qualora vengano meno le ragioni che richiedono il trattamento dei dati, il titolare del trattamento cancella i dati personali d'ufficio o su richiesta dell'interessato.
Secondo l'art. 5 del Regolamento, i titolari del trattamento che sono obbligati a registrarsi nel Registro dei titolari del trattamento ai sensi dell'art. 16 della KVKK, sono tenuti a preparare una politica di conservazione e distruzione dei dati personali in conformità con l'inventario del trattamento dei dati personali. Chi sia obbligato a registrarsi nel Registro dei titolari del trattamento è disciplinato dall'art. 16/2 della KVKK.
“Le persone fisiche e giuridiche che trattano dati personali sono tenute a registrarsi nel Registro dei titolari del trattamento prima di iniziare il trattamento dei dati. Tuttavia, l'Autorità può prevedere eccezioni all'obbligo di registrazione nel Registro dei titolari del trattamento, tenendo conto di criteri oggettivi determinati dall'Autorità, come la natura e il numero dei dati personali trattati, il fatto che il trattamento dei dati derivi dalla legge o la situazione di trasferimento a terzi.”
L'articolo 6 del Regolamento disciplina quale debba essere l'ambito delle politiche. Secondo questo articolo, gli elementi che devono essere presenti nelle politiche possono essere elencati come segue: lo scopo della preparazione della politica, gli ambienti di registrazione regolati dalla politica, le definizioni dei termini legali e tecnici utilizzati nella politica, la spiegazione dei motivi legali, tecnici e di altro tipo che richiedono la conservazione e la distruzione dei dati personali, le misure adottate per garantire la conservazione sicura dei dati personali e per impedire il trattamento e l'accesso illeciti, le misure adottate per la distruzione dei dati personali in conformità con la legge, i titoli, le unità e le descrizioni delle mansioni di coloro che sono coinvolti nelle fasi di conservazione e distruzione dei dati personali, la tabella che mostra i periodi di conservazione e distruzione dei dati personali, i periodi di distruzione periodica dei dati personali, le informazioni relative alla modifica se è stato effettuato un aggiornamento nella politica esistente. Va notato che il fatto che il datore di lavoro abbia preparato la politica in conformità con la procedura non significa che abbia distrutto i dati personali in conformità con la legge.
Per quanto riguarda i periodi determinati per l'operazione di distruzione, il datore di lavoro obbligato a preparare la Politica di conservazione e distruzione dei dati personali distruggerà questi dati nella prima operazione di distruzione periodica successiva alla data in cui sorge l'obbligo di cancellare, distruggere o anonimizzare i dati personali, e l'intervallo di tempo per la distruzione periodica specificato nella politica non può superare i sei mesi.
I datori di lavoro che non sono obbligati a redigere una Politica di conservazione e distruzione dei dati personali devono distruggere i dati personali d'ufficio entro tre mesi dal momento in cui la distruzione di tali dati diventa necessaria. Tali periodi possono essere ridotti dall'Autorità per la protezione dei dati personali in caso di danni difficili o impossibili da riparare e in presenza di una chiara illegalità.
Per quanto riguarda i periodi di distruzione dei dati su richiesta della persona, ai sensi dell'art. 12 del Regolamento, se l'interessato, ovvero la persona la cui domanda di lavoro è stata respinta o il cui contratto di lavoro è terminato, si rivolge al datore di lavoro e richiede la distruzione dei propri dati, il datore di lavoro è tenuto a concludere tale richiesta entro e non oltre 30 giorni e a informare il lavoratore. Se le condizioni per il trattamento dei dati personali non sono venute meno, il datore di lavoro potrà respingere la richiesta del lavoratore a condizione di comunicarne la motivazione. La risposta di rifiuto viene comunicata al lavoratore per iscritto o in formato elettronico entro e non oltre trenta giorni. È utile esaminare la decisione dell'Autorità per la protezione dei dati personali riportata di seguito in merito alla questione.
“…In seguito al risultato negativo della domanda di lavoro presentata dall'interessato al titolare del trattamento, la richiesta di cancellazione dei dati personali trattati dal titolare del trattamento è stata inizialmente parzialmente accolta dal titolare del trattamento, continuando a trattare nome, cognome e dati identificativi; successivamente, a seguito della valutazione effettuata in esito alla seconda richiesta presentata dall'interessato al titolare del trattamento nello stesso contesto, è stato comunicato che è stata presa la decisione che tali dati saranno distrutti nel primo processo di distruzione periodica da effettuare nell'ambito della politica di distruzione del titolare del trattamento; pertanto, il fatto che i dati personali non siano stati cancellati entro 30 giorni ai sensi dell'articolo 12 del Regolamento sulla cancellazione, distruzione o anonimizzazione dei dati personali nonostante la richiesta dell'interessato, e che il trattamento dei dati personali dell'interessato sia continuato senza basarsi su alcuna condizione di trattamento prevista dall'articolo 5 della Legge, ha portato alla convinzione che il titolare del trattamento non abbia adottato le misure tecniche e amministrative necessarie per garantire un livello di sicurezza adeguato al fine di prevenire il trattamento illecito dei dati personali nell'ambito del primo comma dell'articolo 12 della Legge, pertanto, ai sensi della lettera (b) del primo comma dell'articolo 18 della Legge, è stata applicata una sanzione amministrativa pecuniaria al titolare del trattamento…” (Decisione n. 2021/670 del 06.07.2021)
Nel caso oggetto della decisione, un candidato la cui domanda di lavoro ha avuto esito negativo ha presentato domanda al datore di lavoro per la cancellazione dei propri dati personali, ma il datore di lavoro ha risposto che non avrebbe cancellato i dati immediatamente, ma al momento della prima distruzione periodica. Successivamente, l'Autorità per la protezione dei dati personali ha deciso che doveva essere applicata una sanzione amministrativa pecuniaria al titolare del trattamento.
Avvocato Öykü Ergün
Fonte della notizia: 12punto
I piu letti
Emergono i messaggi tra Haluk Levent e la sua assistente Yeliz Kaya
La professoressa Emel diventerà una volontaria TEMA non appena uscirà!...
Dal Corano sulle lance al versetto sullo striscione: Sii retto come ti è stato ordinato
L'intervento di Kemal Okuyan su Haluk Levent fa discutere
'Vi sono piaciuti gli omaggi, vero?'
L'articolo di mesi fa di Fatih Altaylı torna d'attualità
Svelato il piano di fuga all'estero di Haluk Levent
Gazzetta Ufficiale / 6 - 12 luglio 2026
Ordine di custodia cautelare per Ece Güner nell'ambito dell'inchiesta su Ahbap
Le ciliegie che hanno mangiato sono state fatali!