Loi sur la protection des données personnelles
Loi sur la protection des données personnelles
La « loi sur la protection des données personnelles n° 6698′, en attente de projet depuis de nombreuses années et entré en vigueur le 7 avril 2016, est de protéger les libertés et droits fondamentaux des personnes, notamment l’intimité de la vie privée, dans le traitement des données à caractère personnel, et de réglementer les obligations et les règles à suivre par les personnes physiques et morales qui traitent des données personnelles. a son but.
Sauf exceptions prévues par la Loi, les données personnelles ne peuvent être traitées sans le consentement explicite de la personne concernée ; Elles ne peuvent être cédées à des tiers et à l’étranger. En cas de non-respect de ces articles, qui figurent également dans des articles distincts de la loi, les établissements peuvent être condamnés à des amendes administratives.
Traitement des données personnelles ; obtenir, enregistrer, stocker, conserver, modifier, réorganiser, divulguer, transférer, reprendre, mettre à disposition, classer ou utiliser des données personnelles en tout ou en partie par des moyens automatiques ou non automatiques à condition que cela fasse partie de tout système d’enregistrement de données . Il fait référence à toutes sortes d’opérations effectuées sur les données, telles que le blocage.
Loi sur la protection des données personnelles ; lorsque les données personnelles sont considérées comme des informations confiées à des institutions et organisations par leurs propriétaires d’origine ; Elle pose les bases pour que les institutions de traitement des données soient « responsables » vis-à-vis des propriétaires originels des données concernant les données qu’elles ont confiées, et définit les règles. La loi apporte une transformation importante pour les institutions qui traitent des données personnelles.
Les données à caractère personnel traitées avant la date de publication de la présente loi doivent être mises en conformité avec les dispositions de la présente loi dans un délai de deux ans à compter de la date de publication ; Les données personnelles qui s’avèrent être en violation des dispositions de la présente loi doivent être immédiatement supprimées, détruites ou rendues anonymes. Toutefois, les consentements obtenus du propriétaire des données conformément à la loi avant la date de publication de la présente loi peuvent être pris en compte conformément à la présente loi, sauf indication contraire du propriétaire des données dans un délai d’un an.
La principale question qui préoccupe les institutions est : « Que devons-nous faire pour répondre des données personnelles que nous nous avons confiées ? Les institutions pouvant répondre à cette question se conformeront également à la loi sur la protection des données personnelles.
Les institutions et les organisations peuvent répondre à la question de base mentionnée ci-dessus :
- Déterminer la portée et les objectifs liés à la protection des données personnelles
- Création d’une politique de données personnelles
- Déterminer les principes de responsabilité et d’imputabilité pour la protection des données personnelles
- Identifier les délégués à la protection des données personnelles
- Fournir un soutien et des ressources à la haute direction pour la structure qui assurera le traitement légal des données personnelles
- Création d’un inventaire de données personnelles
- Gestion des risques liés aux données personnelles
- Déterminer les modalités de collecte, de traitement et de partage des données personnelles
- Assurer la sécurité des données personnelles
- Cela dépend de la mise en œuvre d’études de gestion des données, qui peuvent se résumer à déterminer les méthodes de traitement des réclamations concernant les données personnelles.
Solutions à la loi sur la protection des données personnelles
Approches méthodologiques
Ce sont des approches qui sont utilisées avec un effet de levier afin de répondre aux exigences des lois et règlements pendant longtemps et pour le développement de l’institution, en fournissant les normes et en s’adaptant aux temps. La méthode que ces approches pointent vers la loi sur la protection des données personnelles est l’architecture institutionnelle.
Qu’est-ce que l’architecture d’entreprise ?
le concept d’architecture d’entreprise qui est entré dans nos vies avec le millénaire ; Il s’agit d’une méthodologie de conduite des affaires qui nous permet de définir toutes les relations, de la stratégie aux unités commerciales, des processus aux activités, des applications et des données utilisées dans les activités aux composants de l’infrastructure informatique sur lesquels elles s’exécutent, et d’évaluer toutes sortes de demandes de changement et exigences avec analyse d’impact.
L’architecture d’entreprise; C’est une discipline qui alimente le système d’aide à la décision, qui repose sur l’utilisation d’un langage commun, de normes et de références, et d’une méthode commerciale et qui doit être agencé en fonction de la dynamique et des besoins de chaque institution, et régit la manière de faire des affaires. .
Les frameworks d’architecture d’entreprise dans le monde sont essentiellement regroupés autour de 3 frameworks principaux comme suit :
- TOGAF / Le groupe ouvert
- Cadre Zachman / Zachman International
- Le Federal Enterprise Architecture Framework (FEAF) / Gouvernement fédéral des États-Unis
Les éléments qui composent l’architecture d’entreprise sont regroupés en quatre groupes principaux :
- Éléments d’architecture d’entreprise ; Il comprend des cas d’utilisation et des diagrammes de tâches qui conçoivent des processus métier. Les objets qui constituent des entrées de données, des enregistrements, des résumés de données et des décisions de gestion qui se produisent pendant les workflows font également partie de l’architecture métier.
- Architecture des informations et des données ; Il conçoit les entités corporatives, les relations entre ces entités, les flux de données entre entités et la logique métier. Les éléments qui composent l’architecture des informations et des données s’associent pour former l’architecture du système.
- Les packages d’actifs, les interfaces, les composants et les structures architecturales sont utilisés pour concevoir les éléments de l’architecture du système.
- Les éléments d’infrastructure technologique, quant à eux, décrivent les logiciels d’application, les logiciels système, les périphériques, le matériel informatique et les réseaux informatiques qui composent les systèmes, ainsi que les relations entre ces éléments.
Approches technologiques
La loi sur la protection des données personnelles No. 6698 vise à prendre les mesures de sécurité nécessaires dans les systèmes et infrastructures où les données clients que les entreprises stockent dans leurs infrastructures.
Dans ce contexte, les entreprises et les institutions sont tenues d’empêcher les violations d’accès aux données personnelles qu’elles conservent. En cas de violation qui pourrait se produire, cet accès nécessitera des enquêtes médico-légales, et les données personnelles doivent être protégées avec l’infrastructure nécessaire pour mener à bien ces études médico-légales.
Selon la classification, l’étiquetage et la sensibilité des données, il convient de veiller à ce que les accès soient surveillés avec les droits les plus restreints et de manière à pouvoir être signalés ultérieurement. Il est important de prévenir les fuites de données, d’enregistrer méticuleusement l’accès aux zones où les données personnelles sont protégées et d’être constamment rapportable.
Avec la gestion des identités et la gestion des accès, l’accès aux sources où se trouvent les données doit être fourni sans droits d’administrateur, via certains mécanismes d’approbation. De plus, les tests de sécurité de l’information dans ces sources doivent être effectués avec minutie, les analyses de vulnérabilité nécessaires doivent être effectuées avec les outils pertinents, rapportées conformément aux règles d’audit interne et de conformité, et ces analyses doivent être effectuées périodiquement.
Quelques sujets à considérer dans le domaine de la sécurité de l’information :
- Compte, mot de passe et contrôle d’accès
- Protection des données et prévention des fuites de données
- Classification et classification des données
- Garantir la confidentialité des données
- Contrôle des vulnérabilités et surveillance du niveau de sécurité
- Exécution des procédures de sécurité nécessaires
- Reporting conformément aux règles d’audit interne et de conformité
Approches juridiques
Il est recommandé d’établir une commission paritaire et d’établir une structure de gouvernance afin d’assurer la coordination des éléments légalement indiqués au sein de l’Institution/Entreprise avec les services informatiques. Les exigences des démarches à entreprendre d’un point de vue juridique doivent être préparées, puis une politique de mise en œuvre cohérente et durable doit être établie.
Au sens juridique, les premières choses à faire sont :
- Faire des définitions juridiques
- Définition claire et sans équivoque des conditions de traitement des données personnelles
- Identification des processus de suppression, d’anonymisation ou de transfert de données personnelles
- Définir les droits du propriétaire des données personnelles
- Définir les obligations des responsables du traitement et des opérateurs
- Définir ce que sont les crimes et les délits
Une fois les définitions susmentionnées établies, leurs relations juridiques avec les articles de la loi doivent être abordées de manière compréhensible et traçable.
Un travail d’analyse des parties prenantes et de stratégie de communication doit être effectué, et il convient de s’assurer que ces questions sont correctement comprises par les parties prenantes, que les responsabilités des tâches sont définies et mutuellement convenues dans les plans d’action, que les mesures de toutes sortes de plans d’action sont créées de manière mesurable. le chemin parcouru par les acteurs et les praticiens et les étapes de leur suivi sont déterminés.
Résultats de l’évaluation périodique des plans d’action conformément à la mesure légale
Affaires pénales
En matière de délits liés aux données personnelles, les dispositions des articles 135 à 140 du code pénal turc du 26/9/2004 et numéroté 5237 sont appliquées.
Selon la loi, ceux qui violent les données personnelles sont condamnés à une peine d’emprisonnement de 1 à 3 ans. De plus, la personne qui obtient ces données par violation peut être condamnée à une peine d’emprisonnement de 2 à 4 ans.
Conformément à la loi sur la protection des données personnelles no. 6698 ;
De 5 000 livres turques à 100 000 livres turques pour ceux qui ne remplissent pas l’obligation d’informer de l’article 10,
De 15 000 livres turques à 1 000 000 de livres turques pour ceux qui ne remplissent pas leurs obligations en matière de sécurité des données stipulées à l’article 12,
De 25 000 livres turques à 1 000 000 de livres turques pour ceux qui ne respectent pas les décisions rendues par le Conseil conformément à l’article 15,
Une amende administrative de 20 000 livres turques à 1 000 000 de livres turques est infligée à ceux qui violent l’obligation d’enregistrement et de notification au registre des responsables du traitement stipulée à l’article 16.