Open menu
03Kasım2021

Çin Kişisel Bilgi Koruma Kanunu 1 Kasım 2021 Tarihinde Yürürlüğe Girdi

Çin Kişisel Bilgi Koruma Kanunu 1 Kasım 2021 Tarihinde Yürürlüğe Girdi

Uzun zamandır beklenen Çin Kişisel Bilgi Koruma Kanunu (bundan sonra "Kanun" olarak anılacaktır.) Çin Halk Cumhuriyeti Ulusal Halk Kongresi Daimî Komitesi tarafından, 1 Kasım 2021 tarihinde yürürlüğe girmek üzere 20 Ağustos 2021 tarihinde onaylanmıştır. Kanun, esas olarak, Çin Halk Cumhuriyeti (bundan sonra "Çin" olarak anılacaktır.) içerisinde faaliyet gösteren şirketler tarafından kişisel verilerin nasıl toplanacağını, kullanılacağını, işleneceğini, paylaşılacağını ve yurt dışına aktarılacağını düzenlemektedir. Bu alanlardaki hukuki çerçeveyi belirleyen Kanun, daha önce Çin Siber Güvenlik Kanunu (bundan sonra "CSL" olarak anılacaktır.) ve ulusal düzenlemeler tarafından oluşturulan yerel veri koruma rejimini tamamlayıcı niteliktedir. Çin’in mevcut hukuki yapısı incelendiğinde görülmektedir ki, kişisel verilerin korunmasına ve veri güvenliğine ilişkin hukuki ve teknik tedbirler çeşitli kanunlar, ikincil düzenlemeler ve uyum standartlarını içeren rehberler aracılığıyla uygulanmaktadır. Bu noktada Kanun, kişisel verilere ilişkin olarak kapsamlı ve ulusal düzeyde geçerli ilk düzenleme sıfatını haizdir. Rehberler ve ikincil düzenlemeler yerine şirketlere yönelik hukuki bağlayıcılığı bulunan çeşitli uyum standartlarını havi olması itibarıyla önem arz etmektedir.

Çin’in mevcut veri koruma rejiminin temeli, veri güvenliğini merkeze alan, çeşitli seviyelerdeki ve alanlardaki düzenlemeleri makro düzeyde birleştiren ilk kanun olan CSL ile oluşturulmuştur. Kısaca bahsetmek gerekirse; CSL, Avrupa Genel Veri Koruma Tüzüğü (bundan sonra "GDPR" olarak anılacaktır.) veya 6698 sayılı Kişisel Verilerin Korunması Kanunu (bundan sonra "KVKK" olarak anılacaktır.) gibi veri işleme faaliyeti gösteren her şirket veya kurum nezdinde uygulama alanı bulan kapsayıcı bir kanun olmamakla birlikte, ağ alanında ve "kritik sektörlerde" faaliyet gösteren şirketlere uygulanmak üzere 1 Haziran 2017’de yürürlüğe girmiştir. Kişisel veriler açısından; ağ sağlayıcılarına, kullanıcılara yönelik olarak aydınlatma ve açık rıza yükümlülüğü getiren CSL, kişisel veri işlemenin hukuki ve meşru bir amaca sahip olması gerektiğini düzenlemekle beraber açık rıza dışında bir hukuki sebebe yer vermez. (Bu husus sonrasında düzenlemeler aracılığıyla getirilmiştir.) Aslen CSL, kişisel veriler noktasında, Çin’in ulusal güvenliği sağlamaya yönelik iradesini temsil eder ve bu anlamda kişisel verilerin korunması, özel hayatın gizliliği ve ilgili kişilerin haklarıyla sınırlı kalan özel bir düzenleme değildir. Örneğin CSL’ın 37’nci maddesinde, Çin’de faaliyet gösteren ağ şirketleri ve kritik sektörlerde faaliyet gösteren şirketler tarafından edinilen Çin mukimi kişilerin kişisel verilerinin ülke içinde saklanması gerektiği düzenlenmiştir. Ayrıca çeşitli maddelerde de bu kişisel verilere Çin’in kamu kurumları tarafından belirli koşullarda erişilebileceği düzenlenmiştir. Kanun ise kişisel verileri merkeze alan ve kişilerin kendi verileri üzerindeki hakları da dâhil olmak üzere birçok düzenlemeyi içeren hukuki bir çatı niteliğini haizdir.

Coğrafi Kapsam

Kanun, tıpkı GDPR gibi, uygulanabilirlik kapsamını ülke içi ile sınırlamamıştır. Çin mukimi kişilerin kişisel verilerini ürün veya hizmet sağlamak amacıyla işleyen veya Çin mukimi kişilerin davranışlarına yönelik olarak değerlendirme/analiz faaliyetleri gerçekleştiren şirketler, Çin içerisinde bir varlıkları olmasa dahi Kanun hükümlerine tabi kılınmıştır. Bu kapsamda, Kanunda şirketlerin kişisel verilere ilişkin süreçlerinin yürütülmesi ve ilgili kurumlarla iletişim kurulabilmesi amacıyla Çin içerisinde bir temsilci atanması veya Çin içerisinde bir irtibat ofisi tahsis edilmesi gerektiği düzenlenmiştir. Yine Kanun içerisinde, yabancı şirketler veya kişilerin veri işleme faaliyetlerinin, ulusal güvenlik tehdidi yarattığı durumlarda, kısıtlanabileceği ve/veya yasaklanabileceği öngörülmüştür.

Hukuki Sebep

Yukarıda da bahsedildiği üzere CSL içerisinde veri işlemeye ilişkin açık rıza dışındaki hukuki sebeplere yer verilmemekte, bu husus hukuki bağlayıcılığı mevcut olmayan ulusal rehberler aracılığıyla düzenlenmekteydi. Kanun içerisinde bu husus detaylı bir biçimde düzenlenmiş olup, açık rıza olmaksızın veri işleme faaliyetinin dayandırılabileceği hukuki sebepler şu şekilde belirlenmiştir:

  • İlgili kişinin taraf olduğu bir sözleşmenin kurulması veya yasal olarak belirlenmiş sınırlar çerçevesinde insan kaynakları faaliyetlerinin yürütülmesi
  • Hukuki görev veya yükümlülüklerin yerine getirilmesi
  • Ani halk sağlığı olaylarına müdahale edilmesi veya acil durumlarda bireylerin; hayatlarının, sağlıklarının veya mallarının korunması
  • Makul olmak kaydıyla haber raporlaması ve medya denetimi yoluyla kamu çıkarının korunması
  • İlgili kişi tarafından veya çeşitli hukuki gerekçelerle alenileştirilen kişisel verilerin makul bir çerçevede işlenmesi

Rıza

Kanun kapsamında öngörülen hukuki çerçeveye göre, GDPR ve KVKK’ya benzer şekilde, kişisel veri işleme faaliyeti rızaya dayandırılacağı durumlarda her bir faaliyet için ayrı bir rıza alınması gerekmektedir. Özel nitelikli kişisel verilerin işlenmesi, kişisel verilerin çeşitli sebeplerle üçüncü taraflara aktarılması, kişisel verilerin alenileştirilmesi ve kişisel verilerin yurt dışına aktarılması rıza gerektiren veri işleme faaliyetleri olarak değerlendirilmiş olup,belirli bir konu ve veri işleme faaliyetiyle sınırlandırılmayan "battaniye rıza" geçerli olmayan bir yöntem olarak belirlenmiştir.

İnsan Kaynakları Yönetimi

Kanun kapsamında, insan kaynakları yönetimi, veri işleme faaliyetinin dayandırılabileceği bir hukuki sebep olarak nitelendirilmiştir. GDPR ve KVKK’da mevcut olmayan bu hususun, performans yönetimi gibi insan kaynakları süreçlerinde kişisel verilerin korunmasına yönelik mevcut uygulama farklılıklarını engelleyeceği beklenmektedir.

Kamu Çıkarının Gözetilmesi

PIPL kapsamında haber raporlaması ve medya denetimi süreçlerinin kamu çıkarı kapsamında değerlendirilmesi ve kişisel verilerin makul olmak kaydıyla bu amaçla işlenebileceği hususu GDPR ile paralellik arzetmektedir.

Kamu Sağlığının ve Bireylerin Korunması

PIPL kapsamında öngörülen hukuki veri işleme sebeplerinden bir diğeri, GDPR’a benzer bir şekilde "ani halk sağlığı olaylarına müdahale edilmesi veya acil durumlarda bireylerin, hayatlarının, sağlıklarının veya mallarının korunması" olarak belirlenmiştir.

Kanunda Yer Alan Diğer Önemli Hususlar

Birleşmeler & Devralmalar

Kanun’un 22’nci maddesi, veri sorumlularının kişisel veriler açısından yükümlülüklerini, şirketlerin birleşme, devralma ve çözülme durumlarında nasıl yerine getirebileceği konusunu düzenlemiştir. GDPR ve KVKK kapsamında ilgili husus düzenlenmemiş olup, bazı Avrupa ülkeleri bu konudaki ihtilafları ortadan kaldırmak adına çeşitli ulusal mevzuatlar çıkarmışlardır.Kanun’un 22’nci maddesine göre, veri sorumlusu söz konusu durumlarda, alıcı tarafın isim ve iletişim bilgilerini ilgili kişi ile paylaşmalıdır. Ayrıca Kanun kapsamında, alıcı taraf, veri sorumlusu olarak üzerine düşen yükümlülükleri aynen yerine getirmekle beraber, işleme faaliyetlerinde gerçekleştirilecek herhangi bir değişiklikte ilgili kişilerden tekrardan rıza almakla veya Kanun’da sayılı hukuki sebeplerden biri dâhilinde ise ilgili kişiyi aydınlatmakla yükümlüdür.

Veri Yerelleştirme ve Kişisel Verilerin Yurt Dışına Aktarılması

Yukarıda da bahsedildiği üzere, CSL tarafından öngörülen veri yerelleştirme tedbirleri kapsamında, kritik sektörlerde faaliyet gösteren şirketlerin, kişisel verileri Çin içerisindeki sunucularda saklaması ve kişisel verilerin yurt dışına transfer edilmesi durumunda Cyberspace Administration of China tarafından onaylanması gerekiyordu. Bu yükümlülük devam etmekle beraber, Kanun ile bu uygulamanın kapsamı, belirli bir miktarın üzerinde kişisel veri işleyen bütün şirketlere uygulanacak şekilde genişletilmiştir. Bahsedilen kategoriler dışında kalan şirketler tarafından kişisel verilerin yurt dışına aktarılması durumunda, şirketlerin profesyonel bir kurumdan kişisel verilerin korunmasına ilişkin bir sertifika almaları ve yurt dışındaki alıcı taraflar ile Cyberspace Administration of China tarafından hazırlanan standart sözleşmeyi imzalaması gerekmektedir.

Kanun kişisel verilerin yurt dışına aktarımı durumunda ilgili kişilere yönelik olarak yerine getirilmesi gereken yükümlülüklerin kapsamını da genişletmiştir. Kanun’un 39’uncu maddesi uyarınca, veri sorumlusu, aktarım işlemine yönelik rıza almanın yanı sıra, aydınlatma sürecinde kişisel verilerin aktarıldığı tarafın isim ve iletişim bilgilerini, alıcı tarafın kişisel verileri işleme amaçlarını ve yöntemlerini ilgili kişiye bildirmek zorundadır. Ek olarak, alıcılar tarafından, ilgili kişilerin haklarını kullanabilmeleri için gerekli yolların ve prosedürlerin oluşturulması gerekliliğine de Kanun’da yer verilmiştir.

İlgili Kişi Hakları

Kanun, GDPR ile paralel bir şekilde, ilgili kişilerin kişisel verilerine yönelik olarak ulaşım, kopyalama, değiştirme, düzeltme, silme gibi haklarını düzenlemektedir. Bununla birlikte, ilgili kişilerin daha öncesinde vermiş oldukları rızalarını geri çekme ve otomatik karar alma süreçlerine yönelik olarak kısıtlama ve reddetme haklarını saklı tutmaktadır. Veri sorumlularının ise ilgili kişilerin haklarını kullanabilecekleri uygun mekanizmaları hayata geçirmesi yönünde talimatlandırmaktadır.

İlgili kişi haklarında dikkate değer bir diğer husus ise, Kanun kapsamında, GDPR’da olduğu gibi, veri taşınabilirliği konusunun düzenlenmiş olmasıdır. Kanun’un 45’inci maddesine göre ilgili kişinin talebi üzerine kişisel verilerin, ilgili kişiler tarafından belirtilen bir diğer veri sorumlusuna aktarılması durumunda, Cybersecurity Administration of China tarafından belirlenen şartlara uygun bir şekilde transferini sağlamaları gerekmektedir.

Kişisel Veri Etki Değerlendirmesi

Çin’de Kişisel Veri Etki Değerlendirmesi gerekliliği hukuki bağlayıcılığı mevcut olmayan çeşitli düzenlemeler ve rehberler aracılığıyla uygulanıyordu. Kanun ile birlikte, Kişisel Veri Etki Değerlendirmesi, özel nitelikli kişisel veri işlenmesi, kişisel verilerin otomatik karar alma süreçlerine konu olması, kişisel verilerin işlenmesi için üçüncü tarafların görevlendirilmesi, kişisel verilerin halka açık bir biçimde yayımlanması, kişisel verilerin yurt dışına aktarılması durumlarında ve veri işleme faaliyetinin kişi üzerinde majör etki yaratabileceği diğer senaryolar söz konusu olduğunda uygulanmak üzere hukuki bağlayıcılık kazanmıştır.

Veri Koruma Yetkilisi

Kanun, GDPR’da çeşitli koşullarda atanması öngörülmüş Veri Koruma Görevlisi pozisyonuna benzer bir şekilde, belirli bir miktarın üzerinde veri işleyen şirketlere yönelik olarak kişisel verilerin korunmasına ilişkin konulardan sorumlu bir kişinin atanması zorunluluğunu getirmiştir.

Kısıtlayıcı Gereklilikler

Kanun içerisinde internet ve teknoloji bağlantılı şirketlerin uyması gereken bir takım ek gereklilikler düzenlenmiş olup, 58’inci madde kapsamında internet platform sağlayıcılarına yönelik olarak getirilen yükümlülükler şu şekildedir:

  • Bir kişisel veri koruma uyum programının başlatılması ve sürdürülmesi ile kişisel verilerin korunması süreçlerini denetlemek üzere dış üyelerden oluşan bağımsız bir organizasyonun kurulması
  • Açıklık, hakkaniyet ve adalet ilkelerini temel alan kişisel verilerin korunmasına yönelik platform kuralları tayin edilmesi
  • Kanunları ve idari düzenlemeleri kişisel verilerin korunması açısından ihlal eden platformlara servis sağlanmasının durdurulması

Ek olarak, otomatik karar verme mekanizmalarının sonuçlarının şeffaflığını, adilliğini ve tarafsızlığını sağlama yükümlülüğünün yerine getirilmesi ve buna dayanan farklı muamelelerin engellenmesi Kanun tarafından şirketlere getirilen önemli yükümlülüklerden biridir.

Veri İşleyen

Kanun kapsamında veri işleyen tarafların kişisel verilerin güvenliğinin sağlanması noktasında gerekli önlemleri alması ve veri sorumlusuna yönelik yükümlülüklerini yerine getirmesi noktasında yardımcı olması gerektiği düzenlenmiştir.

Çocukların Kişisel Verilerinin İşlenmesi

Kanun kapsamında, 14 yaşının altındaki kişilerin kişisel bilgileri çocuk oldukları gerekçesiyle özel nitelikli kişisel veri olarak sınıflandırılmıştır ve bu kapsamda çocukların kişisel verilerini işleyen veri sorumlularına yönelik bir takım ek yükümlülükler getirilmiştir. Bu uygulama, Regulation on the Cyber Protection of Children’s Personal Information adlı yönetmelik aracılığıyla gerçekleştiriliyorken, bu husus Kanun aracılığıyla yeniden düzenlenmiştir.

Veri Sorumlusunun İspat Yükümlülüğü

Kanun’un 69’uncu maddesi uyarınca veri sorumlusuna yönelik olarak bir sorumluluk karinesi yaratılmıştır. Bu karine gereğince, kişisel verilerin işlenmesi sırasında, kişilerin hak ve menfaatleri ihlal edilirse veri sorumlusu kusurlu olmadığını kanıtlamakla yükümlü kılınmıştır. Kusursuzluğunu kanıtlamadığı durumlarda, veri sorumlusu Kanun kapsamında zararı tazminle yükümlü olacaktır. Bu bağlamda, veri sorumluları, kişisel verilere ilişkin uygun önlemleri aldıklarına ilişkin delilleri tutmakla yükümlü kılınmışlardır.

Cezalar

Kanun ile birlikte, CSL kapsamında tutarı 1 milyon RMB (yaklaşık 149.000 $) ile sınırlanan cezalar, kişisel veri ihlalinin niteliğine göre belirlenecek olmakla beraber 50 milyon RMB (yaklaşık 7.456.000 $) veya şirketin bir önceki yıldaki cirosunun %5’i olarak belirlenmiştir. Bunun yanı sıra, yetkili otoritelere veri ihlali durumunda uygulanmak üzere şirketin ruhsatını iptal etme hakkı tanınmıştır.

Kanun tarafından, ayrıca, veri ihlali durumunda şirkette veri koruma süreçleri ile doğrudan sorumlu kişiler için çeşitli cezalar öngörülmüştür. Bu kapsamda, yetkili otoritelere, kişilere uygulanmak üzere 1 milyon RMB (yaklaşık 149.000$) para cezası verme yetkisi tanınmıştır. Para cezasının yanı sıra, Kanun kapsamında, yetkili otoriteler; kişilerin direktör, denetçi, üst düzey yönetici veya veri koruma görevlisi olarak görev yapmalarını engelleyici kısıtlara hükmedebilirler.

Konuyla ilgili detaylı bilgi almak için bizimle iletişime geçebilirsiniz.

Yazar CottGroup Hukuk ve Mevzuat Ekibi, Kategori Kişisel Verilerin Korunması Mevzuatı

  • Bilgilendirme Metni!

    Bu makalede yer alan içerikler, yalnızca genel bilgilendirme amaçlıdır ve CottGroup® üye şirketlerine aittir. Bu içerikler, hukuki, mali veya teknik danışmanlık hizmeti niteliği taşımamaktadır ve kaynak gösterilmeden iktibas edilemez.

    CottGroup® üye şirketleri, makaledeki bilgilerin doğru, güncel veya eksiksiz olduğunu garanti etmez ve bu bilgilerin içerebileceği hata, eksiklik veya yanlış anlaşılmalardan doğabilecek zararlardan sorumlu değildir.

    Burada sunulan bilgiler, genel bir bakış sunmak amacıyla hazırlanmıştır. Her somut olay farklı değerlendirmeler gerektirebilir ve bu bilgiler her duruma uygun olmayabilir. Bu nedenle, makalede yer alan bilgilere dayalı olarak herhangi bir işlem yapmadan önce, konuyla ilgili hukuk, mali, teknik ve diğer uzmanlık alanlarında yetkin bir profesyonele danışmanız önemle tavsiye edilir. CottGroup® müşterisiyseniz, özel durumunuza ilişkin müşteri temsilcinizden bilgi almayı unutmayınız. Müşterimiz değilseniz, lütfen ilgili bir uzmandan görüş alınız.

    CottGroup® üye şirketlerine ulaşmak için tıklayınız.

Yazar

/en/legislation/item/china-personal-information-protection-law-has-entered-into-force-on-november-1-2021

Diğer Mevzuatlar