Uzun süredir beklenen ve Çin’in ilk kapsamlı veri koruma yasası olan Kişisel Bilgilerin Korunması Yasası (Personal Information Protection Law) (“PIPL”), 20 Ağustos 2021 tarihinde Çin’in en üst düzey yasama organı olan 13. Ulusal Halk Kongresi Daimi Komitesi tarafından kabul edilmiştir.
1 Kasım 2021 tarihinde yürürlüğe girecek olan PIPL, yasa kapsamında yükümlü olan şirketlerin uyum sağlaması için çok kısa bir süre tanımaktadır. Bu nedenle, kişisel veri işleyen şirketlerin PIPL kapsamına tabi olup olmadığını tespit etmesi ve tabi olması halinde, herhangi bir yaptırıma maruz kalmamak amacıyla gerekli yükümlülükleri yerine getirmesi gerekmektedir.
PIPL, kullanıcı gizliliğini sağlamak için bir çerçeve oluşturması açısından Avrupa Birliği’nin Genel Veri Koruma Tüzüğü’nü (“GDPR”) anımsatmakta olup veri sorumluları için öngörülen yükümlülükler bakımından da benzerlik göstermektedir.
I. Hangi Şirketler PIPL Kapsamına Girmektedir?
PIPL hükümleri, Çin Halk Cumhuriyeti sınırları içerisinde gerçek ve tüzel kişisel tarafından yürütülen gerçek kişilerin kişisel bilgilerinin işlenmesi faaliyetlerine uygulanmaktadır. Anlaşılacağı üzere, bilgi işleme faaliyetinin Çinli şirketler veya çok uluslu şirketlerin yerel iştirakleri tarafından gerçekleştirilip gerçekleştirilmediğine bakılmaksızın, söz konusu şirket Çin sınırları içerisinde bulunduğu sürece PIPL kapsamına dahil olmaktadır.
Ayrıca, Çin Halk Cumhuriyeti sınırları içinde bulunan gerçek kişilerin kişisel bilgilerini aşağıdaki durumlarda işlemek amacıyla, Çin Halk Cumhuriyeti sınırları dışında gerçekleştirilen işleme faaliyetlerine de PIPL hükümleri uygulanacaktır:
i. Amacın yerli gerçek kişilere ürün veya hizmet sağlamak olduğu durumlar
ii. Amacın yerli gerçek kişilerin faaliyetlerini analiz etmek ve değerlendirmek olduğu durumlar
iii. Kanunlar ve idari düzenlemeler uyarınca öngörülen diğer haller
Buna göre eğer Türk kökenli bir şirket;
Çin Halk Cumhuriyeti sınırları içerisinde faaliyet göstermekte olup Çin’de bulunan gerçek kişilerin kişisel bilgilerini işliyorsa,
Çin Halk Cumhuriyeti sınırları içerisinde faaliyet göstermiyorsa dahi, Çin’de bulunan gerçek kişilerin kişisel bilgilerini;
a. ürün veya hizmet sağlamak amacıyla,
b. kişilerin faaliyetlerini analiz etmek ve değerlendirmek amacıyla,
c. kanun ve idari düzenlemeler uyarınca öngörülen haller nedeniyle
işlemesi halinde PIPL kapsamında sorumlu olacaktır.
II. PIPL Kapsamında Temel Hususlar
- Kişisel Bilgiler tanımı: Kişisel bilgiler, kimliği belirli veya belirlenebilir gerçek kişilerle ilgili olarak, anonim olarak işlenen bilgiler hariç olmak üzere, elektronik veya diğer yollarla kaydedilen çeşitli türdeki bilgileri ifade etmektedir.
- Hassas Bilgiler tanımı: Biyometrik bilgiler, kimlik bilgileri, tıbbi amaçla kullanılan sağlık bilgileri, dini inanç, finansal hesaplar ve konum gibi bilgiler ile 14 yaşından küçüklerin kişisel bilgileri gibi, sızdırıldığında veya yasadışı olarak kullanıldığında kişinin haysiyetinin kolayca ihlal edilmesine, kişisel veya mal güvenliğinin zarar görmesine neden olabilecek kişisel bilgileri ifade etmektedir.
- Kişisel Bilgi İşleyicisi: Kişisel bilgi işleme faaliyetlerinde işleme amacını ve yöntemini bağımsız olarak belirleyen herhangi bir kuruluş veya bireydir. PIPL kapsamındaki kişisel bilgi işleyicisinin Türk mevzuatında 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndaki (“KVKK”) karşılığı veri sorumlusudur.
- Kişisel bilgilerin işlenmesi faaliyeti: Kişisel bilgilerin toplanması, saklanması, kullanılması, işlenmesi, iletilmesi, sağlanması, yayınlanması ve silinmesini içerir.
- Veri İşleme İlkeleri: a) Hukuka uygunluk, meşruiyet, gereklilik ve iyi niyet ilkelerine uygunluk b) Belirli ve makul amaçlar için işleme c) İşleme amacı ile sınırlı olma ve aşırı olmama d) Açıklık ve şeffaflık ilkelerine uygunluk
III. Kişisel Bilgilerin İşlenmesi Şartları
PIPL 6. madde uyarınca kişisel bilgi işleme faaliyeti, belirli ve meşru amaca yönelik olarak, kişisel hak ve menfaatler üzerinde en az etkiye sahip olacak şekilde gerçekleştirilmedir. Bu kapsamda, öngörülen veri minimizasyonu ilkesi gereğince kişisel bilgilerin işlenmesi, işleme amacı ile sınırlı olmalı ve gerektiğinden fazla bilgi işlenmemelidir.
PIPL 13. madde uyarınca bir kişisel bilgi işleyicisi, yalnızca aşağıdaki durumlardan herhangi birinin varlığı halinde kişisel bilgileri işleyebilmektedir:
a. İlgili kişinin rızasının alındığı durumlar
b. İlgili kişinin rızasının alınmasına gerek olmaksızın;
i. İlgili kişinin taraf olduğu bir sözleşmenin akdedilmesi veya ifasının veya insan kaynakları yönetiminin kanuna göre oluşturulan çalışma usul ve esasları ile kanuna göre yapılan toplu sözleşmelere göre yürütülmesinin gerekli olduğu haller
ii. Yasal görevlerin veya yasal yükümlülüklerin yerine getirilmesi için gerekli olduğu haller
iii. Halk sağlığı açısından acil durumlarla başa çıkmak veya bir gerçek kişinin can, sağlık veya mal güvenliğinin korunması için gerekli olduğu haller,
iv. Haber verme ve kamuoyu denetimi gibi eylemlerin kamu yararına gerçekleştirildiği ve kişisel bilgilerin işlenmesinin makul bir kapsamda olduğu haller
v. Kişilerin kendileri tarafından ifşa edilen kişisel bilgilerin veya yasal olarak ifşa edilen diğer kişisel bilgilerin bu Kanun hükümlerine uygun olarak makul bir kapsamda işlendiği haller
vi. Kanunlar ve idari düzenlemeler tarafından sağlanan diğer durumlar
IV. Kişisel Bilgilerin Yurt Dışına Aktarımı
Kural olarak kritik bilgi altyapısı operatörlerinin veya devlet tarafından belirlenecek olan sınırın (henüz belirlenmemiştir) üzerinde kişisel veri toplayan organizasyonların, Çin’de topladıkları kişisel verileri Çin’de muhafaza etmesi zorunludur.
Ancak aşağıdaki 4 şartın gerçekleştirilmesi halinde kişisel veriler yurt dışına aktarılabilir (her halükarda veri sahibine aydınlatma yapılmalı ve açık rıza alınmalıdır):
1. Anılan organizasyonlar için öngörülen güvenlik değerlendirmesinden geçmek
2. Yetkili kurumlardan kişisel verilerin korunması sertifikası almış olmak
3. Yurt dışında bulunan aktarım yapılacak taraf ile devlet tarafından hazırlanmış bir standart sözleşmenin imzalanması
4. Diğer kanunlar ve düzenlemelerde görülen veya devlet tarafından belirlenen diğer durumlar
V. PIPL Kapsamına Tabi Olan Şirketlerin Yükümlülükleri
GDPR ve KVKK kapsamındaki düzenlemelere benzer şekilde, PIPL uyarınca öngörülen kişisel bilgi işleyicisinin yükümlülükleri aşağıdaki gibidir:
a. Kişisel bilgilerin güvenliğinin sağlanması için gerekli tedbirleri alma yükümlülüğü
Kişisel bilgi işleyicisi, kişisel bilgilerin işlenmesinden sorumludur ve işlenen bilgilerin güvenliğini sağlamak için gerekli önlemleri almakla yükümlüdür.
PIPL 51. madde uyarınca kişisel bilgi işleyicisi, kişisel bilgi işleme faaliyetinin mevzuata uygun bir şekilde gerçekleşmesini sağlamak ve bilgilere yetkisiz erişimi, veri ihlallerini, bozulma ve kayıp hallerini engellemek adına aşağıda öngörülen tedbirleri almakla yükümlüdür:
Şirket iç yönetimine ilişkin yapıların ve çalışma kurallarının formüle edilmesi
Kişisel bilgilerin sınıflandırılarak yönetilmesi
Şifreleme ve kimlik gizleme vb. yöntemlerle teknik tedbirlerin alınması
Kişisel bilgi işleme faaliyetinin makul sınırlarının belirlenmesi
Düzenli olarak çalışanlara yönelik veri güvenliği eğitimlerinin verilmesi
Veri ihlali halinde müdahale yöntemine ilişkin süreçlerin belirlenmesi ve formüle edilmesi
Düzenli olarak kişisel bilgileri işleme faaliyetlerinin ve bu faaliyetlerin yasaya uygunluğunun denetlenmesi
b. Bilgi Koruma Etki Değerlendirmesi yapma yükümlülüğü
PIPL 55. madde uyarınca aşağıda öngörülen hallerden herhangi birinin varlığı halinde kişisel bilgi işleyicisi Kişisel Bilgi Koruma Etki Değerlendirmesi yürütmekle yükümlüdür:
Hassas kişisel bilgilerin işlenmesi
Otomatik karar verme süreçleri için kişisel bilgi kullanması
Kişisel bilgi işleme faaliyetlerinin 3.taraflarca yürütülmesi amacıyla kişisel bilgilerin aktarılması
Kişisel bilgilerin yurt dışına aktarılması
Bireyler üzerinde büyük etkisi olan diğer bilgi işleme faaliyetlerinin yürütülmesi
c. Veri koruma görevlisi ve yerel temsilci atama yükümlülüğü
PIPL 52. madde uyarınca, belli bir miktar (henüz belirlenmemiştir) üzerinde kişisel bilgi işleyen kişisel bilgi işleyicilerinin, veri koruma görevlisi ataması zorunludur. Veri koruma görevlisi, kişisel bilgi işleme faaliyetlerinin ve uygulanan veri koruma tedbirlerinin denetlenmesinden sorumludur.
PIPL 53. madde kapsamında ise Çin Halk Cumhuriyeti sınırları dışında faaliyet gösteren kişisel bilgi işleyicileri, Çin’de gerçekleştirdiği kişisel bilgi işleme sürecine ilişkin konuları idare etmek üzere bir yerel temsilci atamakla yükümlüdür. Buna göre söz konusu kişisel bilgi işleyicileri, Çin sınırları içerisinde özel bir tüzel kişilik oluşturmalı veya bir temsilci atamalıdır.
d. Veri ihlalini bildirme yükümlülüğü
PIPL 57. madde uyarınca kişisel bilgilerin sızdırılması, tahrif edilmesi, kaybolması veya bilgilerin yasadışı biçimde değiştirilmesi durumlarında kişisel bilgi işleyicisinin derhal düzeltici önlemleri alma ve durumu ilgili kişilere ve resmi kurumlara bildirme yükümlülüğü bulunmaktadır.
Söz konusu veri ihlal bildiriminde aşağıdaki ayrıntıların yer alması gerekmektedir:
Veri ihlalinin türleri ve nedenleri ile veri ihlali nedeniyle meydana gelen veya meydana gelebilecek kayıplar ve zararlar
Kişisel bilgi işleyicisi tarafından alınan iyileştirici önlemler ve zararı azaltmak için bireyler tarafından alınan önlemler
Kişisel bilgi işleyicisinin iletişim bilgileri
VI. Yaptırımlar
a. İdari Para Cezası
PIPL hükümlerinin ihlali halinde kişisel bilgi işleyicileri için yıllık cironun %5’i veya 50 milyon Yuan’a (yaklaşık 7,7 milyon dolar) kadar, ihlalden doğrudan sorumlu olan gerçek kişiler için ise 100.000 Yuan’dan (yaklaşık 15.000 dolar) 1 milyon Yuan’a (yaklaşık 154.000 dolar) kadar idari para cezası öngörülmektedir.
b. Hukuki Sorumluluk
Kişisel bilgilerine ilişkin hak ve menfaatleri ihlal edilen veri sahiplerinin Çin Medeni Kanun ve Tüketici Haklarının Korunması Kanunu uyarınca hukuki yollara başvurma hakkı bulunmaktadır.
Buna göre, kişisel bilgilere ilişkin herhangi bir hukuka aykırılık oluşması halinde kusurlu olmadığını ispat edemediği takdirde kişisel bilgi işleyicisi, bilgilerin işlenmesinden kaynaklanan zararları tazmin etmekle yükümlü olmaktadır.
Bunun yanı sıra, PIPL ihlalleri kredi dosyasına kaydedilerek kamuoyuna açıklanmaktadır. Kredi dosyalarındaki ihlal kayıtları ise şirketin kurumsal gelişimi ve itibarı üzerinde olumsuz etkilere neden olabilmektedir.
c. Cezai Sorumluluk
PIPL hükümlerinin ihlal edilmesi aynı zamanda kamu güvenliğine aykırılık teşkil etmesi halinde, kamu güvenliği idaresi cezası verilmektedir. İhlalin suç teşkil etmesi halinde ise Çin Ceza Kanunu’na göre cezai sorumluluk söz konusu olmaktadır.
VII. Türk Şirketleri İçin Yol Haritası
1 Kasım 2021 tarihinde yürürlüğe girecek olan PIPL kapsamında Türk şirketlerinin herhangi bir yaptırıma maruz kalmaktan kaçınması için öncelikli olarak PIPL kapsamında sorumlu olup olmadığının tespit edilmesi ve takiben gerekli önlemlerin alınması gerekmektedir. Buna göre aşağıdaki şekilde bir yol haritası izlenmesi mümkündür:
1. Şirket bünyesinde ne tür bir veri/bilgi işlendiğinin ve bu veri türlerinin PIPL kapsamına girip girmediğinin tespiti
2. Şirketin Çin Halk Cumhuriyeti toprakları içerisinde veri işleyip işlemediğinin tespiti (Örneğin, Türk şirketinin Çin’de veri merkezleri işleten Çinli bir yan kuruluşa sahip olması)
3. Şirketin, PIPL hükümlerinin uygulanmasını gerektirecek faaliyetleri yürütüp yürütmediğinin tespiti (Örneğin, ürün/hizmet sunma veya davranışları analiz etme)
4. Şirketin PIPL kapsamında olduğunun tespit edilmesi halinde PIPL’de öngörülen yükümlülükleri uygulanması ve bu yönde gerekli tedbirleri alınması
Kaynakça
-
Kemal Altuğ Özgün
Managing Partner