Çin’in Yeni Veri Koruma Yasası: Türk Şirketlerine Etkisi Ne Olacak?
Uzun süredir beklenen ve Çin’in ilk kapsamlı veri koruma yasası olan Kişisel Bilgilerin Korunması Yasası (Personal Information Protection Law) (“PIPL”), 20 Ağustos 2021 tarihinde Çin’in en üst düzey yasama organı olan 13. Ulusal Halk Kongresi Daimi Komitesi tarafından kabul edilmiştir.
1 Kasım 2021 tarihinde yürürlüğe girecek olan PIPL, yasa kapsamında yükümlü olan şirketlerin uyum sağlaması için çok kısa biz süre tanımaktadır. Bu nedenle, kişisel veri işleyen şirketlerin PIPL kapsamına tabii olup olmadığını tespit etmesi ve tabii olması halinde, herhangi bir yaptırıma maruz kalmamak amacıyla gerekli yükümlülükleri alması gerekmektedir.
PIPL, kullanıcı gizliliğini sağlamak için bir çerçeve oluşturması açısından Avrupa Birliği’nin Genel Veri Koruma Tüzüğü’nü (“GDPR”) anımsatmakta olup veri sorumluları için öngörülen yükümlülükler bakımından da benzerlik göstermektedir.
- Hangi Şirketler PIPL Kapsamına Girmektedir?
PIPL hükümleri, Çin Halk Cumhuriyeti sınırları içerisinde gerçek ve tüzel kişisel tarafından yürütülen gerçek kişilerin kişisel bilgilerinin işlenmesi faaliyetlerine uygulanmaktadır. Anlaşılacağı üzere, bilgi işleme faaliyetinin Çinli şirketler veya çok uluslu şirketlerin yerel iştirakleri tarafından gerçekleştirilip gerçekleştirilmediğine bakılmaksızın, söz konusu şirketin Çin sınırları içerisinde bulunduğu sürece PIPL kapsamına dahil olmaktadır.
Ayrıca, Çin Halk Cumhuriyeti sınırları içinde bulunan gerçek kişilerin kişisel bilgilerini aşağıdaki durumlarda işlemek amacıyla Çin Halk Cumhuriyeti sınırları dışında gerçekleştirilen işleme faaliyetlerine de PIPL hükümleri uygulanacaktır;
- amacın yerli gerçek kişilere ürün veya hizmet sağlamak olduğu durumlarda,
- amacın yerli gerçek kişilerin faaliyetlerini analiz etmek ve değerlendirmek olduğu durumlarda,
- kanunlar ve idari düzenlemeler uyarınca öngörülen diğer hallerde.
Buna göre eğer Türkiye kökenli bir şirket;
- Çin Halk Cumhuriyeti sınırları içerisinde faaliyet göstermekte olup Çin’de bulunan gerçek kişilerin kişisel bilgilerini işliyorsa,
- Çin Halk Cumhuriyeti sınırları içerisinde faaliyet göstermiyorsa dahi, Çin’de bulunan gerçek kişilerin kişisel bilgilerini;
- ürün veya hizmet sağlamak amacıyla,
- kişilerin faaliyetlerini analiz etmek ve değerlendirmek amacıyla,
- kanun ve idari düzenlemeler uyarınca öngörülen haller nedeniyle
işlemesi halinde PIPL kapsamında sorumlu olacaktır.
- PIPL Kapsamında Temel Hususlar
- Kişisel Bilgiler tanımı: Kişisel bilgiler, kimliği belirli veya belirlenebilir gerçek kişilerle ilgili olarak, anonim olarak işlenen bilgiler hariç olmak üzere, elektronik veya diğer yollarla kaydedilen çeşitli türdeki bilgileri ifade etmektedir.
- Hassas Bilgiler tanımı: Biyometrik bilgiler, dini inanç, kimlik bilgileri, tıbbi sağlık, finansal hesaplar ve konum gibi bilgiler ile 14 yaşından küçüklerin kişisel bilgileri gibi, sızdırıldığında veya yasadışı olarak kullanıldığında kişinin haysiyetinin kolayca ihlal edilmesine, kişisel veya mal güvenliğinin zarar görmesine neden olabilecek kişisel bilgileri ifade etmektedir.
- Kişisel Bilgi İşleyicisi: Kişisel bilgi işleme faaliyetlerinde işleme amacını ve yöntemini bağımsız olarak belirleyen herhangi bir kuruluş veya bireydir. PIPL kapsamındaki kişisel bilgi işleyicisinin Türk mevzuatında 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndaki (“KVKK”) karşılığı Veri Sorumlusudur.
- Kişisel bilgilerin işlenmesi faaliyeti: Kişisel bilgilerin toplanması, saklanması, kullanılması, işlenmesi, iletilmesi, sağlanması, yayınlanması ve silinmesini içerir.
- Veri İşleme İlkeleri: a)Hukuka uygunluk, meşruiyet, gereklilik ve iyi niyet ilkelerine uygunluk b)Belirli ve makul amaçlar için işleme c)İşleme amacı ile sınırlı olması ve aşırı olmaması d)Açıklık ve şeffaflık ilkelerine uygun
- Kişisel Bilgilerin İşlenmesi Şartları
PIPL 6.madde uyarınca, kişisel bilgi işleme faaliyeti belirli ve meşru amaca yönelik olarak ve kişisel hak ve menfaatler üzerinde en az etkiye sahip olacak şekilde gerçekleştirilmedir. Bu kapsamda, öngörülen veri minimizasyonu ilkesi gereğince, kişisel bilgilerin işlenmesi işleme amacı ile sınırlı olmalı ve gerektiğinden fazla bilgi işlenmemelidir.
PIPL 13.madde uyarınca, bir kişisel bilgi işleyicisi, yalnızca aşağıdaki durumlardan herhangi birinin varlığı halinde kişisel bilgileri işleyebilmektedir;
- ilgili kişinin rızasının alındığı durumlarda;
- ilgili kişinin rızasının alınmasına gerek olmaksızın;
- İlgili kişinin taraf olduğu bir sözleşmenin akdedilmesi veya ifasının veya insan kaynakları yönetiminin kanuna göre oluşturulan çalışma usul ve esasları ile kanuna göre yapılan toplu sözleşmelere göre yürütülmesinin gerekli olduğu hallerde,
- yasal görevlerin veya yasal yükümlülüklerin yerine getirilmesi için gerekli olduğunda,
- halk sağlığı açısından acil durumlar ile başa çıkmak veya bir gerçek kişinin can, sağlık veya mal güvenliğinin korunması için gerekli olması halinde,
- haber verme ve kamuoyu denetimi gibi eylemlerin kamu yararına gerçekleştirilmesi ve kişisel bilgilerin işlenmesinin makul bir kapsamda olması halinde,
- Kişilerin kendileri tarafından ifşa edilen kişisel bilgilerin veya yasal olarak ifşa edilen diğer kişisel bilgilerin bu Kanun hükümlerine uygun olarak makul bir kapsamda işlenmesi hallerinde,
- kanunlar ve idari düzenlemeler tarafından sağlanan diğer durumlarda.
- Kişisel Bilgilerin Yurt Dışına Aktarımı
Kural olarak, kritik bilgi altyapısı operatörlerinin veya devlet tarafından belirlenecek olan sınırın (henüz belirlenmemiştir) üzerinde kişisel veri toplayan organizasyonların Çin’de topladıkları kişisel verilerin Çin’de muhafaza edilmesi zorunludur.
Ancak aşağıdaki 4 şartın gerçekleştirilmesi halinde kişisel veriler yurt dışına aktarılabilir (her halükarda veri sahibine aydınlatma yapılmalı ve açık rıza alınmalıdır):
- Anılan organizasyonlar için öngörülen güvenlik değerlendirmesinden geçilmesi
- Yetkili kurumlardan kişisel verilerin korunması sertifikası alınmış olması
- Yurt dışında bulunan aktarım yapılacak taraf ile devlet tarafından hazırlanmış bir standart sözleşmenin imzalanması
- Diğer kanunlar ve düzenlemelerden görülen veya devlet tarafından belirlenen diğer durumlar
- PIPL Kapsamına Tabii Olan Şirketlerin Yükümlülükleri
GDPR ve KVKK kapsamındaki düzenlemelere benzer şekilde, PIPL uyarınca öngörülen kişisel bilgi işleyicisinin yükümlülükleri aşağıdaki gibidir;
- Kişisel bilgilerin güvenliğinin sağlanması için gerekli tedbirleri alma yükümlülüğü
Kişisel bilgi işleyicisi, kişisel bilgilerin işlenmesinden sorumlu olmakta ve işlenen bilgilerin güvenliğini sağlamak için gerekli önlemleri almakla yükümlüdür.
PIPL 51.madde uyarınca kişisel bilgi işleyicisi, kişisel bilgi işleme faaliyetinin mevzuata uygun bir şekilde gerçekleşmesini sağlamak ve bilgilere yetkisiz erişimin, veri ihlalleri, bozulma ve kayıp hallerini engellemek adına aşağıda öngörülen tedbirleri almakla yükümlüdür;
- Şirket iç yönetimine ilişkin yapıların ve çalışma kurallarının formüle edilmesi
- Kişisel bilgilerin sınıflandırılarak yönetilmesi
- Şifreleme ve kimlik gizleme vb. yöntemler ile teknik tedbirlerin alınması
- Kişisel bilgi işleme faaliyetinin makul sınırlarının belirlenmesi
- Düzenli olarak çalışanlara yönelik veri güvenliği eğitimlerinin verilmesi
- Veri ihlali halinde müdahale yöntemine ilişkin süreçlerin belirlenmesi ve formüle edilmesi
- Düzenli olarak kişisel bilgileri işleme faaliyetlerinin ve yasaya uygunluğunun denetlenmesi
- Bilgi Koruma Etki Değerlendirmesi yapma yükümlülüğü
PIPL 55.madde uyarınca; aşağıda öngörülen hallerden herhangi birinin varlığı halinde kişisel bilgi işleyicisi Kişisel Bilgi Koruma Etki Değerlendirmesi yürütmekle yükümlüdür;
- Hassas kişisel bilgilerin işlenmesi,
- Otomatik karar verme süreçleri için kişisel bilgi kullanması,
- Kişisel bilgi işleme faaliyetlerinin 3.taraflarca yürütülmesi amacıyla kişisel bilgilerin aktarılması,
- Kişisel bilgilerin yurt dışına aktarılması,
- Bireyler üzerinde büyük etkisi olan diğer bilgi işleme faaliyetlerinin yürütülmesi.
- Veri koruma görevlisi ve yerel temsilci atama yükümlülüğü
PIPL 52.madde uyarınca, belli bir miktar (henüz belirlenmemiştir) üzerinde kişisel bilgi işleyen kişisel bilgi işleyicilerinin, veri koruma görevlisi ataması zorunludur. Veri koruma görevlisi, kişisel bilgi işleme faaliyetlerinin ve uygulanan veri koruma tedbirlerinin denetlenmesinden sorumludur.
PIPL 53.madde kapsamında ise, Çin Halk Cumhuriyeti sınırları dışında faaliyet gösteren kişisel bilgi işleyicileri, Çin’de gerçekleştirdiği kişisel bilgi işleme sürecine ilişkin konuları idare etmek üzere bir yerel temsilci atamakla yükümlüdür. Buna göre söz konusu kişisel bilgi işleyicileri, Çin sınırları içerisinde özel bir tüzel kişilik oluşturmalı veya bir temsilci atamalıdır.
- Veri ihlali bildirme yükümlülüğü
PIPL 57.madde uyarınca; kişisel bilgilerin sızdırılması, tahrif edilmesi, kaybolması veya bilgilerin yasadışı biçimde değiştirilmesi durumlarında kişisel bilgi işleyicisinin derhal düzeltici önlemleri alma ve durumu ilgili kişilere ve resmi kurumlara bildirme yükümlülüğü bulunmaktadır.
Söz konusu veri ihlal bildiriminde aşağıdaki ayrıntıların yer alması gerekmektedir;
- Veri ihlalinin türleri ve nedenleri ile veri ihlali nedeniyle meydana gelen veya meydana gelebilecek kayıplar ve zararlar,
- Kişisel bilgi işleyicisi tarafından alınan iyileştirici önlemler ve zararı azaltmak için bireyler tarafından alınan önlemler,
- Kişisel bilgi işleyicisinin iletişim bilgileri.
- Yaptırımlar
- İdari Para Cezası
PIPL hükümlerinin ihlali halinde kişisel bilgi işleyiciler için yıllık cironun %5’i veya 50 milyon Yuan’a (yaklaşık 7,7 milyon dolar) kadar, ihlalden doğrudan sorumlu olan gerçek kişiler için ise 100.000 Yuan’dan (yaklaşık 15.000 dolar) 1 milyon Yuan’a (yaklaşık 154.000 dolar) kadar idari para cezası öngörülmektedir.
- Hukuki Sorumluluk
Kişisel bilgilerine ilişkin hak ve menfaatleri ihlal edilen veri sahiplerinin Çin Medeni Kanun ve Tüketici Haklarının Korunması Kanunu uyarınca hukuki yollara başvurma hakkı bulunmaktadır.
Buna göre, kişisel bilgilere ilişkin herhangi bir hukuka aykırılık oluşması halinde, kusurlu olmadığını ispat edemediği takdirde kişisel bilgi işleyicisi, bilgilerin işlenmesinden kaynaklanan zararları tazmin etmekle yükümlü olmaktadır.
Bunun yanı sıra, PIPL ihlalleri kredi dosyasına kaydedilerek kamuoyuna açıklanmaktadır. Kredi dosyalarındaki ihlal kayıtları ise şirketin kurumsal gelişimi ve itibarı üzerinde olumsuz etkilere neden olabilmektedir.
- Cezai Sorumluluk
PIPL hükümlerinin ihlal edilmesi kamu güvenliğine aykırılık teşkil etmesi halinde, kamu güvenliği idaresi cezası verilmektedir. İhlalin suç teşkil etmesi halinde ise Çin Ceza Kanunu’na göre cezai sorumluluk söz konusu olmaktadır.
- Türk Şirketleri İçin Yol Haritası
1 Kasım 2021 tarihinde yürürlüğe girecek olan PIPL kapsamında Türk şirketlerinin herhangi bir yaptırıma maruz kalmaktan kaçınması için öncelikli olarak PIPL kapsamında sorumlu olup olmadığının tespit edilmesi ve takiben gerekli önlemlerin alınması gerekmektedir. Buna göre aşağıdaki şekilde bir yol haritası izlenmesi mümkündür;
- Şirket bünyesinde ne tür bir veri/bilgi işlendiğinin ve bu veri türlerinin PIPL kapsamına girip girmediğinin tespiti
- Şirketin Çin Halk Cumhuriyeti toprakları içerisinde veri işleyip işlemediğinin tespiti (Örneğin, Türk şirketinin Çin’de veri merkezleri işleten Çinli bir yan kuruluşa sahip olması)
- Şirketin, PIPL hükümlerinin uygulanmasını gerektirecek faaliyetleri yürütüp yürütmediğinin tespiti (Örneğin, ürün/hizmet sunma veya davranışları analiz etme)
- Türk şirketinin PIPL’e tabii olduğunun tespit edilmesi halinde; PIPL hükümlerinin uygulanmasının en aza indirgenebilmesi isteniyorsa Çin içerisinde veya Çin dışından işlenen bilgilerin ayrıştırılması mümkün olabilmektedir.
- Bu aşamalardan sonra Türk şirketinin PIPL kapsamında olduğu tespit edilmesi halinde şirketin PIPL’de öngörülen yükümlülükleri uygulaması ve bu yönde gerekli tedbirleri alması gerekmektedir. Aksi halde şirketin yaptırımlara maruz kalması söz konusu olabilecektir.
Kaynakça
Yazı: Av. Altuğ Özgün TEİD Yönetim Kurulu Üyesi, Çetinkaya Avukatlık Bürosu –
Av. Berna Çetinkaya, Çetinkaya Avukatlık Bürosu
Etik ve Uyum Programı Nasıl Hazırlanır?
Kurumsal Etik ve Uyum Programı Geliştirme Gereğinin Ardındaki İtici Güçler
Sorumlu İş Modelinin Şirkete Yararları
Sorumlu İş Modeli
Yolsuzlukla Mücadelede İletişim Stratejileri: Etkiyi Arttırmanın Yolları
G20 Zirvesi Sona Erdi, Etkileri Devam Ediyor: B20 Brasil Responsiveness Report
G20 Brezilya bitti sıra Güney Afrika’da
İş Etiği ve Uyum Politikalarının Ticari Hayattaki Yeri ve Önemi