Kişisel Bilgilerin Korunması Kanunu "Her 3 Yılda Bir Gözden Geçirme" Politikasını Anlamak: Şirket Uygulamalarına Etkileri ve Yanıt Noktaları

Reiwa 8 (2026) yılı Ocak ayının 9’unda, Kişisel Bilgi Koruma Komisyonu, “Kişisel Bilgi Koruma Yasası Üç Yılda Bir Gözden Geçirme Sistem Değişikliği Politikası“nı kamuoyuna duyurdu. Bu değişiklik, AI çağında veri kullanımını teşvik ederken, uygunsuz kullanıma karşı “cezai yaptırımlar” gibi kullanım kuralları ve düzenlemelerinin yeniden düzenlenmesini içeriyor ve Japonya’daki şirketlerin veri işleme süreçlerini de etkileyen unsurlar barındırıyor.

Bu makalede, Japonya’daki şirketlerin dikkate alması gereken pratik değişiklik noktalarını açıklayacağız.

Kişisel Bilgilerin Korunması Yasası Revizyon Politikasının Arka Planı ve Sistemsel Gereklilikler

Bu revizyon politikasının oluşturulmasının arka planında, üç ana unsur bulunmaktadır.

Yasal Zorunluluk Olarak “Her 3 Yılda Bir Gözden Geçirme”

İlk olarak, sistemsel bir gereklilik söz konusudur. Japonya’da, Reiwa 2 (2020) yılında yapılan yasa değişikliği ek hükümlerinde, yasanın yürürlüğe girmesinden itibaren her 3 yılda bir, uluslararası eğilimler, bilgi ve iletişim teknolojilerinin gelişimi, yeni endüstrilerin yaratılması gibi unsurlar göz önünde bulundurularak yasanın uygulanma durumunun incelenmesi ve gerekli önlemlerin alınması zorunlu kılınmıştır.

Bu revizyon politikası, bu düzenlemeye dayanarak Reiwa 5 (2023) Kasım ayında başlatılan inceleme çalışmalarının sonucu olarak ortaya konulmuştur.

Referans: Kişisel Bilgileri Koruma Komisyonu｜Kişisel Bilgilerin Korunması Yasası Her 3 Yılda Bir Gözden Geçirme Hakkında

Hükümetin Dijital Reformuyla Uyum

İkinci olarak, hükümetin genel veri kullanım stratejisiyle uyum söz konusudur. Japon hükümeti, Reiwa 7 (2025) Haziran ayında “Veri Kullanım Sisteminin Yapısı Hakkında Temel Politika”yı kabine kararıyla onaylamış ve veri ile yapay zekanın (AI) iyi bir döngüsünü oluşturmak için kapsamlı bir yasal düzenleme yapmaktadır. Özellikle, AI’nın hızlı yayılması ve veri işlemenin karmaşıklaşması nedeniyle, bireylerin kendi verilerinin nasıl işlendiğini anlaması zorlaşmıştır.

Bu duruma yanıt olarak, bireylerin verilerini güvenle sağlayabilmesi için güvenin oluşturulması zorunlu hale gelmiş ve veri kullanımının teşviki ile sonrasında düzenlemelerin etkinliğinin sağlanması bir bütün olarak ele alınmıştır.

Toplumsal ve Teknolojik Çevredeki Değişikliklere Yanıt

Üçüncü olarak, bireylerin hak ve çıkarlarını çevreleyen risklerin değişimidir.

Son yıllarda, yüz özellikleri verileri (yüz şekli ve parçalarının yerleşimi gibi bilgileri sayısallaştırarak bireylerin tanınmasını sağlayan bilgiler) gibi biyometrik bilgilerin kullanımı yaygınlaşmakta ve 16 yaş altı çocukların kişisel bilgilerinin işlenmesiyle ilgili sorunlar ortaya çıkmaktadır.

Ayrıca, “karanlık liste” kaynaklı özel dolandırıcılık veya oltalama dolandırıcılığı gibi kişisel bilgilerin suç amaçlı kötüye kullanıldığı durumlar da artmaktadır. Bunun yanı sıra, verilerin işlenmesinin dışarıya devredildiği durumların artmasıyla birlikte, devredilen tarafın iş kapsamını aşarak verileri kullanması gibi yönetim eksikliklerinden kaynaklanan riskler de belirtilmektedir.

Bu tür yeni risklere karşı, mevcut yasal çerçevenin yeterince yanıt veremediği durumlar ortaya çıkmakta ve bu da gözden geçirmenin arka planını oluşturmaktadır.

Japon Kişisel Bilgilerin Korunması Yasası Değişiklik Politikasının Dört Ana Unsuru

Bu değişiklik politikası, dört ana unsurdan oluşmaktadır. Her birinin detaylarını açıklayacağız.

Japonya’da Uygun Veri Kullanımının Teşviki

Bu değişiklikle, bireyin hak ve çıkarlarına etkisi nispeten düşük olan veri kullanımı konusunda, bireyin katılım şekli yeniden değerlendirilecek ve veri kullanımının daha sorunsuz hale getirilmesi hedeflenecektir.

Özellikle, istatistiksel bilgi oluşturma veya yapay zeka geliştirme gibi, belirli bir bireyi tanımlayamayacak şekilde kullanımın güvence altına alındığı durumlarda, belirli şartlar altında, kişisel verilerin üçüncü taraflara sağlanması gibi durumlarda bireyin onayının gereksiz olduğu yönünde bir yaklaşım benimsenmiştir.

Ayrıca, elde edilen durumdan bireyin iradesine aykırı olmadığı açıkça belli olan durumlar (örneğin, otel rezervasyon bilgilerinin konaklama yerine sağlanması veya yurtdışı para transferi sırasında bilgi paylaşımı gibi) için de onayın gereksiz olduğu bir düzenleme düşünülmektedir.

Dahası, yaşam, beden ve mal varlığının korunması veya kamu sağlığının iyileştirilmesi ile ilgili istisna hükümleri için mevcut “onay almanın zor olduğu” şartı hafifletilerek yeniden düzenlenmekte ve tıbbi kurumlar tarafından yapılan klinik araştırmaların daha sorunsuz yürütülmesini amaçlayan akademik araştırmalarla ilgili istisnalar da gözden geçirilmektedir.

Japon Hukuku Altında Risklere Uygun Disiplin

İşlemlerin niteliğindeki değişikliklere uygun disiplinin düzenlenmesi, önemli bir tartışma konusu olarak değerlendirilmektedir.

Öncelikle, Japonya’da reşit olmayan bireylerle ilgili disiplin olarak, 16 yaşından küçük bir bireyden kişisel bilgi alınması durumunda, prensip olarak yasal temsilcinin katılımının talep edilmesi yönünde bir sistem düzenlemesi düşünülmektedir. Ayrıca, reşit olmayan bireylerin kişisel bilgilerinin işlenmesi konusunda, “bireyin en iyi çıkarlarını” göz önünde bulundurulması gerektiği yönünde bir sorumluluk hükmünün getirilmesi önerilmektedir.

Sonrasında, biyometrik bilgilerle ilgili disiplin olarak, yüz özellikleri gibi belirli bir bireyi sürekli olarak tanımlayabilecek bilgilerin kullanım amacı gibi konuların daha iyi bilgilendirilmesi ve kullanımın durdurulması taleplerinin kapsamının genişletilmesi gibi konular üzerinde durulmaktadır. Ayrıca, üçüncü taraflara opt-out yöntemiyle bilgi sağlanmasının gözden geçirilmesi de tartışma konusudur.

Dahası, Japonya’da yetkilendirme ile ilgili disiplin konusunda, yetkilendirilen tarafın görev kapsamı dışında kullanımını önlemek için disiplinin netleştirilmesi düşünülmektedir. Öte yandan, yetkilendiren tarafın talimatlarına dayanarak sadece mekanik işlem yapıldığı durumlarda, yükümlülüklerin rasyonelleştirilmesi yönünde bir yaklaşım da önerilmektedir.

Bunların yanı sıra, sızıntı gibi olaylara karşı alınacak önlemler konusunda da, riskin derecesine göre birey bilgilendirmesi ve raporlama yöntemlerinin gözden geçirilmesi yönünde bir sistem tasarımı düşünülmektedir.

Japonya’da Uygunsuz Kullanımın Önlenmesi

Japonya’da uygunsuz kullanımın önlenmesi konusunda, suç faaliyetleri gibi kötüye kullanımları engellemek amacıyla düzenlemeler güçlendirilmektedir.

Telefon numaraları veya Çerez Kimlikleri gibi belirli bir kişiye ulaşılabilecek bilgiler, kişisel bilgi kapsamına girmese bile, kimlik avı dolandırıcılığı gibi uygunsuz amaçlarla kullanım veya elde edilmesi yasaklanmaktadır. Ayrıca, opt-out sistemi ile bilgi sağlanırken, bilgilerin sağlandığı tarafın kimliği ve kullanım amacının doğrulanması zorunlu hale getirilerek, listelerin yasa dışı dolaşımı engellenmektedir.

Japonya’da Disiplin Uyumu Etkinliğinin Sağlanması

Japonya’da disiplin uyumu etkinliğinin sağlanması, bu seferki değişikliklerin en büyük endişe konusudur. Hızlı düzeltme emirlerini mümkün kılmak için gereklilikler gözden geçirilirken, ihlal eylemlerine yardımcı olan üçüncü taraflara (barındırma hizmeti sağlayıcıları gibi) yönelik önlem taleplerinin yasal dayanağı da oluşturulacaktır.

Ayrıca, büyük miktarda kişisel bilgi toplayarak kötü niyetli kullanım ve sağlama yoluyla ekonomik kazanç elde eden işletmelere, elde edilen mülkiyet kazancına eşdeğer miktarda para cezası ödeme sistemi getirilecektir. Bu sistem, prensip olarak, 1,000 kişiyi aşan büyük ölçekli vakalarla sınırlı olacaktır, ancak bu durum, şirketlerin uyum riskini önemli ölçüde artıracaktır.

Japon Kişisel Bilgilerin Korunması Yasası Değişikliklerine Karşı Şirketlerin Alması Gereken Önlemler

Değişiklik planının içeriği geniş kapsamlıdır ve şirketler, hukuki ve uyum sistemlerini köklü bir şekilde gözden geçirmek zorunda kalacaklardır. Spesifik olarak alınması gereken önlemleri düzenliyoruz.

Taşeron Yönetiminin Yeniden Yapılandırılması ve Sözleşmelerin Gözden Geçirilmesi

Bu değişiklikle birlikte, taşeronlara da doğrudan hukuki yükümlülükler getirilecektir. Şirketler, öncelikle kendi taşeronları olduğunda, taşeronların iş kapsamını aşarak verileri kullanmadığını denetleme sistemlerini yeniden gözden geçirmelidir. Özellikle, yapay zeka geliştirme veya veri analizi dış kaynak kullanımıyla yapılıyorsa, taşeronların kendi öğrenimlerinde verileri kullanması, yeni yasa altında açıkça yasaklanma riski taşımaktadır.

Öte yandan, yalnızca “mekanik işlem” gibi giriş işlemlerinin taşerona verildiği durumlarda, yükümlülük muafiyeti için sözleşmede tüm işlem yöntemlerinin üzerinde anlaşılması ve durum tespit önlemlerinin belirtilmesi gibi yeni sisteme uyum sağlamak için sözleşme revizyonu hazırlıkları gereklidir.

Reşit Olmayanlar ve Biyometrik Verilere İlişkin Özel Kuralların Düzenlenmesi

16 yaş altı reşit olmayanlara yönelik hizmet sunan şirketler için yaş doğrulama süreçlerinin oluşturulması ve yasal temsilcinin onayını almak için iş akışlarının uygulanması acil bir gereklilik haline gelmiştir. Ayrıca, “reşit olmayanların en iyi çıkarlarını” göz önünde bulundurma yükümlülüğü getirildiğinden, gizlilik politikalarına reşit olmayanlara yönelik anlaşılır açıklamalar eklemek gibi önlemler de gerekecektir.

Ayrıca, yüz tanıma sistemi kullanan şirketler, edinilen bilgilerin (edinicinin adı, spesifik kullanım amacı, fiziksel özelliklerin içeriği vb.) yasal zorunluluk haline geleceğine hazırlıklı olmalı ve ilan panoları veya web sitesi içeriklerini dikkatle incelemelidir.

“Saldırgan Yönetişim” Olarak İstatistik Kullanımı

Öte yandan, bu değişiklik, verilerin kullanımını teşvik eden bir yön de taşımaktadır. İstatistik oluşturma gibi durumlarla sınırlı olarak kişisel onay gerektirmeyen istisnalar üzerinde çalışılmakta olup, belirli şartlar altında, ileri düzey veri analizi veya yapay zeka geliştirme için kullanım alanı genişleyebilir.

Şirketler olarak, bu istisnayı uygun şekilde kullanmak için iç kuralları (amaç dışı kullanım yasağı, üçüncü taraflara sağlama kısıtlamaları, uygun açıklama prosedürleri vb.) düzenlemek ve yenilik yaratma için hukuki temeli oluşturmak önemlidir.

Cezaların Ağırlaştırılması ve İdari Para Cezalarına Karşı Risk Yönetimi

Bu gözden geçirme sürecinde büyük bir tartışma konusu olan, idari para cezası sistemi ve cezaların güçlendirilmesidir. Büyük ölçekli veri sızıntıları veya uygunsuz kullanımlar meydana geldiğinde, idari emirlerin yanı sıra, haksız elde edilen kazançlara eşdeğer idari para cezası ödenmesi emredilebilir.

Ayrıca, şirketlere yönelik cezaların güçlendirilmesi de tartışılmakta olup, uygunsuz liste sağlayıcılarından veri alımını veya dolandırıcılık amaçlı kullanıma yol açabilecek veri kullanımını engellemek için uyum sistemlerinin oluşturulması önemlidir.

Özet: Japon Kişisel Bilgilerin Korunması Yasası Değişiklik Politikasına İlişkin Uzmanlara Danışın

Bu seferki Japon Kişisel Bilgilerin Korunması Yasası değişiklik politikası, yalnızca küçük bir değişiklik değil, aynı zamanda yapay zeka çağının gelişi ve giderek ciddileşen veri suçlarına yanıt vermek için son derece etkili bir düzenlemedir.

Değişiklik tasarısı, Reiwa 8 (2026) yılındaki olağan Japon parlamentosuna sunulacak ve kabul edilmesi durumunda Reiwa 9 (2027) ile 10 (2028) yılları civarında yürürlüğe girmesi beklenmektedir. Değişiklik politikası şu anda kamuoyuna açıklandığı için, yasalaşmayı beklemeden, şu andan itibaren şirketinizin veri yönetimi yaklaşımını yeniden değerlendirmek önemlidir. Özellikle, para cezası sisteminin getirilmesi ve reşit olmayanlar ile biyometrik verilere yönelik sıkı düzenlemeler, doğrudan yönetimle ilgili konular haline gelecektir. Gelecekteki yasalaşma eğilimlerini dikkatle izlerken, şirket içindeki ilgili birimlerle işbirliği yaparak sağlam bir hazırlık süreci yürütmenizi öneririz.

Ofisimiz Tarafından Sunulan Çözümler

Monolith Hukuk Bürosu, IT, özellikle internet ve hukuk alanlarında yüksek uzmanlığa sahip bir hukuk bürosudur. Son yıllarda, Japonya’da Kişisel Bilgilerin Korunması Yasası ile ilgili yönetişim konularına dikkat çekilmektedir. Ofisimiz, Japonya’daki iş hukuku sorunlarına yönelik çözümler sunmaktadır. Detaylar için aşağıdaki makaleye göz atabilirsiniz.