Çin Veri Güvenliği Yasası Nedir? Japon Şirketlerin Alması Gereken Önlemler Açıklanıyor
Çin Veri Güvenliği Yasası, Çin’in veri alanındaki yasal düzenlemeleri arasında yer almakta ve 2021 Eylül’ünde (Reiwa 3) yürürlüğe girmiştir. Çin’de gerçekleştirilen tüm veri işlemlerine uygulanır, bu nedenle Çin’de iş yürüten şirketlerin veya yakın gelecekte piyasaya giriş yapmayı planlayan şirketlerin mevcut düzenlemeleri ve yönetim politikalarını gözden geçirmeleri ve gerektiğinde değişiklik yapmaları gerekmektedir. Ancak, hangi tür bir yasa olduğunu anlamakta zorlananlar veya alınması gereken önlemler konusunda tereddüt edenler de olabilir.
Bu nedenle, bu makalede Çin Veri Güvenliği Yasası’nın genel hatları, anlaşılması gereken noktalar, cezai yaptırımlar ve Japon şirketlerin alması gereken önlemler hakkında bilgi vereceğiz.
Çin Veri Güvenliği Yasası Nedir?
Çin Veri Güvenliği Yasası (Çin Halk Cumhuriyeti Veri Güvenliği Yasası), 2021 yılı Eylül ayında yürürlüğe giren ve Çin’in veri güvenliği ile ilgili yasal düzenlemeleri içeren bir yasadır. 2017 yılı Haziran ayında yürürlüğe giren ‘Çin Siber Güvenlik Yasası’ gibi, ulusal güvenliği korumak amacıyla çıkarılmıştır.
Çin Siber Güvenlik Yasası: Çin’in ‘ağ’ güvenliğini korumak için çıkarılan yasa
Çin Veri Güvenliği Yasası’nın amaçları şu şekilde belirtilmiştir (Madde 1):
- Veri işleme faaliyetlerinin düzenlenmesi
- Veri güvenliğinin sağlanması
- Veri geliştirme ve kullanımının teşvik edilmesi
- Bireylerin ve organizasyonların meşru hak ve çıkarlarının korunması
- Ulusal egemenlik, güvenlik ve kalkınma çıkarlarının korunması
Çin Siber Güvenlik Yasası elektronik verileri düzenleme kapsamına alırken, Çin Veri Güvenliği Yasası elektronik olmayan verileri de, örneğin kağıt üzerindeki verileri de düzenleme kapsamına almaktadır (Madde 3). Çin Veri Güvenliği Yasası, verilerin sınıflandırılması, güvenlik sertifikasyon sistemlerinin oluşturulması ve veri güvenliğinin korunması yükümlülükleri gibi konularda hükümler içermektedir.
Çin Veri Güvenliği Yasasını Anlamanın Püf Noktaları
Çin Veri Güvenliği Yasası, çeşitli hükümler içermekte ve birçok kişi tarafından tam olarak anlaşılamamaktadır. Bu yazıda, Veri Güvenliği Yasası’nın içeriğini aşağıdaki beş ana noktada detaylı bir şekilde açıklıyoruz.
- Regülasyonun Kapsamı
- Veri Sınıflandırması ve Derecelendirme Standartlarının Belirlenmesi
- Veri Güvenliği Yönetimi
- Veri Transferinin Regülasyonu
- Ulusal Güvenlik İncelemesi
Düzenleme Kapsamındaki Veriler
Yasal düzenlemeler kapsamında olan veriler, Çin içinde gerçekleştirilen tüm ‘veri işleme’ faaliyetleridir. Veri işleme faaliyetleri Çin dışında gerçekleşse bile, eğer Çin devletinin güvenliğine, kamu yararına veya vatandaşların ve organizasyonların çıkarlarına zarar veriyorsa, bu düzenlemeler uygulanır.
‘Veri’, elektronik veya diğer yöntemlerle kaydedilen bilgileri ifade eder ve kağıt üzerindeki bilgileri de içerdiğine dikkat etmek önemlidir. ‘Veri işleme’, verilerin toplanması, saklanması, kullanılması, işlenmesi, iletilmesi, sağlanması ve ifşa edilmesi gibi faaliyetleri kapsar ve bu faaliyetleri yürüten kişi veya kuruluşlar ‘veri işleyicisi’ olarak adlandırılır.
Veri Sınıflandırma ve Derecelendirme Standartlarının Oluşturulması Hakkında
Veri işleyiciler, derecelendirme koruma sistemine dayalı veri güvenliğini sağlamak zorundadır. Derecelendirme koruma sistemi, ağ güvenliği yönetim sistemine yönelik resmi bir değerlendirme sistemidir ve alınması gereken önlemler dereceye göre değişiklik gösterir. Ayrıca, verilerin tahrip edilmesi veya sızdırılması gibi durumlar sonucunda, ulusal güvenlik, kamu yararı veya bireyler ve organizasyonlar gibi taraflara verilen zararın büyüklüğüne göre verileri sınıflandırmak zorundadırlar.
Sınıflandırma, “Genel Veri”, “Önemli Veri” ve “Çekirdek Veri” olmak üzere üç kategoriye ayrılır. “Ağ Veri Güvenliği Yönetim Yönetmeliği (Görüş Toplama Taslağı)”nda, önemli veri “değiştirilmesi, tahrip edilmesi, sızdırılması, yasadışı elde edilmesi veya yasadışı kullanılması durumunda, ulusal güvenlik veya kamu yararına zarar verebilecek veriler” olarak tanımlanmaktadır. Çekirdek veri ise, ulusal güvenlik veya ulusal ekonominin hayati damarları, önemli vatandaş yaşamı ve temel kamu yararları ile ilgili verilerdir (Madde 21).
Yazıldığı sırada, hem önemli veriler hem de çekirdek veriler için somut bir envanter bulunmamaktadır, bu nedenle “Ağ Veri Güvenliği Yönetim Yönetmeliği (Görüş Toplama Taslağı)”nda belirtilen önemli veri örneklerini referans alarak, ele alınan verileri sınıflandırmak faydalı olacaktır. Aynı zamanda, yetkili bölümler tarafından yayınlanan envanterleri izlemek de önemlidir.
Veri Güvenliği Yönetimi Hakkında
Veri işleyicilerinden beklenen yanıtlar arasında aşağıdakiler bulunmaktadır:
- Veri güvenliği eğitimi ve antrenmanlarının uygulanması
- Dereceli koruma sistemi temelinde veri güvenliğinin korunma yükümlülüğü
- Risk izleme faaliyetlerinin sürekli olarak yürütülmesi
- Veri yaşam döngüsü boyunca güvenlik yönetim sisteminin kurulması
- Sorumlu kişinin atanması
- Teknik önlemler
Temelde, ‘Japon Bilgi Güvenliği Yönetim Sistemi (ISMS)’nin talep ettiği içerikle benzerlik göstermektedir, ancak verilerin sınıflandırılmasına göre yönetim önlemlerinin alınması gerektiği noktasında dikkatli olunmalıdır.
Bir olay meydana geldiğinde, derhal önlem alınmalı ve kullanıcılar ile yetkili makamlara rapor verilmelidir. Ayrıca, önemli verilerin işlenmesi durumunda, risk değerlendirmelerinin düzenli olarak yapılması ve risk değerlendirme raporlarının ilgili yetkili bölümlere sunulması gerekmektedir.
Veri Transferinin Düzenlenmesi Hakkında
Veri transferi söz konusu olduğunda, önemli verilerin transferi düzenlemelere tabidir. Önemli bilgi altyapı tesislerinin işletmecileri, Çin içindeki işlerinde elde ettikleri veya ürettikleri önemli verileri sınır ötesine taşıdıklarında, Japon ~Siber Güvenlik Yasası’nın hükümleri uygulanır.
Önemli Bilgi Altyapı Tesisleri: Zarar gördüğünde, ulusal güvenliği tehdit edebilecek alanlarda (enerji, ulaşım, finans, kamu hizmetleri vb.) faaliyet gösteren ve hasar veya veri sızıntısı gibi durumlarla ulusal güvenlik, halkın yaşamı ve kamu yararını ciddi şekilde tehlikeye atabilecek tesisleri işletenler
Önemli bilgi altyapı tesislerinin işletmecisi olmayan veri işleyicileri için, ‘Japon ~Veri Yurtdışı Transfer Güvenlik Değerlendirme Yöntemi’ne göre, yetkili makamın güvenlik değerlendirmesini geçmek ve onay almak zorundadırlar.
‘Japon ~Ağ Veri Güvenlik Yönetmeliği (Görüş Toplama Taslağı)’na göre, önemli olmayan verilerin yurtdışına transferi durumunda bile, aşağıdaki gibi durumlarda yetkili makamın güvenlik değerlendirme incelemesini geçmek ve onay almak zorunludur:
- Sınır ötesi veriler içinde önemli veriler bulunuyorsa
- Önemli bilgi altyapı tesislerinin işletmecileri veya bir milyonun üzerinde kişisel bilgi işleyen veri işleyicileri, kişisel bilgileri yurtdışına sağladıklarında
Ayrıca, verileri yurtdışına transfer edenlerin aşağıdaki gibi yükümlülükleri bulunmaktadır:
- Ağ bilgi bölümüne sunulan kişisel bilgi koruma etki değerlendirme raporunda belirtilen amaç, kapsam, yöntem, veri türleri ve boyutları aşarak kişisel bilgileri yurtdışına sağlamamak
- Ağ bilgi bölümünün güvenlik değerlendirmesinde belirlenen amaç, kapsam, veri türleri ve boyutları aşarak kişisel bilgileri ve önemli verileri yurtdışına sağlamamak
- Veri ihracatı ile ilgili kullanıcı şikayetlerini kabul etmek ve işlemek
- İlgili log kayıtlarını ve veri ihracat onay kayıtlarını üç yıldan fazla saklamak
- Veri ihracatı bireylerin, organizasyonların veya kamu yararının meşru hak ve çıkarlarına zarar verdiğinde, veri işleyicilerin yasalara göre sorumluluk taşıması
Verileri yurtdışına transfer ederken, veri ihracat güvenlik raporunu hazırlamak ve bölgesel ağ bilgi bölümüne raporlamak da yükümlülükler arasındadır.
Ulusal Güvenlik İncelemesi Hakkında
Çin hükümeti tarafından, veri işleme faaliyetlerinin Çin ulusal güvenliğine zarar verdiği kararına varıldığında, Ulusal Güvenlik İncelemesi yapılacağına dair bir uyarı bulunmaktadır. Ulusal Güvenlik İncelemesi sonuçları nihai karar niteliğindedir ve bu nedenle, idari itiraz veya dava yoluyla herhangi bir itirazda bulunulamaz.
Veri Güvenliği Yasası’nın Cezai Yaptırımları
Veri Güvenliği Yasası’nı ihlal edenler, düzeltici emirler ve uyarılar, para cezaları, işletmenin faaliyetlerinin durdurulması, ilgili işlerin askıya alınması ve işletme lisansının iptali gibi cezalarla karşı karşıya kalabilirler.
Örneğin, Çin Veri Güvenliği Yasası’nın 27., 29. ve 30. maddelerinde belirtilen yükümlülükleri yerine getirmeyenler için, düzeltici emirler ve uyarılar verilmesinin yanı sıra, doğrudan sorumlu olan kişilere ve diğer doğrudan sorumluluk taşıyan kişilere 50 bin yuan ile 500 bin yuan arasında para cezası uygulanabileceği belirtilmektedir.
Veri Güvenliği Yasası’nı ihlal etmenin, sadece tüzel kişilikleri değil, aynı zamanda doğrudan sorumluluğu olan yöneticileri ve diğer sorumlu personeli de cezai yaptırımların hedefi haline getirebileceğine dikkat etmek önemlidir. İhlaller sonucunda cezai yaptırımlar uygulandığında, bu durum organizasyonun genelini büyük ölçüde etkileyebilir, bu nedenle yasal düzenlemelere uygun önlemler almak gereklidir.
Japon Şirketlerin Uygulaması Gereken Veri Güvenliği Yasası Önlemleri
Veri Güvenliği Yasası, Çin içinde işlenen tüm verilere uygulandığı için, önlem alması gereken Japon şirketlerinin sayısı oldukça fazladır. Bu yazıda, Japon şirketlerinin Veri Güvenliği Yasası’na karşı alması gereken önlemleri detaylı bir şekilde açıklıyoruz.
Veri Yönetimi
Öncelikle, veri yönetimini gözden geçiriyoruz. Şirket içinde hangi verilerin nasıl oluşturulduğu, biriktirildiği ve silindiği gibi konuları netleştirerek, mevcut veri işleme durumunu anlıyoruz. Veri sınıflandırmasına göre gerekli yanıtları verebilmek için, veri haritalama ile verilerin sınıflandırılması, Çin dışına transfer durumu ve mevcut veri yönetim önlemleri gibi konuları önceden kontrol etmek de önemlidir.
Çin Veri Güvenliği Yasası, önemli veriler ve çekirdek veriler için sırasıyla koruma önlemleri talep etmektedir. Bu nedenle, sınıflandırmaya uygun bilgi gizlilik derecelerini yeniden tanımlamanız gerekebilir.
Yine de, şu an itibarıyla sınıflandırmaya göre güvenlik seviyeleri belirsizlikler içermektedir. İleride somutlaşabileceği için, Çin’in yetkili bölümlerinin yayınladığı listeleri izlemek zorunludur. Aynı zamanda, erişim kontrolü, kimlik doğrulama, iletişim güvenliği, fiziksel önlemler gibi, sınıflandırmayı göz önünde bulundurarak güvenlik seviyelerini belirlemek de faydalı olacaktır.
Ayrıca, güvenlik politikasını gözden geçirerek, veri haritalama ile sınıflandırılan veri bölümlerine uygun politikaları uyguluyoruz.
Risk Değerlendirmesi ve Raporlama
Veri haritalaması sonucunda, şirketinizin işlediği veriler arasında önemli veriler olduğuna karar verirseniz, veri işleme ile ilgili risk değerlendirmesi yapmanız gerekmektedir. Ayrıca, bu sonuçları yetkililere rapor etmek zorundasınız.
Risk değerlendirmesi düzenli olarak yapılmalıdır, bu nedenle sürekli olarak uygulanabilir bir kural haline getirmek önemlidir.
Çalışan Eğitimi
Çin’de, güvenlikle ilgili düzenlemeler peş peşe yürürlüğe girmektedir. Ayrıca, veri yönetimi ve risk değerlendirmesi, bir kez yapıldıktan sonra biten işlemler değildir. Bu nedenle, düzenli olarak gözden geçirme ve iyileştirme yaparak, şirket içinde yerleşik hale getirebilmek için çalışanların eğitimi de gereklidir.
Hukuk veya genel işler departmanları yanı sıra, risk yönetimi departmanları da dahil olmak üzere, her bir departmanın kendi başına değil, koordineli bir şekilde çalışması önemlidir. Şu an için hala belirsizlikler içeren bir yasa olsa da, ihlaller sonucunda cezai yaptırımların uygulandığı durumlar da olduğundan, Veri Güvenliği Yasası’na uyum sağlamak zorunludur diyebiliriz.
Çin Siber Üçlü Yasalarının Özellikleri
Çin Siber Üçlü Yasaları, Çin’in yürürlüğe koyduğu ‘Siber Güvenlik Yasası’, ‘Veri Güvenliği Yasası’ ve ‘Kişisel Bilgi Koruma Yasası’nın genel adıdır. Siber Güvenlik Yasası siber saldırılara karşı önlemleri, Veri Güvenliği Yasası verilerin korunmasını, Kişisel Bilgi Koruma Yasası ise kişisel bilgilerin güvenliğini güçlendirmeyi amaçlamaktadır.
İlgili makale: Çin Siber Güvenlik Yasası Nedir? Uyulması Gereken Noktaları Açıklıyoruz[ja]
Bu şekilde, her birinin farklılıkları olmasına rağmen, ortak özellik olarak ihlaller için idari yaptırımlar, sivil tazminat ve cezai sorumluluk öngörülmektedir. Ayrıca, ihlal eden sadece şirketler değil, doğrudan sorumlular da kapsamaktadır ve bu kişilerin aynı işlerde çalışmaları yasaklanabilir veya ülkenin ihlalci bilgileri listesine dahil edilebilirler.
Özet: Çin’in Veri Düzenlemelerine Dikkat Ederek Hızlıca Yanıt Vermek
Çin Veri Güvenliği Yasası, Çin’deki veri işleme işlemlerine uygulanan ve verilerin sınıflandırılması, derecelendirilmesi, korunması ve risk değerlendirmesi gibi konuları düzenleyen bir yasadır. Siber Güvenlik Yasası başta olmak üzere, “Kişisel Bilgilerin Korunması Yasası”, “İnternet Ürün Güvenliği Zafiyet Yönetimi Yönetmelikleri” gibi çeşitli yasalar yayımlanmıştır ve bunlara uygun hareket etmek zorunludur.
Şu an itibarıyla, güvenlik seviyelerinin sınıflandırılması gibi bazı belirsizlikler olmasına rağmen, ihlaller sonucunda cezai yaptırımların uygulandığı durumlar da olduğundan, yasalara uyum sağlamanın önemi vurgulanmalıdır. Çin’in yasal düzenlemelerine dikkat ederken, şu anda alınabilecek önlemleri uygulamak büyük önem taşımaktadır.
Çin’de iş yapmakta olan veya gelecekte iş yapmayı planlayanlar için, Çin yasaları konusunda deneyimli avukatlara danışmanızı tavsiye ederiz.
Hizmetlerimiz Hakkında Bilgilendirme
Monolith Hukuk Bürosu, IT ve özellikle internet ile hukukun her iki alanında da zengin deneyime sahip bir hukuk firmasıdır. Son yıllarda, global iş dünyası giderek genişlemekte ve uzmanlar tarafından yapılan hukuki incelemelerin önemi artmaktadır. Büromuz, Çin, Amerika, Avrupa Birliği ülkeleri gibi çeşitli uluslararası hukuk işlerinde çözümler sunmaktadır.
Monolith Hukuk Bürosu’nun Uzmanlık Alanları: Uluslararası Hukuk ve Yurtdışı İşler[ja]