Çin'in Kişisel Bilgi Koruma Yasası Nedir? Yasanın Oluşum Arka Planından Japon Şirketlerinin Alması Gereken Önlemlere Açıklama

Çin’de iş geliştirmeyi planlayan veya zaten iş geliştirmekte olan şirketlerin hukuk departmanı çalışanları arasında, Çin’in kişisel bilgi koruması konusunda endişe duyanlar olduğunu düşünüyorum.

Bu makalede, Çin’de iş geliştirirken bilinmesi gereken yasal düzenlemeleri kapsamlı bir şekilde tanıtacağız. Ayrıca, nasıl bir yaklaşım sergilenmesi gerektiğini ve Japon şirketlerinin hangi noktalara dikkat etmesi gerektiğini anlaşılır bir şekilde açıklayacağız. Çin’in kişisel bilgi koruma yasasını anlamak ve önlemler almak için bu bilgilerden mutlaka faydalanın.

Çin’de Kişisel Bilgi Koruma Yasası’nın Oluşturulma Arka Planı ve Amaçları

Çin’de bugüne kadar, Japonya’nın Kişisel Bilgi Koruma Yasası gibi kişisel bilgilerin korunmasını kapsamlı bir şekilde düzenleyen bir yasa bulunmamaktaydı. Ancak, kişisel bilgi koruma yasasını oluşturma yönünde daha önceden beri çeşitli girişimler mevcuttu ve 2021 yılının Kasım ayının 1’inde (2021) ‘Çin Kişisel Bilgi Koruma Yasası’ olarak, Çin’de ilk defa kişisel bilgilerin korunmasını kapsamlı bir şekilde düzenleyen bir yasa yürürlüğe girmiştir.

Özellikle ‘Siber Güvenlik Yasası’ ve ‘Veri Güvenliği Yasası’ gibi yasalar, ulusal güvenlik unsurlarını yoğun bir şekilde içermesine rağmen, Çin’in Kişisel Bilgi Koruma Yasası bireyin haklarının korunmasına odaklanan bir içeriğe sahiptir.

Çin’in Kişisel Bilgi Koruma Yasası’nın temel yapısı, ‘AB Genel Veri Koruma Tüzüğü (GDPR)’ gibi son yıllarda diğer ülkelerin yasal düzenlemelerinden büyük ölçüde etkilenmiş görünmektedir. Ancak, yasallık temeli olarak kabul edilen noktalar ve bireyin hakları gibi detaylar özgün içerikler olduğundan, özel tedbirlerin alınması gerekmektedir.

Çin’in Kişisel Bilgi Koruma Yasası’nın Düzenleme Kapsamı

Bu bölümde, Çin’in Kişisel Bilgi Koruma Yasası’nın düzenleme kapsamını açıklıyoruz.
Aşağıdaki koşulları karşılıyorsanız düzenlemenin kapsamına girersiniz, bu yüzden dikkatli olunuz.

• Çin içindeki bireylere ürün veya hizmet sunmayı amaçlıyorsanız
• Çin içindeki bireylerin davranışlarını analiz etmek veya değerlendirmek istiyorsanız
• Yasaların belirlediği diğer durumlar söz konusuysa

Çin Kişisel Bilgi Koruma Yasası, duruma göre sadece Çin içinde değil, yabancı ülkelerde de etkili olabilecek durumlar içerebilir. Ayrıca, yurt dışında olsanız bile, Çin’de bulunan ‘bireyleri’ hedef alan satış işleri veya davranış analizi gerçekleştiriyorsanız, bu yasa uygulanır, bu nedenle dikkatli olunuz.

Çin’in Kişisel Bilgi Koruma Yasasını Anlamanın Püf Noktaları

Bu bölümde, Çin’in Kişisel Bilgi Koruma Yasasını anlamak için bilinmesi gereken sekiz ana noktayı tek tek açıklıyoruz.

Yasallığın Temeli

Şirketler, yalnızca Çin Kişisel Bilgi Koruma Yasası’nda belirlenen yasallığın temellerinden birine uygun oldukları takdirde kişisel bilgi işleyebilirler.

Yasallığın temelini oluşturan 7 madde aşağıdaki gibidir:

• Kişinin rızası
• Sözleşmenin ifası
• Yasal yükümlülüklerin yerine getirilmesi
• Halk sağlığı
• Kamu yararı
• Kamuoyuna açıklanmış kişisel bilgilerin işlenmesi
• Yasalar ve diğer düzenlemelerde belirtilen diğer durumlar

Buradan anlaşılacağı üzere, GDPR’da bulunan “meşru menfaat” bu listede yer almamaktadır. Bu nedenle, GDPR ile karşılaştırıldığında, kişisel bilgileri işlemek için kişinin rızasına dayanma durumlarının daha fazla olacağı öngörülebilir.

Ayrıca, rızanın kendisi “kişinin istediği zaman kolayca geri alabileceği bir şey” olmalıdır. Kullanıcı arayüzünün rızanın geri alınmasını kolaylaştıracak şekilde tasarlanması veya geri alma yönteminin açık ve anlaşılır bir şekilde belirtilmesi gibi düşünceler gereklidir.

Bilgi Sunumu

Şirketler, kişisel bilgileri işlemeden önce, Çin Kişisel Bilgi Koruma Yasası’nda (Chinese Personal Information Protection Law) talep edilen hususları, bireylere açık ve anlaşılır bir dille bildirmek zorundadır.

Ayrıca, işleme amacının yanı sıra, işleme yöntemleri, kişisel bilgilerin türleri, saklama süreleri, hakların nasıl kullanılacağı ve prosedürler gibi detaylı bilgi sunumu da gereklidir.

Hizmet Sağlayıcı ile Anlaşma

Kişisel bilgilerin işlenmesini bir hizmet sağlayıcıya devrettiğinizde, işleme amacı, süresi, yöntemi ve koruma önlemleri gibi konularda hizmet sağlayıcı ile bir hizmet sözleşmesi aracılığıyla önceden anlaşma sağlamanız gerekmektedir.

Aynı zamanda, devredilen işlemlerin denetiminden de sorumlu olacaksınız. Eğer kişisel bilgileri başka bir şirketle ortak olarak işliyorsanız, hizmet sağlayıcıya devretme durumunda olduğu gibi, işleme amacı ve yöntemi ile her iki tarafın hak ve yükümlülükleri konusunda önceden mutabık kalmak önemlidir.

Sınır Ötesi Transferlerdeki Düzenlemeler

Çin içinde toplanan kişisel bilgilerin yurt dışındaki üçüncü taraflara sağlanması durumunda, aşağıdaki iki önlem alınması gerekmektedir.

İlk olarak, kişisel bilgilerin sağlanacağı yerin adı, iletişim bilgileri, işleme amacı, işleme yöntemi, kişisel bilgilerin türü, kişilerin sağlayıcıya karşı haklarını nasıl kullanacakları ve prosedürler hakkında bilgilendirme yapılmalıdır. Ayrıca, kişilerin onayı tek tek alınmalıdır.

İkinci olarak, aşağıdaki dört önlemden birini uygulamak zorunludur:

• Ulusal güvenlik değerlendirmesinden geçmiş olmak
• Uzman kuruluşlar tarafından verilen kişisel bilgi koruma sertifikasına sahip olmak
• Standart sözleşmelere dayanarak, bölge dışındaki alıcılarla sözleşme imzalamak
• Ulusal İnternet Bilgi Departmanı tarafından belirlenen diğer şartları karşılamak

Transfer edilecek kişisel bilgilerin içeriğine bağlı olarak, ulusal güvenlik değerlendirmesi zorunlu olabilir. Bu nedenle, ‘Veri Yurt Dışı Transfer Güvenlik Değerlendirme Yöntemi’ne uygun olarak, ulusal güvenlik değerlendirmesinin gerekli olup olmadığını kontrol edin ve ardından alınması gereken önlemleri seçin.

Haklar Hakkında

Çin Kişisel Bilgi Koruma Yasası, bireylere bilme hakkı, inceleme hakkı, kopyalama hakkı, geri çekme hakkı, taşınabilirlik, düzeltme hakkı, silme hakkı gibi çeşitli haklar tanımaktadır.

Ayrıca, GDPR’de tanınmayan “ölülerin hakları” da tanınmaktadır. “Ölülerin hakları”, kişi vefat ettiğinde yakın akrabaların ölen kişi adına bu hakları kullanabilmesi anlamına gelir. Bu nedenle, merhumun bilgi korumasına da dikkat etmek önemlidir.

Olay Bildirim Yükümlülüğü

Kişisel bilgilerin sızdırılmasını önlemek amacıyla, şirketlerden ISMS (Bilgi Güvenliği Yönetim Sistemi) tarafından talep edilen hususlara benzer önlemler alınması beklenmektedir.

Aşağıda talep edilen önlem örnekleri bulunmaktadır:

• İç düzenlemelerin oluşturulması
• Gizlilik derecesine göre sınıflandırma yönetimi
• Gerektiğinde şifreleme
• Anonimleştirme gibi uygulamaların gerçekleştirilmesi
• Çalışanlara yönelik eğitimlerin düzenlenmesi
• Olay yanıt sürecinin oluşturulması vb.

Güvenlik yönetimi önlemleri, siber güvenlik yasası ve veri güvenliği yasası gibi düzenlemelerde de belirtildiği üzere, bu üç yasanın gerekliliklerini düzgün bir şekilde düzenleyerek önlemlerinizi gözden geçirmeniz tavsiye edilir.

İlgili makale: Çin Siber Güvenlik Yasası Nedir? Uyulması Gereken Noktaları Açıklıyoruz[ja]

İlgili makale: Çin Veri Güvenliği Yasası Nedir? Japon Şirketlerin Alması Gereken Önlemleri Açıklıyoruz[ja]

KVKK ve GDPR Kapsamında DPO ve Temsilci Atama Zorunluluğu

Şirketler, işledikleri kişisel veri miktarı belirli bir seviyeye ulaştığında, DPO (Veri Koruma Sorumlusu) atama zorunluluğu ile karşı karşıya kalırlar.

Ayrıca, sınır ötesi uygulamaya tabi olan şirketlerin, Çin içinde bir temsilci atamaları ve isim, iletişim bilgileri gibi bilgileri ilgili yetkili makamlara bildirmeleri gerekmektedir.

Kişisel Bilgi Koruma Etki Değerlendirmesi Yürütme Zorunluluğu

Şirketler, aşağıdaki beş durumdan herhangi birine uyan hallerde, önceden risk değerlendirmesi yapmalı ve riskleri uygun şekilde kontrol etmelidir.

Yürütme zorunluluğu gerektiren durumlar şunlardır:

• Hassas bilgileri işlerken
• Otomatize edilmiş karar alma işlemleri gerçekleştirirken
• Kişisel bilgilerin işlenmesini başka birine devrederken veya kişisel bilgileri üçüncü taraflara sağlarken
• Kişisel bilgileri yurt dışına aktarırken
• Bireylerin hakları ve çıkarları üzerinde önemli etkilerde bulunabilecek durumlarda

Çin’deki Kişisel Bilgi Koruma Yasası’nın Cezai Yaptırımları

İhlal durumunda, yüksek miktarda yaptırımlarla (azami 50 milyon yuan veya önceki yılın satışlarının %5’i kadar para cezası) karşı karşıya kalma riski bulunmaktadır. Uygulama alanının sınırlar ötesine de yayılması nedeniyle, Çin’de iş yürüten Japon şirketlerin acilen önlem alması gerekmektedir.

Japon Şirketlerin Uygulaması Gereken Kişisel Bilgi Koruma Yasası Önlemleri

Bu bölümde, Japon şirketlerin uygulaması gereken kişisel bilgi koruma önlemlerini dört başlık altında tanıtacağız.

Şirket İçi Sistemi Gözden Geçirin

Öncelikle, şirket içi sistemin gözden geçirilmesini düşünmelisiniz. Temsilci veya DPO (Veri Koruma Sorumlusu) atama zorunluluğu bulunduğundan, şirket içi sistemi gözden geçirmeniz gerekmektedir.

Örnek olarak, kişisel bilgileri içeren verilerin tümüne yönelik uyum işlerini yürütecek hukuk ve teknoloji uzmanlık departmanlarının kurulması, iş akışlarının düzenlenmesi ve detaylı veri haritalamasının yapılması gibi çeşitli önlemler bulunmaktadır.

Yönetmelik ve Politikaları Güncelleyin

Yönetmelik ve politikaların güncellenmesi de önemlidir. Çin Veri Üç Yasası’na uygun yönetmelik ve politikaların güncellenmesi gerekmektedir.

Ayrıca, sadece yasal gereklilikleri yansıtan yönetmelikler oluşturmak yerine, tüm çalışanların uygulayabileceği işletim sistemlerinin kurulması da gereklidir.

Operasyonel Gerçekliği Anlayın

Kişisel Bilgi Koruma Yasası 2021 yılının Kasım ayının 1’inde (2021) yürürlüğe girdiği için, operasyonel gerçekliği anlayarak sürekli önlemler almanız gerekmektedir. Ayrıca, şirket çalışanlarının da uygun şekilde bilgi işlemesi ve yasalara sıkı sıkıya bağlı kalması kurallarla belirlenmiştir.

Bu nedenle, şirketlerin çalışanlarına düzenli eğitimler düzenleyerek, en güncel yasalar ve prosedürler hakkında farkındalıklarını artırmaları önemlidir.

Uzmanlarla İşbirliği Sistemini Kurun

Uzmanlarla işbirliği sistemi kurmak ve güçlendirmek de şarttır. Çin yasal düzenlemelerine aşina uzmanlarla işbirliği yaparak hızlı bir şekilde yanıt verebilirsiniz. Ayrıca, şirketlerin kişisel bilgi koruma uyum durumlarını düzenli olarak izlemeleri ve değerlendirmeleri gerekmektedir. Bu nedenle, dışarıdan bir uzmanla işbirliği yapmak zorunludur diyebiliriz.

Özet: Birden Fazla Mevzuatı Anlamak ve Doğru Şekilde Hareket Etmek

2021 yılında (Reiwa 3), 1 Kasım’da Çin’de ilk kez kişisel bilgilerin korunmasını kapsamlı bir şekilde düzenleyen ‘Çin Kişisel Bilgi Koruma Yasası’ yürürlüğe girdi. Global çapta faaliyet gösteren şirketler için, Çin veri ile ilgili mevzuatları (Siber Güvenlik Yasası, Veri Güvenliği Yasası ve Kişisel Bilgi Koruma Yasası), pazarın önemi ve düzenlemelerin katılığı açısından göz ardı edilemeyecek kadar önemli hukuki düzenlemelerdir. Duruma göre, gerekli işlemleri yerine getirebilmek için uzmanların yardımını alarak, sağlam bir sistem kurmak önemlidir.

Hukuk Büromuz Tarafından Sunulan Önlemler

Monolith Hukuk Bürosu, IT ve özellikle internet ile hukukun her iki alanında da zengin deneyime sahip bir hukuk firmasıdır. Son yıllarda, global iş dünyası giderek genişlemekte ve uzmanlar tarafından yapılan hukuki incelemelerin gerekliliği artmaktadır. Büromuz, uluslararası hukuk işlerine yönelik çözümler sunmaktadır.

Monolith Hukuk Bürosu’nun Uzmanlık Alanları: Uluslararası Hukuk ve Yurtdışı İşler[ja]