Reiwa 4 Yılında (2022) Değiştirilen 'İşletmelerin Sorumlulukları' Hakkında Kişisel Bilgi Koruma Yasası'nda Dikkat Edilmesi Gerekenlerin Açıklaması

2022 yılı Nisan ayından (Japon dönemi Reiwa 4) itibaren, değişikliklerle güncellenen Japon Kişisel Bilgi Koruma Yasası yürürlüğe girmiştir. Kişisel Bilgi Koruma Yasası, kişisel bilgilerin faydalılığını göz önünde bulundururken, bireylerin hak ve çıkarlarını korumak ve kişisel bilgilerin uygun şekilde ele alınmasını sağlamak amacıyla oluşturulmuştur. Peki, değişikliklerle güncellenen Kişisel Bilgi Koruma Yasası’nın yürürlüğe girmesiyle hangi noktalar değişmiştir? Bu yazımızda, bireylerin haklarının durumu ve işletmelerin sorumlulukları hakkında açıklama yapacağız.

Kişisel Bilgi Koruma Yasası’nın Değişikliği ve Süreci

2003’te kabul edilen ve 2005’te tamamen yürürlüğe giren Kişisel Bilgi Koruma Yasası, yürürlüğe girdikten 10 yıl sonra, 2015’te, “Bilgi ve iletişim teknolojilerinin gelişmesiyle, yasanın çıktığı zaman tahmin edilemeyen kişisel verilerin kullanımı mümkün hale geldiği için” değiştirildi ve 2017’de tamamen yürürlüğe girdi.

Bu 2017 değişikliği, “Uluslararası eğilimler, bilgi teknolojilerinin ilerlemesi, yeni endüstrilerin oluşumu ve gelişimi göz önünde bulundurularak, yürürlüğe girdikten her 3 yılda bir gerçek duruma uygun bir gözden geçirme yapılması” gerektiğini belirten “3 yılda bir gözden geçirme hükmü” içermektedir.

2017 Yürürlükteki Kişisel Bilgi Koruma Yasası Değişikliği Ek İlişkili Hükümler (Özet)

(İnceleme) Madde 12

(Özet)

2 Hükümet, bu yasanın yürürlüğe girdikten üç yıl sonra, kişisel bilgilerin korunması hakkındaki temel politikanın oluşturulması ve teşvik edilmesi ve diğer Kişisel Bilgi Koruma Komisyonu görevleri hakkında, bunları etkili bir şekilde gerçekleştirmek için gerekli olan insan kaynakları düzenlemesi, finansmanın sağlanması ve diğer önlemlerin durumunu göz önünde bulundurarak, iyileştirmeler hakkında inceleme yapmalı ve gerektiğinde, sonuçlara dayanarak gerekli önlemleri almalıdır.

3 Hükümet, önceki maddenin belirttiği konuların yanı sıra, bu yasanın yürürlüğe girdikten üç yıl sonra, kişisel bilgilerin korunması hakkındaki uluslararası eğilimler, bilgi ve iletişim teknolojilerinin ilerlemesi, bununla birlikte kişisel bilgilerin kullanımıyla yeni endüstrilerin oluşumu ve gelişimi hakkında, yeni Kişisel Bilgi Koruma Yasası’nın yürürlük durumunu göz önünde bulundurarak inceleme yapmalı ve gerektiğinde, sonuçlara dayanarak gerekli önlemleri almalıdır.

4,5 (Özet)

6 Hükümet, yeni Kişisel Bilgi Koruma Yasası’nın yürürlük durumu, birinci fıkranın önlemlerinin uygulanma durumu ve diğer durumları göz önünde bulundurarak, Kişisel Bilgi Koruma Yasası Madde 2 Fıkra 1’de belirtilen kişisel bilgiler ve idari organların sahip olduğu kişisel bilgilerin korunması hakkındaki hükümleri toplamalı ve bunları bir bütün olarak belirlemeli, kişisel bilgilerin korunması hakkındaki yasal durumu incelemelidir.

Reiwa 4 (2022) yılında değiştirilen Kişisel Bilgi Koruma Yasası, bu “3 yılda bir gözden geçirme hükmü”ne dayanan ilk yasa değişikliğidir.

İlgili Makale: Kişisel Bilgi Koruma Yasası ve Kişisel Bilgiler Nedir? Avukat Açıklıyor[ja]

Reiwa 4 (2022) Yılında Değişen Kişisel Bilgi Koruma Yasası Genel Bakış

Kişisel Bilgi Koruma Yasası’nın 2022 yılında yapılan değişiklikler, aşağıdaki 6 noktayı kapsar:

1. Bireylerin haklarının durumu
2. İşletmelerin yerine getirmesi gereken sorumlulukların durumu
3. İşletmelerin gönüllü çabalarını teşvik eden mekanizmaların durumu
4. Veri kullanımının durumu
5. Cezaların durumu
6. Yasanın yurtdışı uygulaması ve sınır ötesi transferlerin durumu

Bu makalede, değişikliklerin 1 ve 2 numaralı maddeleri hakkında açıklama yapılacaktır.

İlgili Makale: Reiwa 4 (2022) Yılında Değişen Kişisel Bilgi Koruma Yasası ‘Cezalar’ Hakkında Açıklama[ja]

Bireysel Hakların Durumu

Bireysel hakların durumu hakkında aşağıdaki 5 nokta değiştirilmiştir.

Kullanımın Durdurulması ve Silinmesi gibi Bireysel Talep Haklarının Genişletilmesi (Madde 30)

Mevcut yasada, bireysel talep haklarına ilişkin olarak “kişisel bilgilerin amaç dışı kullanıldığı durumlar” veya “hileli yöntemlerle elde edildiği durumlar” gibi yasa dışı durumlarla sınırlıydı. Ancak, değişiklikle birlikte, “kişisel verileri işleyen işletmenin artık kullanmaya ihtiyacı olmadığı durumlar”, “sızıntılar gibi durumların meydana geldiği durumlar”, “bireyin hakları veya meşru çıkarlarının zarar görmesi riski olan durumlar” da dahil olmak üzere, kullanımın durdurulması, silinmesi ve üçüncü taraflara sağlanmasının durdurulması talep edilebilir hale geldi.

Kişisel Verilerin Açıklanma Yöntemi (Madde 28)

Bir kişi, kişisel bilgi işleyen işletmeye karşı, kişisel verilerin açıklanmasını talep edebilir. Talep alındığında, kişisel bilgi işleyen işletme, prensip olarak kişisel verileri açıklamak zorundadır. Mevcut yasada, kişisel verilerin açıklanması genellikle yazılı olarak yapılıyordu. Ancak, bilgi miktarı çok büyük olduğunda, yazılı teslimat uygun olmayabilir ve ayrıca, kişisel veriler video veya ses verileri gibi, başlangıçta yazılı teslimat için uygun olmayan veriler olabilir. Bu nedenle, değişiklikle birlikte, bir kişi, elektronik kayıtların sağlanması gibi yöntemlerle, “kişinin belirlediği yöntemle açıklama” talep edebilir hale geldi. Kişisel bilgi işleyen işletme, kişinin talep ettiği yöntemle açıklama yapma yükümlülüğünü üstlenmiştir.

Kişisel bilgi işleyen şirketlerin, dijital veri açıklama taleplerine yanıt verme kapasitesini erken bir aşamada oluşturması gerekmektedir.

Üçüncü Taraf Sağlama Kayıtlarının Kişi Tarafından Açıklanması Talebi (Madde 28, Paragraf 5)

Kişisel bilgi işleyen işletmeler, kişisel verileri üçüncü taraflara sağladıklarında, yasalarla belirlenen kayıtları oluşturmalıdır ve üçüncü taraf sağlama kayıtlarını alanlar da yasalarla belirlenen kayıtları oluşturmalıdır. Bu kişisel verilerin üçüncü taraflara sağlanmasıyla ilgili kayıtlar ve kişisel verilerin üçüncü taraflardan alınması sırasında yapılan kontrol kayıtları, “üçüncü taraf sağlama kayıtları” olarak adlandırılır.

Mevcut yasada, bir kişi, işletmenin oluşturduğu üçüncü taraf sağlama kayıtlarının açıklanmasını talep edemezken, değişiklikle birlikte, bir kişi, üçüncü taraf sağlama kayıtlarının açıklanmasını talep edebilir hale geldi ve bu, kişinin takip edilebilirliğini dikkate alan bir durum oldu.

Kısa Süreli Saklama Verilerinin Kişisel Verilere Dahil Edilmesi (Madde 2, Paragraf 7)

Mevcut yasada, kişisel veriler, “kişisel bilgi işleyen işletmenin, açıklama, içeriğin düzeltilmesi, eklenmesi veya silinmesi, kullanımın durdurulması, silinmesi ve üçüncü taraflara sağlanmasının durdurulması yetkisine sahip olduğu kişisel veriler” ve “varlığının açığa çıkmasıyla kamu yararı veya diğer çıkarların zarar göreceği durumlar” veya “bir yıl içinde yasalarla belirlenen süre içinde silinecek olanlar” dışındaki veriler olarak tanımlanmıştır ve “bir yıl içinde yasalarla belirlenen süre”, 6 ay olarak belirlenmiştir.

Ancak, kısa sürede silinecek olanlar bile silinene kadar sızıntılar gibi durumların meydana gelme olasılığı olduğundan, değişiklikle birlikte, 6 ay içinde silinecek olan kısa süreli saklama verileri de “kişisel veriler” içerisine dahil edilmiştir.

Opt-Out Hükümlerinin Kapsamının Sınırlanması (Madde 23, Paragraf 2)

Opt-out hükümleri, “kişinin talebi olması durumunda sonradan durdurulabileceği varsayımıyla, sağlanan kişisel verilerin öğelerini vb. yayınladıktan sonra, kişinin rızası olmadan üçüncü taraflara kişisel verileri sağlama sistemi”dir, ancak mevcut yasada, sadece hassas kişisel bilgiler hariç tutulmuştur.

Değişiklikle birlikte, üçüncü taraflara sağlanabilecek kişisel verilerin kapsamı sınırlanmış ve “hileli yollarla elde edilen kişisel veriler”, “opt-out hükümleri ile sağlanan kişisel veriler” de hariç tutulmuştur.

İşletmelerin Yükümlülüklerini Koruma Yöntemi

İşletmelerin yükümlülüklerini koruma yöntemi hakkında, aşağıdaki iki nokta değiştirildi.

Sızıntı Raporlama Zorunluluğu (Madde 22, Fıkra 2)

Mevcut yasada, sızıntı raporlaması yasal bir zorunluluk olmadığı için, bazı işletmeler proaktif bir şekilde yanıt vermemekte ve işletme tarafından açıklanmadığı durumlarda, Kişisel Bilgi Koruma Komisyonu durumu anlamadan uygun bir şekilde yanıt veremeyebilir. Değişiklikle, bir sızıntı meydana geldiğinde ve bireyin çıkarlarının zarar görmesi riski büyük olduğunda, Kişisel Bilgi Koruma Komisyonu’na raporlama ve ilgili kişiye bildirim zorunlu hale getirildi.

Sızıntı raporlama zorunluluğunun hedefi, sayıya bakılmaksızın “hassas kişisel bilgilerin sızdırılması”, “yetkisiz erişim sonucu sızıntı”, “maddi zarar riski olan sızıntı” ve “1000’den fazla büyük ölçekli sızıntı” olmak üzere dört durumu içerir.

Uygunsuz Yöntemlerle Kullanımın Yasaklanması (Madde 16, Fıkra 2)

Hızla gelişen veri analizi teknolojisi nedeniyle, kişisel bilgilerin kullanımının potansiyel olarak bireylerin haklarını ve çıkarlarını ihlal edebileceği endişesi artmaktadır. Bu durumu dikkate alarak, değişiklikle, yasadışı veya haksız eylemleri teşvik eden veya benzeri uygunsuz yöntemlerle kişisel bilgilerin kullanılmaması gerektiği açıkça belirtildi.

“Yasadışı veya haksız eylemleri teşvik eden veya benzeri uygunsuz yöntemler” ifadesi, “kişisel bilgileri yasadışı eylemlerde bulunan üçüncü taraflara sağlama” veya “mahkeme ilanları vb. ile dağıtılan ve ayrımcılığı tetikleme riski olan kişisel bilgileri, bu riskin tamamen öngörülebilir olmasına rağmen, toplama ve veritabanına dönüştürme ve internet üzerinde yayınlama” gibi oldukça kötü niyetli durumları içerir.

Özet

Bu makalede, 1. ve 2. değişiklik noktalarını açıkladık. 3., 4., 5. ve 6. değişiklik noktaları hakkında ise başka bir makalede açıklama yapacağız.

İlgili Makale: Reiwa 4 (2022) Japon Kişisel Bilgi Koruma Yasası ‘Cezalar’ Hakkında Açıklama[ja]

Büromuz Tarafından Alınan Önlemler

Monolit Hukuk Bürosu, özellikle IT ve hukuk alanlarında yüksek uzmanlığa sahip bir hukuk firmasıdır. Yeni düzenlenmiş olan ‘Japon Kişisel Bilgi Yasası’ büyük ilgi toplamakta ve hukuki kontrol ihtiyacı giderek artmaktadır. Büromuz, fikri mülkiyet haklarına ilişkin çözümler sunmaktadır. Ayrıntılar aşağıdaki makalede belirtilmiştir.

https://monolith.law/practices/corporate[ja]