Reiwa 4 (2022) Yılında Değişen 'Kişisel Bilgi Koruma Yasası' 'Cezaları' Hakkında Açıklama

2022 yılı Nisan ayından itibaren (Gregorian takvimine göre 2022) değişiklik yapılan Japon Kişisel Bilgi Koruma Yasası yürürlüğe girdi. 2022 yılında değişiklik yapılan Japon Kişisel Bilgi Koruma Yasası’nda ‘İşletmelerin Sorumlulukları’ hakkında dikkat edilmesi gereken noktaları açıkladıktan sonra, bu sefer veri kullanımının nasıl olması gerektiği ve cezalar hakkında bilgi veriyoruz.

Reiwa 4 (2022) Yılında Değişen Kişisel Bilgi Koruma Yasası Genel Bakış

Kişisel Bilgi Koruma Yasası’nın 2022 yılında yapılan değişiklikler aşağıdaki 6 noktayı kapsar:

1. Bireylerin haklarının durumu
2. İşletmelerin koruması gereken sorumluluklarının durumu
3. İşletmelerin gönüllü çabalarını teşvik eden mekanizmaların durumu
4. Veri kullanımının durumu
5. Cezaların durumu
6. Yasanın yurtdışı uygulaması ve sınır ötesi transferlerin durumu

“2022 yılında değişen Kişisel Bilgi Koruma Yasası ‘İşletmelerin Sorumlulukları’ hakkında dikkat edilmesi gerekenler[ja]” başlıklı yazımızda, değişikliklerin (1) ve (2) maddelerini ele aldık. Bu yazımızda ise, değişikliklerin (3), (4), (5) ve (6) maddelerini ele alacağız.

İlgili Makale: Kişisel Bilgi Koruma Yasası ve Kişisel Bilgiler Nedir? Avukat Açıklıyor[ja]

İşletmelerin Kendi Başlarına Girişimlerde Bulunmalarını Teşvik Eden Mekanizmalar

İşletmelerin kendi başlarına girişimlerde bulunmalarını teşvik eden mekanizmaların varlığı, iş uygulamalarının çeşitliliği ve IT teknolojisinin ilerlemesi ile birlikte, özel sektör kuruluşlarının belirli alanlarda kişisel veri işleme ile ilgili kendi kurallarını belirlemesi ve hedef işletmelere aktif olarak rehberlik etmesi gibi konuların önemi artmaktadır.

Kişisel Bilgi Koruma Yasası (Japanese Personal Information Protection Law) kapsamında, Kişisel Bilgi Koruma Komisyonu’na ek olarak, özel sektör kuruluşlarının bilgi korumasını sağlamak için sertifikalı kuruluş sistemi oluşturulmuştur. Kişisel bilgi işleme ile ilgili şikayetlerin çözümü, işletmelere kişisel bilgilerin uygun işlenmesi ile ilgili bilgi sağlama gibi işlemleri gerçekleştiren kuruluşlar, Kişisel Bilgi Koruma Komisyonu’nun onayını alarak “Sertifikalı Kişisel Bilgi Koruma Kuruluşu” olabilirler. Ancak, değişiklik yasası ile birlikte, sertifikalı kuruluş sistemi, belirli bir iş alanını (bölümü) hedefleyen kuruluşları sertifikalı kuruluş olarak kabul edebilir hale gelmiştir (Madde 47, Fıkra 2). İş birimine özgü sertifikalı kuruluşları kabul etmek, sertifikalı kuruluşların kullanımını daha da ilerletmek ve belirli bir iş alanında faaliyet gösteren, uzmanlığını kullanan kuruluşlar tarafından kişisel bilgi korumasını ilerletmek için bir girişimdir.

Veri Kullanımının Durumu

Veri kullanımının durumu hakkında aşağıdaki iki nokta değiştirilmiştir.

“Takma İsim İşlenmiş Bilgi” Oluşturma ve Yükümlülüklerin Hafifletilmesi (Madde 2, Paragraf 9)

Mevcut yasaya göre, kişisel bilgileri sadece takma isimle işlemek, hala “kişisel bilgi” olarak kabul edilir ve işletmeler kişisel bilgi işleme ile ilgili çeşitli yükümlülükler taşır. Ancak, bu “takma isimle işlenmiş kişisel bilgi” konusunda, belirli bir güvenlik seviyesini korurken, verinin kullanışlılığını, işlenmemiş kişisel bilgi ile aynı seviyede tutmak için, anonim işlenmiş bilgiden daha ayrıntılı bir analiz yapabilme ve bu nedenle kullanım ihtiyacı artmaktadır.

Bu durumu göz önünde bulundurarak, değişikliklerle, yenilikleri teşvik etmek amacıyla, isimlerin silindiği “takma isim işlenmiş bilgi” oluşturulmuş ve iç analizle sınırlı olmak üzere, ifşa ve kullanım durdurma taleplerine yanıt verme gibi yükümlülükler hafifletilmiştir.

Oluşturulan takma isim işlenmiş bilgi, “diğer bilgilerle eşleştirilmedikçe, belirli bir kişiyi tanımlayamayacak şekilde kişisel bilgilerin işlenmesi sonucu elde edilen kişiye ilişkin bilgiler” anlamına gelir. Örneğin, “isim, yaş, tarih, saat, miktar, mağaza” bilgileri, “geçici ID, yaş, tarih, saat, miktar, mağaza” şeklinde işlenmiştir. Olası kullanım örnekleri arasında, “başlangıçta belirlenen kullanım amacına uymayan veya uyma kararı vermenin zor olduğu yeni amaçlar için iç analiz” (tıp ve ilaç sektöründe araştırma veya hile tespiti, satış tahmini gibi makine öğrenme modeli eğitimi), “kullanım amacını yerine getiren kişisel bilgilerin, gelecekte istatistiksel analiz için kullanılma olasılığı nedeniyle, takma isim işlenmiş bilgi olarak işlenip saklanması” bulunmaktadır.

Not: Takma isim işlenmiş bilgi oluşturma yöntemi hakkında, en azından aşağıdaki önlemler alınmalıdır:

• Belirli bir kişiyi tanımlayabilen açıklamaların (örneğin: isim) tamamını veya bir kısmını silmek (değiştirmeyi de içerir)
• Kişisel tanımlama kodunun tamamını silmek
• Mülkiyet zararına yol açabilecek haksız kullanımlar (örneğin: kredi kartı numarası) için açıklamaların tamamını silmek

gibi önlemler alınması gerekmektedir.

Kişisel Veri Olabilecek Bilgilerin Doğrulama Yükümlülüğü (Madde 26, Paragraf 2)

Mevcut yasaya göre, veri sağlayıcı tarafından kişisel veri olarak kabul edilmeyen bilgiler, alıcı tarafında kişisel veri olabileceği düşünülse bile düzenlemeye tabi değildir. Ancak, değişikliklerle, veri sağlayıcı tarafından kişisel veri olarak kabul edilmeyen ancak alıcı tarafında kişisel veri olabileceği düşünülen bilgilerin üçüncü taraflara sağlanması durumunda, kişinin rızasının alındığının doğrulanması gibi yükümlülükler getirilmiştir.

Kullanıcı verilerini büyük miktarda toplayan ve bunları anında birleştirerek kişisel veri haline getiren teknolojilerin gelişmesi ve yaygınlaşması sonucunda, alıcı tarafında kişisel veri olacağını önceden bilerek kişisel olmayan bilgileri üçüncü taraflara sağlama eğilimi, kişisel veri koruma yasasının amacını aşan bir durum haline gelmiştir. Bu, kişinin katılımı olmadan kişisel bilgi toplama yöntemlerinin yaygınlaşması endişesi nedeniyledir.

Cezalar Hakkında

Cezaların uygulanması hakkında aşağıdaki iki nokta değiştirilmiştir.

Komitenin emirlerine aykırılık ve komiteye yanıltıcı raporlama gibi yasal cezaların artırılması (Madde 83, Madde 87 vb.)

Yasa dışı durumların arttığı bir ortamda, rapor toplama ve denetimlerin sayısı da artmaktadır. İşletmelerin gerçek durumunu anlamak için rapor toplama ve denetimlerin etkinliğini artırmak gerektiği düşünüldüğünden, değişikliklerle yasal cezalar artırılmıştır.

“Kişisel Bilgi Koruma Komitesi’nin emirlerine aykırı davranışlar” mevcut yasaya göre 6 aydan az hapis veya 300.000 yen’den az para cezası iken, değişikliklerle 1 yıla kadar hapis veya 1 milyon yen’e kadar para cezası olmuştur. “Kişisel Bilgi Veritabanı ve benzerlerinin haksız sağlanması” 1 yıl veya daha az hapis veya 500.000 yen veya daha az para cezası olarak aynı kalmıştır. Ancak, “Kişisel Bilgi Koruma Komitesi’ne yanıltıcı raporlama” mevcut yasada 300.000 yen’den az para cezası iken, değişikliklerle 500.000 yen’e kadar para cezası olmuştur.

Tüzel kişilere yönelik para cezalarının artırılması (Madde 84, Madde 85 vb.)

Mevcut yasaya göre, tüzel kişilere yönelik para cezaları, suç işleyen kişi ile aynı yasal cezaydı. Ancak, tüzel kişiler ve bireyler arasındaki mali güç farkını göz önünde bulundurarak, değişikliklerle, tüzel kişilere yönelik emir ihlalleri ve benzeri para cezaları, suç işleyen kişiden daha yüksek bir maksimum para cezası uygulanması (tüzel kişi ağırlaştırıcı) kararlaştırılmıştır. Tüzel kişiye, suç işleyen kişi ile aynı miktarda para cezası uygulansa bile, ceza olarak yeterli caydırıcılık sağlanamayacağı düşünülmektedir.

Tüzel kişiler tarafından yapılan “Kişisel Bilgi Koruma Komitesi’nin emirlerine aykırı davranışlar” mevcut yasaya göre suç işleyen kişi ile aynı miktarda 300.000 yen’den az para cezası iken, değişikliklerle 100 milyon yen’e kadar para cezası olmuştur. “Kişisel Bilgi Veritabanı ve benzerlerinin haksız sağlanması” mevcut yasada suç işleyen kişi ile aynı miktarda 500.000 yen’den az para cezası iken, değişikliklerle 100 milyon yen’e kadar para cezası olmuştur. Ancak, “Kişisel Bilgi Koruma Komitesi’ne yanıltıcı raporlama” mevcut yasada suç işleyen kişi ile aynı miktarda 300.000 yen’den az para cezası iken, değişikliklerle yine suç işleyen kişi ile aynı miktarda 500.000 yen’e kadar para cezası olmuştur.

Kanunun Sınırlar Ötesi Uygulaması ve Veri Aktarımı

Kanunun sınırlar ötesi uygulaması ve veri aktarımı hakkında, aşağıdaki iki nokta değiştirilmiştir.

Sınırlar Ötesi Uygulamanın Güçlendirilmesi (Madde 75)

Mevcut kanunda, sınırlar ötesi uygulamanın hedefi olan yabancı işletmelere yönelik kullanılabilir yetkiler, zorlayıcı olmayan yönlendirmeler ve tavsiyeler gibi yetkilerle sınırlıydı. Ancak, yabancı ülkelerdeki veri sızıntıları gibi durumlar karşısında, Japon Kişisel Bilgi Koruma Komisyonu’nun (Personal Information Protection Commission) uygun bir şekilde müdahale edememe riski bulunmaktadır. Bu nedenle, değişiklikle, Japonya’da bulunan kişilere mal veya hizmet sağlama ile ilgili kişisel bilgileri işleyen yabancı işletmeler, cezai yaptırımlarla güvence altına alınan raporlama ve emirlerin hedefi haline getirilmiş ve Kişisel Bilgi Koruma Komisyonu’nun yetki kullanımı güçlendirilmiştir.

Kişisel Bilgilerin Aktarıldığı İşletmedeki Bilgi İşleme Hakkında Bilgi Sağlamanın Geliştirilmesi (Madde 78)

Bazı ülkelerde devlet düzeyinde düzenlemeler görülmeye başlandı ve kişisel bilgilerin sınırlar ötesi aktarımı fırsatları artarken, ülke veya bölge düzeyindeki sistem farklılıkları, bireylerin ve veri işleyen işletmelerin öngörülebilirliğini istikrarsız hale getiriyor ve bireylerin hak ve çıkarlarının korunması açısından endişeler oluşuyor.

Buna karşılık, yabancı bir üçüncü tarafa kişisel veri sağlarken, aktarılan işletmedeki kişisel bilgi işleme hakkında bilgi sağlamanın geliştirilmesi talep edilmiştir. Yabancı bir üçüncü tarafa kişisel veri sağlama koşulu olarak, mevcut kanunda “bireyin rızası” olan koşul, “aktarılan ülkenin adı, aktarılan ülkede kişisel bilgi koruma sisteminin varlığı hakkında bilgi sağlama” yükümlülüğü getirilmiştir. “Standartlara uygun bir sistem oluşturan işletme” olan koşul, “aktarılan işletmenin işlem durumunun düzenli kontrolü + talep üzerine ilgili bilgilerin sağlanması” yükümlülüğü getirilmiştir.

Özet

“Her 3 yılda bir gözden geçirme hükmü”ne dayanan ilk yasa değişikliği olan 2022’deki (Japon) Kişisel Bilgi Koruma Yasası değişikliği, kullanımın durdurulması ve silinmesi gibi konuların genişletilmesi, yanlış kullanımın yasaklanması, sınır ötesi transferlerle ilgili bilgi sağlamanın iyileştirilmesi, “rumuz işleme bilgisi” oluşturulması gibi konular ele alınmıştır. Bu, bireysel hak ve çıkarların korunması ve kullanımının güçlendirilmesi, sınır ötesi veri dolaşımının artmasıyla ortaya çıkan yeni risklere yanıt verme ve AI ve Büyük Veri çağına uyum sağlama gibi konuları hedeflemektedir.

Büromuz Tarafından Alınan Önlemler

Monolith Hukuk Bürosu, özellikle IT ve hukuk alanlarında yüksek uzmanlığa sahip bir hukuk firmasıdır. Yeni düzenlenmiş olan ‘Japon Kişisel Bilgi Yasası’ büyük ilgi toplamakta ve hukuki kontrol ihtiyacı giderek artmaktadır. Büromuz, fikri mülkiyet haklarına ilişkin çözümler sunmaktadır. Ayrıntılar aşağıdaki makalede belirtilmiştir.

https://monolith.law/practices/corporate[ja]