ÇİN, KİŞİSEL VERİLERİ KORUMA KANUNU’NU (PIPL) KABUL ETTİ. KANUN, 1 KASIM 2021 TARİHİNDE YÜRÜRLÜĞE GİRECEK.

Çin Ulusal Halk Kongresi Daimi Komitesi, Kişisel Verilerin Korunması Kanunu’nu (Personal Information Protection Law of the People’s Republic of China; Bundan sonra kısaca “PIPL”) 20 Ağustos 2021 tarihinde kabul etti. 1 Kasım 2021 tarihinde yürürlüğe girecek olan Kanun ile veri sorumlularına uyum süreci için ayrıca bir zaman tanınmadı.

PIPL’in yürürlüğe girmesi ile birlikte  PIPL, Siber Güvenlik Yasası (Cybersecurity Law of The People’s Republic of China ) ve Veri Güvenliği Yasası’ndan (Data Security Law of the PRC) oluşan kapsamlı bir  veri koruma ve siber güvenlik çerçevesi oluştuğunu söylemek mümkün.

Bu yazıda genel çerçeve açısındna PIPL’de yer alan asli düzenlemelerle birlikte, PIPL’ın, GDPR ve KVKK ile benzer ve farklı yönleri ele alınacaktır.

Kişisel Veri: PIPL’in 4. maddesinde “Kişisel Veri”; “Anonim şekilde işlenmiş bilgiler hariç olmak üzere, elektronik veya diğer yollarla kaydedilmiş, belirli veya belirlenebilir gerçek kişiler ile ilgili çeşitli bilgiler“  şeklinde tanımlanmaktadır. Kişisel veri tanımının GDPR ve KVKK ile benzer şekilde tanımlandığını söyleyebiliriz.

Anonim Veri: PIPL, anonim veriyi kişisel veri kabul etmemekle birlikte, “anonim hale getirme”yi “kişisel bilgilerin belirli bir gerçek kişinin kimliğinin tespit edilemeyecek ve geri alınamayacak şekilde işlendiği süreci ifade eder” şeklinde tanımlamıştır.

Hassas Veriler: PIPL kapsamında hassas kişisel veriler, “biyometrik, dini inanç, belirli kimlikler, tıbbi sağlık, konum ve “14 yaşın altındaki reşit olmayanların kişisel bilgileri” gibi bilgiler dahil olmak üzere, sızdırıldığında veya kanuna aykırı olarak kullanıldığında gerçek kişilerin kişisel haysiyetin kolayca ihlal edilmesine veya kişisel veya mal güvenliğinin zarar görmesine neden olabilecek kişisel bilgileri ifade eder” şeklinde tanımlanmıştır. Genel olarak hassas veri tanımının GDPR ve KVKK ile benzer olduğunu görmekle birlikte, PIPL’de farklı ve dikkat çekici olarak; “konum” ve “14 yaşın altındaki reşit olmayanların kişisel bilgilerin” de hassas (özel nitelikli) kişisel veri olarak tanımlandığını görüyoruz.

Kanun’un Yer Bakımından Uygulanması: GDPR’a benzer şekilde, PIPL, işleme amacının:

• Çin’deki bireylere ürün veya hizmet sağlamak,
• Çin’deki bireylerin davranışlarını “değerlendirme” veya “analiz etmek” veya
• Yasalar ve yönetmeliklerle belirlenecek diğer amaçlar için olması koşuluyla,

Çin dışında yürütülen, kişisel bilgilerin işlenmesine yönelik faaliyetleri de kapsamına almaktadır. Eğer Çin toprakları dışındaki herhangi bir kişisel veri sorumlusu, PIPL kapsamına giriyor ise Çin sınırları içinde ilgili kişisel bilgilerin korunması konularından sorumlu olmak üzere özel bir ofis kuracak veya bir temsilci atayacaktır.

Kişisel Verilerin İşlenme Şartları: PIPL, 13. maddesinde kişisel verilerin işlenmesi için aranan şartları düzenlemiştir. GDPR ve KVKK’dan farklı olarak, PIPL, “meşru menfaat” şartına, kişisel veri işleme hukuki sebebi olarak yer vermemiştir.

PIPL’de kişisel verilerin işlenmesi için hukuki sebep olarak şunlar yer almaktadır:

• İlgili kişinin rızasının alındığı durumlar,
• İlgilinin taraf olduğu bir sözleşmenin akdedilmesi veya ifasının veya insan kaynakları yönetiminin kanuna göre oluşturulan iş kanun ve yönetmeliklerine ve kanuna göre yapılan toplu sözleşmelere göre yürütülmesinin gerekli olduğu haller,
• Yasal görevlerin veya yükümlülüklerin yerine getirilmesi için gerekli olduğu haller,
• Halk sağlığı acil durumları ile başa çıkmak veya bir gerçek kişinin can, sağlık ve mal güvenliğinin korunması için gerekli olduğu durumlar,
• Haber verme ve kamuoyu denetimi gibi eylemlerin kamu yararına gerçekleştirilmesi ve kişisel bilgilerin işlenmesinin makul bir kapsamda olması,
• Kişilerin kendileri tarafından ifşa edilen kişisel bilgilerin veya yasal olarak ifşa edilen diğer kişisel bilgilerin Kanun hükümlerine uygun olarak makul bir kapsamda işlenmesi halleri,
• Kanunlar ve idari düzenlemeler tarafından sağlanan diğer durumlar.

Rıza: PIPL kapsamındaki rıza tanımı, GDPR’ın ve KVKK’nın katı rıza gerekliliklerine büyük ölçüde benzerdir. Yani birey bilgilendirilmeli, rıza özgürce verilmeli, bireyin açık bir eylemiyle gösterilmeli ve her zaman geri alınabilir olmalıdır. Ayrıca belirli işleme faaliyetleri için de rıza aranmaktadır; Eğer bir veri sorumlusu, kişisel bilgileri diğer veri sorumluları ile paylaşıyorsa; Kişisel bilgileri kamuya açıklarsa; Hassas kişisel bilgileri işler veya kişisel bilgileri yurt dışına aktarırsa ilgili kişinin açık rızası alınmalıdır.

İlgili Kişinin Hakları: PIPL, ilgili kişinin haklarını;

• Kişisel bilgilerinin işlendiğini bilme ve karar verme hakkı,
• Bir veri sorumlusuna danışma veya kişisel bilgilerini kopyalama hakkı,
• Kişisel verilerin kendisi tarafından belirlenen bir veri sorumlusuna aktarmayı talep etme hakkı, (veri taşınabilirliği)
• Veri sorumlusundan düzeltmeler veya ilaveler yapmasını talep etme hakkı,
• Kişisel verilerinin silinmesini talep etme hakkı,
• Kişisel bilgilerin işlenmesine ilişkin kuralları açıklamasını talep etme,

Şeklinde düzenlemiştir.

Unutulma hakkı, PIPL’de düzenlenmemiştir.

PILP’in bu bölümünde dikkat çeken bir başka husus ise; bir gerçek kişinin ölümü halinde, yakın akrabalarının, kendi yasal ve meşru menfaatleri için, ölenin kişisel bilgilerini bilme, kopyalama, düzeltme ve silme haklarını kullanabileceğine ilişkin düzenlemedir.

Bir diğer göze çarpan fark; bireylerin, haklarını kullanma taleplerinin reddedilmesi halinde işlem yapan kuruluşlara (veri sorumlularına) Çin Mahkemeleri’nde dava açma hakkına sahip olmalarıdır. Bu düzenleme GDPR ve KVKK uygulamasından farklı bir düzenlemedir. Bilindiği üzere GDPR ve KVKK’da ilgili kişinin haklarının reddedilmesi veya cevap verilmemesi halinde (tazminat hakkı dışında) doğrudan mahkemelerde dava açma hakkı bireylere tanınmamıştır.

PIPL ayrıca veri sorumlusunun ilgili kişinin taleplerine cevap vermesi için belirli bir zaman çizelgesi düzenlememiştir, yalnızca veri sorumlularının taleplere “zamanında” yanıt vermesi gerektiğini belirtmiştir. Bilindiği gibi bu süre KVKK’da tebliğden itibaren 30 gün, GDPR’da ise 1 aydır.

İlgili kişinin hakları ile ilgili son olarak dikkat çeken bir hususa işaret etmek istiyoruz. PILP, kişisel verilerin işlenmesi nedeniyle bireylerin hak ve menfaatlerin ihlal edilmesi ve zarara yol açılması halinde Çin Mahkemesinde dava açma hakkını düzenlemekle birlikte, veri sorumlusunun “kusurunun bulunmadığını” ispatlaması gerektiğini düzenlemektedir. Burada ispat yükümlülüğünün yer değiştirdiğini görmekle birlikte, hükmedilecek tazminatın ise “veri sorumlusunun veri işleme yolu ile elde şekilde elde edilen menfaatler ışığında” belirleneceği düzenlemektedir.

Yurt Dışına Veri Aktarımı : PILP’e göre, Bir veri sorumlusunun, Çin Halk Cumhuriyeti toprakları dışında kişisel bilgileri sağlaması gerektiğinde, Devlet Siber Uzayı tarafından güvenlik değerlendirmesinden geçmesi veya denizaşırı alıcı veri sorumlusu ile sözleşme imzalaması gerekir. Ayrıca kişisel verilerin işlenmesi Devlet Siber Uzay idaresi tarafından öngörülen sayıya ulaşan kritik bilgi altyapısı operatörleri ve veri sorumluları, Çin Halk Cumhuriyeti sınırları içinde toplanan ve oluşturulan kişisel verileri Çin topraklarında saklayacaktır. Bu tür bilgi ve verilerin denizaşırı taraflara sağlanması gerçekten gerekliyse, Devlet Siber Uzay İdaresi tarafından düzenlenen güvenlik değerlendirmesine tabi olacaktır.

Kişisel Verileri Koruma Görevlerini Yürüten Bölümler Devlet Siber Uzay İdaresi, Danıştay’a bağlı ilgili birimler ve yerel halk yönetimlerin ilgili daireleri, kişisel verilerin korunması görevlerini yerine getiren departmanlardır.

Yaptırımlar: PIPL kapsamındaki yükümlülüklerin bir veri sorumlusu tarafından ihlal edilmesi halinde; kişisel verileri koruma görevlerini yürüten bölümler veri sorumlusuna düzeltici eylemlerde bulunmasını emredebilir, uyarı verebilir, yasa dışı gelire el koyulmasını, hizmetlerin askıya alınmasına veya para cezası verilmesini emredebilir. Para cezası, 50 milyon RMB’ye kadar veya bir önceki mali yıl için bir kuruluşun yıllık gelirinin %5’i kadar olabilir. GDPR’den farklı olarak PIPL, yıllık gelirin dünya çapındaki ciroya mı yoksa Çin’de üretilen gelire mi karşılık geldiği yönünde bir düzenleme yapmamıştır.