Çin’de Yürürlüğe Giren Kişisel Verileri Koruma Kanunu Hakkında Bilinmesi Gerekenler
Giriş
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir. Siber Güvenlik Yasası ve Veri Güvenliği Yasası, Çin için siber güvenlik ve verilerin korumasında önemli bir role sahip olsa da ÇKVK, kişisel veriler bakımından kapsamlı koruma sağlamayı hedefler ve verilerin işlenmesi bakımından geçerli olacak temel ilkeleri ortaya koyar.
ÇKVK, veri koruma ve gizliliği bakımından temel esasları ortaya koyan Avrupa Birliği Genel Veri Koruma Tüzüğü ((the UE General Data Protection Regulation) (“GDPR”)) ile benzer bir yapı öngördüğü söylenebilir. Bu doğrultuda, hem Çin sınırları içerisinde hem de Çin sınırları dışında faaliyet gösteren şirketleri etkileyecek yasal bir çerçeve oluşturulmuştur. Söz konusu yasanın Çin sınırlarını aşan etkisi nedeniyle, Çin’de faaliyet gösteren ulusal şirketlerin yanı sıra yabancı şirketler de veri işleme faaliyetlerini ve uyum programlarını yeniden gözden geçirmek durumundadır. Bu Hukuk Postası Makalesi ile ÇKVK’nin getirdiği önemli düzenlemelere yer verilecek ve veri güvenliği bakımından yeni dönemde neler beklenebileceği üzerinde durulacaktır.
ÇKVK’ya Giriş
ÇKVK sekiz bölümden oluşmakta; sırasıyla kişisel veriler hakkında genel hükümler, veri işleme kuralları, yurt dışı veri aktarımı, veri işleyenlerin sorumlulukları, ilgili makamların görev ve sorumlulukları ve son olarak da yasal sorumluluğa yer verilmektedir. GDPR’a benzer şekilde ÇKVK, verilerin korunması bakımından geçerli olan temel ilkeleri ortaya koyarken; veri sahiplerini korumayı, veri işleme bakımından geçerli kuralları ortaya koymayı ve son olarak verilerin makul kullanımını tesis etmeyi amaçlar. Dolayısıyla veri işleme faaliyetlerini GDPR’a uygun gerçekleştirmekte olan şirketlerin, bir ölçüde ÇKVK’ye uyum sağlamış oldukları kabul edilebilir. Diğer yandan GDPR kadar ayrıntılı bir yapı öngörmemesine rağmen, ÇKVK’nin sınır ötesi etkisi, veri lokalizasyonu bakımından getirdiği sıkı düzenlemeler ve yurt dışı veri aktarımı konusundaki kısıtlamaları öne çıkmaktadır.
GDPR ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) benzer şekilde, ÇKVK de, ilgili kişinin rızası gibi, veri işleme şartları getirmektedir. Ancak anılan düzenlemelerden farklı olarak, “meşru menfaat” veri işleme şartları arasında sayılmamaktadır. Diğer yandan, GDPR ve KVKK gibi, ÇKVK de veri ihlallerine ilişkin bildirim yükümlülüğü, veri güvenliğinin sağlanması ve risk analizine ilişkin çeşitli yükümlülükler öngörmektedir. Son olarak, ÇKVK, veri sahiplerine GDPR ve KVKK ile benzer haklar tesis etmektedir.
Kapsam
ÇKVK Madde 3 uyarınca anılan kanun, Çin sınırları içinde, gerçek kişilere ait kişisel verilerin işlenmesi faaliyetlerine uygulanır. Aşağıdaki durumlardan birinin mevcut olması halinde ise, Çin sınırları içindeki gerçek kişilerin kişisel verilerinin Çin sınırları dışında işlenmesi faaliyetlerinde ÇKVK uygulama alanı bulur:
- Çin sınırları dahilinde gerçek kişilere ürün veya hizmet sağlanmasının amaçlanması;
- Gerçek kişilerin Çin sınırları dahilindeki faaliyetlerinin incelenmesi veya değerlendirilmesi;
- Mevzuat ve idari düzenlemeler uyarınca öngörülen diğer durumlar.[1]
ÇKVK Madde 3 uyarınca, kanunun uygulama alanı Çin sınırlarını aşmaktadır. Çin sınırları içinde bulunan gerçek kişilerin kişisel verilerini işleyen gerçek kişi ya da tüzel kişiler, Çin’deki mevcudiyetlerine bakılmaksızın, ÇKVK’ya tabi kılınır. Bu bağlamda, işleme faaliyetlerinin Çin sınırları içindeki gerçek kişileri ilgilendirdiği durumlarda, Türk şirketlerinin de ÇKVK’ye uygun olarak faaliyet göstermeleri gerekebilecektir.
ÇKVK Uyarınca Kişisel Veri, Özel Nitelikli Kişisel Veri ve Veri İşleme Faaliyeti
ÇKVK Madde 4 uyarınca kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişilerle ilgili, elektronik veya diğer yollarla elde edilen, anonimleştirme işlemine tabi veriler hariç, her türlü veri” olarak tanımlanır. ÇKVK Madde 28 uyarınca özel nitelikli kişisel veri ise, “sızdırıldığında veya yasadışı olarak kullanıldığında, gerçek kişilerin onuruna kolayca zarar verebilecek veya kişi ya da malvarlığı güvenliğine ciddi zarar verebilecek kişisel veriler” olarak tanımlanır. Ayrıca, Madde 4 ile kişisel verilerin işlenmesi “kişisel bilgilerin toplanması, saklanması, kullanılması, işlenmesi, iletilmesi, sağlanması, ifşa edilmesi, silinmesi, vb.” olarak tanımlanır.[2]
Kişisel Verilerin İşlenmesinde Geçerli Kurallar
ÇKVK, rıza ve aydınlatma yükümlülüğü bakımından ayrıntılı hükümler getirir. Veri işleme faaliyetleri bakımından aranan şartlar, Madde 13 ile düzenlenir. Buna göre, veri işleyenler aşağıda sayılan şartlardan bir tanesinin mevcut olduğu durumlarda veri işleyebilecektir:
- Veri sahibinin rızası;
- Kişisel veri işleme faaliyetinin sözleşmenin akdedilmesi veya sözleşmenin uygulanabilmesi bakımından veya insan kaynakları yönetiminin yasal çerçeve içinde düzenlenen işgücü kural ve mekanizmalarına ve yasal olarak imzalanmış toplu iş sözleşmelerine uygun olarak sürdürülmesi için gerekli olması;
- Kanuni görev ve sorumlulukları ya da kanuni yükümlülükleri yerine getirebilmek için gerekli olması;
- Kamu sağlığı ile ilgili acil bir duruma ilişkin olması ya da acil durumlarda kişilerin can, sağlık ya da mal güvenliğini korumak için bir müdahalenin gerekmesi;
- Makul bir çerçevede habercilik ve kamuoyu denetimi ve kamu yararına diğer benzeri faaliyetleri gerçekleştirmek için gerekmesi;
- Kişisel verinin veri sahibi tarafından veya kanuna uygun olan başka bir şekilde kamuya açıklanmış olması;
- Mevzuat ve idari düzenlemeler uyarınca öngörülen diğer durumlar.[3]
ÇKVK Madde 14 uyarınca veri işleme faaliyeti rızaya dayanıyorsa; söz konusu rıza, uygun olarak aydınlatılan kişinin açıkça iradesini ortaya koyabilmelidir ve verilecek rıza bakımından gönüllülük esastır. ÇKVK Madde 15 ise, veri sahiplerinin rızalarını geri alabileceklerini belirtir. Bu doğrultuda veri işleyenler ise, veri sahiplerine, rızalarını geri alabilmeleri için elverişli yöntemler sunmalıdır. GDPR ve KVKK’ye benzer şekilde, ÇKVK Madde 17 ile kişisel verilerin işlenmesinden önce aydınlatma yükümlülüğünün yerine getirilmesi gerektiği düzenlenir; aydınlatma açık ve anlaşılır olmalıdır ve yükümlülüğe ilişkin diğer esaslar yine aynı madde ile öngörülür. Veri sahiplerinin rıza vermemesi durumunda, kişisel veri işleyenler ürün veya hizmet sağlamayı reddedemez. Ayrıca işlenen kişisel veriler ifşa edilemez; kişisel verilerin ifşa edilmesi ayrıca rıza alınmasına bağlıdır. Özel nitelikli kişisel verilerin işlendiği durumda ise, ÇKVK Madde 29 uyarınca veri sahibinin ayrıca rızası alınmalıdır.
ÇKVK, yukarıda da ifade edildiği üzere, aydınlatma yükümlülüğüne ilişkin detaylı hükümler ihtiva eder. ÇKVK Madde 23 uyarınca veri aktarımı gerçekleştiren veri işleyenler, veri sahiplerini uygun şekilde aydınlatmak durumundadır. Ayrıca yurt dışına veri aktarımı gerçekleştirecek taraflar, ÇKVK Madde 39’a uygun olarak veri sahiplerini aydınlatmalı ve ayrıca rıza almalıdır.
Son olarak ÇKVK Madde 24 “otomatik karar alma” faaliyetleri yürütmek üzere veri işleyen taraflar bakımından kurallar öngörür. “Otomatik karar alma”, bilgisayar programları aracılığıyla kişilerin davranış, alışkanlık, ilgi alanlarının, finans, sağlık veya başkaca konulardaki durumlarının otomatik olarak analiz edilmesi veya değerlendirilmesi ve karar alınması olarak tanımlanır. ÇKVK bu sürecin şeffaf, eşit ve adil yürütülmesi gerektiğini ifade eder; kişilere ticari koşullar bakımından makul olmayan derecede farklı muamelede bulunmayı ise yasaklar.
Kişisel Veri İşleyenlerin Yükümlülükleri
Kişisel veri işleyenler, ÇKVK Madde 51 ile getirilen çeşitli önlemleri; kişisel verileri işleme amacı, işleme yöntemleri, kişisel veri kategorileri ve veri sahiplerinin hakları ve çıkarları üzerindeki etkisine uygun olarak uygulamakla yükümlüdür. ÇKVK Madde 57 uyarınca ise, kişisel verilerin sızdırılması, bozulması veya kaybolması durumunda da bildirim yükümlülüğü söz konusudur.
ÇKVK Madde 52 uyarınca, belirli bir eşiği aşan miktarda kişisel veri işleyenler, kişisel verileri koruma görevlisi atamakla yükümlü kılınır. Yabancı şirketlerin işledikleri verilerden sorumlu tutulabilmeleri için Madde 53 kapsamında Çin’de bir birim kurmakla veya bir temsilci atamakla yükümlüdür.
ÇKVK Madde 58 ise birçok kullanıcıya hizmet veren ve karmaşık iş modellerine sahip önemli internet platformları için yükümlülükler öngörür. Açıklık, eşitlik ve adalet ilkelerine uygun olarak faaliyet göstermek bunlardan biridir.
Yurt Dışı Veri Aktarımı
Yurt dışı veri aktarımı gerçekleştirecek kişisel veri işleyenler, ÇKVK Madde 38 ile öngörülen gereklilikleri karşılamalıdır. Bu gereklilikler ise, güvenlik incelemesinden geçmek; kişisel veri koruma sertifikası almak, veriyi kabul edecek yabancı tarafla sözleşme akdetmek ve kanunlar, idari düzenlemeler veya devlet siber güvenlik ve bilişim birimi tarafından öngörülecek diğer şartları karşılamak olarak sıralanabilir.
Devlet siber güvenlik ve bilişim birimince tespit edilecek eşikleri aşan miktarlarda kişisel veri işleyen kritik bilgi altyapısı işleticileri ve kişisel veri işleyenler, Çin sınırları dahilinde toplanan ve üretilen kişisel verileri Madde 40 uyarınca ancak yurt içinde saklayabilecektir. ÇKVK, bu hüküm ile veri lokalizasyonuna ilişkin kritik bir düzenleme getirir; önemli miktarda kişisel veri işleyenlere, işledikleri bu verileri Çin sınırları içinde saklama yükümlülüğü getirir. Bunun yanı sıra ÇKVK Madde 40, yurt dışına veri aktarmak durumunda olan veri işleyenler bakımından bir alternatif sunar; devlet siber güvenlik ve bilişim birimince yürütülecek güvenlik incelemesinden geçerek yurt dışına veri aktarımı gerçekleştirebileceklerini ifade eder.
Sonuç
Özellikle yurt dışı veri aktarımı bakımından ÇKVK’nin sıkça gündeme gelmesi beklenmektedir. Birçok uluslararası şirket, yurt dışı veri aktarımı bakımından getirilen şartları karşılamakla yükümlü olacak; rıza ve aydınlatma yükümlülüklerini yakından denetlenmeleri gerekecektir. Bu nedenle ÇKVK, sınır ötesi etkisi nedeniyle özel bir öneme sahiptir. Yabancı şirketler de kişisel verileri işleme faaliyetlerini gözden geçirmeli ve ÇKVK ile getirilen düzenlemeleri dikkate almalıdır. Çin’deki mevcudiyetlerine bakılmaksızın, yürüttükleri faaliyetler doğrultusunda ÇKVK kapsamında olup olmadığını tespit etmeleri şirketlere önemle tavsiye edilir. ÇKVK’ye tabi kişisel veri işleyenler bakımından ayrıca yükümlülükler söz konusu olabileceğinden, işlenen kişisel veri kategorilerinin ve karşılanan eşiklerin denetlenmesi önemlidir. Belirli eşiklerin aşılması durumunda, kişisel veri işleyenler için yurt dışı veri aktarımı mümkün olmayabilecek; bu kişiler toplanan ve üretilen kişisel verileri Çin sınırları içinde saklamakla yükümlü olabilecektir.
- Yazar tarafından tercüme edilmiştir. ÇKVK’nin İngilizce’ye tercümesi için lütfen bakınız. Creemers, Rogier/ Webster, Graham; “Translation: Personal Information Protection Law of the People’s Republic of China – Effective Nov. 1, 2021”, the Digichina Project, Stanford University, https://digichina.stanford.edu/work/translation-personal-information-protection-law-of-the-peoples-republic-of-china-effective-nov-1-2021/ (Erişim Tarihi: 23.02.2022).
- Creemers/Rogier. Yazar tarafından tercüme edilmiştir. ÇKVK’nın İngilizce’ye tercümesi için lütfen bakınız.
- Creemers/Rogier. Yazar tarafından tercüme edilmiştir. ÇKVK’nın İngilizce’ye tercümesi için lütfen bakınız.
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Eylül 2025’te Avrupa Birliği Adalet Divanı (“ABAD”), Single Resolution Board (SRB) v. European Data Protection Supervisor (EDPS) davasında , AB veri koruma rejimi kapsamında yeni bir karar verdi...
2020 tarihli Avrupa Veri Stratejisi’nin bir parçası olarak tasarlanan verilere adil erişim ve kullanım konusunda uyumlaştırılmış kurallar hakkındaki Tüzük (Veri Yasası veya Yasa), veriye erişimi ve verinin kullanımını rekabetçi ve adil bir ortamda en üst seviyeye taşıyarak AB’nin veri ekonomisinde sıçrama yapmasını hedeflemektedir.
Türkiye’de son dönemde özellikle perakende mağazalarda, ürün ve hizmet sunumları sırasında ilgili kişilere SMS yoluyla doğrulama kodu gönderilmesi ve bu yolla kişisel verilerin işlenmesi giderek yaygınlaşmıştır. Kişisel Verileri Koruma Kurulu’na (“Kurul”) intikal eden şikâyetlerde; ödeme yapma, kayıt açma...
Günümüzde iş sağlığı ve güvenliği, işyeri düzeninin sağlanması, iç denetim mekanizmalarının işletilmesi ve olası suistimallerin önlenmesi gibi gerekçelerle işverenler tarafından güvenlik kamerası sistemleri yaygın biçimde kullanılmaktadır...
Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin yurt dışına aktarımı konusunda belirli kurallar öngörse de, uygulamada yaşanan bazı zorluklar nedeniyle yurt dışına aktarım kurallarının etkin işleyişi zamanla sınırlanmıştı...
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi esas alınarak hazırlanmış ve 2016 yılında yürürlüğe girmiştir. Anılan direktif ise, Avrupa Birliği Veri...
Genellikle bir çalışan işten ayrıldığında, çalışanın kurumsal e-posta hesabı kapatılmaz ve işverenin bu hesaba erişimi hemen engellenmez. Tam aksine, bu e-posta hesabı, iş ilişkisinin sona ermesinden sonra bir süre aktif tutulur; e-posta arşivi ve yeni gelen iletiler, ayrılan çalışanın yöneticisi veya farklı bir çalışma...
Günümüz dünyasında artık pek çok ürün ve hizmeti bulunduğumuz yerden tek bir tık ile e-ticaret platformları aracılığıyla satın alma imkanına sahibiz. Bu alışverişler sırasında, siparişin alınması, yönetimi ve teslimi, sipariş sonrası bilgilendirme, reklam ve pazarlama gibi çeşitli nedenlerle kişisel verilerimiz...
Genetik verilerin işlenmesi, sadece genetik veri sahiplerini değil, kişinin genetik olarak irtibatlı olduğu kişileri etkileyebilecek niteliğe sahiptir. Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Ekim 2023’te yayımlanan “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” (“Rehber”)...
Günümüzde ekonomik faaliyetlerin küresel ölçekte yürütülmesi, şirketlerin günlük faaliyetleri sırasında çok sayıda kişisel verinin uluslararası alanda aktarılmasına neden olmaktadır. Bu nedenle, ulusal ve uluslararası birçok veri mevzuatı gibi 6698 sayılı Kişisel Verilerin Korunması Kanunu da...
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...
