Çin’de Yürürlüğe Giren Kişisel Verileri Koruma Kanunu Hakkında Bilinmesi Gerekenler

Şubat 2022 Defne Pırıldar
% 0

Giriş

Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir. Siber Güvenlik Yasası ve Veri Güvenliği Yasası, Çin için siber güvenlik ve verilerin korumasında önemli bir role sahip olsa da ÇKVK, kişisel veriler bakımından kapsamlı koruma sağlamayı hedefler ve verilerin işlenmesi bakımından geçerli olacak temel ilkeleri ortaya koyar.

ÇKVK, veri koruma ve gizliliği bakımından temel esasları ortaya koyan Avrupa Birliği Genel Veri Koruma Tüzüğü ((the UE General Data Protection Regulation) (“GDPR”)) ile benzer bir yapı öngördüğü söylenebilir. Bu doğrultuda, hem Çin sınırları içerisinde hem de Çin sınırları dışında faaliyet gösteren şirketleri etkileyecek yasal bir çerçeve oluşturulmuştur. Söz konusu yasanın Çin sınırlarını aşan etkisi nedeniyle, Çin’de faaliyet gösteren ulusal şirketlerin yanı sıra yabancı şirketler de veri işleme faaliyetlerini ve uyum programlarını yeniden gözden geçirmek durumundadır. Bu Hukuk Postası Makalesi ile ÇKVK’nin getirdiği önemli düzenlemelere yer verilecek ve veri güvenliği bakımından yeni dönemde neler beklenebileceği üzerinde durulacaktır.

ÇKVK’ya Giriş

ÇKVK sekiz bölümden oluşmakta; sırasıyla kişisel veriler hakkında genel hükümler, veri işleme kuralları, yurt dışı veri aktarımı, veri işleyenlerin sorumlulukları, ilgili makamların görev ve sorumlulukları ve son olarak da yasal sorumluluğa yer verilmektedir. GDPR’a benzer şekilde ÇKVK, verilerin korunması bakımından geçerli olan temel ilkeleri ortaya koyarken; veri sahiplerini korumayı, veri işleme bakımından geçerli kuralları ortaya koymayı ve son olarak verilerin makul kullanımını tesis etmeyi amaçlar. Dolayısıyla veri işleme faaliyetlerini GDPR’a uygun gerçekleştirmekte olan şirketlerin, bir ölçüde ÇKVK’ye uyum sağlamış oldukları kabul edilebilir. Diğer yandan GDPR kadar ayrıntılı bir yapı öngörmemesine rağmen, ÇKVK’nin sınır ötesi etkisi, veri lokalizasyonu bakımından getirdiği sıkı düzenlemeler ve yurt dışı veri aktarımı konusundaki kısıtlamaları öne çıkmaktadır.

GDPR ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) benzer şekilde, ÇKVK de, ilgili kişinin rızası gibi, veri işleme şartları getirmektedir. Ancak anılan düzenlemelerden farklı olarak, “meşru menfaat” veri işleme şartları arasında sayılmamaktadır. Diğer yandan, GDPR ve KVKK gibi, ÇKVK de veri ihlallerine ilişkin bildirim yükümlülüğü, veri güvenliğinin sağlanması ve risk analizine ilişkin çeşitli yükümlülükler öngörmektedir. Son olarak, ÇKVK, veri sahiplerine GDPR ve KVKK ile benzer haklar tesis etmektedir.

Kapsam

ÇKVK Madde 3 uyarınca anılan kanun, Çin sınırları içinde, gerçek kişilere ait kişisel verilerin işlenmesi faaliyetlerine uygulanır. Aşağıdaki durumlardan birinin mevcut olması halinde ise, Çin sınırları içindeki gerçek kişilerin kişisel verilerinin Çin sınırları dışında işlenmesi faaliyetlerinde ÇKVK uygulama alanı bulur:


  • Çin sınırları dahilinde gerçek kişilere ürün veya hizmet sağlanmasının amaçlanması;
  • Gerçek kişilerin Çin sınırları dahilindeki faaliyetlerinin incelenmesi veya değerlendirilmesi;
  • Mevzuat ve idari düzenlemeler uyarınca öngörülen diğer durumlar.[1]

ÇKVK Madde 3 uyarınca, kanunun uygulama alanı Çin sınırlarını aşmaktadır. Çin sınırları içinde bulunan gerçek kişilerin kişisel verilerini işleyen gerçek kişi ya da tüzel kişiler, Çin’deki mevcudiyetlerine bakılmaksızın, ÇKVK’ya tabi kılınır. Bu bağlamda, işleme faaliyetlerinin Çin sınırları içindeki gerçek kişileri ilgilendirdiği durumlarda, Türk şirketlerinin de ÇKVK’ye uygun olarak faaliyet göstermeleri gerekebilecektir.

ÇKVK Uyarınca Kişisel Veri, Özel Nitelikli Kişisel Veri ve Veri İşleme Faaliyeti

ÇKVK Madde 4 uyarınca kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişilerle ilgili, elektronik veya diğer yollarla elde edilen, anonimleştirme işlemine tabi veriler hariç, her türlü veri” olarak tanımlanır. ÇKVK Madde 28 uyarınca özel nitelikli kişisel veri ise, “sızdırıldığında veya yasadışı olarak kullanıldığında, gerçek kişilerin onuruna kolayca zarar verebilecek veya kişi ya da malvarlığı güvenliğine ciddi zarar verebilecek kişisel veriler” olarak tanımlanır. Ayrıca, Madde 4 ile kişisel verilerin işlenmesi “kişisel bilgilerin toplanması, saklanması, kullanılması, işlenmesi, iletilmesi, sağlanması, ifşa edilmesi, silinmesi, vb.” olarak tanımlanır.[2]

Kişisel Verilerin İşlenmesinde Geçerli Kurallar

ÇKVK, rıza ve aydınlatma yükümlülüğü bakımından ayrıntılı hükümler getirir. Veri işleme faaliyetleri bakımından aranan şartlar, Madde 13 ile düzenlenir. Buna göre, veri işleyenler aşağıda sayılan şartlardan bir tanesinin mevcut olduğu durumlarda veri işleyebilecektir:

  • Veri sahibinin rızası;
  • Kişisel veri işleme faaliyetinin sözleşmenin akdedilmesi veya sözleşmenin uygulanabilmesi bakımından veya insan kaynakları yönetiminin yasal çerçeve içinde düzenlenen işgücü kural ve mekanizmalarına ve yasal olarak imzalanmış toplu iş sözleşmelerine uygun olarak sürdürülmesi için gerekli olması;
  • Kanuni görev ve sorumlulukları ya da kanuni yükümlülükleri yerine getirebilmek için gerekli olması;
  • Kamu sağlığı ile ilgili acil bir duruma ilişkin olması ya da acil durumlarda kişilerin can, sağlık ya da mal güvenliğini korumak için bir müdahalenin gerekmesi;
  • Makul bir çerçevede habercilik ve kamuoyu denetimi ve kamu yararına diğer benzeri faaliyetleri gerçekleştirmek için gerekmesi;
  • Kişisel verinin veri sahibi tarafından veya kanuna uygun olan başka bir şekilde kamuya açıklanmış olması;
  • Mevzuat ve idari düzenlemeler uyarınca öngörülen diğer durumlar.[3]

ÇKVK Madde 14 uyarınca veri işleme faaliyeti rızaya dayanıyorsa; söz konusu rıza, uygun olarak aydınlatılan kişinin açıkça iradesini ortaya koyabilmelidir ve verilecek rıza bakımından gönüllülük esastır. ÇKVK Madde 15 ise, veri sahiplerinin rızalarını geri alabileceklerini belirtir. Bu doğrultuda veri işleyenler ise, veri sahiplerine, rızalarını geri alabilmeleri için elverişli yöntemler sunmalıdır. GDPR ve KVKK’ye benzer şekilde, ÇKVK Madde 17 ile kişisel verilerin işlenmesinden önce aydınlatma yükümlülüğünün yerine getirilmesi gerektiği düzenlenir; aydınlatma açık ve anlaşılır olmalıdır ve yükümlülüğe ilişkin diğer esaslar yine aynı madde ile öngörülür. Veri sahiplerinin rıza vermemesi durumunda, kişisel veri işleyenler ürün veya hizmet sağlamayı reddedemez. Ayrıca işlenen kişisel veriler ifşa edilemez; kişisel verilerin ifşa edilmesi ayrıca rıza alınmasına bağlıdır. Özel nitelikli kişisel verilerin işlendiği durumda ise, ÇKVK Madde 29 uyarınca veri sahibinin ayrıca rızası alınmalıdır.

ÇKVK, yukarıda da ifade edildiği üzere, aydınlatma yükümlülüğüne ilişkin detaylı hükümler ihtiva eder. ÇKVK Madde 23 uyarınca veri aktarımı gerçekleştiren veri işleyenler, veri sahiplerini uygun şekilde aydınlatmak durumundadır. Ayrıca yurt dışına veri aktarımı gerçekleştirecek taraflar, ÇKVK Madde 39’a uygun olarak veri sahiplerini aydınlatmalı ve ayrıca rıza almalıdır.

Son olarak ÇKVK Madde 24 “otomatik karar alma” faaliyetleri yürütmek üzere veri işleyen taraflar bakımından kurallar öngörür. “Otomatik karar alma”, bilgisayar programları aracılığıyla kişilerin davranış, alışkanlık, ilgi alanlarının, finans, sağlık veya başkaca konulardaki durumlarının otomatik olarak analiz edilmesi veya değerlendirilmesi ve karar alınması olarak tanımlanır. ÇKVK bu sürecin şeffaf, eşit ve adil yürütülmesi gerektiğini ifade eder; kişilere ticari koşullar bakımından makul olmayan derecede farklı muamelede bulunmayı ise yasaklar.

Kişisel Veri İşleyenlerin Yükümlülükleri

Kişisel veri işleyenler, ÇKVK Madde 51 ile getirilen çeşitli önlemleri; kişisel verileri işleme amacı, işleme yöntemleri, kişisel veri kategorileri ve veri sahiplerinin hakları ve çıkarları üzerindeki etkisine uygun olarak uygulamakla yükümlüdür. ÇKVK Madde 57 uyarınca ise, kişisel verilerin sızdırılması, bozulması veya kaybolması durumunda da bildirim yükümlülüğü söz konusudur.  

ÇKVK Madde 52 uyarınca, belirli bir eşiği aşan miktarda kişisel veri işleyenler, kişisel verileri koruma görevlisi atamakla yükümlü kılınır. Yabancı şirketlerin işledikleri verilerden sorumlu tutulabilmeleri için Madde 53 kapsamında Çin’de bir birim kurmakla veya bir temsilci atamakla yükümlüdür.

ÇKVK Madde 58 ise birçok kullanıcıya hizmet veren ve karmaşık iş modellerine sahip önemli internet platformları için yükümlülükler öngörür. Açıklık, eşitlik ve adalet ilkelerine uygun olarak faaliyet göstermek bunlardan biridir.

Yurt Dışı Veri Aktarımı

Yurt dışı veri aktarımı gerçekleştirecek kişisel veri işleyenler, ÇKVK Madde 38 ile öngörülen gereklilikleri karşılamalıdır. Bu gereklilikler ise, güvenlik incelemesinden geçmek; kişisel veri koruma sertifikası almak, veriyi kabul edecek yabancı tarafla sözleşme akdetmek ve kanunlar, idari düzenlemeler veya devlet siber güvenlik ve bilişim birimi tarafından öngörülecek diğer şartları karşılamak olarak sıralanabilir.

Devlet siber güvenlik ve bilişim birimince tespit edilecek eşikleri aşan miktarlarda kişisel veri işleyen kritik bilgi altyapısı işleticileri ve kişisel veri işleyenler, Çin sınırları dahilinde toplanan ve üretilen kişisel verileri Madde 40 uyarınca ancak yurt içinde saklayabilecektir. ÇKVK, bu hüküm ile veri lokalizasyonuna ilişkin kritik bir düzenleme getirir; önemli miktarda kişisel veri işleyenlere, işledikleri bu verileri Çin sınırları içinde saklama yükümlülüğü getirir. Bunun yanı sıra ÇKVK Madde 40, yurt dışına veri aktarmak durumunda olan veri işleyenler bakımından bir alternatif sunar; devlet siber güvenlik ve bilişim birimince yürütülecek güvenlik incelemesinden geçerek yurt dışına veri aktarımı gerçekleştirebileceklerini ifade eder.

Sonuç

Özellikle yurt dışı veri aktarımı bakımından ÇKVK’nin sıkça gündeme gelmesi beklenmektedir. Birçok uluslararası şirket, yurt dışı veri aktarımı bakımından getirilen şartları karşılamakla yükümlü olacak; rıza ve aydınlatma yükümlülüklerini yakından denetlenmeleri gerekecektir. Bu nedenle ÇKVK, sınır ötesi etkisi nedeniyle özel bir öneme sahiptir. Yabancı şirketler de kişisel verileri işleme faaliyetlerini gözden geçirmeli ve ÇKVK ile getirilen düzenlemeleri dikkate almalıdır. Çin’deki mevcudiyetlerine bakılmaksızın, yürüttükleri faaliyetler doğrultusunda ÇKVK kapsamında olup olmadığını tespit etmeleri şirketlere önemle tavsiye edilir. ÇKVK’ye tabi kişisel veri işleyenler bakımından ayrıca yükümlülükler söz konusu olabileceğinden, işlenen kişisel veri kategorilerinin ve karşılanan eşiklerin denetlenmesi önemlidir. Belirli eşiklerin aşılması durumunda, kişisel veri işleyenler için yurt dışı veri aktarımı mümkün olmayabilecek; bu kişiler toplanan ve üretilen kişisel verileri Çin sınırları içinde saklamakla yükümlü olabilecektir.

Kaynakça
  • Yazar tarafından tercüme edilmiştir. ÇKVK’nin İngilizce’ye tercümesi için lütfen bakınız. Creemers, Rogier/ Webster, Graham; “Translation: Personal Information Protection Law of the People’s Republic of China – Effective Nov. 1, 2021”, the Digichina Project, Stanford University, https://digichina.stanford.edu/work/translation-personal-information-protection-law-of-the-peoples-republic-of-china-effective-nov-1-2021/ (Erişim Tarihi: 23.02.2022).
  • Creemers/Rogier. Yazar tarafından tercüme edilmiştir. ÇKVK’nın İngilizce’ye tercümesi için lütfen bakınız.
  • Creemers/Rogier. Yazar tarafından tercüme edilmiştir. ÇKVK’nın İngilizce’ye tercümesi için lütfen bakınız.

Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.

Diğer İçerikler

GDPR ve Toplu Davalar
Hukuk Postası
GDPR ve Toplu Davalar

Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...

Kişisel Verilerin Korunması 31.08.2022
Veri Yasası Etki Değerlendirmesine İlişkin Bilgilendirme Metni Yayımlandı
Hukuk Postası
Veri Yasası Etki Değerlendirmesine İlişkin Bilgilendirme Metni Yayımlandı

Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...

Kişisel Verilerin Korunması 31.07.2022
Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik
Hukuk Postası
Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik

Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...

Kişisel Verilerin Korunması Şubat 2022
Çerezler: Tüm Veri Koruma Otoritelerinin Gözü Onun Üzerinde!
Hukuk Postası
Çerezler: Tüm Veri Koruma Otoritelerinin Gözü Onun Üzerinde!

Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...

Kişisel Verilerin Korunması Ocak 2022
İrlanda Veri Koruma Otoritesi Tarafından WhatsApp Hakkında Verilen Rekor Ceza
Hukuk Postası
Unutulma Hakkı
Hukuk Postası
Unutulma Hakkı
Kişisel Verilerin Korunması Kasım 2021
İlaç Sektöründen Gelen KVK Kılavuzu
Hukuk Postası
İlaç Sektöründen Gelen KVK Kılavuzu
Kişisel Verilerin Korunması Eylül 2019
AB Genel Veri Koruma Tüzüğü Uygulamaya Girdi
Hukuk Postası
AB Genel Veri Koruma Tüzüğü Uygulamaya Girdi
Kişisel Verilerin Korunması Mayıs 2018
Kişisel Verilerin İmhası
Hukuk Postası
Kişisel Verilerin İmhası
Kişisel Verilerin Korunması Kasım 2017
AB Genel Veri Koruma Tüzüğü ve Yer Bakımından Uygulanması
Hukuk Postası
AB Genel Veri Koruma Tüzüğü ve Yer Bakımından Uygulanması
Kişisel Verilerin Korunması Nisan 2017

Yaratıcı hukuk çözümleri için iletişime geçin.