20 Ağustos 2021'de 13. Ulusal Halk Kongresi Daimi Komitesinin 30. toplantısında kabul edilen yasa, 1 Kasım itibariyle yürürlüğe girmiştir. Yasa kabul edilmeden önce Çin'de kişisel verilerin korunmasını düzenleyen kapsamlı bir mevzuat bulunmamaktaydı. Çin’deki Veri Güvenliği Kanunu, kişisel bilgilere özel bir atıfta bulunmadan veri güvenliğine ilişkin genel ilkelere odaklanmaktadır. E-Ticaret Yasası ise, yalnızca e-ticaretle ilgili kişisel bilgilere dar bir şekilde odaklanmaktadır. PIPL ise, kişisel verilerin ve hassas kişisel verilerin ayrıntılı bir tanımını sunmaktadır.

Kişisel bilgilerin hukuka aykırı olarak kötüye kullanılması, özellikle kişisel bilgilerin korunamaması nedeniyle suç teşkil eden faaliyetler ve teknoloji devlerinin hızla büyümesiyle kişisel bilgilerin taşması Yasanın düzenlenmesini zorunlu kılmıştır. 2016 yılında, üniversiteye bağlı Çinli bir öğrenci, kişisel bilgilerinin sızdırılmasıyla kolaylaştırılan bir telefon dolandırıcılığı nedeniyle ailesinin birikimleri boşaltıldıktan sonra kalp durmasından ölmüştür. Dava Çin'de geniş çapta dikkat çekmiş ve halkın talebi üzerine yasanın geçmesini kolaylaşmıştır.

Yasanın amacı:

1. Kişisel bilgilerin işlenmesi faaliyetlerini düzenlemek ve kişisel verilerin korunmasına ilişkin mevzuat boşluğunu doldurmak

2. Kişisel verilerin korunmasına ilişkin şirketlerin kendilerini denetlemesini sağlamak

3. Kişisel veriler ile ilgili işlenen suçların önüne geçebilmek

4. Kişisel bilgilerle ilgili hak ve menfaatleri korumak,

5. Kişisel bilgilerin rasyonel kullanımını kolaylaştırmak

Yasada Dikkat Çeken Noktalar:

Otorite

1. Çin Siber Uzay İdaresi (CAC) kişisel verilerin korumasını denetleyen ana otorite olarak kurulmuştur. Ek olarak, Kamu Güvenliği Bakanlığı da dahil olmak üzere, diğer devlet kurumları da şirketlerin yasal gerekliliklere uyulması sürecinde yardımcı olacaktır.

Temsilci

1. PIPL kapsamında, Çin'de yerleşik yabancı şirketler (Çin'de bulunmasa bile) yasalara tabidir ve özel bir tüzel kişilik oluşturmaları veya bir temsilci atamaları gerekmektedir.

Yurtdışı Aktarımı

1. Yasa, Çinli tüketicilere ürün ve hizmetler sağlayan kuruluşların yanı sıra Çinli tüketicilerin davranışlarını analiz etmek amacıyla yurtdışında kişisel verileri işleyen yabancı kuruluşlar için de geçerlidir.

2. Kişisel verileri ülke dışına aktaran çok uluslu şirketler (MNC'ler) profesyonel kurumlardan veri koruma sertifikası almak zorundadır. Bu MNC’ler ayrıca, verilerin işlenmesine dahil olan diğer yabancı tarafların PIPL tarafından öngörülen veri güvenliği standartlarına uymasını sağlamak için gerekli önlemleri almak zorundadır.

3. Hong Kong'un Kişisel Verilerden Sorumlu Gizlilik Komiserliği Ofisi'ne (PCPD) göre, yeni yasa, kişisel verileri Çin dışına taşıması gereken şirketlerin öncelikle "kişisel bilgilerin korunması etki değerlendirmeleri" yapması gerektiğini belirterek, özellikle sınır ötesi veri aktarımları için geçerli olan bir maddelere dikkat çekmektedir.

Dijital Alan

1. PCPD'ye göre, yeni mevzuat, BT sistemlerinin tüketici davranışlarının yanı sıra tüketicilerin alışkanlıkları, çıkarları, finansal ve sağlıkları hakkında otomatik olarak analiz etmek ve kararlar almak için kullanıldığı "otomatik karar verme" sürecini de veri işleme olarak değerlendirmektedir. Şirketler, bu tür karar alma süreçlerinin şeffaf ve adil olmasını sağlamak zorundadır. Tüketicilere ayrıca kişiselleştirilmiş içerik almaktan vazgeçme seçeneği de sunulması gerekmektedir. Güvenlik etki değerlendirmeleri yapılmalı ve bu raporlar en az üç yıl süreyle saklanmalıdır.

Ortak İşleme ve Emanet İşleme

1. PIPL ayrıca ortak işleme ve emanet işleme dahil olmak üzere özel işleme faaliyetleri için özel yükümlülükler öngörmektedir.

2. Ortak İşleme, PIPL, iki veya daha fazla işlemcinin kişisel bilgilerin işlenmesine ilişkin amaç ve yöntemi ortaklaşa belirlediği durumlarda, ilgili hak ve yükümlülükleri üzerinde anlaşmaya varılacağını öngörmektedir. Ortak işleme faaliyetlerinin kişisel bilgi haklarını ve çıkarlarını ihlal etmesi ve zarara yol açması durumunda, yasa ortak işlemcilere müşterek ve müteselsil sorumluluk yüklemektedir.

3. Emanet İşleme, Bir işlemcinin, kişisel bilgileri işlemesi için üçüncü bir tarafa emanet etmesidir:

a. işlemci, üçüncü tarafın veri işleme faaliyetlerini denetlemelidir; ve

b. görevlendirilen üçüncü şahıs, kişisel bilgileri PIPL uyarınca korumak ve yasalara uygun  olmak için gerekli önlemleri almakla yükümlüdür.

4. İşlemcinin onayı olmadan, emanet edilen tarafın kişisel bilgileri işlemek için başkalarına yeniden emanet etmesi yasaktır.

Denetim

1. Şirketler düzenli olarak iç denetimler yapmalı ve bilgilerin hassas olduğu durumlarda risk seviyelerini değerlendirmelidir.

Yaptırım

1. PIPL, kuralları ihlal eden şirketlere düzeltme veya uyarı emri vermektedir. PCPD'ye göre, Çinli yetkililer herhangi bir "yasa dışı gelire" de el koyabilmektedir.

2. PIPL, kişisel verilerin haklarını ve çıkarlarını ihlal eden işlemcilere haksız sorumluluk yüklemektedir. PIPL, tazminat taleplerini kolaylaştırmak için, kişisel bilgi işlemcisine ispat külfeti yüklemektedir. Bu tür bir ihlal çok sayıda kişiyi etkiliyorsa, işleyiciler, CAC tarafından yetkilendirilmiş kuruluşlar ve/veya savcı tarafından açılan hukuk davaları veya cezai suçlamalarla karşı karşıya kalabilmektedir.

3. İhlali düzeltmek için verilen emirlere uymayanlar 1 milyon yuan'a (150.000 $) kadar para cezasına çarptırılırken, uyumu sağlamaktan sorumlu kişi 10.000 yuan (1.500 $) ile 100.000 yuan (15.000 $) arasında para cezasına çarptırılmaktadır.

4. "Ciddi" durumlar için Çinli yetkililer ayrıca 50 milyon yuan'a (7.5 milyon $) kadar veya şirketin bir önceki mali yıldaki yıllık cirosunun %5'i kadar para cezası verebilmektedir. Ayrıca, ticari faaliyetlerin askıya alınması veya işletme izinleri ve lisansları iptal edilmesi de söz konusudur.

Dikkat Çeken Maddeler:

Madde 3: Çin Halk Cumhuriyeti sınırları içindeki gerçek kişileri için yasa geçerlidir veya Çin Halk Cumhuriyeti dışında bulunan gerçek kişilerin aşağıdaki koşullardan herhangi birinin varlığı halinde yasaya uygun veri işlenmektedir:

(1) Yerli gerçek kişilere ürün veya hizmet sağlanması amacıyla;

(2) Bölgedeki gerçek kişilerin davranışlarını analiz etmek ve değerlendirmek;

(3) Kanun ve idari düzenlemelerde öngörülen diğer haller.

Madde 9: Kişisel bilgi işleyenler, kişisel bilgi işleme faaliyetlerinden sorumludur ve işlenen kişisel bilgilerin güvenliğini sağlamak için gerekli önlemleri alır.

Madde 15: Kişisel bilgilerin işlenmesinin bireyin rızasına dayandığı durumlarda, bireyin rızasını geri çekme hakkı vardır. Kişisel bilgi işlemcisi, onayı geri çekmek için uygun bir yol sağlayacaktır.

Madde 16: Kişisel bilgi işlemcileri, ürünlerin veya hizmetlerin sağlanması için kişisel bilgilerin işlenmesi gerekli olmadıkça, bireylerin kişisel bilgilerinin işlenmesini kabul etmedikleri veya onaylarını geri almadıkları gerekçesiyle ürün veya hizmet sağlamayı reddetmeyecektir.

Madde 20: İki veya daha fazla kişisel bilgi işlemcisi, kişisel bilgilerin işlenmesinin amacını ve yöntemini birlikte belirlediklerinde, ilgili hak ve yükümlülükleri üzerinde anlaşmaya varacaklardır. Ancak, bu sözleşme, bireyin kişisel bilgi işlemcilerinden herhangi birine bu yasada öngörülen hakları kullanma talebini etkilemez.

Madde 21: Bir kişisel bilgi işlemcisi, kişisel bilgilerin işlenmesini emanet ettiğinde, amaç, zaman sınırı, işleme yöntemi, kişisel bilgi türleri, koruma önlemleri ve her iki tarafın hak ve yükümlülükleri vb. konular üzerinde anlaşmaya varır ve aktardığı tarafın kişisel bilgi işleme faaliyetlerini denetler.

Aktardığı taraf, kişisel bilgileri sözleşmeye uygun olarak işlemeli ve kişisel bilgileri mutabık kalınan işleme amacı, işleme yöntemi vb. bilgileri kişisel bilgi işlemcisine göndermek veya silmek zorundadır.

Kişisel bilgi işlemcisinin rızası olmadan, aktardığı taraf, kişisel bilgileri işlemek için başkalarına yetki veremez.

Kişisel bilgi işleyenler, kişisel bilgileri müşterek olarak işledikleri ve kişisel bilgilerin hak ve menfaatlerini ihlal ettikleri ve zarara neden oldukları durumlarda, kanuna göre müteselsil sorumluluk taşırlar.

Madde 24: Otomatik karar verme için kişisel bilgileri kullanan kişisel bilgi işlemcileri, karar vermenin şeffaflığını ve sonuçlarını, adil ve tarafsızlığı sağlayacaktır ve işlem fiyatları ve diğer işlemler açısından bireylere makul olmayan farklı muamele uygulamayacaktır.

Otomatik karar verme yöntemleri aracılığıyla bireylere bilgi aktarımı veya ticari pazarlama da, kişisel özelliklerine özgü olmayan seçenekler sunmalı veya bireylere reddetmek için uygun yollar sağlamalıdır.

Otomatik karar verme yöntemleri aracılığıyla kişisel haklar ve çıkarlar üzerinde büyük etkisi olan kararlar almak için bireyler, kişisel bilgi işlemcilerinden açıklama talep etme hakkına sahiptir ve kişisel bilgi işlemcilerinin yalnızca otomatik karar verme yoluyla karar vermesini reddetme hakkına sahiptir.

Bireyin rızasının geri alınması, geri çekilmeden önce bireyin rızasına dayalı olarak gerçekleştirilen kişisel bilgi işleme faaliyetlerinin etkinliğini etkilemez.

Madde 31: Bir kişisel bilgi işlemcisi, on dört yaşından küçük bir reşit olmayanın kişisel bilgilerini kullandığında, reşit olmayanın ebeveyni veya diğer vasisinin onayını alacaktır.

On dört yaşından küçüklerin kişisel bilgilerini işleyen kişisel bilgi işlemcileri, özel kişisel bilgi işleme kuralları oluşturacaktır.

Madde 38: Bir kişisel bilgi işlemcisinin, iş ihtiyaçları nedeniyle Çin Halk Cumhuriyeti dışında kişisel verileri işlemesi gerekiyorsa, aşağıdaki koşullardan birini karşılaması gerekir:

(1) Ulusal siber güvenlik ve bilişim dairesi tarafından bu Kanunun 40 ıncı maddesi hükümlerine göre düzenlenen güvenlik değerlendirmesinden geçmek;

(2) Ulusal siber uzay idaresinin düzenlemelerine uygun olarak bir profesyonel kuruluş tarafından kişisel bilgi koruma sertifikasyonu almak;

(3) Ulusal siber uzay idaresi departmanı tarafından formüle edilen ve her iki tarafın hak ve yükümlülüklerini belirleyen standart sözleşmeye uygun olarak denizaşırı alıcıyla bir sözleşme yapmak;

(4) Kanunlar, idari düzenlemeler veya ulusal siber uzay yönetim departmanı tarafından öngörülen diğer koşullara uymak.

Çin Halk Cumhuriyeti'nin akdettiği veya katıldığı uluslararası anlaşma ve anlaşmalarda, kişisel verilerin Çin Halk Cumhuriyeti dışında verilmesine ilişkin koşullara ilişkin hükümler bulunması halinde, bu hükümlere göre uygulanabilir.

Kişisel bilgi işlemcileri, kişisel bilgilerin denizaşırı alıcılar tarafından işlenmesinin bu yasada öngörülen kişisel bilgi koruma standartlarını karşılaması için gerekli önlemleri alacaktır.

Madde 49: Bir gerçek kişinin ölümü halinde, ölen tarafından yaşamı boyunca aksi düzenlenmedikçe. yakın akrabaları, kendi yasal ve meşru menfaatleri için, merhumun ilgili kişisel bilgilerine sağlanan erişim, kopyalama, düzeltme, silme vb. haklarını kullanabilir.

Madde 52: Kişisel bilgileri ulusal siber güvenlik ve bilişim dairesince belirlenen sayıya kadar işleyen kişisel bilgi işlemcileri, kişisel bilgi işleme faaliyetlerini ve alınan koruyucu önlemleri denetlemekle sorumlu bir kişiyi görevlendirir.

Kişisel bilgi işleyici, kişisel bilgilerin korunmasından sorumlu kişinin adını ve iletişim bilgilerini kişisel bilgileri koruma görevlerini yerine getiren departmana sunacaktır.

Madde 55: Aşağıdaki durumlardan herhangi birinde, kişisel bilgi işlemcisi önceden bir kişisel bilgi koruma etki değerlendirmesi yapacak ve işleme durumunu kaydedecektir:

(1) Hassas kişisel bilgilerin işlenmesi;

(2) Otomatik karar verme için kişisel bilgilerin kullanılması;

(3) Kişisel bilgilerin işlenmesini 3. Tarafa emanet edilmesi, kişisel bilgileri diğer kişisel bilgi işlemcilerine sağlanması ve kişisel bilgilerin ifşa edilmesi;

(4) Yurt dışında kişisel bilgi verilmesi;

(5) Kişisel hak ve menfaatler üzerinde önemli etkisi olan diğer kişisel bilgi işleme faaliyetleri.

Madde 56: Kişisel bilgilerin korunması etki değerlendirmesi aşağıdaki içerikleri içerecektir:

(1) Kişisel bilgilerin işlenme amacının ve işleme yönteminin yasal, uygun ve gerekli olup olmadığı;

(2) Kişilik haklarına etkisi ve güvenlik riskleri;

(3) Alınan koruyucu önlemlerin yasal, etkili ve risk derecesi ile uyumlu olup olmadığı.

Kişisel bilgilerin korunması etki değerlendirme raporu ve işleme kaydı en az üç yıl süreyle saklanacaktır.

Madde 57: Kişisel bilgi sızıntısı, ihlali veya kaybı meydana geldiğinde, kişisel bilgi işlemcisi derhal düzeltici önlemleri alacak ve kişisel bilgileri koruma görevlerini yerine getiren departmanlara ve bireylere bildirimde bulunacaktır. Bildirim aşağıdaki öğeleri içermelidir:

(1) Kişisel bilgilerin sızdırılması, tahrif edilmesi veya meydana gelen veya meydana gelebilecek kayıpların türleri, nedenleri ve olası zararları;

(2) Kişisel bilgi işlemcileri tarafından alınan iyileştirici önlemler ve bireylerin zararı azaltmak için alabilecekleri önlemler;

(3) Kişisel bilgi işlemcisinin iletişim bilgileri.

Kişisel bilgi işleyici, bilgi sızıntısı, ihlal veya kayıptan kaynaklanan zararı etkin bir şekilde önlemek için önlemler alırsa, kişisel bilgi işleyici bireye bildirimde bulunmayabilir; kişisel bilgi koruma görevlerini yerine getiren departman zarar gelebileceğine inanırsa kişisel bilgi işlemcisinden bireye bildirimde bulunmasını isteyebilir.

Madde 60: Devlet Siber Uzay İdaresi, kişisel bilgilerin korunması ile ilgili denetim ve yönetimin genel planlamasından ve koordinasyonundan sorumludur. Danıştay'ın ilgili birimleri, bu Kanun ve ilgili idari düzenlemelere uygun olarak kendi görevleri kapsamında kişisel bilgilerin korunması ve denetlenmesi ve yönetilmesinden sorumludur.

Madde 66: Kişisel bilgilerin bu Kanun hükümlerine aykırı olarak işlenmesi veya kişisel bilgilerin işlenmesinin bu Kanun kapsamındaki kişisel bilgilerin korunması yükümlülüklerini yerine getirememesi durumunda, kişisel bilgilerin korunması görevini yürüten daire, düzeltme emri verir, uyarıda bulunur, müsadere eder. Yasa dışı kazançlar ve ihlaller olması halinde, hizmetlerin askıya alması veya son vermesi emredilir; düzeltme yapmayı reddederse, bir milyon yuan'dan az para cezası verilir; doğrudan sorumlu kişi ücreti ödeyecektir.

Madde 69: Kişisel bilgilerin işlenmesi, kişisel bilgilerin hak ve menfaatlerini ihlal ediyor ve zarara neden oluyorsa ve kişisel bilgi işleyen, kusurlu olmadığını kanıtlayamazsa, zarardan ve diğer haksız fiillerden sorumlu olacaktır.

Madde 73: Bu yasadaki terimlerin anlamı aşağıdadır:

(1) Kişisel bilgi işleyen, kişisel bilgi işleme faaliyetlerinde işleme amacına ve işleme yöntemine bağımsız olarak karar veren bir kuruluş veya kişiyi ifade eder.

(2) Otomatik karar verme, kişisel davranış alışkanlıklarını, hobilerini veya ekonomik, sağlık ve kredi durumunu bilgisayar programları aracılığıyla otomatik olarak analiz etme ve değerlendirme ve karar verme faaliyetlerini ifade eder.

Kaynak:

http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml

https://www.pcpd.org.hk/english/data_privacy_law/mainland_law/mainland_law.html