YENİ ZELANDA 2020 GİZLİLİK YASASI

Yeni Zelanda'da veri korumasıyla ilgili temel mevzuat, 1 Aralık 2020’de yürürlüğe giren 2020 Gizlilik Yasası'dır. Yeni Zelanda, 2012 yılında Avrupa Komisyonu'ndan 'yeterlilik kararı' alan ilk yargı bölgelerinden biridir. Yetkili otorite Yeni Zelanda Gizlilik Komiserliği Ofisi' ("OPC") ‘dir. Geniş anlamda, GDPR ve 2020 Gizlilik Yasası, diğer hususların yanı sıra veri toplama ve kullanımı, veri sahibi hakları ve veri aktarımlarını düzenlemek açısından benzer yaklaşımlar sunmaktadır. Bununla birlikte, 2020 Mahremiyet Yasası, GDPR gibi rızayı temel bir ilke olarak belirlemez ve silme, itiraz, veri taşınabilirliği, hassas veriler, çocuk verileri veya Veri Koruma Etki Değerlendirmeleri ('DPIA') gibi konuları ele almaz. Bununla birlikte, 2020 Gizlilik Yasası, kamu kurumları ile bilgi paylaşımını ve bilgi eşleştirme anlaşmalarını GDPR'den çok daha ayrıntılı olarak ele almaktadır.

İLKELER 

2020 Gizlilik Yasası, kişisel bilgilerin nasıl toplanması, kullanılması, açıklanması, saklanması ve erişilmesi gerektiğine ilişkin kuralları belirleyen 13 gizlilik ilkesine(“IPP”) dayanmaktadır. İlkeler aşağıdaki gibi konuları kapsar:

- IPP'ler 1-4: kişisel bilgilerin toplanması; örneğin hangi durumlarda toplanabileceği, nereden toplanabileceği ve nasıl toplanabileceği;

- IPP 5: kişisel bilgiler nasıl saklanır- kişisel bilgileri elinde bulunduran bir kurum, bu bilgilerin, kayıp veya kötüye kullanıma karşı, koşullar altında makul olan önlemlerle korunmasını sağlamalıdır;

- IPP 6: bu tür kişisel bilgilere erişim hakkı da dahil olmak üzere, bireylerin kendileri hakkında tutulan kişisel bilgilere nasıl eriştiği;

- IPP 7: kendileri hakkındaki bilgileri düzeltme hakkı da dahil olmak üzere, bireylerin kendileri hakkındaki bilgileri nasıl düzelttikleri;

- IPP'ler 8 – 11: kurumların bir bireyin kişisel bilgilerini nasıl kullanabileceği veya ifşa edebileceği; örneğin, kurumların herhangi bir kullanım veya ifşa öncesinde bilgilerin doğru, güncel, eksiksiz, ilgili ve yanıltıcı olmamasını sağlamak için gerekli adımları atması gerekmektedir;

- IPP 12: kişisel bilgilerin Yeni Zelanda dışında ifşa edilmesi;

- IPP 13: 'benzersiz tanımlayıcıların' kullanımı, örneğin pasaport numaraları.

KAPSAM 

Gizlilik Yasası, bir Yeni Zelanda kurumu tarafından (bu kurum Yeni Zelanda'da bulunsun veya bulunmasın) toplanan veya tutulan kişisel bilgilerle ilgili olarak yapılan her türlü işlem için geçerli olacaktır.

Veri gizliliği ve güvenliği yasalarının bölgesel kapsamı nedir?

- Yargı yetkisi alanında bulunan kuruluşlar için geçerlidir

- Yetki alanı dışında bulunan ve yetki alanındaki veri sahiplerine mal veya hizmet sunan kuruluşlar için geçerlidir.

VERİ SORUMLUSU / VERİ İŞLEYEN

Veri sorumlusu ile veri işleyen Arasında herhangi bir ayrım bulunmamaktadır. 2020 Yasası 'ajanslar' için geçerlidir. GDPR'nin aksine, 'denetleyici' ve 'işlemci' için açık bir kavram yoktur, ancak benzetme yoluyla uygulanabilecek benzer kavramlar mevcuttur.

OPC, A'nın uygun sözleşme kontrollerine tabi olmasını sağlamaya yardımcı olmak için kurumların benimseyebileceği bir dizi basit sözleşme maddesi üretmiştir. OPC'nin, veri tutan veya paylaşan tüm işletme veya kuruluşların iki faktörlü kimlik doğrulamasına sahip olmasını beklediğini belirten bir açıklama bulunmaktadır.

VERİ KORUMA ETKİ DEĞERLENDİRMESİ (DPIA)

Gizlilik etki değerlendirmeleri ('PIA'lar') 2020 Yasası uyarınca zorunlu olmasa da, kurumların, özellikle kişisel bilgilerin yeni bir kullanımını üstlenirken 2020 Yasası kapsamındaki yükümlülüklerini yerine getirip getirmediklerini anlamaları açısından yararlı bir uygulamadır. Bir PIA'nın uygun olup olmadığının belirlenmesine yardımcı olmak için OPC, kuruluşların bir eşik değerlendirmesi veya 'Kısa Gizlilik Analizi' yapmasını tavsiye eder; OPC bunun için Araç Takımında bir şablon sağlamıştır. Bu ilk analizden kurum, tam bir PIA'nın gerekli olup olmadığını ve nedenini değerlendirebilir.

VERİ KORUMA GÖREVLİSİ (DPO)

OPC konu ile ilgili, bağlayıcı olmayan bir kılavuz yayınlamıştır (bkz. Yeni Zelanda- Veri Koruma Görevlisi Atama ve bkz. Sorumluluklarınız- Gizlilik Görevlileri bölümüne ) Gizlilik görevlilerinin OPC'ye bildirilmesini gerekmemektedir.

KİŞİSEL VERİLER

2020 Yasası'nda açık bir 'hassas veri' kavramı bulunmamakla birlikte, bir kurumun gizlilik ihlalinden kaynaklanabilecek ciddi zarar olasılığını değerlendirirken verilerin 'hassas' olup olmadığını dikkate alması gerekir. 'Hassas' verilerin yorumlanmasına yardımcı olmak için OPC, 2020 Yasasının hassas kişisel bilgilere nasıl uygulanacağına ilişkin bir kılavuz notu yayınlamıştır.

SAĞLIK VERİSİ

Yeni Zelanda'da, özellikle sağlık bilgileri için geçerli olan ve 13 gizlilik ilkesinin birçoğunu değiştiren farklı bir kanun bulunmaktadır. Sağlık Kanunu'nun sağlık sektöründeki kurumlara yönelik özel kuralları vardır ve 'sağlık bilgilerinin' sağlık kurumları tarafından toplanması, kullanılması, saklanması ve açıklanmasıyla ilgilidir.

Bakınız Sağlık Bilgileri Gizlilik Kodu

Bakınız Gizlilik ve Sağlık

ONAY / RIZA

Gizlilik Yasası'nın "yetkilendirme" olarak adlandırdığı onay, Gizlilik Yasası'nda bir dizi rol oynar ancak uluslararası diğer önemli veri koruma yasalarından farklı olarak, kişisel bilgilerin toplanması, kullanılması veya ifşa edilmesi için bağımsız bir yasal dayanak değildir. İstisna, Telekomünikasyon Kanunu uyarınca telekomünikasyon bilgileri aracılığıyla doğrudan pazarlama (E-POSTA- SMS) yapılması konusunda onay gereklidir. Rıza bilgilendirilmiş, gönüllü, spesifik ve net olmalıdır.

İLGİLİ KİŞİ HAKLARI

Veri sahipleri aşağıdaki veri gizliliği haklarına sahiptir, ancak bunların her biri için kapsam ve koşulların özellikleri yerel yasalara bağlı olarak değişir:

- Veri sahibinin kendi kişisel verilerine erişim hakkı

- Yanlış veya eksik olması halinde veri sahibinin kendi kişisel verilerini düzeltme/düzeltme hakkı

- Bireyler ayrıca bir kuruma kişisel bilgilerinde istedikleri düzeltmenin bir beyanını sunma ve kurumun istenen düzeltmeyi yapmaması halinde kurumun düzeltme beyanını bireyin kişisel bilgilerine eklemesini talep etme hakkına sahiptir.

GDPR ile aynı şekilde açık bir silme hakkı sağlamamaktadır. Ancak 'düzeltme'yi 'silme'yi de içerecek şekilde tanımlamaktadır.

Bölüm 66: (1) Bir IPP 6 talebi ile ilgili olarak, [...] (2)(b) bir özel sektör kuruluşu, yürürlükteki herhangi bir uygulama kuralının hükümlerine tabi olarak, (i) Bölüm 42 kapsamında yardım sağlamak; (ii) kişisel bilgilere bir düzeltme beyanı eklemek için bir ücret uygulayabilir. (4) Alt bölüm (1) veya (2) kapsamında uygulanan bir ücret makul olmalıdır [...] (5) Bir kurum, ücretin tamamının veya bir kısmının peşin ödenmesini talep edebilir.

Bölüm 63: (1) IPP 7(1) kapsamında bir talebi aldıktan sonra makul olarak uygulanabilir olan en kısa sürede ve her halükârda talebi aldıktan sonra en geç 20 iş günü içinde, bir kurum (a) talebi kabul edip etmeyeceğine karar vermeli ve (b) talep sahibine (i) kurumun kişisel bilgileri düzelttiğini veya düzelteceğini veya (ii) kurumun kişisel bilgileri düzeltmeyeceğini bildirmelidir.

Bir düzeltme talebi alan bir kurum, Bölüm 65’te belirtilen hallerin varlığı halinde süre sınırını uzatabilir.

VERİ AKTARIMI

Gizlilik Yasası uyarınca, kişisel bilgileri yabancı bir kişi veya kuruluşa ifşa etmek isteyen kurumlar, bunu ancak IPP 12'de listelenen gerekliliklerden bir veya daha fazlasını yerine getirebildikleri takdirde yapmalıdır.

Dikkat: Aşağıdaki seçenekler yurtdışına veri aktarımı için kullanılmaz.

- BCR

- Rıza, sözleşmenin ifası, yasal taleplerin oluşturulması, uygulanması veya savunulması gerekliliği gibi istisnalar.

Detaylı bilgi için bakınız Gizliliğin Korunmasına ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Kılavuz İlkeler

VERİ İHLAL BİLDİRİMİ

Gizlilik Yasası , kuruluşların ciddi zarara neden olacak bir gizlilik ihlalini Gizlilik Komiseri'ne ve etkilenen bireylere bildirmesini gerektirir . Detaylı bilgi için OPC’nin Gizlilik İhlalleri Rehberi’ ne bakınız. OPC tarafından yayınlanan bir kılavuz notu ve OPC'nin web sitesinde bulunan 'Bize Bildirin' aracı , kurumların bildirimin gerekli olup olmadığını değerlendirmesine yardımcı olmayı amaçlamaktadır. OPC, web sitesinde , hafifletici nedenler olmadığı sürece, OPC'ye bildirilebilir bir gizlilik ihlalinin 72 saat içinde bildirilmesi gerektiğini öne süren bir kılavuz yayınlamıştır.

CEZALAR 

Gizlilik Komiseri, Gizlilik Yasası'nın veya bir IPP'nin ihlal edildiğine inanıyorsa, kurumlara uygunluk bildirimleri yayınlama yetkisine de sahiptir. 2020 Gizlilik Yasası, Gizlilik Komiserinin uyum bildirimleri yayınlamasına ve uyumsuzluk için 10.000 NZD'ye (yaklaşık 5.980 $) kadar para cezası uygulamasına izin vermektedir. Gizlilik Komiseri ayrıca, Gizlilik Yasasını ihlal ettiği tespit edilen kurumların kamuya açık bir şekilde isimlendirilebileceği bir politikaya sahiptir- genellikle "isim ve utanç politikası" olarak adlandırılır. Bu yetki, Gizlilik Komiseri'nin kurumun kimliğinin belirlenmesinin kamu yararına olacağına inandığı durumlarda kullanılacaktır. Örneğin, bir kurumun Gizlilik Yasasına uyma konusunda isteksizlik göstermesi ve bu kurumun isminin verilmesinin uyumluluğu teşvik etmesi veya hesap verebilirliği artırması muhtemeldir. Komiser bu politikanın duruma göre uygulanacağını teyit etmiştir.

KILAVUZLAR 

OPC zaman zaman belirli konularda bağlayıcı olmayan kılavuzlar yayınlar. Bazı yararlı bağlantılar aşağıdaki gibidir:

- Ajansın sorumluluklarına ilişkin rehberlik ;

- Gizlilik ihlali yönergeleri ;

- Kapsamlı gizlilik ilkelerinin özeti ;

- Yapay zekanın kullanımına ilişkin kılavuz

- Uygulama Esaslarına İlişkin Detaylar ;

- Gizlilik Etki Değerlendirmesi Araç Seti – Bölüm 1 – Gizlilik Etki Değerlendirmesi yapılıp yapılmayacağı ('Araç Seti Birinci Bölüm') ve Bölüm 2 - Gizlilik Etki Değerlendirmesi nasıl yapılır ('Araç Seti İkinci Bölüm')

- Yeni Zelanda aynı zamanda bazı büyük teknoloji şirketlerine veri kazıma konusunda ortak bir bildiri yayınlayan bir dizi ülkeden oluşan bir grubun parçasıydı.

BELİRLİ DURUMLAR İÇİN GİZLİLİK KURALLARI

Bazı endüstriler ve kişisel bilgi türleri, Yasanın kendilerine uygulanma biçimini değiştiren uygulama kurallarına sahiptir. Uygulamada altı uygulama kuralı vardır:

- Sağlık Bilgileri Gizlilik Kodu

- Kredi Raporlama Gizlilik Kodu

- Telekomünikasyon Bilgileri Gizlilik Kodu

- Sivil Savunma Ulusal Acil Durumlar (Bilgi Paylaşımı) Kodu

- Adalet Sektörü Benzersiz Tanımlama Kodu

- Emeklilik Planları Benzersiz Tanımlayıcı Kodu

- Web Kullanılabilirlik Standardı 1.3

Kaynak 

1. https://www.dataguidance.com/notes/new-zealand-data-protection-overview

2. https://www.dataguidance.com/sites/default/files/gdpr_v_nz_privacy_acts.pdf

3. https://www.privacy.org.nz/responsibilities/your-obligations/

4. https://www.private-ai.com/2023/08/03/new-zealands-privacy-act/#:~:text=Article%209(4)%20provides%20for,anonymized%20or%20de%2Didentified%20data

5. https://gdpr-info.eu/art-5-gdpr/

6. https://resourcehub.bakermckenzie.com/en/resources/data-privacy-security/asia-pacific/new-zealand/topics/international-data-transfer

7. https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

8. https://www.privacy.org.nz/tools/privacy-statement-generator/

9. https://www.privacy.org.nz/blog/priv-o-matic-wins-nz-open-source-award/

10. https://privacy.org.nz/privacy-act-2020/privacy-principles/1/

11. https://privacy.org.nz/privacy-act-2020/privacy-principles/2/

12. https://privacy.org.nz/privacy-act-2020/privacy-principles/3/

13. https://privacy.org.nz/privacy-act-2020/privacy-principles/6/

14. https://privacy.org.nz/privacy-act-2020/privacy-principles/7/

15. https://privacy.org.nz/privacy-act-2020/privacy-principles/8/

16. https://privacy.org.nz/privacy-act-2020/privacy-principles/10/

17. https://privacy.org.nz/limits-on-disclosure-of-personal-information-principle-eleven/#collection

18. https://privacy.org.nz/responsibilities/your-obligations/collecting/

19. https://legalvision.co.nz/data-privacy-it/key-clauses-new-zealand-privacy-policy/#collecting-information