Çin’de yürürlüğe giren PIPL neler getirecek?
Çin’in Ağustos ayında yayımladığı PIPL 1 Kasım itibariyle yürürlüğe girdi. Kanunun amacı olarak kişisel verilere yönelik hakların korunması, kişisel veri işleme faaliyetlerinin düzenlenmesi ve kişisel verilerin rasyonel bir şekilde kullanımının teşvik edilmesi sayılmıştı.
Genel uygulamada bu tip mevzuatlar yayımlandıktan sonra regülatörlerin piyasaya sağladığı süreler düşünüldüğünde Çin’in oldukça kısa bir süre vermiş olduğunu rahatlıkla söyleyebiliriz.
Sürenin kısalığının getirdiği önemli bir problem tabii ki uyum ile ilgili. Örneğin PIPL veri sorumluları arasındaki kişisel veri paylaşımları ile ilgili olarak ilgili kişilerden ayrıca açık rıza alınmasını öngörüyor. Bu durum Çin için katma değeri oldukça yüksek olan reklam şirketleri için ciddi bir probleme dönüşebilecek durumda. Her sektör için benzer problemlere dönüşebilecek bu gibi sorunların önüne biraz daha süre konarak ve regülatör tarafından yayımlanacak birtakım rehber ve sair dokümantasyon ile belki geçilebilirdi.
Ek olarak, Kanuna göre sınır ötesi kişisel veri transferleri gerçekleştirilmeden önce Çin’in bir nevi kişisel veri koruma ve siber güvenlik otoritesi olan (ve Avrupa’daki muadillerine göre ismi çok daha şekil duran) Cyberspace Administration of China’ya transferin bilgisinin verilmesi gerekiyor.
PIPL aykırılık hallerinde 7.7 milyon dolara kadar ya da veri sorumlusunun önceki yıl gelirinin %5'ine kadar para cezası öngörüyor.
Diğer yandan tanınmış olan oldukça kısa uyum süresi ve henüz tüm altyapının oturtulmamış olması (yukarıda belirttiğim transfer şartı gibi) dolayısıyla Kanunun hemen ceza kesmeye başlaması beklenmiyor. Benzer durumlar KVKK’da ve GDPR’da da yaşanmıştı.
Özellikle veri sorumluları arasında gerçekleştirilen kişisel veri transferleri açısından talep edilen ayrı açık rıza şartı düşünüldüğünde, benzer bir gereksinimin Çin sınırları dışına çıkabileceğini tahmin etmek zor değil. Çin şirketleri ile çalışan uluslararası firmalara veri sorumlusu oldukları senaryolar açısından bu tip “bize uygun açık rıza topla” talepleri gelebilir. Benzer şekilde ilgili kişinin GDPR, KVKK ve benzer diğer mevzuatta sahip olduğu (ve aşağı yukarı paralel olan) hakların uygulanması da söz konusu olabilir. Çin vatandaşlarının kişisel verileri ile çalışan yabancı şirketlerin bu açıdan PIPL’e dikkat kesilmesi gerekiyor.
Çin’deki teknoloji şirketlerinde oldukça yüksek miktarlarda kirli veri çıkacağını tahmin ediyorum. Gerek kampanya vb. amaçlarla sahte hesap oluşturma, pek çok farklı yere üye olma, çoklu üyelikler, sahte isim kullanma gibi pratikler, gerekse Çin’de her alanda korkunç sayılara çıkabilen kullanıcı sayıları düşünüldüğünde veri sorumlularının sistemlerine giren kişisel verilerin neler olduğundan emin olması, yani kapsamlı bir keşif çalışması gerçekleştirmesi önem arz ediyor. Sonrasında bu verilere PIPL nasıl yaklaşıyor bunun hukukçular tarafından analiz edilmesi gerekecek.
PIPL’in Stanford’un yayımladığı bir İngilizce çevirisine buradan ulaşabilirsiniz.
