Şirketimizin bir PIPL Temsilcisine ihtiyacı var mı?

PIPL’in ülke dışı uygulama kapsamı, GDPR’a oldukça benzerdir. PIPL’in 3. maddesine göre, Çin veri koruma yasası şirketiniz için aşağıdaki durumlarda geçerlidir:

• Çin sınırları içindeki kişilere ürün veya hizmet sunuyorsanız,
• Çin sınırları içindeki kişilerin faaliyetlerini analiz ediyor veya değerlendiriyorsanız,
• Ya da yasalar veya idari düzenlemelerde belirtilen diğer durumlar söz konusuysa (şu ana kadar bu konuda ek bir yasa veya düzenleme yayımlanmamıştır).

Çinli otoriteler, bir şirketin Çin’de ne zaman ürün veya hizmet sunduğuna ilişkin henüz bir rehber yayımlamamıştır. Ancak metnin ifadeleri GDPR’daki ifadelerle neredeyse aynıdır. PIPL’in ülke dışı uygulama kapsamının düzenlenmesindeki amacın GDPR ile benzer olduğu varsayıldığında, GDPR’ın bölgesel kapsamına ilişkin EDPB Rehberi (3/2018) bu konuda ilk referans noktası olarak kabul edilebilir.

Çinli otoritelerin gelecekte kendi rehberlerini yayımlayarak bu konuyu daha netleştirmesi beklenmektedir. O zamana kadar, Çin’deki bireylere “mal veya hizmet sunumu” anlamına gelebilecek bazı göstergeler şunlar olabilir:

• Çin’de kullanılan dilleri kullanmak ve ödemeleri Çin Yuanı (RMB) cinsinden kabul etmek,
• Çinli bireylere yönelik reklamlar veya pazarlama araçları kullanmak,
• Çin’den erişilebilecek adres veya telefon numaraları belirtmek,
• Çin’e özgü üst düzey alan adlarını (.cn vb.) kullanmak,
• Malların Çin’e teslimini teklif etmek.

Çinli yetkililer, “bireylerin faaliyetlerini analiz etmek ve değerlendirmek” kriterinin nasıl yorumlanacağına ilişkin henüz herhangi bir açıklama yapmamıştır. Ancak aşağıdaki faaliyetlerin Çin PIPL kapsamını tetiklemesi muhtemeldir:

• Davranışsal reklamcılık,
• Coğrafi konum (geo-localisation) faaliyetleri,
• Çerezler veya diğer izleme teknolojileriyle çevrimiçi takip,
• Bireysel profillere dayalı pazar araştırmaları ve diğer davranışsal analizler,
• CCTV (güvenlik kameraları) kullanımı.

PIPL, veri koruma yasalarının ihlali durumunda oldukça ağır cezalar öngörmektedir. Para cezaları 50 milyon RMB’ye (yaklaşık 6,6 milyon €) veya önceki yılın cirosunun %5’ine kadar ulaşabilir. Cironun yalnızca Çin pazarına mı yoksa küresel faaliyetlere mi dayalı hesaplanacağı ise henüz net değildir.

Ayrıca, “doğrudan sorumlu kişiler” için 1 milyon RMB’ye kadar kişisel para cezası uygulanabilir. Veri koruma otoriteleri, diğer yetkili kurumlara idari veya ticari lisansların iptal edilmesi talimatı verebilir. Çinli otoritelerin bu konuda oldukça katı bir tutum izlemesi beklenmektedir. Örneğin, veri koruma ihlali iddiaları nedeniyle Uber’in rakibi Didi Chuxing’in uygulaması, uygulama mağazalarından kaldırılmıştır.

Birçok bireyin gizlilik haklarının ihlal edilmesi durumunda, savcılar, yasal olarak yetkilendirilmiş tüketici örgütleri veya devlet tarafından siber güvenlik için görevlendirilmiş kuruluşlar, yetkili Çin mahkemelerinde dava açabilir. Bu şekilde devlet, etkilenen bireyler adına şirketlere karşı hukuki işlem başlatabilir. Elbette bireyler de şirketlere karşı kendi zararları için tazminat davası açabilirler.