Şirketimizin bir Kişisel Verileri Koruma Kanunu (KVKK) Temsilcisi'ne ihtiyacı var mı?

PIPL'ın ekstrateritoriyel kapsamı GDPR'ye çok benzer. Madde 3 PIPL'ye göre, Çin veri koruma yasası şirketinize şu durumlarda uygulanır:

• Çin sınırları içindeki insanlara hizmet veya ürünler sunuyorsanız;
• Çin sınırları içindeki insanların faaliyetlerini analiz ediyorsanız ve değerlendiriyorsanız; ve
• Bunun dışında yasal düzenlemelerde veya idari düzenlemelerde belirtilen diğer durumlarda böyle yaparsanız. Şu ana kadar böyle ek yasalar veya düzenlemeler yayımlanmamıştır.

Şimdiye kadar, Çin yetkilileri tarafından Çin'de hizmet veya ürün sunulduğunda ne zaman bir şirketin yayınladığına dair herhangi bir kılavuz bulunmamaktadır. Bununla birlikte, metin GDPR'nin metniyle neredeyse aynıdır. PIPL'nin ek-territoryal kapsamını düzenlemenin amacının GDPR ile benzer olduğunu varsayarsak ve eğer GDPR'nin yaptığı gibi aynı yaklaşımı benimserse, GDPR'nin EDPB tarafından yayınlanan GDPR'nin territorial kapsamına ilişkin kılavuzundan (Kılavuz 3/2018) sunulan rehber ilk kez ne anlama geldiğine dair bir ilk işarettir. Bununla birlikte, Çin yetkililerinin kendi kılavuzlarını yayınlamaları beklenmektedir, umarım daha fazla netlik ve kesinlik getirecektir. Bu zamana kadar, Çin'deki bireylere

• using languages used in China and offering payments in Chinese Yuan;
• using ads to address Chinese individuals or other marketing tools directed towards Chinese customers;
• mentioning addresses or phone numbers to be reached from China;
• using top-level Chinese domains;
• offering delivery of goods to China.

Şu ana kadar, Çin yetkililerinden “bireylerin faaliyetlerini analiz etmek ve değerlendirmek” kriterinin yorumuyla ilgili herhangi bir materyal bulunmamaktadır. Bununla birlikte, aşağıdaki faaliyetler Çin PIPL'nin uygulanabilirliğini tetikleme olasılığı taşımaktadır:

• davranışsal reklam
• coğrafi konumlama faaliyetleri
• çerezler veya diğer takip teknolojileri kullanarak çevrimiçi takip
• bireysel profillere dayalı pazar araştırmaları ve diğer davranışsal çalışmalar
• CCTV

PIPL, veri koruma yasalarının ihlalleri için ciddi cezalar öngörmektedir. Cezalar, RMB 50 milyon (€ 6.6 milyon) veya bir önceki yılın cirosunun %5'ine kadar ulaşabilir. Henüz net değil, cirosunun Çin pazarından mı yoksa küresel iş faaliyetlerinden mi hesaplandığı. 'Doğrudan sorumlu kişilere' RMB 1 milyon'a kadar kişisel cezalar da uygulanabilir. Veri koruma otoriteleri, diğer otoritelere idari ve iş lisanslarını iptal etmeleri için emir verebilir. Çin otoritelerinin burada sert önlemler alacağı beklenmektedir. Örneğin, uygulama mağazaları işleten şirketlere, iddia edilen veri koruma ihlalleri nedeniyle Uber rakibi Didi Chuxing'in uygulamasını mağazalarından kaldırmaları emredildi. Şirketler, birçok bireyin gizlilik haklarını ihlal ettiğinde, savcılar, yasal olarak belirlenmiş tüketici örgütleri ve siber güvenlik için Devlet tarafından belirlenen örgütler, yetkili Çin Mahkemesi'ne dava açabilir. Bu şekilde, Devlet, etkilenen bireyler adına şirketlere karşı harekete geçebilir. Tabii ki, bireylerin de şirketlere karşı kendi tazminat davalarını açmaları mümkündür.