Çin Siber Uzay İdaresi'nin ("CAC") sınır ötesi transferlere ilişkin son kılavuzunun analizi. | Prighter
Blog
Bildirim: Gönderiler İngilizceden otomatik olarak çevrilmiştir. Orijinal içerik için lütfen İngilizce sayfamızı ziyaret edin. Bazı çeviriler mükemmel olmayabilir; anlayışınız için teşekkür ederiz.
Europe and China Flag displayed on seperate shipping containers

KVKK'nın Uygulanmasına İlişkin Seri: (1) Sınır Ötesi Veri Aktarımları ve Taslak Standart Sözleşme

Charlotte Mason, Michael Schweiger

Çin Kişisel Bilgilerin Korunması Kanunu veya PIPL’nin gereklilikleri, Çin Siber Uzay İdaresi’nin (“CAC”) kısa süre önce Çin’in taslak SCC’lerine ek olarak uzun zamandır beklenen kılavuzu yayınlamasıyla adım adım netleşiyor. Çin Halk Cumhuriyeti (ÇHC) tarafından yürürlüğe konulmasından sadece 3 ay sonra, 1 Kasım 2021’de yürürlüğe girecek olan PIPL ile ilgili belirgin rehberlik eksikliği, birçok kuruluşun yeni rejim kapsamında uyumluluğun nasıl sağlanacağı konusunda sorular sormasına neden oldu. Bu makale, sınır ötesi veri transferleri ile başlayarak, PIPL’in belirli temel yönlerini daha ayrıntılı olarak incelemek için bir serinin ilkidir.

I. Sınır Ötesi Transferler

Uluslararası işletmelerin zaten aşina olduğu bir kavram, kişisel verilerin yurtdışına aktarılması için yasal bir aktarım mekanizmasına duyulan ihtiyaçtır. PIPL Madde 38 uyarınca, veri işleyicilerinin Çin’de bulunan bireylerin kişisel bilgilerini ÇHC dışına aktarmak için aşağıdaki koşullardan birini karşılamaları gerekmektedir:

  1. PIPL Madde 40 uyarınca bir güvenlik değerlendirmesinden geçmek;
  2. yetkili makam tarafından belgelendirilmek;
  3. Standart bir Sözleşme imzalamak; veya
  4. kanunlarda veya idari düzenlemelerde veya Devlet siber güvenlik ve bilişim departmanı tarafından sağlanandiğer koşulları karşılamalıdır.

Aşağıda 1-3 yöntemlerinin her birini sırayla inceleyeceğiz.

1. Güvenlik Değerlendirmeleri

KVKK Madde 40 uyarınca güvenlik değerlendirmesine tabi olanlar, Kritik Bilgi Altyapısı Operatörleri (**CIIO’**lar) ve belirli bir eşiğin üzerinde kişisel veri işleyen veri işleyicileridir (aşağıya bakınız). CIIO’lar, kamusal iletişim ve bilgi, enerji, ulaşım, su koruma, finans, kamu hizmetleri, e-devlet, ulusal savunma, bilim ve teknoloji ve ulusal güvenlik, ulusal ekonomi ve insanların geçim kaynakları için tehdit oluşturabilecek hizmetlerdeki önemli ağ tesisleri ve bilgi sistemleridir.

CIIO’lar ve büyük veri işleyicilerinin ÇHC sınırları içinde toplanan ve üretilen kişisel bilgileri yurt içinde saklamaları ve bu tür kişisel bilgileri yurt dışına aktarmadan önce CAC tarafından belirlenen bir güvenlik değerlendirmesinden geçmeleri gerekmektedir. Bu ayın başlarında, CAC nihayet 1 Eylül 2022 tarihinde yürürlüğe girecek olan Sınır Ötesi Veri Aktarımlarının Güvenlik Değerlendirmesine ilişkin Tedbirlerini (“GüvenlikDeğerlendirmesi Tedbirleri”) yayınladı. Güvenlik Değerlendirmesi Tedbirleri, aşağıdakilerle ilgili olarak sınır ötesi veri aktarımı güvenlik değerlendirmeleri için kurallar koyacaktır:

  1. PIPL ve Çin Halk Cumhuriyeti Siber Güvenlik Kanunu’nda (“CSL”) belirtildiği üzere belirli veri işleyicileri tarafından işlenen kişisel bilgiler; ve
  2. Çin Halk Cumhuriyeti Veri Güvenliği Kanunu (“DSL”) kapsamında “önemli veri”.

Güvenlik Değerlendirme Tedbirleri kapsamında, bir veri işleyicisinin kişisel bilgilerin ÇHC dışına aktarılmasından önce aşağıdaki durumlarda zorunlu bir güvenlik değerlendirmesini tamamlaması gerekecektir

  • aktarımın “önemli veri” olması. Bunun DSL ve CSL yükümlülüklerini CIIO’lardan tüm veri işleyicilerine genişleteceği düşünülmektedir;
  • aktarımın bir CIIO tarafından gerçekleştirilmesi veya veri işleyicisinin 1 milyon veya daha fazla kişiye ait kişisel bilgileri işlemesi;
  • veri işleyicinin bir önceki yılın 1 Ocak tarihinden bu yana kümülatif olarak en az 100.000 kişinin kişisel bilgilerini veya en az 10.000 kişinin hassas kişisel bilgilerini sınır ötesine aktarmış olması; veya
  • CAC tarafından belirtilen diğer koşulların mevcut olması.

Bir veri işleyicisinin güvenlik değerlendirmesi yapması gerektiğinde, kişisel verilerin denizaşırı alıcısıyla birlikte yürürlüğe koyduğu yasal belgelerle birlikte il CAC’ye yaptığı başvurunun bir parçası olarak sunduğu ilk öz değerlendirmeyi tamamlamalıdır. İl CAC, CAC’ye göndermeden önce başvuruyu inceleyecektir. Bu süreç 2 ay kadar sürebilir ve CAC tarafından verilen onay 2 yıl boyunca geçerlidir. Şirketler, son tarihe uymak için geçerlilik süresi dolmadan 2 ay önce güvenlik değerlendirmesi için yeniden sertifika başvurusunda bulunmalıdır. Güvenlik değerlendirmesi yapması gerekmeyen kuruluşlar, sertifikasyon veya Çin’in SCCs versiyonunun uygulanması arasında seçim yapabilirler.

2. Sertifikasyon

Belgelendirme, ÇHC’de bir tüzel kişiliği olan çok uluslu şirketlere, ayrıca iştirak şirketlerine ve PIPL Madde 3 paragraf 2’nin ülke dışı kapsamına tabi olan şirketlere açıktır. Eğer bir şirket PIPL’in ülke dışı kapsamına tabi ise, PIPL Madde 53’e göre kurulmuş yasal temsilci belgelendirme için başvurmaktan yasal olarak sorumludur. Belgelendirme kuruluşu olarak hareket eden kuruluş henüz Çin makamları tarafından oluşturulmamıştır. Belgelendirme için başvuran kuruluş, Çin makamları tarafından denetlenmeyi ve Çin mevzuatına tabi olmayı kabul etmelidir. Her kuruluş bir PIPO atamak zorundadır (bir sonraki makalemizde bu yükümlülük hakkında daha fazla bilgi edinebilirsiniz) ve veri sahibi hakları için güvenceler uygulamak zorundadır.

3. Standart Sözleşme

30 Haziran 2022 tarihinde CAC, Kişisel Bilgilerin Sınır Ötesi Aktarımına ilişkin Standart Sözleşme taslağını (“StandartSözleşmeTaslağı”) yayınlamıştır. Taslak şu anda 29 Temmuz 2022 tarihine kadar kamuoyu görüşüne açık olup, bu tarihten sonra daha fazla güncelleme bekleyebilirsiniz. Taslak Standart Sözleşme aşağıdakileri içeren bir SCC şablonu önermektedir:

  • İhracatçı ve veri alıcısı hakkında isimler ve iletişim bilgileri gibi temel bilgilerin yanı sıra ayrıntılar;
  • aktarılacak kişisel bilgilerin amaçları, kapsamı, kategorileri, hassasiyeti, miktarı, yöntemi, saklama süresi ve saklama yeri;
  • Verileri aktaran ve alan tarafların görev ve yükümlülükleri ve güvenlik risklerini önlemek için alınan her türlü teknik ve kurumsal tedbir;
  • Alıcının bulunduğu ülkedeki kişisel bilgi koruma yasalarının ÇHC yasalarına kıyasla etkisi; ve
  • Veri sahiplerinin hakları ve sözleşmenin ihlali, sözleşmenin feshi, sorumluluk ve uyuşmazlıkların çözümüne ilişkin hükümler.

Taslak Standart Sözleşme ayrıca kişisel bilgi işleyicisinin bir Kişisel Bilgilerin Korunması Etki Değerlendirmesi veya PIPIA yürütmesi ihtiyacını da güçlendirmektedir. PIPIA şunları dikkate almalıdır:

  • offshore alıcı tarafından aktarım ve ileri işleme amaç, kapsam ve yöntemlerinin yasal, meşru ve gerekli olup olmadığı;
  • giden kişisel bilgilerin miktarı, kapsamı, türü ve hassasiyeti ile kişisel bilgilerin ihraç edilmesinin kişisel bilgilerin hak ve menfaatlerine getirebileceği riskler
  • yurt dışındaki alıcı tarafından üstlenilen sorumluluklar ve yükümlülükler ile sorumlulukların ve yükümlülüklerin yerine getirilmesine yönelik yönetim ve teknik tedbirlerin ve kabiliyetlerin giden kişisel bilgilerin güvenliğini sağlayıp sağlayamayacağı
  • kişisel bilgilerin ülkeden ayrıldıktan sonra sızdırılması, zarar görmesi, değiştirilmesi veya kötüye kullanılması riski ve bireylerin kişisel bilgi haklarını ve menfaatlerini korumaları için kanalların engellenmemiş olup olmadığı vb;
  • kişisel bilgi koruma politikaları ve düzenlemelerinin denizaşırı alıcının bulunduğu ülke veya bölgedeki standart sözleşmelerin ifası üzerindeki etkisi; ve
  • Ülkeden ayrılan kişisel bilgilerin güvenliğini etkileyebilecek diğer hususlar.

Taslak Standart Sözleşme, bir Standart Sözleşmenin imzalanmasından sonra en geç 10 gün içinde hem sözleşmenin hem de PIPIA’ya ilişkin bir raporun yerel CAC’ye bildirilmesi gerektiğini öngörmektedir. Aşağıdaki durumlardan herhangi birinin meydana gelmesi halinde, ilgili Standart Sözleşmenin güncellenmesi, yeniden imzalanması ve yetkililere yeniden sunulması gerekecektir:

  • kişisel verilerin işlenme amacı, kapsamı, türü, hassasiyeti, miktarı ve yöntemindeki değişiklikler;
  • Veri sahiplerinin haklarını veya menfaatlerini etkileyebilecek yabancı veri koruma kanunlarındaki değişiklikler;
  • veri sahiplerinin haklarını veya menfaatlerini etkileyebilecek diğer durumlar;

Yetkililer, aktarımın artık KVKK uyarınca uluslararası veri aktarımına ilişkin düzenlemelere uygun olmadığından ve Standart Sözleşmenin artık düzenlemenin ima ettiği gerekliliği karşılamadığından şüphelendiğinde, aktarımı gerçekleştiren tarafları bilgilendirebilir ve tüm aktarım faaliyetlerini derhal sonlandırmalarını isteyebilir.

II. Ayrı Rıza

Diğer yargı alanlarından farklı olarak, KVKK Madde 39, kişisel bilgi işleyicisinin, kişisel verilerin herhangi bir sınır ötesi aktarımı için veri sahibinin ayrı rızasını almasını gerektirir. Veri sahibi, aktarım, amacı, alıcılar, alıcının iletişim bilgileri ve işleme faaliyetleri hakkında tam olarak bilgilendirilmelidir. KVKK’nın çeşitli maddelerinde, Madde 40 güvenlik değerlendirmesinden geçen şirketlerin de rıza alması gerekip gerekmediği konusunda hala belirsizlik bulunmaktadır. Ancak, bu durum PIPL’in lafzıyla çelişeceğinden, kişisel verilerin Çin dışına aktarılması sırasında her halükarda rıza alınması gerektiğini düşünüyoruz. CAC tarafından yayınlanacak olan aşağıdaki kılavuz ile bu konuya daha fazla açıklık getirileceğini umuyoruz.

Tüm taslak tedbirlerde olduğu gibi, Standart Sözleşme Taslağına ilişkin kamu istişaresinin sonucunu ve zaman içinde ÇHC’den daha fazla rehberliğin ortaya çıkmasını bekliyoruz. Bu arada, temsilcinin ve PIPO’nun (Çin’in DPO’ya eşdeğeri) rollerini ele alacağımız bu PIPL güncellemeleri serisinin bir sonraki bölümüne dikkat edin.