Çin’de Kişisel Verilerin Korunması Kanunu 1 Kasım 2021’de Yürürlüğe Giriyor

Kişisel Verilerin Ülke Dışına Aktarılması

Kanun, kritik bilgi altyapısı operatörlerinin veya devlet tarafından belirlenecek olan bir sınırın (bu sınırın ne olduğu henüz belirtilmemiştir) üzerinde kişisel veri toplayan organizasyonların Çin’de topladıkları kişisel verilerin Çin’de muhafaza edilmesini zorunlu kılıyor. Veri sorumlularının, kişisel verileri yurt dışına aktarabilmesi için aşağıda sayılan dört şarttan en az birine dayanması gerekiyor:

Anılan organizasyonlar için öngörülen güvenlik değerlendirmesinden geçilmesi,
Yetkili kurumlardan kişisel verilerin korunması sertifikası alınmış olması,
Yurt dışında bulunan aktarım yapılacak taraf ile devlet tarafından hazırlanmış bir standart sözleşmenin imzalanması,
Diğer kanunlar ve düzenlemelerden görülen veya devlet tarafından belirlenen diğer durumlar.

Bununla beraber her ne kadar veri sorumlusu yukarıdaki sebeplerden birine/birkaçına dayansa da her halükârda veri sahibine yurtdışına aktarım hususunda aydınlatma yapması ve ilgili kişiden açık rıza alması gerekiyor.

Veri Yönetimi ve Veri İhlali Bildirimi

Belli bir miktar üzerinde veri işleyen veri sorumlularına bir veri koruma yetkilisi atanması zorunlu olmakla beraber bu sınırın devlet tarafından belirleneceği düzenleniyor. Yurt dışında faaliyet gösteren veri sorumluları da, Çin’de veri işleme sürecine ilişkin konuları idare etmek üzere bir yerel temsilci atamakla yükümlü kılınıyor.

Veri ihlali tanımı, verinin kaybı veya ifşası durumlarının yanı sıra verinin yasadışı biçimde değiştirilmesi durumunu da kapsayacak şekilde genişletilmiş olup bu durumda resmi kurumlara bildirim yükümlülüğü getiriliyor.

Sonuç

Kanun’un ihlal halinde veri sorumluları için yıllık cironun %5’i veya 50 milyon Yuan’a (yaklaşık 7,7 milyon dolar) kadar, ihlalden doğrudan sorumlu olan gerçek kişiler için ise 100.000 Yuan’dan (yaklaşık 15.000 dolar) 1 milyon Yuan’a (yaklaşık 154.000 dolar) kadar idari para cezası öngörülüyor.

Özet