Menu

Sonuçlar yükleniyor

Çin’in İlk Kişisel Verileri Koruma Kanunu Yürürlüğe Girdi, hazır mısınız?

25/01/22

Yazan Kişi : Barbara Li

Tercüme : İpek Okucu Taftalı - Janberk Bilir

Giriş

Çin Halk Cumhuriyeti’nin uzun zamandır beklenen Kişisel Verileri Koruma Kanunu (“ÇKVK”) 1 Kasım 2021 tarihinde yürürlüğe girdi.

ÇKVK, kabulünden yürürlüğe girmesine kadar 73 günlük bir geçiş süresi öngörmektedir. Bu süre, şirketlerin gerekli uyumluluk aksiyonlarını almaları için zorlayıcı bir zaman akışı yaratmıştır. Bu makalede, ÇKVK’daki ana hukuki gerekliliklerin altı çizilmekte ve işletmelere kişisel veri işleme faaliyetlerinde pratik uyumluluk önerileri sunulmaktadır.

1. Kimler ÇKVK’ya tabidir?

ÇKVK, işleyicinin Çin’de faaliyet gösterip göstermediğine ya da veri sahibinin Çin vatandaşı veya Çin’de yerleşik bir yabancı olup olmadığına bakılmaksızın, Çin sınırları içerisindeki gerçek kişilerin kişisel verilerinin işlenmesi ile ilgili tüm veri işleme faaliyetlerine uygulanır.

ÇKVK’nın Çin sınırları dışında da geçerli olması dikkate değerdir. Aşağıda sayılan koşullardan birinin bulunması halinde, Çin sınırları dışında gerçekleşen kişisel veri işleme faaliyeti ÇKVK’ya tabi olmaktadır;

  • Eğer Çin sınırları içinde yerleşik olan kişilere bir ürün veya hizmet sağlanıyorsa;
  • Eğer Çin sınırları içinde yerleşik olan kişilerin davranışları analiz ediliyor veya değerlendiriliyorsa ve/veya
  • Kanunların veya diğer idari düzenlemelerin öngördüğü diğer hallerde.

2. Kişisel Veriler ve Kişisel Veri İşleyenler

ÇKVK, kapsamında Kişisel Veri, kimliği belirli veya belirlenebilir gerçek kişilere ilişkin elektronik olarak veya başka bir yöntemle kaydedilmiş her türlü veriyi ifade eder.

Kişisel Veri İşleyen ise, Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) bünyesinde veri sorumlusu tanımına benzer bir şekilde ifade edilmektedir. Buna göre Kişisel Veri İşleyen, veri işlemenin amaçlarını ve yöntemlerini belirleme konusunda yetki sahibi olan herhangi bir organizasyonu veya kişiyi ifade etmektedir.

Buna ek olarak ÇKVK, Kişisel Veri İşleyenin talimatı altında kişisel verileri işleyen organizasyon veya kişiyi ifade eden Veri İşleme Sorumlusu konseptini getirmiştir. 

3. Kişisel Verilerin İşlenmesi İçin Hukuki Sebepler

ÇKVK, kişisel verileri işlemek için aşağıdaki hukuki sebepleri öngörmektedir:

(1) Veri sahibinin rızasının bulunması;

(2) Kişisel veri işleme faaliyetinin sözleşmenin akdi veya sözleşmenin uygulanması için gerekli olması veya işe alım politikası ya da toplu iş sözleşmeleri kapsamında insan kaynakları yönetimini icra etmek için gerekli olması;

(3) Kişisel veri işleme faaliyetinin kanuni hak ve yükümlülüklerin yerine getirilmesi için gerekli olması;

(4) Kişisel veri işleme faaliyetinin kamu sağlığına ilişkin bir acil duruma ilişkin olması ya da acil durumlarda gerçek kişilerin can, sağlık ya da mal güvenliğini korumak için karşılık vermenin gerekli olması;

(5) Habercilik ya da kamu yararı amaçlarıyla kişisel veri işlemenin gerekli olması;

(6) Kişisel verinin ilgili kişi tarafından veya kanuna uygun olan başka bir şekilde kamuya açıklanmış olması ve;

(7) Kanun ve idari düzenlemelerin öngördüğü diğer hallerde.

Her ne kadar GDPR kapsamında belki de en sık kullanılan hukuki sebeplerden biri olan meşru menfaat ÇKVK’ya dahil edilmemiş olsa da yukarıdaki hukuki sebeplerin büyük çoğunluğunun GDPR’ı yansıttığı anlaşılmaktadır. GDPR’dan farklı olarak ÇKVK’da işe alım politikası ya da toplu iş sözleşmeleri kapsamında veri işlenmesi, veri işlemenin hukuki sebeplerinden biri olarak düzenlenmiştir. 

4. ÇKVK Kapsamında “Rıza” Gerekliliği Nasıl Yerine Getirilir?

ÇKVK kapsamında “meşru menfaat"in hukuki sebep olarak tanınmaması göz önüne alındığında, "aydınlatma + rıza" formülü uygulamada en yaygın kullanılan hukuki sebep olacaktır. Bu nedenle ÇKVK kapsamında rızanın gerekliliğini anlamak uyumluluğu sağlamak için büyük önem taşımaktadır.

ÇKVK, geçerli bir rıza için aşağıda sayılan gereklilikleri öngörmektedir:

(1) Rıza gönüllülük esasına dayalı olarak verilmeli ve tam olarak bilgilendirilen kişinin niyetinin açık bir göstergesi olmalıdır.

(2) Eğer kişisel veri işlemenin metodu ya da amacında bir değişiklik olursa ya da işlenmiş kişisel verilerin türünde bir değişiklik olursa ilgili kişinin rızası yeniden alınır.

(3) İlgili kişilerin rızalarını geri çekme hakkı vardır ve veri işleyen rızanın geri alınması için uygun bir yöntem sunmalıdır. Veri işleyen, kişisel verilerinin işlenmesine rıza göstermeyen veya rızasını geri alan ilgili kişilere ürün ya da servis sağlamayı reddedemez meğerki kişisel verilerin işlenmesi ilgili ürün ya da hizmetin sağlanması için gerekli olsun.

Uluslararası uygulama ile aynı doğrultuda ÇKVK uyarınca geçerli bir rıza, sarih, gönüllü, açık ve geri alınabilir olmalıdır. Bu gelişme veri uyumluluğunu küresel çapta yöneten çok uluslu şirketler için önem arz etmektedir.

5. Hassas Kişisel Veriler Nasıl İşlenir?

ÇKVK kapsamında, hassas kişisel veriler gerçek kişilerin biyometrik tanımlamaya, dini inanca, belirli bir kimliğe, sağlık durumuna, finansal hesaplara, coğrafi konum bilgisine ilişkin verileri ile 14 yaşın altındaki ergin olmayan kişilere ilişkin her türlü bilgiyi içerir.

ÇKVK, hassas kişisel verilerin yalnızca belirlenmiş bir amaç ile ve sıkı veri koruma önlemlerinin yerine getirildiği gerekli hallerde işlenebileceğini düzenlemektedir.

Genel bilgilendirme ve rıza gerekliliklerinin yerine getirilmesine ek olarak, hassas kişisel verilerin işlenmesi için aşağıda sayılan şartlara da uyulması gerekmektedir:

  • Ayrı bir rıza alınması gerekmektedir.
  • Veri işleyen ilgili kişiyi hassas kişisel verilerinin işlenmesinin gerekliliği ve bunun etkileri hakkında bilgilendirmelidir.
  • 14 yaşın altındaki ergin olmayan kişinin hassas kişisel verileri işlenirken veli ya da vasi rızası gereklidir.

6. Kişisel Verilerin Ülke Dışında Transferi için Gereklilikler

ÇKVK kapsamında, kişisel verileri işleyenler ancak aşağıdaki şartlardan en az birini sağladıkları takdirde ilgili kişisel veriyi Çin dışında bulunan bir alıcıya aktarabilir.

(1) Ulusal Siberuzay Otoritesi tarafından organize edilecek güvenlik değerlendirmesinin geçilmesi

(2) Profesyonel bir kurumdan kişisel verilerin korunmasına ilişkin sertifika alınması

(3) Tarafların hak ve ödevlerini belirleyen, Ulusal Siberuzay Otoritesi tarafından hazırlanmış sözleşmeyi esas alan bir sözleşmenin sınır-ötesi alıcı ile akdedilmiş olması

(4) Kanunun, kamu idaresinin veya otoritelerin öngörmüş olduğu diğer şartların sağlanmış olması.

Yukarıdakilerin yanı sıra, kişisel verileri işleyenlerin, ülke dışına veri aktarımı yaparken veri sahibi; yurt dışındaki alıcının iletişim ve isim bilgileri, işlemenin amaç ve yöntemi, işlenecek olan kişisel bilgilerin türü ve kişilerin kendi haklarını kullanırken izlemeleri gereken yollar hakkında bilgilendirme yapmaları gerekir. Kişilerden ayrıca rıza alınması da gerekmektedir.

Veri lokalizasyonu konusunda kritik bilgi altyapısı (“KBA”) operatörleri, yerel iş operasyonlarında topladıkları veya ürettikleri kişisel verileri Çin sınırları içinde depolamak zorundadır. KBA operatörü olmayanlar ise, işledikleri veri miktarı Ulusal Siberuzay Otoritesinin belirlemiş olduğu eşiğe ulaştığı takdirde aynı veri lokalizasyonu gerekliliklerine tabi olacaktır. Sınır-ötesi alıcılara böyle bir bilgi gerektiği takdirde Ulusal Siberuzay Otoritesi tarafından organize edilecek olan bir güvenlik değerlendirmesi uygulanacaktır. Bu değerlendirmeyi uygulamak için, 1 Eylül 2021 tarihinde yürürlüğe girmiş olan ve KBA operatörlerinin nasıl daha iyi nitelendirilebileceğine dair Kritik Bilgi Altyapısının Güvenliği ve Korunmasına İlişkin Yönetmelik çıkarılmıştır. Şirketlere bu kapsamda, veri lokalizasyonu stratejilerini ve uyumluluk düzenlemelerini yönetebilmek için KBA operatörü olup olmadıklarını belirlemek amacıyla bir acil eylem planı uygulamaları tavsiye edilmektedir.

Ayrıca ÇKVK, kişisel veri işleyenlerin yetkili otoritelerin onayı olmadan Çin’de depolanan herhangi bir kişisel verinin yabancı yargı makamlarıyla veya yabancı kolluk kuvvetleriyle paylaşılmaması gerektiğini düzenlemektedir.

7. Veri Sahiplerinin Hakları

ÇKVK, veri sahiplerine çeşitli haklar tanımaktadır. ÇKVK’nın yürürlüğe giren hali, veri taşınabilirliği hakkı ve veri sahiplerinin belirlenmiş veri işleyene kişisel veri aktarımına izin vermesi gibi hakları düzenlemektedir. Bu durum, gelişmekte olan uluslararası uygulama ile aynı doğrultudadır.

8. Veri İşleyenlerin Yükümlülükleri

ÇKVK, veri işleyenler için bazı yükümlülükler öngörmektedir. Bunlardan bazıları aşağıda açıklanmaktadır:

Kişisel veri koruma görevlisi ve temsilcisi

ÇKVK, GDPR’a benzer bir veri koruma görevlisi (“VKG”) konsepti oluşturmuştur. ÇKVK’ya göre, şayet işlenen kişisel veriler öngörülen eşiğe ulaşırsa, ilgili veri işleyenin veri işleme sürecini ve ilgili önlemleri gözetlemesi ve denetlemesi için bir VKG ataması gerekecektir.

Dahası, ÇKVK GDPR’a benzer olarak ülke dışında da uygulanabilir niteliktedir. Eğer Çin dışındaki veri işleme faaliyeti ÇKVK’yı ilgilendiriyorsa, Çin’de işletme sahibi olmayan yabancı şirketler, söz konusu kişisel verileri ile ilgilenmek üzere Çin’de özel yetkili acente kurmak veya temsilci atamakla yükümlü olacaktır.

Kişisel veri etki değerlendirmesi

ÇKVK’ya göre, özel nitelikli kişisel veri işlenmesi, kişisel verilerin otomatik karar verme mekanizmalarında kullanılması, veri işleme faaliyeti için alt işveren kullanılması ve kişisel verilerin Çin dışına transferinin yapılması için kişisel veri etki değerlendirmesi yapılması gerekmektedir. Veri işleyen ayrıca bu değerlendirmenin kaydını da tutmalıdır.

Otomatik karar alma

Son yıllarda, bazı ağ operatörleri büyük veri analizi için farklı tüketicilere farklı fiyatlandırma yapmaktadır. Daha fazla şirket büyük verileri, pazarlama stratejileri için var olan müşterilerinin şahsi profillerini oluşturmak için analiz etmekte ve değerlendirmektedir. Bazı şirketler finansal durum, tüketim alışkanlıkları, fiyatlara karşı hassasiyet ve başka bilgilere ilişkin verileri, yüz tanıma teknolojilerini kullanarak toplamakta, hatta müşterilerinden bu yolla faydalanmaktadırlar.

Bu bağlamda ÇKVK; kişisel verilere ilişkin otomatik karar alma mekanizması kullanılırken verilen kararlarda şeffaflığın, eşitliğin ve tarafsızlığın sağlanması gerektiğini düzenlemektedir. Otomatik karar almanın veri sahibini önemli ölçüde ilgilendirdiği durumda, veri sahibinin veri işleyenlerden açıklama talep etme veya yalnızca otomatik karar alma yöntemleri baz alınarak verilen kararı reddetme hakkı vardır.

9. Büyük İnternet Platformları için Özel Yükümlülükler

ÇKVK; önemli internet platform servisleri sağlayan, yüksek kullanıcı sayısına sahip veya karmaşık iş yapıları işleten veri işleyenler için daha sıkı yükümlülükler öngörmektedir. ÇKVK kapsamında, bu tür kişisel veri işleyenler aşağıdaki koşulları sağlamak durumundadır:

  • Kişisel veri koruma uyum politikası belirlemek ve kişisel veri koruma uygulamalarını denetlemek üzere süreç dışındaki bireylerden oluşacak bağımsız bir yapı oluşturmak,
  • Platform kurallarını şeffaflık, dürüstlük ve tarafsızlık kurallarına göre geliştirmek; ürün ve platformlarda hizmetlerini işleten servis sağlayıcıları için kişisel veri koruma yükümlülüklerini ve veri işleme standartlarını açıkça belirtmek,
  • Hukukun ve regülasyonların ciddi bir ihlali olması durumunda kişisel veri ile ilgili işlem yapan ürün ve hizmet sağlayıcılarına hizmet vermeyi kesmek,
  • Kişisel verinin nasıl korunduğuna dair sosyal sorumluluk raporları yayınlamak ve kişisel verilerin işlenmesini kamu denetimi altına almak.

Uygulamada, kişisel verilerin ihlali en büyük etkisini internet platformları üzerinde göstermektedir. Bu sebeple, ÇKVK tarafından yüklenen yükümlülükler internet platformları üzerinde önemli bir etkiye sahip olacaktır ve platformlar düzenlemelerin getirdiği gereklilikleri gözlemleyecek ve uyum için gerekli önlemleri alacaklardır.

10. Denetim Otoriteleri ve Uyumsuzluk Durumundaki Hukuki Yükümlülükler

ÇKVK, kişisel bilgilerin korunması hususunda tek bir denetim otoritesi öngörmemektedir. Özellikle Çin Siberuzay İdaresi, kişisel bilgilerin genel olarak koordine bir şekilde yönetilmesinden, gözetilmesinden ve düzenlenmesinden sorumludur. İlgili diğer otoriteler, kişisel bilgilerin korunması ve kendi görev alanlarına giren hususları denetlemek için farklı seviyelerde sorumluluk taşımaktadır.

ÇKVK, kişisel veri korunmasının ihlali durumunda çok ciddi cezai yaptırımlar öngörmektedir. İhlalde bulunanlar; yasa dışı olarak elde edilen kazançların haczi, 50 milyon Çin Yeni’ne veya geçmiş yıl cirosunun %5’ine kadar para cezası, işlerin askıya alınması ve/veya iş için verilen izin ve lisansların kaldırılması gibi cezalarla karşılaşabilmektedir. Doğrudan bu ihlalden sorumlu olan kişiler ise 1 milyon Çin Yeni’ne kadar para cezasına çarptırılabilmektedir. Ayrıca bu kişiler, ilgili bir şirkette yönetici, denetleyici, kıdemli yetkili veya kişisel veri koruma yetkilisi olarak belirli bir süre için çalışmaktan menedilebilmektedir.

11. Uyum Tavsiyeleri

Uluslararası yargı pratiği ile uyumu sağlamak amacıyla ÇKVK, GDPR’ın çeşitli hükümlerini aynen yansıtmaktadır. Ancak ÇKVK kendisine özgü ve ayırt edici Çin karakteristiğini taşımaya da devam etmektedir. Bu sebeple, GDPR uyumluluğu her zaman ÇKVK uyumluluğu anlamına gelmeyecektir. ÇKVK’ya göre yapılan uyum incelemeleri şirketin halihazırda GDPR uyumlu olup olmamasından bağımsız olarak gereklidir.

Uyum gerekliliklerini sağlamak için hem uluslararası şirketler ve hem de Çinli şirketler derhal gerekli önlemleri almak durumundadır. Bu uyumu sağlamak için alınması gerektiğini önerdiğimiz tavsiyeler ise aşağıdadır:

(1) Kişisel verilerin genel döngüsünü belirlemek için şirketler tarafından yapılan kişisel veri inceleme aktivitelerinin mevcut durumunun incelenmesi ve hukuki dayanaklar, var olan kayıtlar ve destekleyici belgeler ile beraber çeşitli işleme faaliyetlerinin değerlendirilmesi,

(2) Potansiyel riskleri belirlemek için kişisel veri işleme faaliyetleriyle ilgili risk değerlendirmelerinin yapılması, risk seviyesinin belirlenmesi, çözüme yönelik eylemlere öncelik verilmesi ve ilgili ekiplerin eğitimlerinin sağlanması,

(3) Mevcut veri işleme faaliyetlerinin incelenmesi ve değerlendirilmesi, uyum mekanizmasının kurulması, ÇKVK ve diğer hukuk kuralları ve sektör pratiklerinin gerekliliklerine göre düzeltme planlarının geliştirilmesi,

(4) Gizlilik politikaları, veri sahibi rızaları, iş sözleşmeleri ve veri işleme sözleşmelerini de kapsayan ve bunlarla sınırlı olmamak üzere ilgili belgeleri incelemek ve güncellemek suretiyle uyum planlarını organize etmek ve veri işleme sürecini optimize etmek,

(5) Sınır ötesi veri transferi faaliyetlerinde bulunan şirketler için; aynı zamanda KBA kapsamına girip girmediklerini değerlendirmek ve işlenen kişisel verilerin hacmini yakından takip etmek. Bu sayede bu şirketler veri konumuna ilişkin eşikler konusunda hazırlıklı olacak ve güvenlik değerlendirmeleri ile sınır dışı veri transferi için gereken diğer hukuki gereklilikleri tam olarak sağladıklarına emin olacaklardır.

(6) Çin dışında yerleşik ve Çin’den kişisel veri toplayan/toplama niyetinde olan uluslararası şirketler için; ÇKVK’nın uygulanabilirliğini derhal değerlendirmek. Eğer gerekliyse, özel bir acente kurmak veya temsil ayarlamak suretiyle ÇKVK kapsamındaki yükümlülüklerini yerine getirmek.

Bizi takip edin:

© 2025 - 2026 PwC. Gago Türkmen Avukatlık Ortaklığı. Tüm hakları saklıdır.
Bu sitede “GSG Avukatlık Ortaklığı” veya “GSG Hukuk” ibaresi, Gago Türkmen Avukatlık Ortaklığı’nı ifade etmektedir.