Alliance: Çin Veri Koruma Labirenti: Yasal Veri İhracatı İçin Kılavuz İlkeler

I. Giriş

2022'nin başından bu yana Çin'de çok sayıda veri koruma kanunu yürürlüğe girmiştir. Başlangıçta bu yasalarda gerekli somutlaştırma ve uyumlaştırma yapılmadığından, Çin'deki yabancı şirketler için bu yasaların özel kapsamını ve önemini değerlendirmek de zordu.

Daha sonra 2023 ve 2024 yıllarında, veri koruma kanununda çok sayıda yasal değişiklik ve önemli somutlaştırmalar yapılmıştır. Geçici bir nihai mutabakat olarak, “Çin Siber Uzay İdaresi”, en son 22 Mart 2024 tarihinde “Sınır Ötesi Veri Akışlarını Kolaylaştırma ve Düzenleme Yönetmeliği”ni yayınlamıştır.

Bu bağlamda, Çin veri koruma hukukunda yabancı şirketler için ana odak noktası, sınır ötesi veri aktarımlarına ilişkin gerekliliklere uymaktır. Bu bülten ile, işletmenizin Çin'den sınır ötesi veri iletimi gerekliliklerinden ne şekilde ve ne ölçüde etkilendiğini belirlemek için kullanabileceğiniz bir rehber sunmak istiyoruz.

Ayrıca bu bültenin ekinde Çin veri koruma hukukuna ilişkin değerlendirme formumuzu da bulacaksınız (Evalutionsbogen zum chinesischen Datenschschutzrecht). Bu değerlendirme formunu doldurabilir ve aşağıdaki irtibat kişisine gönderebilirsiniz. Çin'deki Schindhelm ekibi daha sonra size herhangi bir eylem ihtiyacına ilişkin ücretsiz bir ilk değerlendirme sağlayacaktır.

II. Çin'den Yurtdışına Veri İhraç Ederken Hangi Senaryoların Dikkate Alınması Gerekir?

  1. Aşağıdaki şirketler “Güvenlik Değerlendirmesi” çerçevesinde veri ihracatı için devlet onayı almalıdır:

    a. “Kritik Bilgi Altyapısı Güvenliğinin Korunmasına İlişkin Kurallar Yönetmeliği” kapsamında yurtdışına veri ihraç eden “kritik altyapı operatörleri”;
    b. “Sınır Ötesi Veri Transferi Güvenlik Değerlendirmeleri Hakkında Tedbirler” Yönetmeliği kapsamında “kritik veri” ihracatı yapan şirketler;
    c. Yılda 1.000.000 (veya daha fazla) kişinin “kişisel verilerini” ihraç eden şirketler; d. Yılda 10.000 (veya daha fazla) kişinin “hassas kişisel verilerini” ihraç eden şirketler.

  2.  Aşağıdaki şirketler, yabancı veri alıcısı ile veri ihracatı için yazılı bir Standart Sözleşme akdetmelidir:

    a. Yılda 100.000 ila 1.000.000 kişinin “kişisel verilerini” ihraç eden şirketler;
    b. Yılda 10.000'den az sayıda kişinin “hassas kişisel verilerini” ihraç eden şirketler.

    Eğer (hassas) kişisel veriler çok sayıda yabancı veri alıcısına ihraç ediliyorsa, Çinli işletme alternatif olarak bir defaya mahsus Güvenlik Sertifikası için başvurabilir. Bu sertifika ile veri ihracatı, tüm yabancı veri alıcıları ile ayrı bir Standart Sözleşme yapmak zorunda kalmadan gerçekleştirilebilir.

  3. Buna ek olarak, Çin'de kişisel veri toplayan ve işleyen tüm işletmeler, ilgili kişilere yönelik yasal bilgilendirme ve beyan yükümlülüklerini yerine getirmeli ve bir veri koruma risk analizi gerçekleştirmeli ve belgelendirmelidir.

III. Çin'den İhraç Edilen Veriler ve Veri İhracatçıları Nasıl Sınıflandırılmaktadır?

“Kritik Bilgi Altyapısı Güvenliğinin Korunmasına İlişkin Kurallar” Yönetmeliği,  kamu iletişim ve bilgi hizmetleri, enerji, ulaşım, su yönetimi, finans, kamu hizmetleri ve ulusal savunma alanlarında faaliyet gösteren şirketleri  “kritik altyapı operatörleri” olarak tanımlamaktadır. Bu alanlarda yabancı işletmeler için doğrudan pazara giriş çok sınırlı olduğundan, bu kompleks temelde yabancı işletmeler için geçerli değildir.

“Yurtdışına Veri Aktarımı Güvenliğinin Değerlendirilmesine İlişkin Tedbirler” Yönetmeliği kapsamındaki “kritik veriler”, diğer hususların yanı sıra, trafik verilerinin toplanması ve analiz edilmesi, satıcı davranışlarının toplanması ve analiz edilmesi ve coğrafi konum verilerinin toplanmasını içermektedir.

“Kişisel Bilgilerin Korunması Kanunu” kapsamında “kişisel veri”, bir kişiyi tanımlamaya hizmet eden ve elektronik veya başka bir biçimde saklanan tüm bilgilerdir.

“Kişisel Bilgilerin Korunması Kanunu” kapsamında “hassas kişisel veriler”, yanlış ellerde kişisel refahı ve mülkiyeti ciddi şekilde tehlikeye atabilecek verilerdir (örneğin, biyometrik veriler, din, engellilik, sağlık verileri, finansal veriler, ikamet yeri ve 14 yaşın altındaki küçüklerin tüm kişisel verileri).

IV. Standart Sözleşme veya Güvenlik Sertifikası Prosedüründen Muafiyet Hangi Koşullar Altında Geçerlidir?

Aşağıdaki koşullar altında, şirketler Standart Sözleşmenin imzalanmasından veya Güvenlik Sertifikası uygulamasından feragat edebilir:

a. Kişisel müşteri verilerinin aktarımının, veri alıcısının sözleşmeye dayalı ilişkiler kurması, yerine getirmesi ve işlemesi için gerekli olması (örn. sınır ötesi satın alımlar, sınır ötesi satışlar, sınır ötesi ödemeler vb.);

b. Kişisel çalışan verilerinin aktarılmasının, sınır ötesi personel yönetimini uygulayabilmek için gerekli olması;

c. Kişisel verilerin dışa aktarımının kişilerin hayatını, sağlığını ve malvarlığını korumak için gerekli olması;

d. Bir yıl içinde ihraç edilen kişisel verilerin (“hassas kişisel veriler” hariç) 100.000'den az kişiye ait olması.


Evalutionsbogen zum chinesischen Datenschschutzrecht

Çin Veri Koruma Labirenti: Yasal Veri İhracatı İçin Kılavuz İlkeler Çin Veri Koruma Labirenti: Yasal Veri İhracatı İçin Kılavuz İlkeler


Yazar: Marcel Brinkmann