PIPL nedir?
Kişisel Bilgi Koruma Kanunu (PIPL), 1 Kasım 2021’de yürürlüğe giren Çin’in kapsamlı veri koruma yasasıdır. PIPL büyük ölçüde GDPR modellenmiştir ancak Çin-spesifik unsurlar ekler — özellikle katı sınır ötesi veri transferi gereksinimleri, kritik bilgi altyapı operatörleri (CIIO) ve büyük işleyiciler için veri yerelleştirme yükümlülükleri ve geniş ülke dışı erişim. PIPL, Çin’in veri yönetişim rejiminin üçüncü sütunu olarak Siber Güvenlik Kanunu (CSL 2017) ve Veri Güvenliği Kanunu (DSL 2021) ile birlikte işler.
Temel PIPL yükümlülükleri
- Hukuki dayanak: rıza, sözleşmesel gereklilik, yasal yükümlülük, kamu yararı, istihdam yönetimi; pratikte rıza baskındır.
- Hassas kişisel bilgi: biyometrik, dini, tıbbi, finansal, konum, küçük-ilgili veri için daha sıkı rıza + gereklilik testi.
- Sınır ötesi transfer mekanizmaları: (a) CAC güvenlik değerlendirmesi (CIIO ve büyük işleyiciler için zorunlu); (b) standart sözleşme hükümleri (Çin SCC’leri 2023’te yürürlüğe girdi); (c) sertifikasyon.
- Veri yerelleştirme: CIIO operatörleri ve eşik üstü işleyiciler kişisel bilgileri yerel saklamalı; Çin dışına transfer tetiklenmiş mekanizma gerektirir.
- Ülke dışı kapsam: Çin sakinlerini hedefleyen Çin dışı işlemelere uygulanır (ÇHC’ye mal/hizmet sunmak, ÇHC davranışını analiz etmek).
Cezalar
- 50M RMB’ye kadar veya bir önceki yıl cirosunun %5’i (hangisi yüksekse) — GDPR’a benzer ancak Çin yaptırım gücüyle.
- Doğrudan sorumlu personel için kişisel sorumluluk: 100k-1M RMB.
- Faaliyet durdurma, lisans iptali, sosyal kredi sicili.
Türk şirketleri için
Çin pazarına yönelen Türk şirketleri (e-ticaret, oyun, fintech, içerik) PIPL kapsamında ülke dışı yükümlülüklere tabidir. Çin’de yerleşik olmayan Türk şirketler PIPL’e uyum için “yerel temsilci” (kanuni mukim) atamak zorundadır — bu yapısal yük GDPR Madde 27 muadilidir. Türk-Çin veri transferi için Çin SCC veya CAC güvenlik değerlendirmesi gerekir; KVKK’nın yurt dışı transfer rejimi (Madde 9) Türk veri sorumlusu tarafından ek katman ekler. Çin pazarına girişte PIPL ile KVKK çapraz-uyum maliyetlerini bütçeye eklemek kritik.
Yapın: Çin’i hedefleyen herhangi bir hizmet için PIPL boşluk değerlendirmesi yürütün; ÇHC tüzel kişisi yoksa yerel PIPL temsilcisi atayın; sınır ötesi transfer mekanizma seçimini belgeleyin.
Yapmayın: GDPR uyumunun PIPL uyumuna eşit olduğunu varsaymayın — PIPL, GDPR’da olmayan CAC değerlendirmesi, yerelleştirme ve daha geniş hassas-bilgi kategorileri ekler.