Çin’in yeni veri gizliliği yasası ABD teknoloji firmaları için ne anlama geliyor – TechCrunch

0
20

Scott W. Pink Katkıda Bulunan

Scott W. Pink, O’Melveny’nin Silikon Vadisi’ndeki Veri Güvenliği ve Gizlilik uygulamasında özel danışmandır. Siber güvenlik ve mahremiyet, IP danışmanlığı konularında teknoloji, medya, eğlence ve çeşitli şirketlere danışmanlık yapar; sosyal medya hukuku; ve reklam, pazarlama ve promosyon hukuku.

Çin, 20 Ağustos’ta teknoloji şirketlerinin ülkede nasıl faaliyet gösterebileceğini önemli ölçüde etkileyecek kapsamlı yeni bir veri gizliliği yasası çıkardı. Resmi olarak Çin Halk Cumhuriyeti Kişisel Bilgilerin Korunması Yasası (PIPL) olarak adlandırılan yasa, Çin’de kabul edilen ilk ulusal veri gizliliği yasasıdır.

Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği’nden sonra modellenen PIPL, veri toplama ve aktarımı konusunda Çin’in içindeki ve dışındaki şirketlerin ele alması gereken korumalar ve kısıtlamalar getirir. Özellikle tüketicileri hedeflemek veya onlara ürün ve hizmetlerde farklı fiyatlar sunmak için kişisel bilgileri kullanan ve kişisel bilgilerin güvenlik için daha az korumaya sahip diğer ülkelere aktarılmasını engelleyen uygulamalara odaklanmıştır.

1 Kasım 2021’de yürürlüğe girmesi planlanan PIPL, şirketlere hazırlanmaları için fazla zaman vermiyor. GSYİH uygulamalarını halihazırda takip edenler, özellikle de küresel olarak uygulamışlarsa, Çin’in yeni gereksinimlerine uyum sağlamak için daha kolay bir zamana sahip olacaklar. Ancak GDPR uygulamalarını uygulamayan firmaların da benzer bir yaklaşımı benimsemeleri gerekecek. Buna ek olarak, ABD şirketlerinin kişisel bilgilerin Çin’den ABD’ye aktarılmasıyla ilgili yeni kısıtlamaları dikkate alması gerekecek.

PIPL’yi uygulama ve uyum, GDPR ilkelerini uygulamayan şirketler için çok daha önemli bir görevdir.

İşte PIPL’ye ve bunun teknoloji firmaları için ne anlama geldiğine derinlemesine bir bakış:

Yeni veri işleme gereksinimleri

PIPL, dünyadaki veri gizliliği için belki de en katı gereksinimler ve korumalar grubunu ortaya koymaktadır (buna, kişisel bilgilerin devlet kurumları tarafından burada ele alınmayacak şekilde işlenmesiyle ilgili özel gereksinimler de dahildir). Kanun, genel olarak kimliği belirli veya belirlenebilir gerçek kişilerle ilgili elektronik veya diğer yollarla kaydedilen her türlü bilgiyi kapsar, ancak anonimleştirilmiş bilgileri hariç tutar.

Çin’de teknoloji işletmelerini etkileyecek olan kişilerin kişisel bilgilerinin ele alınmasına yönelik önemli yeni gereksinimlerden bazıları şunlardır:

Çin yasasının bölge dışı uygulaması

Tarihsel olarak, Çin düzenlemeleri yalnızca ülke içindeki faaliyetlere uygulandı. PIPL, yasanın Çin sınırları içindeki kişisel bilgi işleme faaliyetlerine uygulanmasında benzerdir. Bununla birlikte, GDPR’ye benzer şekilde, aşağıdaki koşullar yerine getirildiği takdirde, uygulamasını Çin dışında kişisel bilgilerin ele alınmasına da genişletir:

Amacın Çin’deki insanlara ürün veya hizmet sağlamak olduğu yerler. Çin’deki insanların faaliyetlerini analiz eden veya değerlendiren yerler. Kanunlarda veya idari düzenlemelerde belirtilen diğer durumlar.

Örneğin, Çin’deki tüketicilere ürün satan ABD merkezli bir şirketseniz, orada bir tesisiniz veya operasyonunuz olmasa bile Çin veri gizliliği yasasına tabi olabilirsiniz.

Veri işleme ilkeleri

PIPL, şeffaflık, amaç ve veri minimizasyonu ilkelerini ortaya koymaktadır: Şirketler, kişisel bilgileri yalnızca açık, makul ve açıklanmış bir amaç için ve amacı gerçekleştirmek için en küçük kapsamda toplayabilir ve verileri yalnızca bu amacı yerine getirmek için gerekli olan süre boyunca saklayabilir. . Kişisel haklar ve çıkarlar üzerinde herhangi bir olumsuz etkiden kaçınmak için, herhangi bir bilgi işleyicinin işlediği verilerin doğruluğunu ve eksiksizliğini de sağlaması gerekir.

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz