Japonya APPI: Kişisel Bilgilerin Korunması Uyumluluğu

Japonya Kişisel Bilgilerin Korunmasına İlişkin Kanun (APPI — 個人情報の保護に関する法律), Asya'nın en kapsamlı veri koruma çerçevelerinden biridir. 2022'de önemli ölçüde değiştirilen (1 Nisan 2022'den itibaren geçerli) ve zorunlu üç yıllık inceleme döngüsüne tabi olan APPI, Japonya'ya özgü düzenleyici yaklaşımları korurken küresel veri koruma standartlarına kademeli olarak yakınlaştı.

2022 değişiklikleri, silme talebinde bulunma hakkını, sınır ötesi aktarım bilgilerinin zorunlu olarak ifşa edilmesini, takma adla işlenen bilgi kurallarını ve kurumsal ihlaller için 100 milyon Yen'e (660.000 ABD Doları) varan cezalarla artırılmış yaptırım getirdi. Japonya'nın Kişisel Bilgilerin Korunması Komisyonu (PPC), büyük yerli ve yabancı işletmelere karşı rehberlik yayınlayarak, soruşturmalar yürüterek ve yaptırım davaları açarak giderek daha aktif hale geldi.

Önemli Çıkarımlar

• APPI, Japonya'da kişisel bilgileri işleyen işletme operatörleri için geçerlidir; bölge dışı başvuru, Japonya'daki kişilerin verilerini toplayan denizaşırı operatörleri kapsar
• Kişisel bilgi işleme kuralları toplamayı, kullanmayı, üçüncü taraf sağlamayı ve güvenlik yönetimini kapsar
• Özel bakım gerektiren kişisel bilgilerin (hassas veriler) toplanması için önceden açık izin alınması gerekir
• Sınır ötesi aktarımlar sınırlıdır - eşdeğer korumaya sahip ülkelerde üçüncü taraflara veya açık bireysel rıza ve bilgilerin açıklanmasıyla izin verilir
• Yeni 2022 hükümleri: silme/askıya alma talebi hakkı, devre dışı bırakma yoluyla üçüncü taraf provizyonu için zorunlu devre dışı bırakma bildirimi, takma adla işleme kuralları
• PPC'nin geniş soruşturma yetkileri vardır ve işi askıya alma emirleri verebilir
• Japonya ve AB'nin karşılıklı yeterlilik kararları vardır — APPI uyumlu kuruluşlar, geliştirilmiş kurallar çerçevesinde AB'ye/AB'den geçiş yapabilir
• APPI her üç yılda bir zorunlu incelemeye tabi tutulur — bir sonraki inceleme döngüsü küresel standartlarla daha da uyumlu hale gelecektir

---

APPI Çerçevesi ve Kapsamı

Bölgesel Başvuru

APPI aşağıdakiler için geçerlidir:

• Japonya'daki ticari operatörler kişisel bilgileri ele alıyor
• Yurtdışı operatörler Japonya'daki kişilerin kişisel bilgilerini ürün veya hizmet sağlamayla bağlantılı olarak ele alıyor (Madde 180 — 2022 değişikliklerine eklenen bölge dışı uygulama)

Sınır dışı uygulama önemlidir: Japon kullanıcıları olan denizaşırı şirketler artık bir Japon tüzel kişiliğine sahip olmaksızın doğrudan APPI'ye tabidir. PPC, denizaşırı operatörlere emir verebilir ve yabancı makamlara bilgi sağlayabilir.

"Kişisel Bilgi İşleme İşletmecisi" kimdir?

Kişisel bilgilerin yer aldığı bir veritabanını iş amacıyla kullanan herhangi bir kişi. Daha önce, 5.000'den az kişinin verilerini işleyen operatörler muaf tutuluyordu; 2015'te yapılan değişiklik, küçük operatör muafiyetini ortadan kaldırdı. Artık kişisel bilgi veritabanlarını ticari amaçlarla kullanan tüm işletmeler kapsanmaktadır.

Anahtar kategoriler:

• Kişisel bilgiler (個人情報): Yaşayan bir birey hakkında, onu adı, doğum tarihi veya başka bir tanımla tanımlayabilecek bilgiler; benzersiz tanımlayıcılar içerir (Numaram, pasaport numaram, ehliyet numarası, biyometrik veriler)
• Kişisel veriler (個人データ): Bir veritabanından oluşan kişisel bilgiler
• Saklanan kişisel veriler (保有個人データ): Operatörün üçüncü taraf sağlama, açıklama, düzeltme, ekleme, silme, kullanımı durdurma, ortadan kaldırma veya durdurma yetkisine sahip olduğu kişisel veriler

---

Temel APPI Yükümlülükleri

Kullanım Amaçlarının Belirlenmesi

Madde 17, işletmecilerin kişisel bilgilerin kullanım amaçlarını mümkün olduğunca spesifik olarak belirtmelerini gerektirir. Kişisel bilgileri toplarken amaç şu olmalıdır:

• Önceden kamuya açıklanır (gizlilik politikasında)
• Veya toplama sırasında kişiye açıkça belirtilmesi
• Veya formda açıkça belirtilmek suretiyle doğrudan kişiden yazılı olarak alınmışsa

Amaç sınırlaması: Kişisel bilgiler, kişinin izni olmadan belirtilen amaçlar dışında kullanılmamalıdır.

Koleksiyon Kısıtlamaları

Kişisel bilgiler adil ve uygun yöntemlerle toplanmalıdır. Özel kısıtlamalar:

• Kişisel bilgileri aldatma veya diğer uygunsuz yollarla elde edemezsiniz
• Doğrudan yazılı toplama için formda kullanım amacını açıkça belirtin
• Belirtilen amaç dahilinde kullanın; amaç değişikliği bildirim veya onay gerektirir

Özel bakım gerektiren kişisel bilgiler (要配慮個人情報): Koleksiyon için önceden açık onay alınması gerekir. Bu şunları içerir:

• Yarış
• İnanç (din veya dini inançlar)
• Sosyal statü (ayrımcılığa yol açabilecek resmi aile kayıt farklılıkları)
• Tıbbi geçmişi
• Sabıka kaydı
• Bir suçun mağduru olma durumu
• Fiziksel veya zihinsel engellilik
• Bozukluklar ve yaralanma tıbbi bilgileri
• Genetik hastalıklara yönelik muayene sonuçları

Güvenlik Yönetimi Önlemleri

Madde 23, işletmecilerin, kişisel verilerin sızmasını, kaybolmasını veya zarar görmesini önlemek amacıyla güvenli bir şekilde yönetilmesi için gerekli ve uygun önlemleri almasını gerektirmektedir. PPC yönergeleri dört önlem kategorisi belirler:

1. Örgütsel önlemler: Temel politikaların oluşturulması; yönetim sistemlerini organize etmek; kullanım durumunu anlamak; sızıntıya yanıt vermek
2. Personel önlemleri: Çalışanların eğitimi; gizlilik anlaşmalarının yürütülmesi
3. Fiziksel önlemler: Kişisel veri işleme alanlarına giriş/çıkışın yönetilmesi; cihazları yönetmek; hırsızlığın/kayıpların önlenmesi
4. Teknik önlemler: Erişim kontrolü; erişim kimlik doğrulaması; anti-virüs önlemleri; bilgi sistemi izleme

Üçüncü Taraf Sağlamasına İlişkin Kısıtlama

Madde 27, kişisel verilerin bireyin önceden izni olmaksızın üçüncü taraflara sağlanmasını kısıtlamaktadır. İstisnalar:

• Kanunen zorunlu
• Rıza alınamayan durumlarda insan hayatının, bedeninin veya mülkiyetinin korunması
• Rızanın alınamadığı durumlarda halk sağlığının iyileştirilmesi
• Ulusal veya yerel hükümet kurumlarıyla işbirliği yapmak
• Devre dışı kalma esası: Operatörün PPC'yi bilgilendirmesi ve bireylere devre dışı kalma fırsatı vermesi durumunda (önemli açıklama gereklilikleri ile) üçüncü tarafların rızası olmadan sağlanmasına izin verilir.

Yurtdışı kuruluşlara yönelik üçüncü taraf hükümleri: Ek gerekliliklere tabidir (Sınır Ötesi Transferler bölümüne bakın).

---

Bireysel Haklar

2022 değişiklikleri bireysel hakları önemli ölçüde genişletti:

Şikayetlerin ele alınması: İşletme operatörleri, kişisel bilgilerin işlenmesiyle ilgili şikayetleri uygun şekilde ve derhal ele almaya çalışmalıdır. PPC tarafından onaylanmış üçüncü taraf uyuşmazlık çözüm organları alternatif çözüm sağlayabilir.

Yanıt gereklilikleri: APPI belirli bir takvim günü yanıt süresi belirlemez (GDPR'nin 30 günlük süresinin aksine). Operatörler "gecikmeden" yanıt vermelidir - PPC yönergeleri, karmaşık taleplere yanıtların genellikle en fazla 2-3 ay içinde verilmesi gerektiğini belirtir.

---

Sınır Ötesi Veri Aktarımı

28. madde kişisel verilerin yurt dışında sağlanmasını kısıtlamaktadır. Yurtdışı alıcılara üçüncü taraf hizmeti sağlanması aşağıdakilerden birini gerektirir:

29. Bireysel onay: Yurt dışı varış yeri ve sistem hakkında belirli bilgiler verildikten sonra bireyin önceden onayı

30. Eşdeğer korumaya sahip ülke: PPC kabine kararıyla karşılaştırılabilir bir koruma düzeyine sahip olduğu belirlenen bir ülkeye transfer (şu anda: Japonya-AB yeterlilik düzenlemesi kapsamındaki AB/AEA ülkeleri)

31. Eşdeğer korumaya sahip operatör: Yurtdışındaki alıcı, eşdeğer veri koruma önlemlerini uygulamıştır (sözleşme, bağlayıcı kurumsal kurallar veya başka yollarla belgelenmiştir)

Onay için gerekli bilgilerin açıklanması: Onaya dayalı transferler için operatör, bireye önceden şunları sağlamalıdır:

• Yabancı ülkenin adı
• O ülkedeki kişisel bilgi koruma sistemi
• Üçüncü tarafların kişisel bilgilerin işlenmesine ilişkin aldığı önlemler

PPC ülke bilgileri sayfası diğer ülkelerdeki koruma sistemlerine ilişkin referans bilgileri sağlar.

Japonya-AB Yeterliliği: Japonya ve AB'nin karşılıklı yeterlilik düzenlemeleri vardır — Japonya'nın AB Komisyonu'ndan bir yeterlilik kararı vardır ve Japonya, AB üye devletlerini eşdeğer korumaya sahip olarak tanır. Bu, Japonya↔AB veri akışını önemli ölçüde basitleştirir.

Yurtdışı Transferler için Takma Adlı İşleme: Takma adla işlenen bilgiler, PPC bildirimine ve bireysel devre dışı kalma fırsatına tabi olarak yurt dışındaki üçüncü taraflara devre dışı kalma esasına göre (izin gerektirmek yerine) sağlanabilir.

---

Takma Adlı İşleme Bilgileri (仮名加工情報)

2021 değişiklikleri, kişisel veriler ile anonim olarak işlenen bilgiler arasında yeni bir kategori olan takma adlı işleme bilgilerini (仮名加工情報) tanıttı. Gereksinimler:

Oluşturma: Kişisel bilgileri, tanımlayıcı bilgileri (isim, doğum tarihi, adresler), başka bilgiler olmadan bireyin kimliğinin belirlenmesini imkansız hale getiren belirli kodlar veya diğer önlemlerle değiştirerek işleyin.

Kullanım Alanları: Takma adla işlenen bilgiler, bireysel izin olmadan dahili analiz ve araştırma amacıyla kullanılabilir; bu, gizlilik riskini azaltırken veri analitiğine olanak sağlar.

Kısıtlamalar:

• Üçüncü şahıslara verilemez (yetkili operatörler ve belirli koşullar altında şirket grupları dahilinde olanlar hariç)
• Bireyleri tanımlamak için başka bilgilerle çapraz referans verilemez
• Kişilerle iletişime geçmek için kullanılamaz

Güvenlik: Kişisel veriler kadar güvenli bir şekilde yönetilmelidir.

---

Anonim Olarak İşlenen Bilgiler (匿名加工情報)

Diğer bilgilerle bile yeniden tanımlanamayan, gerçek anlamda anonimleştirilmiş veriler. Gereksinimler:

• PPC tarafından belirlenen anonimleştirme standartlarına uyun (geri döndürülemez işleme şunları içerir: ad/adres değişimi, ayrıntılı verilerin genelleştirilmesi, aykırı değerlerin bastırılması, bağlantı bilgilerinin silinmesi)
• Oluşturulan anonimleştirilmiş bilgilerin kategorilerini yayınlayın
• Kategorilerin yayınlanmasıyla üçüncü şahıslara sunulabilir
• Alıcılar bilgileri yeniden tanımlamaya çalışamaz

---

İhlal Bildirimi (2022 Değişikliği)

2022 değişiklikleri, ihlal bildirimini zorunlu hale getirdi (daha önce şiddetle tavsiye ediliyordu). Gereksinimler:

PPC'ye bildirim (Madde 26): Aşağıdakiler de dahil olmak üzere bireysel hak ve çıkarlara zarar verebilecek bir sızıntı, kayıp veya hasar meydana geldiğinde gereklidir:

• Özel bakım gerektiren kişisel bilgileri içeren sızıntı
• Yasadışı kullanım (finansal/hesap bilgileri) nedeniyle maddi hasara neden olma ihtimali olan sızıntı
• Uygunsuz amaçtan kaynaklanan sızıntı (kötü niyetli içeriden öğrenen)
• 1.000 veya daha fazla kişiyi etkileyen sızıntı

Zaman çizelgesi:

• Ön rapor: Haberdar olduktan sonraki 3-5 iş günü içinde
• Tam rapor: 30 gün içinde (kötü niyetli içeriden ihlaller için 60 gün)

Bireysel bildirim: Aynı nitelikli etkinlikler için gereklidir; bireylere gecikmeden bildirimde bulunulmalıdır.

Bildirim içeriği (PPC'ye ve bireylere):

• Olaya genel bakış
• Etkilenen veri sahiplerinin ve kişisel verilerin türleri ve sayısı
• Sebepler ve koşullar
• İkincil hasar riskinin olup olmadığı
• Alınan ve planlanan önlemler

---

PPC Uygulaması ve Cezaları

Kişisel Bilgileri Koruma Komisyonu (PPC) (個人情報保護委員会), Japonya'nın bağımsız veri koruma yetkilisidir. 2016 yılında kurulan PPC, geniş denetim yetkilerine sahiptir.

İdari yetkiler: -İşletmecilerden gelen rapor/soruşturma talepleri (Madde 146)

• Yerinde incelemeler
• Rehberlik ve tavsiye (Madde 147)
• Öneriler (Madde 148)
• Emirler (Madde 148(2)) — ticari işletmeciler uymak zorundadır
• Uygunsuzluğun yayımlanması (Madde 148(3))

Cezalar:

• PPC kararının ihlali: 100 milyon Yen'e kadar kurumsal para cezası + bireyler için 1 milyon Yen
• PPC soruşturmasına yanıt olarak raporlama yapılmaması/yanlış rapor: 500.000¥¥'a kadar
• Üçüncü taraf veri tabanının yasa dışı sağlanması: Bireyler için 1 milyon ¥'ye kadar + 300.000 ¥'ye kadar + 1 yıla kadar hapis (cezai)
• Kişisel bilgilerin yasa dışı kazanç amacıyla kötüye kullanılması: Ceza cezası 1 yıla kadar hapis

PPC giderek daha aktif hale geliyor; son dönemdeki eylemler arasında büyük Japon şirketlerine yönelik soruşturmalar, denizaşırı işletme operatörlerinin yükümlülüklerine ilişkin rehberlik ve yabancı DPA'larla işbirliği yer alıyor.

---

APPI Uyumluluk Kontrol Listesi

• APPI'nin uygulanabilirliği onaylandı (Japon operasyonları veya Japon kullanıcıları olan denizaşırı operatör)
• Tüm kullanım amaçlarını belirten Gizlilik Politikası yayınlandı
• Her toplama noktasında toplama amacının açıkça belirtilmesi
• Özel bakım gerektiren kişisel bilgiler belirlendi - önceden açık onay alındı
• Uygulanan güvenlik yönetimi önlemleri (organizasyonel, personel, fiziksel, teknik)
• Üçüncü taraf provizyon değerlendirmesi: her paylaşım için belgelenen izin veya istisna
• Üçüncü taraf provizyonu için devre dışı bırakma esası kullanılıyorsa PPC'ye gönderilen devre dışı kalma bildirimi
• Sınır ötesi transfer mekanizması belirlendi (açıklamaya rıza veya eşdeğer koruma)
• Tutulan üçüncü taraf hükümlerinin kayıtları (açıklama talepleri için)
• Bireysel haklara yanıt prosedürlerinin belgelenmesi (açıklama, düzeltme, askıya alma, silme)
• Şikayetleri ele alma mekanizması oluşturuldu
• İhlal bildirim prosedürünün belgelenmesi (ön 3–5 gün, tam 30 gün)
• Kullanıldığı takdirde oluşturulan takma ad/anonim işleme prosedürleri
• APPI yükümlülüklerine ilişkin çalışan eğitimi tamamlandı
• Varsa yurt dışı operatör ataması onaylandı (PPC bildirimi)

---

Sıkça Sorulan Sorular

API, Japon kullanıcıları olan denizaşırı şirketim için geçerli mi?

Evet, 2022 değişikliklerinden beri. APPI Madde 180, APPI'yi mal veya hizmet sağlamayla bağlantılı olarak Japonya'daki kişilerin kişisel bilgilerini işleyen denizaşırı işletmelere uygular. Buna Japon kullanıcılardan veri toplayan tüm yurtdışı web siteleri, uygulamalar veya hizmetler dahildir. Denizaşırı operatörler geçerli tüm APPI hükümlerine uymak zorundadır ve PPC gözetimine tabidir. PPC, denizaşırı operatörlere emirler verebilir ve karşılıklı yardım düzenlemeleri kapsamında Japonya'nın yabancı muadilleriyle bilgi paylaşabilir.

"Özel bakım gerektiren kişisel bilgiler" nedir ve neden önemlidir?

Özel bakım gerektiren kişisel bilgiler (要配慮個人情報), APPI'nin hassas verilere (toplanması haksız ayrımcılığa veya önyargıya yol açabilecek bilgiler) eşdeğeridir. Irk, inanç, sosyal statü, tıbbi geçmiş, sabıka kaydı, engellilik durumu ve suç mağduru olma durumu gibi bilgileri içerir. Temel yükümlülük: Aksi takdirde bunları toplamak için gerekçeleriniz olsa bile, bu kategorilerden herhangi birini toplamadan önce önceden açık onay almanız gerekir. Zımni onay, kapsam dışında kalma esası ve diğer daha düşük onay standartları, özel bakım gerektiren bilgiler için geçerli değildir.

Japonya-AB veri akışları, karşılıklı yeterlilik düzenlemesi kapsamında nasıl işliyor?

Japonya ve AB, 2019'da benzersiz bir ikili düzenleme olan karşılıklı yeterlilik sağladı. Avrupa Komisyonu, Japonya için bir yeterlilik kararı kabul etti ve Japonya, APPI'yi AB kişisel verilerini mevcut çerçevesine (ek kurallarla birlikte) dahil edecek şekilde değiştirdi. Bu şu anlama gelir: AB→Japonya transferlerine ek mekanizmalar olmadan izin verilir (AK yeterlilik kararı uyarınca); Japonya → AB transferlerine, Japonya AB ülkelerine eşdeğer koruma hedefleri olarak davrandığı için izin verilmektedir. Her iki yönde de hâlâ tüm APPI yükümlülüklerine (Japonya→AB için) ve tüm AB GDPR yükümlülüklerine (AB→Japonya için) uyulması gerekiyor. Japonya'daki AB kişisel verilerine ilişkin ek kurallar, GDPR gerekliliklerine uygun ek korumalar içerir.

APPI üçüncü taraf provizyonu için hangi kayıtları gerektirir?

APPI, işletme operatörlerinin kişisel verileri üçüncü taraflara sağlarken ve üçüncü taraflardan kişisel veriler alırken kayıt oluşturmasını gerektirir. Provizyon kayıtları şunları içermelidir: provizyon tarihi, üçüncü tarafın adı ve diğer bilgileri, sağlanan kişisel verilerin kategorileri, provizyon koşulları (yasal dayanak) ve üçüncü bir taraftan alınmışsa birey hakkındaki bilgiler. Bu kayıtların belirli bir süre saklanması gerekir (çoğunlukla oluşturulduğu tarihten itibaren 3 yıl, kayıtların talep üzerine bireylerle paylaşılabileceği durumlarda 1 yıl). Bireyler bu üçüncü taraf provizyon kayıtlarının açıklanmasını talep edebilir.

APPI kapsamında DPIA veya gizlilik etki değerlendirmesi ne zaman gereklidir?

APPI, AB GDPR'nin yaptığı gibi Veri Koruma Etki Değerlendirmelerini (DPIA'lar) özel olarak zorunlu kılmaz. Ancak PPC, özellikle büyük ölçekli kişisel veri toplama, sınır ötesi transfer projeleri, hassas verilerin yeni kullanımları ve profil oluşturma veya otomatik karar almayı içeren yeni sistemler veya hizmetler gibi yüksek riskli işleme faaliyetleri için gönüllü PIA'ları teşvik eden kılavuzlar yayınlamıştır. PIA'ların yürütülmesi, PPC tarafından en iyi uygulama olarak kabul edilir ve kurumsal hesap verebilirliğin sinyalini verir. Hem APPI hem de GDPR'ye tabi işletmeler için, GDPR'nin zorunlu DPIA gereklilikleri AB ile ilgili işleme faaliyetlerinde geçerli olacaktır.

---

Sonraki Adımlar

Japonya'nın APPI'si, zorunlu üç yıllık inceleme döngüsü boyunca gelişmeye devam ediyor; 2025 incelemesinin, APPI'yi uluslararası standartlarla daha da uyumlu hale getirmesi bekleniyor. Mevcut yükümlülükleri yerine getirirken devam eden güncellemelere yanıt veren bir uyumluluk programı oluşturmak, hem teknik uzmanlık hem de yasal farkındalık gerektirir.

ECOSIRE ekibi, Japonya pazarına giriş ve genişletme yapan işletmelerin APPI uyumlu veri uygulamalarını, Japon kullanıcılar için gizlilik politikalarını ve sınır ötesi veri aktarım mekanizmalarını uygulamalarına yardımcı olur.

Başlayın: ECOSIRE Hizmetleri

Yasal Uyarı: Bu kılavuz yalnızca bilgilendirme amaçlıdır ve yasal tavsiye niteliğinde değildir. APPI düzenli olarak incelemeye ve değişikliğe tabidir. Kuruluşunuza özel tavsiyeler için nitelikli Japon hukuk danışmanına danışın.