Alibaba Italia tarafından yayınlanan son veriler, 2015’teki açılışından bu yana yaklaşık 500 İtalyan şirketinin Çin’de B2C platformlarında binden fazla markayı sattığını gösteriyor. Her satış, Çinli alıcıların kişisel verilerinin toplanmasına karşılık gelir. İtalyan şirketlerinin Çin’de ne kadar çalışan çalıştırdığını ve kişisel verilerinin ne kadarının İtalya’daki insan kaynakları ofisine gönderildiğini düşünürsek bu sayı daha da artıyor. Birkaç ay önce yeni bir düzenleyici çerçevenin yürürlüğe girdiği Avrupa ile Amerika Birleşik Devletleri arasındaki veri alışverişi söz konusu olduğunda durum çok farklı.
Karmaşık düzenlemeler ve jeopolitik gerilimler ışığında İtalyan şirketleri Çin ve ABD ile veri toplarken ve aktarırken nasıl davranmalı?
Avrupa ve Amerika Birleşik Devletleri arasındaki kurallar
Avrupa Komisyonu, AB’den ABD’ye veri aktarımına ilişkin olarak, 10 Temmuz 2023 tarihinde, Schrems II kararında 2020 yılında geçersiz kılınan Gizlilik Kalkanı’nın yerine geçen AB-ABD Veri Gizliliği Çerçevesine ilişkin yeterlilik kararını kabul etti. Yeterlilik kararı, ABD’nin AB’den Çerçeve’ye katılan şirketlere aktarılan kişisel veriler için yeterli düzeyde koruma sağladığı sonucuna varıyor. Avrupalı kuruluşlar, ek veri koruma önlemleri uygulamaya gerek kalmadan kişisel verileri ABD’deki katılımcı şirketlere aktarabilmektedir. ABD şirketleri, ayrıntılı bir dizi gizlilik yükümlülüğünü taahhüt ederek Çerçeveye katılımlarını belgeleyebilirler.
Çin’de haziran ayından bu yana yeni bir prosedür uygulanıyor
Bunun yerine Çin sistemine bakıldığında, göz önünde bulundurulması gereken ilk husus, Çin’de veri toplama ve aktarımının bireyleri korumak amacıyla sıkı bir şekilde düzenlendiği, ancak devletin ulusal güvenlik açısından stratejik görmesi halinde verilere erişim talebinde bulunabileceğidir.
1 Haziran 2023’ten itibaren Çin merkezli şirketlerin kişisel verilerin yurt dışına aktarılmasına (ihracına) ilişkin bir prosedür izleme zorunluluğu yürürlüğe girdi. İhracat, yalnızca kişisel verilerin Çin’den fiziksel olarak taşınması veya aktarılması anlamına gelmez, aynı zamanda Çin’de depolanan kişisel verilere erişen yabancı şirketler için de geçerlidir.