Dünyada internet gelişimi ve benimsenme oranları en yüksek ülkelerden biri olan ve nüfusunun yaklaşık %80'inin internet kullandığı Vietnam'da, nüfusun üçte ikisinin kişisel verileri çeşitli şekillerde ve farklı detay seviyelerinde çevrimiçi olarak saklanıyor, yükleniyor, paylaşılıyor ve toplanıyor.
Vietnam, 2022 ve 2023 yıllarında binlerce GB veri ve milyarlarca kişisel bilginin alım satımını içeren beş ayrı suç davası açtı. Bu durum, araştırmalara ve uluslararası hukuka dayalı olarak kişisel veri koruma yasalarının iyileştirilmesinin acil ihtiyacını vurgulamaktadır.
Kişisel verilerin korunmasına ilişkin uluslararası hukuk
 |
| GDPR, günümüzde kişisel bilgilerin korunmasına yönelik dünyanın en sıkı mekanizmasını oluşturan, yasal açıdan önemli bir adım olarak kabul ediliyor. |
Avrupa Birliği'nin (AB) Genel Veri Koruma Yönetmeliği (GDPR), kişisel bilgilerin korunmasına yönelik dünyanın en katı mekanizmasını oluşturan ve AB vatandaşlarının kişisel verilerini işleyen tüm kuruluş ve işletmeler için geçerli olan önemli bir yasal adım olarak kabul edilmektedir.
GDPR, AB genelinde işletmelerin ihlallerine yönelik tek tip cezalar uygulamaktadır. Özellikle, küçük ihlaller için azami ceza gelirlerin %2'si veya 10 milyon Euro, büyük ihlaller için ise gelirlerin %4'ü veya 20 milyon Euro'dur. Para cezalarına ek olarak, GDPR'ı ihlal eden işletmeler, veri işleme faaliyetlerini durdurmaya veya GDPR'a aykırı olarak işlenmiş verileri silmeye zorlanma gibi diğer yaptırımlarla da karşı karşıya kalabilirler.
AB'nin kişisel veri koruma otoritesi, deneyimli avukatlar, bilişim uzmanları ve yöneticilerden oluşan bağımsız bir kuruluş olan AB Veri Koruma Denetleme Kurumu'dur (EDPS).
Bu kurumun temel işlevi, AB kurumları içindeki kişisel verilerin işlenmesini denetlemek ve kişisel verilerle ilgili konularda tavsiyelerde bulunmaktır. GDPR ayrıca, her üye devlette bir Kişisel Veri Koruma Otoritesi kurulmasını da gerektirmektedir; örneğin, Ulusal Kişisel Veri Koruma Komisyonu (Fransa, İrlanda, vb.) veya veri koruma müfettişliği (Finlandiya, Letonya, vb.).
EDPS ile birlikte AB, üye devletlerin ulusal veri koruma ajanslarından ve AB temsilcilerinden oluşan Avrupa Veri Koruma Komisyonu'nu (EDPB) da kurmuştur. Komisyonun görevi, kişisel veri koruma konularında ana bağımsız danışma organı olarak hareket etmek ve GDPR'nin Birlik genelinde tutarlı bir şekilde uygulanmasından sorumlu olmaktır.
GDPR, hem maddi hem de manevi olmak üzere güçlü caydırıcı cezalar öngörmektedir. Ayrıca, AB'nin kişisel veri koruma kurumu, Komisyon/Komiser modeliyle çalışmakta olup, kişisel veri koruma düzenlemelerini ihlal eden kuruluşlara yaptırım uygulama ve kişisel verilerin işlenmesini bağımsız olarak değerlendirme ve karar verme konusunda önemli yetki ve bağımsızlığa sahiptir.
2021 yılında yürürlüğe giren Çin Kişisel Bilgilerin Korunması Kanunu (KKK), Çin'deki ilk kapsamlı ulusal düzeydeki kişisel bilgilerin korunması kanunu olarak kabul edilmektedir. KKK, kişisel verileri/kişisel bilgileri, belirli bir bireyi tanımlamak veya tanımak amacıyla kullanılan bilgiler olarak ele alarak, özellikle Çin içindeki bireyleri hedef alan nispeten birleşik bir bakış açısı sunmaktadır (KKK'nın 1. Bölümünün 4. Maddesi). Aynı zamanda, hassas kişisel verileri düzenleyerek, daha spesifik veri gruplarına ilişkin tarafların hak ve yükümlülüklerine dair kurallar belirlemektedir.
Kişisel Veri Koruma Kanunu (PIPL) düzenlemeleri uyarınca kişisel veri haklarının ihlali durumunda öngörülen cezalar çok ağırdır; bunlar arasında zorunlu tazminat ödemesi, yasadışı gelirlerin müsadere edilmesi, hizmetlerin askıya alınması, işletme veya ticari ruhsatların iptali ve 50 milyon RMB'ye kadar veya kuruluşun önceki mali yıldaki yıllık gelirinin %5'ine kadar para cezası yer almaktadır. Ayrıca, ihlaller ulusal sosyal kredi sistemi kapsamında işleme biriminin "kredi kaydına" da işlenebilir.
Ayrıca, işleme birimleri, kuruluşların ve bireylerin hak ve çıkarlarını ihlal etmeleri durumunda tazminat ödemekle yükümlü tutulacaktır. Bu tür ihlaller için cezai yaptırımlar da Çin Ceza Kanunu'nda açıkça belirtilmiştir; gizliliği koruma yükümlülüğü olanlar için daha ağır cezai sorumluluk öngörülmüş, mal varlığına el koyma şekli eklenmiş ve en yüksek hapis cezası olarak ömür boyu hapis cezası belirlenmiştir.
Singapur'un 2012'de kabul edilen (2020'de değiştirilen) Kişisel Veri Koruma Yasası (PDPA) , kişisel verilerin korunması hakkını ve kuruluşların belirli koşullara uygun amaçlar için bilgi toplama, kullanma ve açıklama gerekliliğini tanımaktadır.
Kişisel Verilerin Korunması Kanunu (PDPA), veri ihlalleri için de katı mali cezalar öngörmektedir. Yasayı ihlal eden kişiler para cezası veya hapis cezasıyla karşı karşıya kalacaktır. Para cezasının miktarı, suçun niteliğine ve ciddiyetine bağlı olarak 2.000 Singapur dolarından 100.000 Singapur dolarına (yaklaşık 1,6 milyar VND) kadar değişebilir ve/veya 12 aya kadar hapis cezası veya ciddi durumlarda 3 yıla kadar hapis cezası verilebilir; ihlal eden kuruluşlar ve şirketler için ise ceza, yıllık gelirlerinin %10'una kadar olabilir.
Kişisel Veri Koruma Kanunu'nun (PDPA) uygulanmasını sağlamada hayati bir rol oynayan kurum Kişisel Veri Koruma Komisyonu'dur (PDPC). Bu uzmanlaşmış kurum, bireylerden ve kuruluşlardan kişisel verilerin işlenmesiyle ilgili bilgi ve belgeler talep etme, ihlaller için mali cezalar uygulama ve diğer düzeltici önlemleri alma yetkisi de dahil olmak üzere geniş yetkilere ve kapsamlı uygulama yeteneklerine sahiptir.
Singapur'da kişisel verilerin etkin bir şekilde korunmasının koşullarından biri, ihlalleri tespit etme, ele alma ve yaptırım uygulama konusunda bağımsız ve proaktif bir şekilde çalışan özel bir kurum olan Singapur Kişisel Veri Koruma Komisyonu'nun kurulmasıdır.
Vietnam'da kişisel veri koruma yasalarının iyileştirilmesine yönelik öneriler
Vietnam'da şu anda kişisel verilerin korunması konusuyla doğrudan ilgili 69 yasal belge bulunmaktadır; bunlar Anayasa, Kanun (4), Yasa (39), Yönetmelik (1), Kararname (2), Genelge/Ortak Genelge (4), Bakanlık Kararı (1) dahil olmak üzere farklı belgelerde düzenlenmiştir.
Bu belgeler, temelde bireylerin gizliliğinin sağlanması ilkesini vurgulayarak kişisel veri koruma konusuna yaklaşmaktadır; ancak, kişisel verilerle ilgili bilgilere ilişkin farklı düzenlemeler içermekte, bireylerin hak ve yükümlülükleri, bilgi işleme ve kişisel verilerin korunma yöntemleri konularını ele almaktadır. Vietnam'da kişisel veri korumayı düzenleyen yasalar, özellikle 17 Nisan 2023 tarihinde yayımlanan ve ülkemizde bu konuyu düzenleyen tek belge olan 12/2023/ND-CP sayılı Kişisel Veri Koruma Kararnamesi ile bazı önemli sonuçlar elde etmiştir. Bu yasal belgeler, kişisel veri koruması için yasal bir çerçeve oluşturmuştur. Veri sahiplerinin ve işleme taraflarının haklarını belirlemiş, kişisel veri koruma ihlallerine yönelik yaptırımları öngörmüş ve kişisel veri korumasından sorumlu uzman kurumu Kamu Güvenliği Bakanlığına bağlı Siber Güvenlik ve Yüksek Teknoloji Suçları Önleme Dairesi olarak tanımlamıştır...
 |
| Vietnam, özellikle kişisel bilgilerin ve verilerin sızdırılması ve çalınması olmak üzere, siber alandan kaynaklanan sayısız risk, zorluk ve tehditle karşı karşıya olup, bu durum vatandaşlara ve topluma önemli zararlar vermektedir. |
Ancak, bu belgelerin pratik uygulaması birçok sınırlamayı da ortaya çıkardı; örneğin, mevcut ayrı yasal belgelerin yalnızca kararname düzeyinde olması ve kişisel verilerin korunmasının önemini karşılamaması; birçok mevcut hükmün belirsiz ve net olmaması, her vaka için özel bir rehberliğin bulunmamasına yol açması; ve cezaların hala çok hafif ve yeterince caydırıcı olmaması gibi...
Bu durum göz önüne alındığında, Vietnam'da kişisel verilerin korunmasına ilişkin yasal çerçevenin daha da geliştirilmesi, diğer ülkelerin deneyimlerine dayanarak, dikkat ve araştırma gerektiren bir konu olmuştur ve olmaya devam etmektedir. Özellikle:
Öncelikle, kişisel verilerin korunmasına ilişkin bir yasa çıkarılması gerekiyor . Dördüncü Sanayi Devrimi bağlamında, bölgesel ve ulusal düzeyde 80 ülke kişisel verileri koruyan kendi yasal belgelerini zaten yürürlüğe koymuştur. Vietnam'ın, AB, Çin ve Singapur'daki veri gizliliği yasalarına benzer şekilde, kişisel verilerin korunmasına ilişkin temel konuları ve ilkeleri tanımlayacak genel, özel bir veri yasası üzerinde acilen araştırma yapması ve yasa çıkarması gerekiyor. Kişisel verilerle ilgili ayrı bir yasa çıkarmak, kişisel verilerin korunması için hayati bir yasal zemin sağlayacaktır, çünkü Vietnam'daki mevcut yasal belgeler terminoloji ve içerik açısından tekdüzelikten yoksundur.
İkinci olarak, kişisel verilerin korunmasına ilişkin ihlallere yönelik cezalar, ihlallerin niteliği ve ciddiyetiyle orantılı olarak daha ağır hale getirilmek üzere gözden geçirilmeli ve tamamlanmalıdır. Ülkemizde kişisel verilerin korunmasına ilişkin ihlallere yönelik cezalar idari, hukuki ve cezai yaptırımları içerse de, genellikle oldukça hafiftir ve güçlü bir caydırıcılık etkisi yoktur. Şu anda ana yöntem hala idari cezaların uygulanmasıdır, ancak bunlar nispeten düşük para cezalarıyla birçok kararnameye dağılmıştır; en yüksek ceza bireyler için 100 milyon VND ve kuruluşlar için 200 milyon VND'dir.
Kişisel verilerin idari ihlallerinden kaynaklanan zararlar sadece maddi kayıplarla sınırlı olmayıp, onur ve haysiyeti de etkilerken, kişisel verilerin ihlaline ilişkin cezai yaptırımlar şu anda yalnızca gizlilik, bilgi teknolojisi ve siber güvenlik ile ilgili hükümlerde, özellikle de mevcut Ceza Kanunu'nun 159 ve 288. maddelerinde yer almakta olup, en fazla 7 yıl hapis cezası ve 1 milyar VND'yi aşmayan para cezaları öngörmektedir. AB'nin 20 milyon Euro'su, Singapur'un 1 milyon SGD'si veya Çin'in ömür boyu hapis cezasıyla karşılaştırıldığında, bu cezalar hala çok düşük ve birçok ihlal için orantısızdır.
Aynı zamanda, halihazırda kanunda belirtilmeyen, büyük ölçekli veri ticareti, veri ihlali sistemleri kurma, pazarlama hizmetlerindeki ihlaller vb. gibi daha birçok davranış kategorisinin de düzenlenmesi gerekmektedir.
Üçüncüsü, Vietnam'daki kişisel veri koruma ajansı modeliyle ilgili olarak : Şu anda, Kamu Güvenliği Bakanlığı bünyesindeki Siber Güvenlik ve Yüksek Teknoloji Suçları Önleme Dairesi, kişisel veri koruma konusunda uzmanlaşmış bir kurumdur. Uluslararası düzenlemelere atıfta bulunarak, Kişisel Veri Koruma Kanunu'nun uygulanmasından, denetim ve incelemelerin yapılmasından, kılavuzların yayınlanmasından, tavsiyelerde bulunulmasından ve ihlaller için yaptırımların uygulanmasından sorumlu bağımsız bir kişisel veri koruma ajansı kurulmasını düşünebiliriz.
AB veya Singapur'daki bu modellerden ders çıkarabiliriz... böylece kişisel verileri koruyan kolluk faaliyetlerinin son derece etkili olmasını, bireysel hakların korunmasını ve siber güvenliğin sağlanmasını dengeleyebiliriz.
Kişisel verilerin korunması, özellikle büyük ölçekli izleme ve kişisel veri toplama işlemlerinin gerçekleştiği entegrasyon bağlamında, basit bir mesele değildir ve bu konuyu düzenleyen Vietnam hukuk sistemi hala geliştirme ve iyileştirme aşamasındadır.
Bu konudaki uluslararası hukuku, Vietnam'daki pratik durumla birlikte incelemek, uluslararası hukuka uygun ve etkin bir şekilde uygulanabilen kapsamlı bir kişisel veri koruma yasal çerçevesini hızla geliştirmemize yardımcı olacaktır.
1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html
[reklam_2]
Kaynak
![[Fotoğraf] ABD Donanması'na ait USS Robert Smalls savaş gemisini keşfedin](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F10%2F1765341533272_11212121-8303-jpg.webp&w=3840&q=75)
Yorum (0)