Malezya, Kişisel Verilerin Korunması (Değişiklik) Yasa Tasarısı 2024 ile vatandaşları için veri gizliliği korumasını artırmak amacıyla önemli adımlar atıyor. Malezya’nın Veri Koruma Yasa Tasarısı’nın Temmuz 2024’te Parlamento’dan geçmesinin ardından, şu anda temel uygulama yönleri hakkında geri bildirim toplamak amacıyla kamuoyu istişareleri devam ediyor.
Veri ihlali bildirimi, veri koruma görevlisi (DPO) atanması ve veri taşınabilirliği hakkı ile ilgili başvuruların son tarihi bu hafta 6 Eylül’de sona eriyor.
Veri Koruma Yasası: Küresel Standartlarla Uyum
Yasa, mevcut Kişisel Veri Koruma Yasası 2010’a (PDPA) birkaç önemli değişiklik getiriyor. Bu değişiklikler, Malezya’nın veri gizliliği çerçevesini Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği (GDPR) gibi uluslararası en iyi uygulamalarla uyumlu hale getirmeyi amaçlıyor. Önemli noktalar şunlardır:
- Zorunlu Veri İhlali Bildirimi: Yasa, veri denetleyicilerinin (kişisel veri işleme amaçlarını ve araçlarını belirleyen kuruluşlar) kişisel veri ihlali durumunda hem Kişisel Veri Koruma Komiseri’ne (PDPC) hem de etkilenen veri sahiplerine bildirimde bulunmalarını zorunlu kılıyor. PDPC’ye bildirim “mümkün olan en kısa sürede” yapılmalı, ihlalin “önemli zarara” yol açması muhtemelse veri sahiplerine bildirim “gereksiz gecikme olmaksızın” yapılmalıdır.
- Veri Koruma Görevlisi Ataması: Yasa tasarısı, belirli kuruluşların bir veri koruma görevlisi (DPO) ataması için bir gereklilik getiriyor. DPO, kuruluşun PDPA’ya uyumunu denetlemekten ve veri sahipleri için bir iletişim noktası olarak hareket etmekten sorumlu olacak. Bu, GDPR’nin DPO gereksinimiyle uyumludur ve kuruluşlar içinde veri gizliliğini özel personelin yönetmesini sağlar.
- Geliştirilmiş Veri Sahibi Hakları: Yasa, veri taşınabilirliği hakkını getirerek veri sahiplerinin haklarını güçlendiriyor. Bu, bireylerin kişisel verilerini yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilen bir biçimde talep etmelerine ve istenirse başka bir denetleyiciye aktarılmasını sağlamalarına olanak tanıyor.
Kamuoyunun Görüşünün Önemi
Bu kritik yönler hakkında devam eden kamuoyu istişareleri, paydaşlara Malezya’da veri gizliliğinin geleceğini şekillendirme fırsatı sunuyor. Veri ihlali bildirim prosedürleri, DPO rolünün sorumlulukları ve veri taşınabilirliğinin uygulanması için önerilen yönergeler hakkında geri bildirimler önemlidir.
Küresel bir hukuk firması olan Baker & McKenzie’ye göre, bu istişareler “bazı yeni yasal gerekliliklere uyum için nelerin gerekli olabileceğine ışık tutarken, kamuoyuna PDPA kapsamındaki bu yardımcı araçların nihai taslağına katkıda bulunma ve onu şekillendirme fırsatı veriyor.”
İşletmeler Üzerindeki Etkisi
Gözden geçirilen PDPA, Malezya’da faaliyet gösteren işletmeler üzerinde önemli bir etkiye sahip olacak. Kuruluşların, özellikle veri ihlali bildirimi, DPO ataması ve veri sahibi hakları konusunda, değiştirilen Kanun kapsamındaki yükümlülüklerinin farkında olması gerekir. İşletmelerin atabileceği ilk adımlar şunlardır:
- Veri ihlali yanıt protokollerini inceleyin: İşletmeler mevcut veri ihlali yanıt planlarını yeniden değerlendirmeli ve bunun Tasarı’nın bildirim gereklilikleriyle uyumlu olduğundan emin olmalıdır. Buna olası ihlal senaryolarını belirlemek, net iletişim protokolleri oluşturmak ve bildirim için bir zaman çizelgesi geliştirmek dahildir.
- Bir VDP’ye olan ihtiyacı değerlendirin: Bir kuruluşun işlediği kişisel verilerin niteliğine ve hacmine bağlı olarak, özel bir DPO atamak gerekebilir. İşletmeler bu faktörleri değerlendirmeli ve dahili kaynakları belirlemeli veya harici bir DPO hizmet sağlayıcısı atamayı düşünmelidir.
- Veri taşınabilirliği prosedürlerini geliştirin: Kuruluşların veri taşınabilirliğiyle ilgili veri sahibi taleplerini ele almak için net prosedürler oluşturması gerekir. Bu, yapılandırılmış, yaygın olarak kullanılan bir biçimde veri çıkarma ve aktarma süreçlerinin geliştirilmesini içerebilir.
İleriye dönük
Kişisel Verilerin Korunması (Değişiklik) Yasa Tasarısı 2024’ün uygulama detaylarına ilişkin kamuoyu istişaresi 6 Eylül’de sona eriyor. İşletmeler ve bireyler bu kritik sürece katılmaya ve geri bildirimlerini sunmaya teşvik ediliyor. Malezya, birlikte çalışarak, gelişen bir dijital ekonomiyi teşvik ederken bireylerin haklarını koruyan sağlam bir veri gizliliği çerçevesi oluşturabilir.
Ek Hususlar:
- Değiştirilen KVKK’ya uyulmaması durumunda olası cezalar: Belirli ayrıntılar daha ayrıntılı olarak tanımlanabilse de, kuruluşlar uyumsuzluk durumunda potansiyel olarak önemli para cezalarına hazırlıklı olmalıdır.
- Veri sahipleri arasında artan farkındalık: Değiştirilen PDPA, bireylere kişisel verileri üzerinde daha fazla kontrol yetkisi veriyor. İşletmeler, erişim, düzeltme ve silme haklarıyla ilgili veri sahibi sorgularında bir artış öngörmelidir.
Kişisel Verilerin Korunması (Değişiklik) Yasa Tasarısı 2024, Malezya’da veri gizliliğinin korunması için önemli bir adım atılmasını sağlıyor. Uluslararası standartlarla uyum sağlayarak ve veri sahibi haklarını güçlendirerek, değiştirilen PDPA herkes için daha güvenli bir dijital ortam yaratıyor. Devam eden kamuoyu istişareleri, uygulama ayrıntılarını iyileştirmek ve değiştirilen Yasanın kişisel verileri korumada etkili olmasını sağlamak için değerli bir fırsat sunuyor.