26 Mayıs 2025'te, Ulusal Siber Güvenlik Standardizasyon Teknik Komitesi, kişisel bilgi (PI) koruma denetimlerini gerçekleştirmek için iki kılavuz yayınladı.
1 Mayıs 2025'ten bu yana, Çin'de belirli hacimlerde kişisel bilgi işleyen şirketlerin, operasyonlarının Çin'in veri ve kişisel bilgi koruma düzenlemelerine uyup uymadığını değerlendirmek için düzenli denetimler yapması gerekmektedir, bunlar arasındaKişisel Bilgi Koruma Yasası (PIPL)veAğ Veri Güvenliği Yönetmelikleri.
İlk kılavuz – Siber Güvenlik Standart Uygulama Kılavuzu – Kişisel Bilgi Koruma Uyum Denetimi Gereklilikleri– uyum denetimlerinin gerçekleştirilmesi için genel ilkeleri önerir, denetimlerin gerekli sıklığı, kişisel bilgi denetimleri için personel atanması ve kanıt toplama ve dokümantasyonun sürdürülmesi gibi bir dizi konuyu netleştirir. Ayrıca, denetim süreci için ön denetim hazırlık çalışmalarından denetim uygulaması ve arşiv yönetimine kadar adım adım bir kılavuz sağlar.
İkinci kılavuz, başlıklıSiber Güvenlik Standart Uygulama Kılavuzu – Kişisel Bilgi Koruma Uyum Denetimleri İçin Profesyonel Kurumlar İçin Hizmet Kapasitesi Gereklilikleri, şirketler adına denetim yapmak üzere işe alınan profesyonel ajansları hedeflemektedir.
Bu makalede, kişisel bilgi uyum denetimlerini kendi başlarına gerçekleştirmeyi seçen şirketler için gereklilikleri özetleyen ilk kılavuza odaklanıyoruz.
Arka Plan: Zorunlu Kişisel Bilgi Koruma Denetimleri
PIPL'nin 54. Maddesi, kişisel bilgi işleyicilerinin, kişisel bilgi işleme işlemlerinin Çin'in kişisel bilgi koruma yasaları ve düzenlemelerine uyup uymadığını belirlemek için düzenli denetimler yapmasını şart koşar. 1 Mayıs 2025'te, bu denetimlerin nasıl yapılacağına dair gereklilikleri özetleyen yeni bir dizi önlem yürürlüğe girdi.
Bu önlemler (Kişisel Bilgi Koruma Uyum Denetimlerinin Yönetimi İçin Önlemler şirketlere denetimi gerçekleştirmek için ya bir iç departman atama ya da üçüncü taraf bir ajans atama izni verir. Ayrıca, hangi şirketlerin uyum denetimleri yapması gerektiği ve bu denetimlerin ne sıklıkta yapılması gerektiği ile denetimin kapsamı hakkında daha fazla ayrıntı sağlar. Belirli durumlarda, siber güvenlik otoriteleri şirketlerden denetimi kendi adlarına gerçekleştirmek için profesyonel bir kurum atamalarını da isteyebilir.
Önlemler, denetimlerin nasıl gerçekleştirileceği hakkında ek ayrıntılar sağlayan bir dizi kılavuzla birlikte yayınlandı; bu kılavuzlar, şirketin kişisel bilgi işleme için yasal dayanak, kişisel bilgi işleme kuralları ve sınır ötesi veri transferi kurallarıyla uyumlu olup olmadığını değerlendirmek için gözden geçirilmesi gereken farklı faaliyetleri içerir.
Yeni kılavuzlar, daha küçük hacimlerde kişisel bilgi işleyen şirketler için denetim sıklığı, belirli deneyim seviyelerine sahip nitelikli uyum denetçileri atanması zorunluluğu ve kapsamlı kanıt ve dokümantasyon standartları dahil olmak üzere uyum denetimleri için daha ayrıntılı gereklilikler sunar.
Uyum denetimlerinin gerçekleştirilmesi için genel gereklilikler
Denetimleri kendi başlarına gerçekleştirmeyi seçen şirketler, denetimleri gerçekleştirmeye başlamadan önce belirli temel gereklilikleri karşılamalıdır. Bu gereklilikler, şirketin daha büyük hacimlerde kişisel bilgi işlemesi durumunda veya büyük ölçekli ya da ulusal çıkarlarla ilgili faaliyetlerde bulunması durumunda daha yüksektir.
İlk olarak, bir şirket 1 milyondan fazla kişinin kişisel bilgisini işliyorsa, uyum denetiminden sorumlu bir kişisel bilgi koruma görevlisi atamalıdır.
İkinci olarak, "büyük ağ platformları" olarak kabul edilen şirketler (50 milyondan fazla kayıtlı kullanıcıya veya 10 milyondan fazla aylık aktif kullanıcıya sahip internet platformları, karmaşık iş türleri ve ulusal güvenlik, ekonomik operasyon, ulusal ekonomi ve halkın geçim kaynakları üzerinde önemli etkisi olan internet veri işleme faaliyetleri yürütenler) uyum denetimlerini gerçekleştirmek için ağırlıklı olarak dış üyelerden oluşan bağımsız bir organizasyon kurmalıdır.
Kendi kendine denetim yapan şirketler ayrıca, koruma uyum denetimlerinin organizasyonu, personeli, yöntemleri, içerik temeli, kapsamı ve sıklığını, ayrıca uyum denetçilerinin sorumluluk ve yetkilerini netleştiren bir uyum denetim yönetim sistemi oluşturmak zorundadır.
Şirketler için diğer genel gereklilikler aşağıdaki tabloda özetlenmiştir.
Genel Gereksinimler (Kendi Kendine Denetim Yapan Tüm Şirketler İçin Geçerlidir) | |
Kategori | Gereklilik |
Personel bağımsızlığı | Denetçiler, denetlenen nesnenin yönetimi veya karar alma sürecine dahil olmamalıdır; raporlar doğrudan yönetim kuruluna veya uyum komitesine sunulmalıdır. |
İç sistemler | Denetim personeli, yöntemleri, sıklığı, içeriği, sorumlulukları vb. belirten PI koruma denetim sistemleri kurulmalıdır. |
Kaynaklar | Denetim faaliyetleri için gerekli bütçe, personel planları, tesisler, sistemler ve ekipman sağlanmalıdır. |
Denetim kanıtı | Sistem günlükleri, erişim kayıtları, teknik raporlar, sertifikalar ve gerçek operasyonları yansıtan diğer belgeler dahil olmak üzere etkili denetim kanıtları tutulmalıdır. |
Dokümantasyon | Ayrıntılı denetim planları, çalışma kağıtları ve açık sonuçlar, gözlemler ve öneriler içeren denetim raporları tutulmalıdır. Ek B ve C'deki şablonlar referans alınabilir. |
Denetim sıklığı ve personel ataması
Kılavuz ayrıca bir şirketin uyum denetimini ne sıklıkta gerçekleştirmesi gerektiğini de belirtir. Önlemler, Çin'de 10 milyondan fazla bireyin PI'sini işleyen şirketlerin en az iki yılda bir uyum denetimi yapmalarını gerektirirken, kılavuz işlenen PI hacmine göre gereken sıklığın daha ayrıntılı bir dökümünü sağlar:
- Büyük kuruluşlar (10 milyondan fazla kişi üzerinde PI işleyenler): En az her iki yılda bir.
- Orta ölçekli kuruluşlar (1 milyon ile 10 milyon kişi arasında PI işleyenler): PI uyum riskleri, PI hacmi, iş ölçeği vb. baz alınarak sıklığı makul bir şekilde belirleyerek en az her üç ila dört yılda bir.
- Küçük kuruluşlar (1 milyon kişiye kadar PI işleyenler): PI uyum riskleri, PI hacmi, iş ölçeği vb. baz alınarak sıklığı makul bir şekilde belirleyerek en az her beş yılda bir.
Belirli bir PI hacmini aşan şirketler, uyum denetçisi olarak görev yapacak farklı deneyim seviyelerine sahip personel atamak zorundadır.
Üç deneyim seviyesi vardır: başlangıç, orta, ve kıdemli. Bir şirket denetimleri kendi yaparsa, uyum denetçilerinin aşağıdaki kriterleri karşılaması gerekir:
- 10 milyondan fazla kişinin PI'sini işleyen şirketler için: En az bir kıdemli düzeyde ve en az üç orta düzeyde olmak üzere en az 10 PI uyum denetçisi.
- 1 milyon ile 10 milyon kişi arasında PI işleyen şirketler için: En az ikisi orta düzey veya üstü olmak üzere en az beş PI koruma uyum denetçisi.
Şirket Ölçeği ve PI Hacmine Göre Uyum Denetimi Gereksinimleri | |||||
Kategori | Kullanıcı/PI hacmi | Hizmet türü | Denetim personeli gereksinimler | Denetim sıklığı | Diğer gereksinimler |
Küçük ölçekli kuruluşlar | ≤ 1 milyon birey | Genel | Belirtilmemiş | En az her 5 yılda bir; riske dayalı | Denetim bağımsızlığı, denetim sistemi, araçlar ve gerekli dokümantasyon |
Orta ölçekli kuruluşlar | > 1 milyon ve ≤ 10 milyon birey | Genel | ≥ 5 denetim personeli, ≥ 2'si orta veya kıdemli niteliklere sahip* | En az her 3-4 yılda bir; risk bazlı | PI koruma lideri gereklidir; iç sistemler ve denetim araçları gereklidir |
Büyük ölçekli kuruluşlar | > 10 milyon birey | Genel | ≥ 10 denetim personeli, ≥ 1 kıdemli ve ≥ 3 orta | En az her 2 yılda bir | PI koruma lideri olmalıdır; daha sıkı kontroller, kaynak tahsisi ve bağımsız denetim gereklidir |
Önemli internet platformları | ≥ 50 milyon kayıtlı kullanıcı VEYA ≥ 10 milyon MAU | Karmaşık iş, yüksek ulusal etki | En az büyük ölçekli (minimum) + bağımsız dış denetim organı gereklidir | En az 2 yılda bir | Bağımsız denetim komitesi, ağırlıklı olarak dış üyelerden oluşur; aynı iç kontrol ve denetim bağımsızlığı geçerlidir |
Kılavuz ayrıca üç deneyim seviyesi için kriterlerin ayrıntılı bir dökümünü sağlar.
Uyum Denetimi Personel Yeterlilik Gereksinimleri Özeti | |||
Kriter | Junior | Intermediate | Senior |
İş deneyimi | PI koruma ile ilgili ≥ 2 yıl çalışma | PI koruma ile ilgili ≥ 3 yıl çalışma, artı ≥ 5 büyük denetim projesinde son deneyim | ≥ 4 yıl PI koruma ile ilgili çalışma, 10 milyon+ bireyin PI'sini işleyen kuruluşlar için ≥ 5 denetimde proje lideri |
Hukuki ve düzenleyici bilgi | Yasalar ve standartlar hakkında temel anlayış; rehberlik altında yaygın riskleri tanımlayabilir | Hukuki metinler ve standartlar konusunda yetkin; boşluk analizi yapabilir ve tipik senaryolarda uyumu değerlendirebilir | Uzman düzeyinde ustalık; karmaşık yasaları yorumlayabilir ve çeşitli senaryolarda uyumu bağımsız olarak değerlendirebilir |
Denetim profesyonel becerileri | Rehberlik altında veri toplama, temel belge incelemesi ve kanıt derleme konusunda yardımcı olun | Denetimleri bağımsız olarak yürütün, görevleri yönetin, sorunları analiz edin ve ilk düzeltme tavsiyeleri sunun | Tam denetim sürecini tasarlayın ve optimize edin; karmaşık bağlamları analiz edin; uygulanabilir, ileriye dönük önerilerde bulunun |
İletişim ve koordinasyon | Temel iletişim, ekiple birlikte atanmış görevleri tamamlama yeteneği | İş/teknik ekiplerle iyi iletişim; kıdemli personelin koordinasyonuna destek | Yöneticilerle dahil olmak üzere mükemmel çapraz fonksiyonel iletişim; denetim sırasında anlaşmazlıkları çözme |
Takım liderliği | N/A | Projeler için görev dağılımı ve zaman yönetimi | Ekibi yönlendirin, mentorluk yapın ve denetleyin; genel ekip yeteneğini artırın |
Raporlama ve dokümantasyon | Taslak çalışma kağıtlarına yardımcı olun; denetim altında temel rapor bölümleri yazın | Yapılandırılmış çalışma kağıtları ve raporlar yazın; dokümantasyon kalitesini yönetin | Net bulgular ve öneriler içeren yüksek kaliteli raporlar yazın; nihai raporları gözden geçirin ve onaylayın; izlenebilirliği sağlayın |
Proje deneyimi | N/A | ≥ 5 denetimde (3 yıl) yer aldı, ya >10 milyon PI için ana üye ya da 1–10 milyon için lider olarak | 10 milyon PI kaydına sahip kuruluşlar için ≥ 5 denetimde (3 yıl) lider rolü |
Gerekli belgeler
Şirketlerin, belirli gereksinimleri karşılaması gereken denetim sürecine ait belge kayıtlarını tutmaları gerekmektedir. Bu belgeler aşağıdaki gibidir:
- Denetim planı: Denetim kapsamı, temeli, içeriği, metodolojisi, organizasyonu, personeli, programı ve çalışma gereksinimlerini açıkça tanımlamalıdır.
- Denetim çalışma kağıtları: Denetim sürecinde derlenmiş olup, atılan adımları, kullanılan yöntemleri, bulguları, kanıtları ve her denetim maddesi için gerekçeyi belgelendirmelidir. Kayıtlar eksiksiz, doğru, objektif ve düzenli olmalıdır.
- Denetim Raporu: Çalışma kağıtlarına dayanarak, nihai denetim raporu denetim genel bakışını, temelini, sonuçlarını, bulgularını, görüşlerini ve önerilerini içermelidir.
- İç denetimler için imzalar: İç ekip tarafından hazırlanan raporlar, denetim ekip lideri tarafından imzalanmalıdır. Kuruluş, 1 milyondan fazla bireyin verilerini işliyorsa, rapor ayrıca kişisel bilgi koruma sorumlusu tarafından da imzalanmalıdır.
Uyum denetimlerini yürütme süreci
Kılavuz, bir uyum denetimi yürütmek için beş adımı özetlemektedir: hazırlık, uygulama, raporlama, sorun düzeltme ve arşiv yönetimi.
Adım 1: Denetim hazırlığı. Bu beş ana adımı içerir:
- Kapsamı ve temeli tanımlayın: Denetimin kapsamını, hedeflere ve kuruluşun veri uygulamalarına göre belirleyin, ilgili yasa ve standartlara atıfta bulunun.
- Denetim ekibini oluşturun: Kuruluşun büyüklüğüne, veri karmaşıklığına ve iç veya dış kaynaklara göre nitelikli bir ekip oluşturun. Süreci yönetmek için bir ekip lideri atayın.
- Ön denetim araştırması: Kuruluşun kişisel bilgi koruma uygulamalarını anlamak için anketler, görüşmeler ve belge incelemeleri yoluyla arka plan bilgisi toplayın.
- Denetim yöntemlerini seçin: Denetimin doğasına ve gereken kanıtlara göre uygun denetim yöntemlerini (yerinde, uzaktan, elektronik) seçin.
- Denetim planını geliştirin ve gözden geçirin: Kapsam, yöntemler, zaman çizelgesi, ekip rolleri ve risk kontrollerini kapsayan ayrıntılı bir plan taslağı hazırlayın. Uygulamadan önce gözden geçirin ve gerektiğinde ayarlayın.
Adım 2: Denetim uygulaması. Bu adım aşağıdaki görevleri içerir:
- Bildirim gönderme: Denetim hedefini önceden bilgilendirin, denetim katılımcılarını, sorumlulukları, kapsamı, yöntemleri, iletişim kanallarını, güvenlik ve gizlilik önlemlerini, gereken kaynakları ve geri bildirim ve acil durum yönetimi prosedürlerini netleştirin.
- Kanıt toplama: Denetim bulgularını desteklemek için birden fazla kaynaktan ilgili ve nesnel kanıtlar toplayın. Kanıtların iyi organize edilmiş, güvenli bir şekilde saklanmış ve denetim çalışma kağıtlarına derlenmiş olmasını sağlayın.
- Kanıtları doğrulama ve kabul etme: Yalnızca siber güvenlik veya veri korumayla ilgili yakın tarihli iç değerlendirmeler veya sertifikalar gibi güvenilir kanıtları kabul edin. Denetim bulgularını oluşturmadan önce kanıtları doğrulamak için analiz veya test yöntemlerini kullanın.
- Denetim çalışma kağıtlarını taslak hazırlama: Denetim sürecinin tamamını, yöntemler, kanıtlar, bulgular ve sonuçlar dahil olmak üzere ayrıntılı bir şekilde belgeleyin. Ekip isimleri, denetim tarihleri, izlenen prosedürler ve destekleyici materyaller veya görüşmeler gibi bilgileri ekleyin.
- Bulgu doğrulama: Kanıtları analiz ederek uyum sorunlarını belirleyin ve bulguları denetim temeline karşı doğrulayın. Bulguları denetlenen kuruluşun yönetimi ile sunun ve doğrulayın. Anlaşmazlıklar ortaya çıkarsa, bunlar tartışılmalı ve çözülmezse kaydedilmelidir. Bulgular ayrıca etki ve iyileştirme zorluğuna göre önceliklendirilebilir.
Adım 3: Denetim raporlama. Bu adım aşağıdaki ana faaliyetleri içerir:
- Uyuşmazlık çözümü: Denetim raporu taslağı hazırlanmadan önce itirazların dile getirilmesi için bir mekanizma oluşturulmalıdır. Denetlenen kuruluş herhangi bir bulguya itiraz ederse, denetçiler bu itirazları derhal iletmeli ve çözmeli, hem nihai sonuçları hem de çözüm sürecini belgelemelidir.
- Denetim raporu hazırlama: Denetçiler, denetim sürecini, bulguları ve önerileri özetleyen resmi bir yazılı rapor hazırlar.
- Rapor teslimi: Denetlenen kuruluşa, kararlaştırılan zaman dilimi içinde teslim edin.
Adım 4: Sorun düzeltme. Denetim raporu teslim edildikten sonra, denetçiler belirlenen uyumsuzluk sorunlarını takip etmelidir. Denetlenen kuruluşun, belirli bir zaman dilimi içinde düzeltici önlemleri uygulaması beklenir. Gerekirse, denetçiler düzeltici önlemlerin tamamlanıp tamamlanmadığını ve etkili olup olmadığını doğrulamak için bir takip denetimi yapabilir.
Adım 5: Arşiv yönetimi. Denetimle ilgili tüm materyaller, çalışma kağıtları, denetim raporları ve destekleyici belgeler dahil olmak üzere, izlenebilirlik ve hesap verebilirliği sağlamak için düzgün bir şekilde arşivlenmelidir.gelecekteki referans veya inceleme için.
