Hong Kong PDPO Çerez Onayı Uyumluluk Rehberi: 2026 Yayıncılar İçin
Hong Kong'un Personal Data (Privacy) Ordinance (PDPO) yasası, 1996'da yürürlüğe girerek Asya'daki en eski kapsamlı gizlilik mevzuatlarından biri haline geldi. Varlığının büyük bölümünde PDPO garip bir konumda yer aldı: yapısal olarak sağlam, ancak değişiklik yerine yorumla yavaş yavaş gelişen bir yasa. Privacy Commissioner for Personal Data (PCPD), bu gelişimin aktif itici gücü oldu; Hong Kong'un operasyonel standardını Avrupa normlarıyla giderek uyumlu hale getiren rehberlik notları yayımlarken temel mevzuat Singapur, Avustralya ve hatta Mainland China'ya kıyasla daha az dramatik biçimde değişti. 2021 değişiklikleri özellikle doxxing'i kapsıyordu; ancak daha geniş gizlilik rejimi, neredeyse üç on yıllık PCPD rehberliği üzerinden yorumlanan orijinal PDPO çerçevesi altında çalışmaya devam ediyor. Hong Kong trafiğine hizmet eden yayıncılar ve SaaS operatörleri için — Asya'nın en büyük finansal hizmetler konsantrasyonlarından birini ve önemli bir bölgesel e-ticaret payını kapsayan bir pazar — 2026'daki PDPO uyum tablosu, olgun bir düzenleyici, orta düzeyde katı standartlar ve alışılmadık ölçüde net rehberlik belgelerinin varlığına işaret ediyor. Bu makale PDPO'nun gerekliliklerini, PCPD'nin çerçeveyi çevrimiçi takibe nasıl uyguladığını ve çerez banner tasarımına yönelik operasyonel sonuçları ele alıyor.
PDPO'ya Genel Bakış
PDPO; kişisel verilerin toplanmasını, doğruluğunu, saklanmasını, kullanımını, güvenliğini ve açıklığını düzenleyen altı Veri Koruma İlkesi (DPP) etrafında yapılandırılmıştır. İlkeler GDPR'dan neredeyse iki on yıl önce hazırlandı ve biraz farklı bir terminoloji kullanıyor; ancak yorum yoluyla esas standartlar birbirine yakınlaştı. DPP1 (toplama amacı ve yöntemi), DPP3 (kişisel verilerin kullanımı) ve DPP5 (genel olarak erişilebilir bilgi), çevrimiçi takiple en doğrudan ilgili ilkelerdir.
Yönetmelik, kişisel verilerin toplanması, tutulması, işlenmesi veya kullanımını kontrol eden her veri kullanıcısına uygulanır; bu, GDPR'ın denetleyici olarak adlandırdığı şeyin Hong Kong terimidir. Bölgesel kapsam tartışmalı bir alan olmuştur: PDPO, bölge dışı doktrinlerden önce gelir ve PCPD, kıyı ötesi uygulama konusunda tarihsel olarak EDPB'den daha muhafazakâr bir tutum benimsemiştir. Pratikte PCPD, Hong Kong sakinlerini hedef alan veya yeterli bağlantıyla Hong Kong verilerini işleyen kıyı ötesi operatörler üzerinde yetki iddia etmektedir; bu nedenle Hong Kong trafiğine hizmet eden operatörlerin bölge dışı kapsamın geçerli olduğu varsayımıyla plan yapmaları gerekir.
PDPO Çerezleri ve Çevrimiçi Takibi Nasıl Ele Alıyor
PDPO, çereze özgü bir hüküm içermiyor; onay ve bilgi yükümlülükleri DPP'lerden ve PCPD'nin Çevrimiçi Takip ve Davranışsal Reklamcılık üzerine hazırladığı 2022 Guidance Note'dan kaynaklanıyor. Rehber, Asya çerez uyumu konusundaki en açık belgelerden biridir ve EDPB Cookie Banner Taskforce tutumuna yakından paralel beklentiler ortaya koymaktadır.
Zorunlu olmayan takip için açık onay
PCPD'nin tutumu, zorunlu olmayan takip için onayın açık olması gerektiği yönündedir. Zımni onay, kullanımın sürdürülmesi ve önceden işaretlenmiş kutular, çevrimiçi bağlamda yorumlandığında DPP1'in özel ve bilgili gereksinimini karşılamamaktadır. Rehber Notu, scroll-as-consent'i açıkça kusurlu bir model olarak adlandırmaktadır.
Ayrıntılı kategori kontrolleri
Bannerların, kullanıcının kategorileri bağımsız olarak kabul etmesine ve reddetmesine izin vermesi gerekir. Rehber, eşdeğer bir red seçeneği olmaksızın tek düğmeli Tümünü Kabul Et'i yapısal bir kusur olarak değerlendirmekte ve pazarlama çerezlerinin kesinlikle gerekli olarak yanlış etiketlenmesini ayrı bir ihlal olarak tespit etmektedir.
Gizlilik bildirimi içeriği
DPP5 tarihsel olarak en aktif biçimde uygulanan ilkelerden biri olmuştur. Gizlilik bildirimleri; veri kullanıcısını, amaçları, alıcıları (aktarım alıcıları dahil), DPP6 kapsamındaki haklar çerçevesini (erişim ve düzeltme) ve sorular için bir iletişim noktasını tanımlamalıdır. PCPD, genel şablona dayalı bildirimlerin DPP5'i karşılamadığını açıkça belirtmiştir; açıklama gerçek işlemeyi yansıtmalıdır.
Sınır ötesi aktarım (Section 33)
PDPO'nun Section 33'ü sınır ötesi aktarımları düzenler ve Yönetmelik tarihinin büyük bölümünde rejimin en sıra dışı özelliği olmuştur: bölüm 1995'te kabul edilmiş ancak Sekreter tarafından hiçbir zaman yürürlüğe konulmamıştır. Yine de PCPD, model sözleşme hükümleri yayımlamış ve Section 33 tarzı güvenceleri Hong Kong dışı yargı bölgelerine yapılan aktarımlar için pratikte zorunlu sayıyor. Hukuki statü belirsizdir — Section 33 kanundur ancak operasyonel değildir — ama operasyonel beklenti GDPR'ın Chapter V'ini izlemektedir.
PCPD'nin Uygulama Tutumu
PCPD, büyük Avrupa veri koruma otoritelerinden üç gözlemlenebilir açıdan farklılaşan kendine özgü bir uygulama stiliyle çalışmaktadır.
Uyum soruşturmalarının yoğun kullanımı
PCPD'nin birincil uygulama aracı, para cezası yerine uygulama bildirimiyle sonuçlanan uyum soruşturmasıdır. Bildirimler belirlenmiş bir süre içinde giderim gerektirmekte ve tipik olarak parasal yaptırım uygulanmadan çözüme kavuşmaktadır. Hukuki yaptırımlar mevcut olmakla birlikte nadiren kullanılmıştır.
Uygulama sinyali olarak kamuoyu yorumları
PCPD, güçlü emsal niteliğinde para cezalarının yokluğunda içtihat işlevi gören yüksek profilli davalar için ayrıntılı soruşturma raporları yayımlamaktadır. Operatörler bu raporları dikkatle okur; zira raporlar, resmi rehberde yer almayabilecek spesifik beklentileri dile getirir.
Anakarayla koordinasyon
Hong Kong ve Mainland China veri akışlarını içeren sınır ötesi soruşturmalar, Cyberspace Administration of China ile koordineli prosedürler aracılığıyla giderek daha fazla yürütülmektedir. PIPL'ın bölge dışı kapsamı ve Hong Kong'un Greater Bay Area ekonomik çerçevesindeki konumu, bu koordinasyonu pek çok yargı bölgesinde olduğundan daha operasyonel açıdan önemli kılmaktadır.
Pratik Uyum Kontrol Listesi
Hong Kong trafiğine hizmet eden herhangi bir çerez banner'ı için yanıtlanması gereken altı somut soru.
- Birinci katmanda açık bir red seçeneği var mı? Red yolu, kabul ile aynı yüzeyde ve karşılaştırılabilir belginlikte yer almalıdır. Scroll-as-consent ve kullanımın sürdürülmesi 2022 Guidance'ı karşılamamaktadır.
- Kategoriler ayrıntılı mı? Zorunlu, analitik ve pazarlama kategorileri ayrı ayrı kontrol edilebilir olmalıdır.
- DPP5 bildirimi spesifik mi? Gizlilik bildiriminin gerçek veri kullanıcılarını, amaçları ve alıcıları tanımladığını doğrulayın.
- Dil uygun mu? Anadili Çince olan kullanıcıları içerebilecek kitlelere yönelik banner ve bildirim, İngilizce'nin yanı sıra Traditional Chinese dilinde de sunulmalıdır (Hong Kong standardı).
- Sınır ötesi aktarımlar belgelenmiş mi? Section 33 operasyonel değil; ancak PCPD, sözleşmeye dayalı güvenceleri beklenen uygulama olarak değerlendirmektedir. Hong Kong dışındaki her hedefi ve aktarıma yetki veren güvenceyi tespit edin.
- Onay kaydı denetim düzeyinde mi? Bir PCPD uyum soruşturmasına yanıt verebilmek için zaman damgası ve banner sürümünü içeren onay kararı kayıtlarına ihtiyaç vardır.
Hong Kong Çok Yargı Bölgeli Yapıda Nerede Yer Alıyor
Hong Kong, Greater China'nın en olgun veri koruma rejimi olup Mainland China ile dünyanın geri kalanı arasındaki sınır ötesi veri akışları için fiilî giriş noktası işlevi görmektedir. Pan-Asya operasyonlarına yönelen yayıncılar için PDPO, Singapur'un PDPA'sı, Japonya'nın APPI'si ve Güney Kore'nin PIPA'sı ile birlikte operasyonel açıdan en belirleyici dört Asya rejiminden biri olarak öne çıkmaktadır. PDPO kağıt üzerinde dört rejimin en izin verici olanıdır; ancak belge kalitesi açısından en yüksek talebi ortaya koymaktadır; zira PCPD'nin soruşturma odaklı uygulaması, iyi yazılmış bir gizlilik bildirimini tek başına en güçlü savunma hattı haline getirmektedir. Avrupa standartlarına göre inşa edilmiş bir CMP mimarisi, Hong Kong uyumunun büyük bölümünü iki ek özellikle karşılar: Traditional Chinese dil desteği ve Section 33'ün resmi olarak yürürlükte olmadığı durumlarda bile ima ettiği sınır ötesi aktarım belgesi modelidir. Hong Kong'a kıyıdan hizmet veren operatörler için pratik tutum, PCPD'nin 2022 Guidance Note'unu yetkili belge olarak kabul etmek ve yalnızca eski PDPO metnine değil, bu belgede yer alan spesifik başarısızlık kalıplarına karşı tasarım yapmaktır.