PDPL Əslində Nədir

PDPL Səudiyyə Ərəbistanının ilk hərtərəfli məxfilik qanunudur. 2021-ci ildə M/19 Kral Fərmanı ilə verilmiş, GDPR və oxşar rejimlər tərəfindən müəyyənləşdirilən qlobal standarta daha yaxın uyğunlaşdırmaq üçün 2023-cü ilin martında dəyişdirilmiş və bir illik güzəşt müddətindən sonra 14 sentyabr 2024-cü ildə tam qüvvəyə minmişdir. Qanun Milli Məlumat İdarəçiliyi Müvəqqəti Qaydaları, Bulud Hesablama Tənzimləmə Çərçivəsi və SDAIA-nın məlumata azad giriş qaydalarını əhatə edən daha geniş Səudiyyə məlumat idarəçiliyi paketinin içindədir — lakin nəşriyyatçılar üçün PDPL cookie-ləri, reklam izlənməsini, analitikanı və vebsayt və ya tətbiqə bağlı hər hansı digər şəxsi məlumat emalını tənzimləyən hissədir.

Tətbiqedici Qaydalar

PDPL qısadır. Detallar SDAIA tərəfindən 2023-cü ilin sentyabrında nəşr olunan və 2024 və 2025-ci illərdə təkmilləşdirilən iki tətbiqedici qaydada yerləşir: Tətbiqedici Qaydalar (ümumi) və Şəxsi Məlumatların Köçürülməsi Qaydaları (sərhədlərarası). Birlikdə bunlar nəşriyyatçılara razılıq keyfiyyəti, saxlama, pozuntu bildiriş müddətləri və Səudiyyə sakinlərinin məlumatlarının Krallıqdan xaricə göndərilmə şərtləri barədə konkret cavablar verir. Hələ də yalnız 2021-ci il mətninə əsasən işləyən hər kəs köhnəlmiş xəritəni oxuyur.

Nəşriyyatçıların Bilməli Olduğu Tətbiq Zaman Cədvəli

SDAIA təşkilatlara 14 sentyabr 2024-cü ilədək tam uyğunluğa gəlmək üçün müddət verdi. Audit məktublarının ilk dalğası 2024-cü ilin sonlarında maliyyə, telekommunikasiya və dövlət xidmətlərindəki böyük nəzarətçilərə göndərildi. 2025-ci il boyunca audit proqramı reklam maliyyələşdirilən media, e-ticarət və Səudiyyə sakinlərinin müəyyən bir həcmdən çox məlumatını işləyən hər hansı platforma daxil olmaq üçün genişləndi. 2026-cı ilə qədər SDAIA kiçik və orta nəşriyyatçıların indi əhatə dairəsinə girdiyi siqnalını verdi — xüsusilə ərəbdilli məzmunu və ya reklam xərci qəsdən Səudiyyə auditoriyasına işarə edən hər operator.

SDAIA-nın Məlumat Nəzarətçisi Kimi Kimlərə Baxdığı

PDPL ərazidənkənar tətbiq olunur. Qanun əsasında nəzarətçi olmaq üçün Səudiyyə qurumuna, Səudiyyə serverinə və ya Səudiyyə bank hesabına ehtiyacınız yoxdur. Saytınız və ya tətbiqiniz Krallıqda yaşayan şəxslərin şəxsi məlumatlarını emal edirsə, siz əhatə dairəsindasınız. Nəşriyyatçılar üçün bu kanca adi reklam texnologiyası məlumat axını ilə tetiklənir: IP ünvanları, cihaz ID-ləri, hash edilmiş e-poçtlar, davranış cookie-ləri və proqramatik hərraclar vasitəsilə axan istifadəçi identifikatorları Səudiyyə sakini ilə bağlı olduqda şəxsi məlumat sayılır.

Yerli Nümayəndə Tələbi

Krallıqda varlığı olmayan xarici nəzarətçilər SDAIA-da qeydiyyatdan keçmiş yerli nümayəndə təyin etməlidir. Nümayəndə məlumat subyektlərinin müraciətləri və tənzimləyici yazışmaları üçün hüquqi əlaqə nöqtəsidir. Kiçik nəşriyyatçılar çox vaxt bunu yerli olaraq şirkət qurmaq əvəzinə məxfilik xidmətləri firması vasitəsilə həll edir — lakin Səudiyyənin müntəzəm emalı həddini keçdikdən sonra təyinat məcburidir.

Reklam Texnologiyası üçün Birgə Nəzarətçi Ssenariləri

Proqramatik reklam yerini gəlir gətirən təchizat zənciri — CMP-niz, reklam serveriniz, çağırdığınız SSP-lər, təklif verən DSP-lər, yoxlama satıcıları və ölçmə tərəfdaşları — PDPL altında GDPR-dakı kimi birgə və ayrı-ayrılıqda nəzarətçi münasibətləri yaradır. Nəşriyyatçılar PDPL məsuliyyətini satıcıya yükləyə bilməz. SDAIA nəşriyyatçıdan hər növbəti tərəfdaşın razılıq lövhəsində nəşriyyatçının vəd etdiyi şeyə uyğun öz qanuni əsasına və müqavilə öhdəliklərinə sahib olduğunu nümayiş etdirməsini gözləyir.

Tətbiqedici Qaydalar Altında Cookie Razılığı

PDPL razılığı şəxsi məlumatların işlənməsi üçün qanuni əsaslardan biri kimi tanıyır və Tətbiqedici Qaydalar etibarlı razılığın necə göründüyünü izah edir. Standart yüksəkdir — CCPA-dan çox GDPR-a yaxındır — və cookie-ləri, pikselləri, SDK-ları, barmaq izi götürməni və istifadəçinin cihazında məlumat oxuyan və ya yazan hər hansı digər izləmə texnologiyasını əhatə edir.

Etibarlı Razılıq Nə Sayılır

Razılıq sərbəst verilmiş, xüsusi, məlumatlı və açıq olmalıdır. Əvvəlcədən işarəli qutular, istifadəçi qəbul etmədikcə məzmunu bloklayan cookie divarları və qeyri-müəyyən "gözdən keçirməyə davam etməklə" bildirişlər standartı ödəmir. İstifadəçi qeyri-müəyyən olmayan təsdiq hərəkəti etməlidir — adətən Qəbul et düyməsinə bir klik — və bu hərəkət emal məqsədlərinin açıq təsviri ilə əlaqəli olmalıdır. Analitikanı, reklamı və fərdiləşdirməni tək bir bəli-xeyr sualına yığan paketlənmiş razılıq açıq şəkildə yasaqdır.

Ətraflı Məqsəd Kateqoriyaları

SDAIA-nın təlimatı nəşriyyatçı CMP-nin açıqlamalı olduğu məqsəd kateqoriyalarını sıralayır: mütləq zəruri, funksional, analitika, reklam, fərdiləşdirmə və sağlamlıq və ya biometrik çıxarımlar kimi hər hansı həssas məlumat emalı. Hər kateqoriyanın öz keçid düyməsi, öz məqsəd təsviri və öz satıcı siyahısı olmalıdır. PDPL-ə xas mətnlə ərəb dilində uyğun şəkildə genişləndirilmiş IAB Europe TCF v2.3 çərçivəsi nəşriyyatçıların ətraflılıq tələbini ödəmək üçün istifadə etdiyi ən geniş yayılmış yoldur.

Geri Götürmə və Yenidən Razılıq

Razılığı geri götürmə hüququ onu vermə qədər asan olmalıdır. Üzən razılıq tercihləri ikonu, altbilgi linki və ya tətbiq daxili parametrlər paneli uyğundur; gizli yalnız e-poçt vasitəsilə imtina uyğun deyil. Nəşriyyatçılar material dəyişikliklər üçün — yeni reklam tərəfdaşı, yeni cookie məqsədi, yeni SDK — dövri yenidən razılıq planlaşdırmalı, SDAIA isə CMP audit jurnalının hər yenidən razılıq hadisəsini zaman damğası ilə qeyd etməsini gözləyir.

Sərhədlərarası Köçürmələr və Məlumat Lokalizasiyası

Şəxsi Məlumatların Köçürülməsi Qaydaları PDPL-in nəşriyyatçıları ən çox çaşdırma ehtimalı olan hissəsidir, çünki Səudiyyəli istifadəçinin IP ünvanının proqramatik həraca daxil olduğu an məlumatlar faktiki olaraq SSP-lərin və DSP-lərin fəaliyyət göstərdiyi yerə köçürülmüş olur. SDAIA buna azad axın kimi baxmır.

Adekvatlıq Siyahısı və Standart Müqavilələr

Nəzarətçi şəxsi məlumatları Krallıq xaricinə üç əsas mexanizmdən biri əsasında köçürə bilər: təyinat ölkəsi üçün SDAIA tərəfindən təsdiq edilmiş adekvatlıq qərarı, SDAIA tərəfindən təsdiq edilmiş standart müqavilə və ya qrup daxili köçürmələr üçün məcburi korporativ qayda dəsti. 2026-cı il vəziyyətinə görə adekvatlıq siyahısında az sayda GCC qonşusu və bir neçə Avropa yurisdiksiyası var, lakin reklam texnologiyasının əksər təyinat yerləri — ABŞ daxil olmaqla — onun xaricindədir və ya standart müqavilə, ya da istisnalar tələb edir.

Məlumat Köçürməsi Təsir Qiymətləndirməsi

Yüksək riskli köçürmələr üçün SDAIA köçürmə başlamazdan əvvəl sənədləşdirilmiş Məlumat Köçürməsi Təsir Qiymətləndirməsi (DTIA) tələb edir. Bu, Schrems II sonrası AB-nin köçürmə təsir qiymətləndirməsinin Səudiyyə analoqudur. Nəşriyyatçılar CMP və reklam texnologiyası satıcıları ilə birlikdə təkrarlanan proqramatik axınları əhatə edən şablon DTIA-lar hazırlamalı və hər dəfə satıcı emal yerlərini dəyişdirdikdə onları yeniləməlidir.

Nəşriyyatçılar üçün Praktiki Uyğunluq Addımları

PDPL proqramı nəşriyyatçının mövcud CMP-si və reklam paketinə təmiz şəkildə uyğunlaşan beş əməliyyat tapşırığına bölünür. GDPR və ya LGPD uyğunluğunu artıq həyata keçirmiş hər kəsə bunların heç biri tanış gəlməz — fərq Səudiyyə mətninin detallarında və xüsusi köçürmə qaydalarındadır.

CMP Konfiqurasiya Yoxlama Siyahısı

Razılıq lövhənizin KSA ziyarətçiləri üçün ərəbcə, qalan hamı üçün isə ingiliscə göründüyünü, məqsəd kateqoriyalarının tam ətraflı olduğunu, hamısını rədd et yolunun bir kliklə həyata keçirildiyini və görsel olaraq hamısını qəbul et ilə bərabər olduğunu, razılıq sətirinin Google Consent Mode v2 və ya TCF inteqrasiyanız vasitəsilə aşağı axına ötürüldüyünü yoxlayın. CMP-nizin zaman damğası, siyasət versiyası və istifadəçi identifikatoru ilə PDPL-ə xas razılıq qəbzi qeyd etdiyinə əmin olun ki, audit cavabları günlər yerine dəqiqələr içindəki toplanıla bilsin.

Razılıq Jurnalları və Audit İzi

SDAIA-nın audit komandaları tanış formada razılıq sübutu tələb edir: kim, nəyə, nə vaxt, hansı lövhə versiyası ilə razılıq verdi və razılıq anında nə bildirilib. Bu jurnalları ən azı iki il saxlayın və CMP satıcısının dəyişdirilməsini dözəcək şəkildə — nəzarətçiyə məxsus məlumat anbarına ixrac etmək ən təmiz üsuldur.

Məlumat Subyektlərinin Hüquqları İş Axını

PDPL otuz günlük cavab müddəti ilə giriş, düzəliş, silmə və portativlik hüquqları verir. Bilet iş axını olmayan tək bir privacy@ gelen qutusuna sahib nəşriyyatçı son tarixi tutdurmaqdan daha çox qaçırar. Sənədləşdirilmiş qəbuldan-cavaba proses qurun, bir adlandırılmış sahibi öyrədin və silmə sorğularının aşağıya yayılması üçün iş axınını CMP və reklam serveri razılıq qeydlərindən inteqrasiya edin.

Nəticə

Səudiyyə Ərəbistanının 2026-cı ildəki PDPL-i nəşriyyatçıların GDPR və CCPA-nın arxasında öncelikten düşürə biləcəyi yumşaq bir rejim deyil. SDAIA-nın bunu tətbiq etmək üçün maliyyəsi, audit gücü və siyasi dəstəyi var, xüsusən də sərhədlərarası köçürmə qaydaları nəşriyyatçıların mühəndislik etməli olduğu qlobal reklam texnologiyası təchizat zənciri ilə real sürtüşmə yaradır. Xoş xəbər odur ki, PDPL GDPR-dan kifayət qədər borc alır ki, yetkin Avropa uyğunluq mövqeyinə sahib bir nəşriyyatçı çox yola gedib. Razılıq lövhənizi ərəbcəyə lokallaşdırın, mövcud TCF qurğunuzun üstünə PDPL-ə xas məqsəd mətni qoyun, köçürmə mexanizmlərini sənədləşdirin, Səudiyyə trafikiniz bunu tələb edirsə yerli nümayəndə təyin edin, Səudiyyə auditoriyanız PDPL-i kağız məşqi kimi görən operatorlar 2026-cı ili audit məktublarını oxuyaraq keçirərkən gəlir gətirən qalır.