Mısır Kişisel Verilerin Korunması Kanunu 151/2020 Çerez Onayı Uyumluluk Kılavuzu: Yayıncılar için 2026 Oyun Kitabı

Mısır Kişisel Verilerin Korunması Kanunu No. 151/2020 — genellikle Mısır PDPL'si olarak anılır — 15 Temmuz 2020'de yürürlüğe girmiş ve 14 Ekim 2020'de yürürlüğe girmiştir. O tarihten bu yana geçen sürenin büyük bölümünde, yürütme yönetmeliklerinin bulunmaması Kanun'un uygulanabilir bir rejimden ziyade ilkeler beyanı olarak kalmasına neden olmuştur. Bu durum, Kanun kapsamında kurulan ve Bilgi ve İletişim Teknolojileri Bakanlığı'na bağlı regülatör olan Kişisel Verilerin Korunması Merkezi'nin operasyonel çerçevesini, lisans gerekliliklerini ve Kanun'un çıkarılmasına bıraktığı yürütme yönetmeliklerini yayımlamasıyla değişmiştir. 2026 itibarıyla rejim tam operasyonel, veri sorumluları ve veri işleyenler için lisans süreci aktif ve Mısır'da faaliyet gösteren veya Mısır'ı hedefleyen yayıncılar, eski bölgesel modellerden ziyade GDPR'e daha yakın olan yerli bir onay standardına tabidir. Çerez onayına yönelik çıkarım doğrudandır: eski rejim altında Mısır'da çalışan bir banner artık yeterli değildir ve GDPR'i karşılayan bir banner, iki çerçevenin ayrıştığı noktaları entegrasyon dikkate aldığında PDPL'yi de karşılayacaktır.

Mısır PDPL'sinin gerçekten ne gerektirdiği

Kanun, veri sorumlusunun veya veri işleyenin nerede kurulu olduğundan bağımsız olarak Mısır'da ikamet edenlerin kişisel verilerinin işlenmesine ve veri sahiplerinin nerede bulunduğundan bağımsız olarak Mısır'da kurulu veri sorumlularına ve veri işleyenlere uygulanır. Bu toprak dışı kapsam GDPR Madde 3'ü yansıtmakta ve Mısır dışında merkezi bulunan ancak Mısırlı okuyucuları, uygulama kurulumları veya ödeme yapan müşterileri olan bir yayıncının kesinlikle kapsam dahilinde olduğu anlamına gelmektedir. Kişisel veriler, kimliği belirli veya belirlenebilir gerçek bir kişiyle ilgili her türlü veri olarak geniş biçimde tanımlanmakta; sağlık, biyometrik, genetik, ruh sağlığı, finansal, dini inanç, siyasi görüş ve cezai mahkumiyet verileri dahil olmak üzere hassas kişisel veriler daha yüksek onay eşiğine ve ek güvencelere tabi tutulmaktadır.

Kanun, işleme için hukuki dayanakları, veri sahibi haklarının standart setini — erişim, düzeltme, silme, kısıtlama, itiraz ve taşınabilirlik — veri sorumlusu-veri işleyen hesap verebilirlik çerçevesini, ihlal bildirimi yükümlülüklerini, sınır ötesi transfer kontrollerini ve küçük ihlaller için EGP 100.000'den ciddi veya tekrarlanan ihlaller için EGP 5 milyona kadar para cezaları içeren idari yaptırım rejimini kurmaktadır. Cezai yaptırımlar, lisanssız sınır ötesi transfer ve yetkisiz hassas veri işleme dahil en ciddi kategorilere uygulanmaktadır.

PDPL'nin çerez onayını özellikle nasıl ele aldığı

AB'nin ePrivacy Direktifi'nin aksine PDPL, çerezlere ilişkin ayrı bir hüküm içermemektedir. Çerezler ve benzer depolama ve erişim teknolojileri genel onay çerçevesi kapsamına girmektedir: hukuki dayanağı olarak onaya dayanan her türlü kişisel veri işleme, veri sahibinin açık, özgür iradeyle, belirli ve belgelenmiş rıza beyanına dayanarak elde edilmelidir. Kişisel Verilerin Korunması Merkezi, yönetmeliklerin aşamalı olarak yürürlüğe girmesi sürecinde yayımladığı rehberde önceden işaretli kutuların, gezinmeye devam etmekten çıkarılan örtülü onayın ve birleştirilmiş onay bannerlarının Kanun'un standardını karşılamadığını teyit etmiştir. Bu durum Mısır'ı küresel eğilimle tam olarak uyumlu hale getirmekte ve yayıncıların EEA için halihazırda sürdürdüğü pratik tutumun Mısır trafiği için doğru başlangıç noktası olduğu anlamına gelmektedir.

Pratik etki, hizmeti sunmak için kesinlikle gerekli olmayan çerezlerin ve benzer teknolojilerin kullanıcı aktif onay vermeden önce ayarlanmaması gerektiğidir. Kesinlikle gerekli çerezler — oturum tanımlayıcıları, sepet içerikleri, güvenlik token'ları, yük dengeleme çerezleri — kullanıcının hizmeti aktif olarak talep etmesi temelinde onay alınmaksızın ayarlanabilir. Analitik, reklamcılık, kişiselleştirme, A/B testi, oturum kaydı ve her türlü üçüncü taraf etiketi dahil diğer her şey önceden onay gerektirir.

PDPL'nin uygulamada GDPR'den nasıl ayrıştığı

Entegrasyon katmanında üç fark önem taşımaktadır. Birincisi, PDPL hassas kişisel verilerin işlenmesine yönelik onayın yazılı olarak veya veri sorumlusunun talep üzerine ibraz edebileceği belgelenmiş elektronik bir eşdeğer aracılığıyla alınmasını gerektirmektedir; bu, GDPR'in açık onay gerekliliginden daha yüksek bir kanıt standardıdır. İkincisi, PDPL bir lisanslama rejimi getirmektedir: veri sorumluları ve veri işleyenler Kişisel Verilerin Korunması Merkezi'ne kayıt yaptırmalı ve sınır ötesi transfer ile doğrudan pazarlama dahil belirli işleme kategorileri ayrı bir operasyonel lisans gerektirmektedir. Üçüncüsü, PDPL'nin sınır ötesi transfer kuralları Merkez tarafından yeterlilik kararı, onaylı sözleşmesel güvence veya veri sahibinden açık onay gerektirmekte; yeterlilik kararı veya güvencesi bulunmayan yargı bölgelerine yapılan transferler, alıcının kendi uyum tutumundan bağımsız olarak kısıtlanmaktadır.

PDPL kapsamında uyumlu bir çerez bannerı nasıl görünür

Teknik gereklilikler her modern CMP'nin zaten ürettiğiyle örtüşmektedir; ancak etiketleme, belgeler ve onay kaydı Mısır'a özgü detayları yansıtmalıdır. İlk katman banner, kullanıcıya gerçek bir seçenek sunmalıdır — kabul et, reddet, yönet — reddetme seçeneği en az kabul etme seçeneği kadar belirgin olmalıdır. Paket onay yasaktır, dolayısıyla ikinci katman en az analitik, reklamcılık ve sınır ötesi transfer bağımlı işlemeleri kapsayan kategori bazlı opt-in'e izin vermelidir. Kategoriler varsayılan olarak kapalı olmalıdır; banner, kullanıcı etkin biçimde açmadan etiketleri yüklememelidir.

Bannerdan sunulan gizlilik bildirimi veri sorumlusunu, varsa veri sorumlusunun PDPL lisans numarasını, toplanan kişisel veri kategorilerini, her işleme amacı için hukuki dayanağı, veri saklama süresini, Mısır dışında bulunan alt işleyenler dahil alıcı kategorilerini, veri sahibinin Kanun kapsamındaki haklarını ve şikayetler için Kişisel Verilerin Korunması Merkezi'nin iletişim bilgilerini belirlemelidir. GDPR Madde 13 standardını karşılayan bir bildirim büyük ölçüde örtüşecektir; ancak Mısır lisansı ve Merkez iletişim satırları açıkça eklenmelidir.

Kişisel Verilerin Korunması Merkezi incelemesini geçen entegrasyon modeli

Referans uygulamanın dört hareketli parçası vardır. Birincisi, kategori bazlı, varsayılan kapalı opt-in destekleyen ve yayıncının saklayabileceği yapılandırılmış bir onay dizisi aracılığıyla kullanıcının tercihini ortaya koyan bir CMP'dir. İkincisi, zorunlu olmayan herhangi bir çerez ayarlanmadan önce onay durumunu kesinlikle uygulayan sunucu taraflı bir etiket yöneticisi veya CMP-native bir kapı olan etiket yükleme katmanıdır. Üçüncüsü, her onay olayı için kullanıcının kategori bazında tercihini, zaman damgasını, banner sürümünü ve veri sorumlusunun Merkez talebi üzerine kaydı ibraz edebilmesi için kesilmiş veya hash'lenmiş bir IP tanımlayıcısını kaydeden sunucu taraflı depolanan onay günlüğüdür. Dördüncüsü, en az orijinal onay kadar kolay bir geri çekme yolu olup genellikle alt bilgide kalıcı bir banner yeniden açma bağlantısıdır.

2026 için doğrulama, lisanslama ve denetim tutumu

2026'da savunulabilir bir Mısır dağıtımı dört teknik kontrolü geçmelidir. Birincisi, Mısır IP adresinden sunulan temiz bir tarayıcı oturumu, banner işleme alınmadan önce sıfır zorunlu olmayan çerez üretmelidir. İkincisi, hepsini reddet yolu, hareketsiz bir oturumla aynı tutumu sonuçlandırmalıdır — analitik etiket yok, reklam etiketi yok, oturum kaydı betiği yok. Üçüncüsü, hepsini kabul et akışı yalnızca kullanıcının onay verdiği etiketleri üretmeli ve onay günlüğü eşleşen bir kayıt içermelidir. Dördüncüsü, bir geri çekme akışı daha fazla etiket tetiklemesini derhal durdurmalı, onaylı oturum sırasında ayarlanan çerezlerin süresini sona erdirmeli ve alıcı ortakların gerektirdiği tüm aşağı akış silme veya devre dışı bırakma sinyallerini tetiklemelidir.

Teknik kontrolların ötesinde, lisanslama ve denetim tutumu bir dağıtımı savunulabilir kılan şeydir. Yürütme yönetmelikleri tarafından belirlenen eşiklerin üzerinde Mısırlı ikamet edenlerin kişisel verilerini işleyen veri sorumluları Kişisel Verilerin Korunması Merkezi'ne kayıt yaptırmalı ve kayıt kaydı — onay günlüğü, gizlilik bildirimi, daha yüksek riskli işleme için veri koruma etki değerlendirme sonuçları ve sınır ötesi transfer yetkilendirmeleri ile birlikte — Merkez'in bir uyumluluk incelemesi sırasında talep edebileceği belgeleri oluşturmaktadır. Sunucu taraflı günlük içeren doğru yapılandırılmış bir CMP, onay durumunu uygulayan bir etiket yükleme katmanı, her sınır ötesi transfer hedefini adlandıran bir gizlilik bildirimi ve dosyada lisanslama evrakları, Mısır PDPL'sini düzenleyici bir bilinmeyenden yayıncının MENA bölgesi onay tutumunun savunulabilir bir parçasına dönüştüren şeydir.

← Blog Tümünü Oku →