PDPL Aslında Nedir

PDPL, Suudi Arabistan'ın ilk kapsamlı gizlilik yasasıdır. 2021 yılında Kraliyet Kararnamesi M/19 ile çıkarılmış, Mart 2023'te GDPR ve benzer rejimler tarafından belirlenen küresel standarda daha yakından uyum sağlamak amacıyla değiştirilmiş ve bir yıllık geçiş sürecinin ardından 14 Eylül 2024 tarihinde tamamen yürürlüğe girmiştir. Kanun; Ulusal Veri Yönetişim Geçici Yönetmelikleri, Bulut Bilişim Düzenleyici Çerçevesi ve SDAIA'nın bilgiye erişim kurallarını kapsayan daha geniş bir Suudi veri yönetişimi yığınının içinde yer almaktadır — ancak yayıncılar için PDPL, çerezleri, reklam izlemeyi, analitiği ve bir web sitesi ya da uygulamayla bağlantılı diğer her türlü kişisel veri işlemeyi düzenleyen parçadır.

Uygulama Yönetmelikleri

PDPL kısadır. Ayrıntılar, SDAIA'nın Eylül 2023'te yayımladığı ve 2024 ile 2025 boyunca geliştirdiği iki uygulama yönetmeliğinde yer almaktadır: Uygulama Yönetmelikleri (genel) ve Kişisel Veri Transfer Yönetmelikleri (sınır ötesi). Bu iki yönetmelik birlikte yayıncılara rıza kalitesi, saklama, ihlal bildirimi süreleri ve Suudi sakinlerin verilerinin Krallık dışına gönderilmesine ilişkin koşullar hakkında somut yanıtlar sunmaktadır. Yalnızca 2021 metnine göre çalışan herkes güncel olmayan bir harita okumaktadır.

Yayıncıların Bilmesi Gereken Uygulama Zaman Çizelgesi

SDAIA, kuruluşlara tam uyuma kavuşmaları için 14 Eylül 2024 tarihine kadar süre tanıdı. İlk denetim mektubu dalgası, 2024 sonlarında finans, telekomünikasyon ve devlet hizmetleri alanındaki büyük denetleyicilere gönderildi. 2025 boyunca denetim programı; reklam destekli medyayı, e-ticareti ve tanımlanmış bir hacmin üzerinde Suudi sakin verisi işleyen her platformu kapsayacak şekilde genişledi. 2026 itibarıyla SDAIA, küçük ve orta ölçekli yayıncıların artık kapsama girdiğinin sinyalini verdi — özellikle Arapça içeriği veya reklam harcamaları kasıtlı bir Suudi kitleye işaret eden her işletmeci.

SDAIA'nın Veri Denetleyicisi Saydıkları

PDPL, ülke sınırları dışında da uygulanmaktadır. Kanun kapsamında denetleyici sayılmak için Suudi bir kuruluşa, Suudi bir sunucuya ya da Suudi bir banka hesabına sahip olmanıza gerek yoktur. Web siteniz veya uygulamanız Krallık'ta ikamet eden bireylerin kişisel verilerini işliyorsa kapsam dahilsinizdir. Yayıncılar için bu kanca, rutin reklam teknolojisi veri akışıyla tetiklenmektedir: IP adresleri, cihaz ID'leri, karma e-postalar, davranışsal çerezler ve programatik açık artırmaları aracılığıyla akan kullanıcı tanımlayıcılarının tamamı, bir Suudi sakenine bağlandıklarında kişisel veri sayılır.

Yerel Temsilci Zorunluluğu

Krallık'ta varlığı bulunmayan yabancı denetleyiciler, SDAIA'ya kayıtlı yerel bir temsilci atamak zorundadır. Temsilci, veri sahibi talepleri ve düzenleyici yazışmalar için yasal bir iletişim noktasıdır. Küçük yayıncılar bunu çoğunlukla yerel olarak tescil ettirmek yerine bir gizlilik hizmetleri firması aracılığıyla yönetir; ancak düzenli Suudi işleme eşiğini geçtiğinizde atama zorunludur.

Reklam Teknolojisi için Ortak Denetleyici Senaryoları

Programatik bir reklam alanını para kazandıran tedarik zinciri — CMP'niz, reklam sunucunuz, çağırdığınız SSP'ler, teklif veren DSP'ler, doğrulama satıcıları ve ölçüm ortakları — GDPR'da olduğu gibi PDPL kapsamında da müşterek ve müteselsil denetleyici ilişkileri oluşturmaktadır. Yayıncılar PDPL sorumluluğunu bir satıcıya devredemez. SDAIA, yayıncıdan her bir akış ortağının kendi yasal dayanağına ve yayıncının rıza banner'ında vaat ettiğiyle örtüşen sözleşme taahhütlerine sahip olduğunu kanıtlamasını beklemektedir.

Uygulama Yönetmelikleri Kapsamında Çerez Rızası

PDPL, rızayı kişisel veri işlemek için yasal dayanaklardan biri olarak kabul etmektedir; Uygulama Yönetmelikleri de geçerli rızanın nasıl göründüğünü açıklamaktadır. Standart yüksektir — CCPA'dan çok GDPR'a yakındır — ve çerezleri, pikselleri, SDK'ları, parmak izi almayı ve kullanıcının cihazında veri okuyan ya da yazan diğer her tür izleme teknolojisini kapsamaktadır.

Geçerli Rıza Sayılan Nedir

Rıza özgür iradeyle, belirli, bilgilendirilmiş ve açık biçimde verilmelidir. Önceden işaretlenmiş kutular, kullanıcı kabul etmediği sürece içeriği engelleyen çerez duvarları ve muğlak "gezinmeye devam etmeniz rızanız anlamına gelir" bildirimleri standartları karşılamamaktadır. Kullanıcının açık bir onaylayıcı eylemde bulunması gerekir — genellikle bir Kabul Et düğmesine tıklamak — ve bu eylem, işleme amaçlarının açık bir açıklamasına bağlanmalıdır. Analitiği, reklamcılığı ve kişiselleştirmeyi tek bir evet-ya-hayır seçeneğine indirgeyen toplu rıza açıkça yasaklanmıştır.

Ayrıntılı Amaç Kategorileri

SDAIA'nın kılavuzu, yayıncı CMP'sinin sunması gereken amaç kategorilerini listelemektedir: kesinlikle gerekli, işlevsel, analitik, reklamcılık, kişiselleştirme ve sağlık ya da biyometrik çıkarımlar gibi hassas veri işlemeleri. Her kategorinin kendi açma-kapama düğmesi, kendi amaç açıklaması ve kendi satıcı listesi olması gerekmektedir. Arapça'da PDPL'ye özgü metinlerle uygun şekilde genişletilmiş IAB Europe TCF v2.3 çerçevesi, yayıncıların ayrıntı gereksinimini karşılamak için kullandığı en yaygın yoldur.

Rızayı Geri Çekme ve Yeniden Rıza

Rızayı geri çekme hakkı, rıza verme hakkı kadar kolay olmalıdır. Kayan bir rıza tercihleri simgesi, altbilgi bağlantısı veya uygulama içi ayarlar paneli hepsi uygundur; gizlenmiş, yalnızca e-posta üzerinden yapılan bir vazgeçme seçeneği uygun değildir. Yayıncılar önemli değişiklikler için periyodik yeniden rıza planlamalıdır — yeni bir reklam ortağı, yeni bir çerez amacı, yeni bir SDK — ve SDAIA, CMP denetim günlüğünün her yeniden rıza olayını bir zaman damgasıyla kaydetmesini beklemektedir.

Sınır Ötesi Transferler ve Veri Yerelleştirme

Kişisel Veri Transfer Yönetmelikleri, yayıncıların en çok takılabileceği PDPL bölümüdür; çünkü bir Suudi kullanıcının IP adresi programatik bir açık artırmaya girdiği anda, SSP'ler ve DSP'lerin faaliyet gösterdiği her yere fiilen transfer edilmiş olur. SDAIA bunu serbest bir akış olarak değerlendirmez.

Yeterlilik Listesi ve Standart Sözleşmeler

Bir denetleyici, kişisel verileri Krallık dışına üç temel mekanizmadan biri kapsamında transfer edebilir: hedef ülke için SDAIA onaylı bir yeterlilik kararı, SDAIA onaylı bir standart sözleşme veya grup içi transferler için bağlayıcı kurumsal kurallar seti. 2026 itibarıyla yeterlilik listesi, az sayıda GCC komşusunu ve bir avuç Avrupa yargı bölgesini kapsamaktadır; ancak ABD dahil reklam teknolojisi destinasyonlarının büyük çoğunluğu bu listenin dışında kalmakta ve ya standart sözleşme ya da istisna gerektirmektedir.

Veri Transfer Etki Değerlendirmesi

Yüksek riskli transferler için SDAIA, transfer başlamadan önce belgelenmiş bir Veri Transfer Etki Değerlendirmesi (DTIA) talep etmektedir. Bu, Schrems II sonrası AB'nin transfer etki değerlendirmesinin Suudi karşılığıdır. Yayıncılar, yinelenen programatik akışları kapsayan şablon DTIA'ları bir araya getirmek ve satıcı işleme konumlarını her değiştirdiğinde bunları yenilemek için CMP'leri ve reklam teknolojisi satıcılarıyla iş birliği yapmalıdır.

Yayıncılar için Pratik Uyumluluk Adımları

PDPL programı, yayıncının mevcut CMP'si ve reklam yığınıyla doğrudan örtüşen beş operasyonel göreve ayrılmaktadır. Bunların hiçbiri, GDPR veya LGPD uyumluluğunu zaten hayata geçirmiş biri için yabancı değildir — fark, Suudi metninin ayrıntılarında ve spesifik transfer kurallarındadır.

CMP Yapılandırma Kontrol Listesi

Rıza banner'ınızın KSA ziyaretçileri için Arapça, diğer herkes için İngilizce göründüğünü; amaç kategorilerinin tam olarak ayrıntılı olduğunu; tümünü reddet yolunun tek tıklamayla yapılabildiğini ve görsel olarak tümünü kabul et ile eşdeğer olduğunu; rıza dizesinin Google Consent Mode v2 veya TCF entegrasyonunuz üzerinden akış aşağı iletildiğini doğrulayın. CMP'nizin denetim yanıtlarının günler yerine dakikalar içinde oluşturulabilmesi için bir zaman damgası, politika sürümü ve kullanıcı tanımlayıcısıyla PDPL'ye özgü bir rıza makbuzu kaydettiğinden emin olun.

Rıza Günlükleri ve Denetim İzi

SDAIA'nın denetim ekipleri, tanıdık bir biçimde rıza kanıtı talep eder: kimin, neye, ne zaman, hangi banner sürümüyle rıza gösterdiği ve rıza anında ne söylendiği. Bu günlükleri en az iki yıl saklayın ve bunları CMP satıcısı değişikliklerine dayanabilecek şekilde depolayın — denetleyiciye ait bir veri ambarına dışa aktarım en temiz modeldir.

Veri Sahibi Hakları İş Akışı

PDPL, otuz günlük yanıt süreleriyle erişim, düzeltme, silme ve taşınabilirlik hakları tanımaktadır. Tek bir gizlilik@ gelen kutusuna ve bilet iş akışına sahip olmayan bir yayıncı, son tarihleri yakaladığından daha sık kaçıracaktır. Alımdan yanıta kadar belgelenmiş bir süreç oluşturun, adlandırılmış bir sahibi eğitin ve silme taleplerinin akış aşağı yayılabilmesi için iş akışını CMP'niz ve reklam sunucusu rıza kayıtlarınızla entegre edin.

Sonuç

Suudi Arabistan'ın 2026 PDPL'si, yayıncıların GDPR ve CCPA'nın gerisine erteleyebileceği yumuşak bir rejim değildir. SDAIA'nın onu uygulamak için finansmanı, denetim kapasitesi ve siyasi desteği vardır; sınır ötesi transfer kuralları özellikle yayıncıların etrafında mühendislik yapması gereken küresel reklam teknolojisi tedarik zinciriyle gerçek bir sürtüşme yaratmaktadır. İyi haber şu ki PDPL, GDPR'dan yeterince ödünç almaktadır; dolayısıyla olgun bir Avrupa uyumluluk duruşuna sahip bir yayıncı büyük ölçüde doğru yoldadır. Rıza banner'ınızı Arapçaya yerelleştirin, mevcut TCF kurulumunuzun üzerine PDPL'ye özgü amaç metnini ekleyin, transfer mekanizmalarınızı belgeleyin, Suudi trafiğiniz gerektiriyorsa yerel bir temsilci atayın ve KSA kitleniz para kazandırılabilir kalmaya devam ederken PDPL'yi bir kâğıt egzersizi olarak geçiştiren işletmeciler 2026'yı denetim mektupları okuyarak geçirir.