UAE PDPL Çerez Onayı Kılavuzu: Yayıncılar için Federal Decree-Law 45 of 2021
Birleşik Arap Emirlikleri, Kişisel Veri Koruma Kanunu'nu 2021 yılı sonunda kabul etti ve bir sonraki yıl yürürlüğe koydu. Federal Decree-Law 45 of 2021 olarak bilinen PDPL, ülkenin ilk kapsamlı federal gizlilik yasasıdır ve GDPR'ın yapısından büyük ölçüde yararlanırken temel hükümleri UAE federal hukukuna ve ülkenin veri yerelleştirme gereksinimlerine uyarlamaktadır. UAE'de faaliyet gösteren veya UAE trafiğini hedefleyen yayıncılar için — bölgesel e-ticaret, fintech ve Dubai ile Abu Dhabi merkezli hiper ölçekli medya işletmelerinin büyümesiyle hızla genişleyen bir pazar — PDPL, çerez onayını yumuşak bir beklentiden federal bir uyumluluk yükümlülüğüne dönüştürdü. Bu kılavuz, PDPL'nin çevrimiçi takibi nasıl ele aldığını, UAE Veri Ofisi'nin uygulamayı nerede yoğunlaştırdığını ve çerez banner tasarımı ile CMP yapılandırması için pratik sonuçların neler olduğunu ele almaktadır.
PDPL'nin Hukuki Çerçevesi
PDPL, UAE'de mi yoksa dışında mı gerçekleştiğinden bağımsız olarak UAE sakinlerinin kişisel verilerinin işlenmesine uygulanır; kontrolör veya işleyicinin UAE'de kurulu olup olmadığına veya yurt dışından faaliyet gösterip göstermediğine bakılmaksızın. Dolayısıyla bölgesel kapsam, GDPR ile aynı şekilde ekstraterritoriyaldir — Londra veya Singapur'dan faaliyet gösteren ve UAE sakinlerine ilişkin veri işleyen bir yayıncı kapsam dahilindedir. Denetim makamı, aynı mevzuat paketi kapsamında kurulan UAE Veri Ofisi'dir ve uygulama konusunda ölçülü ancak giderek daha aktif bir tutum benimsemiştir.
PDPL'nin temel ilkeleri, GDPR ile çalışmış herkes için tanıdık olacaktır: hukuki dayanak, amaç sınırlaması, veri minimizasyonu, doğruluk, saklama sınırlaması, bütünlük ve gizlilik ile hesap verebilirlik. Article 4 kapsamındaki hukuki dayanaklar arasında rıza, sözleşme ifası, hukuki yükümlülük, hayati menfaatler, kamu yararı ve meşru menfaatler yer almakta olup her birinin kendi kapsamı ve koşulları bulunmaktadır. Çevrimiçi takip için ilgili dayanaklar rıza ve dar koşullarda meşru menfaattir. Rıza alınmadan kişisel veri toplayan önceden yüklenmiş çerezler, GDPR kapsamında olduğu gibi bir ihlal oluşturmaktadır.
PDPL Kapsamında Kişisel Veri Sayılan Nedir
PDPL'nin kişisel veri tanımı geniştir ve GDPR'ı yakından izler: çevrimiçi tanımlayıcılar dahil olmak üzere tanımlanmış veya tanımlanabilir bir gerçek kişiyle ilgili herhangi bir veri. Bir cihazı kalıcı olarak tanımlayan çerezler, diğer verilerle birlikte işlenen IP adresleri, reklam kimlikleri ve parmak izi tarzı tanımlayıcıların tümü kapsam dahilindedir. UAE Veri Ofisi'nin uygulama kılavuzu, AB'de davranışsal ve reklam çerezlerine uygulanan analizin UAE'de esasen aynı biçimde uygulandığını teyit etmiştir — farklı olan uygulama mimarisidir, maddi standart değil.
PDPL ayrıca sağlık bilgileri, genetik ve biyometrik veriler, dini inanç, adli sicil ve benzeri kategorileri kapsayan, daha katı işleme gereksinimleri olan hassas kişisel veri kategorisini de tanımlamaktadır. Bu verilerden herhangi birini toplayan çerezler açık rıza ve ek güvenceler gerektirmektedir.
PDPL Kapsamında Çerez Onayı
PDPL, AB'nin ePrivacy Direktifi'nin yaptığı gibi çerez özelinde bir hüküm içermemektedir. Bunun yerine, rıza gerekliliği, geçerli rızanın genel standardını belirleyen Article 6'dan kaynaklanmaktadır: spesifik, açık, bilgilendirilmiş ve özgür iradeyle verilmiş olmalı ve veri sahibi rızayı, verdiği kadar kolay şekilde geri çekebilmelidir. UAE Veri Ofisi bu standardı şunları gerektiren biçimde yorumlamıştır:
- Zorunlu olmayan çerezler tetiklenmeden önce açık bir olumlu eylem. Gezinmeye devam etmek, kaydırmak veya zımni rıza yeterli değildir.
- Ayrıntılı kategori kontrolleri — kesinlikle gerekli çerezleri analitikten ve reklamcılıktan ayıran, ziyaretçinin bir kısmını kabul edip diğerlerini reddedebileceği kontroller.
- Takibin aktif olduğu her sayfadan erişilebilen ve geri çekilmenin hemen etkili olduğu açık bir geri çekme mekanizması.
- Article 5 kapsamındaki hesap verebilirlik gereksinimini karşılamaya yetecek rıza kararının belgelenmesi.
Pratikte bu, bir yayıncının GDPR için inşa edeceği operasyonel standartla aynıdır. EDPB Çerez Banner Görev Gücü kriterlerini geçen bir banner PDPL'yi karşılayacaktır; bu kriterlerde başarısız olan bir banner PDPL denetiminde de başarısız olacaktır.
Sınır Ötesi Veri Transferleri
PDPL'nin en belirgin özelliklerinden biri, sınır ötesi transfer çerçevesidir. PDPL'nin Articles 22 and 23, kişisel verilerin UAE dışına aktarılabileceği koşulları belirlemekte olup GDPR'ın V. Bölümü ile paralel — ancak birebir aynı olmayan — hatlar boyunca yapılandırılmıştır.
Yeterlilik tarzı tespitler
PDPL, UAE Veri Ofisi'ne ülkeleri yeterli koruma sağlıyor olarak tespit etme yetkisi vermektedir. Mevcut liste, Avrupa Komisyonu'nunkinden kısadır ve gelişmesi beklenmektedir. Bir ülke tespit edilene kadar transferler diğer hukuki mekanizmalardan birini gerektirmektedir.
Standart sözleşme düzenlemeleri
PDPL, yapı itibarıyla AB SCC'lerine benzer şekilde uygun sözleşmesel güvencelerle desteklenen transferlere izin vermektedir. Pek çok UAE veri sorumlusu, UAE Veri Ofisi'nin talep üzerine incelediği özel sözleşme ekleriyle çalışmaktadır.
Özel muafiyetler
Açık rıza, sözleşme ifası ve hayati menfaat muafiyetleri mevcuttur ancak dar yorumlanmaktadır. Transferler için rızaya rutin olarak dayanmak — GDPR kapsamında çoğunlukla sistematik olmaktan ziyade istisnai kabul edilen bir uygulama — burada da benzer şekilde ele alınmaktadır.
Çevrimiçi yayıncılar açısından pratik etki, çerez onay kaydının artık bir transfer hesap verebilirliği yükümlülüğünü de desteklemesi gerektiğidir. UAE'deki bir ziyaretçi verilerini ABD'li bir ad-tech satıcısına yönlendiren çerezleri kabul ederse, CMP bu akışa yetki veren transfer aracını sunabilmelidir.
Sektörel ve Serbest Bölge Hususları
UAE'nin gizlilik ortamı katmanlıdır. Federal PDPL geniş çapta uygulanmakla birlikte birkaç serbest bölge — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM) ve Dubai Sağlık Şehri — PDPL öncesine dayanan kendi veri koruma rejimlerine sahiptir. DIFC Veri Koruma Kanunu No. 5 (2020) ve ADGM Veri Koruma Yönetmelikleri 2021'in her ikisi de GDPR uyumludur ve kendi bölgelerinde uygulanmaktadır. Birden fazla bölgede faaliyet gösteren yayıncılar, federal PDPL ile geçerli serbest bölge çerçevesini uyumlu hale getirmelidir; çoğu durumda maddi standartlar yakınsarken denetim kanalı farklılık göstermektedir.
UAE Veri Ofisi'nin Verdiği Sinyaller
UAE Veri Ofisi, yüksek hacimli para cezası rejimine kıyasla kapasite geliştirmeye, sektör istişarelerine ve yüksek profilli davalara öncelik vererek uygulama tutumunda kasıtlı davranmıştır. Kamuoyuna açık rehberlik belgeleri şunları vurgulamıştır:
Banner tasarımı
UAE Veri Ofisi, banner tasarımında EDPB tarzı kriterlerle uyum içindedir ve eksik reddetme düğmelerini, yanıltıcı bağlantı stilini ve önceden işaretlenmiş onay kutularını düzeltme gerektiren yaygın kusurlar olarak değerlendirmektedir. Beklenti, Avrupa normlarıyla yakınsama yönündedir.
Sınır ötesi şeffaflık
UAE Veri Ofisi, özellikle kişisel verilerin tespit edilmiş yeterlilik kararı bulunmayan yargı bölgelerine yönlendirildiği durumlarda uluslararası transferlerin özel bir odak noktası olacağını bildirmiştir. Transfer mekanizmasının belgelenmesi, isteğe bağlı değil, hesap verebilirlik gereksinimi olarak değerlendirilmektedir.
Arapça bildirim
PDPL Arapçayı zorunlu kılmamakla birlikte, UAE Veri Ofisi, kitlenin ağırlıklı olarak Arapça konuştuğu durumlarda bildirimlerin erişilebilirlik ve ispat amaçlı olarak Arapça olarak da sunulması gerektiğini belirtmiştir.
Pratik Uyumluluk Kontrol Listesi
UAE trafiğine hizmet eden herhangi bir çerez banner'ı için yanıtlanması gereken altı somut soru.
1. Takipten önce olumlu rıza
Zorunlu olmayan çerezler, ziyaretçi olumlu bir eylem gerçekleştirene kadar script yükleyici düzeyinde engelleniyor mu? Banner'ı önceden yüklenen takip araçlarının üzerine yüklemek başlı başına bir ihlaldir.
2. Ayrıntılı kategoriler
Banner, bağımsız geçiş düğmeleriyle zorunlu, analitik ve reklam kategorilerini ayırıyor mu? Ayrıntı olmaksızın paket halinde tümünü kabul etmek bir kusurdur.
3. Arapça dil imkânı
Banner, Arapça konuşan ziyaretçileri tespit edip varsayılan olarak Arapça mı sunuyor ve İngilizceyi değiştirilebilir bir alternatif olarak mı sunuyor? UAE Veri Ofisi, dil erişilebilirliğini açıkça vurgulamıştır.
4. Geri çekme erişimi
Geri çekme kontrolü kalıcı mı ve her sayfadan erişilebilir mi? Alt bilgi bağlantısına gömülü çok adımlı ayarlar, verdiği kadar kolay geri çekme standardını karşılamamaktadır.
5. Sınır ötesi transfer belgelenmesi
Uluslararası bir transferi tetikleyen her çerez için, transfer mekanizması (yeterlilik, sözleşme güvencesi, muafiyet) belgelenmiş ve talep üzerine sunulabilir mi?
6. Rıza kaydı
Sistem, her rıza kararını zaman damgası, banner sürümü, seçim ve ziyaretçinin yargı bölgesiyle birlikte kaydediyor mu ki yayıncı UAE Veri Ofisi'nin soruşturmasına delille yanıt verebilsin?
PDPL'nin Bölgesel Tablodaki Yeri
UAE PDPL, son birkaç yılda yürürlüğe giren birçok Körfez gizlilik çerçevesinden biridir — Suudi Arabistan'ın PDPL'si, Bahreyn'in Kişisel Veri Koruma Kanunu, Katar'ın Kişisel Veri Gizliliği Kanunu ve Umman'ın Kişisel Veri Koruma Kanunu hepsi birlikte işlemektedir. Bölge genelinde maddi standartlar, denetim mimarisi, transfer mekanizmaları ve sektörel muafiyetlerdeki ulusal farklılıklarla birlikte GDPR uyumlu ilkelerde yakınsamaktadır. Körfez genelinde faaliyet gösteren yayıncılar için, daha yüksek standarda — ayrıntılı rıza, kalıcı geri çekme, belgelenmiş transferler, Arapça dil desteği, denetim kalitesinde kayıt tutma — göre bir kez inşa etmek, Avrupa uyumluluğunu ele alan CMP altyapısının aynısı üzerinden bölgesel uyumluluğu ele almaktadır. UAE, birçok açıdan bölgesel göstergedir: UAE Veri Ofisi'nin attığı adımlar, komşu düzenleyiciler tarafından takip edilme eğilimindedir.