Suudi Arabistan KVKK: Kişisel Verilerin Korunmasına Uygunluk

16 Eylül 2021'de M/19 Kraliyet Kararnamesi ile yürürlüğe giren ve 17 Eylül 2023'te yürürlüğe giren Suudi Arabistan Kişisel Verilerin Korunması Kanunu (PDPL), Krallığın ilk kapsamlı veri koruma mevzuatını temsil ediyor. Suudi Veri ve Yapay Zeka Otoritesi (SDAIA) tarafından yönetilen PDPL, Suudi sakinlerinin kişisel verilerini işleyen kuruluşlar için geçerlidir ve Suudi pazarında faaliyet gösteren veya bu pazara hizmet veren işletmeler için önemli sonuçlar doğurmaktadır.

PDPL'ye, teknik ve organizasyonel önlemler, veri sahibi hakları süreçleri ve sınır ötesi veri aktarım koşulları hakkında ayrıntılı gereklilikler sağlayan Uygulama Düzenlemeleri (SDAIA tarafından Mart 2023'te yayınlandı) eşlik etti. Uyumsuzluk, 5 milyon SAR'a (1,33 milyon ABD Doları) varan para cezalarına ve suç ihlalleri nedeniyle bir yıl hapis cezasına yol açabilir.

Önemli Çıkarımlar

• Suudi KVKK, işleme kuruluşunun nerede olduğuna bakılmaksızın Suudi Arabistan'daki bireylerin kişisel verilerinin işlenmesi için geçerlidir
• İşleme için sekiz yasal dayanak mevcuttur; Rızanın açık, spesifik, bilgilendirilmiş ve doğrulanabilir olması gerekir
• Hassas veriler (sağlık, genetik, kredi, sabıka kayıtları, biyometrik, cinsel yönelim) açık rıza veya belirli yasal istisnalar gerektirir
• Sınır ötesi aktarımlar SDAIA onayını veya özel önlemleri gerektirir — veri yerelleştirmesi uyumluluk açısından önemli bir zorluktur
• Veri sahibi hakları arasında erişim, düzeltme, silme, taşınabilirlik ve itiraz yer alır — 30 günlük yanıt süreleri ile
• Hassas verileri geniş ölçekte işleyen belirli kuruluşlar için DPO ataması zorunludur
• SDAIA, 5 milyon SAR'a kadar para cezası uygulayabilir ve düzenleyici yetkiler, veri işlemenin askıya alınmasını da içerir
• PDPL, Suudi Merkez Bankası (SAMA) ve diğer düzenleyici kurumların sektöre özel düzenlemeleriyle birlikte geçerlidir

---

KVKK Kapsamı ve Uygulanabilirliği

Kimler Uymalı

Suudi PDPL (H. 1443 / 2021 tarihli Kraliyet Kararnamesi M/19) aşağıdakiler için geçerlidir:

1. Suudi Arabistan'da İşleme: Suudi topraklarında kişisel verileri işleyen herhangi bir kuruluş
2. Suudi Arabistan'da ikamet eden kişilerin verilerinin işlenmesi: Suudi Arabistan'da ikamet eden bireylerin kişisel verilerini işleyen, Suudi Arabistan dışındaki kuruluşlar
3. Suudi Arabistan merkezli amaçlara yönelik işleme: Suudi Arabistan'daki bireylere mal veya hizmet sunulmasına ilişkin işlemeler

Bu bölge dışı kapsam, e-Ticaret platformları, SaaS sağlayıcıları ve dijital hizmetler dahil olmak üzere Suudi müşterilere hizmet veren uluslararası işletmelerin PDPL'ye uyması gerektiği anlamına geliyor.

Anahtar tanımlar:

• Kişisel veriler: İsim, kişisel kimlik numarası, adres, iletişim numaraları ve kişiyi tanımlayan diğer veriler de dahil olmak üzere, bir kişinin özel olarak tanımlanmasına yol açan veya tanımlanmasını mümkün kılan her türlü veri
• Hassas kişisel veriler: Sağlık verileri, genetik veriler, kredi ve finansal veriler, özel ihtiyaç sahibi bireylere ilişkin veriler, sabıka kayıtları, biyometrik veriler, ırk veya etnik kökenleri, dini inançları ortaya koyan veriler ve cinsel yönelim dahil özel hayata ilişkin veriler

Muafiyetler

PDPL aşağıdakiler için geçerli değildir:

• Devlet yetkilileri tarafından güvenlik veya adli amaçlarla tutulan kişisel veriler
• Ölen kişilerin verileri (en yakın akraba hakları hükümleri yoktur)
• Kişisel veya ailevi amaçlarla işlenen kişisel veriler
• Verilerin yeniden tanımlanmasını imkansız kılacak şekilde anonimleştirilmesi

---

İşlemenin Yasal Dayanağı

KVKK Uygulama Yönetmeliği kişisel verilerin işlenmesine ilişkin hukuki dayanakları oluşturmaktadır. Kontrolörler, her bir işleme faaliyeti için geçerli yasal dayanağı belgelendirmelidir:

KVKK kapsamında izin koşulları:

• Açık ve işleme amacına özel olmalıdır
• Diğer izinlerle birleştirilemez
• Teknik jargon olmadan sade bir dille yazılmalıdır
• Geri çekilme rıza vermek kadar kolay olmalı
• Rıza kaydı saklanmalı
• Pazarlama ve reklam ayrı, açık izin gerektirir

Hassas veriler: İşleme açık onay gerektirir veya aşağıdakilerden birinin kapsamına girer: yasal yükümlülük, veri sahibinin veya başkalarının hayati çıkarlarının korunması, sağlık hizmeti gizliliği yükümlülükleriyle birlikte tıbbi gereklilik, yasal işlemlerle bağlantılı olarak işleme veya uygun önlemlerin alındığı bilimsel araştırma.

---

Veri Sahibi Hakları

KVKK, veri sahiplerine genel 30 günlük yanıt süresi ile (bildirim ile ek 30 güne kadar uzatılabilir) aşağıdaki hakları vermektedir:

Bilgilenme hakkı: Veri sahipleri, veri toplama öncesinde veya sırasında işleme faaliyetleri konusunda bilgilendirilmelidir. Denetleyiciler şunları açıklamalıdır: kimlik ve iletişim bilgileri, amaçlar, yasal dayanak, veri kategorileri, saklama süresi, veri sahibi hakları, sınır ötesi aktarım bilgileri.

Erişim hakkı: Veri sahipleri, verilerinin işlenip işlenmediğinin onaylanmasını talep edebilir ve bir kopyasını alabilir. Yanıt 30 gün içinde sağlanmalıdır; 12 ayda bir ücretsiz kopya (ek kopyalar için ücrete tabidir).

Düzeltme hakkı: Veri sahipleri, hatalı veya güncel olmayan kişisel verilerin düzeltilmesini talep edebilir.

Silinme hakkı: Veri sahipleri aşağıdaki durumlarda silme talebinde bulunabilir: amacın gerçekleşmesi, rızanın geri çekilmesi (başka bir yasal dayanak olmaksızın), verilerin yasa dışı olarak toplanması veya yasal yükümlülüğün silinmeyi gerektirmesi. İstisnalar arasında yasal zorunluluk, yasal hakların kullanılması ve kamu yararına yönelik araştırmalar yer alır.

Taşınabilirlik hakkı: Veri sahipleri, verilerini başka bir denetleyiciye iletilmek üzere yapılandırılmış, makine tarafından okunabilir bir biçimde talep edebilir.

İtiraz hakkı: Veri sahipleri, meşru menfaatlere dayalı olarak işlemeye itiraz edebilir (kontrolör, veri sahibinin menfaatlerini geçersiz kılan zorlayıcı meşru gerekçeler göstermelidir).

Otomatik karar almayı kısıtlama hakkı: Veri sahipleri, önemli otomatik kararların insan tarafından incelenmesini talep edebilir.

---

Denetleyici ve İşleyici Yükümlülükleri

Gizlilik Bildirimi Gereksinimleri

Denetleyiciler aşağıdakileri kapsayan açık ve erişilebilir bir gizlilik bildirimi sağlamalıdır:

• Kuruluş adı ve iletişim bilgileri
• Toplanan kişisel verilerin kategorileri
• İşlemenin amaçları ve yasal dayanakları
• Veriler nasıl kullanılır, açıklanır ve aktarılır
• Veri saklama süreleri
• Veri sahibi hakları ve bunların nasıl kullanılacağı
• Sınır ötesi transferler hakkında bilgi
• DPO'nun iletişim bilgileri (eğer atanmışsa)

Suudi merkezli operasyonlar için gizlilik bildirimleri Arapça olmalıdır (çeviri gerekliliği Suudi tüketicilere hizmet veren işletmeler için geçerlidir).

Veri Koruma Görevlisi (DPO)

KVKK Uygulama Yönetmeliği uyarınca, aşağıdakiler için bir DPO atanması zorunludur:

• Büyük ölçekte hassas kişisel verileri işleyen kontrolörler
• Veri sahiplerinin büyük ölçekli sistematik izlemesini gerçekleştiren kontrolörler
• Kamu yetkilileri (istisnalar hariç)

DPO şunları yapmalıdır:

• Veri koruma ve bilgi güvenliği konusunda uzman bilgisine sahip
• Doğrudan üst yönetime raporlama yapmak
• SDAIA ve veri sahipleri için iletişim noktası olarak hareket etmek
• PDPL'ye uygunluğu izleyin
• DPIA'lar hakkında tavsiyelerde bulunmak

DPO'nun iletişim bilgileri gizlilik bildiriminde açıklanmalıdır.

Veri Koruma Etki Değerlendirmeleri (DPIA'lar)

Uygulama Düzenlemeleri, aşağıdakiler de dahil olmak üzere, veri sahipleri için yüksek riskle sonuçlanabilecek faaliyetlerin işlenmesinden önce DPIA'ların kullanılmasını gerektirir:

• Hassas verilerin büyük ölçekli işlenmesi
• Veri sahiplerinin sistematik profilinin çıkarılması
• Yeni teknolojiler içeren işlemler
• Çocuk verilerinin geniş ölçekte işlenmesi

DPIA belgeleri saklanmalı ve talep üzerine SDAIA'ya sunulmalıdır.

Güvenlik Gereksinimleri

Kontrolörler, aşağıdakiler de dahil olmak üzere, verilerin hassasiyeti ve işleme riskleri ile orantılı teknik ve organizasyonel önlemleri uygulamalıdır:

• Depolama ve iletimde veri şifreleme
• En az ayrıcalık ilkesiyle erişim kontrolleri
• Kişisel verilere erişim için denetim günlüğü
• Düzenli güvenlik testleri ve güvenlik açığı değerlendirmeleri
• Olay müdahale prosedürleri
• Kişisel veri sistemleri için iş sürekliliği ve felaket kurtarma
• Satıcı güvenlik değerlendirmesi ve sözleşme gereklilikleri

---

Sınır Ötesi Veri Aktarımı

KVKK'nın 29. maddesi, kişisel verilerin Suudi Arabistan dışına aktarılmasına ilişkin önemli kısıtlamalar getirmektedir. Bu, KVKK uyumluluğunun operasyonel açıdan en zorlu yönlerinden biridir.

İzin verilen aktarım mekanizmaları:

1. SDAIA onayı: Devir, SDAIA'nın ön onayına ve belirttiği koşullara tabidir
2. Yeterli koruma: Yeterli düzeyde veri koruması olan bir ülkeye aktarım (SDAIA onaylı bir liste tutar)
3. Sözleşmeye bağlı önlemler: Yeterli koruma sağlayan ve SDAIA gerekliliklerini karşılayan sözleşmeler kapsamında aktarım
4. Bağlayıcı kurumsal kurallar: Onaylanmış bağlayıcı kurumsal kurallar kapsamında grup içi transferler
5. Rıza: Veri sahibinin açık, bilgilendirilmiş onayı
6. Sözleşme gerekliliği: Veri sahibiyle yapılan sözleşmenin yerine getirilmesi için gerekli aktarım
7. Hayati menfaatler: Rızanın alınamadığı durumlarda hayati menfaatlerin korunması için gerekli aktarım
8. Kamu yararı: Uygun önlemlerle birlikte kamu yararı için gereken transfer

Veri yerelleştirmeyle ilgili hususlar: SAMA (Suudi Arabistan Para Otoritesi), İletişim, Uzay ve Teknoloji Komisyonu (CST) ve Sağlık Bakanlığı'nın sektöre özel düzenlemeleri, finans, telekom ve sağlık verileri için veri yerelleştirme gereklilikleri uygulamaktadır. Bulut sağlayıcılarının, düzenlemeye tabi belirli veri kategorileri için Suudi Arabistan'da veri merkezleri bulundurması gerekir.

Pratik etki: Suudi operasyonları olan birçok çok uluslu şirket, karmaşık sınır ötesi aktarım uyumluluğunu önlemek için Suudi Arabistan merkezli bulut bölgelerini (AWS, Azure ve Google Cloud'dan edinilebilir) kullanarak veri yerleşimi çözümleri uygulamaya koydu.

---

İhlal Bildirimi

KVKK'nın 20. Maddesi, kontrolörlerin kişisel veri ihlallerini, veri sahiplerinin hakları veya çıkarları açısından risk teşkil eden bir ihlali tespit ettikten sonra 72 saat içinde SDAIA'ya bildirmelerini gerektirmektedir.

Gerekli ihlal bildirimi içeriği:

• İhlalin niteliği ve koşulları
• Kategoriler ve etkilenen veri sahiplerinin yaklaşık sayısı
• Kategoriler ve etkilenen kayıtların yaklaşık sayısı
• DPO'nun veya diğer ilgili kişinin adı ve iletişim bilgileri
• İhlalin olası sonuçları
• İhlalin giderilmesi için alınan veya planlanan önlemler

Veri sahiplerine bildirim: İhlalin veri sahiplerinin hakları veya özgürlükleri açısından yüksek riske yol açması muhtemel olduğunda, gereksiz gecikme olmaksızın gereklidir. Bildirim şunları içermelidir: ne olduğu, hangi verilerin etkilendiği, veri sahiplerinin kendilerini korumak için atabilecekleri adımlar ve daha fazla bilgi için iletişim bilgileri.

---

SDAIA Yaptırımları ve Cezaları

Düzenleyici Yetkiler

SDAIA, PDPL kapsamında geniş düzenleme yetkilerine sahiptir:

• Kılavuz ve yönetmeliklerin yayınlanması
• Veri sahiplerinden gelen şikayetlerin araştırılması -Veri sorumlularının denetimlerinin yapılması
• İdari yaptırımların uygulanması
• KVKK'ya aykırı işleme faaliyetlerinin askıya alınması
• Cezai ihlallerin Cumhuriyet Savcılığına sevk edilmesi

Cezalar

İdari cezalar:

• Veri sahibi haklarının veya denetleyici yükümlülüklerinin ihlali nedeniyle 1 milyon SAR'a (267.000 ABD Doları) kadar para cezası
• Hassas kişisel verileri içeren ihlaller için 5 milyon SAR'a (1,33 milyon ABD Doları) kadar para cezası
• Sınır ötesi transfer ihlallerinden dolayı 5 milyon SAR'a kadar para cezası
• İki yıl içinde tekrarlanan ihlallerde cezalar iki katına çıkarılabilir

Cezai cezalar:

• Hassas verileri izinsiz olarak ifşa etmek veya yayınlamak: iki yıla kadar hapis ve/veya 3 milyon SAR'a kadar para cezası
• Ulusal çıkarlara zarar verecek şekilde Suudi Arabistan dışına veri aktarımı: bir yıla kadar hapis ve/veya 1 milyon SAR'a kadar para cezası

Kamuya açıklama: SDAIA, Suudi Arabistan'ın yoğun iş piyasasında itibar açısından önemli sonuçları olan ihlaller ve yaptırımlar hakkında bilgi yayınlayabilir.

---

Diğer Suudi Düzenlemeleriyle Etkileşim

SAMA Siber Güvenlik Çerçevesi

Suudi Merkez Bankası'nın (SAMA), SAMA tarafından düzenlenen tüm kuruluşlar (bankalar, sigorta şirketleri, finansman şirketleri) için geçerli olan kendi Siber Güvenlik Çerçevesi (SAMACF) vardır. Çerçeve şunları içerir:

• KVKK ile uyumlu veri sınıflandırma ve koruma gereklilikleri
• Olaya müdahale ve bildirim gereklilikleri
• Üçüncü taraf risk yönetimi yükümlülükleri
• Bulut servis sağlayıcı değerlendirme gereksinimleri

SAMA tarafından düzenlenen kuruluşlar, daha katı gerekliliklerin geçerli olduğu SAMACF ve PDPL'ye uymak zorundadır.

CST Kişisel Verilerin Korunması Düzenlemeleri (Telekom)

İletişim, Uzay ve Teknoloji Komisyonu, abone verilerinin korunması, konum verileri kısıtlamaları ve telekom operatörleri için veri yerelleştirmesi de dahil olmak üzere telekoma özel veri koruma gereklilikleri yayınladı.

Sağlık Sektörü Düzenlemeleri

Sağlık Bakanlığı ve Suudi Sağlık Konseyi, aşağıdakileri zorunlu kılan sağlık hizmeti verileri koruma gereklilikleri yayınladı: veri paylaşımı için hasta onayı, sağlık kayıtları için veri yerelleştirmesi, sağlık bilgi sistemleri için özel güvenlik standartları ve sağlık verilerinin ticari amaçlarla kullanılmasına ilişkin kısıtlamalar.

---

Suudi PDPL Uyumluluk Kontrol Listesi

• KVKK uygulanabilirlik analizi tamamlandı (bölge dışı kapsam dahil)
• Kişisel veriler ve hassas veri envanteri tamamlandı
• Her işleme faaliyeti için belgelenen yasal dayanak
• Hassas veri işleme için ayrı açık rıza alınmıştır
• Gerekli tüm açıklamalarla birlikte Arapça (Suudi kullanıcılar için) yayınlanan gizlilik bildirimi
• Gerektiğinde DPO atanır; gizlilik bildirimindeki iletişim bilgileri
• 30 günlük yanıt mekanizmasıyla belgelenen veri sahibi hakları prosedürleri
• İşleyici anlaşmaları PDPL gereksinimleriyle güncellendi
• Sınır ötesi transfer değerlendirmesi tamamlandı — SDAIA onaylı mekanizmalar mevcut
• Düzenlemeye tabi sektörler (finans, sağlık, telekom) için veri yerelleştirme değerlendirmesi
• Yüksek riskli işleme faaliyetleri için yürütülen DPIA
• Veri hassasiyetiyle orantılı olarak uygulanan güvenlik önlemleri
• 72 saatlik ihlal bildirimi prosedürü belgelendi ve test edildi
• Saklama programları belgelendi ve otomatik silme yapılandırıldı
• KVKK yükümlülüklerine ilişkin çalışan eğitimi tamamlandı

---

Sıkça Sorulan Sorular

Suudi Arabistan'ın PDPL'si ne zaman uygulanabilir hale geldi?

PDPL, M/19 Kraliyet Kararnamesi ile Eylül 2021'de yürürlüğe girdi ve Uygulama Yönetmelikleri Mart 2023'te yayınlandı. Uygulama, yasanın yürürlüğe girmesinden iki yıl sonra, 17 Eylül 2023'te başladı. SDAIA başlangıçta uyumluluk hazırlığı için bir ek süre belirtmişti ancak uygulama artık aktif. Henüz uyum programlarına başlamamış işletmeler gerçek düzenleme riskiyle karşı karşıyadır.

Suudi PDPL, Suudi Arabistan dışındaki işletmem için geçerli mi?

Evet, Suudi Arabistan'da ikamet eden bireylerin kişisel verilerini işliyorsanız. Sınır ötesi kapsam, GDPR'nin yaklaşımına benzer: Suudi sakinlerine ürün veya hizmet sunuyorsanız ya da Suudi sakinlerinin verilerini herhangi bir amaçla işlerseniz PDPL geçerli olur. Buna e-ticaret işletmeleri, SaaS sağlayıcıları, dijital hizmetler ve Suudi çalışanları olan tüm şirketler (istihdam verileri için) dahildir.

Suudi Arabistan'da veri yerelleştirme gereksinimleri nelerdir?

PDPL'nin kendisi genel veri yerelleştirmesini zorunlu kılmaz; onaylanmış mekanizmalar aracılığıyla sınır ötesi aktarımlara izin verir. Ancak sektöre özgü düzenlemeler önemli yerelleştirme gereksinimleri doğurmaktadır: SAMA tarafından düzenlenen finans kurumları, müşterilerinin finansal verilerini Suudi Arabistan'da tutmak zorundadır; Düzenlemeye tabi sağlık kuruluşları için sağlık verileri Suudi Arabistan'da saklanmalıdır; Telekom abone verilerinin özel ikamet gereksinimleri vardır. Bulut sağlayıcıları AWS, Microsoft Azure ve Google Cloud, bu gereksinimleri karşılamak için Suudi Arabistan bulut bölgelerini kurdu.

PDPL, çok uluslu şirketler için GDPR ile nasıl etkileşime giriyor?

Hem GDPR'ye hem de Suudi PDPL'ye tabi olan çok uluslu şirketlerin her iki çerçeveyi de aynı anda karşılaması gerekiyor. Benzer ilkeleri paylaşıyorlar ancak ayrıntılarda farklılık gösteriyorlar: PDPL onay gereklilikleri, sınır ötesi aktarım mekanizmaları ve ihlal bildirimi zaman çizelgeleri Suudi Arabistan'a özgü gerekliliklere sahiptir. Asıl pratik zorluk sınır ötesi veri akışlarıdır: Suudi Arabistan'dan AB ülkelerine akan veriler, GDPR'nin varış noktasında geçerli olması nedeniyle otomatik olarak Suudi PDPL ile uyumlu değildir. Her aktarımın KVKK mekanizmaları kapsamında değerlendirilmesi gerekmektedir.

SDAIA nedir ve hangi yetkiye sahiptir?

SDAIA (Suudi Veri ve Yapay Zeka Otoritesi), Suudi Arabistan'daki verileri ve yapay zekayı denetlemekten sorumlu hükümet organıdır. 2019 yılında kurulan SDAIA, PDPL'yi yönetir ve geniş düzenleme, soruşturma ve uygulama yetkilerine sahiptir. Yönergeler ve yönetmelikler çıkarır, şikayetleri araştırır, denetimler yapar, idari para cezaları verir ve suç ihlallerini Cumhuriyet Savcılığına havale eder. SDAIA ayrıca Ulusal Veri Yönetişim Çerçevesini yönetir ve Suudi Arabistan'ın veri ekonomisi gelişimini denetler.

---

Sonraki Adımlar

Suudi Arabistan'ın büyüyen dijital ekonomisi ve Vizyon 2030 dönüşümü, giderek katılaşan düzenleyici gerekliliklerin yanı sıra önemli iş fırsatları da yaratıyor. PDPL uyumluluğu, Suudi devlet kurumları, bankalar, sağlık kuruluşları ve kurumsal müşterilerle iş yapmak için bir ön koşul haline geliyor.

ECOSIRE, kuruluşların diğer bölgesel veri koruma gerekliliklerinin yanı sıra Suudi PDPL uyumluluğunu yönlendirmesine yardımcı olur. Hizmetlerimiz arasında uyumluluk boşluğu değerlendirmeleri, gizlilik programı tasarımı, teknik uygulama ve sürekli uyumluluk yönetimi yer alır.

Daha fazla bilgi edinin: ECOSIRE Hizmetleri

Yasal Uyarı: Bu kılavuz yalnızca bilgilendirme amaçlıdır ve yasal tavsiye niteliğinde değildir. Suudi PDPL gereklilikleri, SDAIA rehberliği ve uygulama kararları aracılığıyla gelişmektedir. Kuruluşunuza özel tavsiyeler için nitelikli Suudi hukuk müşavirine danışın.