Birleşik Arap Emirlikleri’nin Yeni Veri Koruma Mevzuatı: Türk Şirketlerine Etkisi Ne Olacak?

Birleşik Arap Emirlikleri (“BAE”) tarafından 45/2021 Sayılı Kişisel Verilerin Korunması Hakkında Kanun Hükmünde Kararname (Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection) (“PDPL”), 27 Kasım 2021 tarihinde yayımlanmış olup 2 Ocak 2022 tarihinde yürürlüğe girmiştir. Uzun süredir beklenen PDPL, sınırlı olarak öngörülen bazı istisnalar haricinde BAE bünyesinde bulunan Abu Dabi, Dubai, Acman, Füceyre, Resü'l-Hayme, Şârika ve Ummül-Kayveyn emirliklerinde ana veri koruma mevzuatı olarak geçerli olacaktır.

44/2021 sayılı Kanun Hükmünde Kararname ile kurulan BAE Veri Ofisi (UAE Data Office) ise yeni veri koruma otoritesi olarak hareket edecektir. Bu kapsamda BAE Veri Ofisi; PDPL’in uygulanmasından, destekleyici ikincil mevzuatın çıkarılmasından, veri ihlal bildirim süreçlerinden, ilgili kişilerin şikayetlerinin alınmasından, yurt dışına veri aktarımı kapsamında ilgili ülkenin yeterli koruma düzeyine sahip olup olmadığının tespitinden, ihlal halinde idari para cezalarının uygulanmasından ve kişisel veriler ile ilgili politika, rehber, strateji ve talimat yayımlamaktan sorumlu olacaktır.

Bununla birlikte, PDPL ile ilgili ayrıntılı, destekleyici ve ikincil düzenlemelerin, PDPL’in yayım tarihinden itibaren 6 ay içerisinde BAE Veri Ofisi tarafından çıkarılması beklenmekte olup söz konusu ikincil düzenlemelerin yayımlanmasını takiben PDPL kapsamına tabi olan işletmelere mevzuat gerekliliklerini tamamlamaları için 6 aylık bir uyum süresi tanınacaktır. Bu vesileyle, PDPL kapsamına giren işletmeler, kendilerine tanınan 6 aylık uyum sürecinde kişisel veri işleme faaliyetlerini değerlendirmeli ve gerektiği takdirde PDPL’de öngörülen yükümlülükleri yerine getirmelidir.

Kapsam ve Uygulama Alanı

PDPL’in sınır ötesi (extraterritorial) uygulama alanı bulunmaktadır. Şöyle ki, PDPL hükümleri;

i. BAE’de ikamet eden veya BAE’de çalışan ilgili kişilere,

ii. BAE içerisinde veya BAE dışında bulunan kişilerin verilerini işleyen BAE içerisinde bulunan herhangi bir veri sorumlusu ve veri işleyen işletmelere,

iii. BAE dışında bulunmasına rağmen BAE içerisindeki kişilerin kişisel verilerini işleyen herhangi bir veri sorumlusu ve veri işleyen işletmelere uygulanacaktır.

Buna göre eğer Türk kökenli bir şirket; BAE sınırları içerisinde kişisel veri işleme faaliyeti gerçekleştiriyorsa ve/veya BAE sınırları dışında faaliyet gösteriyor olsa dahi BAE sınırları içerisindeki kişilerin kişisel verilerini işliyorsa, PDPL kapsamında sorumlu olmaktadır.

Bunun yanı sıra PDPL hükümleri, devlet verileri, kamu kurumları, kişisel verilerin kişisel kullanım amacıyla işlenmesi, sağlık veya kredi verilerinin kendi mevzuatına tabi olması ve özel kişisel veri koruma kanunları ile serbest bölgelerde kurulmuş kurum ve kuruluşlar (örneğin, Dubai Uluslararası Finans Merkezi) için geçerli olmamaktadır.

Kişisel Veri İşlenmesi Şartları

Öncelikli olarak belirtmek gerekirse, PDPL uyarınca kişisel veri; kimliği belirli bir gerçek kişiye veya ismi, sesi, fotoğrafı, kimlik numarası, elektronik verileri, coğrafi konumu veya bir ya da daha fazla fiziksel, fizyolojik, kültürel veya sosyal özelliği gibi tanımlayıcı bir özelliğe atıfta bulunarak doğrudan veya dolaylı olarak verilerin ilişkilendirilmesi yoluyla kimliği belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Hassas kişisel veri ise; bir kişinin ırk, etnik köken, siyasi ve felsefi görüş, dini inanç, sabıka kaydı, biyometrik verileri, sağlık verileri, cinsel durum ile ilgili bilgilerini doğrudan veya dolaylı olarak ortaya çıkaran herhangi bir bilgi olarak ifade edilmektedir.

PDPL uyarınca kişisel veriler, öngörülen bazı istisnai haller haricinde ancak ilgili kişinin rızası ile işlenebilmektedir. Aşağıda öngörülen istisnai hallerden en az birinin mevcut olması halinde ise ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenebilmesi mümkün kılınmıştır;

i. İlgili kişi ile mevcut olan sözleşmeden doğan bir yükümlülüğün yerine getirilmesi veya bu tür bir sözleşmenin akdedilmesi, değiştirilmesi veya feshedilmesi için kişisel veri işlemenin gerekli olduğu durumlar,

ii. İlgili kişinin kişisel verilerini kamuya açık hale getirmesi,

iii. İlgili kişinin çıkarlarını korumak amacıyla kişisel verinin işlenmesi,

iv. Yasal hakların talep edilebilmesi için veya adli veya güvenlik prosedürlerinin bir parçası olarak kişisel veri işlemenin gerekli olduğu durumlar,

v. Belirli tıbbi amaçlar veya halk sağlığı ile ilgili hususlar için kişisel veri işlemenin gerekli olduğu durumlar (ilgili mevzuata uygun olması şartıyla),

vi. Arşivleme amacıyla veya bilimsel, tarihi ve istatistiksel çalışmalar için kişisel verilerin işlenmesi halleri (ilgili mevzuata uygun olması şartıyla),

vii. Kamu yararı için kişisel veri işlemenin gerekli olduğu durumlar,

viii. Veri sorumlusunun yasal yükümlülüklerine uyması için kişisel veri işlemesinin gerekli olduğu durumlar,

ix. PDPL kapsamında çıkarılacak destekleyici ikincil mevzuatta belirtilen diğer durumlar.

Kişisel Verilerin Yurt Dışına Aktarımı

PDPL uyarınca, BAE Veri Ofisi tarafından “yeterli koruma düzeyi” sahip olduğu onaylanan ülkelere kişisel verilerin aktarılması mümkün kılınmıştır. Bu ülkeler, yürürlükte veri koruma mevzuatına sahip olan veya belirli bir ülkenin kişisel verilerin korunmasına ilişkin ikili veya çok taraflı anlaşmaları kabul ettiği ülkeleri kapsamaktadır.

Yeterli veri koruma düzeyine sahip olmayan ülkelere yapılacak yurt dışı veri aktarımları ise ancak aşağıdaki durumlarda yapılabilmektedir:

i. PDPL kapsamında öngörülen gereklilikleri (standart sözleşme maddelerini) sağlayan sözleşme uyarınca yapılan aktarımlar,

ii. Yurt dışına veri aktarımı için ilgili kişinin açık rızasının alındığı haller,

iii. Yurt dışına veri aktarımının, veri sorumlusu ile ilgili kişi arasındaki bir sözleşmenin ifası için veya veri sorumlusu ile ilgili kişinin menfaatlerini sağlayan üçüncü bir taraf arasındaki sözleşmenin bir parçası olarak gerekli olduğu durumlar,

iv. Uluslararası adli iş birliği kapsamında veri aktarımının gerekli olduğu durumlar,

v. Kamu menfaatini korumak için veri aktarımının gerekli olduğu durumlar.

PDPL Kapsamına Tabi Olan Veri Sorumluların Yükümlülükleri

PDPL uyarınca veri sorumluları için öngörülen yükümlülükler aşağıdaki gibidir:

a. Bilgilendirme ve Açık Rıza alınması yükümlülüğü

Kural olarak, kişisel verilerin işlenebilmesi için ilgili kişilerin açık rızasının alınması gerekmektedir. Bu kapsamda eğer veri sorumlusu, sadece ilgili kişinin açık rızasına dayanarak veri işleme faaliyetini gerçekleştiriyorsa, söz konusu açık rızanın alındığını kanıtlaması gerekmektedir. Rıza, elektronik veya yazılı olarak alınabilir ve açık, basit, açık ve erişilebilir bir şekilde alınmalıdır. Rıza alınırken ilgili kişi, rızasını geri çekebileceğine ve bunun yöntemine ilişkin bilgilendirilmelidir.

Bunun yanı sıra veri sorumlusu, kişisel verileri işlemeden önce ilgili kişiyi, kişisel veri işleme amaçları, kişisel verilerin aktarılacağı üçüncü kişiler, kişisel verilerin yurt dışında aktarılıp aktarılmayacağı ve bu kapsamda uygulanan tedbirler ile ilgili bilgilendirmelidir.

b. Kişisel verilerin güvenliğinin sağlanması için gerekli tedbirleri alma yükümlülüğü

Veri sorumlusu, işlenen kişisel verilerin güvenliğini sağlamak amacıyla gerekli teknik ve idari tedbirleri uygulamakla yükümlüdür. Bu tür teknik ve idari tedbirler, bunlar ile sınırlı olmamak kaydıyla aşağıdaki uygulamaları içerebilir:

  • İlgili kişinin kişisel verilerinin şifrelenmesi,
  • Verilerin takma adlı hale getirilmesi (pseudonymization),
  • Uzun vadeli gizlilik, bütünlük, güvenlik ve işleme sistemleri ve hizmet esnekliğini sağlayan önlemlerin uygulanması,
  • Herhangi bir fiili veya teknik arıza durumunda kişisel verilere zamanında erişim sağlayan tedbirlerin uygulanması.

c. Veri ihlalini bildirme yükümlülüğü

PDPL uyarınca veri sorumlusu, herhangi bir kişisel veri ihlalini öğrendikten sonra BAE Veri Ofisi’ni ve eğer ilgili kişiler ile ilgili olarak, mahremiyeti, gizliliği ve güvenliği riske atabilecek bir veri ihlali söz konusu ise ilgili kişileri derhal bilgilendirmekle yükümlüdür. Veri ihlalinin bildirilmesi için öngörülen süre, çıkarılacak olan destekleyici ikincil mevzuat ile belirlenecektir. Aynı zamanda veri işleyen de, herhangi bir veri ihlalinin gerçekleştiğini öğrenir öğrenmez veri sorumlusunu bilgilendirmelidir.

Ayrıca, söz konusu veri ihlal bildiriminde aşağıdaki bilgi ve belgelerin yer alması gerekmektedir:

  • Veri ihlalinin niteliği, biçimi, nedenleri, veri ihlali sayısı ile veri ihlaline ilişkin kayıtlar,
  • Veri Koruma Görevlisinin bilgileri,
  • Veri ihlalinin beklenen etkileri,
  • Veri ihlalini durdurmak ve etkilerini en aza indirgemek için veri sorumlusu tarafından uygulanan tedbirler ve açıklamaları,
  • Veri ihlaline ilişkin belgeler,
  • BAE Veri Ofisi tarafından talep edilen diğer bilgi ve belgeler.

d. Veri koruma görevlisi atama yükümlülüğü

PDPL uyarınca, aşağıdaki hallerden herhangi birinin mevcut olması halinde veri sorumlusu veya veri işleyenin, kişisel verileri korumak için yeterli beceri ve bilgiye sahip bir Veri Koruma Görevlisi (Data Protection Officer) ataması gerekmektedir:

i. Veri işleme faaliyetinin, ilgili kişinin kişisel verilerinin mahremiyeti ve gizliliği açısından yüksek bir riske yol açabileceği durumlar,

ii. Veri işleme faaliyetinin, profil oluşturma ve otomatik işleme dahil olmak üzere hassas kişisel verilerin sistematik ve genel bir değerlendirmesini içerdiği haller,

iii. Veri işleme faaliyetinin, büyük ölçekli hassas kişisel verileri içerdiği haller.

e. Veri Koruma Etki Değerlendirmesi yapma yükümlülüğü

PDPL uyarınca, verisi işlenen ilgili kişiler için yüksek risk oluşturması muhtemel yeni teknolojileri içeren bir veri işleme faaliyetinden önce veri sorumlusunun, Veri Koruma Etki Değerlendirmesi (Data Protection Impact Assessment) (“VKED”) yürütmesi gerekmektedir.

Aşağıda belirtilen durumlarda VKED yürütülmesi zorunlu tutulmuştur:

  • Veri işleme faaliyetinin, otomatik işlemeye dayanan veya yasal etkileri olan veya ilgili kişiyi önemli ölçüde etkileyebilecek şekilde kişisel verilerin sistematik ve genel bir değerlendirmesini içerdiği haller,
  • Veri işleme faaliyetinin, büyük ölçekli hassas kişisel verileri içerdiği durumlar.

f. İşleme faaliyetlerinin kayıt altına alınması yükümlülüğü

Veri sorumluları ve veri işleyenler, işledikleri kişisel verilere ilişkin kayıtları tutmakla yükümlüdür. Söz konusu kayıtlar; veri sorumlusunun ve veri koruma görevlisinin ayrıntıları, işlenen kişisel veri kategorileri, işleme amaçları, kişisel verilere erişim yetkisi olan kişilere ilişkin bilgiler, verilerin saklanma süresi, verilerin silinmesi ve düzeltilmesi yöntemleri, yurt dışına veri aktarıma ilişkin bilgiler, verileri güvenliğinin sağlanması için uygulanan teknik ve idari tedbirler ile ilgili bilgi ve belgeleri içermelidir.

g. Üçüncü taraf veri işleme faaliyetlerine ilişkin yükümlülükler

Veri sorumluları, PDPL ve ilgili ikincil mevzuat uyarınca öngörülen veri işleme gerekliliklerini sağlayacak şekilde, yeterli düzeyde teknik ve idari tedbirleri uyguladığına ilişkin güvenceyi sağlayan veri işleyenleri görevlendirmekle ve buna ilişkin kontrol süreçlerini yürütmekle yükümlüdür.

İlgili Kişilerin Hakları

PDPL uyarınca veri sorumlusu, ilgili kişilerin PDPL kapsamında öngörülen haklarını kullanabilmeleri için gerekli araç ve prosedürleri oluşturmak ve bunları ilgili kişilerin kolayca ulaşabileceği şekilde kullanımına sunmakla yükümlü tutulmaktadır.

Bu kapsamda PDPL uyarınca ilgili kişilere tanınan haklar şu şekildedir: i) kişisel verilere erişim hakkı, ii) kişisel verilerin taşınabilirliğini talep etme hakkı, iii) kişisel verilerin düzeltilmesini veya silinmesini talep etme hakkı, iv) veri işlemesini kısıtlama hakkı, v) veri işlemesini durdurma hakkı, vi) itiraz etme hakkı.

Yaptırımlar

PDPL hükümlerine uyulmaması halinde veri sorumlusu ve veri işleyen işletmelere uygulanacak yaptırımlar PDPL kapsamında açıkça öngörülmemektedir. Ne var ki, PDPL veya çıkarılacak olan destekleyici ikincil mevzuat hükümlerine aykırılık halinde idari para cezalarının uygulanması mümkün kılınmış olup bu tür idari para cezalarının miktarları, BAE Veri Ofisi tarafından çıkarılacak olan destekleyici ve ikincil mevzuat ile belirlenecektir.

Türk Şirketleri İçin Yol Haritası

PDPL kapsamında Türk şirketlerinin herhangi bir yaptırıma maruz kalmaktan kaçınması için öncelikli olarak PDPL kapsamında sorumlu olup olmadığının tespit edilmesi ve takiben yükümlülükleri yerine getirilebilmesi için gerekli önlemlerin alınması gerekmektedir. Buna göre aşağıdaki şekilde bir yol haritası izlenmesi mümkündür:

  1. Şirket bünyesinde ne tür bir kişisel veri işlendiğinin ve bu kişisel veri kategorilerinin PDPL kapsamına girip girmediğinin tespiti
  2. Şirketin PDPL’in uygulama alanına tabi olup olmadığının tespiti

Bu kapsamda, söz konusu Türk şirketi tarafından, i) BAE sınırları içerisinde kişisel veri işleme faaliyeti gerçekleştirilip gerçekleştirilmediğinin ve/veya ii) BAE sınırları dışında faaliyet gösteriyorsa dahi BAE sınırları içerisindeki kişilerin kişisel verilerini işlenip işlenmediğinin tespit edilmesi gerekmektedir.

  1. Türk şirketinin PDPL kapsamında olduğunun tespit edilmesi halinde şirketin PDPL’de öngörülen yükümlülükleri uygulaması ve bu yönde gerekli tedbirleri alması gerekmektedir. Aksi halde şirketin yaptırımlara maruz kalması söz konusu olabilecektir.

Bu kapsamda, özellikle Türk şirketlerinin tabi olduğu Türk mevzuatında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (KVKK) öngörülmeyen veri koruma görevlisi atama yükümlülüğü, veri koruma etki değerlendirmesi yapma yükümlülüğü, üçüncü taraflara yönelik risk değerlendirmesi yapma yükümlülüğü, işleme faaliyetlerinin kayıt altına alınması yükümlülüğü gibi yükümlülüklerin yerine getirilmesi gerekmektedir.