Birleşik Arap Emirlikleri’nde Kişisel Verilerin Korunması
Birleşik Arap Emirlikleri (BAE) Kabinesi tarafından “Kişisel Verilerin Korunması Üzerine 45 numaralı Federal Kanun Hükmünde Kararname” (Personal Data Protection Law, “PDPL”) yayımlanarak BAE hukukuna kişisel verilerin korunması genel olarak girmiş oldu.
27 Kasım 2021'de yayımlanan Kararname 2 Ocak 2022'de yürürlüğe girecek. Şu an için devam mevzuatın ise Mart 2022'de yayımlanması bekleniyor.
44 numaralı KHK ile kurulmuş olan “BAE Veri Ofisi” (UAE Data Office) ise BAE’nin veri koruma otoritesi olarak hizmet vermeye başlayacak. Veri Ofisi veri sızıntılarının duyurulması, ilgili kişilerden gelecek şikayetlerin değerlendirilmesi, kişisel veri transferi açısından “güvenli” olan ülkelerin değerlendirilmesi, idari para cezalarının verilmesi, genel stratejinin ve alt mevzuatın düzenlenmesi gibi konulardan sorumlu olacak. Yani diğer veri koruma otoriteleri ile paralel bir kurulum söz konusu diyebiliriz. Ofis’in “büyük miktarlarda veri işlemeyen” firmalara istisna uygulama yetkisi de bulunuyor.
Tanımlar: Tanımlar açısından pek çok yerde PDPL GDPR ile benzerlik göstermekte.
Kişisel veriler kişinin ismi, sesi, fotoğrafı, kimlik numarası, elektronik olarak tespite imkan verecek bilgiler ve coğrafi bilgileri olarak tanımlanmış. Bunun yanında hassas kişisel veriler ve biyometrik veriler de sayılmış. Biyometrik verilere parmak izi/avuç içi verileri (daktiloskopik veriler) ve yüz verisi de dahil edilmiş.
Kişinin aile bilgileri ve sabıka bilgileri özel nitelikli kişisel verilere dahil edilmiş.
Yetki alanı: BAE’de mukim olup kişisel veri işleyen (BAE içinde veya dışında fark etmeksizin) veri sorumluları ile BAE dışında olup BAE içerisinde bulunan ilgili kişilerin kişisel verilerini işleyen veri sorumluları açısından PDPL uygulanabilecek. Devletin verileri, sağlık verileri, bankacılık ve kredi verileri gibi bir kısım veriler ise PDPL kapsamının dışında tutuluyor.
Aydınlatma: PDPL’de doğrudan bir aydınlatma yükümlülüğü bulunmuyor. Talep halinde belirli bilgiler veri ilgilileri ile paylaşılıyor.
Rıza: BAE’de mevcut rıza alma uygulamaları toptancı bir mantıkla ilerliyordu, ancak PDPL ile bu durum değişecek. Rıza konusunda GDPR ile paralel bir düzenleme var, yani alınacak olan rızanın bigilendirmeye dayanması, spesifik olması ve özgür iradeyle verilmesi gerekiyor.
Kişisel verilerin işlenmesi: Veri işleme konusunda merkezde rıza alınması var. Rızanın yanına yerleştirilmiş olan birtakım istisnalar mevcut; sözleşme ifası ya da aleniyet gibi. PDPL meşru menfaati bir kişisel veri işleme istisnası olarak kabul etmiyor.
Yurtdışına veri transferleri: Sadece onaylanacak ülkelere veri transferleri doğrudan yapılabilecek (ve henüz bir liste mevcut değil). Bunun dışında sözleşme gereklilikleri ya da kamu yararı gibi istisnalar tanınmış durumda. GDPR’dakine benzer şekilde bağlayıcı sözleşme hükümleri ya da başkaca yollar henüz mevcut değil, yani listede bulunmayacak ülkelere transfer konusunda PDPL veri sorumlularını sınırlandırabilir.
Serbest Bölgeler: PDPL, halihazırda yürürlükte olan Dubai Uluslararası Finans Merkezi’nin 2020 tarihli, 5 numaralı Veri Koruma Kanunu ile Abu Dhabi’nin 2021 tarihli Global Marketlere Yönelik Veri Koruma Düzenlemeleri ile birlikte uygulanacak.
Cezalar: PDPL veri sızıntılarına doğrudan bir yaptırım düzenlemiyor. Devam mevzuatta bu yaptırımların düzenleneceği ise kesin. Veri Ofisi’ne şikayette bulunma hakkı ise düzenlenmiş durumda ve idari para cezaları mevcut.
Diğer yandan veri sızıntılarının Ofis’e derhal bildirilmesi gerektiği düzenlenmiş. Yani GDPR’daki (ve KVKK’daki) 72 saatlik süre burada mevcut değil. Veri sorumluları sızıntıyı fark ettiği an Ofis’e bildirmekle yükümlü.
Teknik ve idari tedbirlerde PDPL’in GDPR ile paralel olduğu söylenebilir.
DPO atanması PDPL’de de zorunlu. Ancak DPO BAE dışından bir kişi olabiliyor ki global şirketler açısından bunun bir avantaj olduğu söylenebilir.
Kişisel veri işleme envanteri (RoPA) büyük ölçüde GDPR ile paralel, ancak GDPR’dan farklı olarak, işlenen kişisel verilere erişme yetkisi olan veri sorumlusu çalışanlarının da listelenmesi gerekiyor.
Kişisel veri etki analizi gerçekleştirilmesi (DPIA) konusunda PDPL GDPR ile paralel ilerliyor.
Sonuç olarak BAE’de bulunan KOBİ niteliğindeki firmalar istisna tutulabilme ihtimalini değerlendirirken, tüm kişisel veri işleyen şirketlerin uyum faaliyetlerine başlaması önem arz ediyor.
Kaynak: Bird&Bird
