UK GDPR, Körfez Veri Koruma Yasaları ve Parçalı Uyum Haritası
"GDPR Uyumu" Artık Yetmiyor
Şirketler "GDPR uyumluyuz" dediklerinde genellikle şu üçünü kasteder: çerez banner'ı, gizlilik politikası ve ana satıcılarla Veri İşleme Sözleşmesi (DPA). Bu, 2019 için makul bir başlangıç noktasıydı. 2026'da ise bir yükümlülük haline geliyor.
Gizlilik mevzuatı parçalı bir yapıya büründü. İngiltere artık AB GDPR'ıyla yönetilmiyor. Suudi Arabistan hassas sektörler için veri yerelleştirmeyi zorla uyguluyor. BAE, şirketin nerede kurulduğuna bağlı olarak üç eş zamanlı hukuki rejim işletiyor. Bahreyn ve Katar ise sessiz sedasız, aktif uygulama organlarına sahip çerçeveler oluşturdu.
Türkiye veya Körfez'de temeli olan ve EMEA koridorunda faaliyet gösteren şirketler için "GDPR uyumu" çoğunlukla düzenleyici riskin %40-60'ını gözden kaçırıyor.
UK GDPR: Aynı Yapı, Ayrışan Kurallar
İngiltere, Ocak 2021'de AB'den ayrıldığında AB GDPR'ını iç hukuk olarak benimsedi — artık UK GDPR adıyla ICO tarafından denetleniyor. İlk iki yıl farklılıklar minimaldi.
Bu değişiyor.
2024–2026 yılları arasında Parlamento sürecinde olan DPDI Yasası, AB GDPR'ından çeşitli ayrışmalar getiriyor:
- Tanınan Meşru Çıkarlar: Belirli işleme faaliyetleri için dengeleme testi gerektirmeyen, önceden onaylanmış meşru çıkar amaçları listesi (dolandırıcılık önleme, güvenlik vb.) — uyum yükünü azaltıyor.
- Kıdemli Sorumlu Birey (SRI): Pek çok kuruluş için zorunlu VKO (Veri Koruma Görevlisi) gereksinimini daha az kısıtlayıcı bir iç hesap verebilirlik rolüyle değiştiriyor.
- Çerez rızası reformu: İngiltere, belirli durumlarda analitik çerezler için rıza aranmaksızın izin verme yönünde ilerliyor — GDPR'ın opt-in modelinden önemli bir sapma.
Maksimum ceza aynı kalıyor: küresel yıllık cironun %4'ü veya £17,5 milyon, hangisi yüksekse.
AB–İngiltere yeterlilik kararı (Haziran 2021'de verildi), AB ile İngiltere arasında ek güvence gerekmeksizin veri akışına izin veriyor — ancak periyodik olarak gözden geçirilmesi gerekiyor. İngiltere'nin AB standartlarından ciddi biçimde sapması bu kararın yeniden değerlendirilmesini tetikleyebilir.
CDP mimarları için pratik sorun şu: İngiltere ve AB kullanıcıları için ayrı rıza mantığına ihtiyaç var; verilerinizde tamamen aynı görünseler de. Londra'daki bir kullanıcı ile Dublin'deki bir kullanıcı farklı hukuki dayanak belgeleri gerektiriyor.
Üç BAE Rejimi: Uyum Tuzağı
BAE'nin gizlilik mevzuatı, şirketin fiziksel olarak nerede kurulduğuna bağlı olarak üç eş zamanlı çerçeve işletmesi nedeniyle diğer yargı bölgelerinden farklı:
1. BAE Federal PDPL (2022) BAE anakarasında kurulan şirketleri kapsıyor. Belirli veri işleyici kategorileri için DPA kaydı zorunlu, sınır ötesi transfer kontrolleri ve GDPR'a benzer veri sahibi hakları geçerli. Ağır ihlaller için 20 milyon AED (~5,4 milyon USD) ceza öngörülüyor.
2. DIFC Veri Koruma Kanunu 2020 Dubai Uluslararası Finans Merkezi'nin kendi denetim otoritesi (Veri Koruma Komiseri) ve kendi yasası var. DIFC'te kayıtlı şirketler — tipik olarak finansal hizmetler, fintech, profesyonel hizmetler — Federal PDPL'ye değil, DIFC Veri Koruma Kanunu'na tabi. DIFC kendi sınır ötesi transfer beyaz listesini tutuyor ve 2022'den bu yana aktif olarak uygulama yapıyor.
3. ADGM Veri Koruma Yönetmelikleri Abu Dhabi'deki ADGM (Abu Dhabi Global Market) serbest bölgesi, ADGM Kayıt Otoritesi tarafından yönetilen ADGM VK Yönetmelikleri kapsamında. UK GDPR modelini esas alıyor ve yalnızca ADGM bünyesinde kayıtlı kuruluşlara uygulanıyor.
Karmaşıklığı örnekleyen senaryo: Hukuki tüzel kişiliği DIFC'te kayıtlı, fiziksel ofisleri Dubai anakarasında olan, AB'li kurumsal yatırımcıları bulunan ve Frankfurt'ta bordro sistemleri işleten bir fintech şirketi aynı anda dört düzenleyici rejime tabi olabilir: DIFC Veri Koruma Kanunu, BAE Federal PDPL, AB GDPR ve Alman veri koruma hukuku. Operasyonel olarak tek bir şirket için tek bir CDP örneği dört ayrı mevzuat yükümlülüğünü izlemek zorunda.
Suudi Arabistan PDPL: Veri Yerelleştirme Altyapı Sorusunu Değiştiriyor
Suudi Arabistan'ın Kişisel Veri Koruma Kanunu, Ulusal Veri Yönetimi Ofisi (NDMO) tarafından yönetilerek Eylül 2023'te tam anlamıyla yürürlüğe girdi. Veri yerelleştirme gereksinimleri nedeniyle Körfez'deki operasyonel açıdan en zorlu çerçeveyi temsil ediyor.
Suudi vatandaşlarının kişisel verilerini hassas sektörlerde (sağlık, finansal hizmetler, telekomünikasyon, devlet) işleyen şirketler için veriler Suudi topraklarında depolanmak zorunda. Sınır ötesi transferlere yalnızca şu durumlarda izin veriliyor:
- Alıcı ülke, NDMO tarafından yeterli koruma sağladığı değerlendirilen bir ülkeyse, veya
- Veri sahibi riskler konusunda bilgilendirilerek açık rıza verirse, veya
- Sözleşmesel zorunluluk istisnası geçerliyse
Suudi PDPL kapsamındaki cezalar ihlaller için 5 milyon SAR (~1,3 milyon USD) düzeyine çıkabiliyor; kasıtlı yetkisiz veri transferleri için cezai yaptırımlar da mümkün.
Bulut tabanlı CDP'ler için bu, Suudi Arabistan'ın sıradan bir bölge gibi ele alınamayacağı anlamına geliyor — Suudi veri merkezlerinde faaliyet gösteren bir bulut sağlayıcısıyla özel ülke içi dağıtım veya veri yerleşim anlaşması gerekebilir.
Bahreyn ve Katar: Küçük Pazarlar, Aktif Uygulama
Bahreyn Kişisel Veri Koruma Yasası (2018), Körfez'in en eski ve tartışmasız en olgun gizlilik çerçevesidir. AB GDPR'ıyla yakından modellenen yasaya sınır ötesi transfer beyaz listesi, belirli kuruluşlar için zorunlu VKO ataması ve aktif bir denetim organı — Kişisel Veri Koruma Ofisi (PDO) — eşlik ediyor. Bahreyn PDO'su para cezaları ve uygulama bildirimleri vermiş olup bu, yasayı kâğıt üstünde kalan bir düzenlemeden ciddiye alınması gereken bir uyum sinyaline dönüştürüyor.
Katar Kişisel Veri Gizliliği Koruma Yasası (2021), Katar'da kişisel veri işleyen tüm kuruluşlar için geçerli. Veri sahibi hakları (erişim, düzeltme, silme), sınır ötesi transfer kısıtlamaları ve VKO atama zorunluluğu içeriyor. Denetim yetkisi Ulusal Siber Güvenlik Ajansı'nda (NCSA). Uygulama pratiği henüz olgunlaşıyor, ancak çerçeve hazır.
CDP Bu Parçalanmayı Nasıl Yönetir?
| Müşteri Segmenti | Uygulanan Yasa(lar) | CDP Rıza Bayrağı | Veri Yerleşimi |
|---|---|---|---|
| İngiltere sakini | UK GDPR | uk_marketing_consent |
UK/AB bölgesi |
| BAE sakini (anakara) | BAE Federal PDPL | uae_pdpl_consent |
BAE bölgesi |
| DIFC tüzel kişisi B2B | DIFC Veri Koruma Kanunu | difc_dp_consent |
BAE/DIFC bölgesi |
| Suudi sakini | Suudi PDPL | sa_pdpl_consent |
Suudi bölgesi (yerelleştirilmiş) |
| Bahreyn sakini | Bahreyn PDPA | bh_pdpa_consent |
KİK bölgesi |
Uyum odaklı bir CDP, kullanıcının IP adresine değil, ikamet ettiği ülkeye göre her profile bir jurisdiction (yargı bölgesi) etiketi atar. Her yargı bölgesi etiketi, CDP'nin aktivasyon katmanında otomatik olarak uyguladığı bir dizi rıza gereksinimine ve veri yerleşim kuralına eşleniyor.
Bu teorik bir mimari değil; doğru CDP konfigürasyonu ve satıcıdan bağımsız bir rıza şemasıyla bugün uygulanabilir. Temel kısıt şu: rıza şeması, CDP canlıya geçtikten sonra geri dönüp düzeltilmek yerine en baştan tasarlanmak zorunda.
Birden Fazla Yargı Bölgesinde mi Faaliyet Gösteriyorsunuz?
Bu parçalanmaya en fazla maruz kalan şirketler, uyum altyapısını tek bir yargı bölgesi için inşa eden ve genişledikçe mimariyi hiç güncellememiş 5-15 aktif pazarlı orta ölçekli B2B ve e-ticaret operatörleridir.
İngiltere, Suudi Arabistan veya BAE'de kullanıcılarınız varsa, mevcut CDP'niz büyük olasılıkla bu pazarların en az biri için yargı bölgesine özgü rıza bayraklarını ve veri yerleşim kontrollerini kaçırıyordur.
ONMARTECH'in Veri Hazırlık Denetimi, mevcut veri akışlarınızı her geçerli mevzuata karşı haritalıyor — UK GDPR, Suudi PDPL, DIFC Veri Koruma Kanunu ve Bahreyn PDPA dahil. Hangi çerçevelerin hangi müşteri segmentlerine uygulandığını, rıza mimarinizin nerede boşluk bıraktığını ve hangi altyapı değişikliklerinin gerekli olduğunu tespit ediyoruz. Süreci başlatmak için iletişime geçin.
Önerilen Okumalar
Composable CDP vs CXDP: Why the "Pipes & Engage" Split is the Key to Modern Data Architecture in 2026
The rise of Composable CDPs on Snowflake and Databricks, and the CDP claims of CXDPs like Braze and Dengage, have created architectural chaos in 2026. Let's look beyond the brand names to understand why ingestion (Pipes) and activation (Engage) must share the same identity graph.
Okumaya Devam Et →10-Day Live Traffic Analysis: Why Cloudflare and GA4 Tell Different Stories (And How to Recover Ad Signals with Consent Mode v2)
In the first 10 days post-launch, Cloudflare reports thousands of visits while GA4 stays in the double digits. In this case study, we examine how Advanced Consent Mode v2, ads_data_redaction, and gtagSendEvent bridge the gap between user privacy and ad optimization.
Okumaya Devam Et →