دليل موافقة ملفات تعريف الارتباط PDPL في الإمارات: القانون الاتحادي بمرسوم 45 لسنة 2021 للناشرين
أقرت الإمارات العربية المتحدة قانون حماية البيانات الشخصية في أواخر عام 2021 ودخل حيز التنفيذ في العام التالي. يُعرف Federal Decree-Law 45 of 2021 باسم PDPL، وهو أول قانون خصوصية فيدرالي شامل في الدولة، وهو يستعير بكثرة من هيكل GDPR مع تكييف الأحكام الرئيسية مع القانون الفيدرالي للإمارات واعتبارات تحرير البيانات في الدولة. بالنسبة للناشرين الذين يعملون في أو يستهدفون حركة UAE — وهي سوق توسعت بشكل حاد مع نمو التجارة الإلكترونية الإقليمية والتكنولوجيا المالية والأعمال الإعلامية فائقة الحجم القائمة في Dubai وأبو ظبي — حول PDPL موافقة ملفات تعريف الارتباط من توقع ناعم إلى التزام امتثال فيدرالي. يرشدك هذا الدليل عبر كيفية تعامل PDPL مع التتبع عبر الإنترنت، وحيث يركز مكتب البيانات في UAE على الإنفاذ، والآثار العملية على تصميم لافتة ملفات تعريف الارتباط وتكوين CMP.
الإطار القانوني لـ PDPL
ينطبق PDPL على معالجة البيانات الشخصية للمقيمين في UAE، سواء كانت المعالجة تتم داخل الإمارات أو خارجها، وسواء كان المراقب أو المعالج مؤسساً في الإمارات أو يعمل من الخارج. النطاق الإقليمي هو إذاً خارج إقليمي بنفس الطريقة التي يكون بها GDPR — الناشر الذي يعمل من لندن أو سنغافورة ويعالج بيانات سكان UAE يقع في النطاق. السلطة الإشرافية هي مكتب البيانات في UAE، الذي تم إنشاؤه بموجب نفس الحزمة التشريعية، وقد اتخذ موقفاً متوازناً لكن متزايد النشاط بشأن الإنفاذ.
ستكون المبادئ الأساسية لـ PDPL مألوفة لأي شخص عمل مع GDPR: الأساس القانوني، وتحديد الغرض، وتقليل البيانات، والدقة، وتحديد التخزين، والنزاهة والسرية، والمساءلة. تشمل الأسس القانونية بموجب Article 4 الموافقة وأداء العقد والالتزام القانوني والمصالح الحيوية والصالح العام والمصالح المشروعة، لكل منها نطاقها وشروطها الخاصة. بالنسبة للتتبع عبر الإنترنت، الأسس ذات الصلة هي الموافقة والمصالح المشروعة في ظروف ضيقة. ملفات تعريف الارتباط المثبتة مسبقاً التي تجمع البيانات الشخصية بدون موافقة تشكل انتهاكاً بنفس الطريقة التي قد تكون عليها بموجب GDPR.
ما يُعتبر بيانات شخصية بموجب PDPL
تعريف PDPL للبيانات الشخصية واسع ويتتبع GDPR بشكل وثيق: أي بيانات تتعلق بشخص طبيعي معرف أو قابل للتعريف، بما في ذلك المعرفات عبر الإنترنت. ملفات تعريف الارتباط التي تحدد جهازاً بشكل مستمر، وعناوين IP المعالجة إلى جانب بيانات أخرى، ومعرفات الإعلانات، ومعرفات نمط بصمة الإصبع كلها تقع ضمن النطاق. أكدت توجيهات مكتب البيانات التنفيذية أن التحليل المطبق على ملفات تعريف الارتباط السلوكية والإعلانية في EU ينطبق بشكل أساسي نفسه في UAE — ما يختلف هو بنية الإنفاذ، وليس المعيار الموضوعي.
يُعرّف PDPL أيضاً فئة من البيانات الشخصية الحساسة ذات متطلبات المعالجة الأكثر صرامة، تغطي معلومات الصحة والبيانات الوراثية والبيومترية والعقيدة الدينية والسجل الجنائي والفئات المماثلة. ملفات تعريف الارتباط التي تجمع أي من هذه البيانات تتطلب موافقة صريحة وضمانات إضافية.
موافقة ملفات تعريف الارتباط بموجب PDPL
لا يحتوي PDPL على حكم خاص بملفات تعريف الارتباط بالطريقة التي توجيه ePrivacy في EU يفعلها. بدلاً من ذلك، ينشأ متطلب الموافقة من Article 6، الذي يحدد المعيار العام للموافقة الصحيحة: يجب أن تكون محددة وواضحة وموعية وحرة التوافر، ويجب أن تكون موضوع البيانات قادرة على سحب الموافقة بنفس سهولة منحها. فسّر مكتب البيانات هذا المعيار ليتطلب:
- إجراء تأكيد صريح قبل إطلاق ملفات تعريف الارتباط غير الضرورية. لا تكفي المتابعة المستمرة أو التمرير أو الموافقة الضمنية.
- عناصر تحكم فئة حبيبية تفصل ملفات تعريف الارتباط ضرورية تماماً عن تحليلات وعن الإعلانات، مع قدرة الزائر على قبول البعض ورفض الآخرين.
- آلية سحب واضحة يمكن الوصول إليها من أي صفحة يكون التتبع فيها نشطاً، مع دخول السحب حيز النفاذ على الفور.
- توثيق قرار الموافقة كافٍ لتلبية متطلب المساءلة بموجب Article 5.
عملياً هذا هو نفس معيار التشغيل الذي سيبنيه الناشر لـ GDPR. لافتة تجتاز معايير EDPB Cookie Banner Taskforce ستلبي PDPL؛ واحدة تفشل فيها ستفشل تحت فحص PDPL أيضاً.
نقل البيانات عبر الحدود
إحدى أكثر الميزات المميزة لـ PDPL هي إطار النقل عبر الحدود. Article 22 و Article 23 من PDPL يحددان الشروط التي قد يتم بموجبها نقل البيانات الشخصية خارج UAE، منظمة بطرق توازي — لكن لا تعكس بشكل متطابق — Chapter V من GDPR.
تعيينات على غرار الكفاية
يسمح PDPL لمكتب البيانات بتعيين دول توفر حماية كافية. القائمة الحالية أقصر من قائمة المفوضية الأوروبية ومن المتوقع أن تتطور. حتى يتم تعيين الدولة، تتطلب النقل أحد الآليات القانونية الأخرى.
الترتيبات التعاقدية القياسية
يسمح PDPL بالنقل المدعوم بضمانات تعاقدية مناسبة، مماثلة في الهيكل لـ EU SCCs. تعمل العديد من المراقبين في UAE مع ملحقات تعاقدية خاصة يراجعها مكتب البيانات بناءً على الطلب.
استثناءات محددة
الموافقة الصريحة وأداء العقد واستثناءات المصالح الحيوية متاحة لكن مفسرة بشكل ضيق. الاعتماد الروتيني على الموافقة للنقل — الذي بموجب GDPR غالباً ما يُعتبر استثنائياً بدلاً من أن يكون منتظماً — يُعامل بالمثل هنا.
بالنسبة للناشرين عبر الإنترنت، التأثير العملي هو أن سجل موافقة ملفات تعريف الارتباط الآن يجب أن يدعم أيضاً التزام المساءلة للنقل. إذا قبل زائر في UAE ملفات تعريف ارتباط تنقل بيانات إلى بائع تكنولوجيا إعلانات أمريكي، فإن CMP يحتاج إلى أن يكون قادراً على عرض أداة النقل التي تصرح بهذا التدفق.
الاعتبارات القطاعية والمناطق الحرة
المشهد الخصوصي في UAE متعدد الطبقات. ينطبق PDPL الفيدرالي على نطاق واسع، لكن عدة مناطق حرة — Dubai International Financial Centre (DIFC) و Abu Dhabi Global Market (ADGM) و Dubai Healthcare City — تعمل بأنظمة حماية بيانات خاصة بها تسبق PDPL. DIFC Data Protection Law No. 5 of 2020 و ADGM Data Protection Regulations 2021 كلاهما محاذاة GDPR وينطبق ضمن مناطقهما الخاصة. يجب على الناشرين الذين يعملون عبر مناطق متعددة التوفيق بين PDPL الفيدرالي والإطار القابل للتطبيق في المنطقة الحرة؛ في معظم الحالات المعايير الموضوعية تتقارب لكن القناة الإشرافية تختلف.
ما أشارت إليه مكتب البيانات
تم متعمداً موقف الإنفاذ من قِبل مكتب البيانات في UAE، مع إعطاء الأولوية لبناء القدرات والتشاور القطاعي والقضايا الرفيعة المستوى على نظام غرامات عالي الحجم. شددت وثائق التوجيه العام على:
تصميم اللافتة
محاذاة مكتب البيانات مع معايير EDPB بشأن تصميم اللافتة، معاملة أزرار الرفض المفقودة وتنسيق الارتباط الخادع والخانات المحددة مسبقاً كعيوب شائعة تتطلب العلاج. التوقع هو التقارب مع المعايير الأوروبية.
الشفافية عبر الحدود
أشارت المكتبة إلى أن النقل الدولي سيكون محور اهتمام معين، خاصة حيث يتم توجيه البيانات الشخصية إلى ولايات قضائية بدون تعيين كفاية. يُعامل توثيق آلية النقل كمتطلب مساءلة، وليس اختياري.
الإفصاح باللغة العربية
بينما لا يفرض PDPL اللغة العربية، أشار مكتب البيانات إلى أن الإفصاحات يجب أن تكون متاحة بالعربية حيث يكون الجمهور في المقام الأول ناطقاً بالعربية، سواء للوصول أو للأغراض الإثباتية.
قائمة التحقق من الامتثال العملية
ستة أسئلة ملموسة للإجابة عليها لأي لافتة ملفات تعريف ارتباط تخدم حركة UAE.
1. موافقة تأكيدية قبل التتبع
هل يتم حجب ملفات تعريف الارتباط غير الضرورية على مستوى محمل البرنامج النصي حتى يتخذ الزائر إجراءً تأكيدياً؟ تحميل اللافتة مسبقاً على المتتبعات التي تعمل بالفعل يشكل انتهاكاً صريحاً.
2. الفئات الحبيبية
هل تفصل اللافتة فئات ضرورية وتحليلات وإعلانات، مع مفاتيح تبديل مستقلة؟ قبول مجمع للكل بدون حبيبية عيب.
3. توفر اللغة العربية
هل تكتشف اللافتة الزوار الناطقين بالعربية وتقدم باللغة العربية بشكل افتراضي، مع الإنجليزية كبديل قابل للتبديل؟ أشار مكتب البيانات صراحة إلى إمكانية الوصول اللغوية.
4. الوصول إلى السحب
هل عنصر التحكم في السحب مستمراً وقابلاً للوصول من كل صفحة؟ إعدادات متعددة الخطوات المدفونة في رابط تذييل تفشل معيار "سهل السحب مثل الإعطاء".
5. توثيق نقل البيانات عبر الحدود
لكل ملف تعريف ارتباط يؤدي إلى نقل دولي، هل آلية النقل (كفاية أو ضمان تعاقدي أو استثناء) موثقة وقابلة للعرض عند الطلب؟
6. تسجيل الموافقة
هل يسجل النظام كل قرار موافقة مع الطابع الزمني والإصدار من اللافتة والاختيار وولاية قضائية الزائر حتى يتمكن الناشر من الإجابة على استفسار مكتب البيانات بالأدلة؟
حيث ينسب PDPL في الصورة الإقليمية
يُعتبر PDPL في UAE واحداً من عدة أطر خصوصية خليجية دخلت حيز التنفيذ في السنوات القليلة الماضية — PDPL السعودية وقانون حماية البيانات الشخصية البحريني وقانون الخصوصية للبيانات الشخصية القطري وقانون حماية البيانات الشخصية العماني كلها تعمل جنباً إلى جنب معه. المعايير الموضوعية في جميع أنحاء المنطقة تتقارب نحو مبادئ محاذاة GDPR، مع اختلافات وطنية في بنية الإشراف وآليات النقل والإعفاءات القطاعية. بالنسبة للناشرين الذين يعملون في جميع أنحاء الخليج، البناء مرة واحدة للمعيار الأعلى — موافقة حبيبية وسحب مستمر وعمليات نقل موثقة ودعم لغة عربية وتسجيل على مستوى التدقيق — يتعامل مع الامتثال الإقليمي من خلال نفس بنية CMP التي تعامل مع الامتثال الأوروبي. الإمارات، بكثير من النواحي، رائدة إقليمية: حيث ينتقل مكتب البيانات، تميل المنظمون المجاورون إلى المتابعة.
```