Што такое PDPL на самай справе

PDPL — гэта першы ўсёабдымны закон Саудаўскай Аравіі аб прыватнасці. Ён быў выдадзены Каралеўскім дэкрэтам M/19 у 2021 годзе, зменены ў сакавіку 2023 года для больш цеснага ўзгаднення з глабальным стандартам, устаноўленым GDPR і аналагічнымі рэжымамі, і цалкам уступіў у сілу 14 верасня 2024 года пасля гадавога льготнага перыяду. Закон знаходзіцца ўнутры больш шырокага саудаўскага стэка кіравання данымі, які ўключае Часовыя рэгламенты нацыянальнага кіравання данымі, Рэгулятарную структуру воблачных вылічэнняў і правілы свабоды інфармацыі SDAIA — але для выдаўцоў PDPL з'яўляецца часткай, якая кіруе cookie, рэкламным адсочваннем, аналітыкай і любой іншай апрацоўкай персанальных даных, прывязанай да сайта або дадатку.

Імплементуючыя рэгламенты

PDPL кароткі. Дэталі жывуць у двух імплементуючых рэгламентах, апублікаваных SDAIA у верасні 2023 года і ўдакладненых на працягу 2024 і 2025 гадоў: Імплементуючыя рэгламенты (агульныя) і Рэгламенты перадачы персанальных даных (трансгранічныя). Разам яны даюць выдаўцам канкрэтныя адказы аб якасці згоды, захоўванні, тэрмінах паведамлення аб парушэннях і ўмовах адпраўкі даных саудаўскіх рэзідэнтаў за межы Каралеўства. Любы, хто ўсё яшчэ працуе толькі з тэкстам 2021 года, чытае састарэлую карту.

Храналогія правапрымянення, якую выдаўцы павінны ведаць

SDAIA дало арганізацыям час да 14 верасня 2024 года, каб прыйсці да поўнай адпаведнасці. Першая хваля аўдытарскіх лістоў выйшла ў канцы 2024 года буйным кантралёрам у фінансах, тэлекамунікацыях і дзяржаўных паслугах. На працягу 2025 года праграма аўдыту пашырылася, уключыўшы фінансуемыя рэкламай медыя, электронную камерцыю і любую платформу, якая апрацоўвае больш за пэўны аб'ём даных саудаўскіх рэзідэнтаў. Да 2026 года SDAIA сігналізавала, што малыя і сярэднія выдаўцы цяпер у сферы дзеяння — асабліва любы аператар, чый арабамоўны кантэнт або рэкламныя выдаткі сігналізуюць аб наўмыснай саудаўскай аўдыторыі.

Каго SDAIA лічыць кантралёрам даных

PDPL прымяняецца экстэрытарыяльна. Вам не патрэбна саудаўская арганізацыя, саудаўскі сервер або саудаўскі банкаўскі рахунак, каб быць кантралёрам па законе. Калі ваш сайт або дадатак апрацоўвае персанальныя даныя асоб, якія пражываюць у Каралеўстве, вы ў сферы дзеяння. Для выдаўцоў гэты зачэп спрацоўвае руцінным ad-tech-патокам даных: IP-адрасы, ідэнтыфікатары прылад, хэшаваныя электронныя лісты, паводніцкія cookie і ідэнтыфікатары карыстальнікаў, якія праходзяць праз праграматык-аўкцыёны, — усе лічацца персанальнымі данымі, калі яны прывязаны да саудаўскага рэзідэнта.

Патрабаванне мясцовага прадстаўніка

Замежныя кантралёры без прысутнасці ў Каралеўстве павінны прызначыць мясцовага прадстаўніка, зарэгістраванага ў SDAIA. Прадстаўнік з'яўляецца юрыдычным пунктам кантакту для запытаў суб'ектаў даных і перапіскі з рэгулятарам. Меншыя выдаўцы часта вырашаюць гэта праз фірму па паслугах прыватнасці, а не шляхам лакальнай рэгістрацыі — але прызначэнне абавязковае, як толькі вы перасякаеце парог рэгулярнай саудаўскай апрацоўкі.

Сцэнарыі сумеснага кантралёрства для ad-tech

Ланцуг паставак, які манетызуе праграматык-рэкламны слот — ваша CMP, ваш рэкламны сервер, SSP, якія вы выклікаеце, DSP, якія робяць стаўкі, пастаўшчыкі верыфікацыі і партнёры па вымярэнні — стварае салідарныя адносіны кантралёраў па PDPL гэтак жа, як і па GDPR. Выдаўцы не могуць перакласці адказнасць па PDPL на пастаўшчыка. SDAIA чакае, што выдавец прадэманструе, што ў кожнага сыходнага партнёра ёсць сваё ўласнае прававое падстава і кантрактныя абавязацельствы, якія адпавядаюць таму, што выдавец паабяцаў на банеры згоды.

Згода на cookie ў рамках імплементуючых рэгламентаў

PDPL прызнае згоду як адно прававое падстава для апрацоўкі персанальных даных, а Імплементуючыя рэгламенты разгортваюць, як выглядае сапраўдная згода. Стандарт высокі — бліжэй да GDPR, чым да CCPA — і ён ахоплівае cookie, пікселі, SDK, фінгерпрынтынг і любую іншую тэхналогію адсочвання, якая чытае або запісвае даныя на прыладзе карыстальніка.

Што лічыцца сапраўднай згодай

Згода павінна быць свабодна дадзенай, канкрэтнай, інфармаванай і відавочнай. Загадзя адзначаныя галачкі, cookie-сцены, што блакуюць кантэнт, калі карыстальнік не прыме, і неадназначныя паведамленні «працягваючы прагляд» — усе яны не адпавядаюць стандарту. Карыстальнік павінен здзейсніць адназначнае сцвярджальнае дзеянне — звычайна клік па кнопцы «Прыняць» — і гэта дзеянне павінна быць прывязана да выразнага апісання мэтаў апрацоўкі. Звязаная згода, якая аб'ядноўвае аналітыку, рэкламу і персаналізацыю ў адно «так або не», відавочна забаронена.

Дэталёвыя катэгорыі мэтаў

Кіраўніцтва SDAIA пералічвае катэгорыі мэтаў, якія CMP выдаўца павінна раскрываць: строга неабходныя, функцыянальныя, аналітыка, рэклама, персаналізацыя і любая апрацоўка адчувальных даных, такая як высновы аб здароўі або біяметрыі. Кожная катэгорыя патрабуе ўласнага пераключальніка, уласнага апісання мэты і ўласнага спіса пастаўшчыкоў. Фрэймворк IAB Europe TCF v2.3, належным чынам пашыраны тэкстам, спецыфічным для PDPL, на арабскай, з'яўляецца найбольш распаўсюджаным шляхам, які выкарыстоўваюць выдаўцы для задавальнення патрабавання дэталізацыі.

Адкліканне і паўторная згода

Права адклікаць згоду павінна быць такой жа простай, як і права яе даць. Плавальны значок пераваг згоды, спасылка ў падвале або панэль налад у дадатку — усе падыходзяць; схаваная адмова толькі па электроннай пошце — не. Выдаўцы павінны планаваць перыядычную паўторную згоду пры істотных зменах — новы рэкламны партнёр, новая мэта cookie, новы SDK — і SDAIA чакае, што журнал аўдыту CMP запісвае кожную падзею паўторнай згоды з пазнакай часу.

Трансгранічныя перадачы і лакалізацыя даных

Рэгламенты перадачы персанальных даных — гэта частка PDPL, найбольш верагодна здольная спатыкнуць выдаўцоў, таму што ў момант, калі IP-адрас саудаўскага карыстальніка ўваходзіць у праграматык-аўкцыён, ён фактычна перададзены туды, дзе працуюць SSP і DSP. SDAIA не разглядае гэта як свабодны паток.

Спіс адэкватнасці і стандартныя кантракты

Кантралёр можа перадаваць персанальныя даныя за межы Каралеўства па адным з трох асноўных механізмаў: ухваленаму SDAIA рашэнню аб адэкватнасці для краіны прызначэння, ухваленаму SDAIA стандартнаму кантракту або абавязковаму набору карпаратыўных правілаў для ўнутрыгрупавых перадач. Спіс адэкватнасці па стане на 2026 год уключае невялікую колькасць суседзяў па GCC і жменьку еўрапейскіх юрысдыкцый, але большасць ad-tech-прызначэнняў — уключаючы Злучаныя Штаты — знаходзяцца па-за ім і патрабуюць альбо стандартнага кантракту, альбо дэрагацыі.

Ацэнка ўздзеяння перадачы даных

Для высокарызыкоўных перадач SDAIA патрабуе задакументаваную Ацэнку ўздзеяння перадачы даных (DTIA) да пачатку перадачы. Гэта саудаўскі аналаг ацэнкі ўздзеяння перадачы ЕС пасля Schrems II. Выдаўцы павінны працаваць са сваёй CMP і ad-tech-пастаўшчыкамі, каб сабраць шаблонныя DTIA, якія пакрываюць паўтаральныя праграматык-патокі, і абнаўляць іх кожны раз, калі пастаўшчык мяняе месцы апрацоўкі.

Практычныя крокі адпаведнасці для выдаўцоў

Праграма PDPL разбіваецца на пяць аперацыйных задач, якія выразна супастаўляюцца з існуючай CMP і рэкламным стэкам выдаўца. Ні адна з іх не з'яўляецца незнаёмай для любога, хто ўжо ўкараніў адпаведнасць GDPR або LGPD — розніца ў дэталях саудаўскага тэксту і канкрэтных правілах перадачы.

Кантрольны спіс канфігурацыі CMP

Пацвердзіце, што ваш банер згоды паказваецца на арабскай для наведвальнікаў КСА і на англійскай для ўсіх астатніх, што катэгорыі мэтаў цалкам дэталёвыя, што шлях «адхіліць усё» — гэта адзін клік і візуальна роўны «прыняць усё», і што радок згоды цячэ ўніз праз Google Consent Mode v2 або вашу інтэграцыю TCF. Упэўніцеся, што ваша CMP запісвае спецыфічную для PDPL квітанцыю згоды з пазнакай часу, версіяй палітыкі і ідэнтыфікатарам карыстальніка, каб аўдытарскія адказы можна было сабраць за хвіліны, а не дні.

Журналы згоды і аўдытарскі след

Аўдытарскія каманды SDAIA запытваюць доказы згоды ў знаёмай форме: хто пагадзіўся, на што, калі, з якой версіяй банера і што ім сказалі ў момант згоды. Плануйце захоўванне гэтых журналаў не менш за два гады і захоўвайце іх так, каб яны перажылі змену пастаўшчыка CMP — экспарт у сховішча даных, якое належыць кантралёру, з'яўляецца самым чыстым патэрнам.

Працэс правоў суб'ектаў даных

PDPL прадастаўляе правы доступу, выпраўлення, выдалення і пераноснасці з тэрмінамі адказу ў трыццаць дзён. Выдавец з адзіным скрыняй privacy@ і без працэсу тыкетаў будзе прапускаць тэрмін часцей, чым выконваць. Стварыце задакументаваны працэс ад прыёму да адказу, навучыце аднаго іменаванага ўладальніка і інтэгруйце працэс з запісамі згоды вашай CMP і рэкламнага сервера, каб запыты на сціранне распаўсюджваліся ўніз.

Вынік

PDPL Саудаўскай Аравіі ў 2026 годзе — не мяккі рэжым, які выдаўцы могуць дэпрыярытэзаваць за GDPR і CCPA. У SDAIA ёсць фінансаванне, аўдытарская магутнасць і палітычная падтрымка для яго прымянення, а правілы трансгранічнай перадачы ў прыватнасці ствараюць рэальнае трэнне з глабальным ad-tech-ланцугом паставак, вакол якога выдаўцы павінны выбудоўваць інжынерыю. Добрая навіна ў тым, што PDPL запазычвае дастаткова ў GDPR, што выдавец са сталай еўрапейскай пазіцыяй адпаведнасці большай часткай ужо на месцы. Лакалізуйце свой банер згоды на арабскую, накладзіце спецыфічны для PDPL тэкст мэтаў паверх існуючай наладкі TCF, задакументуйце механізмы перадачы, прызначце мясцовага прадстаўніка, калі ваш саудаўскі трафік гэта апраўдвае, і ваша аўдыторыя КСА застанецца манетызуемай, пакуль аператары, якія адмахнуліся ад PDPL як ад папяровага практыкавання, правядуць 2026 год за чытаннем аўдытарскіх лістоў.