Кіраўніцтва па згодзе на cookie ААЭ PDPL: Федэральны дэкрэт-закон 45 ад 2021 года для выдаўцоў
Аб'яднаныя Арабскія Эміраты прынялі свой Закон аб абароне персанальных дадзеных у канцы 2021 года і ўвялі яго ў сілу ў наступным годзе. Федэральны дэкрэт-закон 45 ад 2021 года, вядомы як PDPL, — гэта першы ўсёабдымны федэральны закон аб прыватнасці краіны, і ён шмат у чым запазычвае структуру GDPR, адаптуючы ключавыя палажэнні да федэральнага права ААЭ і меркаванняў лакалізацыі дадзеных краіны. Для выдаўцоў, якія працуюць у ААЭ або арыентуюцца на трафік ААЭ — рынак, які рэзка пашырыўся з ростам рэгіянальнага электроннага гандлю, фінтэху і гіпермаштабных медыябізнесаў, базуючыхся ў Дубаі і Абу-Дабі — PDPL ператварыў згоду на cookie з мяккага чакання ў федэральнае абавязацельства адпаведнасці. Гэта кіраўніцтва праходзіць праз тое, як PDPL трактуе анлайн-адсочванне, на чым факусуе выкананне Упраўленне дадзеных ААЭ, і якія практычныя наступствы для дызайну банера cookie і канфігурацыі CMP.
Прававая рамка PDPL
PDPL прымяняецца да апрацоўкі персанальных дадзеных рэзідэнтаў ААЭ, ці адбываецца апрацоўка ўнутры ААЭ або за іх межамі, і ці ўсталяваны кантролёр або працэсар у ААЭ або працуе з-за мяжы. Тэрытарыяльны ахоп, такім чынам, экстэрытарыяльны ў тым жа сэнсе, што і GDPR — выдавец, які працуе з Лондана або Сінгапура і апрацоўвае дадзеныя пра рэзідэнтаў ААЭ, уваходзіць у сферу дзеяння. Нагляднай органам з'яўляецца Упраўленне дадзеных ААЭ, заснаванае ў рамках таго ж заканадаўчага пакета, якое заняло ўзважаную, але ўсё больш актыўную пазіцыю па выкананні.
Асноўныя прынцыпы PDPL будуць знаёмыя любому, хто працаваў з GDPR: законная падстава, абмежаванне мэты, мінімізацыя дадзеных, дакладнасць, абмежаванне захоўвання, цэласнасць і канфідэнцыйнасць, і падсправаздачнасць. Законныя падставы па Артыкуле 4 уключаюць згоду, выкананне дагавору, юрыдычнае абавязацельства, жыццёвыя інтарэсы, грамадскі інтарэс і законныя інтарэсы, кожнае са сваім ахопам і ўмовамі. Для анлайн-адсочвання рэлевантнымі падставамі з'яўляюцца згода і, у вузкіх абставінах, законны інтарэс. Перадусталяваныя cookie, якія збіраюць персанальныя дадзеныя без згоды, з'яўляюцца парушэннем гэтак жа, як і па GDPR.
Што лічыцца персанальнымі дадзенымі па PDPL
Вызначэнне персанальных дадзеных у PDPL шырокае і блізка следуе GDPR: любыя дадзеныя, якія адносяцца да ідэнтыфікаванай або ідэнтыфікавальнай фізічнай асобы, уключаючы анлайн-ідэнтыфікатары. Cookie, якія пастаянна ідэнтыфікуюць прыладу, IP-адрасы, апрацоўваемыя разам з іншымі дадзенымі, рэкламныя ID і ідэнтыфікатары ў стылі адбіткаў — усе трапляюць у сферу дзеяння. Імплементуючае кіраўніцтва Упраўлення дадзеных пацвердзіла, што аналіз, які прымяняецца да паводзінскіх і рэкламных cookie ў ЕС, прымяняецца па сутнасці ў той жа форме ў ААЭ — адрозніваецца архітэктура выканання, а не змястоўны стандарт.
PDPL таксама вызначае катэгорыю адчувальных персанальных дадзеных з больш строгімі патрабаваннямі да апрацоўкі, якая ахоплівае інфармацыю аб здароўі, генетычныя і біяметрычныя дадзеныя, рэлігійныя перакананні, судзімасць і аналагічныя катэгорыі. Cookie, якія захопліваюць любыя з гэтых дадзеных, патрабуюць яўнай згоды і дадатковых гарантый.
Згода на cookie па PDPL
PDPL не змяшчае cookie-спецыфічнага палажэння так, як гэта робіць Дырэктыва ЕС ePrivacy. Замест гэтага патрабаванне згоды вынікае з Артыкула 6, які ўсталёўвае агульны стандарт для сапраўднай згоды: яна павінна быць канкрэтнай, недвухсэнсоўнай, інфармаванай і свабодна дадзенай, а суб'ект дадзеных павінен мець магчымасць адклікаць згоду гэтак жа лёгка, як ён яе даў. Упраўленне дадзеных інтэрпрэтавала гэты стандарт як патрабуючы:
- Яўнага сцвярджальнага дзеяння да спрацоўвання неасноўных cookie. Працяг прагляду, прагортка або падразумяваная згода недастатковыя.
- Гранулярных катэгарыяльных сродкаў кіравання, якія аддзяляюць строга неабходныя cookie ад аналітыкі і ад рэкламы, з магчымасцю наведвальніка прыняць адны і адхіліць іншыя.
- Дакладнага механізму адклікання, даступнага з любой старонкі, дзе актыўнае адсочванне, з неадкладным уступленнем адклікання ў сілу.
- Дакументацыі рашэння аб згодзе, дастатковай для задавальнення патрабавання падсправаздачнасці па Артыкуле 5.
На практыцы гэта той жа аперацыйны стандарт, які выдавец пабудаваў бы для GDPR. Банер, які праходзіць крытэрыі Мэтавай групы па банерах cookie EDPB, задаволіць PDPL; той, які іх не праходзіць, праваліцца і пад праверкай PDPL.
Трансгранічныя перадачы дадзеных
Адна з самых адметных асаблівасцей PDPL — яго рамка трансгранічных перадач. Артыкулы 22 і 23 PDPL усталёўваюць умовы, пры якіх персанальныя дадзеныя могуць быць перададзены за межы ААЭ, структураваныя па лініях, якія паралельныя — але не ідэнтычна люстраныя — Главе V GDPR.
Абазначэнні ў стылі адэкватнасці
PDPL дазваляе Упраўленню дадзеных абазначаць краіны як забяспечваючыя адэкватную абарону. Бягучы спіс карацейшы, чым у Еўрапейскай камісіі, і чакаецца, што ён будзе развівацца. Пакуль краіна не абазначана, перадачы патрабуюць аднаго з іншых законных механізмаў.
Стандартныя дагаворныя пагадненні
PDPL дазваляе перадачы, падмацаваныя адпаведнымі дагаворнымі гарантыямі, аналагічнымі па структуры SCC ЕС. Многія кантролёры ААЭ працуюць з індывідуальнымі дагаворнымі дадаткамі, якія Упраўленне дадзеных разглядае па запыце.
Канкрэтныя адступленні
Яўная згода, выкананне дагавору і адступленні па жыццёвых інтарэсах даступныя, але вузка тлумачацца. Руцінная апора на згоду для перадач — якая па GDPR часта лічыцца выключнай, а не сістэматычнай — трактуецца тут аналагічна.
Для анлайн-выдаўцоў практычны ўплыў складаецца ў тым, што запіс аб згодзе на cookie цяпер таксама павінен падтрымліваць абавязацельства падсправаздачнасці па перадачах. Калі наведвальнік у ААЭ прымае cookie, якія накіроўваюць яго дадзеныя амерыканскаму ad-tech вендару, CMP павінна быць здольнай выявіць інструмент перадачы, які санкцыянуе гэты паток.
Сектаральныя меркаванні і меркаванні свабодных зон
Ландшафт прыватнасці ААЭ шматслойны. Федэральны PDPL прымяняецца шырока, але некалькі свабодных зон — Дубайскі міжнародны фінансавы цэнтр (DIFC), Глабальны рынак Абу-Дабі (ADGM) і Дубайскі горад аховы здароўя — кіруюць уласнымі рэжымамі абароны дадзеных, якія папярэднічаюць PDPL. Закон аб абароне дадзеных DIFC № 5 ад 2020 года і Рэгламент абароны дадзеных ADGM 2021 года абодва ўзгоднены з GDPR і прымяняюцца ў сваіх адпаведных зонах. Выдаўцы, якія працуюць у некалькіх зонах, павінны ўзгадніць федэральны PDPL з прымянімай рамкай свабоднай зоны; у большасці выпадкаў змястоўныя стандарты сыходзяцца, але наглядны канал адрозніваецца.
На што сігналізавала Упраўленне дадзеных
Упраўленне дадзеных ААЭ было ўзважаным у сваёй пазіцыі па выкананні, прыярытызуючы нарошчванне патэнцыялу, сектаральныя кансультацыі і гучныя справы над рэжымам высокааб'ёмных штрафаў. Публічныя дакументы кіраўніцтва падкрэслівалі:
Дызайн банера
Упраўленне дадзеных узгаднілася з крытэрыямі ў стылі EDPB па дызайне банера, трактуючы адсутнасць кнопак адхілення, падманлівую стылізацыю спасылак і папярэдне адзначаныя сцяжкі як распаўсюджаныя дэфекты, якія патрабуюць выпраўлення. Чакаецца канвергенцыя з еўрапейскімі нормамі.
Трансгранічная празрыстасць
Упраўленне сігналізавала, што міжнародныя перадачы будуць асаблівым факусам, асабліва там, дзе персанальныя дадзеныя накіроўваюцца ў юрысдыкцыі без абазначанай адэкватнасці. Дакументацыя механізму перадачы трактуецца як патрабаванне падсправаздачнасці, а не як неабавязковая.
Раскрыццё на арабскай мове
Хоць PDPL не прадпісвае арабскую, Упраўленне дадзеных указала, што раскрыцці павінны быць даступныя на арабскай там, дзе аўдыторыя пераважна арабамоўная, як для даступнасці, так і для доказных мэтаў.
Практычны чэк-ліст адпаведнасці
Шэсць канкрэтных пытанняў, на якія трэба адказаць для любога банера cookie, які абслугоўвае трафік ААЭ.
1. Сцвярджальная згода да адсочвання
Ці блакіруюцца неасноўныя cookie на ўзроўні загрузчыка скрыптоў, пакуль наведвальнік не зробіць сцвярджальнае дзеянне? Папярэдняя загрузка банера паверх ужо спрацоўваючых трэкераў — гэта парушэнне per se.
2. Гранулярныя катэгорыі
Ці аддзяляе банер неабходныя, аналітычныя і рэкламныя катэгорыі з незалежнымі пераключальнікамі? Звязанае прыняцце-усяго без гранулярнасці — гэта дэфект.
3. Даступнасць арабскай мовы
Ці выяўляе банер арабамоўных наведвальнікаў і прадстаўляе па змаўчанні на арабскай, з англійскай як пераключальнай альтэрнатывай? Упраўленне дадзеных яўна адзначыла моўную даступнасць.
4. Доступ да адклікання
Ці пастаянны элемент кіравання адкліканнем і ці даступны з кожнай старонкі? Шматступеньчатыя налады, пахаваныя ў спасылцы футэра, праваліваюць стандарт «адклікаць гэтак жа лёгка, як даць».
5. Дакументацыя трансгранічных перадач
Для кожнага cookie, які запускае міжнародную перадачу, ці задакументаваны і ці даступны па запыце механізм перадачы (адэкватнасць, дагаворная гарантыя, адступленне)?
6. Лагіраванне згоды
Ці запісвае сістэма кожнае рашэнне аб згодзе з часавай меткай, версіяй банера, выбарам і юрысдыкцыяй наведвальніка, каб выдавец мог адказаць на запыт Упраўлення дадзеных з доказамі?
Дзе PDPL упісваецца ў рэгіянальную карціну
PDPL ААЭ — адна з некалькіх рамак прыватнасці Заліва, якія ўступілі ў сілу за апошнія некалькі гадоў — PDPL Саудаўскай Аравіі, Закон аб абароне персанальных дадзеных Бахрэйна, Закон аб прыватнасці персанальных дадзеных Катара і Закон аб абароне персанальных дадзеных Амана ўсе працуюць разам з ім. Змястоўныя стандарты па рэгіёне сыходзяцца на прынцыпах, узгодненых з GDPR, з нацыянальнымі варыяцыямі ў нагляднай архітэктуры, механізмах перадачы і сектаральных выключэннях. Для выдаўцоў, якія працуюць па ўсім Заліве, пабудова адзін раз па больш высокім стандарце — гранулярная згода, пастаяннае адкліканне, задакументаваныя перадачы, падтрымка арабскай мовы, лагіраванне ўзроўню аўдыту — апрацоўвае рэгіянальную адпаведнасць праз тую ж інфраструктуру CMP, якая апрацоўвае еўрапейскую адпаведнасць. ААЭ ва многіх адносінах з'яўляюцца рэгіянальным барометрам: куды рухаецца Упраўленне дадзеных, туды схільныя следаваць суседнія рэгулятары.