Ръководство за съответствие с египетския Закон за защита на личните данни No. 151 от 2020 г. относно съгласието за бисквитки: Наръчник за 2026 г. за издателите

Египетският Закон за защита на личните данни No. 151 от 2020 г. — обикновено наричан египетски PDPL — е издаден на 15 юли 2020 г. и влиза в сила на 14 октомври 2020 г. През по-голямата част от периода оттогава отсъствието на изпълнителни регламенти означаваше, че Законът остава като декларация за принципи, а не като приложим режим. Това се промени, когато Центърът за защита на личните данни — регулаторът, създаден по Закона, прикрепен към Министерството на комуникациите и информационните технологии — публикува своята оперативна рамка, изисквания за лицензиране и изпълнителните регламенти, които Законът беше оставил за издаване. До 2026 г. режимът е напълно оперативен, лицензионният коридор за администратори на данни и обработватели е активен, а издателите, оперирващи в или насочващи се към Египет, са обект на вътрешен стандарт за съгласие, по-близо до GDPR, отколкото до всеки по-стар регионален модел. Последствието за съгласие за бисквитки е пряко: банер, работил в Египет при стария режим, вече не е достатъчен, и банер, удовлетворяващ GDPR, ще удовлетворява PDPL само когато интеграцията отчита точките, в които двете рамки се разминават.

Какво всъщност изисква египетският PDPL

Законът се прилага към обработката на лични данни на египетски жители, независимо от това къде е установен администраторът или обработвателят, и към администратори и обработватели, установени в Египет, независимо от местонахождението на субектите на данни. Тази екстериториална обхватност отразява член 3 от GDPR и означава, че издател, установен извън Египет, но с египетски читатели, инсталации на приложения или платежоспособни клиенти, е изцяло в обхвата. Личните данни се дефинират широко като всякакви данни, свързани с идентифицирано или подлежащо на идентификация физическо лице, като чувствителните лични данни — включително здравни, биометрични, генетични, психично-здравни, финансови, религиозни, политически и криминални данни — подлежат на по-висок праг за съгласие и допълнителни гаранции.

Законът установява законови основания за обработка, стандартен набор от права на субектите на данни — достъп, коригиране, изтриване, ограничаване, възражение и преносимост — рамка за отчетност между администратор и обработвател, задължения за уведомяване при нарушения, контроли за трансгранично прехвърляне и административно-наказателен режим с глоби, вариращи от 100 000 EGP за незначителни нарушения до 5 милиона EGP за сериозни или повторни нарушения. Наказателни санкции се прилагат за най-сериозните категории, включително нелицензирано трансгранично прехвърляне и обработка на чувствителни данни без разрешение.

Как PDPL третира съгласието за бисквитки конкретно

За разлика от директивата ePrivacy на ЕС, PDPL не съдържа отделна разпоредба относно бисквитките. Бисквитките и аналогичните технологии за съхранение и достъп попадат в общата рамка за съгласие: всяка обработка на лични данни, разчитаща на съгласие като законово основание, трябва да бъде получена въз основа на изрично, доброволно, конкретно и документирано изразяване на съгласие от субекта на данните. Центърът за защита на личните данни, в своите насоки, издадени по време на поетапното въвеждане на регламентите, е потвърдил, че предварително отметнатите полета, неявното съгласие, изведено от продължаване на сърфирането, и обединените банери за съгласие не удовлетворяват стандарта на Закона. Това поставя Египет твърдо в крак с глобалната тенденция и означава, че практическата позиция, която издателите вече поддържат за ЕИП, е правилната отправна точка за египетски трафик.

Практическият ефект е, че бисквитките и всякакви аналогични технологии, които не са строго необходими за предоставяне на услугата, не трябва да се задават, преди потребителят е дал активно съгласие. Строго необходимите бисквитки — идентификатори на сесия, съдържание на количка, токени за сигурност, бисквитки за балансиране на натоварването — могат да се задават без съгласие на основание, че потребителят е поискал активно услугата. Всичко останало — анализи, реклама, персонализация, A/B тестване, запис на сесии и всякакъв таг на трета страна — изисква предварително съгласие.

Как PDPL се разминава с GDPR на практика

Три разлики имат значение на интеграционния слой. Първо, PDPL изисква съгласието за обработката на чувствителни лични данни да бъде получено в писмена форма или чрез документиран електронен еквивалент, който администраторът може да предостави при поискване — по-висок доказателствен стандарт от изискването за изрично съгласие на GDPR. Второ, PDPL налага режим на лицензиране: администраторите и обработвателите трябва да се регистрират в Центъра за защита на личните данни, а определени категории обработка — включително трансгранично прехвърляне и директен маркетинг — изискват отделен оперативен лиценз. Трето, правилата за трансгранично прехвърляне на PDPL изискват или решение за адекватност от Центъра, или одобрена договорна гаранция, или изрично съгласие на субекта на данните; прехвърлянията към юрисдикции без решения или гаранции са ограничени, независимо от собствената позиция за съответствие на получателя.

Как изглежда съвместим банер за бисквитки по PDPL

Техническите изисквания се сближават с това, което всеки модерен CMP вече произвежда, но етикетирането, документацията и регистърът на съгласията трябва да отразяват египетските специфики. Банерът на първия слой трябва да предостави на потребителя реален избор — приемам, отказвам, управлявам — където опцията за отказ е поне толкова изпъкнала, колкото опцията за приемане. Обединеното съгласие е забранено, така че вторият слой трябва да позволява включване по категории, обхващащо поне анализи, реклама и всякаква обработка, зависеща от трансгранично прехвърляне. Категориите трябва да са зададени по подразбиране изключени; банерът не трябва да зарежда тагове, докато потребителят не ги е включил утвърдително.

Уведомлението за поверителност, достъпно от банера, трябва да идентифицира администратора, номера на лиценза му по PDPL, ако е приложимо, категориите на събраните лични данни, законовото основание за всяка цел на обработка, срока за съхранение на данните, категориите получатели, включително всякакви подобработватели, намиращи се извън Египет, правата на субекта на данните по Закона, и данните за контакт на Центъра за защита на личните данни за жалби. Известие, отговарящо на стандарта на член 13 от GDPR, ще се припокрива съществено, но египетският лиценз и редовете за контакт с Центъра трябва да бъдат добавени изрично.

Интеграционният модел, преминаващ прегледа на Центъра за защита на личните данни

Референтното изпълнение има четири движещи се части. Първата е CMP, поддържащ включване по категории, по подразбиране изключено, и разкриващ избора на потребителя чрез структуриран низ за съгласие, който издателят може да съхрани. Втората е слой за зареждане на тагове — мениджър на тагове на страната на сървъра или вградена врата на CMP — строго прилагащ състоянието на съгласие, преди да се зададе неесенциална бисквитка. Третата е регистър на съгласията, съхраняван на страната на сървъра, записващ за всяко събитие на съгласие избора на потребителя по категории, времевия печат, версията на банера и съкратен или хаширан IP идентификатор, така че администраторът да може да представи записа при запитване от Центъра. Четвъртата е път за оттегляне поне толкова лесен, колкото оригиналното предоставяне — обикновено постоянен линк за повторно отваряне на банера в долния колонтитул.

Валидиране, лицензиране и одитна позиция за 2026 г.

Защитимото египетско разгръщане през 2026 г. трябва да премине четири технически проверки. Първо, чиста сесия на браузъра, обслужвана от египетски IP адрес, трябва да произведе нула неесенциални бисквитки, преди банерът да е бил активиран. Второ, пътят за отказ от всичко трябва да доведе до същата позиция като сесия без действие — без тагове за анализи, без рекламни тагове, без скриптове за запис на сесии. Трето, потокът за приемане на всичко трябва да произведе само таговете, за които потребителят е дал съгласие, и регистърът на съгласията трябва да съдържа съответстващ запис. Четвърто, пътят за оттегляне трябва незабавно да спре по-нататъшни задействания на тагове, да изтече бисквитките, зададени по време на сесията с дадено съгласие, и да задейства всякакви сигнали за изтриване или отказ, изисквани от партньорите получатели.

Отвъд техническите проверки, лицензирането и одитната позиция е това, което прави разгръщането защитимо. Администраторите, обработващи лични данни на египетски жители над прагата, определени от изпълнителните регламенти, трябва да бъдат регистрирани в Центъра за защита на личните данни, а регистрационният запис — заедно с регистъра на съгласията, известието за поверителност, резултатите от оценката на въздействието върху защитата на данните за обработка с по-висок риск и всякакви разрешения за трансгранично прехвърляне — формира документацията, която Центърът може да поиска по време на преглед за съответствие. Правилно конфигуриран CMP с регистър на страната на сървъра, слой за зареждане на тагове, прилагащ състоянието на съгласие, известие за поверителност, назоваващо всяка дестинация за трансгранично прехвърляне, и документация за лицензиране, налична в досието, е това, което превръща египетския PDPL от регулаторна неизвестност в защитима част от позицията на издателя за съгласие в MENA региона.

← Блaderegistrdelays delays Прочети всичко →