Какво всъщност представлява PDPL

PDPL е първият всеобхватен закон за поверителност на Саудитска Арабия. Издаден е с Кралски указ М/19 от 2021 г., изменен е през март 2023 г., за да го приведе по-тясно в съответствие с глобалния стандарт, установен от GDPR и подобни режими, и влезе изцяло в сила на 14 септември 2024 г. след едногодишен гратисен период. Законът е в рамките на по-широк саудитски стек за управление на данните, включващ Временните разпоредби за национално управление на данните, Регулаторната рамка за облачни изчисления и правилата за свобода на информацията на SDAIA — но за издателите PDPL е частта, която урежда бисквитките, проследяването на реклами, анализа и всяка друга обработка на лични данни, свързана с уебсайт или приложение.

Приложните наредби

PDPL е кратък. Детайлите се намират в две приложни наредби, публикувани от SDAIA през септември 2023 г. и усъвършенствани през 2024 и 2025 г.: Приложните наредби (общи) и Наредбите за предаване на лични данни (трансгранични). Заедно те дават на издателите конкретни отговори относно качеството на съгласието, съхранението, сроковете за уведомление при нарушения и условията за изпращане на данни на саудитски жители извън Кралството. Всеки, който все още работи само с текста от 2021 г., чете остаряла карта.

Графикът на прилагане, който издателите трябва да знаят

SDAIA даде на организациите срок до 14 септември 2024 г. за пълно съответствие. Първата вълна от одитни писма беше изпратена в края на 2024 г. до големи администратори в сектора на финансите, телекомуникациите и правителствените услуги. През 2025 г. програмата за одит се разшири, за да обхване финансирани от реклами медии, електронна търговия и всяка платформа, обработваща повече от определен обем данни на саудитски жители. До 2026 г. SDAIA е сигнализирала, че малките и средни издатели вече са в обхвата — по-специално всеки оператор, чието съдържание на арабски език или рекламен разход сигнализира за умишлена саудитска аудитория.

Кого SDAIA счита за администратор на данни

PDPL се прилага екстериториално. Не ви е необходимо саудитско юридическо лице, саудитски сървър или саудитска банкова сметка, за да бъдете администратор по закона. Ако вашият сайт или приложение обработва лични данни на физически лица, пребиваващи в Кралството, вие сте в обхвата. За издателите тази кука се задейства чрез стандартния поток от данни на рекламните технологии: IP адреси, идентификатори на устройства, хеширани имейли, поведенчески бисквитки и потребителски идентификатори, преминаващи през програматични търгове, всички се считат за лични данни, когато са свързани с жител на Саудитска Арабия.

Изискването за местен представител

Чуждестранните администратори без присъствие в Кралството трябва да назначат местен представител, регистриран в SDAIA. Представителят е законова точка за контакт за заявки на субекти на данни и кореспонденция с регулатора. По-малките издатели често се справят с това чрез фирма за услуги в областта на поверителността, вместо да се регистрират местно — но назначаването е задължително, след като прекрачите прага на редовна саудитска обработка.

Сценарии за съвместен администратор при рекламни технологии

Веригата на доставки, която монетизира програматична рекламна позиция — вашата CMP, вашият рекламен сървър, SSP, към които се обаждате, DSP, които наддават, доставчиците за проверка и партньорите за измерване — създава отношения на съвместен и солидарен администратор съгласно PDPL, точно както по GDPR. Издателите не могат да прехвърлят отговорността по PDPL към доставчик. SDAIA очаква издателят да докаже, че всеки следващ партньор има собствено законово основание и договорни ангажименти, съответстващи на обещаното от издателя при банера за съгласие.

Съгласие за бисквитки съгласно приложните наредби

PDPL признава съгласието като едно от законовите основания за обработка на лични данни, а Приложните наредби уточняват как изглежда валидното съгласие. Стандартът е висок — по-близо до GDPR, отколкото до CCPA — и обхваща бисквитки, пиксели, SDK, снемане на пръстови отпечатъци и всяка друга технология за проследяване, която чете или записва данни на устройство на потребителя.

Какво се счита за валидно съгласие

Съгласието трябва да бъде свободно дадено, конкретно, информирано и изрично. Предварително отметнатите квадратчета, стените за бисквитки, блокиращи съдържанието, освен ако потребителят не приеме, и неясните известия "като продължавате да разглеждате" — всички не отговарят на стандарта. Потребителят трябва да предприеме недвусмислено утвърдително действие — обикновено щракване върху бутон "Приемам" — и това действие трябва да е свързано с ясно описание на целите на обработката. Групираното съгласие, обединяващо анализ, реклама и персонализация в едно да или не, е изрично забранено.

Детайлни категории цели

Насоките на SDAIA изброяват категориите цели, които трябва да излага CMP на издателя: строго необходими, функционални, аналитика, реклама, персонализация и всяка обработка на чувствителни данни, като здравни или биометрични заключения. Всяка категория се нуждае от собствен превключвател, собствено описание на целта и собствен списък с доставчици. Рамката IAB Europe TCF v2.3, подходящо разширена с текст, специфичен за PDPL, на арабски, е най-честият път, по който издателите изпълняват изискването за детайлност.

Оттегляне и повторно съгласие

Правото за оттегляне на съгласие трябва да бъде толкова лесно, колкото правото да го дадете. Плаваща икона за предпочитания за съгласие, линк в долния колонтитул или панел с настройки в приложението — всички отговарят на изискванията; скрит начин за отказ само чрез имейл — не. Издателите трябва да планират периодично повторно съгласие при съществени промени — нов рекламен партньор, нова цел за бисквитки, нов SDK — и SDAIA очаква дневникът за одит на CMP да записва всяко събитие на повторно съгласие с времеви печат.

Трансгранично предаване и локализация на данните

Наредбите за предаване на лични данни са частта на PDPL, която е най-вероятно да затрудни издателите, тъй като в момента, в който IP адресът на саудитски потребител влезе в програматичен търг, той ефективно е бил предаден на мястото, където работят SSP и DSP. SDAIA не третира това като свободен поток.

Списъкът за адекватност и стандартните договори

Администраторът може да предава лични данни извън Кралството по един от три основни механизма: решение за адекватност, одобрено от SDAIA, за страната на местоназначение, стандартен договор, одобрен от SDAIA, или задължителни корпоративни правила за вътрешногрупови предавания. Списъкът за адекватност към 2026 г. включва малък брой съседни страни от GCC и шепа европейски юрисдикции, но повечето дестинации за рекламни технологии — включително Съединените щати — са извън него и изискват или стандартен договор, или дерогация.

Оценката на въздействието на предаването на данни

За предавания с висок риск SDAIA изисква документирана Оценка на въздействието на предаването на данни (DTIA) преди началото на предаването. Това е саудитският аналог на оценката на въздействието при предаване от ЕС след Schrems II. Издателите трябва да работят с доставчиците на CMP и рекламни технологии за изготвяне на шаблонни DTIA, обхващащи повтарящите се програматични потоци, и да ги актуализират при всяка промяна на местата за обработка от страна на доставчик.

Практически стъпки за съответствие за издатели

Програмата за PDPL се разделя на пет оперативни задачи, които се вписват чисто в съществуващата CMP и рекламния стек на издателя. Нито едно от тях не е непознато на никого, който вече е внедрил съответствие с GDPR или LGPD — разликата е в детайлите на саудитския текст и конкретните правила за предаване.

Контролен списък за конфигуриране на CMP

Уверете се, че банерът ви за съгласие се показва на арабски за посетители от KSA и на английски за всички останали, че категориите цели са напълно детайлни, че пътят за отказ от всичко е един клик и е визуално равен на приемане на всичко, и че низът за съгласие преминава надолу по веригата чрез Google Consent Mode v2 или вашата TCF интеграция. Уверете се, че вашата CMP записва разписка за съгласие, специфична за PDPL, с времеви печат, версията на политиката и потребителския идентификатор, така че отговорите на одити да могат да бъдат събрани за минути, а не дни.

Дневници за съгласие и одитна следа

Одитните екипи на SDAIA изискват доказателства за съгласие в позната форма: кой е дал съгласие, за какво, кога, с каква версия на банера и какво му е казано в момента на съгласие. Планирайте съхраняване на тези дневници за поне две години и ги съхранявайте по начин, който оцелява при промени в доставчика на CMP — експортирането в склад за данни, собственост на администратора, е най-чистият модел.

Работен процес за права на субекти на данни

PDPL предоставя права на достъп, коригиране, изтриване и преносимост, с 30-дневни срокове за отговор. Издател с единна пощенска кутия privacy@ и без работен процес за тикети ще пропуска крайния срок по-често, отколкото ще го спазва. Изградете документиран процес от приемане до отговор, обучете един назначен собственик и интегрирайте работния процес с вашите CMP и записи за съгласие на рекламния сървър, за да се разпространяват заявките за изтриване надолу по веригата.

Заключение

PDPL на Саудитска Арабия през 2026 г. не е мек режим, който издателите могат да отложат зад GDPR и CCPA. SDAIA разполага с финансиране, одитен капацитет и политическа подкрепа за прилагането му, а правилата за трансгранично предаване по-специално създават реално триене с глобалната верига за доставки на рекламни технологии, около което издателите трябва да проектират. Добрата новина е, че PDPL заимства достатъчно от GDPR, така че издател с зряла европейска позиция на съответствие е по-голямата част от пътя там. Локализирайте банера си за съгласие на арабски, добавете текст за цел, специфичен за PDPL, върху съществуващата си настройка на TCF, документирайте механизмите за предаване, назначете местен представител, ако саудитският ви трафик го налага, и аудиторията ви от KSA остава монетизируема, докато операторите, пренебрегнали PDPL като упражнение на хартия, прекарват 2026 г. в четене на одитни писма.