Ръководство за съгласие на бисквитки PDPL на ОАЕ: Федерален декретен закон 45 от 2021 г. за издатели
Обединените арабски емирства приеха своя Закон за защита на личните данни в края на 2021 г. и го привеждоха в действие през следващата година. Federal Decree-Law 45 of 2021, известен като PDPL, е първата цялостна федерална норма за защита на личния живот на страната и заимства в голяма степен структурата на GDPR, адаптирайки ключови разпоредби към федералния закон на ОАЕ и съображенията на страната за локализация на данни. За издатели, работещи в пазара на ОАЕ или насочени към трафик на ОАЕ — пазар, който се разшири рязко с растежа на регионалната електронна търговия, финтех и хиперскалираните медийни бизнеси с база в Dubai и Abu Dhabi — PDPL превърна съгласието за бисквитки от мек очаквания във федерално задължение за съответствие. Това ръководство обяснява как PDPL третира онлайн проследяването, където UAE Data Office фокусира принудителното действие, и какви са практическите последици за дизайна на банера за бисквитки и конфигурацията на CMP.
Правната рамка на PDPL
PDPL се прилага за обработката на лични данни на жители на ОАЕ, независимо дали обработката се извършва в ОАЕ или извън нея, и независимо дали контролерът или процесорът е установен в ОАЕ или работи от чужбина. Териториалният обхват е следователно екстериториален по същия начин, както е GDPR — издател, работещ от Лондон или Сингапур и обработващ данни за жители на ОАЕ, е в обхват. Надзорният орган е UAE Data Office, установен по същия законодателен пакет, който е приел измерен, но все по-активен подход към принудителното действие.
Основните принципи на PDPL ще бъдат познати на всеки, който е работил с GDPR: законен основание, ограничение на целта, намаляване на данни, точност, ограничение на съхранението, интегритет и поверителност, както и отговорност. Законните основания според Article 4 включват съгласие, изпълнение на договор, законово задължение, жизненоважни интереси, обществен интерес и легитимни интереси, всяко с собствен обхват и условия. За онлайн проследяване релевантни основания са съгласието и, в ограничени обстоятелства, легитимните интереси. Прединсталирани бисквитки, които събират лични данни без съгласие, са нарушение по същия начин, както биха били под GDPR.
Какво се счита за лични данни под PDPL
Определението на PDPL за лични данни е широко и тясно следва GDPR: всички данни, свързани с идентифициран или идентифицируем физически лице, включително онлайн идентификатори. Бисквитки, които постоянно идентифицират устройство, IP адреси, обработени заедно с други данни, рекламни ID и идентификатори в стил отпечатък, всички попадат в обхват. Насоките за прилагане на Data Office потвърдиха, че анализът, приложен към поведенчески и рекламни бисквитки в EU, се прилага по същество в същата форма в ОАЕ — различното е архитектурата на принудителното действие, а не материалния стандарт.
PDPL също дефинира категория чувствителни лични данни със по-строги изисквания за обработка, обхващащи здравна информация, генетични и биометрични данни, религиозно убеждение, наказателен отчет и подобни категории. Бисквитки, които събират някои от тези данни, изискват изрично съгласие и допълнителни гарантии.
Съгласие за бисквитки под PDPL
PDPL не съдържа разпоредба, специфична за бисквитки, както прави ePrivacy Директивата на EU. Вместо това изискването за съгласие произтича от Article 6, който определя общия стандарт за валидно съгласие: то трябва да бъде специфично, недвусмислено, информирано и свободно дадено, и субектът на данни трябва да може да оттегли съгласието толкова лесно, колкото го е дал. Data Office интерпретирало този стандарт, за да се изискват:
- Изрично потвърждаващо действие преди несъществени бисквитки да действат. Продължаване на разглеждането, превъртане или подразбиращо се съгласие не са достатъчни.
- Детайлни контроли на категориите, които разделят строго необходимите бисквитки от аналитиката и от реклама, като на посетителя е позволено да приеме някои и отхвърли други.
- Ясен механизъм за оттегляне, който е достъпен от всяка страница, където проследяването е активно, със оттеглянето, което влиза в сила незабавно.
- Документация на решението за съгласие, достатъчна за удовлетворяване на изискването за отговорност по Article 5.
На практика това е същия оперативен стандарт, който издател би построил за GDPR. Банер, който отговаря на критериите на EDPB Cookie Banner Taskforce, ще удовлетвори PDPL; един, който не отговаря на тях, ще се провали и при PDPL анализ.
Трансграничен трансфер на данни
Една от най-отличителните черти на PDPL е нейната рамка за трансграничен трансфер. Articles 22 and 23 на PDPL определят условията, при които личните данни могат да бъдат преведени извън ОАЕ, структурирани по начини, които са успоредни — но не идентично огледалят — Chapter V на GDPR.
Обозначения в стил адекватност
PDPL позволява на Data Office да обозначи страни като осигуряващи адекватна защита. Текущият списък е по-кратък от този на Европейската комисия и се очаква да се развива. Докато страна не бъде обозначена, преводите изискват един от другите законни механизми.
Стандартни договорни договорки
PDPL позволява преводи, подкрепени от подходящи договорни гарантии, подобни по структура на EU SCCs. Много контролери на ОАЕ работят с обичайни договорни приложения, които Data Office преглежда по заявка.
Специфични дерогации
Изрично съгласие, изпълнение на договор и дерогации по жизненоважни интереси са налични, но тясно интерпретирани. Рутинното разчитане на съгласие за преводи — което под GDPR често се счита за изключително, а не системно — се третира по подобен начин тук.
За онлайн издатели практическото въздействие е, че записът за съгласие за бисквитки сега също трябва да подкрепи задължението за отговорност при трансфер. Ако посетител в ОАЕ приеме бисквитки, които маршрутизират своите данни към US ad-tech продавач, CMP трябва да може да покаже инструмента за трансфер, който оторизира този поток.
Секторни и съображения за свободни зони
Ландшафтът на конфиденциалност на ОАЕ е многослоен. Федералният PDPL се прилага широко, но няколко свободни зони — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM) и Dubai Healthcare City — работят със собствени режими на защита на данни, които предшествават PDPL. DIFC Data Protection Law No. 5 of 2020 и ADGM Data Protection Regulations 2021 са и двете GDPR-подравнени и се прилагат в съответните зони. Издатели, работещи в няколко зони, трябва да съгласуват федералния PDPL с приложимата рамка на свободната зона; в повечето случаи материалните стандарти се сближават, но надзорния канал е различен.
Какво е сигнализирала Data Office
UAE Data Office е била преднамерена в своя подход към принудителното действие, приоритизирайки способност-изграждане, консултация със сектор и висок профил случаи над режим с висок обем глоби. Документите с публични указания са подчертали:
Дизайн на банер
Data Office е намеснена с критериите в стил EDPB на дизайна на банер, третирайки липсващите бутони за отхвърляне, измамни стилове на връзки и предварително отметнати полета за отметка като общи дефекти, които изискват поправка. Очаквам е конвергенцията с европейските норми.
Трансграничната прозрачност
Офисът сигнализира, че международните преводи ще бъдат конкретен фокус, особено когато личните данни се маршрутизират към юрисдикции без обозначена адекватност. Документацията на механизма на трансфер се третира като изискване за отговорност, а не факултативна.
Оповещение на арабски език
Докато PDPL не налага арабския, Data Office сигнализира, че оповещенията трябва да бъдат налични на арабски, където публиката е предимно арабскоговорещ, както за достъпност, така и за доказателствена цел.
Практически контролен списък за съответствие
Шест конкретни въпроса за отговаряне на всеки банер за бисквитки, обслужващ трафик на ОАЕ.
1. Потвърждаващо съгласие преди проследяване
Блокирани ли са несъществени бисквитки на ниво script-loader, докато посетителят не предприеме потвърждаващо действие? Предварително зареждане на банера над вече действащи проследяватели е нарушение per se.
2. Детайлни категории
Разделя ли банерът необходимите, аналитичните и рекламните категории, с независими превключватели? Комбинирано приемане на всичко без детайлност е дефект.
3. Наличност на арабски език
Открива ли банерът посетители, говорещи арабски, и представлява ли на арабски по подразбиране, с английския като превключваща алтернатива? Data Office изрично посочи достъпност на езика.
4. Достъп при оттегляне
Постоянен ли е контролът за оттегляне и достъпен ли е от всяка страница? Многоетапни настройки, погребани в връзка в футър, не отговарят на стандарта "толкова лесно да се оттегли, колкото да се даде".
5. Документация на трансграничен трансфер
За всяка бисквитка, която спусна международен трансфер, документирана ли е механика на трансферът (адекватност, договорна гарантия, дерогация) и може ли да бъде показана по заявка?
6. Логване на съгласие
Записва ли системата всяко решение за съгласие с времеви печат, версия на банер, избор и юрисдикция на посетителя, така че издателят да може да отговори на запитване на Data Office с доказателства?
Това, което PDPL представлява в регионалната картина
UAE PDPL е един от няколко рамки за конфиденциалност в персийския залив, които са влезли в сила през последните няколко години — PDPL на Саудитска Арабия, Law за защита на личните данни на Бахрейн, Law за защита на личния живот на личните данни на Катар и Law за защита на личните данни на Оман всички работят при него. Материалните стандарти в региона се събират на GDPR-подравнени принципи, с национални вариации в архитектурата на надзор, механиките на трансфер и секторните изключения. За издатели, работещи в персийския залив, построяване веднъж към по-висок стандарт — детайлно съгласие, постоянно оттегляне, документирани преводи, арабска поддръжка на езика, логване на ниво одит — обработва регионално съответствие чрез същата CMP инфраструктура, която обработва европейското съответствие. ОАЕ е, в много отношения, регионално звънче: където се движи Data Office, съседните регулатори имат тенденция да следват.
```