Průvodce dodržováním egyptského zákona o ochraně osobních údajů č. 151 z roku 2020 ohledně souhlasu se soubory cookie: Playbook pro vydavatele na rok 2026

Egyptský zákon o ochraně osobních údajů č. 151 z roku 2020 — obvykle označovaný jako egyptský PDPL — byl vydán 15. července 2020 a vstoupil v platnost 14. října 2020. Po většinu tohoto období absence prováděcích předpisů znamenala, že zákon zůstal spíše prohlášením o zásadách než vymahatelným režimem. To se změnilo, když Centrum pro ochranu osobních údajů — regulátor zřízený zákonem, přidružený k Ministerstvu komunikací a informačních technologií — zveřejnilo svůj operační rámec, licenční požadavky a prováděcí předpisy, jejichž vydání zákon ponechal na pozdější dobu. Do roku 2026 je režim plně funkční, licenční cesta pro správce a zpracovatele dat je aktivní a vydavatelé působící v Egyptě nebo cílící na Egypt podléhají domácímu standardu souhlasu, který je blíže GDPR než jakémukoli staršímu regionálnímu modelu. Důsledek pro souhlas se soubory cookie je přímý: banner, který v Egyptě fungoval pod starým režimem, nyní nestačí, a banner splňující GDPR splní PDPL pouze tehdy, pokud integrace zohlední body, ve kterých se tyto dva rámce rozcházejí.

Co egyptský PDPL skutečně vyžaduje

Zákon se vztahuje na zpracování osobních údajů egyptských rezidentů bez ohledu na to, kde je správce nebo zpracovatel usazen, a na správce a zpracovatele usazené v Egyptě bez ohledu na to, kde se subjekty údajů nacházejí. Tento extrateritoriální dosah odráží článek 3 GDPR a znamená, že vydavatel se sídlem mimo Egypt, ale s egyptskými čtenáři, instalacemi aplikací nebo platícími zákazníky, je pevně v záběru. Osobní údaje jsou definovány široce jako jakékoli údaje týkající se identifikované nebo identifikovatelné fyzické osoby, přičemž citlivé osobní údaje — včetně zdravotních, biometrických, genetických, duševně zdravotních, finančních, náboženských, politicko-názorových a odsuzujících trestních údajů — podléhají vyššímu prahu souhlasu a dalším zárukám.

Zákon stanovuje právní základy pro zpracování, standardní sadu práv subjektů údajů — přístup, oprava, výmaz, omezení, námitka a přenositelnost — rámec odpovědnosti správce-zpracovatele, povinnosti oznamování porušení, kontroly přeshraničního přenosu a správní sankční režim s pokutami od 100 000 EGP za menší porušení až do 5 milionů EGP za závažná nebo opakovaná porušení. Na nejzávažnější kategorie se vztahují trestní sankce, včetně nelicencovaného přeshraničního přenosu a zpracování citlivých údajů bez povolení.

Jak PDPL konkrétně zachází se souhlasem se soubory cookie

Na rozdíl od směrnice ePrivacy EU PDPL neobsahuje samostatné ustanovení o souborech cookie. Soubory cookie a analogické technologie ukládání a přístupu spadají do obecného rámce souhlasu: jakékoli zpracování osobních údajů, které se opírá o souhlas jako svůj právní základ, musí být získáno na základě výslovného, dobrovolného, konkrétního a zdokumentovaného vyjádření souhlasu od subjektu údajů. Centrum pro ochranu osobních údajů ve svém pokynu vydaném během postupného zahájení provádění předpisů potvrdilo, že předem zaškrtnutá políčka, implicitní souhlas odvozený z pokračování v prohlížení a sdružené banery souhlasu nesplňují standard zákona. To pevně staví Egypt do souladu s globálním vývojem a znamená, že praktická pozice, kterou vydavatelé již udržují pro EHP, je správným výchozím bodem pro egyptský provoz.

Praktický účinek spočívá v tom, že soubory cookie a jakékoli analogické technologie, které nejsou nezbytně nutné pro poskytování služby, nesmí být nastaveny dříve, než uživatel aktivně udělil souhlas. Nezbytně nutné soubory cookie — identifikátory relace, obsah košíku, bezpečnostní tokeny, soubory cookie pro vyrovnávání zátěže — lze nastavit bez souhlasu na základě toho, že uživatel aktivně požádal o službu. Vše ostatní — analytika, reklama, personalizace, A/B testování, záznam relace a jakákoli značka třetí strany — vyžaduje předchozí souhlas.

Jak se PDPL v praxi odchyluje od GDPR

Tři rozdíly jsou důležité na integrační vrstvě. Za prvé, PDPL vyžaduje, aby souhlas se zpracováním citlivých osobních údajů byl získán písemně nebo prostřednictvím zdokumentovaného elektronického ekvivalentu, který může správce předložit na žádost — vyšší důkazní standard než požadavek GDPR na výslovný souhlas. Za druhé, PDPL zavádí licenční režim: správci a zpracovatelé se musí registrovat u Centra pro ochranu osobních údajů a určité kategorie zpracování — včetně přeshraničního přenosu a přímého marketingu — vyžadují samostatnou provozní licenci. Za třetí, pravidla PDPL pro přeshraniční přenos vyžadují buď rozhodnutí o přiměřenosti od Centra, nebo schválenou smluvní zárukou, nebo výslovný souhlas subjektu údajů; přenosy do jurisdikcí bez rozhodnutí nebo záruk jsou omezeny bez ohledu na vlastní pozici dodržování předpisů příjemce.

Jak vypadá vyhovující banner souborů cookie podle PDPL

Technické požadavky se shodují s tím, co každý moderní CMP již produkuje, ale označení, dokumentace a protokol souhlasů musí odrážet egyptská specifika. Banner první vrstvy musí uživateli poskytnout skutečnou volbu — přijmout, odmítnout, spravovat — kde možnost odmítnutí je alespoň tak prominentní jako možnost přijetí. Sdružený souhlas je zakázán, takže druhá vrstva musí umožňovat přihlášení se ke kategorii, které pokrývá alespoň analytiku, reklamu a jakékoli zpracování závislé na přeshraničním přenosu. Kategorie musí být ve výchozím nastavení vypnuté; banner nesmí načítat značky, dokud je uživatel kladně nezapnul.

Oznámení o ochraně osobních údajů dostupné z banneru musí identifikovat správce, licenční číslo PDPL správce, pokud je relevantní, kategorie shromážděných osobních údajů, právní základ pro každý účel zpracování, dobu uchovávání dat, kategorie příjemců včetně dílčích zpracovatelů umístěných mimo Egypt, práva subjektu údajů podle zákona a kontaktní údaje Centra pro ochranu osobních údajů pro stížnosti. Oznámení splňující standard článku 13 GDPR se bude v podstatě překrývat, ale řádky egyptské licence a kontaktu na Centrum musí být přidány explicitně.

Integrační vzor, který projde přezkumem Centra pro ochranu osobních údajů

Referenční implementace má čtyři pohyblivé části. První je CMP, který podporuje přihlášení se ke kategorii, ve výchozím nastavení vypnuté, a zpřístupňuje volbu uživatele prostřednictvím strukturovaného řetězce souhlasu, který může vydavatel uchovat. Druhý je vrstva načítání značek — správce značek na straně serveru nebo brána nativní pro CMP — která přísně vynucuje stav souhlasu před nastavením jakéhokoli nepodstatného souboru cookie. Třetí je protokol souhlasů uložený na straně serveru, který zaznamenává pro každou událost souhlasu volbu uživatele na kategorii, časové razítko, verzi banneru a zkrácený nebo hashovaný identifikátor IP, takže správce může záznam předložit na žádost Centra. Čtvrtou je cesta pro odvolání alespoň tak snadná, jako bylo původní udělení — obvykle trvalý odkaz pro opětovné otevření banneru v zápatí.

Validace, licencování a auditní pozice pro rok 2026

Obhajitelné egyptské nasazení v roce 2026 musí projít čtyřmi technickými kontrolami. Za prvé, čistá relace prohlížeče obsluhovaná z egyptské IP adresy musí produkovat nula nepodstatných souborů cookie před provedením jakékoli akce na banneru. Za druhé, cesta "odmítnout vše" musí mít stejnou pozici jako relace bez akce — žádné analytické značky, žádné reklamní značky, žádné skripty záznamu relace. Za třetí, tok "přijmout vše" musí produkovat pouze značky, se kterými uživatel souhlasil, a protokol souhlasů musí obsahovat odpovídající záznam. Za čtvrté, tok odvolání musí okamžitě zastavit další spouštění značek, nechat vypršet soubory cookie nastavené během odsouhlasené relace a spustit jakékoli signály o mazání nebo odhlášení, které vyžadují partneři-příjemci.

Nad rámec technických kontrol je to licencování a auditní pozice, co dělá nasazení obhajitelným. Správci zpracovávající osobní údaje egyptských rezidentů nad prahové hodnoty stanovené prováděcími předpisy musí být registrováni u Centra pro ochranu osobních údajů, a registrační záznam — spolu s protokolem souhlasů, oznámením o ochraně osobních údajů, výsledky posouzení dopadu na ochranu údajů pro zpracování s vyšším rizikem a jakýmikoli autorizacemi přeshraničního přenosu — tvoří dokumentaci, kterou může Centrum požadovat při přezkumu dodržování předpisů. Správně nakonfigurovaný CMP s protokolem na straně serveru, vrstva načítání značek vynucující stav souhlasu, oznámení o ochraně osobních údajů pojmenovávající každý cíl přeshraničního přenosu a licenční dokumentace uložená v souboru je to, co mění egyptský PDPL z neznámé regulatorní veličiny v obhajitelnou součást pozice vydavatele ohledně souhlasu v regionu MENA.

← Blog Číst vše →