Co PDPL vlastně je

PDPL je první komplexní zákon o soukromí v Saúdské Arábii. Byl vydán královským dekretem M/19 v roce 2021, novelizován v březnu 2023, aby byl více v souladu s globálním standardem stanoveným GDPR a podobnými režimy, a plně vstoupil v platnost 14. září 2024 po jednoletém odkladném období. Zákon je součástí širšího saúdskoarabského zásobníku pro správu dat zahrnujícího prozatímní předpisy pro národní správu dat, regulační rámec pro cloud computing a pravidla SDAIA pro svobodu informací — ale pro vydavatele je PDPL tou částí, která upravuje soubory cookie, sledování reklam, analytiku a jakékoli jiné zpracování osobních údajů spojené s webovou stránkou nebo aplikací.

Prováděcí předpisy

PDPL je stručný. Podrobnosti se nacházejí ve dvou prováděcích předpisech vydaných SDAIA v září 2023 a zpřesněných v průběhu let 2024 a 2025: Prováděcí předpisy (obecné) a Předpisy o přenosu osobních údajů (přeshraniční). Dohromady dávají vydavatelům konkrétní odpovědi na otázky kvality souhlasu, uchovávání, lhůt pro oznamování narušení a podmínek pro odesílání dat saúdských obyvatel mimo Království. Kdokoli, kdo stále pracuje pouze z textu z roku 2021, čte zastaralou mapu.

Časový harmonogram vymáhání, který by vydavatelé měli znát

SDAIA dala organizacím čas do 14. září 2024 na dosažení plného souladu. První vlna dopisů z auditů byla odeslána koncem roku 2024 velkým správcům v oblasti financí, telekomunikací a vládních služeb. V průběhu roku 2025 se auditní program rozšířil o médiá financovaná reklamou, elektronický obchod a jakoukoli platformu zpracovávající více než definovaný objem dat saúdských obyvatel. Do roku 2026 SDAIA naznačila, že malí a středně velcí vydavatelé jsou nyní v dosahu — zejména jakýkoli provozovatel, jehož arabsky psaný obsah nebo reklamní výdaje naznačují záměrné saúdské publikum.

Koho SDAIA považuje za správce dat

PDPL se uplatňuje extrateritoriálně. Nepotřebujete saúdský subjekt, saúdský server ani saúdský bankovní účet, abyste byli správcem podle zákona. Pokud váš web nebo aplikace zpracovává osobní údaje fyzických osob s bydlištěm v Království, jste v dosahu. Pro vydavatele je tato záchytná podmínka spuštěna běžným tokem dat reklamních technologií: IP adresy, identifikátory zařízení, hashované e-maily, behaviorální soubory cookie a uživatelské identifikátory procházející programatickými aukcemi se všechny počítají jako osobní údaje, pokud jsou vázány na saúdského obyvatele.

Požadavek na místního zástupce

Zahraniční správci bez přítomnosti v Království musí jmenovat místního zástupce registrovaného u SDAIA. Zástupce je zákonným kontaktním místem pro žádosti subjektů údajů a korespondenci s regulátorem. Menší vydavatelé to často řeší prostřednictvím firmy poskytující služby ochrany soukromí namísto místní registrace — jmenování je však povinné, jakmile překročíte práh pravidelného saúdského zpracování.

Scénáře společného správce pro reklamní technologie

Dodavatelský řetězec, který monetizuje programatický reklamní prostor — váš CMP, váš reklamní server, SSP, které využíváte, DSP, které nabízejí, ověřovací dodavatelé a partneři pro měření — vytváří vztahy společného a solidárního správce podle PDPL stejně jako podle GDPR. Vydavatelé nemohou přenést odpovědnost podle PDPL na dodavatele. SDAIA očekává, že vydavatel prokáže, že každý partnerský protějšek má vlastní zákonný důvod a smluvní závazky odpovídající tomu, co vydavatel přislíbil na banneru souhlasu.

Souhlas se soubory cookie podle prováděcích předpisů

PDPL uznává souhlas jako jeden ze zákonných důvodů pro zpracování osobních údajů a prováděcí předpisy upřesňují, jak vypadá platný souhlas. Standard je vysoký — blíže GDPR než CCPA — a vztahuje se na soubory cookie, pixely, SDK, snímání otisků prstů a jakoukoli jinou technologii sledování, která čte nebo zapisuje data na zařízení uživatele.

Co se počítá jako platný souhlas

Souhlas musí být svobodný, konkrétní, informovaný a výslovný. Předem zaškrtnutá políčka, cookie stěny blokující obsah, pokud uživatel nepřijme, a dvojsmyslná oznámení o pokračování v prohlížení všechna nesplňují standard. Uživatel musí podniknout jednoznačný potvrzující úkon — typicky kliknutí na tlačítko Přijmout — a tento úkon musí být vázán na jasný popis účelů zpracování. Sdružený souhlas slučující analytiku, reklamu a personalizaci do jediného ano-nebo-ne je výslovně zakázán.

Granulární kategorie účelů

Pokyny SDAIA uvádějí kategorie účelů, které by měl CMP vydavatele zveřejňovat: nezbytně nutné, funkční, analytika, reklama, personalizace a jakékoli zpracování citlivých údajů, jako jsou zdravotní nebo biometrické závěry. Každá kategorie potřebuje vlastní přepínač, vlastní popis účelu a vlastní seznam dodavatelů. Rámec IAB Europe TCF v2.3 vhodně rozšířený o text specifický pro PDPL v arabštině je nejobvyklejší cestou, kterou vydavatelé používají ke splnění požadavku na granularitu.

Odvolání a opětovný souhlas

Právo na odvolání souhlasu musí být stejně snadné jako právo ho udělit. Plovoucí ikona předvoleb souhlasu, odkaz v zápatí nebo panel nastavení v aplikaci všechny splňují požadavky; skrytý způsob odhlášení výhradně e-mailem nikoli. Vydavatelé by měli plánovat pravidelný opětovný souhlas při podstatných změnách — nový reklamní partner, nový účel souboru cookie, nový SDK — a SDAIA očekává, že auditní protokol CMP zaznamená každou událost opětovného souhlasu s časovým razítkem.

Přeshraniční přenosy a lokalizace dat

Předpisy o přenosu osobních údajů jsou tou částí PDPL, která s největší pravděpodobností přivede vydavatele do potíží, protože ve chvíli, kdy IP adresa saúdského uživatele vstoupí do programatické aukce, byla fakticky přenesena tam, kde provozují SSP a DSP. SDAIA to nepovažuje za volný tok.

Seznam přiměřenosti a standardní smlouvy

Správce může přenášet osobní údaje mimo Království na základě jednoho ze tří primárních mechanismů: rozhodnutí o přiměřenosti schváleného SDAIA pro cílovou zemi, standardní smlouvy schválené SDAIA nebo závazná podniková pravidla pro přenosy uvnitř skupiny. Seznam přiměřenosti k roku 2026 zahrnuje malý počet sousedů ze GCC a hrstku evropských jurisdikcí, ale většina cílových destinací pro reklamní technologie — včetně Spojených států — se nachází mimo něj a vyžaduje buď standardní smlouvu, nebo výjimku.

Posouzení dopadu přenosu dat

U přenosů s vysokým rizikem SDAIA vyžaduje zdokumentované posouzení dopadu přenosu dat (DTIA) před zahájením přenosu. Toto je saúdský protějšek posouzení dopadu přenosu EU po rozsudku Schrems II. Vydavatelé by měli spolupracovat se svými dodavateli CMP a reklamních technologií na sestavení vzorových DTIA pokrývajících opakující se programatické toky a obnovovat je vždy, když dodavatel změní místa zpracování.

Praktické kroky pro soulad pro vydavatele

Program PDPL se rozděluje do pěti provozních úkolů, které se čistě mapují na stávající CMP vydavatele a reklamní zásobník. Žádný z nich není neznámý nikomu, kdo již implementoval soulad s GDPR nebo LGPD — rozdíl je v detailech saúdského textu a konkrétních pravidlech přenosu.

Kontrolní seznam konfigurace CMP

Ověřte, že váš banner se souhlasem se zobrazuje v arabštině pro návštěvníky ze KSA a v angličtině pro všechny ostatní, že kategorie účelů jsou plně granulární, že cesta odmítnutí všeho je jedním klikem a vizuálně rovnocenná přijetí všeho, a že řetězec souhlasu proudí po proudu přes Google Consent Mode v2 nebo vaši integraci TCF. Ujistěte se, že váš CMP zaznamenává potvrzení o souhlasu specifické pro PDPL s časovým razítkem, verzí zásad a identifikátorem uživatele, aby bylo možné sestavit odpovědi na audity v řádu minut, nikoliv dnů.

Protokoly souhlasu a auditní stopa

Auditní týmy SDAIA požadují důkazy o souhlasu v obvyklé formě: kdo souhlasil, s čím, kdy, s jakou verzí banneru a co mu bylo sděleno v okamžiku souhlasu. Plánujte uchovávání těchto protokolů po dobu nejméně dvou let a ukládejte je způsobem, který přežije změny dodavatele CMP — export do datového skladu vlastněného správcem je nejčistším vzorem.

Pracovní postup pro práva subjektů údajů

PDPL uděluje práva na přístup, opravu, výmaz a přenositelnost s lhůtami pro odpověď třiceti dnů. Vydavatel s jedinou schránkou privacy@ a bez pracovního postupu pro tickety bude termín nestíhat častěji, než ho stíhat. Zřiďte dokumentovaný postup od přijetí po odpověď, vyškolte jednoho jmenovaného vlastníka a integrujte pracovní postup se záznamy o souhlasu vašeho CMP a reklamního serveru, aby se žádosti o výmaz šířily po proudu.

Závěr

Saúdskoarabský PDPL v roce 2026 není měkkým režimem, který by vydavatelé mohli upozadit za GDPR a CCPA. SDAIA má financování, auditní kapacitu a politickou podporu k jeho vymáhání, a pravidla přeshraničního přenosu zejména vytvářejí skutečné třenice s globálním dodavatelským řetězcem reklamních technologií, kolem nichž musí vydavatelé navrhovat řešení. Dobrá zpráva je, že PDPL si od GDPR bere dost, takže vydavatel s vyzrálou evropskou základnou souladu je po většině cesty tam. Lokalizujte svůj banner souhlasu do arabštiny, vrstvěte text účelu specifický pro PDPL na vrchol stávajícího nastavení TCF, zdokumentujte své mechanismy přenosu, jmenujte místního zástupce, pokud to váš saúdský provoz odůvodňuje, a vaše publikum ze KSA zůstane výnosné, zatímco provozovatelé, kteří PDPL zamávali jako papírové cvičení, tráví rok 2026 čtením auditních dopisů.