Průvodce souhlasem se soubory cookie PDPL v SAE: Federální dekret-zákon 45 z roku 2021 pro vydavatele
Spojené arabské emiráty přijaly svůj zákon o ochraně osobních údajů na konci roku 2021 a uvedły ho v platnost následujícího roku. Federal Decree-Law 45 of 2021, známý jako PDPL, je první komplexní federální zákon o ochraně soukromí v zemi a těžce čerpá ze struktury GDPR, přičemž přizpůsobuje klíčová ustanovení federálnímu právu SAE a lokalizačním úvahám ohledně údajů v zemi. Pro vydavatele působící v SAE nebo cílící na provoz v SAE — trh, který se prudce rozšířil s růstem regionálního e-commerce, fintech a nadnárodních mediálních podniků se sídlem v Dubaji a Abu Dhabi — se PDPL změnil cookies consent z měkkého očekávání na federální povinnost v oblasti dodržování předpisů. Tato příručka procházejí tím, jak PDPL nakládá s online sledováním, na čem se soustředí vynucování Datové kanceláře SAE, a jaké jsou praktické důsledky pro design cookie banneru a konfiguraci CMP.
Právní rámec PDPL
PDPL se vztahuje na zpracování osobních údajů rezidentů SAE, ať už se zpracování odehrává v SAE nebo mimo ni, a ať už je správce nebo zpracovatel usazen v SAE nebo působí ze zahraničí. Územní rozsah je proto extrateritoriální stejným způsobem jako GDPR — vydavatel působící z Londýna nebo Singapuru zpracovávající údaje rezidentů SAE je v rozsahu platnosti. Dohledovacím orgánem je Datová kancelář SAE, zřízená na základě stejného legislativního balíčku, která zaujímá vyvážený, ale stále aktivnější postoj k vynucování.
Základní principy PDPL budou známé každému, kdo pracoval s GDPR: právní základ, omezení účelu, minimalizace údajů, přesnost, omezení doby skladování, integrita a důvěrnost a odpovědnost. Právní základy podle Article 4 zahrnují souhlas, plnění smlouvy, právní povinnost, životně důležité zájmy, veřejný zájem a oprávněné zájmy, každý se svým vlastním rozsahem a podmínkami. Pro online sledování jsou relevantní základy souhlas a v úzce vymezených okolnostech oprávněný zájem. Předinstalované cookies, které sbírají osobní údaje bez souhlasu, jsou porušením stejně jako by tomu bylo podle GDPR.
Co se počítá jako osobní údaje podle PDPL
Definice osobních údajů podle PDPL je široká a těsně sleduje GDPR: jakékoli údaje týkající se identifikované nebo identifikovatelné fyzické osoby, včetně online identifikátorů. Cookies, které trvale identifikují zařízení, IP adresy zpracovávané spolu s dalšími údaji, ID reklam a identifikátory stylu otisků prstů, všechny spadají do rozsahu. Pokyny k implementaci Datové kanceláře potvrdily, že analýza použitá na behaviorální a reklamní cookies v EU se uplatňuje v podstatě stejným způsobem v SAE — liší se architektura vynucování, nikoli hmotnostní standard.
PDPL také definuje kategorii citlivých osobních údajů s přísnějšími požadavky na nakládání, která pokrývá zdravotnické informace, genetické a biometrické údaje, náboženské přesvědčení, trestní záznamy a podobné kategorie. Cookies, které zachycují jakékoli z těchto údajů, vyžadují výslovný souhlas a dodatečná opatření.
Cookie Consent podle PDPL
PDPL neobsahuje specifické stanovení týkající se cookies tak, jak to dělá směrnice EU o ePrivacy. Místo toho vyplývá požadavek na souhlas z Article 6, které stanovuje obecný standard pro platný souhlas: musí být specifický, jednoznačný, informovaný a svobodně daný a subjekt údajů musí být schopen consent stáhnout stejně snadno, jak jej dal. Datová kancelář interpretovala tento standard tak, aby vyžadoval:
- Výslovné afirmativní jednání před tím, než se vypálí nezbytné cookies. Pokračování v prohlížení, posouvání nebo implicitní souhlas nejsou dostatečné.
- Granulární kategoriální ovládací prvky oddělující cookies nezbytné ze strany funkcí a analytiky a reklamy, přičemž návštěvník může přijmout některé a odmítnout ostatní.
- Jasný mechanismus stažení dostupný z jakékoli stránky, kde je sledování aktivní, přičemž stažení vstoupí v platnost okamžitě.
- Dokumentace rozhodnutí o souhlasu dostatečná k splnění požadavku na odpovědnost podle Article 5.
V praxi se jedná o stejný operační standard, který by vydavatel vytvořil pro GDPR. Banner, který splňuje kritéria EDPB Cookie Banner Taskforce, bude vyhovovat PDPL; ten, který je nesplní, selže i při PDPL zkoumání.
Přeshraniční přenosy údajů
Jedním z nejcharakterističtějších prvků PDPL je jeho rámec pro přeshraniční přenosy. Article 22 a Article 23 PDPL stanovují podmínky, za kterých mohou být osobní údaje přeneseny mimo SAE, strukturovány způsobem, který paralelizuje — ale ne úplně zrcadlí — Chapter V GDPR.
Adequacy-style designations
PDPL umožňuje Datové kanceláři, aby země určily jako poskytující adekvátní ochranu. Aktuální seznam je kratší než seznam Evropské komise a očekává se jeho vývoj. Dokud není země určena, přenosy vyžadují jeden z dalších zákonných mechanismů.
Standardní smluvní ujednání
PDPL povoluje přenosy podporované vhodnými smluvními zárukami, podobné v struktuře EU SCC. Mnoho kontrolorů z SAE pracuje s uživatelskými smluvními dodatky, které Datová kancelář na vyžádání kontroluje.
Specifické výjimky
K dispozici jsou výslovné výjimky souhlasu, plnění smlouvy a životně důležitých zájmů, ale úzce vykládané. Rutinní spoléhání na souhlas pro přenosy — což podle GDPR je často považováno spíše za výjimečné než systematické — je zde zacházeno podobně.
Pro online vydavatele je praktický dopad ten, že záznam cookie consent nyní musí také podporovat povinnost odpovědnosti za přenos. Pokud návštěvník v SAE přijme cookies, které směřují jejich údaje prodejci ad-tech v USA, musí být CMP schopen zpřístupnit přenosový nástroj, který autorizuje tento tok.
Sektorální a free-zone úvahy
Krajina ochrany soukromí SAE je vrstvená. Federální PDPL se uplatňuje широко, ale několik free zones — Dubajské mezinárodní finanční centrum (DIFC), Globální trh Abu Dhabi (ADGM) a Dubai Healthcare City — provozují své vlastní reginy ochrany údajů, které předcházejí PDPL. DIFC Data Protection Law No. 5 of 2020 a ADGM Data Protection Regulations 2021 jsou oba zarovnány s GDPR a uplatňují se v jejich příslušných zónách. Vydavatelé působící v několika zónách musí sjednotit federální PDPL s příslušným rámcem free-zone; ve většině případů se hmotnostní standardy shodují, ale dohledovací kanál se liší.
Co signalizovala Datová kancelář
Datová kancelář SAE byla zřejmá ve svém postoji k vynucování, upřednostňující budování kapacit, konzultace se sektorem a vysoce medializované případy před vysokoobjemovým režimem pokut. Veřejné pokyny zdůraznily:
Design banneru
Datová kancelář se sblížila s kritérii stylu EDPB na design banneru, považujíc chybějící tlačítka zamítnutí, klamavý styl odkazů a předvyplněné zaškrtávací políčka za běžné chyby vyžadující nápravu. Očekáváním je sbližování s evropskými normami.
Transparentnost přeshraničních přenosů
Kancelář signalizovala, že přeshraniční přenosy budou zvláštním zaměřením, zejména tam, kde jsou osobní údaje směrovány do jurisdikcí bez určené adekvátnosti. Dokumentace přenosového mechanismu je považována za požadavek na odpovědnost, nikoli za volitelný.
Arabskou jazykovou komunikací
Přestože PDPL neurčuje arabštinu, Datová kancelář uvedla, že komunikace by měly být k dispozici v arabštině tam, kde je publikum primárně arabsky mluvící, a to jak z hlediska přístupnosti, tak pro účely důkazní.
Praktický checklist dodržování předpisů
Šest konkrétních otázek, na které je třeba odpovědět pro jakýkoli cookie banner sloužící provozu v SAE.
1. Afirmativní souhlas před sledováním
Jsou nezbytné cookies blokovány na úrovni script-loaderu, dokud návštěvník nepodnikne afirmativní akci? Předběžné načtení banneru přes již spuštěné trackers je porušením per se.
2. Granulární kategorie
Odděluje banner nezbytné, analytické a reklamní kategorie s nezávislými přepínači? Kombinované přijetí všeho bez granularity je chyba.
3. Dostupnost arabštiny
Zjistí banner arabsky mluvící návštěvníky a ve výchozím nastavení se zobrazuje v arabštině s angličtinou jako přepínatelná alternativa? Datová kancelář výslovně upozornila na dostupnost jazyků.
4. Přístup ke stažení
Je ovládací prvek stažení trvalý a dostupný z každé stránky? Multi-step nastavení zakopané v odkazu v zápatí selhává standard "stejně snadné na stažení jako na udělení".
5. Dokumentace přeshraniční přenosu údajů
Pro každý cookie, který spustí přeshraniční přenos, je přenosový mechanismus (adekvátnost, smluvní záruka, výjimka) zdokumentován a lze jej na vyžádání zpřístupnit?
6. Consentní protokolování
Zaznamenává systém jednotlivé rozhodnutí consent s časovým razítkem, verzí banneru, volbou a jurisdikcí návštěvníka, aby vydavatel mohl odpovědět na dotaz Datové kanceláře s důkazy?
Kam PDPL patří v regionálním obraze
PDPL SAE je jedním z několika rámců ochrany soukromí v Perském zálivu, které vstoupily v platnost během posledních několika let — PDPL Saúdské Arábie, zákon o ochraně osobních údajů Bahrajnu, zákon o ochraně osobních údajů Kataru a zákon o ochraně osobních údajů Ománu všechny fungují po jeho boku. Hmotnostní standardy v celém regionu se shodují na zásadách zarovnaných s GDPR, s národními variacemi v architektuře dohledu, přenosových mechanismech a sektorových výjimkách. Pro vydavatele působící v Perském zálivu stačí jednou postavit vyšší standard — granulární souhlas, trvalé stažení, zdokumentované přenosy, arabská jazyková podpora, audit-grade protokolování — ke zpracování regionálního dodržování předpisů stejnou infrastrukturou CMP, která zpracovává dodržování evropských předpisů. SAE je v mnoha ohledech regionální bellwether: kam se Datová kancelář pohne, sousední regulátoři mívají tendenci následovat.
```