Vejledning til overholdelse af Egyptens persondatabeskyttelseslov nr. 151 af 2020 om cookiesamtykke: 2026-spillebog for udgivere

Egyptens persondatabeskyttelseslov nr. 151 af 2020 — normalt omtalt som den egyptiske PDPL — blev udstedt den 15. juli 2020 og trådte i kraft den 14. oktober 2020. I det meste af perioden siden da betød fraværet af gennemførelsesforordninger, at loven forblev som en principerklæring snarere end et håndhæveligt regime. Det ændrede sig, da Center for Beskyttelse af Personoplysninger — det regulerende organ oprettet i henhold til loven, tilknyttet Ministeriet for Kommunikation og Informationsteknologi — offentliggjorde sin operationelle ramme, licensieringskrav og de gennemførelsesforordninger, som loven havde efterladt til udstedelse. I 2026 er regimet fuldt operationelt, licenssporet for dataansvarlige og -behandlere er aktivt, og udgivere, der opererer i eller retter sig mod Egypten, er underlagt en indenlandsk samtykkestandardard, der er tættere på GDPR end på noget ældre regionalt model. Konsekvensen for cookiesamtykke er direkte: et banner, der fungerede i Egypten under det gamle regime, er ikke tilstrækkeligt nu, og et banner, der opfylder GDPR, vil opfylde PDPL kun når integrationen tager hensyn til de punkter, hvor de to rammer divergerer.

Hvad den egyptiske PDPL faktisk kræver

Loven finder anvendelse på behandling af personoplysninger om egyptiske beboere uanset hvor den dataansvarlige eller -behandleren er etableret, og på dataansvarlige og -behandlere etableret i Egypten uanset hvor de registrerede befinder sig. Denne ekstraterritoriale rækkevidde afspejler GDPR artikel 3 og betyder, at en udgiver med hjemsted uden for Egypten, men med egyptiske læsere, appinstallationer eller betalende kunder, er klart inden for rækkevidde. Personoplysninger defineres bredt som enhver data relateret til en identificeret eller identificerbar fysisk person, og følsomme personoplysninger — herunder sundheds-, biometriske, genetiske, mental-sundheds-, finans-, religiøs-tros-, politisk-menings- og straffedømmelsesdata — er underlagt en højere samtykkegrænse og yderligere garantier.

Loven fastlægger lovlige grundlag for behandling, standardsættet af registreredes rettigheder — adgang, berigtigelse, sletning, begrænsning, indsigelse og portabilitet — en ansvarsramme for dataansvarlig og -behandler, forpligtelser til underretning om brud, kontroller af grænseoverskridende overførsler og et administrativt sanktionsregime med bøder fra 100.000 EGP for mindre overtrædelser op til 5 millioner EGP for alvorlige eller gentagne overtrædelser. Strafferetlige sanktioner gælder for de mest alvorlige kategorier, herunder uautoriseret grænseoverskridende overførsel og behandling af følsomme data uden godkendelse.

Hvordan PDPL specifikt behandler cookiesamtykke

I modsætning til EU's ePrivacy-direktiv indeholder PDPL ikke en separat bestemmelse om cookies. Cookies og analoge lagrings- og adgangsteknologier falder inden for den generelle samtykkeram: enhver behandling af personoplysninger, der er afhængig af samtykke som sin lovlige grund, skal opnås på grundlag af en udtrykkelig, frivillig, specifik og dokumenteret udtryk for samtykke fra den registrerede. Center for Beskyttelse af Personoplysninger har i sin vejledning udstedt under den trinvise igangsætning af forordningerne bekræftet, at forud afkrydsede felter, implicit samtykke udledt af fortsat browsing og bundlede samtykkebannere ikke opfylder lovens standard. Det placerer Egypten fast i den globale bane og betyder, at den praktiske holdning, udgivere allerede opretholder for EØS, er det rette udgangspunkt for egyptisk trafik.

Den praktiske effekt er, at cookies og enhver analog teknologi, som ikke er strengt nødvendig for levering af tjenesten, ikke må sættes, inden brugeren aktivt har givet samtykke. Strengt nødvendige cookies — sessionsidentifikatorer, indkøbskurvindhold, sikkerhedstokens, belastningsbalancerende cookies — kan sættes uden samtykke på den baggrund, at brugeren aktivt har anmodet om tjenesten. Alt andet — analyse, reklame, personalisering, A/B-test, sessionsafspilning og ethvert tredjepartsmærke — kræver forudgående samtykke.

Hvordan PDPL i praksis afviger fra GDPR

Tre forskelle er vigtige på integrationslaget. For det første kræver PDPL, at samtykke til behandling af følsomme personoplysninger opnås skriftligt eller via et dokumenteret elektronisk ækvivalent, som den dataansvarlige kan fremlægge på anmodning — en højere bevismæssig standard end GDPR's krav om udtrykkeligt samtykke. For det andet pålægger PDPL et licenseringsregime: dataansvarlige og -behandlere skal registrere sig hos Center for Beskyttelse af Personoplysninger, og visse kategorier af behandling — herunder grænseoverskridende overførsel og direkte markedsføring — kræver en separat driftslicens. For det tredje kræver PDPL's regler om grænseoverskridende overførsler enten en tilstrækkeligheds-afgørelse fra centret, en godkendt kontraktmæssig garanti eller eksplicit samtykke fra den registrerede; overførsler til jurisdiktioner uden afgørelser eller garantier er begrænsede uanset modtagerens egen overholdelsesposition.

Hvordan et PDPL-compliant cookiebanner ser ud

De tekniske krav konvergerer med, hvad enhver moderne CMP allerede producerer, men mærkning, dokumentation og samtykkelog skal afspejle egyptiske specifikke forhold. Første-lags-banneret skal præsentere brugeren for et reelt valg — accepter, afvis, administrer — hvor afvisningsindstillingen er mindst lige så fremtrædende som acceptindstillingen. Bundlet samtykke er forbudt, så det andet lag skal tillade kategorivis tilmelding, der som minimum dækker analyse, reklame og enhver behandling, der er afhængig af grænseoverskridende overførsel. Kategorier skal som standard være slået fra; banneret må ikke indlæse mærker, før brugeren aktivt har slået dem til.

Privatlivserklæringen tilgængelig fra banneret skal identificere den dataansvarlige, den dataansvarliges PDPL-licensnummer, hvis relevant, kategorierne af indsamlede personoplysninger, det lovlige grundlag for hvert behandlingsformål, dataopbevaringsperioden, kategorierne af modtagere, herunder eventuelle underdatabehandlere, der er placeret uden for Egypten, den registreredes rettigheder i henhold til loven og Center for Beskyttelse af Personoplysningers kontaktoplysninger for klager. En meddelelse, der opfylder standarden i GDPR artikel 13, vil i væsentlig grad overlappe, men den egyptiske licens og centerets kontaktlinjer skal tilføjes eksplicit.

Det integrationsmønster, der består en gennemgang fra Center for Beskyttelse af Personoplysninger

Referenceimplementeringen har fire bevægelige dele. Den første er en CMP, der understøtter kategorivis, standard-slået-fra tilmelding og eksponerer brugerens valg via en struktureret samtykkestrengs, som udgiveren kan fastholde. Den anden er et tag-indlæsningslag — en server-side tag-manager eller en CMP-native gate — der strengt håndhæver samtykkestatus, inden nogen ikke-essentiel cookie sættes. Den tredje er en samtykkelog, lagret server-side, der for hvert samtykkeevent registrerer brugerens valg pr. kategori, tidsstemplet, bannerversionen og et trunkeret eller hashet IP-id, så den dataansvarlige kan fremlægge registreringen på centerets anmodning. Den fjerde er en tilbagekaldelsessti mindst lige så nem som den oprindelige bevilling — typisk et vedvarende link til genåbning af banneret i sidefoden.

Validering, licensering og revisionsposition for 2026

En forsvarlig egyptisk implementering i 2026 skal bestå fire tekniske kontroller. For det første skal en ren browsersession serveret fra en egyptisk IP-adresse producere nul ikke-essentielle cookies, inden banneret er aktiveret. For det andet skal afvis-alle-stien resultere i den samme position som en no-action-session — ingen analysetagmærker, ingen reklamemærker, ingen sessionsafspilningsscripts. For det tredje skal en accepter-alle-strøm kun producere de mærker, som brugeren har givet samtykke til, og samtykkebogen skal indeholde en tilsvarende registrering. For det fjerde skal en tilbagekaldelsesstrøm øjeblikkeligt stoppe yderligere mærkeafskydninger, udløbe de cookies, der er sat i løbet af den samtykkede session, og udløse eventuelle downstream sletnings- eller fravalgs-signaler, som modtagerpartnerne kræver.

Ud over de tekniske kontroller er det licensering og revisionsposition, der gør en implementering forsvarlig. Dataansvarlige, der behandler personoplysninger om egyptiske beboere over de tærskelværdier, der er fastsat af gennemførelsesforordningerne, skal være registreret hos Center for Beskyttelse af Personoplysninger, og registreringsposten — sammen med samtykkebogen, privatlivserklæringen, resultaterne af databeskyttelseskonsekvensvurderingen for højere-risiko-behandling og eventuelle tilladelser til grænseoverskridende overførsler — udgør den dokumentation, centret kan anmode om under en overholdelsesgensyn. En korrekt konfigureret CMP med en server-side-log, et tag-indlæsningslag, der håndhæver samtykkestatus, en privatlivserklæring, der navngiver hvert mål for grænseoverskridende overførsel, og licensdokumentationen på fil er det, der gør den egyptiske PDPL fra et reguleringsmæssigt ukendt til en forsvarlig del af en udgivers MENA-regionale samtykkestilling.

← Blog Læs alt →