Οδηγός Συμμόρφωσης με τον Αιγυπτιακό Νόμο Προστασίας Προσωπικών Δεδομένων Αρ. 151 του 2020 για τη Συγκατάθεση Cookies: Εγχειρίδιο 2026 για Εκδότες

Ο αιγυπτιακός Νόμος Προστασίας Προσωπικών Δεδομένων Αρ. 151 του 2020 — συνήθως αναφερόμενος ως αιγυπτιακό PDPL — εκδόθηκε στις 15 Ιουλίου 2020 και τέθηκε σε ισχύ στις 14 Οκτωβρίου 2020. Για το μεγαλύτερο μέρος της περιόδου από τότε, η απουσία εκτελεστικών κανονισμών σήμαινε ότι ο Νόμος παρέμενε ως δήλωση αρχών παρά ως εφαρμόσιμο καθεστώς. Αυτό άλλαξε όταν το Κέντρο Προστασίας Προσωπικών Δεδομένων — ο ρυθμιστής που ιδρύθηκε δυνάμει του Νόμου, προσαρτημένος στο Υπουργείο Επικοινωνιών και Τεχνολογίας Πληροφοριών — δημοσίευσε το επιχειρησιακό του πλαίσιο, τις απαιτήσεις αδειοδότησης και τους εκτελεστικούς κανονισμούς που ο Νόμος είχε αφήσει για έκδοση. Μέχρι το 2026 το καθεστώς είναι πλήρως λειτουργικό, η διαδρομή αδειοδότησης για υπευθύνους και εκτελούντες επεξεργασία δεδομένων είναι ενεργή, και εκδότες που δραστηριοποιούνται στην Αίγυπτο ή στοχεύουν σε αυτήν υπόκεινται σε εγχώριο πρότυπο συγκατάθεσης πιο κοντά στο GDPR από οποιοδήποτε παλαιότερο περιφερειακό μοντέλο. Η επίπτωση για τη συγκατάθεση cookies είναι άμεση: ένα banner που λειτουργούσε στην Αίγυπτο υπό το παλιό καθεστώς δεν αρκεί πλέον, και ένα banner που ικανοποιεί το GDPR θα ικανοποιεί το PDPL μόνο όταν η ενσωμάτωση λαμβάνει υπόψη τα σημεία όπου τα δύο πλαίσια αποκλίνουν.

Τι απαιτεί πραγματικά το αιγυπτιακό PDPL

Ο Νόμος εφαρμόζεται στην επεξεργασία προσωπικών δεδομένων Αιγύπτιων κατοίκων ανεξαρτήτως του πού είναι εγκατεστημένος ο υπεύθυνος ή ο εκτελών επεξεργασία, και σε υπεύθυνους και εκτελούντες επεξεργασία εγκατεστημένους στην Αίγυπτο ανεξαρτήτως του πού βρίσκονται τα υποκείμενα των δεδομένων. Αυτή η εξωεδαφική εμβέλεια αντικατοπτρίζει το άρθρο 3 του GDPR και σημαίνει ότι ένας εκδότης με έδρα εκτός Αιγύπτου αλλά με Αιγύπτιους αναγνώστες, εγκαταστάσεις εφαρμογών ή πελάτες πληρωμής βρίσκεται σαφώς εντός πεδίου εφαρμογής. Τα προσωπικά δεδομένα ορίζονται ευρέως ως οποιαδήποτε δεδομένα που αφορούν ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, ενώ τα ευαίσθητα προσωπικά δεδομένα — συμπεριλαμβανομένων δεδομένων υγείας, βιομετρικών, γενετικών, ψυχικής υγείας, οικονομικών, θρησκευτικών πεποιθήσεων, πολιτικών απόψεων και ποινικών καταδικών — υπόκεινται σε υψηλότερο κατώφλι συγκατάθεσης και πρόσθετες εγγυήσεις.

Ο Νόμος θεσπίζει νόμιμες βάσεις για την επεξεργασία, το τυπικό σύνολο δικαιωμάτων υποκειμένων δεδομένων — πρόσβαση, διόρθωση, διαγραφή, περιορισμό, εναντίωση και φορητότητα — πλαίσιο λογοδοσίας υπευθύνου-εκτελούντος επεξεργασία, υποχρεώσεις γνωστοποίησης παραβίασης, ελέγχους διασυνοριακής μεταφοράς και διοικητικό καθεστώς κυρώσεων με πρόστιμα από 100.000 EGP για μικρές παραβάσεις έως 5 εκατομμύρια EGP για σοβαρές ή επαναλαμβανόμενες παραβάσεις. Ποινικές κυρώσεις ισχύουν για τις σοβαρότερες κατηγορίες, συμπεριλαμβανομένης της μη αδειοδοτημένης διασυνοριακής μεταφοράς και της επεξεργασίας ευαίσθητων δεδομένων χωρίς εξουσιοδότηση.

Πώς το PDPL αντιμετωπίζει ειδικά τη συγκατάθεση cookies

Σε αντίθεση με την Οδηγία ePrivacy της ΕΕ, το PDPL δεν περιέχει χωριστή διάταξη για τα cookies. Τα cookies και ανάλογες τεχνολογίες αποθήκευσης και πρόσβασης εμπίπτουν στο γενικό πλαίσιο συγκατάθεσης: οποιαδήποτε επεξεργασία προσωπικών δεδομένων που βασίζεται στη συγκατάθεση ως νόμιμη βάση πρέπει να λαμβάνεται βάσει ρητής, εκούσιας, ειδικής και τεκμηριωμένης έκφρασης συμφωνίας από το υποκείμενο δεδομένων. Το Κέντρο Προστασίας Προσωπικών Δεδομένων, στις κατευθυντήριες οδηγίες που εκδόθηκαν κατά τη σταδιακή έναρξη των κανονισμών, επιβεβαίωσε ότι τα προεπιλεγμένα πλαίσια ελέγχου, η σιωπηρή συγκατάθεση που συνάγεται από τη συνέχιση της περιήγησης και τα ομαδοποιημένα banners συγκατάθεσης δεν ικανοποιούν το πρότυπο του Νόμου. Αυτό τοποθετεί την Αίγυπτο σταθερά στην παγκόσμια τροχιά και σημαίνει ότι η πρακτική στάση που ήδη διατηρούν οι εκδότες για τον ΕΟΧ είναι το σωστό σημείο εκκίνησης για αιγυπτιακή κίνηση.

Το πρακτικό αποτέλεσμα είναι ότι τα cookies και οποιεσδήποτε ανάλογες τεχνολογίες που δεν είναι αυστηρά απαραίτητες για την παροχή της υπηρεσίας δεν πρέπει να ορίζονται πριν ο χρήστης δώσει ενεργά τη συγκατάθεσή του. Τα αυστηρά απαραίτητα cookies — αναγνωριστικά συνεδρίας, περιεχόμενα καλαθιού, διακριτικά ασφαλείας, cookies εξισορρόπησης φορτίου — μπορούν να οριστούν χωρίς συγκατάθεση βάσει του ότι ο χρήστης έχει ενεργά ζητήσει την υπηρεσία. Τα πάντα άλλα — αναλυτικά στοιχεία, διαφήμιση, εξατομίκευση, δοκιμές A/B, αναπαραγωγή συνεδρίας και οποιαδήποτε ετικέτα τρίτου — απαιτούν προηγούμενη συγκατάθεση.

Πώς το PDPL αποκλίνει από το GDPR στην πράξη

Τρεις διαφορές έχουν σημασία στο επίπεδο ενσωμάτωσης. Πρώτον, το PDPL απαιτεί η συγκατάθεση για την επεξεργασία ευαίσθητων προσωπικών δεδομένων να λαμβάνεται γραπτώς ή μέσω τεκμηριωμένου ηλεκτρονικού ισοδυνάμου που ο υπεύθυνος μπορεί να παράσχει κατόπιν αιτήματος — υψηλότερο αποδεικτικό πρότυπο από την απαίτηση ρητής συγκατάθεσης του GDPR. Δεύτερον, το PDPL επιβάλλει καθεστώς αδειοδότησης: οι υπεύθυνοι και οι εκτελούντες επεξεργασία πρέπει να εγγράφονται στο Κέντρο Προστασίας Προσωπικών Δεδομένων, και ορισμένες κατηγορίες επεξεργασίας — συμπεριλαμβανομένης της διασυνοριακής μεταφοράς και του άμεσου μάρκετινγκ — απαιτούν χωριστή επιχειρησιακή άδεια. Τρίτον, οι κανόνες διασυνοριακής μεταφοράς του PDPL απαιτούν είτε απόφαση επάρκειας από το Κέντρο, είτε εγκεκριμένη συμβατική εγγύηση, είτε ρητή συγκατάθεση του υποκειμένου δεδομένων· οι μεταφορές σε δικαιοδοσίες χωρίς αποφάσεις ή εγγυήσεις περιορίζονται ανεξαρτήτως της δικής τους θέσης συμμόρφωσης του αποδέκτη.

Πώς μοιάζει ένα συμμορφούμενο banner cookies κάτω από το PDPL

Οι τεχνικές απαιτήσεις συγκλίνουν με αυτό που παράγει ήδη κάθε σύγχρονο CMP, αλλά η επισήμανση, η τεκμηρίωση και το αρχείο καταγραφής συγκατάθεσης πρέπει να αντικατοπτρίζουν τις αιγυπτιακές ιδιαιτερότητες. Το banner πρώτου επιπέδου πρέπει να παρουσιάζει στον χρήστη μια πραγματική επιλογή — αποδοχή, απόρριψη, διαχείριση — όπου η επιλογή απόρριψης είναι τουλάχιστον εξίσου εμφανής με την επιλογή αποδοχής. Η ομαδοποιημένη συγκατάθεση απαγορεύεται, οπότε το δεύτερο επίπεδο πρέπει να επιτρέπει εγγραφή ανά κατηγορία καλύπτοντας τουλάχιστον αναλυτικά, διαφήμιση και οποιαδήποτε επεξεργασία που εξαρτάται από διασυνοριακή μεταφορά. Οι κατηγορίες πρέπει να είναι προεπιλεγμένα ανενεργές· το banner δεν πρέπει να φορτώνει ετικέτες μέχρι ο χρήστης να τις ενεργοποιήσει καταφατικά.

Η ειδοποίηση απορρήτου που είναι προσβάσιμη από το banner πρέπει να προσδιορίζει τον υπεύθυνο, τον αριθμό άδειας PDPL του υπευθύνου εάν εφαρμόζεται, τις κατηγορίες συλλεγόμενων προσωπικών δεδομένων, τη νόμιμη βάση για κάθε σκοπό επεξεργασίας, την περίοδο διατήρησης δεδομένων, τις κατηγορίες αποδεκτών συμπεριλαμβανομένων τυχόν υπο-εκτελούντων επεξεργασία εκτός Αιγύπτου, τα δικαιώματα του υποκειμένου δεδομένων βάσει του Νόμου και τα στοιχεία επικοινωνίας του Κέντρου Προστασίας Προσωπικών Δεδομένων για παράπονα. Μια ειδοποίηση που πληροί το πρότυπο του άρθρου 13 GDPR θα επικαλύπτεται σε μεγάλο βαθμό, αλλά οι γραμμές αιγυπτιακής άδειας και επικοινωνίας με το Κέντρο πρέπει να προστεθούν ρητά.

Το μοτίβο ενσωμάτωσης που περνά επισκόπηση του Κέντρου Προστασίας Προσωπικών Δεδομένων

Η υλοποίηση αναφοράς έχει τέσσερα κινούμενα μέρη. Το πρώτο είναι ένα CMP που υποστηρίζει εγγραφή ανά κατηγορία, προεπιλεγμένα ανενεργή, και εκθέτει την επιλογή του χρήστη μέσω δομημένης συμβολοσειράς συγκατάθεσης που μπορεί να διατηρήσει ο εκδότης. Το δεύτερο είναι ένα επίπεδο φόρτωσης ετικετών — ένας διαχειριστής ετικετών από πλευράς διακομιστή ή μια πύλη CMP — που επιβάλλει αυστηρά την κατάσταση συγκατάθεσης πριν οριστεί οποιοδήποτε μη ουσιαστικό cookie. Το τρίτο είναι ένα αρχείο καταγραφής συγκατάθεσης, αποθηκευμένο από πλευράς διακομιστή, που καταγράφει για κάθε γεγονός συγκατάθεσης την επιλογή του χρήστη ανά κατηγορία, τη χρονική σήμανση, την έκδοση banner και ένα κομμένο ή κατακερματισμένο αναγνωριστικό IP ώστε ο υπεύθυνος να μπορεί να παράσχει την εγγραφή κατόπιν αιτήματος του Κέντρου. Το τέταρτο είναι μια διαδρομή ανάκλησης τουλάχιστον τόσο εύκολη όσο η αρχική χορήγηση — συνήθως ένας μόνιμος σύνδεσμος επαναφοράς banner στην υποσέλιδο.

Επαλήθευση, αδειοδότηση και θέση ελέγχου για το 2026

Μια υποστηρίξιμη αιγυπτιακή ανάπτυξη το 2026 πρέπει να περάσει τέσσερις τεχνικούς ελέγχους. Πρώτον, μια καθαρή συνεδρία προγράμματος περιήγησης που εξυπηρετείται από αιγυπτιακή διεύθυνση IP πρέπει να παράγει μηδέν μη ουσιαστικά cookies πριν εκτελεστεί οποιαδήποτε ενέργεια στο banner. Δεύτερον, η διαδρομή απόρριψης-όλων πρέπει να έχει ως αποτέλεσμα την ίδια θέση με μια συνεδρία χωρίς ενέργεια — χωρίς ετικέτες αναλυτικών, χωρίς ετικέτες διαφήμισης, χωρίς σενάρια αναπαραγωγής συνεδρίας. Τρίτον, μια ροή αποδοχής-όλων πρέπει να παράγει μόνο τις ετικέτες για τις οποίες ο χρήστης έχει δώσει συγκατάθεση, και το αρχείο καταγραφής συγκατάθεσης πρέπει να περιέχει αντίστοιχη εγγραφή. Τέταρτον, μια ροή ανάκλησης πρέπει να σταματά αμέσως περαιτέρω ενεργοποιήσεις ετικετών, να λήγουν τα cookies που ορίστηκαν κατά τη συγκατατεθείσα συνεδρία και να ενεργοποιεί τυχόν ανάντη σήματα διαγραφής ή εξαίρεσης που απαιτούν οι αποδέκτες-συνεργάτες.

Πέρα από τους τεχνικούς ελέγχους, η αδειοδότηση και η θέση ελέγχου είναι αυτό που καθιστά μια ανάπτυξη υποστηρίξιμη. Οι υπεύθυνοι που επεξεργάζονται προσωπικά δεδομένα Αιγύπτιων κατοίκων πάνω από τα κατώφλια που ορίζουν οι εκτελεστικοί κανονισμοί πρέπει να είναι εγγεγραμμένοι στο Κέντρο Προστασίας Προσωπικών Δεδομένων, και το μητρώο εγγραφής — μαζί με το αρχείο καταγραφής συγκατάθεσης, την ειδοποίηση απορρήτου, τα αποτελέσματα της εκτίμησης αντικτύπου προστασίας δεδομένων για επεξεργασίες υψηλότερου κινδύνου και τυχόν εξουσιοδοτήσεις διασυνοριακής μεταφοράς — αποτελεί την τεκμηρίωση που το Κέντρο μπορεί να ζητήσει κατά τη διάρκεια επισκόπησης συμμόρφωσης. Ένα σωστά διαμορφωμένο CMP με αρχείο καταγραφής από πλευράς διακομιστή, ένα επίπεδο φόρτωσης ετικετών που επιβάλλει την κατάσταση συγκατάθεσης, μια ειδοποίηση απορρήτου που ονομάζει κάθε προορισμό διασυνοριακής μεταφοράς και η τεκμηρίωση αδειοδότησης στο αρχείο — αυτό είναι που μετατρέπει το αιγυπτιακό PDPL από ρυθμιστικό άγνωστο σε υποστηρίξιμο μέρος της θέσης συγκατάθεσης MENA ενός εκδότη.

← Ιστolόγιo Διαβάστε όλα →