UAE PDPL küpsiste nõusoleku juhend: Federal Decree-Law 45 of 2021 kirjastajatele
Araabia Ühendemiraadid võtsid oma isikuandmete kaitse seaduse vastu 2021. aasta lõpus ja viisid selle järgmisel aastal jõusse. Federal Decree-Law 45 of 2021, tuntud kui PDPL, on riigi esimene terviklik föderaalne privaatsusseadus, mis laenab suurel määral GDPR struktuurist, kohandades samal ajal põhisätteid UAE föderaalõiguse ja riigi andmelokaliseerimise kaalutlustega. Kirjastajatele, kes tegutsevad UAE-s või sihivad UAE liiklust — turg, mis on järsult laienenud piirkondliku e-kaubanduse, fintehnoloogia ning Dubai- ja Abu Dhabi-põhiste hyperscale meediaettevõtete kasvuga — muutis PDPL küpsiste nõusoleku pehmest ootusest föderaalseks vastavuskohustuseks. See juhend selgitab, kuidas PDPL käsitleb veebijälgimist, millele UAE Data Office täitegevuses keskendub, ja millised on küpsisebänneri kujunduse ja CMP konfigureerimise praktilised tagajärjed.
PDPL õiguslik raamistik
PDPL kohaldub UAE elanike isikuandmete töötlemisele, olenemata sellest, kas töötlemine toimub UAE-s või väljaspool seda, ning olenemata sellest, kas vastutav töötleja või volitatud töötleja on asutatud UAE-s või tegutseb välismaalt. Territoriaalne ulatus on seega ekstraterritoriaalse iseloomuga, sarnaselt GDPR-ga — kirjastaja, kes tegutseb Londonis või Singapuris ja töötleb UAE elanike andmeid, kuulub kohaldamisalasse. Järelevalveasutus on UAE Data Office, mis loodi sama seadusandliku paketi alusel ja on omaks võtnud mõõdetud, kuid üha aktiivsema hoiaku täitegevuses.
PDPL põhiprintsiibid on tuttavad kõigile, kes on töötanud GDPR-ga: seaduslik alus, eesmärgi piirang, andmete minimeerimine, täpsus, säilitamise piirang, terviklikkus ja konfidentsiaalsus ning vastutus. Seaduslikud alused Article 4 alusel hõlmavad nõusolekut, lepingu täitmist, seaduslikku kohustust, elutähtsaid huve, avalikku huvi ja õigustatud huvisid, igaüks oma ulatuse ja tingimustega. Veebijälgimise puhul on asjakohased alused nõusolek ja kitsastes tingimustes õigustatud huvi. Eelinstalleeritud küpsised, mis koguvad isikuandmeid ilma nõusolekuta, on rikkumine samamoodi nagu GDPR alusel.
Mis loetakse PDPL alusel isikuandmeteks
PDPL isikuandmete definitsioon on lai ja järgib tähelepanelikult GDPR-i: kõik andmed, mis on seotud tuvastatud või tuvastatava füüsilise isikuga, sealhulgas veebipõhised identifikaatorid. Küpsised, mis identifitseerivad püsivalt seadet, IP-aadressid, mida töödeldakse koos muude andmetega, reklaamidentifikaatorid ja sõrmejäljepõhised identifikaatorid kuuluvad kõik kohaldamisalasse. Data Office rakendussuunised on kinnitanud, et EL-is käitumuslike ja reklaamiküpsiste suhtes kohaldatav analüüs kohaldub sisuliselt samal kujul ka UAE-s — erineb täitearhitektuur, mitte sisuline standard.
PDPL määratleb ka tundlike isikuandmete kategooria rangemate käitlemisnõuetega, mis hõlmab terviseteavet, geneetilisi ja biomeetrilisi andmeid, usulisi tõekspidamisi, kriminaalset tausta ja sarnaseid kategooriaid. Küpsised, mis koguvad mõnda neist andmetest, nõuavad selgesõnalist nõusolekut ja täiendavaid kaitsemeetmeid.
Küpsiste nõusolek PDPL alusel
PDPL ei sisalda küpsisespetsiifilist sätet nii nagu EL-i ePrivacy direktiiv. Selle asemel tuleneb nõusoleku nõue Article 6-st, mis sätestab kehtiva nõusoleku üldstandardi: see peab olema konkreetne, ühemõtteline, teadlik ja vabatahtlikult antud, ning andmesubjekt peab suutma nõusoleku tagasi võtta sama lihtsalt, kui ta selle andis. Data Office on tõlgendanud seda standardit nii, et see nõuab:
- Selgesõnalist positiivset tegevust enne mittevajalike küpsiste käivitumist. Sirvimine, kerimine või kaudne nõusolek ei ole piisavad.
- Granuleeritud kategooriakontrolle, mis eraldavad rangelt vajalikud küpsised analüütikast ja reklaamist, võimaldades külastajal mõned aktsepteerida ja teised tagasi lükata.
- Selget tagasivõtmismehhanismi, mis on kättesaadav igalt lehelt, kus jälgimine on aktiivne, ja mis jõustub kohe.
- Nõusolekuotsuse dokumenteerimist, mis on piisav Article 5 alusel vastutuse nõude täitmiseks.
Praktikas on see sama operatiivstandard, mida kirjastaja rakendaks GDPR jaoks. Bänner, mis vastab EDPB Cookie Banner Taskforce'i kriteeriumidele, rahuldab PDPL nõudeid; see, mis neile ei vasta, ei vasta ka PDPL kontrolli all.
Piiriülesed andmeedastused
Üks PDPL kõige eripärasemaid jooni on piiriülese andmeedastuse raamistik. PDPL Articles 22 and 23 sätestavad tingimused, mille alusel võib isikuandmeid edastada väljaspool UAE-d, struktureeritud moel, mis sarnaneb — kuid ei peegelda identsetena — GDPR V peatüki sätetega.
Piisavusele sarnanevad määratlused
PDPL võimaldab Data Officeil määratleda riigid piisava kaitse pakkujatena. Praegune nimekiri on lühem kui Euroopa Komisjonil ja oodatakse, et see areneb edasi. Kuni riiki ei ole määratud, on nõutavad muud seaduslikud mehhanismid.
Standardsed lepingulised kokkulepped
PDPL lubab edastusi, mis põhinevad asjakohastel lepingulistel kaitsemeetmetel, struktuurilt sarnaselt EU SCC-dega. Paljud UAE kontrolörid tegutsevad kohandatud lepinguliste lisadega, mida Data Office vaatab läbi taotluse korral.
Konkreetsed erandid
Selgesõnaline nõusolek, lepingu täitmine ja elutähtsate huvide erandid on kättesaadavad, kuid kitsalt tõlgendatavad. Rutiinne tuginemine nõusolekule edastuste jaoks — mis GDPR all on sageli erandlikuks, mitte süstemaatiliseks peetud — käsitletakse sarnaselt siin.
Veebipõhiste kirjastajate jaoks on praktiline mõju see, et küpsiste nõusoleku kirje peab nüüd toetama ka edastuse vastutuse kohustust. Kui UAE külastaja aktsepteerib küpsiseid, mis suunavad nende andmed USA reklaamtehnoloogia müüjale, peab CMP suutma esitada ülekandeinstrumendi, mis volitab selle voo.
Sektoraalsed ja vabakauplemisvööndi kaalutlused
UAE privaatsusmaastik on kihiline. Föderaalne PDPL kohaldub laialdaselt, kuid mitu vabakauplemisvööndit — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM) ja Dubai Healthcare City — tegutsevad omaenda andmekaitse režiimide alusel, mis eelnesid PDPL-ile. DIFC Data Protection Law No. 5 of 2020 ja ADGM Data Protection Regulations 2021 on mõlemad GDPR-i joondatud ja kohalduvad vastavates tsoonides. Kirjastajad, kes tegutsevad mitmes tsoonis, peavad sobitama föderaalse PDPL-i kohaldatava vabakauplemisvööndi raamistikuga; enamikul juhtudel koonduvad sisulised standardid, kuid järelevalvekanal erineb.
Mida Data Office on signaliseerinud
UAE Data Office on olnud tahtlik oma täitepositsioonis, eelistades suutlikkuse arendamist, sektori konsulteerimist ja kõrgetasemelisi juhtumeid suure mahuga trahvide režiimi asemel. Avalikes juhend-dokumentides on rõhutatud:
Bänneri kujundus
Data Office on joondunud EDPB-stiilis kriteeriumidega bänneri kujunduse osas, käsitledes puuduvaid tagasilükkamisnuppe, petlikku lingi stiilistamist ja eelnevalt märgitud ruute tavaliste defektidena, mis nõuavad parandamist. Ootus on koonduda Euroopa normidega.
Piiriüline läbipaistvus
Office on signaliseerinud, et rahvusvahelised edastused saavad eripärase fookuse, eriti kus isikuandmeid suunatakse jurisdiktsioonidesse, millel puudub määratud piisavus. Ülekandmehhanismi dokumenteerimist käsitletakse vastutuse nõudena, mitte vabatahtlikuna.
Araabiakeelne avalikustamine
Kuigi PDPL ei nõua araabia keelt, on Data Office märkinud, et avalikustamised peaksid olema kättesaadavad araabia keeles, kus publik on peamiselt araabiakeelne, nii juurdepääsetavuse kui ka tõendusliku eesmärgi tõttu.
Praktiline vastavuse kontrollnimekiri
Kuus konkreetset küsimust, millele vastata mis tahes küpsisebänneri puhul, mis teenindab UAE liiklust.
1. Jälgimisele eelnev aktiivne nõusolek
Kas mittevajalikud küpsised on skriptilaaduri tasemel blokeeritud, kuni külastaja teeb aktiivse toimingu? Bänneri eellaadimine juba käivitunud jälgijate kohal on iseenesest rikkumine.
2. Granuleeritud kategooriad
Kas bänner eraldab vajalikud, analüütika ja reklaamikategooriad sõltumatute lülititega? Koondatud aktsepteeri-kõik ilma granuleerimiseta on defekt.
3. Araabia keele kättesaadavus
Kas bänner tuvastab araabiakeelsed külastajad ja esitab vaikimisi araabia keeles, inglise keele vahetamisvõimalusega? Data Office on sõnaselgelt märkinud keele juurdepääsetavust.
4. Tagasivõtmise juurdepääs
Kas tagasivõtmise kontroll on püsiv ja kättesaadav igalt lehelt? Mitmesammulised seaded, mis on peidetud jaluse lingi taha, ei vasta standardile "sama lihtne tagasi võtta kui anda".
5. Piiriülese edastuse dokumenteerimine
Iga küpsise puhul, mis käivitab rahvusvahelise edastuse, kas ülekandemehhanism (piisavus, lepinguline kaitse, erand) on dokumenteeritud ja esitav taotluse korral?
6. Nõusoleku logimine
Kas süsteem registreerib iga nõusolekuotsuse ajatempli, bänneri versiooni, valiku ja külastaja jurisdiktsiooniga, et kirjastaja saaks Data Office päringule vastata tõenditega?
Kuhu PDPL piirkondlikus pildis paigutub
UAE PDPL on üks mitmest Pärsia Lahe piirkonna privaatsusraamistikust, mis on jõustunud viimaste aastate jooksul — Saudi Araabia PDPL, Bahreini isikuandmete kaitse seadus, Katari isikuandmete privaatsuse seadus ja Omaani isikuandmete kaitse seadus tegutsevad kõik kõrvuti sellega. Sisuline standard kogu piirkonnas koondub GDPR-i joondatud printsiipidele, kus riiklikud varieerumised on järelevalvearhitektuuris, ülekandmehhanismides ja sektoraalsetes erandsäfetes. Kirjastajatele, kes tegutsevad üle piirkonna, loob korra kõrgema standardi järgi — granuleeritud nõusolek, püsiv tagasivõtmine, dokumenteeritud edastused, araabia keele tugi, auditeerklass logimine — piirkondliku vastavuse sama CMP infrastruktuuri kaudu, mis käsitleb Euroopa vastavust. UAE on paljuski piirkondlik suunanäitaja: kuhu Data Office liigub, järgivad naabermäärused.