چارچوب حقوقی PDPL

PDPL بر پردازش داده‌های شخصی ساکنان UAE اعمال می‌شود، صرف‌نظر از اینکه پردازش در داخل UAE یا خارج از آن انجام شود، و صرف‌نظر از اینکه کنترل‌کننده یا پردازشگر در UAE مستقر باشد یا از خارج فعالیت کند. بنابراین حوزه سرزمینی به همان شیوه GDPR فراسرزمینی است — ناشری که از لندن یا سنگاپور فعالیت می‌کند و داده‌های ساکنان UAE را پردازش می‌کند، در حوزه شمول قرار دارد. مرجع نظارتی UAE Data Office است که بر اساس همان بسته تقنینی تأسیس شده و رویکرد سنجیده اما به‌تدریج فعال‌تری در اجرا اتخاذ کرده است.

اصول اساسی PDPL برای هر کسی که با GDPR کار کرده آشناست: مبنای قانونی، محدودیت هدف، به حداقل رساندن داده، دقت، محدودیت ذخیره‌سازی، یکپارچگی و محرمانگی، و پاسخگویی. مبانی قانونی تحت Article 4 شامل رضایت، اجرای قرارداد، تعهد قانونی، منافع حیاتی، منافع عمومی، و منافع مشروع می‌شود، هر کدام با حوزه و شرایط خود. برای ردیابی آنلاین، مبانی مرتبط رضایت و در شرایط محدود، منافع مشروع هستند. کوکی‌های از پیش نصب‌شده‌ای که بدون رضایت داده‌های شخصی جمع‌آوری می‌کنند، مانند GDPR نقض محسوب می‌شوند.

چه چیزی تحت PDPL داده شخصی محسوب می‌شود

تعریف داده‌های شخصی در PDPL گسترده است و به دقت GDPR را دنبال می‌کند: هر داده‌ای مربوط به یک شخص حقیقی شناسایی‌شده یا قابل شناسایی، از جمله شناسه‌های آنلاین. کوکی‌هایی که دستگاه را به‌طور مداوم شناسایی می‌کنند، آدرس‌های IP که همراه با سایر داده‌ها پردازش می‌شوند، شناسه‌های تبلیغاتی، و شناسه‌های مبتنی بر اثر انگشت همگی در حوزه شمول قرار دارند. راهنمای اجرایی Data Office تأیید کرده است که تحلیل اعمال‌شده بر کوکی‌های رفتاری و تبلیغاتی در EU اساساً به همان شکل در UAE نیز اعمال می‌شود — آنچه متفاوت است معماری اجرا است، نه استاندارد ماهوی.

PDPL همچنین یک دسته داده‌های شخصی حساس با الزامات رسیدگی سخت‌گیرانه‌تر تعریف می‌کند، که اطلاعات بهداشتی، داده‌های ژنتیکی و بیومتریک، باورهای مذهبی، سابقه کیفری و دسته‌بندی‌های مشابه را پوشش می‌دهد. کوکی‌هایی که هر یک از این داده‌ها را ضبط می‌کنند، به رضایت صریح و اقدامات حفاظتی اضافی نیاز دارند.

رضایت کوکی تحت PDPL

PDPL حاوی مفاد خاص کوکی به شیوه دستورالعمل ePrivacy اتحادیه اروپا نیست. در عوض، الزام رضایت از Article 6 ناشی می‌شود که استاندارد کلی رضایت معتبر را تعیین می‌کند: باید خاص، روشن، آگاهانه و آزادانه داده شده باشد، و موضوع داده باید بتواند رضایت را به همان آسانی که آن را داده پس بگیرد. Data Office این استاندارد را به گونه‌ای تفسیر کرده که مستلزم موارد زیر است:

• اقدام مثبت صریح قبل از فعال شدن کوکی‌های غیرضروری. ادامه مرور، اسکرول کردن، یا رضایت ضمنی کافی نیست.
• کنترل‌های دسته‌بندی دقیق که کوکی‌های کاملاً ضروری را از تحلیل و تبلیغات جدا می‌کند، با این امکان که بازدیدکننده برخی را بپذیرد و برخی دیگر را رد کند.
• مکانیزم پس‌گیری واضح که از هر صفحه‌ای که ردیابی فعال است قابل دسترسی باشد، و بلافاصله اعمال شود.
• مستندسازی تصمیم رضایت به اندازه‌ای که الزام پاسخگویی تحت Article 5 را برآورده کند.

در عمل این همان استاندارد عملیاتی است که یک ناشر برای GDPR می‌سازد. بنری که معیارهای EDPB Cookie Banner Taskforce را برآورده می‌کند، PDPL را نیز برآورده خواهد کرد؛ و بنری که در آن‌ها ناموفق است، تحت بررسی PDPL نیز ناموفق خواهد بود.

انتقال داده‌های فرامرزی

یکی از متمایزترین ویژگی‌های PDPL چارچوب انتقال فرامرزی آن است. PDPL Articles 22 and 23 شرایطی را که طبق آن‌ها داده‌های شخصی ممکن است خارج از UAE منتقل شود تعیین می‌کنند، ساختاریافته به شیوه‌ای که موازی با فصل V GDPR است — اما به‌طور یکسان آن را منعکس نمی‌کند.

تعیین‌های مشابه کفایت

PDPL به Data Office اجازه می‌دهد کشورهایی را به عنوان ارائه‌دهندگان حفاظت کافی تعیین کند. فهرست فعلی کوتاه‌تر از فهرست کمیسیون اروپایی است و انتظار می‌رود تکامل یابد. تا زمانی که کشوری تعیین نشده، یکی از مکانیزم‌های قانونی دیگر مورد نیاز است.

ترتیبات قراردادی استاندارد

PDPL انتقال‌های مبتنی بر اقدامات حفاظتی قراردادی مناسب را مجاز می‌داند، مشابه EU SCC در ساختار. بسیاری از کنترل‌کننده‌های UAE با ضمائم قراردادی سفارشی که Data Office در صورت درخواست بررسی می‌کند عمل می‌کنند.

استثناهای خاص

رضایت صریح، اجرای قرارداد، و استثناهای منافع حیاتی در دسترس هستند اما به‌طور محدود تفسیر می‌شوند. اتکای معمول به رضایت برای انتقال‌ها — که تحت GDPR اغلب استثنایی تلقی می‌شود نه سیستماتیک — در اینجا نیز به‌طور مشابه رفتار می‌شود.

برای ناشران آنلاین، تأثیر عملی این است که سابقه رضایت کوکی اکنون باید یک تعهد پاسخگویی انتقال را نیز پشتیبانی کند. اگر بازدیدکننده‌ای در UAE کوکی‌هایی را بپذیرد که داده‌هایشان را به یک فروشنده فناوری تبلیغات آمریکایی هدایت می‌کند، CMP باید بتواند ابزار انتقالی را که آن جریان را مجاز می‌کند ارائه دهد.

ملاحظات بخشی و مناطق آزاد

چشم‌انداز حریم خصوصی UAE لایه‌لایه است. PDPL فدرال به طور گسترده اعمال می‌شود، اما چندین منطقه آزاد — Dubai International Financial Centre (DIFC)، Abu Dhabi Global Market (ADGM)، و شهر بهداشت Dubai — رژیم‌های حفاظت از داده‌های خود را دارند که قبل از PDPL وضع شده‌اند. DIFC Data Protection Law No. 5 of 2020 و ADGM Data Protection Regulations 2021 هر دو با GDPR همسو هستند و در مناطق مربوطه خود اعمال می‌شوند. ناشرانی که در چندین منطقه فعالیت می‌کنند باید PDPL فدرال را با چارچوب منطقه آزاد مربوطه تطبیق دهند؛ در بیشتر موارد استانداردهای ماهوی همگرا می‌شوند اما کانال نظارتی متفاوت است.

آنچه Data Office نشان داده است

UAE Data Office در موضع اجرایی خود عمدی بوده، ظرفیت‌سازی، مشاوره بخشی، و پرونده‌های پرمخاطب را بر رژیم جریمه‌های پرحجم ترجیح داده است. اسناد راهنمای عمومی بر موارد زیر تأکید کرده‌اند:

طراحی بنر

Data Office با معیارهای سبک EDPB در طراحی بنر همسو شده، دکمه‌های رد گم‌شده، استایل‌دهی فریبنده لینک، و چک‌باکس‌های از پیش تیک‌خورده را به عنوان نقص‌های رایج نیازمند اصلاح می‌شناسد. انتظار همگرایی با هنجارهای اروپایی است.

شفافیت فرامرزی

اداره اشاره کرده که انتقال‌های بین‌المللی توجه ویژه‌ای خواهند داشت، به‌خصوص جایی که داده‌های شخصی به حوزه‌های قضایی بدون کفایت تعیین‌شده هدایت می‌شوند. مستندسازی مکانیزم انتقال به عنوان یک الزام پاسخگویی تلقی می‌شود، نه اختیاری.

افشای به زبان عربی

در حالی که PDPL زبان عربی را اجباری نمی‌کند، Data Office نشان داده که افشاها باید به زبان عربی در جایی که مخاطبان عمدتاً عربی‌زبان هستند در دسترس باشند، هم برای دسترس‌پذیری و هم برای اهداف شواهدی.

فهرست بررسی انطباق عملی

شش سوال عینی برای پاسخ در هر بنر کوکی که ترافیک UAE را خدمت می‌دهد.

۱. رضایت مثبت قبل از ردیابی

آیا کوکی‌های غیرضروری در سطح بارگذار اسکریپت مسدود شده‌اند تا بازدیدکننده یک اقدام مثبت انجام دهد؟ بارگذاری بنر بر روی ردیاب‌هایی که قبلاً فعال شده‌اند، یک نقض ذاتی است.

۲. دسته‌بندی‌های دقیق

آیا بنر دسته‌های ضروری، تحلیلی، و تبلیغاتی را با کلیدهای مستقل جدا می‌کند؟ پذیرش همه بدون دانه‌بندی یک نقص است.

۳. در دسترس بودن زبان عربی

آیا بنر بازدیدکنندگان عربی‌زبان را شناسایی می‌کند و به‌طور پیش‌فرض به عربی نمایش می‌دهد، با انگلیسی به عنوان جایگزین قابل تغییر؟ Data Office صریحاً دسترس‌پذیری زبانی را مطرح کرده است.

۴. دسترسی به پس‌گیری

آیا کنترل پس‌گیری دائمی و از هر صفحه‌ای قابل دسترسی است؟ تنظیماتی که در یک لینک فوتر پنهان شده‌اند، استاندارد "به همان آسانی پس گرفتن" را برآورده نمی‌کنند.

۵. مستندسازی انتقال فرامرزی

برای هر کوکی که یک انتقال بین‌المللی را فعال می‌کند، آیا مکانیزم انتقال (کفایت، اقدام حفاظتی قراردادی، استثنا) مستند شده و در صورت درخواست قابل ارائه است؟

۶. ثبت رضایت

آیا سیستم هر تصمیم رضایت را با مهر زمانی، نسخه بنر، انتخاب، و حوزه قضایی بازدیدکننده ثبت می‌کند تا ناشر بتواند به یک استعلام Data Office با مدرک پاسخ دهد؟

جایگاه PDPL در تصویر منطقه‌ای

UAE PDPL یکی از چندین چارچوب حریم خصوصی خلیج فارس است که در سال‌های اخیر لازم‌الاجرا شده — PDPL عربستان سعودی، قانون حفاظت از داده‌های شخصی بحرین، قانون حریم خصوصی داده‌های شخصی قطر، و قانون حفاظت از داده‌های شخصی عمان همگی در کنار آن عمل می‌کنند. استانداردهای ماهوی در سراسر منطقه بر اصول همسو با GDPR همگرا می‌شوند، با تنوعات ملی در معماری نظارتی، مکانیزم‌های انتقال، و معافیت‌های بخشی. برای ناشرانی که در سراسر خلیج فعالیت می‌کنند، ساختن یک‌باره بر اساس استاندارد بالاتر — رضایت دقیق، پس‌گیری دائمی، انتقال‌های مستند، پشتیبانی زبان عربی، ثبت در سطح حسابرسی — انطباق منطقه‌ای را از طریق همان زیرساخت CMP که انطباق اروپایی را مدیریت می‌کند فراهم می‌کند. UAE در بسیاری از جهات پیشگام منطقه‌ای است: جایی که Data Office حرکت می‌کند، تنظیم‌کننده‌های همسایه دنبال می‌کنند.