Egyptin henkilötietojen suojalaki 151 (2020) – evästeiden suostumusten vaatimustenmukaisuusopas: julkaisijoiden 2026 käsikirja

Egyptin henkilötietojen suojalaki nro 151 (2020) – johon viitataan yleensä Egyptin PDPL:nä – annettiin 15. heinäkuuta 2020 ja tuli voimaan 14. lokakuuta 2020. Suurimman osan siitä lähtien kulunutta aikaa täytäntöönpanoasetusten puuttuminen tarkoitti, että laki jäi enemmän periaatejulistukseksi kuin täytäntöönpanokelpoiseksi järjestelmäksi. Tämä muuttui, kun henkilötietojen suojakeskus – lain nojalla perustettu valvontaviranomainen, joka on liitetty viestintä- ja tietotekniikkaministeriöön – julkaisi toiminnallisen viitekehyksensä, lisensointivaatimuksensa ja täytäntöönpanoasetukset, jotka laki oli jättänyt myöhemmin annettaviksi. Vuoteen 2026 mennessä järjestelmä on täysin toiminnallinen, rekisterinpitäjien ja henkilötietojen käsittelijöiden lisensointireitti on aktiivinen, ja Egyptissä toimivat tai Egyptiin suuntaavat julkaisijat ovat kotimaisen suostumustandardin alaisia, joka on lähempänä GDPR:ää kuin mikään vanhempi alueellinen malli. Vaikutus evästeiden suostumukseen on suora: banneri, joka toimi Egyptissä vanhan järjestelmän alaisuudessa, ei ole enää riittävä, ja GDPR:n täyttävä banneri täyttää PDPL:n vain silloin, kun integraatio ottaa huomioon kohdat, joissa kaksi kehystä eroavat toisistaan.

Mitä Egyptin PDPL todella vaatii

Lakia sovelletaan egyptiläisten asukkaiden henkilötietojen käsittelyyn riippumatta siitä, missä rekisterinpitäjä tai käsittelijä on sijoittunut, sekä Egyptiin sijoittautuneisiin rekisterinpitäjiin ja käsittelijöihin riippumatta siitä, missä rekisteröidyt sijaitsevat. Tämä alueellinen ulottuvuus heijastaa GDPR:n 3 artiklaa ja tarkoittaa, että Egyptin ulkopuolella sijaitseva mutta egyptiläisiä lukijoita, sovelluksen asennuksia tai maksavia asiakkaita omaava julkaisija on selkeästi soveltamisalan piirissä. Henkilötiedot on määritelty laajasti kaikeksi tiedoksi, joka liittyy tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön; arkaluonteiset henkilötiedot – mukaan lukien terveys-, biometriset, geneettiset, mielenterveys-, talous-, uskonnollisia vakaumuksia, poliittisia mielipiteitä ja rikostuomioita koskevat tiedot – ovat korkeamman suostumuksen kynnyksen ja lisäsuojatoimien alaisia.

Laki vahvistaa käsittelyn oikeusperusteet, rekisteröityjen oikeuksien vakioluettelon – pääsy, oikaisu, poisto, rajoittaminen, vastustaminen ja siirrettävyys –, rekisterinpitäjä-käsittelijä-vastuuviitekehyksen, tietoturvaloukkauksilmoitusvelvoitteet, rajatylittävän tiedonsiirron kontrollit ja hallinnollisen sanktioinnin, jossa sakot vaihtelevat pienistä rikkomuksista 100 000 EGP:stä vakaviin tai toistuviin rikkomuksiin 5 miljoonaan EGP:hen. Rikosoikeudelliset seuraamukset koskevat vakavimpia luokkia, mukaan lukien luvaton rajatylittävä siirto ja arkaluonteisten tietojen käsittely ilman lupaa.

Miten PDPL käsittelee evästeiden suostumusta erityisesti

Toisin kuin EU:n ePrivacy-direktiivi, PDPL ei sisällä erillistä säännöstä evästeistä. Evästeet ja vastaavat tallennus- ja pääsyteknologiat kuuluvat yleisen suostumuksen kehyksen piiriin: kaikki henkilötietojen käsittely, joka perustuu suostumukseen oikeusperustana, on saatava rekisteröidyn nimenomaiseen, vapaaehtoiseen, erityiseen ja dokumentoituun suostumusilmaisuun perustuen. Henkilötietojen suojakeskus on ohjeistuksessaan, joka on annettu asetusten vaiheistettua voimaantuloa varten, vahvistanut, että ennalta ruksatut ruudut, jatkuvasta selailusta johdettu implisiittinen suostumus ja niputetut suostumusbanneri eivät täytä lain standardia. Tämä asettaa Egyptin selkeästi globaalin kehityksen linjalle ja tarkoittaa, että julkaisijoiden käytännön asema, jota he jo ylläpitävät EEA-liikenteen osalta, on oikea lähtökohta egyptiläiselle liikenteelle.

Käytännön vaikutus on se, että evästeitä ja kaikkia vastaavia teknologioita, jotka eivät ole ehdottoman välttämättömiä palvelun tarjoamiseksi, ei saa asettaa ennen kuin käyttäjä on aktiivisesti antanut suostumuksensa. Välttämättömät evästeet – istuntojen tunnisteet, ostoskorin sisältö, suojausmerkit, kuormantasausevästeeet – voidaan asettaa ilman suostumusta sillä perusteella, että käyttäjä on aktiivisesti pyytänyt palvelua. Kaikki muu – analytiikka, mainonta, personointi, A/B-testaus, istunnon uusintaesitys ja kaikki kolmannen osapuolen tunnisteet – vaatii ennakkosuostumuksen.

Miten PDPL eroaa GDPR:stä käytännössä

Kolme eroa on tärkeää integrointikerroksella. Ensinnäkin PDPL edellyttää, että suostumus arkaluonteisten henkilötietojen käsittelyyn saadaan kirjallisesti tai dokumentoidun sähköisen vastineen kautta, jonka rekisterinpitäjä voi toimittaa pyydettäessä – korkeampi todistusstandardi kuin GDPR:n nimenomaisen suostumuksen vaatimus. Toiseksi PDPL asettaa lisensointijärjestelmän: rekisterinpitäjien ja käsittelijöiden on rekisteröidyttävä henkilötietojen suojakeskukseen, ja tietyt käsittelyluokat – mukaan lukien rajatylittävä siirto ja suoramarkkinointi – vaativat erillisen toiminnallisen lisenssin. Kolmanneksi PDPL:n rajatylittävän tiedonsiirron säännöt edellyttävät joko keskuksen riittävyyden tunnustamista, hyväksyttyä sopimusperusteista suojatoimea tai rekisteröidyn nimenomaista suostumusta; siirrot lainkäyttöalueille ilman tunnustuksia tai suojatoimia ovat rajoitettuja riippumatta vastaanottajan omasta noudattamisasemasta.

Miltä PDPL:n mukainen evästebanneri näyttää

Tekniset vaatimukset vastaavat sitä, mitä jokainen moderni CMP jo tuottaa, mutta merkinnän, dokumentaation ja suostumuksen lokin on heijastettava Egyptin erityispiirteitä. Ensimmäisen kerroksen bannerin on esitettävä käyttäjälle todellinen valinta – hyväksy, hylkää, hallinnoi – jossa hylkäysvaihtoehto on vähintään yhtä näkyvä kuin hyväksymisvaihtoehto. Niputettu suostumus on kielletty, joten toisen kerroksen on mahdollistettava kategoriaperusteinen opt-in, joka kattaa vähintään analytiikan, mainonnan ja kaikki rajatylittävästä siirrosta riippuvaiset käsittelyt. Luokkien on oltava oletusarvoisesti pois päältä; banneri ei saa ladata tunnisteita ennen kuin käyttäjä on aktiivisesti kytkenyt ne päälle.

Bannerista esiin tulevan tietosuojakäytännön on tunnistettava rekisterinpitäjä, rekisterinpitäjän PDPL-lisenssimero tarvittaessa, kerättyjen henkilötietojen luokat, kunkin käsittelytarkoituksen oikeusperusta, tietojen säilytysaika, vastaanottajien luokat mukaan lukien Egyptin ulkopuolelle sijoittuneet alihankkijat, rekisteröityjen oikeudet lain nojalla ja henkilötietojen suojakeskuksen yhteystiedot valituksia varten. GDPR:n 13 artiklan standardin täyttävä ilmoitus kattaa suurelta osin samat asiat, mutta Egyptin lisenssi- ja keskuksen yhteystietorivit on lisättävä nimenomaisesti.

Integraatiomalli, joka läpäisee henkilötietojen suojakeskuksen tarkastuksen

Viiteimplementoinnissa on neljä liikkuvaa osaa. Ensimmäinen on CMP, joka tukee kategoriaperusteista, oletuksena pois päältä -opt-inia ja esittää käyttäjän valinnan jäsennellyn suostumuksen merkkijonona, jonka julkaisija voi tallentaa. Toinen on tunnisteiden lataamiskerros – palvelinpuolen tunnisteenhallinta tai CMP-natiivi portti – joka tiukasti noudattaa suostumuksen tilaa ennen minkään ei-välttämättömän evästeen asettamista. Kolmas on palvelinpuolella tallennettu suostumuksen loki, joka kirjaa jokaisesta suostumustapahtumasta käyttäjän valinnan per kategoria, aikaleiman, bannerin version ja lyhennetyn tai hash-koodatun IP-tunnisteen siten, että rekisterinpitäjä voi toimittaa tietueen keskuksen pyynnöstä. Neljäs on peruuttamispolku, joka on vähintään yhtä helppo kuin alkuperäinen myöntäminen – tyypillisesti pysyvä bannerin uudelleenavaamislinkkki alatunnisteessa.

Validointi, lisensointi ja tilintarkastusasema vuodelle 2026

Puolustettavan egyptiläisen käyttöönoton on vuonna 2026 läpäistävä neljä teknistä tarkastusta. Ensinnäkin egyptiläisestä IP-osoitteesta palveltu puhdas selainistunto on tuotettava nolla ei-välttämättömää evästettä ennen kuin banneri on aktivoitu. Toiseksi hylkää-kaikki-polun on johdettava samaan asemaan kuin toimimaton istunto – ei analytiikkatunnisteita, ei mainontatunnisteita, ei istunnon toistoskriptejä. Kolmanneksi hyväksy-kaikki-kulun on tuotettava vain ne tunnisteet, joille käyttäjä on antanut suostumuksensa, ja suostumuksen lokin on sisällettävä vastaava tietue. Neljänneksi peruuttamiskulun on välittömästi pysäytettävä muut tunnisteen käynnistykset, vanhennettava suostumusistunnon aikana asetetut evästeet ja käynnistettävä kaikki vastaanottajakumppaneiden vaatimat poisto- tai opt-out-signaalit.

Teknisten tarkastusten lisäksi lisensointi- ja tilintarkastusasema on se, mikä tekee käyttöönotosta puolustettavan. Rekisterinpitäjien, jotka käsittelevät egyptiläisten asukkaiden henkilötietoja täytäntöönpanoasetusten asettamien kynnysarvojen yläpuolella, on rekisteröidyttävä henkilötietojen suojakeskukseen, ja rekisteröintitietue – yhdessä suostumuksen lokin, tietosuojakäytännön, korkeamman riskin käsittelyn tietosuojavaatimusten arvioinnin tulosten ja rajatylittävien siirtolupakunnan kanssa – muodostaa dokumentaation, jota keskus saattaa pyytää vaatimustenmukaisuuden tarkastuksen yhteydessä. Oikein konfiguroitu CMP palvelinpuolen lokilla, tunnistelatauskerros, joka noudattaa suostumuksen tilaa, tietosuojakäytäntö, joka nimeää jokaisen rajatylittävän siirron kohteen, ja lisensointiasiakirjat tallessa – tämä on se, mikä muuttaa Egyptin PDPL:n sääntelyviranomaisen tuntemattomasta julkaisijan MENA-alueen suostumuksen puolustettavaksi osaksi.

← Blogi Lue kaikki →