UAE PDPL -evästeiden suostumusopas: Federal Decree-Law 45 of 2021 julkaisijoille
Arabiemiirikunnat hyväksyi henkilötietojen suojalakinsä vuoden 2021 lopulla ja saattoi sen voimaan seuraavana vuonna. Federal Decree-Law 45 of 2021, joka tunnetaan nimellä PDPL, on maan ensimmäinen kattava liittovaltion yksityisyyslaki, ja se lainaa paljon GDPR:n rakenteesta mukauttaen samalla keskeiset säännökset UAE:n liittovaltion lakiin ja maan datan lokalisointivaatimuksiin. Julkaisijoille, jotka toimivat UAE:ssa tai kohdentavat UAE-liikennettä — markkinat, jotka ovat laajentuneet voimakkaasti alueellisen verkkokaupan, fintechin sekä Dubai- ja Abu Dhabi-pohjaisten hyperscale-mediayritysten kasvun myötä — PDPL muutti evästeiden suostumuksen pehmeästä odotuksesta liittovaltion noudattamisvelvoitteeksi. Tämä opas käy läpi, miten PDPL käsittelee verkkoseurantaa, mihin UAE Data Office keskittyy valvonnassaan, ja mitä käytännön vaikutuksia on evästebannerin suunnittelulle ja CMP-konfiguroinnille.
PDPL:n oikeudellinen kehys
PDPL:a sovelletaan UAE:n asukkaiden henkilötietojen käsittelyyn riippumatta siitä, tapahtuuko käsittely UAE:ssa vai sen ulkopuolella, ja riippumatta siitä, onko rekisterinpitäjä tai käsittelijä sijoittautunut UAE:hen vai toimii ulkomailta. Alueellinen soveltamisala on siten ekstraterritoriaalinen samoin kuin GDPR — Lontoosta tai Singaporesta toimiva julkaisija, joka käsittelee UAE:n asukkaiden tietoja, kuuluu soveltamisalaan. Valvontaviranomainen on UAE Data Office, joka perustettiin saman lainsäädäntöpaketin nojalla ja on omaksunut mitatun mutta yhä aktiivisemman valvontaotteen.
PDPL:n ydinkäsitteet ovat tuttuja kaikille, jotka ovat työskennelleet GDPR:n parissa: oikeusperuste, käyttötarkoituksen rajoittaminen, tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen, eheys ja luottamuksellisuus sekä osoitusvelvollisuus. Article 4:n mukaiset oikeusperusteet sisältävät suostumuksen, sopimuksen täytäntöönpanon, lakisääteisen velvoitteen, elintärkeät edut, yleisen edun ja oikeutetut edut, kullakin omat soveltamisalansa ja ehtonsa. Verkkoseurannan kannalta olennaiset perusteet ovat suostumus ja kapeissa tilanteissa oikeutettu etu. Valmiiksi asennetut evästeet, jotka keräävät henkilötietoja ilman suostumusta, ovat rikkomus samoin kuin GDPR:n nojalla.
Mikä katsotaan henkilötiedoksi PDPL:n nojalla
PDPL:n henkilötiedon määritelmä on laaja ja seuraa tarkasti GDPR:ää: kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot, mukaan lukien verkkotunnisteet. Evästeet, jotka tunnistavat laitteen pysyvästi, muiden tietojen yhteydessä käsitellyt IP-osoitteet, mainontaan liittyvät tunnisteet ja sormenjälkityyppiset tunnisteet kuuluvat kaikki soveltamisalaan. Data Officen täytäntöönpanoohjeistus on vahvistanut, että EU:ssa käyttäytymis- ja mainosevästeisiin sovellettava analyysi pätee olennaisesti samassa muodossa myös UAE:ssa — eroa on täytäntöönpanoarkkitehtuurissa, ei aineellisessa standardissa.
PDPL määrittelee myös arkaluonteisten henkilötietojen luokan tiukempine käsittelyvaatimuksineen, joka kattaa terveystiedot, geneettiset ja biometriset tiedot, uskonnolliset vakaumukset, rikosrekisterin ja vastaavat luokat. Evästeet, jotka keräävät mitä tahansa näistä tiedoista, edellyttävät nimenomaista suostumusta ja lisäsuojatoimia.
Evästeiden suostumus PDPL:n nojalla
PDPL ei sisällä evästekohtaista säännöstä samaan tapaan kuin EU:n ePrivacy-direktiivi. Sen sijaan suostumusvaatimus tulee Article 6:sta, joka asettaa pätevän suostumuksen yleisen standardin: sen on oltava erityinen, yksiselitteinen, tietoinen ja vapaaehtoisesti annettu, ja rekisteröidyn on voitava peruuttaa suostumus yhtä helposti kuin se on annettu. Data Office on tulkinnut tämän standardin edellyttävän:
- Nimenomaista myönteistä toimintaa ennen kuin ei-välttämättömät evästeet käynnistyvät. Selauksen jatkaminen, vierittäminen tai epäsuora suostumus eivät riitä.
- Tarkkoja luokkakontrolleja, jotka erottavat välttämättömät evästeet analytiikasta ja mainonnasta, jolloin kävijä voi hyväksyä joitakin ja hylätä toiset.
- Selkeän peruuttamismekanismin, joka on tavoitettavissa jokaiselta sivulta, jolla seuranta on aktiivinen, ja joka tulee voimaan välittömästi.
- Suostumuspäätöksen dokumentoinnin, joka on riittävä Article 5:n mukaisen osoitusvelvollisuusvaatimuksen täyttämiseksi.
Käytännössä tämä on sama toiminnallinen standardi, jonka julkaisija rakentaisi GDPR:ää varten. Banneri, joka täyttää EDPB:n Cookie Banner Taskforce -kriteerit, täyttää myös PDPL:n; sellainen, joka ei täytä niitä, ei läpäise myöskään PDPL-tarkastelua.
Rajat ylittävät tiedonsiirrot
Yksi PDPL:n erottuvimmista piirteistä on sen rajat ylittävää tiedonsiirtoa koskeva kehys. PDPL Articles 22 and 23 asettavat edellytykset, joiden perusteella henkilötietoja voidaan siirtää UAE:n ulkopuolelle, rakenteeltaan GDPR:n V luvun linjoja myötäilevänä — mutta ei identtisenä.
Riittävyystyyppiset nimeämiset
PDPL antaa Data Officelle mahdollisuuden nimetä maat riittävää suojaa tarjoaviksi. Nykyinen lista on lyhyempi kuin Euroopan komission lista ja sen odotetaan kehittyvän. Kunnes maa on nimetty, tarvitaan joku muista lainmukaisista mekanismeista.
Vakiosopimusjärjestelyt
PDPL sallii siirrot, joita tukevat asianmukaiset sopimussuojatoimet, rakenteeltaan samankaltaiset kuin EU:n SCC:t. Monet UAE:n rekisterinpitäjät toimivat räätälöidyillä sopimuslisäykillä, joita Data Office tarkastelee pyynnöstä.
Erityiset poikkeukset
Nimenomainen suostumus, sopimuksen täytäntöönpano ja elintärkeiden etujen poikkeukset ovat käytettävissä, mutta niitä tulkitaan suppeasti. Rutiininomaista tukeutumista suostumukseen siirtojen perusteena — mitä GDPR:n nojalla pidetään usein poikkeuksellisena eikä systemaattisena — kohdellaan vastaavasti tässä.
Verkkojulkaisijoille käytännön vaikutus on, että evästeiden suostumusrekisterin on nyt tuettava myös siirron vastuuvelvollisuusvelvoitetta. Jos UAE:ssa oleva kävijä hyväksyy evästeet, jotka reitittävät heidän tietonsa yhdysvaltalaiselle mainosteknologiatoimittajalle, CMP:n on pystyttävä esittämään siirtoinstrumentti, joka oikeuttaa kyseisen tietovirran.
Toimiala- ja vapaa-aluekohtaiset näkökohdat
UAE:n yksityisyysmaisema on kerrostunut. Liittovaltion PDPL:a sovelletaan laajasti, mutta useilla vapaa-alueilla — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM) ja Dubai Healthcare City — on omat tietosuojasääntelynsä, jotka ovat peräisin ajalta ennen PDPL:ää. DIFC Data Protection Law No. 5 of 2020 ja ADGM Data Protection Regulations 2021 ovat molemmat GDPR:n mukaisia ja soveltuvat omilla alueillaan. Julkaisijoiden, jotka toimivat useilla alueilla, on sovitettava liittovaltion PDPL sovellettavan vapaa-alueen kehykseen; useimmissa tapauksissa aineelliset standardit yhtyvät, mutta valvontakanava on erilainen.
Mitä Data Office on viestinyt
UAE Data Office on ollut harkittu valvontaotteessaan suosien kapasiteetin rakentamista, toimialakohtaista kuulemista ja korkean profiilin tapauksia suuren volyymin sakkojen sijasta. Julkiset ohjeistusasiakirjat ovat korostaneet:
Bannerin suunnittelu
Data Office on linjautunut EDPB-tyylisten kriteerien kanssa bannerin suunnittelussa, käsitellen puuttuvia hylkäyspainikkeita, harhaanjohtavaa linkkityylistystä ja valmiiksi valittuja valintaruutuja yleisinä korjaamista vaativina puutteina. Odotuksena on lähentyminen eurooppalaisten normien kanssa.
Rajat ylittävä läpinäkyvyys
Toimisto on viestinyt, että kansainvälisiin siirtoihin kohdistuu erityinen tarkastelu etenkin silloin, kun henkilötietoja reititetään lainkäyttöalueille, joille ei ole myönnetty riittävyysmääritystä. Siirtomekanismin dokumentointi käsitellään vastuuvelvollisuusvaatimuksena, ei vapaaehtoisena.
Arabinkielinen tiedottaminen
Vaikka PDPL ei vaadi arabiaa, Data Office on ilmoittanut, että tiedotteiden tulisi olla saatavilla arabiaksi silloin, kun yleisö on ensisijaisesti arabinkielinen, sekä saavutettavuuden että todistamisen vuoksi.
Käytännön noudattamisen tarkistuslista
Kuusi konkreettista kysymystä, joihin vastata minkä tahansa UAE-liikennettä palvelevan evästebannerin osalta.
1. Myönteinen suostumus ennen seurantaa
Onko ei-välttämättömät evästeet estetty skriptilataurin tasolla, kunnes kävijä tekee myönteisen toimenpiteen? Bannerin lataaminen jo käynnistyneiden seurantapiksilien päälle on sinänsä rikkomus.
2. Tarkat luokat
Erottaako banneri välttämättömät, analytiikka- ja mainontaevästeet itsenäisillä vaihtimilla? Niputtaminen hyväksy-kaikki ilman tarkkuutta on puute.
3. Arabinkielinen saatavuus
Tunnistaako banneri arabinkieliset kävijät ja esittääkö se oletuksena arabiaksi, englanti vaihdettavana vaihtoehtona? Data Office on nimenomaisesti nostanut esiin kielellisen saavutettavuuden.
4. Peruutuksen saatavuus
Onko peruutussäätöön pääsy pysyvää ja kaikilta sivuilta saavutettavissa? Alatunnisteen linkin taakse haudatut monivaiheiset asetukset eivät täytä "yhtä helppoa peruuttaa kuin antaa" -standardia.
5. Rajat ylittävän siirron dokumentointi
Onko jokaisen kansainvälisen siirron käynnistävän evästeen kohdalla siirtomekanismi (riittävyys, sopimussuojatoimenpide, poikkeus) dokumentoitu ja esitettävissä pyynnöstä?
6. Suostumuslokitus
Kirjaako järjestelmä jokaisen suostumuspäätöksen aikaleimalla, bannerin versiolla, valinnalla ja kävijän lainkäyttöalueella, jotta julkaisija voi vastata Data Officen tiedusteluun todistein?
PDPL:n paikka alueellisessa kuvassa
UAE PDPL on yksi useista Persianlahden alueen yksityisyyskehyksistä, jotka ovat tulleet voimaan viime vuosina — Saudi-Arabian PDPL, Bahrainin henkilötietosuojalaki, Qatarin henkilötietojen yksityisyyslaki ja Omanin henkilötietosuojalaki toimivat kaikki sen rinnalla. Aineelliset standardit koko alueella lähentyvät GDPR:n mukaisia periaatteita, kansallisten vaihtelujen ollessa valvonta-arkkitehtuurissa, siirtomekanismeissa ja toimialapoikkeuksissa. Koko Persianlahden alueella toimiville julkaisijoille kerran korkeamman standardin mukaan rakentaminen — tarkka suostumus, pysyvä peruuttaminen, dokumentoidut siirrot, arabiankielinen tuki, tarkastustason lokitus — hoitaa alueellisen noudattamisen saman CMP-infrastruktuurin kautta, jolla hoidetaan eurooppalainen noudattaminen. UAE on monessa suhteessa alueellinen edelläkävijä: minne Data Office liikkuu, sinne naapuriviranomaiset seuraavat.