חוק הגנת המידע האישי של מצרים 151 משנת 2020 – מדריך ציות להסכמת עוגיות: ספר משחק 2026 למפרסמים

חוק הגנת המידע האישי המצרי מס' 151 משנת 2020 – המכונה בדרך כלל ה-PDPL המצרי – הותקן ב-15 ביולי 2020 ונכנס לתוקף ב-14 באוקטובר 2020. במשך רוב התקופה שחלפה מאז, היעדר תקנות ביצוע הביא לכך שהחוק נותר יותר הצהרת עקרונות מאשר מסגרת אכיפה. הדבר השתנה כאשר המרכז להגנת מידע אישי – הרגולטור שהוקם מכוח החוק, המחובר למשרד התקשורת וטכנולוגיית המידע – פרסם את המסגרת התפעולית שלו, דרישות הרישוי ואת תקנות הביצוע שהחוק הותיר להוצאה בהמשך. עד שנת 2026 המשטר פעיל במלואו, מסלול הרישוי לבקרי נתונים ולמעבדים פעיל, ומפרסמים הפועלים במצרים או המכוונים למצרים כפופים לתקן הסכמה מקומי הקרוב ל-GDPR יותר מכל מודל אזורי ישן יותר. ההשלכה על הסכמת העוגיות ישירה: באנר שעבד במצרים תחת המשטר הישן אינו מספיק עוד, ובאנר שמספק את ה-GDPR יספק את ה-PDPL רק כאשר האינטגרציה מביאה בחשבון את הנקודות שבהן שתי המסגרות מתפצלות.

מה שה-PDPL המצרי דורש בפועל

החוק חל על עיבוד מידע אישי של תושבי מצרים ללא קשר למיקום הבקר או המעבד, ועל בקרים ומעבדים המבוססים במצרים ללא קשר למיקום נושאי הנתונים. טווח חוץ-טריטוריאלי זה משקף את סעיף 3 ל-GDPR ומשמעותו שמפרסם שמרכז פעילותו מחוץ למצרים אך עם קוראים מצרים, התקנות אפליקציות או לקוחות משלמים נמצא בבירור בתחום ההחלה. מידע אישי מוגדר באופן רחב ככל מידע הנוגע לאדם טבעי מזוהה או ניתן לזיהוי; מידע אישי רגיש – כולל נתוני בריאות, ביומטריים, גנטיים, בריאות נפשית, פיננסיים, אמונות דתיות, דעות פוליטיות והרשעות פליליות – כפוף לסף הסכמה גבוה יותר ואמצעי הגנה נוספים.

החוק מבסס בסיסים חוקיים לעיבוד, רשימת זכויות סטנדרטית לנושאי נתונים – גישה, תיקון, מחיקה, הגבלה, התנגדות וניידות – מסגרת אחריות בקר-מעבד, חובות הודעה על פרצות, בקרות העברה חוצת גבולות ומשטר סנקציות מנהלי עם קנסות הנעים בין 100,000 EGP להפרות קלות ועד 5 מיליון EGP להפרות חמורות או חוזרות. סנקציות פליליות חלות על הקטגוריות החמורות ביותר, כולל העברה חוצת גבולות ללא רישיון ועיבוד נתונים רגישים ללא אישור.

כיצד ה-PDPL מטפל בהסכמת עוגיות באופן ספציפי

בניגוד ל-ePrivacy Directive של האיחוד האירופי, ה-PDPL אינו מכיל הוראה נפרדת בנושא עוגיות. עוגיות וטכנולוגיות אחסון וגישה אנלוגיות נכללות במסגרת ההסכמה הכללית: כל עיבוד מידע אישי המסתמך על הסכמה כבסיס המשפטי שלו חייב להתקבל על בסיס ביטוי מפורש, מרצון, ספציפי ומתועד של הסכמה מצד נושא הנתונים. המרכז להגנת מידע אישי, בהנחיותיו שהוצאו במהלך תחילת ההדרגתית של התקנות, אישר שתיבות מסומנות מראש, הסכמה משתמעת הנגזרת מגלישה מתמשכת ובאנרי הסכמה מקובצים אינם עומדים בתקן החוק. כך ממוקמת מצרים בבירור בקנה מידה אחד עם המגמה העולמית, ומשמעות הדבר שהעמדה המעשית שמפרסמים כבר שומרים עליה לתעבורת EEA היא נקודת המוצא הנכונה לתעבורה מצרית.

ההשפעה המעשית היא שעוגיות וכל טכנולוגיה אנלוגית שאינן הכרחיות בהחלט לאספקת השירות אסורות לאחר הגדרה לפני שהמשתמש הסכים באופן פעיל. עוגיות הכרחיות בהחלט – מזהי סשן, תוכן עגלת קניות, אסימוני אבטחה, עוגיות איזון עומסים – ניתן להגדיר ללא הסכמה על בסיס שהמשתמש ביקש באופן פעיל את השירות. כל השאר – אנליטיקה, פרסום, התאמה אישית, בדיקות A/B, הפעלה חוזרת של סשן וכל תגית של צד שלישי – דורש הסכמה מראש.

כיצד ה-PDPL שונה מה-GDPR בפועל

שלושה הבדלים חשובים ברובד האינטגרציה. ראשית, ה-PDPL דורש שהסכמה לעיבוד נתונים אישיים רגישים תתקבל בכתב או באמצעות שקילה אלקטרונית מתועדת שהבקר יכול להציג לפי בקשה – תקן ראייתי גבוה יותר מדרישת ההסכמה המפורשת של ה-GDPR. שנית, ה-PDPL מטיל משטר רישוי: בקרים ומעבדים חייבים להירשם במרכז להגנת מידע אישי, וקטגוריות מסוימות של עיבוד – כולל העברה חוצת גבולות ושיווק ישיר – דורשות רישיון תפעולי נפרד. שלישית, כללי העברה חוצת הגבולות של ה-PDPL דורשים הכרזת הלימות מאת המרכז, אמצעי הגנה חוזיים מאושרים, או הסכמה מפורשת של נושא הנתונים; העברות לתחומי שיפוט ללא הכרזות או אמצעי הגנה מוגבלות ללא קשר לעמדת הציות של המקבל עצמו.

כיצד נראה באנר עוגיות תואם תחת ה-PDPL

הדרישות הטכניות מתכנסות עם מה שכל CMP מודרני כבר מייצר, אך התיוג, התיעוד ויומן ההסכמה חייבים לשקף ייחוד מצרי. באנר השכבה הראשונה חייב להציג למשתמש בחירה אמיתית – קבל, דחה, נהל – שבה אפשרות הדחייה בולטת לפחות כמו אפשרות הקבלה. הסכמה מקובצת אסורה, ולכן השכבה השנייה חייבת לאפשר הצטרפות מרצון לפי קטגוריה המכסה לפחות אנליטיקה, פרסום וכל עיבוד התלוי בהעברה חוצת גבולות. הקטגוריות חייבות להיות מוגדרות כברירת מחדל ל-כבוי; הבאנר אסור שיטען תגיות עד שהמשתמש פעיל אותן באופן פעיל.

הודעת הפרטיות שמוצגת מהבאנר חייבת לזהות את הבקר, מספר רישיון ה-PDPL של הבקר אם ישים, קטגוריות המידע האישי שנאסף, הבסיס המשפטי לכל מטרת עיבוד, תקופת שמירת הנתונים, קטגוריות מקבלים כולל כל תת-מעבדים הממוקמים מחוץ למצרים, זכויות נושא הנתונים מכוח החוק ופרטי יצירת קשר של המרכז להגנת מידע אישי לתלונות. הודעה העומדת בתקן סעיף 13 ל-GDPR תחפוף במידה ניכרת, אך שורות הרישיון המצרי ויצירת הקשר עם המרכז חייבות להתווסף באופן מפורש.

דפוס האינטגרציה שעובר סקירת המרכז להגנת מידע אישי

למימוש ההתייחסות יש ארבעה חלקים נעים. הראשון הוא CMP התומך בהצטרפות מרצון לפי קטגוריה, כבויה כברירת מחדל, וחושף את בחירת המשתמש דרך מחרוזת הסכמה מובנית שהמפרסם יכול להתמיד בה. השני הוא שכבת טעינת תגיות – מנהל תגיות בצד השרת או שער מקורי ל-CMP – שמאכף בקפדנות מצב הסכמה לפני הגדרת כל עוגייה לא-חיונית. השלישי הוא יומן הסכמה, מאוחסן בצד השרת, המתעד עבור כל אירוע הסכמה את בחירת המשתמש לפי קטגוריה, חותמת הזמן, גרסת הבאנר ומזהה IP קצוץ או מגובב כך שהבקר יכול להפיק את הרשומה לפי בקשת המרכז. הרביעי הוא מסלול נסיגה לפחות קל כמו ההענקה המקורית – בדרך כלל קישור קבוע לפתיחה מחדש של הבאנר בכותרת התחתונה.

אימות, רישוי ועמדת ביקורת לשנת 2026

פריסה מצרית שניתן להגנה עליה ב-2026 חייבת לעבור ארבעה בדיקות טכניות. ראשית, סשן דפדפן נקי המוגש מכתובת IP מצרית חייב לייצר אפס עוגיות לא-חיוניות לפני שהבאנר הופעל. שנית, מסלול דחה-הכל חייב לתת אותה תוצאה כמו סשן ללא פעולה – ללא תגיות אנליטיקה, ללא תגיות פרסום, ללא סקריפטים להפעלה חוזרת של סשן. שלישית, זרימת קבל-הכל חייבת לייצר רק את התגיות שהמשתמש הסכים להן, ויומן ההסכמה חייב להכיל רשומה תואמת. רביעית, זרימת נסיגה חייבת לעצור מיד ירי תגיות נוסף, לפוג את העוגיות שהוגדרו במהלך הסשן עם הסכמה, ולהפעיל כל אות מחיקה או ביטול הצטרפות במורד הזרם שדורשים שותפי הקבלה.

מעבר לבדיקות הטכניות, עמדת הרישוי והביקורת היא מה שהופך פריסה לניתנת להגנה. בקרים המעבדים מידע אישי של תושבי מצרים מעל לספים שנקבעו על ידי תקנות הביצוע חייבים להיות רשומים במרכז להגנת מידע אישי, ורשומת הרישום – יחד עם יומן ההסכמה, הודעת הפרטיות, תוצאות הערכת השפעת הגנת הנתונים לעיבוד בסיכון גבוה יותר וכל אישורי העברה חוצת גבולות – מהווה את התיעוד שהמרכז עשוי לבקש במהלך סקירת ציות. CMP מוגדר כראוי עם יומן בצד השרת, שכבת טעינת תגיות שמאכפת מצב הסכמה, הודעת פרטיות הנוקבת בכל יעד העברה חוצת גבולות ומסמכי הרישוי בתיק – זהו מה שהופך את ה-PDPL המצרי מנעלם רגולטורי לחלק ניתן להגנה בעמדת ההסכמה של מפרסם באזור MENA.

← בdelays delays קרא הכל →