מדריך ציות להסכמת עוגיות PDPL של ערב הסעודית למפרסמים ב-2026
חוק הגנת הנתונים האישיים (PDPL) של ערב הסעודית עבר מחוק כתוב למשטר מיושם במלואו במהלך שמונה-עשר החודשים שבין ספטמבר 2024 לתחילת 2026, ורשות הנתונים של המדינה — רשות הנתונים והבינה המלאכותית הסעודית (SDAIA) — השתמשה בחלון זה לפרסום תקנות יישום, כללי העברה חוצת גבולות ותוכנית ביקורת ציות הממומנת בדמי רישום הכוללת כיום כל מפרסם עם תנועה סעודית ניתנת למדידה. עבור אולפני משחקי מובייל, אתרי חדשות הממומנים מפרסום, מפעילי מסחר אלקטרוני, וכל פלטפורמה שקהל היעד שלה כולל תושבי הממלכה — ה-PDPL אינו עוד דרישה על הנייר שיושבת לצד ה-GDPR בתיק ציות. זהו מחויבות תפעולית עם קנסות אמיתיים, מכתבי ביקורת אמיתיים ותשתית אמיתית של מצב הסכמה שצריכה להיות מחוברת ל-CMP שלך. מדריך זה מנחה מפרסמים דרך מה שה-PDPL דורש בפועל ב-2026, כיצד הסכמת עוגיות ממפה על מסגרת SDAIA, מה כללי ההעברה החוצת-גבולות אומרים עבור AdSense ופרוגרמטיק, והצעדים המעשיים לשמירה על תנועת KSA מניבת הכנסות מבלי להפעיל את משטר הסנקציות החדש.
מה ה-PDPL הוא בפועל
ה-PDPL הוא חוק הפרטיות הראשון המקיף של ערב הסעודית. הוא הותקן בצו מלכותי M/19 ב-2021, תוקן במרץ 2023 כדי להתאימו יותר לתקן העולמי שנקבע על-ידי ה-GDPR ומשטרים דומים, ונכנס לתוקף מלא ב-14 בספטמבר 2024 לאחר תקופת חסד של שנה. החוק נמצא בתוך ערימת ממשל נתונים סעודית רחבה יותר הכוללת את תקנות ממשל הנתונים הלאומיות הזמניות, מסגרת רגולציה לענן ממוחשב וכללי חופש המידע של SDAIA — אך עבור מפרסמים, ה-PDPL הוא החלק המסדיר עוגיות, מעקב פרסומי, ניתוח נתונים וכל עיבוד נתונים אישיים אחר הקשור לאתר אינטרנט או אפליקציה.
תקנות היישום
ה-PDPL קצר. הפרטים נמצאים בשתי תקנות יישום שפרסמה SDAIA בספטמבר 2023 וזיקקה לאורך 2024 ו-2025: תקנות היישום (כלליות) ותקנות העברת נתונים אישיים (חוצות גבולות). יחד, הן מספקות למפרסמים תשובות קונקרטיות בנושא איכות הסכמה, שמירה, לוחות זמנים להתראה על הפרות ותנאים לשליחת נתוני תושבים סעודיים מחוץ לממלכה. כל מי שעדיין עובד רק מהטקסט של 2021 קורא מפה מיושנת.
לוח הזמנים לאכיפה שמפרסמים צריכים לדעת
SDAIA נתנה לארגונים עד ה-14 בספטמבר 2024 להגיע לציות מלא. גל ראשון של מכתבי ביקורת יצא בסוף 2024 לבקרים גדולים במימון, טלקומוניקציה ושירותי ממשלה. לאורך 2025 תוכנית הביקורת הורחבה לכלול מדיה הממומנת מפרסום, מסחר אלקטרוני וכל פלטפורמה המעבדת יותר מנפח מוגדר של נתוני תושבי ערב הסעודית. עד 2026 SDAIA איתתה כי מפרסמים קטנים ובינוניים נמצאים כעת בתחולה — במיוחד כל מפעיל שתוכן בערבית או הוצאות פרסום מצביעות על קהל סעודי מכוון.
מי שה-SDAIA רואה כבקר נתונים
ה-PDPL חל באופן חוץ-טריטוריאלי. אינך זקוק לישות סעודית, שרת סעודי או חשבון בנק סעודי כדי להיות בקר תחת החוק. אם האתר או האפליקציה שלך מעבדים נתונים אישיים של אנשים המתגוררים בממלכה, אתה בתחולה. עבור מפרסמים, הקרס מופעל על ידי זרימת הנתונים הרגילה של טכנולוגיית הפרסום: כתובות IP, מזהי מכשיר, מיילים עם hash, עוגיות התנהגותיות ומזהי המשתמש הזורמים דרך מכרזים פרוגרמטיים — כולם נחשבים נתונים אישיים כשהם קשורים לתושב סעודי.
דרישת נציג מקומי
בקרים זרים ללא נוכחות בממלכה חייבים למנות נציג מקומי הרשום ב-SDAIA. הנציג הוא נקודת קשר משפטית לבקשות נושאי נתונים ולהתכתבות עם הרגולטור. מפרסמים קטנים יותר מטפלים בכך לעיתים קרובות דרך חברת שירותי פרטיות במקום להתאגד מקומית — אך המינוי הוא חובה ברגע שחוצים את סף העיבוד הסעודי הרגיל.
תרחישי בקר משותף לטכנולוגיית פרסום
שרשרת האספקה שמניבה הכנסות מחריץ פרסומות פרוגרמטי — ה-CMP שלך, שרת הפרסום שלך, ה-SSP שאתה קורא אליהם, ה-DSP שמציעים, ספקי האימות ושותפי המדידה — יוצרת יחסי בקר משותף ונפרד תחת ה-PDPL בדיוק כפי שעושה תחת ה-GDPR. מפרסמים אינם יכולים להסיר מעצמם את אחריות ה-PDPL לספק. SDAIA מצפה שהמפרסם יוכיח שלכל שותף במורד הזרם יש בסיס חוקי משלו והתחייבויות חוזיות המתאימות למה שהמפרסם הבטיח בבאנר ההסכמה.
הסכמת עוגיות תחת תקנות היישום
ה-PDPL מכיר בהסכמה כאחת הבסיסים החוקיים לעיבוד נתונים אישיים, ותקנות היישום מפרטות כיצד נראית הסכמה תקפה. הסטנדרט גבוה — קרוב יותר ל-GDPR מאשר ל-CCPA — והוא מכסה עוגיות, פיקסלים, SDK, טביעת אצבע וכל טכנולוגיית מעקב אחרת שקוראת או כותבת נתונים למכשיר של משתמש.
מה נחשב להסכמה תקפה
ההסכמה חייבת להיות ניתנת בחופשיות, ספציפית, מושכלת ומפורשת. תיבות מסומנות מראש, חומות עוגיות שחוסמות תוכן אלא אם כן המשתמש מקבל, והודעות מעורפלות של "על ידי המשך גלישה" — כולן כושלות בסטנדרט. המשתמש חייב לנקוט בפעולה חיובית חד-משמעית — בדרך כלל לחיצה על כפתור קבלה — ופעולה זו חייבת להיות קשורה לתיאור ברור של מטרות העיבוד. הסכמה מרוכזת המאגדת ניתוח, פרסום ופרסונליזציה ל-כן-או-לא אחד — אסורה במפורש.
קטגוריות מטרה גרנולריות
ההנחיה של SDAIA מפרטת את קטגוריות המטרה שה-CMP של מפרסם צריך לחשוף: הכרחי בהחלט, פונקציונלי, ניתוח, פרסום, פרסונליזציה וכל עיבוד נתונים רגישים כגון הסקות בריאותיות או ביומטריות. כל קטגוריה זקוקה לכפתור מתג משלה, תיאור מטרה משלה ורשימת ספקים משלה. מסגרת IAB Europe TCF v2.3, המורחבת כראוי עם טקסט ספציפי ל-PDPL בערבית, היא הנתיב הנפוץ ביותר שמפרסמים משתמשים בו כדי לעמוד בדרישת הגרנולריות.
נסיגת הסכמה ומתן הסכמה מחדש
הזכות לנסיגת הסכמה חייבת להיות קלה באותה מידה כמו הזכות לתת אותה. אייקון ציפה של העדפות הסכמה, קישור בתחתית הדף, או לוח הגדרות בתוך האפליקציה — כולם מתאימים; אפשרות ביטול רישום בדוא"ל בלבד שקבורה אינה מתאימה. מפרסמים צריכים לתכנן מתן הסכמה מחדש תקופתי בשינויים מהותיים — שותף פרסום חדש, מטרת עוגייה חדשה, SDK חדש — ו-SDAIA מצפה שיומן הביקורת של ה-CMP יתעד כל אירוע מתן הסכמה מחדש עם חותמת זמן.
העברות חוצות גבולות ולוקליזציה של נתונים
תקנות העברת הנתונים האישיים הן החלק ב-PDPL שהכי עלול להכשיל מפרסמים, כי ברגע שכתובת ה-IP של משתמש סעודי נכנסת למכרז פרוגרמטי, היא הועברה בפועל לכל מקום שה-SSP וה-DSP פועלים בו. SDAIA אינה מתייחסת לכך כזרימה חופשית.
רשימת ההלימות וחוזים סטנדרטיים
בקר רשאי להעביר נתונים אישיים מחוץ לממלכה תחת אחד משלושה מנגנונים עיקריים: החלטת הלימות שאושרה על-ידי SDAIA עבור מדינת היעד, חוזה סטנדרטי שאושר על-ידי SDAIA, או מערכת כללים ארגוניים מחייבת להעברות בתוך הקבוצה. רשימת ההלימות נכון ל-2026 כוללת מספר קטן של שכנים ב-GCC ומספר תחומי שיפוט אירופיים, אך רוב יעדי טכנולוגיית הפרסום — כולל ארצות הברית — נמצאים מחוץ לה ודורשים חוזה סטנדרטי או סטייה.
הערכת השפעת העברת נתונים
עבור העברות בסיכון גבוה, SDAIA מחייבת הערכת השפעת העברת נתונים (DTIA) מתועדת לפני תחילת ההעברה. זהו המקביל הסעודי להערכת השפעת ההעברה של ה-EU לאחר Schrems II. מפרסמים צריכים לעבוד עם ה-CMP שלהם וספקי טכנולוגיית פרסום לאסוף DTIA תבניות המכסות את הזרימות הפרוגרמטיות החוזרות, ולרענן אותן בכל פעם שספק משנה מיקומי עיבוד.
צעדים מעשיים לציות עבור מפרסמים
תוכנית ה-PDPL מתחלקת לחמש משימות תפעוליות הממפות בצורה ברורה על ה-CMP הקיים של מפרסם וערימת הפרסומות. אין בהן שום דבר בלתי-מוכר לאחד שכבר יישם ציות ל-GDPR או ל-LGPD — ההבדל הוא בפרטי הטקסט הסעודי וכללי ההעברה הספציפיים.
רשימת ביצוע תצורת CMP
אשר שהבאנר של ההסכמה שלך מוצג בערבית למבקרי KSA ובאנגלית לכולם האחרים, שקטגוריות המטרה גרנולריות לחלוטין, שנתיב דחיית הכל הוא לחיצה אחת ומקביל חזותית לקבלת הכל, ושמחרוזת ההסכמה זורמת במורד הזרם דרך Google Consent Mode v2 או שילוב ה-TCF שלך. ודא שה-CMP שלך מתעד קבלת הסכמה ספציפית ל-PDPL עם חותמת זמן, גרסת המדיניות ומזהה המשתמש כך שתגובות לביקורת ניתן לאסוף בדקות ולא בימים.
יומני הסכמה ומסלול ביקורת
צוותי הביקורת של SDAIA מבקשים ראיות הסכמה בצורה מוכרת: מי הסכים, למה, מתי, עם איזו גרסת באנר ומה נאמר להם בזמן ההסכמה. תכנן שמירת יומנים אלה לפחות שנתיים ואחסן אותם בדרך שתשרוד שינויי ספקי CMP — ייצוא למחסן נתונים בבעלות הבקר הוא הדפוס הנקי ביותר.
תהליך עבודה לזכויות נושאי נתונים
ה-PDPL מעניק זכויות גישה, תיקון, מחיקה וניידות, עם לוחות זמנים לתגובה של שלושים יום. מפרסם עם תיבת דואר נכנס privacy@ אחת וללא תהליך עבודה של הנפקת כרטיסים יפספס את המועד האחרון לעיתים קרובות יותר ממה שיעמוד בו. הקם תהליך מתועד מקבלת בקשה ועד תשובה, אמן בעלים ממונה אחד ושלב את תהליך העבודה עם רשומות ההסכמה של ה-CMP ושרת הפרסום שלך כך שבקשות מחיקה מתפשטות במורד הזרם.
השורה התחתונה
ה-PDPL של ערב הסעודית ב-2026 אינו משטר מתון שמפרסמים יכולים לדחות לדרגה נמוכה מאחורי GDPR ו-CCPA. ל-SDAIA יש את המימון, יכולת הביקורת והגיבוי הפוליטי לאכוף אותו, וכללי ההעברה החוצות-גבולות בפרט יוצרים חיכוך אמיתי עם שרשרת האספקה הגלובלית של טכנולוגיית הפרסום שמפרסמים חייבים להנדס סביבה. הבשורה הטובה היא ש-PDPL לווה מספיק מ-GDPR כך שמפרסם עם עמדת ציות אירופאית בשלה כבר עשה את רוב הדרך. לוקליז את באנר ההסכמה שלך לערבית, שכב את טקסט המטרה הספציפי ל-PDPL על גבי ההגדרות הקיימות של ה-TCF שלך, תעד את מנגנוני ההעברה שלך, מנה נציג מקומי אם תנועת ה-KSA שלך מצדיקה זאת, וקהל ה-KSA שלך יישאר מניב הכנסות בעוד המפעילים שדחו את ה-PDPL כתרגיל על נייר מבלים את 2026 בקריאת מכתבי ביקורת.