מדריך הסכמת עוגיות UAE PDPL: Federal Decree-Law 45 of 2021 למפרסמים
איחוד האמירויות הערביות העביר את חוק הגנת המידע האישי שלו בסוף 2021 והעמיד אותו בתוקף בשנה שלאחר מכן. Federal Decree-Law 45 of 2021, המוכר בשם PDPL, הוא החוק הפדרלי הכולל הראשון לפרטיות במדינה, והוא שואל רבות ממבנה ה-GDPR תוך כדי התאמת הוראות מפתח לחוק הפדרלי של UAE ולשיקולי לוקליזציה של נתונים של המדינה. עבור מפרסמים הפועלים ב-UAE או מכוונים לתנועה מ-UAE — שוק שהתרחב בחדות עם צמיחת המסחר האלקטרוני האזורי, הפינטק, ועסקי המדיה בהיפר-סקייל שמובסים ב-Dubai וב-Abu Dhabi — ה-PDPL הפך את הסכמת העוגיות מציפייה רכה לחובת ציות פדרלית. מדריך זה עובר על אופן הטיפול של PDPL במעקב מקוון, היכן UAE Data Office מתמקד באכיפה, ומהן ההשלכות המעשיות לעיצוב באנר עוגיות ותצורת CMP.
המסגרת המשפטית של PDPL
ה-PDPL חל על עיבוד נתונים אישיים של תושבי UAE, בין אם העיבוד מתרחש בתוך UAE או מחוצה לו, ובין אם הבקר או המעבד מאוגד ב-UAE או פועל מחו"ל. ההיקף הטריטוריאלי הוא אפוא חוץ-טריטוריאלי באותו אופן שבו ה-GDPR — מפרסם הפועל מלונדון או מסינגפור ומעבד נתונים על תושבי UAE נכלל בהיקף. הרשות המפקחת היא UAE Data Office, שהוקמה במסגרת אותה חבילת חקיקה, ואימצה עמדה מדודה אך פעילה יותר ויותר באכיפה.
עקרונות הליבה של PDPL יהיו מוכרים לכל מי שעבד עם GDPR: בסיס משפטי, הגבלת מטרה, מינימיזציה של נתונים, דיוק, הגבלת אחסון, שלמות וסודיות, ואחריות. הבסיסים המשפטיים לפי Article 4 כוללים הסכמה, ביצוע חוזה, חובה חוקית, אינטרסים חיוניים, אינטרס ציבורי ואינטרסים לגיטימיים, כל אחד עם היקפו ותנאיו שלו. עבור מעקב מקוון הבסיסים הרלוונטיים הם הסכמה, ובנסיבות צרות, אינטרס לגיטימי. עוגיות מותקנות מראש שאוספות נתונים אישיים ללא הסכמה מהוות הפרה באותו אופן כפי שהיו תחת GDPR.
מה נחשב נתון אישי תחת PDPL
הגדרת הנתונים האישיים של PDPL היא רחבה ועוקבת מקרוב אחרי GDPR: כל נתון הנוגע לאדם פיזי מזוהה או ניתן לזיהוי, כולל מזהים מקוונים. עוגיות שמזהות באופן מתמיד מכשיר, כתובות IP המעובדות יחד עם נתונים אחרים, מזהי פרסום ומזהים בסגנון טביעת אצבע — כולם בהיקף. הנחיית היישום של Data Office אישרה שהניתוח המיושם על עוגיות התנהגותיות ופרסומיות באיחוד האירופי חל למעשה באותה צורה ב-UAE — מה שנבדל הוא ארכיטקטורת האכיפה, לא הסטנדרט המהותי.
ה-PDPL מגדיר גם קטגוריה של נתונים אישיים רגישים עם דרישות טיפול מחמירות יותר, המכסה מידע בריאותי, נתונים גנטיים וביומטריים, אמונה דתית, עבר פלילי וקטגוריות דומות. עוגיות שלוכדות כל אחד מנתונים אלה דורשות הסכמה מפורשת ואמצעי הגנה נוספים.
הסכמת עוגיות תחת PDPL
ה-PDPL אינו מכיל הוראה ספציפית לעוגיות בדרך שבה עושה זאת הנחיית ePrivacy של האיחוד האירופי. במקום זאת, דרישת ההסכמה נובעת מ-Article 6, הקובע את הסטנדרט הכללי להסכמה תקפה: היא חייבת להיות ספציפית, חד-משמעית, מושכלת וניתנת בחופשיות, ועל נושא הנתונים להיות מסוגל לחזור בו מהסכמתו בקלות כפי שנתנה. Data Office פירש סטנדרט זה כמחייב:
- פעולה חיובית מפורשת לפני הפעלת עוגיות שאינן חיוניות. גלישה מתמשכת, גלילה, או הסכמה משתמעת אינן מספיקות.
- בקרות קטגוריה גרנולריות המפרידות עוגיות הכרחיות לחלוטין מניתוח ומפרסום, כשהמבקר מסוגל לקבל חלק ולדחות אחרים.
- מנגנון חזרה ברור הנגיש מכל עמוד שבו מעקב פעיל, עם תוקף מיידי.
- תיעוד החלטת ההסכמה המספיק לעמוד בדרישת האחריות תחת Article 5.
בפועל זהו אותו סטנדרט תפעולי שמפרסם היה בונה עבור GDPR. באנר שעומד בקריטריוני EDPB Cookie Banner Taskforce יעמוד ב-PDPL; כזה שנכשל בהם יכשל גם תחת בדיקת PDPL.
העברות נתונים חוצות גבולות
אחת התכונות הבולטות ביותר של PDPL היא מסגרת ההעברה חוצת הגבולות שלו. PDPL Articles 22 and 23 מתווים את התנאים שבהם ניתן להעביר נתונים אישיים מחוץ ל-UAE, מובנים בקווים המקבילים — אך אינם מראים באופן זהה — את פרק ה-V של GDPR.
ייעודים מסוג הלימות
ה-PDPL מאפשר ל-Data Office לייעד מדינות כמספקות הגנה נאותה. הרשימה הנוכחית קצרה יותר מזו של הנציבות האירופית ומצופה שתתפתח. עד שמדינה תיוצד, נדרש אחד ממנגנוני המשפטי האחרים.
הסדרים חוזיים סטנדרטיים
ה-PDPL מתיר העברות הנתמכות בהגנות חוזיות מתאימות, הדומות ב-EU SCC במבנה. בקרי UAE רבים פועלים עם תוספות חוזיות מותאמות אישית ש-Data Office סוקר לפי בקשה.
פטורים ספציפיים
הסכמה מפורשת, ביצוע חוזה ופטורי אינטרסים חיוניים זמינים אך מפורשים בצמצום. הסתמכות שגרתית על הסכמה להעברות — שתחת GDPR נחשבת לעיתים כיוצאת דופן ולא שיטתית — מטופלת באופן דומה כאן.
עבור מפרסמים מקוונים, ההשפעה המעשית היא שרשומת הסכמת העוגיות כעת חייבת לתמוך גם בחובת אחריות ההעברה. אם מבקר ב-UAE מקבל עוגיות שמנתבות את הנתונים שלהם לספק ad-tech אמריקאי, ה-CMP צריך להיות מסוגל להציג את מכשיר ההעברה המאשר את זרימה זו.
שיקולים ענפיים ושל אזורים חופשיים
נוף הפרטיות של UAE הוא בשכבות. ה-PDPL הפדרלי חל באופן רחב, אך מספר אזורים חופשיים — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM), ו-Dubai Healthcare City — מפעילים משטרי הגנת נתונים משלהם שקדמו ל-PDPL. DIFC Data Protection Law No. 5 of 2020 ו-ADGM Data Protection Regulations 2021 שניהם מיושרים עם GDPR וחלים בתוך אזוריהם בהתאמה. מפרסמים הפועלים במספר אזורים חייבים לפייס את ה-PDPL הפדרלי עם מסגרת האזור החופשי הרלוונטית; ברוב המקרים הסטנדרטים המהותיים מתכנסים אך ערוץ הפיקוח שונה.
מה ה-Data Office העביר כאות
UAE Data Office היה מכוון בעמדת האכיפה שלו, מעדיף בנייה של יכולת, התייעצות ענפית ומקרים בולטים על פני משטר קנסות בנפח גבוה. מסמכי הנחיה ציבוריים הדגישו:
עיצוב באנר
Data Office אימץ קריטריונים בסגנון EDPB לעיצוב באנר, ומטפל בכפתורי דחייה חסרים, עיצוב קישורים מטעה ותיבות סימון מסומנות מראש כליקויים נפוצים הדורשים תיקון. הציפייה היא התכנסות עם הנורמות האירופיות.
שקיפות חוצת גבולות
המשרד ציין שהעברות בינלאומיות יהיו מיקוד מיוחד, בעיקר כשנתונים אישיים מנותבים לתחומי שיפוט ללא הלימות מיועדת. תיעוד מנגנון ההעברה מטופל כדרישת אחריות, לא אופציונלי.
גילוי בשפה הערבית
בעוד ש-PDPL אינו מחייב ערבית, Data Office הצביע שגילויים צריכים להיות זמינים בערבית כשהקהל הוא בעיקר דוברי ערבית, הן לנגישות והן למטרות ראייתיות.
רשימת ביקורת פרקטית לציות
שש שאלות קונקרטיות לענות עליהן עבור כל באנר עוגיות המשרת תנועת UAE.
1. הסכמה חיובית לפני המעקב
האם עוגיות שאינן חיוניות חסומות ברמת מטעין הסקריפט עד שהמבקר מבצע פעולה חיובית? טעינה מוקדמת של הבאנר מעל גבי עוקבים שכבר פועלים היא הפרה כשלעצמה.
2. קטגוריות גרנולריות
האם הבאנר מפריד בין קטגוריות הכרחיות, ניתוח ופרסום, עם מתגים עצמאיים? קבלת-הכל חבילתית ללא גרנולריות היא פגם.
3. זמינות שפה ערבית
האם הבאנר מזהה מבקרים דוברי ערבית ומציג בערבית כברירת מחדל, עם אנגלית כחלופה ניתנת למעבר? Data Office ציין במפורש את נגישות השפה.
4. גישה לביטול
האם שליטת הביטול היא מתמשכת ונגישה מכל עמוד? הגדרות רב-שלביות הקבורות בקישור כותרת תחתונה נכשלות בסטנדרט "קל לבטל כמו לתת".
5. תיעוד העברה חוצת גבולות
לכל עוגייה שמפעילה העברה בינלאומית, האם מנגנון ההעברה (הלימות, הגנה חוזית, פטור) מתועד וניתן להציגו לפי בקשה?
6. רישום הסכמה
האם המערכת מתעדת כל החלטת הסכמה עם חותמת זמן, גרסת באנר, בחירה ותחום שיפוט של המבקר כדי שהמפרסם יוכל להשיב לבירור Data Office עם ראיות?
מקומו של PDPL בתמונה האזורית
UAE PDPL הוא אחד ממספר מסגרות פרטיות של מפרץ פרס שנכנסו לתוקף בשנים האחרונות — PDPL של ערב הסעודית, חוק הגנת הנתונים האישיים של בחריין, חוק הפרטיות של נתונים אישיים של קטר, וחוק הגנת הנתונים האישיים של עומאן כולם פועלים לצדו. הסטנדרטים המהותיים ברחבי האזור מתכנסים על עקרונות מיושרים עם GDPR, עם שינויים לאומיים בארכיטקטורת הפיקוח, במנגנוני ההעברה ובפטורים ענפיים. עבור מפרסמים הפועלים ברחבי המפרץ, בנייה פעם אחת לסטנדרט הגבוה יותר — הסכמה גרנולרית, ביטול מתמשך, העברות מתועדות, תמיכה בשפה ערבית, רישום ברמת ביקורת — מטפלת בציות האזורי דרך אותה תשתית CMP שמטפלת בציות האירופי. UAE הוא, במובנים רבים, הבארומטר האזורי: לאן ה-Data Office זז, רגולטורים שכנים נוטים לעקוב.