UAE PDPL कुकी सहमति गाइड: प्रकाशकों के लिए Federal Decree-Law 45 of 2021
संयुक्त अरब अमीरात ने 2021 के अंत में अपना व्यक्तिगत डेटा संरक्षण कानून पारित किया और अगले वर्ष इसे लागू किया। Federal Decree-Law 45 of 2021, जिसे PDPL के रूप में जाना जाता है, देश का पहला व्यापक संघीय गोपनीयता क़ानून है, और यह GDPR की संरचना से काफी कुछ उधार लेता है जबकि UAE के संघीय कानून और देश की डेटा स्थानीयकरण संबंधी विचारों के अनुसार प्रमुख प्रावधानों को अनुकूलित करता है। उन प्रकाशकों के लिए जो UAE में संचालित होते हैं या UAE ट्रैफिक को लक्षित करते हैं — एक बाजार जो क्षेत्रीय ई-कॉमर्स, फिनटेक, और Dubai और Abu Dhabi स्थित हाइपरस्केल मीडिया व्यवसायों की वृद्धि के साथ तेजी से विस्तारित हुआ है — PDPL ने कुकी सहमति को एक नरम अपेक्षा से संघीय अनुपालन दायित्व में बदल दिया। यह गाइड बताती है कि PDPL ऑनलाइन ट्रैकिंग को कैसे मानती है, UAE Data Office प्रवर्तन में कहाँ ध्यान केंद्रित कर रहा है, और कुकी बैनर डिज़ाइन और CMP कॉन्फ़िगरेशन के लिए व्यावहारिक निहितार्थ क्या हैं।
PDPL का कानूनी ढांचा
PDPL UAE के निवासियों के व्यक्तिगत डेटा के प्रसंस्करण पर लागू होता है, चाहे प्रसंस्करण UAE के भीतर या बाहर हो, और चाहे नियंत्रक या प्रोसेसर UAE में स्थापित हो या विदेश से संचालित हो। इसलिए क्षेत्रीय दायरा उसी तरह अतिरिक्त-क्षेत्रीय है जैसे GDPR — लंदन या सिंगापुर से संचालित एक प्रकाशक जो UAE के निवासियों के डेटा का प्रसंस्करण करता है, दायरे में है। पर्यवेक्षी प्राधिकरण UAE Data Office है, जिसे उसी विधायी पैकेज के तहत स्थापित किया गया है, जिसने प्रवर्तन में मापी हुई लेकिन तेजी से सक्रिय मुद्रा अपनाई है।
PDPL के मूल सिद्धांत किसी के लिए भी परिचित होंगे जिसने GDPR के साथ काम किया है: कानूनी आधार, उद्देश्य सीमाएं, डेटा न्यूनीकरण, सटीकता, भंडारण सीमाएं, अखंडता और गोपनीयता, और जवाबदेही। Article 4 के तहत कानूनी आधारों में सहमति, अनुबंध का प्रदर्शन, कानूनी दायित्व, महत्वपूर्ण हित, सार्वजनिक हित और वैध हित शामिल हैं, प्रत्येक अपने स्वयं के दायरे और शर्तों के साथ। ऑनलाइन ट्रैकिंग के लिए प्रासंगिक आधार सहमति है और, संकीर्ण परिस्थितियों में, वैध हित। पूर्व-स्थापित कुकीज़ जो सहमति के बिना व्यक्तिगत डेटा एकत्र करती हैं, GDPR के तहत जैसे होंगे उसी तरह उल्लंघन हैं।
PDPL के तहत व्यक्तिगत डेटा क्या माना जाता है
PDPL की व्यक्तिगत डेटा की परिभाषा व्यापक है और GDPR का बारीकी से अनुसरण करती है: किसी पहचाने गए या पहचाने जाने योग्य प्राकृतिक व्यक्ति से संबंधित कोई भी डेटा, जिसमें ऑनलाइन पहचानकर्ता शामिल हैं। कुकीज़ जो किसी डिवाइस को लगातार पहचानती हैं, अन्य डेटा के साथ संसाधित IP पते, विज्ञापन ID, और फिंगरप्रिंट-शैली के पहचानकर्ता सभी दायरे में आते हैं। Data Office के कार्यान्वयन मार्गदर्शन ने पुष्टि की है कि EU में व्यवहारिक और विज्ञापन कुकीज़ पर लागू विश्लेषण UAE में अनिवार्य रूप से उसी रूप में लागू होता है — जो अलग है वह प्रवर्तन वास्तुकला है, मूल मानक नहीं।
PDPL संवेदनशील व्यक्तिगत डेटा की एक श्रेणी को भी सख्त हैंडलिंग आवश्यकताओं के साथ परिभाषित करता है, जिसमें स्वास्थ्य जानकारी, आनुवंशिक और बायोमेट्रिक डेटा, धार्मिक विश्वास, आपराधिक रिकॉर्ड और समान श्रेणियां शामिल हैं। जो कुकीज़ इनमें से किसी भी डेटा को कैप्चर करती हैं, उन्हें स्पष्ट सहमति और अतिरिक्त सुरक्षा उपायों की आवश्यकता होती है।
PDPL के तहत कुकी सहमति
PDPL में EU की ePrivacy निर्देश की तरह कोई कुकी-विशिष्ट प्रावधान नहीं है। इसके बजाय, सहमति की आवश्यकता Article 6 से आती है, जो वैध सहमति के सामान्य मानक को निर्धारित करती है: यह विशिष्ट, अस्पष्ट, सूचित और स्वतंत्र रूप से दी गई होनी चाहिए, और डेटा विषय को सहमति उतनी ही आसानी से वापस लेने में सक्षम होना चाहिए जितनी आसानी से उसने दी। Data Office ने इस मानक की व्याख्या इस प्रकार की है:
- गैर-आवश्यक कुकीज़ फायर होने से पहले एक स्पष्ट सकारात्मक क्रिया। निरंतर ब्राउज़िंग, स्क्रॉलिंग, या निहित सहमति पर्याप्त नहीं हैं।
- दानेदार श्रेणी नियंत्रण जो सख्त रूप से आवश्यक कुकीज़ को एनालिटिक्स और विज्ञापन से अलग करते हैं, जिसमें आगंतुक कुछ को स्वीकार करने और अन्य को अस्वीकार करने में सक्षम होता है।
- एक स्पष्ट वापसी तंत्र उन किसी भी पृष्ठ से पहुंच योग्य जहां ट्रैकिंग सक्रिय है, तुरंत प्रभाव के साथ।
- सहमति निर्णय का दस्तावेज़ीकरण Article 5 के तहत जवाबदेही आवश्यकता को पूरा करने के लिए पर्याप्त।
व्यवहार में यह वही परिचालन मानक है जिसे एक प्रकाशक GDPR के लिए बनाएगा। एक बैनर जो EDPB Cookie Banner Taskforce मानदंडों को पास करता है, PDPL को संतुष्ट करेगा; जो उन्हें विफल करता है वह PDPL जांच के तहत भी विफल होगा।
सीमापार डेटा स्थानांतरण
PDPL की सबसे विशिष्ट विशेषताओं में से एक इसका सीमापार स्थानांतरण ढांचा है। PDPL Articles 22 and 23 उन शर्तों को निर्धारित करते हैं जिनके तहत व्यक्तिगत डेटा UAE के बाहर स्थानांतरित किया जा सकता है, GDPR के अध्याय V के समानांतर — लेकिन समान रूप से प्रतिबिंबित नहीं करते।
पर्याप्तता-शैली पदनाम
PDPL Data Office को पर्याप्त सुरक्षा प्रदान करने वाले देशों को नामित करने की अनुमति देता है। वर्तमान सूची यूरोपीय आयोग की तुलना में छोटी है और विकसित होने की उम्मीद है। जब तक कोई देश नामित नहीं हो जाता, अन्य कानूनी तंत्रों में से एक आवश्यक है।
मानक संविदात्मक व्यवस्थाएं
PDPL उपयुक्त संविदात्मक सुरक्षा उपायों द्वारा समर्थित स्थानांतरणों की अनुमति देता है, EU SCC के समान संरचना में। कई UAE नियंत्रक अनुकूलित संविदात्मक परिशिष्टों के साथ काम करते हैं जिनकी Data Office अनुरोध पर समीक्षा करता है।
विशिष्ट अपवर्जन
स्पष्ट सहमति, अनुबंध प्रदर्शन, और महत्वपूर्ण हित अपवर्जन उपलब्ध हैं लेकिन संकुचित रूप से व्याख्यायित हैं। स्थानांतरणों के लिए सहमति पर नियमित निर्भरता — जिसे GDPR के तहत अक्सर व्यवस्थित के बजाय असाधारण माना जाता है — यहाँ भी उसी तरह व्यवहार किया जाता है।
ऑनलाइन प्रकाशकों के लिए, व्यावहारिक प्रभाव यह है कि कुकी सहमति रिकॉर्ड को अब स्थानांतरण जवाबदेही दायित्व का भी समर्थन करना होगा। यदि UAE में एक आगंतुक ऐसी कुकीज़ स्वीकार करता है जो उनके डेटा को किसी US ad-tech विक्रेता को भेजती हैं, तो CMP को उस स्थानांतरण उपकरण को प्रस्तुत करने में सक्षम होना चाहिए जो उस प्रवाह को अधिकृत करता है।
क्षेत्रीय और मुक्त-क्षेत्र संबंधी विचार
UAE का गोपनीयता परिदृश्य स्तरित है। संघीय PDPL व्यापक रूप से लागू होता है, लेकिन कई मुक्त क्षेत्र — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM), और Dubai Healthcare City — अपने स्वयं के डेटा संरक्षण शासन संचालित करते हैं जो PDPL से पहले के हैं। DIFC Data Protection Law No. 5 of 2020 और ADGM Data Protection Regulations 2021 दोनों GDPR-aligned हैं और अपने-अपने क्षेत्रों में लागू होते हैं। कई क्षेत्रों में संचालित प्रकाशकों को संघीय PDPL को लागू मुक्त-क्षेत्र ढांचे के साथ सुलझाना होगा; अधिकांश मामलों में मूल मानक एकीकृत होते हैं लेकिन पर्यवेक्षी चैनल भिन्न होता है।
Data Office ने क्या संकेत दिया है
UAE Data Office अपनी प्रवर्तन मुद्रा में जानबूझकर रहा है, उच्च-मात्रा जुर्माना शासन के बजाय क्षमता-निर्माण, क्षेत्र परामर्श और उच्च-प्रोफ़ाइल मामलों को प्राथमिकता देता है। सार्वजनिक मार्गदर्शन दस्तावेजों ने जोर दिया है:
बैनर डिज़ाइन
Data Office ने बैनर डिज़ाइन पर EDPB-शैली मानदंडों के साथ तालमेल बिठाया है, लापता अस्वीकार बटन, भ्रामक लिंक स्टाइलिंग और पूर्व-टिक किए गए चेकबॉक्स को सुधार की आवश्यकता वाले सामान्य दोषों के रूप में मानता है। अपेक्षा यूरोपीय मानदंडों के साथ अभिसरण है।
सीमापार पारदर्शिता
कार्यालय ने संकेत दिया है कि अंतर्राष्ट्रीय स्थानांतरण विशेष फ़ोकस होंगे, विशेष रूप से जहाँ व्यक्तिगत डेटा को निर्दिष्ट पर्याप्तता के बिना न्यायक्षेत्रों में भेजा जाता है। स्थानांतरण तंत्र के दस्तावेज़ीकरण को एक जवाबदेही आवश्यकता के रूप में माना जाता है, वैकल्पिक नहीं।
अरबी-भाषा प्रकटीकरण
हालांकि PDPL अरबी को अनिवार्य नहीं करता, Data Office ने संकेत दिया है कि जहाँ दर्शक मुख्य रूप से अरबी-भाषी हैं, वहाँ प्रकटीकरण अरबी में उपलब्ध होने चाहिए, पहुंच और साक्ष्य प्रयोजनों दोनों के लिए।
एक व्यावहारिक अनुपालन चेकलिस्ट
UAE ट्रैफिक की सेवा करने वाले किसी भी कुकी बैनर के लिए उत्तर देने योग्य छह ठोस प्रश्न।
1. ट्रैकिंग से पहले सकारात्मक सहमति
क्या गैर-आवश्यक कुकीज़ स्क्रिप्ट-लोडर स्तर पर तब तक अवरुद्ध हैं जब तक आगंतुक कोई सकारात्मक क्रिया नहीं करता? पहले से फायर हो रहे ट्रैकर्स के ऊपर बैनर प्री-लोड करना per-se उल्लंघन है।
2. दानेदार श्रेणियां
क्या बैनर आवश्यक, एनालिटिक्स और विज्ञापन श्रेणियों को स्वतंत्र टॉगल के साथ अलग करता है? दानेदारता के बिना बंडल किया गया accept-all एक दोष है।
3. अरबी भाषा उपलब्धता
क्या बैनर अरबी-भाषी आगंतुकों का पता लगाता है और डिफ़ॉल्ट रूप से अरबी में प्रस्तुत करता है, अंग्रेजी एक स्विच करने योग्य विकल्प के रूप में? Data Office ने स्पष्ट रूप से भाषा पहुंच को चिह्नित किया है।
4. वापसी पहुंच
क्या वापसी नियंत्रण स्थायी और प्रत्येक पृष्ठ से पहुंच योग्य है? फुटर लिंक में दबी बहु-चरण सेटिंग्स "देने जितना आसान वापस लेना" मानक को पूरा करने में विफल होती हैं।
5. सीमापार स्थानांतरण दस्तावेज़ीकरण
प्रत्येक कुकी के लिए जो अंतर्राष्ट्रीय स्थानांतरण को ट्रिगर करती है, क्या स्थानांतरण तंत्र (पर्याप्तता, संविदात्मक सुरक्षा, अपवर्जन) दस्तावेज़ीकृत और अनुरोध पर प्रस्तुत करने योग्य है?
6. सहमति लॉगिंग
क्या सिस्टम प्रत्येक सहमति निर्णय को टाइमस्टैम्प, बैनर संस्करण, चुनाव और आगंतुक न्यायक्षेत्र के साथ रिकॉर्ड करता है ताकि प्रकाशक साक्ष्य के साथ Data Office की पूछताछ का उत्तर दे सके?
क्षेत्रीय तस्वीर में PDPL कहाँ फिट बैठता है
UAE PDPL खाड़ी के कई गोपनीयता ढांचों में से एक है जो पिछले कुछ वर्षों में लागू हुए हैं — सऊदी अरब का PDPL, बहरीन का व्यक्तिगत डेटा संरक्षण कानून, कतर का व्यक्तिगत डेटा गोपनीयता कानून, और ओमान का व्यक्तिगत डेटा संरक्षण कानून सभी इसके साथ संचालित होते हैं। पूरे क्षेत्र में मूल मानक GDPR-aligned सिद्धांतों पर अभिसरण कर रहे हैं, पर्यवेक्षी वास्तुकला, स्थानांतरण तंत्र और क्षेत्रीय छूटों में राष्ट्रीय भिन्नताओं के साथ। पूरे खाड़ी में संचालित प्रकाशकों के लिए, उच्च मानक के अनुसार एक बार निर्माण करना — दानेदार सहमति, स्थायी वापसी, दस्तावेज़ीकृत स्थानांतरण, अरबी भाषा समर्थन, ऑडिट-ग्रेड लॉगिंग — उसी CMP अवसंरचना के माध्यम से क्षेत्रीय अनुपालन संभालता है जो यूरोपीय अनुपालन संभालती है। UAE, कई मायनों में, क्षेत्रीय पथप्रदर्शक है: जहाँ Data Office जाता है, पड़ोसी नियामक अनुसरण करते हैं।