Što PDPL zapravo jest

PDPL je prvi sveobuhvatni zakon o privatnosti Saudijske Arabije. Izdan je Kraljevskom uredbom M/19 2021. godine, izmijenjen u ožujku 2023. kako bi ga se bolje uskladilo s globalnim standardom koji su postavili GDPR i slični režimi, te je u cijelosti stupio na snagu 14. rujna 2024. nakon jednogodišnjeg prijelaznog razdoblja. Zakon se nalazi unutar šireg saudijskog sklopa upravljanja podacima koji uključuje Privremene propise o upravljanju nacionalnim podacima, Regulatorni okvir za računalstvo u oblaku i pravila slobode informiranja SDAIA-e — ali za izdavače, PDPL je onaj dio koji uređuje kolačiće, praćenje oglasa, analitiku i svaku drugu obradu osobnih podataka povezanu s web-mjestom ili aplikacijom.

Provedbeni propisi

PDPL je kratak. Detalji se nalaze u dva provedbena propisa koje je SDAIA objavila u rujnu 2023. i dorađivala kroz 2024. i 2025.: Provedbeni propisi (opći) i Propisi o prijenosu osobnih podataka (prekogranični). Zajedno daju izdavačima konkretne odgovore o kvaliteti pristanka, zadržavanju, rokovima obavijesti o kršenjima i uvjetima za slanje podataka saudijskih stanovnika izvan Kraljevstva. Tko još uvijek radi samo prema tekstu iz 2021. čita zastarjelu kartu.

Vremenski okvir provedbe koji izdavači trebaju znati

SDAIA je organizacijama dala rok do 14. rujna 2024. za postizanje pune usklađenosti. Prvi val revizijskih pisama otišao je krajem 2024. velikim voditeljima obrade u financijama, telekomunikacijama i državnim uslugama. Kroz 2025. program revizije proširio se kako bi uključio medije koji se financiraju oglasima, e-trgovinu i sve platforme koje obrađuju više od definiranog volumena podataka saudijskih stanovnika. Do 2026. SDAIA je naznačila da su mali i srednji izdavači sada u opsegu — posebno svaki operater čiji arabički sadržaj ili oglasna potrošnja upućuje na namjernu saudijsku publiku.

Koga SDAIA smatra voditeljem obrade podataka

PDPL se primjenjuje ekstrateritorijalnu. Ne trebate saudijski subjekt, saudijski poslužitelj ni saudijski bankovni račun da biste bili voditelj obrade prema zakonu. Ako vaše web-mjesto ili aplikacija obrađuje osobne podatke osoba koje žive u Kraljevstvu, nalazite se u opsegu. Za izdavače ova kuka aktivira se rutinskim tokom podataka u tehnologiji oglašavanja: IP adrese, ID uređaja, hashirani emailovi, bihevioralni kolačići i identifikatori korisnika koji teku kroz programatske aukcije — svi se računaju kao osobni podaci kada su vezani uz saudijskog stanovnika.

Zahtjev za lokalnim predstavnikom

Strani voditelji obrade bez prisutnosti u Kraljevstvu moraju imenovati lokalnog predstavnika registriranog kod SDAIA-e. Predstavnik je pravna kontaktna točka za zahtjeve ispitanika i prepisku s regulatorom. Manji izdavači to često rješavaju putem tvrtke za usluge privatnosti umjesto osnivanja lokalne tvrtke — ali imenovanje je obvezno kada prijeđete prag redovite saudijske obrade.

Scenariji zajedničkih voditelja obrade za reklamnu tehnologiju

Lanac opskrbe koji unovčava programatski oglasni prostor — vaš CMP, vaš poslužitelj oglasa, SSP-ovi koje pozivate, DSP-ovi koji daju ponude, pružatelji provjere i partneri za mjerenje — stvara odnose zajedničkih i solidarnih voditelja obrade prema PDPL-u, baš kao što to čini prema GDPR-u. Izdavači ne mogu prenijeti odgovornost prema PDPL-u na dobavljača. SDAIA očekuje od izdavača da dokaže da svaki nizvodni partner ima vlastitu zakonitu osnovu i ugovorne obveze koje odgovaraju onome što je izdavač obećao u banneru za pristanak.

Pristanak na kolačiće prema provedbenim propisima

PDPL prepoznaje pristanak kao jednu od zakonitih osnova za obradu osobnih podataka, a Provedbeni propisi objašnjavaju kako izgleda valjani pristanak. Standard je visok — bliže GDPR-u nego CCPA-i — i pokriva kolačiće, piksele, SDK-ove, fingerprinting i svaku drugu tehnologiju praćenja koja čita ili zapisuje podatke na uređaj korisnika.

Što se smatra valjanim pristankom

Pristanak mora biti slobodno dan, specifičan, informiran i izričit. Prethodno označene kućice, zidovi s kolačićima koji blokiraju sadržaj osim ako korisnik ne prihvati, i nejasne obavijesti "nastavkom pretraživanja" — sve ne zadovoljavaju standard. Korisnik mora poduzeti nedvosmislenu afirmativnu radnju — obično klik na gumb Prihvati — a ta radnja mora biti vezana uz jasno navođenje svrha obrade. Skupni pristanak koji spaja analitiku, oglašavanje i personalizaciju u jednom da-ili-ne izričito je zabranjen.

Granularne kategorije svrhe

Smjernice SDAIA-e navode kategorije svrhe koje bi CMP izdavača trebao prikazivati: strogo potrebno, funkcionalno, analitičko, oglašavanje, personalizacija i svaka obrada osjetljivih podataka kao što su zdravstvene ili biometrijske inferencije. Svaka kategorija treba vlastiti prekidač, vlastiti opis svrhe i vlastiti popis dobavljača. Okvir IAB Europe TCF v2.3, primjereno proširen PDPL-specifičnim tekstom na arapskom, najčešći je put koji izdavači koriste za ispunjavanje zahtjeva granularnosti.

Povlačenje i ponovni pristanak

Pravo na povlačenje pristanka mora biti jednako lako kao i pravo na njegovo davanje. Plutajuća ikona za postavke pristanka, veza u podnožju stranice ili ploča postavki unutar aplikacije — sve su prihvatljive opcije; zakopani isključivo email opt-out nije. Izdavači bi trebali planirati povremeni ponovni pristanak na materijalne promjene — novi oglasni partner, nova svrha kolačića, novi SDK — a SDAIA očekuje da revizijski dnevnik CMP-a bilježi svaki događaj ponovnog pristanka s vremenskom oznakom.

Prekogranični prijenosi i lokalizacija podataka

Propisi o prijenosu osobnih podataka su dio PDPL-a koji će najvjerojatnije zbuniti izdavače, jer u trenutku kada IP adresa saudijskog korisnika uđe u programatsku aukciju, ona je zapravo prenesena tamo gdje SSP-ovi i DSP-ovi posluju. SDAIA to ne tretira kao slobodan tok.

Popis adekvatnosti i standardni ugovori

Voditelj obrade može prenositi osobne podatke izvan Kraljevstva prema jednom od tri primarna mehanizma: odluka o adekvatnosti odobrena od SDAIA-e za odredišnu zemlju, standardni ugovor odobren od SDAIA-e, ili skup obvezujućih korporativnih pravila za prijenose unutar grupe. Popis adekvatnosti od 2026. uključuje mali broj GCC susjeda i nekoliko europskih jurisdikcija, ali većina odredišta u reklamnoj tehnologiji — uključujući Sjedinjene Države — nije na njemu i zahtijeva ili standardni ugovor ili odstupanje.

Procjena utjecaja prijenosa podataka

Za prijenose visokog rizika SDAIA zahtijeva dokumentiranu Procjenu utjecaja prijenosa podataka (DTIA) prije početka prijenosa. To je saudijski analog EU-ove procjene utjecaja prijenosa nakon Schrems II. Izdavači bi trebali surađivati sa svojim CMP-om i dobavljačima reklamne tehnologije na sastavljanju predložaka DTIA koji pokrivaju ponavljajuće programatske tokove, te ih osvježavati kada god dobavljač promijeni lokacije obrade.

Praktični koraci usklađenosti za izdavače

PDPL program dijeli se na pet operativnih zadataka koji se jasno preslikavaju na postojeći CMP izdavača i oglasni stog. Nijedan od njih nije nepoznat nikome tko je već implementirao usklađenost s GDPR-om ili LGPD-om — razlika je u detaljima saudijskog teksta i specifičnim pravilima prijenosa.

Kontrolna lista konfiguracije CMP-a

Potvrdite da se vaš banner za pristanak prikazuje na arapskom za posjetitelje KSA-a i na engleskom za sve ostale, da su kategorije svrhe potpuno granularne, da je put odbijanja svega jedan klik i vizualno jednako lako dostupan kao prihvaćanje svega, te da niz pristanka teče nizvodno kroz Google Consent Mode v2 ili vašu integraciju TCF-a. Pobrinite se da vaš CMP bilježi PDPL-specifičnu potvrdu pristanka s vremenskom oznakom, verzijom politike i identifikatorom korisnika kako bi se revizijski odgovori mogli sastaviti u minutama, a ne danima.

Dnevnici pristanka i revizijski trag

Revizijski timovi SDAIA-e traže dokaze o pristanku u poznatom obliku: tko je pristao, na što, kada, s kojom verzijom bannera i što im je rečeno u trenutku pristanka. Planirajte čuvanje tih dnevnika najmanje dvije godine i pohranite ih na način koji preživljava promjene dobavljača CMP-a — izvoz u skladište podataka u vlasništvu voditelja obrade je najčišći obrazac.

Tijek rada za prava ispitanika

PDPL dodjeljuje prava pristupa, ispravka, brisanja i prenosivosti, s rokovima odgovora od trideset dana. Izdavač s jednim pretincem privacy@ i bez tijeka rada za ulaznice propustit će rok češće nego što ga ispuni. Uspostavite dokumentirani proces od primitka do odgovora, obučite jednog imenovanog vlasnika i integrirajte tijek rada s vašim CMP-om i zapisima pristanka poslužitelja oglasa kako bi se zahtjevi za brisanje širili nizvodno.

Zaključak

Saudijskoarebijski PDPL u 2026. nije blagi režim koji izdavači mogu de-prioritizirati iza GDPR-a i CCPA-e. SDAIA ima financiranje, revizijski kapacitet i politički potporu za njegovu provedbu, a pravila o prekograničnom prijenosu posebno stvaraju stvarno trenje s globalnim lancem opskrbe reklamnom tehnologijom oko kojeg se izdavači moraju inženjering. Dobra vijest je da PDPL dovoljno posuđuje od GDPR-a da je izdavač s zrelim europskim stavom usklađenosti već veći dio puta tamo. Lokalizirajte svoju banneru za pristanak na arapski, dodajte PDPL-specifičan tekst svrhe na vrh svog postojećeg TCF postava, dokumentirajte mehanizme prijenosa, imenujte lokalnog predstavnika ako to vaš saudijski promet opravdava, i vaša KSA publika ostaje unosiva dok operateri koji su PDPL odbacili kao papirnu vježbu provode 2026. čitajući revizijska pisma.