Vodic za privolu za kolacice UAE PDPL: Federal Decree-Law 45 of 2021 za izdavace
Ujedinjeni Arapski Emirati donijeli su Zakon o zastiti osobnih podataka krajem 2021. i stavili ga na snagu sljedece godine. Federal Decree-Law 45 of 2021, poznat kao PDPL, prvi je sveobuhvatni savezni zakon o privatnosti u drzavi, koji uvelike preuzima od strukture GDPR-a prilagodavajuci kljucne odredbe saveznom pravu UAE-a i razmatranjima lokalizacije podataka u zemlji. Za izdavace koji djeluju u UAE-u ili ciljaju promet iz UAE-a — trziste koje se snazno prosirilo rastom regionalnog e-trgovine, finteha i medijskih tvrtki hyperscale sa sjedistem u Dubaiju i Abu Dhabiju — PDPL je pretvorio privolu za kolacice od meke ocekivanja u saveznu obvezu uskladivanja. Ovaj vodic objasnjava kako PDPL tretira pracenje na mrezi, gdje UAE Data Office usmjerava provedbu, te koje su prakticne implikacije za dizajn bannera za kolacice i konfiguraciju CMP-a.
Pravni okvir PDPL-a
PDPL se primjenjuje na obradu osobnih podataka rezidenata UAE-a, bez obzira na to odvija li se obrada unutar UAE-a ili izvan njega, te bez obzira na to je li voditelj ili izvrsitelj obrade osnovan u UAE-u ili djeluje iz inozemstva. Teritorijalni opseg je stoga ekstrateritorialan na isti nacin kao GDPR — izdavac koji djeluje iz Londona ili Singapura i obradjuje podatke rezidenata UAE-a nalazi se u opsegu primjene. Nadzorno tijelo je UAE Data Office, osnovan u okviru istog zakonodavnog paketa, koji je zauzeo odmjeren, ali sve aktivniji stav u provedbi.
Temeljna nacela PDPL-a bit ce poznata svakome tko je radio s GDPR-om: zakonita osnova, ogranicenje svrhe, minimizacija podataka, tocnost, ogranicenje pohrane, integritet i povjerljivost te odgovornost. Zakonite osnove prema Article 4 ukljucuju privolu, izvrsenje ugovora, zakonsku obvezu, vitalne interese, javni interes i legitimne interese, svaki s vlastitim opsegom i uvjetima. Za pracenje na mrezi relevantne osnove su privola i, u uskim okolnostima, legitimni interes. Unaprijed instalirani kolacici koji prikupljaju osobne podatke bez privole predstavljaju krsenje na isti nacin kao sto bi to cinili prema GDPR-u.
Sto se smatra osobnim podatkom prema PDPL-u
Definicija osobnih podataka u PDPL-u je sirokt i blisko prati GDPR: svi podaci koji se odnose na identificiranu ili identifikabilnu fizicku osobu, ukljucujuci online identifikatore. Kolacici koji trajno identificiraju uredaj, IP adrese obradene zajedno s drugim podacima, oglasivacki ID-ovi i identifikatori u stilu otiska prsta — svi su u opsegu primjene. Provedbene smjernice Data Officea potvrdile su da se analiza primijenjena na ponasajne i oglasivacke kolacice u EU primjenjuje u sustinski istom obliku i u UAE-u — ono sto se razlikuje jest arhitektura provedbe, ne materijalni standard.
PDPL takojer definira kategoriju osjetljivih osobnih podataka s visim zahtjevima za obradu, sto ukljucuje zdravstvene podatke, genetske i biometricke podatke, vjerska uvjerenja, kaznenu evidenciju i slicne kategorije. Kolacici koji prikupljaju bilo koji od tih podataka zahtijevaju izricitu privolu i dodatne zastitne mjere.
Privola za kolacice prema PDPL-u
PDPL ne sadrzi odredbu specificnu za kolacice na nacin na koji to cini Direktiva EU o zasebnosti i elektronickim komunikacijama. Umjesto toga, zahtjev za privolom proizlazi iz Article 6, koji utvrdjuje opci standard valjane privole: mora biti specificna, nedvosmislena, informirana i slobodno dana, a ispitanik mora moci povuci privolu jednako lako kao sto ju je dao. Data Office je tumacio taj standard kao da zahtijeva:
- Izricitu afirmativnu radnju prije nego sto se aktiviraju nebitni kolacici. Nastavak pregledavanja, pomicanje ili implicitna privola nisu dovoljni.
- Detaljne kontrole kategorija koje odvajaju strogo nuzne kolacice od analitickih i od oglasivackih, pri cemu posjetilac moze prihvatiti neke i odbiti druge.
- Jasan mehanizam povlacenja dostupan s bilo koje stranice na kojoj je pracenje aktivno, s trenutnim ucinkom.
- Dokumentacija odluke o privoli dovoljna za ispunjavanje zahtjeva odgovornosti prema Article 5.
U praksi je to isti operativni standard koji bi izdavac izgradio za GDPR. Banner koji prolazi kriterije EDPB Cookie Banner Taskforcea zadovoljit ce PDPL; onaj koji ih ne prolazi, nece zadovoljiti ni prema PDPL-u.
Prekogranicni prijenosi podataka
Jedna od najizrazenijih znacajki PDPL-a je okvir za prekogranicne prijenose. PDPL Articles 22 and 23 postavljaju uvjete pod kojima se osobni podaci mogu prenijeti izvan UAE-a, strukturirane na nacin koji je paraleln s Poglavljem V GDPR-a — ali ne i identican.
Oznacavanja slicna adekvatnosti
PDPL dopusta Data Officeu da oznaci zemlje kao pruzatelje adekvatne zastite. Trenutacni popis je kraci od onoga Europske komisije i ocekuje se da ce se razvijati. Dok se zemlja ne oznaci, potreban je jedan od ostalih zakonitih mehanizama.
Standardni ugovorni aranzman
PDPL dopusta prijenose poduprte odgovarajucim ugovornim zastitnim mjerama, slicno EU SCC-ovima u strukturi. Mnogi voditelji obrade iz UAE-a djeluju s prilagodenim ugovornim dodacima koje Data Office pregleda na zahtjev.
Specificne derogacije
Izricita privola, izvrsenje ugovora i derogacije od vitalnog interesa su dostupne, ali se tumace uzim nacinom. Rutinsko oslanjanje na privolu za prijenose ovdje se tretira slicno kao i pod GDPR-om.
Za online izdavace, prakticni ucinak je da evidencija privole za kolacice sada mora podupreti i obvezu odgovornosti za prijenos. Ako posjetilac u UAE-u prihvati kolacice koji usmjeravaju njihove podatke prema americkom prodavatelju ad-tech tehnologije, CMP mora moci prikazati instrument prijenosa koji autorizira taj tijek.
Sektorska razmatranja i slobodne zone
Privatnosni pejzaz UAE-a je raslojen. Savezni PDPL se primjenjuje sirokt, ali nekoliko slobodnih zona — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM) i Dubai Healthcare City — provode vlastite rezime zastite podataka koji su stariji od PDPL-a. DIFC Data Protection Law No. 5 of 2020 i ADGM Data Protection Regulations 2021 oba su uskladena s GDPR-om i primjenjuju se unutar svojih zona. Izdavaci koji djeluju u vise zona moraju uskladiti savezni PDPL s primjenjivim okvirom slobodne zone; u vecini slucajeva materijalni standardi se podudaraju, ali nadzorni kanal se razlikuje.
Sto je Data Office signalizirao
UAE Data Office bio je namjeran u svom stavu provedbe, dajuci prednost izgradnji kapaciteta, konzultacijama s pojedinim sektorima i visokoprofilnim slucajevima, a ne rezimom visokih iznosa kazni. Javni dokumenti s smjernicama naglasili su:
Dizajn bannera
Data Office se uskladio s kriterijima nalik EDPB-u u pogledu dizajna bannera, tretiraujuci nedostajuce gumbe za odbijanje, obmanjujuci stilski prikaz veza i unaprijed oznacene potvrdne okvire kao uobicajene nedostatke koji zahtijevaju sanaciju. Ocekuje se konvergencija s europskim normama.
Prekogranticna transparentnost
Ured je signalizirao da ce medjunarodnim prijenosima posvetiti posebnu pozornost, posebno kada se osobni podaci preusmjeravaju na jurisdikcije bez oznacene adekvatnosti. Dokumentacija mehanizma prijenosa tretira se kao zahtjev odgovornosti, ne opcionalan.
Objava na arapskom jeziku
Iako PDPL ne zahtijeva arapski, Data Office je naznacio da objave trebaju biti dostupne na arapskom gdje je publika pretezno arapskog govornog podrucja, i za pristupacnost i za dokazne svrhe.
Prakticna kontrolna lista za uskladivanje
Sest konkretnih pitanja na koja treba odgovoriti za svaki banner za kolacice koji opsluzuje promet UAE-a.
1. Afirmativna privola prije pracenja
Jesu li nebitni kolacici blokirani na razini ucitavaca skripti dok posjetilac ne poduzme afirmativnu radnju? Ucitavanje bannera iznad vec aktivnih pracaca je per se krsenje.
2. Detaljne kategorije
Razdvaja li banner nuzne, analiticke i oglasivacke kategorije, s neovisnim prekidacima? Skupna opcija prihvati-sve bez detaljnosti je nedostatak.
3. Dostupnost arapskog jezika
Prepoznaje li banner posjetioce koji govore arapski i prikazuje li se zadano na arapskom, s engleskim kao izmjenjivom alternativom? Data Office je izricito skrenuo pozornost na jezicnu pristupacnost.
4. Pristup povlacenju
Je li kontrola povlacenja trajna i dostupna s svake stranice? Visestepane postavke zakopane u vezama podnozja ne zadovoljavaju standard "jednako lako povuci kao dati".
5. Dokumentacija prekogranicnog prijenosa
Za svaki kolacic koji pokrencu medjunarodni prijenos, je li mehanizam prijenosa (adekvatnost, ugovorna zastitna mjera, derogacija) dokumentiran i dostupan na zahtjev?
6. Evidentiranje privole
Evidentira li sustav svaku odluku o privoli s vremenskim pegatem, verzijom bannera, izborom i jurisdikcijom posjetitelja kako bi izdavac mogao odgovoriti na upit Data Officea s dokazima?
Gdje PDPL stoji u regionalnoj slici
UAE PDPL jedan je od nekoliko okvira privatnosti Zaljevskog podrucja koji su stupili na snagu u posljednjih nekoliko godina — saudijskoarabijski PDPL, bahreinskog Zakona o zastiti osobnih podataka, katarskog Zakona o privatnosti osobnih podataka i omanskog Zakona o zastiti osobnih podataka svi djeluju uz njega. Materijalni standardi sirom regije konvergiraju prema nacjelima uskladenim s GDPR-om, s nacionalnim varijacijama u arhitekturi nadzora, mehanizmima prijenosa i sektorskim izuzecima. Za izdavace koji djeluju sirom Zaljeva, jednokratna izgradnja prema visem standardu — detaljna privola, trajno povlacenje, dokumentirani prijenosi, podrska arapskog jezika, evidentiranje na razini revizije — rjesava regionalno uskladivanje putem iste CMP infrastrukture koja rjesava europsko uskladivanje. UAE je, u mnogim pogledima, regionalni barometar: tamo gdje se Data Office krece, susjedni regulatori imaju tendenciju pratiti.