Egyiptom 151/2020. sz. személyes adatvédelmi törvény cookie-hozzájárulás megfelelőségi útmutató: 2026-os kézikönyv kiadók számára
Egyiptom 151/2020. sz. személyes adatvédelmi törvényét — amelyet általában egyiptomi PDPL-ként emlegetnek — 2020. július 15-én hirdették ki, és 2020. október 14-én lépett hatályba. Az eltelt időszak nagy részében a végrehajtási rendeletek hiánya miatt a törvény inkább elvek nyilatkozataként állt fenn, semmint kikényszeríthető rendszerként. Ez megváltozott, amikor a Személyes Adatvédelmi Központ — a törvény által létrehozott szabályozó, amely a Kommunikációs és Információtechnológiai Minisztériumhoz kapcsolódik — közzétette működési keretét, engedélyezési követelményeit és a végrehajtási rendeleteket, amelyeket a törvény még kiadásra vár. 2026-ra a rendszer teljes mértékben működőképes, az adatkezelők és adatfeldolgozók engedélyezési eljárása aktív, és az Egyiptomban működő vagy Egyiptomot célzó kiadókra olyan hazai hozzájárulási szabvány vonatkozik, amely közelebb áll a GDPR-hoz, mint bármely korábbi regionális modellhez. A cookie-hozzájárulásra gyakorolt közvetlen következmény: egy korábban Egyiptomban működő banner ma már nem elégséges, és egy GDPR-megfelelő banner csak akkor teljesíti a PDPL követelményeit, ha az integráció figyelembe veszi a két keretrendszer eltéréseit.
Mit ír elő valójában az egyiptomi PDPL
A törvény az egyiptomi lakóhellyel rendelkező személyek személyes adatainak kezelésére vonatkozik, tekintet nélkül arra, hogy az adatkezelő vagy adatfeldolgozó hol van letelepedve, valamint az Egyiptomban letelepedett adatkezelőkre és adatfeldolgozókra, tekintet nélkül az érintettek tartózkodási helyére. Ez a területen kívüli hatály tükrözi a GDPR 3. cikkét, és azt jelenti, hogy az Egyiptomon kívül székelő, de egyiptomi olvasókkal, app-telepítésekkel vagy fizető ügyfelekkel rendelkező kiadó egyértelműen a törvény hatálya alá tartozik. A személyes adat tágabban értelmezett: minden azonosított vagy azonosítható természetes személyre vonatkozó adatot magában foglal; az érzékeny személyes adatok — beleértve az egészségügyi, biometrikus, genetikai, mentálhigiénés, pénzügyi, vallási meggyőződési, politikai véleményre és büntetett előéletre vonatkozó adatokat — magasabb hozzájárulási küszöböt és további biztosítékokat igényelnek.
A törvény meghatározza az adatkezelés jogalapjait, az érintetti jogok szokásos körét — hozzáférés, helyesbítés, törlés, korlátozás, tiltakozás és adathordozhatóság —, az adatkezelő-adatfeldolgozó elszámoltathatósági keretet, az adatvédelmi incidensek bejelentési kötelezettségeit, a határon átnyúló adattovábbítás ellenőrzéseit és az adminisztratív szankciórendszert, amelynek bírságai a kisebb jogsértések esetén 100 000 EGP-től a súlyos vagy ismételt jogsértések esetén 5 millió EGP-ig terjednek. A legsúlyosabb kategóriákra — köztük az engedély nélküli határon átnyúló adattovábbításra és az engedély nélküli érzékenyadat-kezelésre — büntetőjogi szankciók vonatkoznak.
Hogyan kezeli a PDPL a cookie-hozzájárulást konkrétan
Az EU ePrivacy irányelvével ellentétben a PDPL nem tartalmaz külön rendelkezést a cookie-kra vonatkozóan. A cookie-k és az analóg tárolási és hozzáférési technológiák az általános hozzájárulási keretrendszer alá esnek: minden olyan személyesadat-kezeléshez, amely hozzájárulást használ jogalapként, az érintett kifejezett, önkéntes, konkrét és dokumentált beleegyezési nyilatkozatát kell beszerezni. A Személyes Adatvédelmi Központ a rendeletek fokozatos bevezetése során közzétett útmutatójában megerősítette, hogy az előre bejelölt jelölőnégyzetek, a böngészés folytatásából következtetett hallgatólagos hozzájárulás és a bundolt hozzájárulási bannerek nem felelnek meg a törvény követelményeinek. Ez Egyiptomot a globális irányba hozza, és azt jelenti, hogy a kiadók által az EGP-re fenntartott gyakorlati megközelítés a helyes kiindulópont az egyiptomi forgalomra is.
A gyakorlati következmény az, hogy a cookie-kat és minden analóg technológiát, amely nem feltétlenül szükséges a szolgáltatás nyújtásához, nem szabad beállítani azelőtt, hogy a felhasználó aktívan hozzájárult volna. A feltétlenül szükséges cookie-k — munkamenet-azonosítók, kosár tartalmak, biztonsági tokenek, terheléselosztó cookie-k — a felhasználó aktív szolgáltatáskérése alapján hozzájárulás nélkül beállíthatók. Minden más — analitika, reklámozás, személyre szabás, A/B tesztelés, munkamenet-visszajátszás és bármely harmadik féltől származó tag — előzetes hozzájárulást igényel.
Hogyan tér el a PDPL a GDPR-tól a gyakorlatban
Az integrációs szinten három eltérés számít. Először is, a PDPL előírja, hogy az érzékeny személyes adatok kezeléséhez szükséges hozzájárulást írásban vagy dokumentált elektronikus egyenértéken keresztül kell beszerezni, amelyet az adatkezelő kérésre bemutathat — ez magasabb bizonyítási kötelezettséget jelent, mint a GDPR kifejezett hozzájárulásra vonatkozó követelménye. Másodszor, a PDPL engedélyezési rendszert vezet be: az adatkezelőknek és adatfeldolgozóknak regisztrálniuk kell a Személyes Adatvédelmi Központnál, és bizonyos adatkezelési kategóriák — köztük a határon átnyúló adattovábbítás és a közvetlen marketing — külön működési engedélyt igényelnek. Harmadszor, a PDPL határon átnyúló adattovábbítási szabályai vagy a Központ megfelelőségi határozatát, jóváhagyott szerződéses biztosítékot vagy az érintett kifejezett hozzájárulását követelik meg; a határozattal vagy biztosítékkal nem rendelkező joghatóságokba irányuló adattovábbítás korlátozott, függetlenül a fogadó saját megfelelőségi helyzetétől.
Milyen egy PDPL-megfelelő cookie-banner
A műszaki követelmények egybeesnek azzal, amit minden modern CMP már előállít, de a feliratoknak, a dokumentációnak és a hozzájárulási naplónak tükröznie kell az egyiptomi sajátosságokat. Az első rétegű bannernek valódi választási lehetőséget kell felkínálnia a felhasználónak — elfogad, elutasít, kezel —, ahol az elutasítási lehetőség legalább olyan jól látható, mint az elfogadási lehetőség. A bundolt hozzájárulás tilos, ezért a második rétegnek legalább az analitika, a reklámozás és minden határon átnyúló adattovábbítástól függő adatkezelés kategóriájára vonatkozó egyenkénti opt-in lehetőséget kell biztosítania. A kategóriáknak alapértelmezetten ki kell lenniük; a banner nem tölthet be tageket, amíg a felhasználó nem kapcsolta be azokat aktívan.
A bannerből elérhető adatvédelmi nyilatkozatnak azonosítania kell az adatkezelőt, az adatkezelő PDPL engedélyszámát (ha van), a gyűjtött személyes adatok kategóriáit, az egyes adatkezelési célok jogalapját, az adatmegőrzési időszakot, a fogadók kategóriáit (beleértve az Egyiptomon kívül tartózkodó al-adatfeldolgozókat), az érintett törvény szerinti jogait és a Személyes Adatvédelmi Központ panasztételi elérhetőségeit. A GDPR 13. cikkének megfelelő nyilatkozat nagymértékben átfed, de az egyiptomi engedélyre és a Központ elérhetőségére vonatkozó sorokat kifejezetten hozzá kell adni.
Az integráció mintája, amely megfelel a Személyes Adatvédelmi Központ felülvizsgálatának
A referencia-implementációnak négy mozgó része van. Az első egy CMP, amely támogatja a kategóriánkénti, alapértelmezetten kikapcsolt opt-in lehetőséget, és strukturált hozzájárulási karakterláncon keresztül teszi elérhetővé a felhasználó választását, amelyet a kiadó megőrizhet. A második egy tagbetöltési réteg — szerver oldali tagkezelő vagy CMP-natív kapu —, amely szigorúan érvényesíti a hozzájárulási állapotot, mielőtt bármely nem alapvető cookie-t beállítanának. A harmadik egy szerver oldalon tárolt hozzájárulási napló, amely minden hozzájárulási eseményhez rögzíti a felhasználó kategóriánkénti döntését, az időbélyeget, a banner verzióját és egy csonkított vagy hasított IP-azonosítót, így az adatkezelő a Központ kérésére elő tudja állítani a rekordot. A negyedik egy visszavonási út, amely legalább olyan egyszerű, mint az eredeti megadás — jellemzően egy tartósan látható bannerújranyitó link a láblécben.
- Analitikai tagek — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — csak az analitikai kategória megadása után tölthetők be. Minden platform támogat olyan hozzájárulás-kapuzott konfigurációt, amely megakadályoz minden cookie-írást a kapu felnyitása előtt.
- Reklámtagek — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programmatikus header bidderek — hasonlóan kapuzottak kell legyenek, és ahol a reklámpartner adatokat Egyiptomon kívülre továbbít, a fogadó joghatóságnak meg kell jelennie az adatvédelmi nyilatkozatban. Egy általános globális szolgáltatók által feldolgozva nyilatkozat nem elegendő a Központ útmutatója szerint.
- Munkamenet-visszajátszás és hőtérkép-eszközök — Hotjar, Microsoft Clarity, FullStory — külön, szigorúbb kapu mögé kell helyezni, mert a Központ az EDPB álláspontjával összhangban azt az álláspontot képviseli, hogy a beviteli mezők megjelenítéséhez kifejezett és részletes hozzájárulás szükséges.
- Határon átnyúló adattovábbítási nyilatkozatoknak konkrétnak kell lenniük minden egyes fogadó joghatóságra, és hivatkozniuk kell az adattovábbítás jogalapjára — jóváhagyott szerződéses biztosíték, megfelelőségi határozat vagy az érintett kifejezett hozzájárulása.
Érvényesítés, engedélyezés és audit-magatartás 2026-ra
Egy 2026-os védhető egyiptomi telepítésnek négy technikai ellenőrzésen kell átmennie. Először is, egy egyiptomi IP-ről kiszolgált tiszta böngészőmunkamenetnek nulla nem alapvető cookie-t kell produkálnia, mielőtt a bannert aktiválták volna. Másodszor, az összes elutasítása útnak ugyanolyan állapotot kell eredményeznie, mint a cselekvés nélküli munkamenet — nincsenek analitikai tagek, nincsenek reklámtagek, nincsenek munkamenet-visszajátszó szkriptek. Harmadszor, az összes elfogadása folyamatnak csak a felhasználó által jóváhagyott tageket kell produkálnia, és a hozzájárulási naplónak tartalmaznia kell egy megfelelő rekordot. Negyedszer, egy visszavonási folyamatnak azonnal le kell állítania a további tagfüggő eseményeket, lejárttá kell tennie a hozzájárult munkamenet során beállított cookie-kat, és aktiválnia kell a fogadó partnerek által megkövetelt downstream törlési vagy lemondási jeleket.
A technikai ellenőrzéseken túl az engedélyezési és audit-magatartás az, ami egy telepítést védhetővé tesz. Az egyiptomi lakóhellyel rendelkező személyek személyes adatait a végrehajtási rendeletek által meghatározott küszöbök felett kezelő adatkezelőknek regisztrálniuk kell a Személyes Adatvédelmi Központnál, és a regisztrációs nyilvántartás — a hozzájárulási naplóval, az adatvédelmi nyilatkozattal, a magasabb kockázatú adatkezelési adatvédelmi hatásvizsgálat eredményeivel és minden határon átnyúló adattovábbítási engedéllyel együtt — alkotja azt a dokumentációt, amelyet a Központ megfelelőségi felülvizsgálat során kérhet. Egy megfelelően konfigurált CMP szerver oldali naplóval, hozzájárulási állapotot érvényesítő tagbetöltési réteggel, minden határon átnyúló adattovábbítási célállomást megnevező adatvédelmi nyilatkozattal és az engedélyezési papírokkal az egyiptomi PDPL-t ismeretlen szabályozóból egy kiadó MENA-régió hozzájárulási magatartásának védhető részévé teszi.