A PDPL Jogi Keretrendszere

A PDPL az UAE-ben tartózkodó természetes személyek személyes adatainak kezelésére vonatkozik, függetlenül attól, hogy az adatkezelés az UAE-ben vagy azon kívül történik-e, és hogy az adatkezelő vagy adatfeldolgozó az UAE-ben telepedett-e le vagy külföldről működik. A területi hatály tehát a GDPR-hoz hasonlóan extraterritoriális — egy Londonból vagy Szingapúrból működő, UAE-ben tartózkodó személyek adatait feldolgozó kiadó is hatálya alá esik. A felügyeleti hatóság az UAE Adathivatal, amelyet ugyanazon jogalkotási csomag keretében hoztak létre, és amely mért, de egyre aktívabb végrehajtási álláspontot foglalt el.

A PDPL alapelvei ismerősek lesznek mindenki számára, aki már dolgozott a GDPR-ral: jogalap, célkorlátozás, adattakarékosság, pontosság, tároláskorlátozás, integritás és bizalmasság, valamint elszámolhatóság. Az Article 4 szerinti jogalapok magukban foglalják a hozzájárulást, a szerződéses teljesítést, a jogi kötelezettséget, a létfontosságú érdekeket, a közérdeket és a jogos érdekeket, mindegyik saját hatállyal és feltételekkel. Az online nyomkövetés szempontjából a releváns jogalapok a hozzájárulás és szűk körülmények között a jogos érdek. A személyes adatokat hozzájárulás nélkül gyűjtő előre telepített sütik jogsértést képeznek, ugyanúgy mint a GDPR alatt.

Mi Minősül Személyes Adatnak a PDPL Alatt

A PDPL személyes adat fogalma széles körű és szorosan követi a GDPR-t: minden azonosított vagy azonosítható természetes személyre vonatkozó adat, beleértve az online azonosítókat. Az eszközt tartósan azonosító sütik, más adatokkal együtt feldolgozott IP-címek, reklám-azonosítók és ujjlenyomat-stílusú azonosítók mind a hatály alá esnek. Az Adathivatal végrehajtási iránymutatása megerősítette, hogy az EU-ban a viselkedési és reklám-sütikre alkalmazott elemzés lényegében ugyanolyan formában alkalmazandó az UAE-ben is — ami eltér, az a végrehajtási architektúra, nem az anyagi jogi standard.

A PDPL emellett meghatároz egy különleges személyes adatok kategóriát szigorúbb kezelési követelményekkel, amelyek kiterjednek az egészségügyi információkra, a genetikai és biometrikus adatokra, a vallási meggyőződésre, a büntetett előéletre és hasonló kategóriákra. Az ilyen adatokat rögzítő sütik kifejezett hozzájárulást és további biztosítékokat igényelnek.

Süti-hozzájárulás a PDPL Alatt

A PDPL nem tartalmaz süti-specifikus rendelkezést úgy, ahogy az EU ePrivacy irányelve igen. Ehelyett a hozzájárulási követelmény az Article 6-ból fakad, amely meghatározza az érvényes hozzájárulás általános standardját: annak specifikusnak, egyértelműnek, tájékozottnak és önkéntesnek kell lennie, és az érintettnek olyan könnyen vissza kell tudnia vonni a hozzájárulást, mint ahogy azt megadta. Az Adathivatal ezt a standardot úgy értelmezte, hogy megköveteli:

• Kifejezett megerősítő cselekvést a nem elengedhetetlen sütik aktiválása előtt. A böngészés folytatása, görgetés vagy hallgatólagos hozzájárulás nem elegendő.
• Részletes kategóriavezérlőket, amelyek elválasztják a feltétlenül szükséges sütiket az elemzési és a reklám-sütiktől, lehetővé téve a látogató számára, hogy néhányat elfogadjon és másokat elutasítson.
• Egyértelmű visszavonási mechanizmust, amely elérhető bármely olyan oldalról, ahol nyomkövetés aktív, és amelynek hatása azonnal érvényesül.
• A hozzájárulási döntés dokumentációját, amely elegendő az Article 5 szerinti elszámolhatósági követelmény teljesítéséhez.

A gyakorlatban ez ugyanaz az operatív standard, amelyet egy kiadó a GDPR-ra épített volna. Egy banner, amely megfelel az EDPB Cookie Banner Taskforce kritériumainak, kielégíti a PDPL-t is; amelyik nem felel meg nekik, az a PDPL vizsgálata alatt sem fog megfelelni.

Határon Átnyúló Adattovábbítás

A PDPL egyik legjellegzetesebb vonása a határon átnyúló adattovábbítás keretrendszere. A PDPL Article 22 és Article 23 meghatározza azokat a feltételeket, amelyek alatt személyes adatok az UAE-n kívülre továbbíthatók, a GDPR V. fejezetével párhuzamos — de nem teljesen azonos — struktúrában.

Megfelelőségi jellegű megjelölések

A PDPL lehetővé teszi, hogy az Adathivatal megfelelő védelmet biztosítónak jelöljön meg egyes országokat. A jelenlegi lista rövidebb, mint az Európai Bizottságé, és várhatóan fejlődni fog. Amíg egy ország nem kap megjelölést, a továbbítás más jogszerű mechanizmust igényel.

Szabványos szerződéses megállapodások

A PDPL lehetővé teszi a megfelelő szerződéses biztosítékok által alátámasztott továbbítást, hasonlóan az EU SCCs struktúrájához. Sok UAE-i adatkezelő egyedi szerződéses kiegészítőkkel működik, amelyeket az Adathivatal kérésre felülvizsgál.

Specifikus eltérések

A kifejezett hozzájárulás, a szerződéses teljesítés és a létfontosságú érdek alapú eltérések elérhetők, de szűken értelmezendők. A hozzájárulásra való rutinszerű támaszkodás az adattovábbításhoz — ami a GDPR alatt gyakran kivételesnek, nem szisztematikusnak minősül — itt hasonlóan kezelendő.

Az online kiadók számára a gyakorlati hatás az, hogy a süti-hozzájárulási nyilvántartásnak mostantól egy adattovábbítási elszámolhatósági kötelezettséget is alá kell támasztania. Ha egy UAE-i látogató elfogad olyan sütiket, amelyek adatait egy USA-alapú hirdetéstechnológiai szállítóhoz irányítják, a CMP-nek képesnek kell lennie felmutatni az adott forgalmat engedélyező átviteli eszközt.

Ágazati és Szabadkereskedelmi Övezeti Megfontolások

Az UAE adatvédelmi tája rétegzett. A szövetségi PDPL széles körben alkalmazandó, de számos szabadkereskedelmi övezet — a Dubai Nemzetközi Pénzügyi Központ (DIFC), az Abu Dhabi Global Market (ADGM) és a Dubai Healthcare City — saját adatvédelmi rendszerrel rendelkezik, amelyek megelőzték a PDPL-t. A DIFC 5/2020. sz. adatvédelmi törvénye és az ADGM 2021-es adatvédelmi rendeletei egyaránt GDPR-alapú megközelítést alkalmaznak és a saját övezetükön belül érvényesülnek. A több övezeten átívelő kiadóknak össze kell egyeztetniük a szövetségi PDPL-t az alkalmazandó szabadkereskedelmi övezeti keretrendszerrel; a legtöbb esetben az anyagi jogi standardok konvergálnak, de a felügyeleti csatorna eltér.

Az Adathivatal Jelzései

Az UAE Adathivatal megfontolt végrehajtási álláspontot foglalt el, előnyben részesítve a kapacitásépítést, az ágazati konzultációt és a nagy horderejű ügyeket a nagy volumenű bírságolási rendszerrel szemben. A nyilvános útmutató dokumentumok hangsúlyozták:

Banner tervezés

Az Adathivatal az EDPB-stílusú kritériumokat alkalmazza a banner tervezésére, a hiányzó elutasítás gombokat, a félrevezető hivatkozás-stílust és az előre bejelölt jelölőnégyzeteket közös hiányosságként kezeli, amelyeket orvosolni kell. Az elvárás az európai normákkal való konvergencia.

Határon átnyúló átláthatóság

A Hivatal jelezte, hogy a nemzetközi adattovábbítások különös figyelmet kapnak, különösen ott, ahol a személyes adatok megfelelő védelmet nem kapott joghatóságokba kerülnek. Az adattovábbítási mechanizmus dokumentálása elszámolhatósági követelményként, nem opcionálisként kezelendő.

Arab nyelvű közzététel

Bár a PDPL nem teszi kötelezővé az arabot, az Adathivatal jelezte, hogy a közzétételeknek arab nyelven is elérhetőknek kell lenniük ott, ahol a közönség elsősorban arabul beszél, mind a hozzáférhetőség, mind a bizonyítási célok szempontjából.

Gyakorlati Megfelelési Ellenőrzőlista

Hat konkrét kérdés, amelyre az UAE forgalmat kiszolgáló sütibannerek esetén választ kell adni.

1. Megerősítő hozzájárulás a nyomkövetés előtt

Vannak-e a nem elengedhetetlen sütik blokkolva a script-betöltő szinten, amíg a látogató megerősítő cselekvést nem hajt végre? A banner előtöltése már tüzelő nyomkövetők felett önmagában jogsértés.

2. Részletes kategóriák

Elválasztja-e a banner a szükséges, elemzési és reklám kategóriákat, független kapcsolókkal? A részletesség nélküli összesített elfogadás hiányosság.

3. Arab nyelv elérhetősége

Érzékeli-e a banner az arabul beszélő látogatókat, és alapértelmezés szerint arabul jelenik-e meg, az angollal mint váltható alternatívával? Az Adathivatal kifejezetten megjelölte a nyelvi akadálymentességet.

4. Visszavonási hozzáférés

Tartós-e és minden oldalról elérhető-e a visszavonási vezérlő? A lábléc linkbe temetett többlépéses beállítások nem felelnek meg a „ugyanolyan könnyen visszavonható, mint megadható" standardnak.

5. Határon átnyúló adattovábbítás dokumentációja

Minden olyan sütihez, amely nemzetközi adattovábbítást indít, dokumentált és kérésre felmutatható-e az adattovábbítási mechanizmus (megfelelőség, szerződéses biztosíték, eltérés)?

6. Hozzájárulás naplózás

Rögzíti-e a rendszer minden hozzájárulási döntést időbélyeggel, banner-verzióval, választással és látogató joghatósággal, hogy a kiadó bizonyítékkal tudjon válaszolni az Adathivatal megkeresésére?

A PDPL Helye a Regionális Képben

Az UAE PDPL az elmúlt néhány évben hatályba lépett több Öböl-menti adatvédelmi keretrendszer egyike — Szaúd-Arábia PDPL-je, Bahrain személyes adatvédelmi törvénye, Katar személyes adatvédelmi törvénye és Omán személyes adatvédelmi törvénye mind mellette működnek. A régió anyagi jogi standardjai GDPR-alapú elvek felé konvergálnak, nemzeti eltérésekkel a felügyeleti architektúrában, az adattovábbítási mechanizmusokban és az ágazati kivételekben. Az Öböl-övezetben működő kiadók számára az egyszer a magasabb standardhoz — részletes hozzájárulás, tartós visszavonás, dokumentált adattovábbítás, arab nyelvi támogatás, audit-minőségű naplózás — való felépítés ugyanazon CMP infrastruktúrán keresztül kezeli a regionális megfelelést, amely az európai megfelelést is kezeli. Az UAE sok tekintetben a regionális iránymutató: amerre az Adathivatal halad, a szomszédos szabályozók általában követik.