Panduan Kepatuhan Persetujuan Cookie Undang-Undang Perlindungan Data Pribadi Mesir No. 151 Tahun 2020: Panduan 2026 untuk Publisher

Undang-Undang Perlindungan Data Pribadi No. 151 Tahun 2020 milik Mesir — biasanya disebut sebagai PDPL Mesir — diterbitkan pada 15 July 2020 dan mulai berlaku pada 14 October 2020. Selama sebagian besar periode sejak saat itu, ketiadaan peraturan pelaksana membuat undang-undang ini lebih berfungsi sebagai pernyataan prinsip daripada rezim yang dapat ditegakkan. Situasi ini berubah ketika Pusat Perlindungan Data Pribadi — regulator yang dibentuk berdasarkan undang-undang tersebut, di bawah naungan Ministry of Communications and Information Technology — menerbitkan kerangka operasionalnya, persyaratan lisensi, dan peraturan pelaksana yang belum diterbitkan sebelumnya. Pada 2026, rezim ini telah sepenuhnya beroperasi, jalur perizinan untuk pengendali dan pemroses data aktif, dan publisher yang beroperasi di atau menargetkan Mesir tunduk pada standar persetujuan domestik yang lebih dekat dengan GDPR daripada model regional yang lebih lama. Implikasinya bagi persetujuan cookie sangat langsung: banner yang sebelumnya berfungsi di Mesir tidak lagi cukup, dan banner yang memenuhi GDPR hanya akan memenuhi PDPL jika integrasi memperhitungkan poin-poin di mana kedua kerangka hukum berbeda.

Apa yang sebenarnya disyaratkan oleh PDPL Mesir

Undang-undang ini berlaku untuk pemrosesan data pribadi penduduk Mesir tanpa memandang di mana pengendali atau pemroses berdomisili, dan untuk pengendali serta pemroses yang berdomisili di Mesir tanpa memandang di mana subjek data berada. Jangkauan ekstrateritorial ini mencerminkan Pasal 3 GDPR dan berarti publisher yang berkantor pusat di luar Mesir namun memiliki pembaca, pemasangan aplikasi, atau pelanggan berbayar dari Mesir jelas berada dalam lingkup undang-undang ini. Data pribadi didefinisikan secara luas sebagai data apa pun yang berkaitan dengan orang alami yang teridentifikasi atau dapat diidentifikasi, dengan data pribadi sensitif — termasuk data kesehatan, biometrik, genetik, kesehatan mental, keuangan, keyakinan agama, pendapat politik, dan data mengenai keyakinan pidana — tunduk pada ambang persetujuan yang lebih tinggi dan perlindungan tambahan.

Undang-undang ini menetapkan dasar hukum untuk pemrosesan, rangkaian standar hak subjek data — akses, koreksi, penghapusan, pembatasan, keberatan, dan portabilitas — kerangka akuntabilitas pengendali-pemroses, kewajiban pemberitahuan pelanggaran, kontrol transfer lintas batas, dan rezim sanksi administratif dengan denda mulai dari EGP 100.000 untuk pelanggaran ringan hingga EGP 5 juta untuk pelanggaran serius atau berulang. Sanksi pidana berlaku untuk kategori paling serius, termasuk transfer lintas batas tanpa izin dan pemrosesan data sensitif tanpa otorisasi.

Bagaimana PDPL memperlakukan persetujuan cookie secara khusus

Berbeda dengan Direktif ePrivacy UE, PDPL tidak memuat ketentuan terpisah tentang cookie. Cookie dan teknologi penyimpanan dan akses yang serupa masuk dalam kerangka persetujuan umum: setiap pemrosesan data pribadi yang mengandalkan persetujuan sebagai dasar hukumnya harus diperoleh atas dasar pernyataan persetujuan yang eksplisit, sukarela, spesifik, dan terdokumentasi dari subjek data. Pusat Perlindungan Data Pribadi, dalam panduan yang diterbitkan selama tahap pemberlakuan bertahap regulasi, telah mengonfirmasi bahwa kotak yang sudah dicentang sebelumnya, persetujuan implisit yang disimpulkan dari penelusuran berkelanjutan, dan banner persetujuan yang digabungkan tidak memenuhi standar undang-undang ini. Hal ini membawa Mesir sejalan dengan tren global dan berarti postur praktis yang sudah dipertahankan publisher untuk EEA adalah titik awal yang tepat untuk lalu lintas Mesir.

Efek praktisnya adalah bahwa cookie dan teknologi serupa yang tidak mutlak diperlukan untuk memberikan layanan tidak boleh dipasang sebelum pengguna memberikan persetujuan aktif. Cookie yang mutlak diperlukan — pengidentifikasi sesi, isi keranjang, token keamanan, cookie penyeimbang beban — dapat dipasang tanpa persetujuan atas dasar bahwa pengguna telah secara aktif meminta layanan tersebut. Segala sesuatu yang lain — analitik, periklanan, personalisasi, pengujian A/B, perekaman sesi, dan tag pihak ketiga apa pun — memerlukan persetujuan terlebih dahulu.

Bagaimana PDPL berbeda dari GDPR dalam praktiknya

Tiga perbedaan penting di lapisan integrasi. Pertama, PDPL mengharuskan persetujuan untuk pemrosesan data pribadi sensitif diperoleh secara tertulis atau melalui padanan elektronik yang terdokumentasi yang dapat ditunjukkan pengendali atas permintaan — standar pembuktian yang lebih tinggi daripada persyaratan persetujuan eksplisit GDPR. Kedua, PDPL menerapkan rezim perizinan: pengendali dan pemroses harus mendaftar ke Pusat Perlindungan Data Pribadi, dan kategori pemrosesan tertentu — termasuk transfer lintas batas dan pemasaran langsung — memerlukan lisensi operasional terpisah. Ketiga, aturan transfer lintas batas PDPL mengharuskan adanya penetapan kecukupan oleh Pusat, perlindungan kontraktual yang disetujui, atau persetujuan eksplisit dari subjek data; transfer ke yurisdiksi tanpa penetapan atau perlindungan dibatasi terlepas dari postur kepatuhan penerima sendiri.

Seperti apa banner cookie yang patuh berdasarkan PDPL

Persyaratan teknis bertemu dengan apa yang sudah dihasilkan oleh setiap CMP modern, tetapi pelabelan, dokumentasi, dan log persetujuan harus mencerminkan spesifik Mesir. Banner lapisan pertama harus menyajikan pilihan nyata kepada pengguna — terima, tolak, kelola — di mana opsi tolak setidaknya sama menonjolnya dengan opsi terima. Persetujuan yang digabungkan dilarang, sehingga lapisan kedua harus memungkinkan opt-in per kategori yang mencakup setidaknya analitik, periklanan, dan pemrosesan apa pun yang bergantung pada transfer lintas batas. Kategori harus default ke mati; banner tidak boleh memuat tag sampai pengguna secara aktif mengaktifkannya.

Pemberitahuan privasi yang ditampilkan dari banner harus mengidentifikasi pengendali, nomor lisensi PDPL pengendali jika berlaku, kategori data pribadi yang dikumpulkan, dasar hukum untuk setiap tujuan pemrosesan, periode penyimpanan data, kategori penerima termasuk sub-pemroses yang berlokasi di luar Mesir, hak subjek data berdasarkan undang-undang, dan detail kontak Pusat Perlindungan Data Pribadi untuk keluhan. Pemberitahuan yang memenuhi standar Pasal 13 GDPR akan banyak tumpang tindih, tetapi baris lisensi Mesir dan kontak Pusat harus ditambahkan secara eksplisit.

Pola integrasi yang lolos tinjauan Pusat Perlindungan Data Pribadi

Implementasi referensi memiliki empat bagian yang bergerak. Yang pertama adalah CMP yang mendukung opt-in per kategori, default-mati dan mengekspos pilihan pengguna melalui string persetujuan terstruktur yang dapat disimpan oleh publisher. Yang kedua adalah lapisan pemuatan tag — tag manager sisi server atau gerbang CMP-native — yang secara ketat menegakkan status persetujuan sebelum cookie non-esensial apa pun dipasang. Yang ketiga adalah log persetujuan, disimpan di sisi server, yang mencatat untuk setiap acara persetujuan pilihan pengguna per kategori, stempel waktu, versi banner, dan pengidentifikasi IP yang dipotong atau di-hash sehingga pengendali dapat menghasilkan catatan atas permintaan Pusat. Yang keempat adalah jalur penarikan yang setidaknya semudah pemberian asli — biasanya tautan pembukaan ulang banner yang persisten di footer.

Validasi, perizinan, dan postur audit untuk 2026

Penerapan Mesir yang dapat dipertahankan pada 2026 harus melewati empat pemeriksaan teknis. Pertama, sesi browser bersih yang dilayani dari alamat IP Mesir harus menghasilkan nol cookie non-esensial sebelum banner diaktifkan. Kedua, jalur tolak-semua harus menghasilkan postur yang sama dengan sesi tanpa tindakan — tidak ada tag analitik, tidak ada tag periklanan, tidak ada skrip perekaman sesi. Ketiga, alur terima-semua harus menghasilkan hanya tag yang telah disetujui pengguna, dan log persetujuan harus berisi catatan yang cocok. Keempat, alur penarikan harus segera menghentikan pembakaran tag lebih lanjut, kedaluwarsa cookie yang dipasang selama sesi yang disetujui, dan memicu sinyal penghapusan atau opt-out hilir yang diperlukan mitra penerima.

Di luar pemeriksaan teknis, postur perizinan dan audit adalah yang membuat penerapan dapat dipertahankan. Pengendali yang memproses data pribadi penduduk Mesir di atas ambang batas yang ditetapkan oleh peraturan pelaksana harus terdaftar di Pusat Perlindungan Data Pribadi, dan catatan pendaftaran — bersama dengan log persetujuan, pemberitahuan privasi, hasil penilaian dampak perlindungan data untuk pemrosesan risiko lebih tinggi, dan otorisasi transfer lintas batas apa pun — membentuk dokumentasi yang mungkin diminta Pusat selama tinjauan kepatuhan. CMP yang dikonfigurasi dengan benar dengan log sisi server, lapisan pemuatan tag yang menegakkan status persetujuan, pemberitahuan privasi yang menyebutkan setiap tujuan transfer lintas batas, dan dokumen perizinan yang tersimpan adalah yang mengubah PDPL Mesir dari hal yang tidak diketahui secara regulasi menjadi bagian yang dapat dipertahankan dari postur persetujuan wilayah MENA publisher.

← Blog Baca Semua →