Panduan Persetujuan Cookie UAE PDPL: Federal Decree-Law 45 of 2021 untuk Publisher
Uni Emirat Arab mengesahkan Undang-Undang Perlindungan Data Pribadi pada akhir 2021 dan memberlakukannya pada tahun berikutnya. Federal Decree-Law 45 of 2021, yang dikenal sebagai PDPL, adalah undang-undang privasi federal komprehensif pertama negara ini, dan banyak mengambil dari struktur GDPR sambil mengadaptasi ketentuan utama ke hukum federal UAE dan pertimbangan lokalisasi data negara. Bagi publisher yang beroperasi di atau menargetkan lalu lintas UAE — pasar yang berkembang pesat seiring pertumbuhan e-commerce regional, fintech, dan bisnis media hyperscale berbasis Dubai dan Abu Dhabi — PDPL mengubah persetujuan cookie dari ekspektasi ringan menjadi kewajiban kepatuhan federal. Panduan ini membahas bagaimana PDPL memperlakukan pelacakan online, di mana Kantor Data UAE memfokuskan penegakannya, dan apa implikasi praktis bagi desain banner cookie dan konfigurasi CMP.
Kerangka Hukum PDPL
PDPL berlaku untuk pemrosesan data pribadi penduduk UAE, baik pemrosesan terjadi di dalam UAE maupun di luar, dan baik pengontrol atau prosesor berkedudukan di UAE atau beroperasi dari luar negeri. Lingkup teritorial ini bersifat ekstrateritorial dengan cara yang sama seperti GDPR — publisher yang beroperasi dari London atau Singapura yang memproses data tentang penduduk UAE berada dalam lingkup. Otoritas pengawas adalah Kantor Data UAE, yang didirikan di bawah paket legislasi yang sama, dan telah mengambil posisi yang terukur namun semakin aktif dalam penegakan.
Prinsip-prinsip inti PDPL akan familiar bagi siapa pun yang pernah bekerja dengan GDPR: dasar hukum, pembatasan tujuan, minimisasi data, akurasi, pembatasan penyimpanan, integritas dan kerahasiaan, serta akuntabilitas. Dasar hukum di bawah Article 4 mencakup persetujuan, pelaksanaan kontrak, kewajiban hukum, kepentingan vital, kepentingan publik, dan kepentingan sah, masing-masing dengan lingkup dan kondisinya sendiri. Untuk pelacakan online, dasar yang relevan adalah persetujuan dan, dalam keadaan terbatas, kepentingan sah. Cookie yang dipasang sebelumnya yang mengumpulkan data pribadi tanpa persetujuan merupakan pelanggaran dengan cara yang sama seperti di bawah GDPR.
Apa yang Dihitung sebagai Data Pribadi di Bawah PDPL
Definisi data pribadi PDPL luas dan mengikuti GDPR secara erat: setiap data yang berkaitan dengan orang perseorangan yang teridentifikasi atau dapat diidentifikasi, termasuk pengidentifikasi online. Cookie yang secara persisten mengidentifikasi perangkat, alamat IP yang diproses bersama data lain, ID iklan, dan pengidentifikasi gaya fingerprint semuanya termasuk dalam lingkup. Panduan implementasi Kantor Data telah mengkonfirmasi bahwa analisis yang diterapkan pada cookie perilaku dan iklan di EU berlaku dalam bentuk yang pada dasarnya sama di UAE — yang berbeda adalah arsitektur penegakan, bukan standar substantif.
PDPL juga mendefinisikan kategori data pribadi sensitif dengan persyaratan penanganan yang lebih ketat, mencakup informasi kesehatan, data genetik dan biometrik, keyakinan agama, catatan kriminal, dan kategori serupa. Cookie yang menangkap data ini memerlukan persetujuan eksplisit dan perlindungan tambahan.
Persetujuan Cookie di Bawah PDPL
PDPL tidak mengandung ketentuan khusus cookie seperti halnya Direktif ePrivacy EU. Sebaliknya, persyaratan persetujuan mengalir dari Article 6, yang menetapkan standar umum untuk persetujuan yang valid: harus spesifik, tidak ambigu, berdasarkan informasi, dan diberikan secara bebas, dan subjek data harus dapat menarik persetujuan semudah mereka memberikannya. Kantor Data telah menafsirkan standar ini untuk mensyaratkan:
- Tindakan afirmatif eksplisit sebelum cookie non-esensial diaktifkan. Melanjutkan penelusuran, menggulir, atau persetujuan tersirat tidak mencukupi.
- Kontrol kategori terperinci yang memisahkan cookie yang benar-benar diperlukan dari analitik dan dari iklan, dengan pengunjung dapat menerima beberapa dan menolak yang lain.
- Mekanisme penarikan yang jelas yang dapat dijangkau dari halaman mana pun di mana pelacakan aktif, dengan penarikan yang berlaku segera.
- Dokumentasi keputusan persetujuan yang cukup untuk memenuhi persyaratan akuntabilitas di bawah Article 5.
Dalam praktiknya, ini adalah standar operasional yang sama yang akan dibangun publisher untuk GDPR. Banner yang memenuhi kriteria EDPB Cookie Banner Taskforce akan memenuhi PDPL; yang tidak memenuhinya juga akan gagal di bawah pengawasan PDPL.
Transfer Data Lintas Batas
Salah satu fitur paling khas dari PDPL adalah kerangka transfer lintas batasnya. Article 22 dan Article 23 PDPL menetapkan kondisi di mana data pribadi dapat ditransfer ke luar UAE, terstruktur sesuai garis yang sejajar — namun tidak identik — dengan Bab V GDPR.
Penetapan gaya kecukupan
PDPL mengizinkan Kantor Data untuk menetapkan negara-negara sebagai memberikan perlindungan yang memadai. Daftar saat ini lebih pendek dari milik Komisi Eropa dan diharapkan akan berkembang. Sampai suatu negara ditetapkan, transfer memerlukan salah satu mekanisme hukum lainnya.
Pengaturan kontraktual standar
PDPL mengizinkan transfer yang didukung oleh perlindungan kontraktual yang sesuai, mirip dengan struktur EU SCCs. Banyak pengontrol UAE beroperasi dengan adendum kontraktual khusus yang ditinjau Kantor Data atas permintaan.
Derogasi spesifik
Derogasi persetujuan eksplisit, pelaksanaan kontrak, dan kepentingan vital tersedia tetapi ditafsirkan secara sempit. Ketergantungan rutin pada persetujuan untuk transfer — yang di bawah GDPR sering dianggap pengecualian daripada sistematis — diperlakukan serupa di sini.
Bagi publisher online, dampak praktisnya adalah catatan persetujuan cookie sekarang juga harus mendukung kewajiban akuntabilitas transfer. Jika pengunjung di UAE menerima cookie yang mengarahkan data mereka ke vendor ad-tech AS, CMP harus dapat menampilkan instrumen transfer yang mengotorisasi aliran tersebut.
Pertimbangan Sektoral dan Zona Bebas
Lanskap privasi UAE berlapis-lapis. PDPL federal berlaku secara luas, tetapi beberapa zona bebas — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM), dan Dubai Healthcare City — mengoperasikan rezim perlindungan data mereka sendiri yang mendahului PDPL. Undang-Undang Perlindungan Data DIFC No. 5 of 2020 dan Regulasi Perlindungan Data ADGM 2021 keduanya selaras GDPR dan berlaku di zona masing-masing. Publisher yang beroperasi di beberapa zona harus menyelaraskan PDPL federal dengan kerangka zona bebas yang berlaku; dalam sebagian besar kasus, standar substantif konvergen tetapi saluran pengawasan berbeda.
Apa yang Diisyaratkan Kantor Data
Kantor Data UAE telah berhati-hati dalam posisi penegakannya, memprioritaskan pembangunan kapasitas, konsultasi sektor, dan kasus-kasus profil tinggi daripada rezim denda bervolume tinggi. Dokumen panduan publik telah menekankan:
Desain banner
Kantor Data telah menyelaraskan dengan kriteria gaya EDPB pada desain banner, memperlakukan tombol tolak yang hilang, gaya tautan yang menipu, dan kotak centang yang telah dicentang sebelumnya sebagai cacat umum yang memerlukan remediasi. Ekspektasinya adalah konvergensi dengan norma Eropa.
Transparansi lintas batas
Kantor telah mengisyaratkan bahwa transfer internasional akan menjadi fokus khusus, terutama di mana data pribadi diarahkan ke yurisdiksi tanpa kecukupan yang ditetapkan. Dokumentasi mekanisme transfer diperlakukan sebagai persyaratan akuntabilitas, bukan opsional.
Pengungkapan bahasa Arab
Meskipun PDPL tidak mewajibkan bahasa Arab, Kantor Data telah mengindikasikan bahwa pengungkapan harus tersedia dalam bahasa Arab di mana audiens terutama berbahasa Arab, baik untuk aksesibilitas maupun untuk tujuan pembuktian.
Daftar Periksa Kepatuhan Praktis
Enam pertanyaan konkret untuk dijawab bagi banner cookie mana pun yang melayani lalu lintas UAE.
1. Persetujuan afirmatif sebelum pelacakan
Apakah cookie non-esensial diblokir di tingkat pemuat skrip sampai pengunjung mengambil tindakan afirmatif? Memuat banner sebelumnya di atas pelacak yang sudah aktif adalah pelanggaran per se.
2. Kategori terperinci
Apakah banner memisahkan kategori yang diperlukan, analitik, dan iklan, dengan sakelar independen? Terima-semua yang dibundel tanpa perincian adalah cacat.
3. Ketersediaan bahasa Arab
Apakah banner mendeteksi pengunjung berbahasa Arab dan menyajikan dalam bahasa Arab secara default, dengan bahasa Inggris sebagai alternatif yang dapat dialihkan? Kantor Data telah secara eksplisit menandai aksesibilitas bahasa.
4. Akses penarikan
Apakah kontrol penarikan persisten dan dapat dijangkau dari setiap halaman? Pengaturan multi-langkah yang terkubur dalam tautan footer gagal memenuhi standar "semudah menarik seperti memberikan".
5. Dokumentasi transfer lintas batas
Untuk setiap cookie yang memicu transfer internasional, apakah mekanisme transfer (kecukupan, perlindungan kontraktual, derogasi) didokumentasikan dan dapat ditampilkan atas permintaan?
6. Pencatatan persetujuan
Apakah sistem merekam setiap keputusan persetujuan dengan cap waktu, versi banner, pilihan, dan yurisdiksi pengunjung sehingga publisher dapat menjawab pertanyaan Kantor Data dengan bukti?
Di Mana PDPL Cocok dalam Gambaran Regional
UAE PDPL adalah salah satu dari beberapa kerangka privasi Teluk yang telah mulai berlaku dalam beberapa tahun terakhir — PDPL Arab Saudi, Undang-Undang Perlindungan Data Pribadi Bahrain, Undang-Undang Privasi Data Pribadi Qatar, dan Undang-Undang Perlindungan Data Pribadi Oman semuanya beroperasi berdampingan dengannya. Standar substantif di seluruh wilayah sedang konvergen pada prinsip-prinsip selaras GDPR, dengan variasi nasional dalam arsitektur pengawasan, mekanisme transfer, dan pengecualian sektoral. Bagi publisher yang beroperasi di seluruh Teluk, membangun satu kali dengan standar yang lebih tinggi — persetujuan terperinci, penarikan persisten, transfer yang terdokumentasi, dukungan bahasa Arab, pencatatan tingkat audit — menangani kepatuhan regional melalui infrastruktur CMP yang sama yang menangani kepatuhan Eropa. UAE, dalam banyak hal, adalah penanda arah regional: ke mana Kantor Data bergerak, regulator tetangga cenderung mengikuti.