UAE PDPL Leiðarvísir um Samþykki fyrir Kökur: Federal Decree-Law 45 of 2021 fyrir Útgefendur
Sameinuðu arabísku furstadæmin samþykktu lög um persónuvernd seint árið 2021 og tóku þau gildi á eftirfarandi ári. Federal Decree-Law 45 of 2021, þekkt sem PDPL, er fyrsta yfirgripsmikla sambandslagalög um persónuvernd landsins, og taka þau mikið mið af skipulagi GDPR á meðan helstu ákvæði eru aðlöguð að sambandslögum UAE og gagnstaðsetningarsjónarmiðum landsins. Fyrir útgefendur sem starfa í eða miða á umferð frá UAE — markað sem hefur stækkað verulega með vexti svæðisbundins rafverslun, fjártækni og Dubai- og Abu Dhabi-byggðrar meðalgígsmiðlafyrirtækja — breyttu PDPL samþykki fyrir kökum úr mjúkri væntingu í sambandslagalega fylgniskyldu. Þessi leiðarvísir fer yfir hvernig PDPL meðhöndlar vefrakningar, hvar UAE Gagnaskrifstofan beinir framfylgni, og hvaða hagnýtar afleiðingar það hefur fyrir hönnun köku-borða og CMP-stillingu.
Lagaleg rammi PDPL
PDPL á við um vinnslu persónuupplýsinga íbúa UAE, hvort sem vinnslan á sér stað inni í UAE eða utan þess, og hvort sem stjórnandi eða vinnsluaðili er með staðfestu í UAE eða starfar erlendis frá. Landsvíðar gildissvið er því utan landsvegar á sama hátt og GDPR er — útgefandi sem starfar frá London eða Singapúr og vinnur gögn um íbúa UAE er í gildissviðinu. Eftirlitsyfirvaldið er UAE Gagnaskrifstofan, stofnuð undir sama löggjafarpakka, sem hefur tekið á sig mælt en sífellt virkara framfylgniafstöðu.
Meginreglur PDPL verða kunnuglegar hverjum þeim sem hefur unnið með GDPR: löglegur grundvöllur, markmiðstakmörk, gagnalágmörkun, nákvæmni, geymsluákvörðun, heilleiki og trúnaður, og ábyrgð. Löglegir grundvallir samkvæmt Article 4 fela í sér samþykki, samningsskyldur, lagalegar skyldur, lífsmikilvægar hagsmunir, almannahagsmunir og lögmætar hagsmunir, hvert með sín eigin gildissvið og skilyrði. Fyrir vefrakningu eru viðeigandi grundvallir samþykki og, við þröngar aðstæður, lögmætir hagsmunir. Foruppsett kökur sem safna persónuupplýsingum án samþykkis eru brot á sama hátt og þær væru undir GDPR.
Hvað telst persónuupplýsingar undir PDPL
Skilgreining PDPL á persónuupplýsingum er víð og fylgir GDPR náið: öll gögn sem tengjast auðþekktu eða auðþekkilegu einstaklingi, þar með talið netauðkenni. Kökur sem varanlega auðkenna tæki, IP-tölur sem vinnsluar samhliða öðrum gögnum, auglýsingaauðkenni og fingrafarástríðsauðkenni falla öll undir gildissvið. Framkvæmdareiðkvæðniákvæðni Gagnaskrifstofunnar hefur staðfest að greining sem beitt er á hegðunar- og auglýsingakökur í EU gildir í grundvallaratriðum á sama formi í UAE — hvað er frábrugðið er framfylgniarkitektúrinn, ekki efnislegar staðlar.
PDPL skilgreinir einnig flokk viðkvæmra persónuupplýsinga með strangari meðhöndlunarkröfum, sem ná yfir heilsufarsupplýsingar, erfða- og lífræðaupplýsingar, trúarleg skoðun, sakaskrárskrá og svipaðar flokkar. Kökur sem fanga eitthvað af þessum gögnum krefjast skýrs samþykkis og viðbótarverndar.
Samþykki fyrir kökum undir PDPL
PDPL inniheldur ekki kakasértækt ákvæði á þann hátt sem ePrivacy-tilskipun EU gerir. Í staðinn streymir samþykkiskrafan frá Article 6, sem kveður á um almenna staðal fyrir gilt samþykki: það verður að vera sértækt, ótvírætt, upplýst og gefið frjálst, og gagnaeigandinn verður að geta dregið samþykki til baka jafn auðveldlega og hann gaf það. Gagnaskrifstofan hefur túlkað þennan staðal þannig að hann krefst:
- Skýrrar staðfestingaraðgerðar áður en ótilvinnanlegar kökur hafa áhrif. Haldið er áfram að vafra, skruna eða gefin samþykki er ekki nóg.
- Nákvæmra flokkastýringa sem aðskilja stranglega nauðsynlegar kökur frá greiningum og frá auglýsingum, með heimsóknandanum sem getur tekið við sumum og hafnað öðrum.
- Skýrs afturkallingarbúnaðar sem hægt er að ná frá hvaða síðu sem er þar sem rakning er virk, með afturköllun sem tekur gildi strax.
- Skjölunum samþykkisákvörðunarinnar sem er nóg til að uppfylla ábyrgðarkröfuna samkvæmt Article 5.
Í reynd er þetta sama starfsstaðallinn sem útgefandi myndi byggja fyrir GDPR. Borði sem stenst EDPB Cookie Banner Taskforce-viðmið mun uppfylla PDPL; sá sem mistekst þær mun einnig mistakast undir PDPL-skoðun.
Milliríkjaflutningur gagna
Eitt af greinilegustu einkennum PDPL er milliríkjaflutningsrammi þess. Article 22 og Article 23 PDPL kveða á um skilyrði þar sem hægt er að flytja persónuupplýsingar utan UAE, skipulögð eftir línum sem samsvarar — en speglar ekki eins — Kafla V GDPR.
Fullnægjandi-stíll tilnefningar
PDPL leyfir Gagnaskrifstofunni að tilnefna lönd sem veita fullnægjandi vernd. Núverandi listi er styttri en Evrópuframkvæmdastjórnarinnar og er búist við að þróast. Þar til land er tilnefnt, krefjast flutningar einnar hinna lögmætu mekanísma.
Staðlaðar samningslegar fyrirkomulag
PDPL leyfir flutnings sem eru studdir af viðeigandi samningslegar verndar, svipað og uppbyggingu EU SCCs. Margir UAE-stjórnendur starfa með sérsniðnum samningsviðaukum sem Gagnaskrifstofan skoðar að beiðni.
Sértækar frávikar
Skýrt samþykki, samningsskyldur og lífsmikilvægar frávikar eru aðgengilegar en þröng túlkaðar. Venjulegt treyst á samþykki fyrir flutning — sem undir GDPR er oft talin undantekningarleg frekar en kerfisbundin — er meðhöndlað á svipaðan hátt hér.
Fyrir vefútgefendur er hagnýt áhrif að samþykkisskrár kökunnar þarf nú einnig að styðja flutningaábyrgðarskyldur. Ef gestur í UAE tekur við kökum sem leiða gögn þeirra til bandarísks auglýsingatæknilánardrottins, þarf CMP að geta borið upp flutningsgagnið sem heimilar þá flæði.
Geira- og frjálsverslunarssvæðis-Sjónarmiðin
Persónuverndarlans UAE er lagskiptur. Sambandslög PDPL gilda víðtækt, en nokkur frjálsverslunarsvæði — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM), og Dubai Healthcare City — starfrækja eigin persónuverndarkerfi sem fóru á undan PDPL. DIFC Persónuverndarlög nr. 5 of 2020 og ADGM Persónuverndarreglugerðir 2021 eru bæði GDPR-samræmd og gilda innan viðkomandi svæðis. Útgefendur sem starfa yfir mörg svæði verða að samræma sambandslagalegar PDPL við viðeigandi frjálsverslunarsvæðisramma; í flestum tilvikum samræmast efnislegir staðlar en eftirlitsgátt er frábrugðin.
Hvað Gagnaskrifstofan hefur gefið til kynna
UAE Gagnaskrifstofan hefur verið meðvituð um framfylgniafstöðu sína, forgangsraðað uppbyggingu getu, geirakráðgjöf og háprófíl-málum yfir mikið-magnsgjalds-kerfi. Opinber leiðarvissar hafa lagt áherslu á:
Hönnun borða
Gagnaskrifstofan hefur samræmt EDPB-stíl viðmið á hönnun borða, meðhöndlað vantar höfnunarhnappa, villandi hlekka-stíl og forhakkaðar gátreitir sem algengar gallar sem þarf að laga. Væntingin er samræming við Evrópustaðla.
Milliríkja-gegnsæi
Skrifstofan hefur gefið til kynna að alþjóðlegir flutningar verða sérstakt áherslusvið, sérstaklega þar sem persónuupplýsingar eru leiddar til lögsögu án tilnefndrar fullnægjingar. Skjölunum flutningsmekanísma er meðhöndlað sem ábyrgðarkrafa, ekki valfrjáls.
Arabískt tungumál-upplýsingargjöf
Þótt PDPL kveði ekki á um arabíska, hefur Gagnaskrifstofan gefið til kynna að upplýsingargjöf skuli vera tiltæk á arabísku þar sem markhópur er aðallega arabískmálandi, bæði vegna aðgengis og í sönnunarskyni.
Hagnýt fylgnigátlisti
Sex þykkar spurningar til að svara fyrir hvaða köku-borða sem þjónar UAE-umferð.
1. Staðfestingarsamþykki áður en rakning
Eru ótilvinnanleg kökur læst á skipulagshlauparásartigi þar til gesturinn tekur staðfestingaraðgerð? Forhleðsla borðans yfir þegar-eldandi rekjum er sjálfstætt brot.
2. Nákvæmar flokkar
Aðskilur borðinn nauðsynlega, greininga- og auglýsingaflokka, með sjálfstæðum skiptum? Þyrpta samþykkt-allt án nákvæmni er galli.
3. Arabískt tungumál tiltæki
Skynjar borðinn arabískmálandi gesti og kynnir á arabísku sjálfgefið, með ensku sem skipanlegt val? Gagnaskrifstofan hefur sérstaklega merkt tungumálaaðgengi.
4. Afturkallingaraðgangur
Er afturkallingarstýringin varanleg og aðgengileg frá hverri síðu? Margreðistigi stillingar grafnar í fótlæs-hlekk uppfylla ekki staðalinn „jafn auðvelt að afturkalla og gefa".
5. Milliríkjaflutnings-skjöl
Fyrir hverja köku sem kveikir á alþjóðlegum flutningi, er flutningsmekanísmi (fullnægjing, samningsvörn, frávík) skjalfestur og hægt að sýna við beiðni?
6. Samþykkisskráning
Skráir kerfið hverja samþykkisákvörðun með tímastimpli, borðaútgáfu, vali og lögsögu gests svo útgefandinn geti svarað fyrirspurn Gagnaskrifstofunnar með sönnunargögnum?
Hvar PDPL passar inn í svæðismyndina
UAE PDPL er eitt af nokkrum Persaflóalanda-persónuverndarkerfum sem hafa tekið gildi á síðastliðnum árum — PDPL Sádi-Arabíu, persónuverndarlög Barein, persónuverndarlög Katar og persónuverndarlög Óman starfa öll samhliða þeim. Efnislegir staðlar um svæðið eru að samræmast GDPR-samræmdum meginreglum, með þjóðlegar breytileiki í eftirlitsarkitektúr, flutningsmekanísma og geirundanþágor. Fyrir útgefendur sem starfa um Persaflóann, að byggja einu sinni við hærri staðalinn — nákvæmt samþykki, varanleg afturköllun, skjalfest flutningur, arabískt tungumálstuðningur, úttektarstigsleg skráning — meðhöndlar svæðisreglufylgni í gegnum sama CMP-innviðana sem meðhöndlar Evrópu-reglufylgni. UAE er, að mörgu leyti, svæðisleiðarinn: þangað sem Gagnaskrifstofan ferst, hafa nágranna-eftirlitsmenn tilhneigingu til að fylgja.