UAE PDPL ქუქი-ფაილების თანხმობის სახელმძღვანელო: Federal Decree-Law 45 of 2021 გამომცემლებისთვის
არაბეთის გაერთიანებულმა საემიროებმა 2021 წლის ბოლოს მიიღო პერსონალური მონაცემების დაცვის კანონი და შემდეგ წელს ამოქმედდა. Federal Decree-Law 45 of 2021, რომელიც ცნობილია როგორც PDPL, ქვეყნის პირველი ყოვლისმომცველი ფედერალური კონფიდენციალობის წესდებაა და ის მეტწილად GDPR-ის სტრუქტურიდან იღებს შთაგონებას, ამასთანავე ძირითად დებულებებს UAE-ის ფედერალურ კანონსა და ქვეყნის მონაცემთა ლოკალიზაციის მოსაზრებებთან ადაპტირებს. UAE-ში მოქმედი ან UAE-ის ტრაფიკზე ორიენტირებული გამომცემლებისთვის — ბაზარი, რომელიც მკვეთრად გაფართოვდა რეგიონული ელ-კომერციის, ფინტექის და Dubai-სა და Abu Dhabi-ზე დაფუძნებული ჰიპერმასშტაბური მედიასაწარმოების ზრდასთან ერთად — PDPL-მა ქუქი-ფაილებზე თანხმობა რბილი მოლოდინიდან ფედერალურ შესაბამისობის ვალდებულებად გადაქცია. ეს სახელმძღვანელო განიხილავს, თუ როგორ ეპყრობა PDPL ონლაინ თვალთვალს, სად ამახვილებს UAE-ის მონაცემთა ოფისი ყურადღებას აღსრულებისას, და რა პრაქტიკული შედეგები აქვს ეს ქუქი-ბანერის დიზაინსა და CMP კონფიგურაციაზე.
PDPL-ის სამართლებრივი ჩარჩო
PDPL ვრცელდება UAE-ის მაცხოვრებლების პერსონალური მონაცემების დამუშავებაზე, მიუხედავად იმისა, ხდება თუ არა დამუშავება UAE-ში ან მის გარეთ, და მიუხედავად იმისა, UAE-ში არის თუ არა დაფუძნებული კონტროლიორი ან დამამუშავებელი, ან საგარეო ქვეყნიდან მოქმედებს. ტერიტორიული სფერო ამდენად ექსტრატერიტორიულია GDPR-ის მსგავსად — ლონდონიდან ან სინგაპურიდან მოქმედი გამომცემელი, რომელიც UAE-ის მაცხოვრებლების მონაცემებს ამუშავებს, სფეროს ფარგლებშია. სამეთვალყურეო ორგანოა UAE-ის მონაცემთა ოფისი, რომელიც იმავე საკანონმდებლო პაკეტის ფარგლებში შეიქმნა და გაზომული, მაგრამ სულ უფრო აქტიური პოზიცია მიიღო აღსრულებასთან დაკავშირებით.
PDPL-ის ძირითადი პრინციპები ნაცნობი იქნება ნებისმიერი ადამიანისთვის, ვინც GDPR-თან მუშაობდა: კანონიერი საფუძველი, მიზნის შეზღუდვა, მონაცემთა მინიმიზაცია, სიზუსტე, შენახვის შეზღუდვა, მთლიანობა და კონფიდენციალობა, და ანგარიშვალდებულება. Article 4-ის მიხედვით კანონიერ საფუძვლებში შედის: თანხმობა, ხელშეკრულების შესრულება, სამართლებრივი ვალდებულება, სასიცოცხლო ინტერესები, საზოგადოებრივი ინტერესი და კანონიერი ინტერესები, თითოეული საკუთარი სფეროსა და პირობებით. ონლაინ თვალთვალისთვის რელევანტური საფუძვლებია თანხმობა და, შეზღუდულ გარემოებებში, კანონიერი ინტერესები. წინასწარ დაინსტალირებული ქუქი-ფაილები, რომლებიც პირად მონაცემებს თანხმობის გარეშე აგროვებს, წარმოადგენს დარღვევას, ისევე როგორც GDPR-ის ქვეშ.
რა ითვლება პერსონალურ მონაცემებად PDPL-ის მიხედვით
PDPL-ის პერსონალური მონაცემების განმარტება ფართოა და GDPR-ს ახლოდან მიჰყვება: ნებისმიერი მონაცემი, რომელიც ეხება იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირს, მათ შორის ონლაინ იდენტიფიკატორებს. ქუქი-ფაილები, რომლებიც მოწყობილობას მუდმივად ადასტურებს, სხვა მონაცემებთან ერთად დამუშავებული IP მისამართები, სარეკლამო ID-ები და თითის ანაბეჭდის სტილის იდენტიფიკატორები ყველა შედის სფეროში. UAE-ის მონაცემთა ოფისის განხორციელების სახელმძღვანელო ადასტურებს, რომ EU-ში ქცევითი და სარეკლამო ქუქი-ფაილების მიმართ გამოყენებული ანალიზი არსებითად იგივე ფორმით გამოიყენება UAE-შიც — ის, რაც განსხვავებულია, არის აღსრულების არქიტექტურა, არა არსებითი სტანდარტი.
PDPL ასევე განსაზღვრავს განსაკუთრებულად პირადი მონაცემების კატეგორიას უფრო მკაცრი დამუშავების მოთხოვნებით, რომლებიც მოიცავს ჯანმრთელობის ინფორმაციას, გენეტიკურ და ბიომეტრულ მონაცემებს, რელიგიურ რწმენას, სისხლის სამართლის ჩანაწერს და მსგავს კატეგორიებს. ამ მონაცემების შემცველი ქუქი-ფაილები მოითხოვს პირდაპირ თანხმობას და დამატებით დაცვის ზომებს.
ქუქი-ფაილებზე თანხმობა PDPL-ის ქვეშ
PDPL არ შეიცავს ქუქი-ფაილებისთვის სპეციფიკური დებულებას, EU-ის ePrivacy დირექტივის მსგავსად. ამის ნაცვლად, თანხმობის მოთხოვნა Article 6-დან გამომდინარეობს, რომელიც ადგენს მოქმედი თანხმობის ზოგად სტანდარტს: ის უნდა იყოს სპეციფიკური, ცალსახა, ინფორმირებული და თავისუფლად გაცემული, და მონაცემთა სუბიექტს უნდა შეეძლოს თანხმობა იმდენივე სიმარტივით გაიხმოს, რამდენადაც გასცა. UAE-ის მონაცემთა ოფისმა ეს სტანდარტი შემდეგნაირად განმარტა:
- მკაფიო დადასტურებითი ქმედება არაარსებითი ქუქი-ფაილების ამოქმედებამდე. გვერდის გახსნის გაგრძელება, გადახვევა ან გულისხმიერი თანხმობა არ არის საკმარისი.
- დეტალური კატეგორიების მართვა მკაცრად საჭირო ქუქი-ფაილების გამოყოფით ანალიტიკისა და რეკლამისგან, ვიზიტორის შესაძლებლობით მიიღოს ზოგიერთი და უარყოს სხვები.
- გარკვეული გახმობის მექანიზმი, რომელიც ხელმისაწვდომია ნებისმიერი გვერდიდან, სადაც თვალთვალი აქტიურია, გახმობა კი მყისიერად ამოქმედდეს.
- თანხმობის გადაწყვეტილების დოკუმენტაცია, საკმარისი Article 5-ის ანგარიშვალდებულების მოთხოვნის დასაკმაყოფილებლად.
პრაქტიკაში ეს იგივე ოპერაციული სტანდარტია, რომელსაც გამომცემელი GDPR-ისთვის შეიმუშავებდა. ბანერი, რომელიც EDPB-ის ქუქი-ბანერის სამუშაო ჯგუფის კრიტერიუმებს პასუხობს, PDPL-ს დააკმაყოფილებს; ის, ვინც ვერ აკმაყოფილებს, PDPL-ის გადახედვის ქვეშ ასევე ვერ გაივლის.
მონაცემთა საზღვარგარეთ გადაცემა
PDPL-ის ყველაზე გამორჩეული თვისებებიდან ერთ-ერთი არის საზღვარგარეთ გადაცემის ჩარჩო. PDPL-ის Article 22 და Article 23 ადგენს პირობებს, რომლითაც პერსონალური მონაცემები UAE-ს გარეთ შეიძლება გადაიცეს, GDPR-ის V თავს შესაბამის — მაგრამ ერთნაირ — სტრუქტურაში.
სათანადოობის ტიპის დანიშნულებები
PDPL საშუალებას აძლევს UAE-ის მონაცემთა ოფისს, მოახდინოს ქვეყნების კვალიფიცირება, როგორც სათანადო დაცვის მომწოდებლებისა. მიმდინარე სია უფრო მოკლეა, ვიდრე ევროპის კომისიისა, და მოსალოდნელია განვითარება. სანამ ქვეყანა არ იქნება კვალიფიცირებული, გადაცემა სხვა კანონიერ მექანიზმს მოითხოვს.
სტანდარტული სახელშეკრულებო მოწყობა
PDPL საშუალებას იძლევა, მოხდეს სათანადო სახელშეკრულებო გარანტიებით მხარდაჭერილი გადაცემები, EU SCCs-ის სტრუქტურის მსგავსი. UAE-ის ბევრი კონტროლიორი ფუნქციონირებს სპეციალური სახელშეკრულებო დანართებით, რომლებსაც UAE-ის მონაცემთა ოფისი მოთხოვნისამებრ განიხილავს.
სპეციფიკური გამონაკლისები
პირდაპირი თანხმობის, ხელშეკრულების შესრულებისა და სასიცოცხლო ინტერესის გამონაკლისები ხელმისაწვდომია, მაგრამ ვიწროდ განიმარტება. გადაცემებზე თანხმობაზე ჩვეულებრივი დაყრდნობა — რომელიც GDPR-ის ქვეშ ხშირად განიხილება, როგორც გამონაკლისი და არა სისტემური — მსგავსად განიხილება აქ.
ონლაინ გამომცემლებისთვის პრაქტიკული გავლენა ის არის, რომ ქუქი-ფაილების თანხმობის ჩანაწერი ახლა ასევე უნდა ემსახურებოდეს გადაცემის ანგარიშვალდებულების ვალდებულებას. თუ UAE-ის ვიზიტორი ქუქი-ფაილებს ეთანხმება, რომლებიც მათ მონაცემებს აშშ-ის სარეკლამო ტექნოლოგიების მომწოდებელთან გადასცემს, CMP-ს ამ ნაკადის ავტორიზებული გადაცემის ინსტრუმენტის წარდგენა უნდა შეეძლოს.
სექტორული და თავისუფალი ზონების მოსაზრებები
UAE-ის კონფიდენციალობის ლანდშაფტი მრავალშრიანია. ფედერალური PDPL ფართოდ გამოიყენება, მაგრამ რამდენიმე თავისუფალი ზონა — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM) და Dubai Healthcare City — ახორციელებს საკუთარ მონაცემთა დაცვის რეჟიმებს, რომლებიც PDPL-ს წინ უსწრებს. DIFC Data Protection Law No. 5 of 2020 და ADGM Data Protection Regulations 2021 ორივე GDPR-თან შეთანხმებული და შესაბამის ზონებში ვრცელდება. მრავალ ზონაში მოქმედ გამომცემლებს ფედერალური PDPL გამოსაყენებელ თავისუფალი ზონის ჩარჩოსთან შესაფარდებლად სჭირდება; უმეტეს შემთხვევაში, არსებითი სტანდარტები თანხვდება, მაგრამ სამეთვალყურეო არხი განსხვავებულია.
UAE-ის მონაცემთა ოფისის სიგნალები
UAE-ის მონაცემთა ოფისი ფრთხილი ყოფილა აღსრულების პოზიციაში, პრიორიტეტს ანიჭებს შესაძლებლობების განვითარებას, სექტორთან კონსულტაციებს და მაღალ პროფილის საქმეებს, ვიდრე მაღალი მოცულობის ჯარიმის რეჟიმს. საზოგადოებრივი სახელმძღვანელო დოკუმენტები ხაზს უსვამდა:
ბანერის დიზაინი
UAE-ის მონაცემთა ოფისი ბანერის დიზაინზე EDPB-ის სტილის კრიტერიუმებს ეთანხმება, მოარგება ღილაკების არარსებობას, მოტყუებული ბმულების სტილსა და წინასწარ მონიშნულ გამდელ ველებს, როგორც გამოსწორების საჭიროების მქონე გავრცელებული ხარვეზები. მოლოდინი ევროპული ნორმებთან კონვერგენციაა.
საზღვარგარეთ გამჭვირვალობა
ოფისმა მიუთითა, რომ საერთაშორისო გადაცემები განსაკუთრებული ყურადღების ფოკუსი იქნება, განსაკუთრებით მაშინ, როდესაც პერსონალური მონაცემები სათანადოობის კვალიფიცირების გარეშე იურისდიქციებში გადაიყვანება. გადაცემის მექანიზმის დოკუმენტაცია ანგარიშვალდებულების მოთხოვნად განიხილება, არა სურვილისამებრ.
არაბულ ენაზე გამჟღავნება
მიუხედავად იმისა, რომ PDPL არ ავალდებულებს არაბულს, UAE-ის მონაცემთა ოფისმა მიუთითა, რომ გამჟღავნებები არაბულ ენაზე უნდა იყოს ხელმისაწვდომი, სადაც სამიზნე აუდიტორია ძირითადად არაბულენოვანია, როგორც ხელმისაწვდომობის, ასევე მტკიცებულებების მიზნებისთვის.
შესაბამისობის პრაქტიკული საკონტროლო სია
ექვსი კონკრეტული კითხვა, რომლებზეც პასუხი უნდა გაეცეს UAE-ის ტრაფიკს მომსახურე ნებისმიერი ქუქი-ბანერისთვის.
1. დამადასტურებელი თანხმობა თვალთვალამდე
ბლოკირებულია თუ არა არაარსებითი ქუქი-ფაილები სკრიპტ-ჩამტვირთველის დონეზე, სანამ ვიზიტორი დამადასტურებელ ქმედებას არ განახორციელებს? ბანერის წინასწარ ჩატვირთვა უკვე მოქმედ თვალმდევნელებზე თავისთავად დარღვევაა.
2. დეტალური კატეგორიები
ყოფს თუ არა ბანერი საჭირო, ანალიტიკურ და სარეკლამო კატეგორიებს, დამოუკიდებელი გადამრთველებით? დეტალიზაციის გარეშე შეჯამებული „ყველაფრის მიღება" ხარვეზია.
3. არაბული ენის ხელმისაწვდომობა
ამოიცნობს თუ არა ბანერი არაბულენოვან ვიზიტორებს და ნაგულისხმევად წარდგება თუ არა არაბულ ენაზე, ინგლისური კი გადართვადი ალტერნატივის სახით? UAE-ის მონაცემთა ოფისი ენობრივ ხელმისაწვდომობას პირდაპირ მიუთითებს.
4. გახმობაზე წვდომა
მუდმივია თუ არა გახმობის კონტროლი და ხელმისაწვდომია თუ არა ყოველი გვერდიდან? ძირში ბმულში ჩაფლული მრავალეტაპიანი პარამეტრები ვერ პასუხობს „გახმობა ისეთივე მარტივად, როგორც თანხმობა" სტანდარტს.
5. საზღვარგარეთ გადაცემის დოკუმენტაცია
ყოველი ქუქი-ფაილისთვის, რომელიც საერთაშორისო გადაცემას იწყებს, დოკუმენტირებულია და მოთხოვნისამებრ წარდგენადია გადაცემის მექანიზმი (სათანადოობა, სახელშეკრულებო გარანტია, გამონაკლისი)?
6. თანხმობის ჟურნალი
ჩაიწერება თუ არა სისტემაში ყოველი თანხმობის გადაწყვეტილება დროის ნიშნულით, ბანერის ვერსიით, არჩევნით და ვიზიტორის იურისდიქციით, რათა გამომცემელმა მტკიცებულებებით შეძლოს UAE-ის მონაცემთა ოფისის მოთხოვნაზე პასუხის გაცემა?
PDPL-ის ადგილი რეგიონულ სურათში
UAE PDPL ბოლო რამდენიმე წელიწადში ამოქმედებული სპარსეთის ყურის კონფიდენციალობის ჩარჩოების ერთ-ერთია — საუდის არაბეთის PDPL, ბაჰრეინის პირადი მონაცემების დაცვის კანონი, კატარის პირადი მონაცემების კონფიდენციალობის კანონი და ომანის პირადი მონაცემების დაცვის კანონი ყველა მასთან ერთად მოქმედებს. რეგიონის არსებითი სტანდარტები GDPR-ის პრინციპებთან კონვერგენციას განიცდის, სამეთვალყურეო არქიტექტურაში, გადაცემის მექანიზმებსა და სექტორულ გამონაკლისებში ეროვნული ვარიაციებით. სპარსეთის ყურეში მოქმედი გამომცემლებისთვის, ერთხელ უფრო მაღალი სტანდარტით — დეტალური თანხმობა, მუდმივი გახმობა, დოკუმენტირებული გადაცემები, არაბული ენის მხარდაჭერა, აუდიტის დონის ჟურნალი — სამშენებლოება განახორციელებს რეგიონულ შესაბამისობას იმავე CMP ინფრასტრუქტურის მეშვეობით, რომელიც ევროპულ შესაბამისობას მართავს. UAE ბევრი თვალსაზრისით რეგიონული ლიდერია: სადაც UAE-ის მონაცემთა ოფისი მიდის, მეზობელი რეგულატორები ჩვეულებრივ მიჰყვებიან.