Египеттің 2020 жылғы №151 Дербес деректерді қорғау туралы заңы бойынша куки келісімінің сәйкестік нұсқаулығы: Баспагерлерге арналған 2026 жылғы ойын кітабы
Египеттің 2020 жылғы №151 Дербес деректерді қорғау туралы заңы — әдетте египеттік PDPL деп аталады — 15 July 2020 жылы жарияланды және 14 October 2020 жылы күшіне енді. Содан бері өткен кезеңнің көп бөлігінде атқарушы ережелердің болмауы заңның орындалатын режим ретінде емес, принциптерді жариялау ретінде жұмыс істеуіне алып келді. Ministry of Communications and Information Technology-ге бекітілген, заң бойынша құрылған реттеуші орган Personal Data Protection Centre өзінің жедел шеңберін, лицензия талаптарын және заң қалдырған атқарушы ережелерді жариялаған кезде жағдай өзгерді. 2026 жылға қарай режим толық жедел жұмыс істейді, деректерді бақылаушылар мен өңдеушілерге лицензия беру жолы белсенді, ал Египетте жұмыс істейтін немесе Египетті нысана алған баспагерлер ескі аймақтық кез-келген үлгіге қарағанда GDPR-ға жақынырақ отандық келісім стандартына бағынады. Куки келісіміне тікелей салдары: ескі режимде Египетте жұмыс істеген баннер енді жеткіліксіз, ал GDPR-ға сәйкес баннер екі шеңбердің алшақтайтын тармақтарын ескеріп интеграциялаған кезде ғана PDPL талаптарын қанағаттандырады.
Египеттің PDPL шын мәнінде не талап етеді
Заң бақылаушының немесе өңдеушінің тіркелген жерінен тәуелсіз египеттік тұрғындардың дербес деректерін өңдеуге және деректер субъектілерінің орналасқан жерінен тәуелсіз Египетте тіркелген бақылаушылар мен өңдеушілерге қолданылады. Бұл аумақтан тыс қолданылу GDPR 3-бабын қайталайды және Египеттен тыс орналасқан, бірақ египеттік оқырмандары, қосымша орнатулары немесе ақылы тұтынушылары бар баспагердің нақты қолданылу аясына кіретінін білдіреді. Дербес деректер анықталған немесе анықталуы мүмкін жеке адамға қатысты кез-келген деректер ретінде кеңінен анықталады; сезімтал дербес деректер — оның ішінде денсаулық, биометриялық, генетикалық, психикалық денсаулық, қаржылық, діни нанымдар, саяси пікір және қылмыстық сотталу деректері — неғұрлым жоғары келісім шегіне және қосымша қорғауларға бағынады.
Заң өңдеудің заңдық негіздерін, деректер субъектілерінің стандартты құқықтарының жиынтығын — қолжетімділік, түзету, жою, шектеу, қарсылық және тасымалдану — бақылаушы-өңдеуші есептілік шеңберін, бұзу туралы хабарлау міндеттемелерін, шекараны кесіп өтетін тасымалдауды бақылауды және ауыр немесе қайталанатын бұзушылықтар үшін EGP 100 000-нан EGP 5 миллионға дейін айыппұлдары бар әкімшілік санкциялар режимін белгілейді. Ең ауыр санаттарға — оның ішінде рұқсатсыз шекараны кесіп өтетін тасымалдауға және рұқсатсыз сезімтал деректерді өңдеуге — қылмыстық санкциялар қолданылады.
PDPL куки келісімін нақты қалай реттейді
ЕО-ның ePrivacy директивасынан айырмашылығы, PDPL куки файлдарына қатысты бөлек ереже қамтымайды. Куки файлдары және ұқсас сақтау-және-қолжетімділік технологиялары жалпы келісім шеңберіне кіреді: заңдық негіз ретінде келісімге сүйенетін дербес деректерді өңдеудің барлығы деректер субъектісінің анық, ерікті, нақты және құжатталған келісімі негізінде алынуы тиіс. Personal Data Protection Centre ережелердің кезең-кезеңмен енгізілуі кезеңінде жарияланған нұсқаулықта алдын ала белгіленген жолаяқ жолдары, шолуды жалғастырудан шығарылатын жасырын келісім және жиынтық келісім баннерлері заңның стандартын қанағаттандырмайтынын растады. Бұл Египетті жаһандық бағытпен үйлестіреді және баспагерлердің EEA үшін қазірдің өзінде сақтайтын іс жүзіндегі тәсілі египеттік трафик үшін дұрыс бастапқы нүкте екенін білдіреді.
Іс жүзіндегі салдары — қызметті ұсыну үшін қатаң қажетті емес куки файлдары мен кез-келген ұқсас технологиялар пайдаланушы белсенді келісімін бергенге дейін орнатылмауы тиіс. Қатаң қажетті куки файлдары — сеанс идентификаторлары, себет мазмұны, қауіпсіздік таңбалауыштары, жүктемені теңестіру куки файлдары — пайдаланушы қызметті белсенді сұрады деген негізде келісімсіз орнатылуы мүмкін. Қалғанының барлығы — аналитика, жарнама, жекелендіру, A/B тестілеу, сеансты қайта ойнату және кез-келген үшінші тарап тегі — алдын ала келісімді талап етеді.
PDPL практикада GDPR-дан қалай өзгешеленеді
Интеграция деңгейінде үш айырмашылық маңызды. Біріншіден, PDPL сезімтал дербес деректерді өңдеуге келісімді жазбаша немесе бақылаушы сұраныс бойынша ұсына алатын құжатталған электрондық баламасы арқылы алуды талап етеді — GDPR-дің анық келісім талабынан жоғары дәлелдемелік стандарт. Екіншіден, PDPL лицензия режимін белгілейді: бақылаушылар мен өңдеушілер Personal Data Protection Centre-де тіркелуі тиіс, ал кейбір өңдеу санаттары — оның ішінде шекараны кесіп өтетін тасымалдау және тікелей маркетинг — бөлек жедел лицензияны қажет етеді. Үшіншіден, PDPL-дің шекараны кесіп өтетін тасымалдау ережелері Орталықтың жеткіліктілік тағайындауын, мақұлданған шарттық қорғауды немесе деректер субъектісінің анық келісімін талап етеді; тағайындаусыз немесе қорғаусыз юрисдикцияларға тасымалдау алушының өзінің сәйкестік тұрғысынан тәуелсіз шектеледі.
PDPL бойынша сәйкес куки баннері қандай көрінеді
Техникалық талаптар әрбір заманауи CMP қазірдің өзінде шығаратынмен қосылады, бірақ таңбалау, құжаттама және келісім журналы египеттік ерекшеліктерді көрсетуі тиіс. Бірінші деңгейлі баннер пайдаланушыға нақты таңдау — қабылдау, бас тарту, басқару — ұсынуы тиіс, мұнда бас тарту опциясы қабылдау опциясы сияқты кем дегенде ерекше болады. Жиынтық келісім тыйым салынған, сондықтан екінші деңгей кем дегенде аналитика, жарнама және шекараны кесіп өтетін тасымалдауға тәуелді кез-келген өңдеуді қамтитын санат бойынша opt-in мүмкіндігін беруі тиіс. Санаттар әдепкі бойынша өшіру режимінде болуы тиіс; баннер пайдаланушы оларды белсенді түрде қосқанша тегтерді жүктемеуі тиіс.
Баннерден берілетін құпиялылық туралы хабарлама бақылаушыны, қолданылатын болса бақылаушының PDPL лицензия нөмірін, жиналатын дербес деректер санаттарын, әрбір өңдеу мақсатының заңдық негізін, деректерді сақтау мерзімін, Египеттен тыс орналасқан қосалқы өңдеушілерді қоса алғанда алушылар санаттарын, заң бойынша деректер субъектісінің құқықтарын және шағымдар үшін Personal Data Protection Centre-нің байланыс деректерін анықтауы тиіс. GDPR 13-бабының стандартын қанағаттандыратын хабарлама едәуір қабаттасады, бірақ египеттік лицензия және Орталықтың байланыс жолдары нақты қосылуы тиіс.
Personal Data Protection Centre тексеруінен өтетін интеграция үлгісі
Анықтамалық іске асырудың төрт жылжымалы бөлігі бар. Біріншісі — санат бойынша, әдепкі-өшіру opt-in-ды қолдайтын және баспагер сақтай алатын құрылымдық келісім жолы арқылы пайдаланушының таңдауын ашатын CMP. Екіншісі — маңызды емес куки файлы орнатылмастан бұрын келісім күйін қатаң орындайтын тег жүктеу деңгейі — сервер жағындағы тег менеджері немесе CMP-нативті қақпа. Үшіншісі — сервер жағында сақталатын, әрбір келісім оқиғасына арналған пайдаланушының санат бойынша таңдауын, уақыт белгісін, баннер нұсқасын және бақылаушы Орталық сұранысы бойынша жазбаны ұсына алатындай қысқартылған немесе хэшталған IP идентификаторын жазатын келісім журналы. Төртіншісі — кем дегенде бастапқы беру сияқты оңай кері қайтару жолы — әдетте нижнем тізімдегі тұрақты баннерді қайта ашу сілтемесі.
- Аналитика тегтері — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — тек аналитика санаты берілгеннен кейін жүктелуі тиіс. Әрбір платформа қақпа ашылмастан бұрын кез-келген куки жазуды болдырмайтын келісіммен қоршалған конфигурацияны қолдайды.
- Жарнама тегтері — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, бағдарламатық header bidder-лер — ұқсас түрде қоршалуы тиіс, ал жарнамалық серіктес Египеттен тыс деректер тасымалдаған жерде алушы юрисдикция құпиялылық туралы хабарламада көрсетілуі тиіс. Орталықтың нұсқауы бойынша жалпылама жаһандық қызмет провайдерлері өңдейді жариялауы жеткіліксіз.
- Сеансты қайта ойнату және жылу карта құралдары — Hotjar, Microsoft Clarity, FullStory — кіріс өрістерін көрсету үшін анық және егжей-тегжейлі келісім қажет деген EDPB көзқарасымен Орталық сәйкестендірілгендіктен бөлек, қатаңырақ қақпаның артында болуы тиіс.
- Шекараны кесіп өтетін тасымалдауды жариялау әрбір алушы юрисдикцияға арнайы болуы тиіс және тасымалдаудың заңдық негізіне — мақұлданған шарттық қорғауға, жеткіліктілік тағайындауына немесе деректер субъектісінің анық келісіміне — сілтеме жасауы тиіс.
2026 жылға арналған тексеру, лицензиялау және аудит тұрғысы
2026 жылғы қорғалатын египеттік орналастыру төрт техникалық тексеруден өтуі тиіс. Біріншіден, египеттік IP мекенжайынан берілген таза браузер сеансы баннер іске қосылмастан бұрын нөлдік маңызды емес куки файлдарын шығаруы тиіс. Екіншіден, барлығын бас тарту жолы іс-әрекетсіз сеанс сияқты бірдей тұрғыға — аналитика тегтері жоқ, жарнама тегтері жоқ, сеансты қайта ойнату сценарийлері жоқ — алып келуі тиіс. Үшіншіден, барлығын қабылдау ағыны тек пайдаланушы келісім берген тегтерді шығаруы тиіс, ал келісім журналы сәйкес жазбаны қамтуы тиіс. Төртіншіден, кері қайтару ағыны тегтердің одан әрі жануын дереу тоқтатуы, келісімді сеанс кезінде орнатылған куки файлдарын мерзімінен өткізуі және алушы серіктестер талап ететін ағынды жою немесе opt-out сигналдарын іске қосуы тиіс.
Техникалық тексерулерден тысқары, лицензиялау және аудит тұрғысы орналастыруды қорғалатын ететін нәрсе. Атқарушы ережелер белгіленген шектерден жоғары египеттік тұрғындардың дербес деректерін өңдейтін бақылаушылар Personal Data Protection Centre-де тіркелуі тиіс, ал тіркеу жазбасы — келісім журналымен, құпиялылық туралы хабарламамен, жоғары тәуекелді өңдеуге арналған деректерді қорғауға әсерді бағалау нәтижелерімен және кез-келген шекараны кесіп өтетін тасымалдау рұқсаттарымен бірге — Орталық сәйкестікті тексеру кезінде сұрауы мүмкін құжаттаманы қалыптастырады. Сервер жағындағы журналы бар дұрыс конфигурацияланған CMP, келісім күйін орындайтын тег жүктеу деңгейі, шекараны кесіп өтетін тасымалдаудың әрбір тағайынды орнын атайтын құпиялылық туралы хабарлама және файлдағы лицензиялау құжаттамасы египеттік PDPL-ді реттеушілік белгісізден баспагердің MENA-аймақ келісім тұрғысының қорғалатын бөлігіне айналдыратын нәрсе.