PDPL шынымен не екені

PDPL — Сауд Арабиясының бірінші кешенді құпиялылық заңы. Ол 2021 жылы М/19 Корольдік жарлығымен шығарылды, 2023 жылдың наурызында GDPR және ұқсас режимдер белгілеген жаһандық стандартқа мүмкіндігінше жақындату үшін өзгертілді, және бір жылдық рақымшылық мерзімінен кейін 2024 жылдың 14 қыркүйегінде толық күшіне енді. Заң Ұлттық деректерді басқарудың уақытша ережелерін, Бұлттық есептеулердің реттеуші шеңберін және SDAIA ақпарат еркіндігі ережелерін қамтитын кеңірек сауд деректерін басқару стекінде орналасқан — бірақ баспагерлер үшін PDPL cookie-лерді, жарнамалық бақылауды, аналитиканы және веб-сайтқа немесе қосымшаға байланысты кез келген басқа жеке деректерді өңдеуді реттейтін бөлігі болып табылады.

Іске асыру ережелері

PDPL қысқа. Толық мәліметтер SDAIA-ның 2023 жылдың қыркүйегінде жарияланған және 2024-2025 жылдар бойы жетілдірілген екі іске асыру ережелерінде: Іске асыру ережелері (жалпы) және Жеке деректерді беру ережелері (шекараны кесіп өтетін). Бірге олар баспагерлерге келісімнің сапасы, сақтау, бұзушылық туралы хабарлаудың мерзімдері және Сауд тұрғындарының деректерін Корольдіктен тыс жерге жіберу шарттары туралы нақты жауаптар береді. Тек 2021 жылғы мәтінмен жұмыс жасайтындар ескірген картаны оқиды.

Баспагерлер білуге тиіс орындау мерзімі

SDAIA ұйымдарға 2024 жылдың 14 қыркүйегіне дейін толық сәйкестікке жетуге уақыт берді. Аудит хаттарының бірінші толқыны 2024 жылдың соңында қаржы, телекоммуникация және үкіметтік қызметтердегі ірі бақылаушыларға жіберілді. 2025 жылы аудит бағдарламасы жарнамамен қаржыландырылатын медианы, электрондық коммерцияны және Сауд тұрғындары деректерінің белгіленген көлемінен астамын өңдейтін кез келген платформаны қамту үшін кеңейді. 2026 жылға қарай SDAIA шағын және орта баспагерлер енді аясына енгенін білдірді — атап айтқанда арабтілді мазмұны немесе жарнамалық шығыстары әдейі сауд аудиториясын көрсететін кез келген оператор.

SDAIA деректер бақылаушысы деп кімді санайды

PDPL экстерриториялық қолданылады. Заңға сәйкес бақылаушы болу үшін сізге сауд ұйымы, сауд сервері немесе сауд банктік шотыңыздың болуы шарт емес. Егер сіздің сайтыңыз немесе қосымшаңыз Корольдікте тұратын адамдардың жеке деректерін өңдесе, сіз аясынасыз. Баспагерлер үшін бұл ілмек кәдімгі adtech деректер ағынымен іске қосылады: IP мекенжайлары, құрылғы ID-лері, хэшталған электрондық поштар, мінез-құлық cookie-лері және бағдарламалық аукциондарда ағатын пайдаланушы идентификаторлары сауд тұрғынына байланысты болса, барлығы жеке деректер ретінде есептеледі.

Жергілікті өкіл талабы

Корольдікте болмайтын шетелдік бақылаушылар SDAIA-да тіркелген жергілікті өкілді тағайындауы керек. Өкіл деректер субъектісінің сұраулары мен реттеуші хат алысуы үшін заңды байланыс нүктесі болып табылады. Кішірек баспагерлер жергілікті тіркеу орнына жиі жеке деректер қызметі фирмасы арқылы осымен айналысады — бірақ тағайындау тұрақты сауд өңдеуінің шегін кесіп өтсеңіз міндетті болады.

Adtech үшін бірлескен бақылаушы сценарийлері

Бағдарламалық жарнама слотын монетизациялайтын жеткізу тізбегі — сіздің CMP-ңіз, жарнама серверіңіз, сіз шақыратын SSP-лер, бидтейтін DSP-лер, тексеру жеткізушілері және өлшеу серіктестері — GDPR-дегідей PDPL-де де бірлескен және ортақ жауапты бақылаушы қатынастарды жасайды. Баспагерлер PDPL жауапкершілігін жеткізушіге аудара алмайды. SDAIA баспагерден барлық төменгі ағындағы серіктесте өзінің заңды негізі және баспагер келісім баннерінде уәде бергенімен сәйкес келетін шарттық міндеттемелері бар екенін дәлелдеуін күтеді.

Іске асыру ережелеріне сәйкес Cookie келісімі

PDPL келісімді жеке деректерді өңдеудің бір заңды негізі ретінде таниды, және Іске асыру ережелері жарамды келісімнің қандай болып көрінетінін баяндайды. Стандарт жоғары — CCPA-ға қарағанда GDPR-ге жақынырақ — және пайдаланушының құрылғысындағы деректерді оқитын немесе жазатын cookie-лерді, пиксельдерді, SDK-ларды, саусақ ізін алуды және кез келген басқа бақылау технологиясын қамтиды.

Жарамды келісім не болып саналады

Келісім еркін берілген, нақты, хабардар болған негізде және ашық болуы керек. Алдын ала белгіленген жолақтар, пайдаланушы қабылдамаса мазмұнды блоктайтын cookie қабырғалары және екіұшты «шолуды жалғастыру арқылы» хабарламалар стандартты қанағаттандырмайды. Пайдаланушы нық бекітуші әрекет жасауы керек — әдетте Қабылдау батырмасын басу — және бұл әрекет өңдеу мақсаттарының нақты сипаттамасымен байланыстырылуы керек. Аналитиканы, жарнаманы және жекелендіруді бір иә-немесе-жоқ-қа біріктіретін бумалық келісімге тікелей тыйым салынады.

Егжей-тегжейлі мақсат категориялары

SDAIA нұсқаулары баспагер CMP-нің ашуы тиіс мақсат категорияларын тізімдейді: қатаң қажетті, функционалдық, аналитикалық, жарнамалық, жекелендіру және денсаулық немесе биометриялық тұжырымдар сияқты кез келген сезімтал деректерді өңдеу. Әр категорияның өз ауыстырғышы, өз мақсат сипаттамасы және өз жеткізуші тізімі қажет. IAB Europe TCF v2.3 шеңбері, PDPL-ге тән арабша мәтінмен тиісінше кеңейтілген, баспагерлер егжей-тегжейлі талапты қанағаттандыру үшін пайдаланатын ең кең тараған жол болып табылады.

Кері шегіну және қайта келісу

Келісімді кері шегіну құқығы оны беру құқығы сияқты оңай болуы керек. Қалқымалы келісім-параметрлер белгішесі, төменгі колонтитул сілтемесі немесе қосымшадағы параметрлер тақтасы барлығы жарамды; жасырылған тек электрондық поштамен шығу жарамсыз. Баспагерлер материалдық өзгерістер үшін мерзімді қайта келісімді жоспарлауы керек — жаңа жарнама серіктесі, жаңа cookie мақсаты, жаңа SDK — және SDAIA CMP аудит журналы әр қайта келісу оқиғасын уақыт белгісімен жазып алуын күтеді.

Шекараны кесіп өтетін деректерді беру және деректерді оқшаулау

Жеке деректерді беру ережелері баспагерлерді ең ықтимал шатастыратын PDPL бөлігі болып табылады, өйткені Сауд тұрғынының IP мекенжайы бағдарламалық аукционға енген сәтте SSP-лер мен DSP-лер жұмыс жасайтын жерге тиімді түрде берілді. SDAIA мұны еркін ағын ретінде қарастырмайды.

Жеткіліктілік тізімі және стандартты шарттар

Бақылаушы жеке деректерді Корольдіктен тыс үш негізгі механизмнің бірі бойынша бере алады: мақсатты елге SDAIA-ның мақұлдаған жеткіліктілік шешімі, SDAIA мақұлдаған стандартты шарт немесе топ ішіндегі берулер үшін міндетті корпоративтік ережелер жиынтығы. 2026 жылдағы жеткіліктілік тізімінде аз санды GCC көршілері мен бірнеше еуропалық юрисдикция бар, бірақ adtech тағайындалған орындарының көпшілігі — АҚШ қосылғанда — оның сыртында және стандартты шартты немесе шегіністі қажет етеді.

Деректерді беруге әсер бағалау

Жоғары тәуекелді берулер үшін SDAIA беру басталмай тұрып құжатталған Деректерді беруге әсер бағалауды (DTIA) талап етеді. Бұл Schrems II-ден кейінгі ЕО-ның беруге әсер бағалауының сауд аналогы. Баспагерлер қайталанатын бағдарламалық ағындарды қамтитын үлгі DTIA-лер жасақтау үшін CMP және adtech жеткізушілерімен бірлесіп жұмыс жасауы керек, және жеткізуші өңдеу орындарын өзгерткен сайын оларды жаңартуы керек.

Баспагерлерге арналған практикалық сәйкестік қадамдары

PDPL бағдарламасы баспагердің бар CMP-іне және жарнама стекіне таза бейнеленетін бес жедел тапсырмаға бөлінеді. GDPR немесе LGPD сәйкестігін іске асырған кез келген адамға бұлар таныс — айырмашылық сауд мәтінінің бөлшектерінде және нақты беру ережелерінде.

CMP конфигурациясының тексеру тізімі

Сіздің келісім баннеріңіздің KSA келушілерге арабша, ал барлық басқаларға ағылшынша көрсетілетінін, мақсат категорияларының толық егжей-тегжейлі екенін, барлығын-қабылдамау жолы бір рет шертілетін және барлығын-қабылдаумен визуалды тең екенін, сондай-ақ келісім жолы Google Consent Mode v2 немесе TCF интеграциясыңыз арқылы төменге ағатынын тексеріңіз. CMP-ңіздің аудит жауаптары күндер емес минуттарда жасалуы үшін уақыт белгісімен, саясат нұсқасымен және пайдаланушы идентификаторымен PDPL-ге тән келісім квитанциясын жазатынына көз жеткізіңіз.

Келісім журналдары және аудит ізі

SDAIA аудит топтары таныс түрде келісім дәлелін сұрайды: кім, нені, қашан, қандай баннер нұсқасымен мақұлдады және келісім сәтінде оларға не айтылды. Бұл журналдарды кемінде екі жыл сақтауды жоспарлаңыз және оларды CMP жеткізушісінің өзгертулеріне төзімді түрде сақтаңыз — бақылаушыға тиесілі деректер қоймасына экспорттау ең таза үлгі.

Деректер субъектісінің құқықтары жұмыс ағыны

PDPL қол жеткізу, түзету, жою және портативтілік құқықтарын тридцать күндік жауап мерзімімен береді. Бір privacy@ кіріс жәшігі бар және тикет жұмыс ағыны жоқ баспагер мерзімін сақтайтыннан жиі өткізіп алады. Құжатталған кіріс-жауапқа дейінгі процесс орнатыңыз, бір атаулы иесін дайындаңыз және жою сұраулары төменге таралатындай жұмыс ағынын CMP және жарнама серверінің келісім жазбаларымен біріктіріңіз.

Қорытынды

Сауд Арабиясының 2026 жылғы PDPL-і баспагерлердің GDPR мен CCPA артынан де-приоритизациялай алатын жұмсақ режимі емес. SDAIA оны орындатуға жеткілікті қаражатқа, аудит мүмкіндігіне және саяси қолдауға ие, және шекараны кесіп өтетін беру ережелері, атап айтқанда, баспагерлердің айналып өтуге мәжбүр болатын жаһандық adtech жеткізу тізбегімен нақты үйкеліс тудырады. Жақсы жаңалық мынада, PDPL GDPR-ден жеткілікті қарыз алды, сондықтан кемелденген еуропалық сәйкестік жағдайы бар баспагер жолдың үлкен бөлігін басып өтті. Келісім баннеріңізді арабшаға оқшаулаңыз, PDPL-ге тән мақсат мәтінін бар TCF параметрлеріңіздің үстіне қабаттаңыз, беру механизмдерін құжаттаңыз, сауд трафигіңіз қажет етсе жергілікті өкіл тағайындаңыз, сонда сіздің KSA аудиторияңыз монетизациялана береді, ал PDPL-ді қағаздық жаттығу ретінде еске алғандар 2026 жылды аудит хаттарын оқып өткізеді.