UAE PDPL Cookie Келісімі бойынша Нұсқаулық: Баспагерлерге арналған Federal Decree-Law 45 of 2021
Біріккен Араб Әмірліктері жеке деректерді қорғау туралы заңын 2021 жылдың соңында қабылдап, келесі жылы күшіне енгізді. Federal Decree-Law 45 of 2021, PDPL деп белгілі, ел тарихындағы алғашқы кешенді федералдық жеке өмір сақтаудың жарғысы болып табылады және ол GDPR-дың құрылымынан едәуір шабыт алады, ал негізгі ережелерді UAE федералдық заңдары мен елдің деректерді жергілікті жерде сақтау мәселелеріне бейімдейді. UAE-де жұмыс істейтін немесе UAE трафигін нысанаға алатын баспагерлер үшін — аймақтық электронды коммерция, финтех, сондай-ақ Dubai және Abu Dhabi орналасқан гиперауқымды медиа бизнестердің өсуімен күрт кеңейген нарық — PDPL cookie келісімін жұмсақ күтуден федералдық сәйкестік міндетіне айналдырды. Бұл нұсқаулық PDPL-дің онлайн бақылауды қалай өңдейтінін, UAE деректер офисі орындауды қайда шоғырландыратынын және cookie баннерлерін жобалауда және CMP конфигурациясында тәжірибелік салдары қандай екенін талқылайды.
PDPL-дің Заңдық Шеңбері
PDPL UAE тұрғындарының жеке деректерін өңдеуге қолданылады, өңдеу UAE ішінде немесе сыртында жүзеге асырылатынына қарамастан, және бақылаушы немесе өңдеуші UAE-де орналасқанына немесе шет елден жұмыс жасайтынына қарамастан. Аумақтық қолдану аясы сондықтан GDPR-ға ұқсас экстерриториялды болып табылады — Лондоннан немесе Сингапурдан жұмыс жасайтын және UAE тұрғындарының деректерін өңдейтін баспагер қолдану аясына кіреді. Қадағалаушы орган — UAE деректер офисі, сол заңнамалық пакет шеңберінде құрылған, орындауда өлшенген, бірақ барған сайын белсенді ұстанымды ұстанды.
PDPL-дің негізгі қағидалары GDPR-мен жұмыс жасаған кез келген адамға таныс болады: заңды негіз, мақсатты шектеу, деректерді барынша азайту, дәлдік, сақтауды шектеу, тұтастық және құпиялылық, және есептілік. Article 4 бойынша заңды негіздерге мыналар кіреді: келісім, шарттық міндеттемелерді орындау, заңдық міндет, маңызды мүдделер, қоғамдық мүдде, және заңды мүдделер, олардың әрқайсысының өз аясы мен шарттары бар. Онлайн бақылау үшін тиісті негіздер — келісім және шектеулі жағдайда заңды мүдделер. Келісімсіз жеке деректерді жинайтын алдын ала орнатылған cookie файлдары GDPR бойынша сияқты бұзушылық болып табылады.
PDPL Бойынша Жеке Деректер Деп Не Саналады
PDPL-дің жеке деректер анықтамасы кең және GDPR-ды тығыз ұстанады: онлайн сәйкестендіргіштерді қоса алғанда, сәйкестендірілген немесе сәйкестендірілуі мүмкін жеке тұлғаға қатысты кез келген деректер. Құрылғыны тұрақты түрде сәйкестендіретін cookie файлдары, басқа деректермен бірге өңделетін IP мекенжайлары, жарнама идентификаторлары және саусақ ізі стилді сәйкестендіргіштер — барлығы қолдану аясына кіреді. UAE деректер офисінің іске асыру нұсқаулығы EU-да мінез-құлық және жарнама cookie файлдарына қолданылатын талдау UAE-де де негізінен сол формада қолданылатынын растады — ерекшеленетіні орындау архитектурасы, материалдық стандарт емес.
PDPL сонымен қатар денсаулық туралы ақпарат, генетикалық және биометриялық деректер, діни нанымдар, қылмыстық жазба және ұқсас санаттарды қамтитын қатаң өңдеу талаптары бар сезімтал жеке деректер санатын анықтайды. Осы деректерді жинайтын cookie файлдары нақты келісімді және қосымша кепілдіктерді қажет етеді.
PDPL Бойынша Cookie Келісімі
PDPL EU ePrivacy директивасы сияқты cookie-ге тән ережені қамтымайды. Оның орнына, келісім талабы Article 6-дан туындайды, ол жарамды келісімнің жалпы стандартын белгілейді: ол нақты, белгіліліксіз, хабардар етілген және еркін берілген болуы керек, және деректер субъектісі келісімін беруге қарағанда оңай кері алу мүмкіндігіне ие болуы керек. UAE деректер офисі бұл стандартты мыналарды талап ету ретінде түсіндірді:
- Нақты растайтын іс-әрекет маңызды емес cookie файлдары іске қосылмас бұрын. Шолуды жалғастыру, айналдыру немесе болжамды келісім жеткіліксіз.
- Егжей-тегжейлі санат бақылаулары қатаң қажетті cookie файлдарын аналитикадан және жарнамадан бөліп, келушіге біреулерін қабылдап, басқаларын қабылдамауға мүмкіндік береді.
- Нақты кері алу механизмі бақылау белсенді кез келген беттен қол жетімді болуы және кері алу дереу күшіне енуі керек.
- Келісім шешімінің құжатталуы Article 5 бойынша есептілік талабын қанағаттандыру үшін жеткілікті.
Іс жүзінде бұл баспагер GDPR үшін жасайтын операциялық стандарт болып табылады. EDPB Cookie Banner Taskforce критерийлерін қанағаттандыратын баннер PDPL-ді қанағаттандырады; оны орындамаған баннер PDPL-дің тексеруінде де сәтсіз болады.
Шекарааралық Деректерді Тасымалдау
PDPL-дің ең ерекше белгілерінің бірі — шекарааралық тасымалдау шеңбері. PDPL-дің Article 22 және Article 23 жеке деректердің UAE-ден тысқары тасымалдану шарттарын белгілейді, GDPR-дың V тарауына параллель — бірақ бірдей емес — сызықтар бойынша құрылымдалған.
Жеткіліктілік тәрізді тағайындаулар
PDPL UAE деректер офисіне елдерді жеткілікті қорғанысты қамтамасыз ететін ретінде тағайындауға мүмкіндік береді. Ағымдағы тізім Еуропа комиссиясының тізімінен қысқа және дамиды деп күтілуде. Ел тағайындалғанша, тасымалдау басқа заңды механизмдердің бірін талап етеді.
Стандартты шарттық тетіктер
PDPL EU SCCs-нің құрылымына ұқсас тиісті шарттық кепілдіктермен қолдауды тасымалдауға рұқсат береді. UAE-дің көптеген бақылаушылары UAE деректер офисі сұрауы бойынша қарайтын арнайы шарттық қосымшалармен жұмыс жасайды.
Арнайы ерекшеліктер
Нақты келісім, шарттық міндеттемелерді орындау және маңызды мүддені ерекшеліктер қол жетімді, бірақ тар түрде түсіндіріледі. Тасымалдау үшін келісімге жүйелі тәуелділік — GDPR бойынша жиі жүйелік емес, ерекше жағдай ретінде қарастырылады — мұнда да ұқсас қарастырылады.
Онлайн баспагерлер үшін тәжірибелік салдар — cookie келісімінің жазбасы тасымалдау есептілігінің міндетін де қолдауы тиіс болды. UAE-дегі келуші өз деректерін АҚШ жарнама технологиялары жеткізушісіне жіберетін cookie файлдарын қабылдаса, CMP сол ағынды рұқсат ететін тасымалдау құралын беруге қабілетті болуы керек.
Секторлық және Еркін Аймақ Мәселелері
UAE-дің құпиялылық ландшафты қабатталған. Федералдық PDPL кеңінен қолданылады, бірақ бірнеше еркін аймақ — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM) және Dubai Healthcare City — PDPL-ге дейін болған өз деректерді қорғау режимдерін жүргізеді. DIFC Data Protection Law No. 5 of 2020 және ADGM Data Protection Regulations 2021 екеуі де GDPR-мен сәйкестендірілген және тиісті аймақтарында қолданылады. Бірнеше аймақта жұмыс жасайтын баспагерлер федералдық PDPL-ді тиісті еркін аймақ шеңберімен үйлестіруі керек; көптеген жағдайда материалдық стандарттар бір нүктеге келеді, бірақ бақылау арнасы ерекшеленеді.
UAE Деректер Офисі Берген Сигналдар
UAE деректер офисі өзінің орындау позициясында мұқият болды, жоғары көлемді айыппұл режиміне қарағанда мүмкіндіктерді дамытуды, секторлық кеңесті және жоғары деңгейлі істерді басымдыққа қойды. Жалпыға қол жетімді нұсқаулық құжаттар мыналарды атап өтті:
Баннер дизайны
UAE деректер офисі баннер дизайнында EDPB стилді критерийлерге сәйкес, жоқ болған бас тарту түймелерін, алдамшы сілтеме безендіруді және алдын ала белгіленген құсбелгілерді жою қажет жалпы ақаулар ретінде қарастырды. Күтілетіні — еуропалық нормалармен ырғақтасу.
Шекарааралық ашықтық
UAE деректер офисі халықаралық тасымалдаулар, әсіресе жеке деректер тағайындалған жеткіліктілігі жоқ юрисдикцияларға жіберілетін жерлерде, ерекше назар аударатын болады деп сигнал берді. Тасымалдау механизмінің құжатталуы міндетті емес, есептілік талабы ретінде қарастырылады.
Арабша ақпарат ашу
PDPL арабшаны міндеттемегенімен, UAE деректер офисі аудитория негізінен арабша сөйлейтін жерлерде аян ету арабша да қол жетімді болуы керек деп мәлімдеді — қол жетімділік және дәлелдік мақсаттар үшін.
Тәжірибелік Сәйкестік Тізімі
UAE трафигіне қызмет ететін cookie баннерлеріне жауап берілетін алты нақты сұрақ.
1. Бақылаудан бұрын растайтын келісім
Келуші растайтын іс-әрекет жасамай тұрып, маңызды емес cookie файлдары сценарий жүктеушісі деңгейінде блокталған ба? Баннерді бұрыннан іске қосылып жатқан трекерлердің үстіне алдын ала жүктеу — бұзушылық болып табылады.
2. Егжей-тегжейлі санаттар
Баннер қажетті, аналитика және жарнама санаттарын тәуелсіз ауыстырып-қосқыштармен бөле ме? Егжей-тегжейлілікті жинақтамаған барлығын қабылдау — ақаулық.
3. Арабша тілінің қол жетімділігі
Баннер арабша сөйлейтін келушілерді анықтап, әдепкі бойынша арабша ұсынылып, ағылшын ауыстырып-қосылатын балама ретінде ұсынылады ма? UAE деректер офисі тілдік қол жетімділікті нақты белгіледі.
4. Кері алуға қол жетімділік
Кері алу басқармасы тұрақты және кез келген беттен қол жетімді ме? Нижним колонтитул сілтемесіне терең жасырылған көп қадамды параметрлер «беру сияқты оңай кері алу» стандартына сай емес.
5. Шекарааралық тасымалдау құжаттамасы
Халықаралық тасымалдауды іске қосатын әрбір cookie үшін тасымалдау механизмі (жеткіліктілік, шарттық кепілдік, ерекшелік) құжатталған және сұрауы бойынша беруге болатын ба?
6. Келісімді тіркеу
Жүйе әрбір келісім шешімін уақыт белгісімен, баннер нұсқасымен, таңдаумен және келуші юрисдикциясымен тіркейді ме, сондай-ақ баспагер UAE деректер офисінің сұрауына дәлел ретінде жауап бере ала ма?
PDPL-дің Аймақтық Суреттегі Орны
UAE PDPL соңғы бірнеше жылда күшіне енген бірнеше Парсы шығанағы құпиялылық шеңберлерінің бірі — Сауд Арабиясының PDPL-і, Бахрейннің жеке деректерді қорғау туралы заңы, Катардың жеке деректер құпиялылығы туралы заңы және Оманның жеке деректерді қорғау туралы заңы барлығы оның жанында жұмыс жасайды. Аймақтағы материалдық стандарттар бақылау архитектурасы, тасымалдау механизмдері және секторлық ерекшеліктерде ұлттық өзгерістермен GDPR-ға сәйкестендірілген қағидаларға қарай жинақталып жатыр. Шығанақ бойында жұмыс жасайтын баспагерлер үшін жоғары стандартта — егжей-тегжейлі келісім, тұрақты кері алу, құжатталған тасымалдаулар, арабша тіл қолдауы, аудит деңгейіндегі тіркеу — бір рет жасау еуропалық сәйкестікті өңдейтін сол CMP инфрақұрылымы арқылы аймақтық сәйкестікті өңдейді. UAE көптеген жағынан аймақтық бастаушы: UAE деректер офисі жылжыған жерде, көрші реттеушілер ереді.