UAE PDPL Slapukų Sutikimo Vadovas: Federal Decree-Law 45 of 2021 Leidėjams
Jungtiniai Arabų Emyratai 2021 m. pabaigoje priėmė Asmens duomenų apsaugos įstatymą ir kitais metais jį įgyvendino. Federal Decree-Law 45 of 2021, žinomas kaip PDPL, yra pirmasis visapusiškas šalies federalinis privatumo statutas, kuris iš esmės remiasi GDPR struktūra, tuo pačiu pritaikydamas pagrindinius nuostatus prie UAE federalinių įstatymų ir šalies duomenų lokalizavimo reikalavimų. Leidėjams, veikiantiems UAE arba nukreipiantiems savo veiklą į UAE srautą — rinką, kuri sparčiai išsiplėtė augant regioninei elektroninei komercija, fintech ir Dubai bei Abu Dhabi įsikūrusiam didžiamačiam medijų verslui — PDPL slapukų sutikimą iš švelniojo lūkesčio pavertė federaline atitikties prievole. Šis vadovas apžvelgia, kaip PDPL traktuoja internetinį sekimą, kur UAE duomenų biuras telkia vykdymą ir kokios praktinės pasekmės slapukų reklamjuosčių dizainui bei CMP konfigūracijai.
PDPL teisinė sistema
PDPL taikomas UAE gyventojų asmens duomenų tvarkymui, nepriklausomai nuo to, ar tvarkymas vyksta UAE viduje, ar už jo ribų, ir ar valdytojas ar tvarkytojas yra įsikūręs UAE, ar veikia iš užsienio. Todėl teritorinė taikymo sritis yra ekstrateritorialinė taip pat, kaip GDPR — leidėjas, veikiantis iš Londono ar Singapūro ir tvarkantis UAE gyventojų duomenis, patenka į šios srities ribas. Priežiūros institucija yra UAE duomenų biuras, įsteigtas pagal tą patį teisės aktų paketą, kuris ėmėsi apgalvotos, tačiau vis aktyvesnės vykdymo pozicijos.
PDPL pagrindiniai principai bus pažįstami visiems, dirbantiems su GDPR: teisinis pagrindas, tikslo apribojimas, duomenų kiekio mažinimas, tikslumas, saugojimo apribojimas, vientisumas ir konfidencialumas bei atskaitomybė. Article 4 numatyti teisiniai pagrindai apima sutikimą, sutarties vykdymą, teisinę prievolę, gyvybiškai svarbius interesus, viešąjį interesą ir teisėtus interesus, kiekvienas su savo taikymo sritimi ir sąlygomis. Internetiniam sekimui aktualūs pagrindai yra sutikimas ir, esant siauroms aplinkybėms, teisėti interesai. Iš anksto įdiegti slapukai, renka asmens duomenis be sutikimo, yra pažeidimas, lygiai kaip ir pagal GDPR.
Kas laikoma asmens duomenimis pagal PDPL
PDPL asmens duomenų apibrėžimas yra platus ir glaudžiai seka GDPR: bet kokie duomenys, susiję su identifikuotu arba identifikuojamu fiziniu asmeniu, įskaitant internetinius identifikatorius. Slapukai, kurie nuolat identifikuoja įrenginį, IP adresai, tvarkomi kartu su kitais duomenimis, reklamos ID ir pirštų atspaudų tipo identifikatoriai – visi patenka į taikymo sritį. UAE duomenų biuro įgyvendinimo gairės patvirtino, kad ES elgesio ir reklamos slapukams taikoma analizė iš esmės ta pačia forma taikoma ir UAE – skiriasi vykdymo architektūra, o ne materialiniai standartai.
PDPL taip pat apibrėžia specialių asmens duomenų kategoriją su griežtesniais tvarkymo reikalavimais, apimančiais sveikatos informaciją, genetinius ir biometrinius duomenis, religinį įsitikinimą, teistumą ir panašias kategorijas. Slapukai, surenkantys kurį nors iš šių duomenų, reikalauja aiškaus sutikimo ir papildomų apsaugos priemonių.
Slapukų sutikimas pagal PDPL
PDPL nenumato konkrečios slapukų nuostatos taip, kaip ES ePrivacy direktyva. Vietoj to, sutikimo reikalavimas kyla iš Article 6, kuris nustato bendrą galiojančio sutikimo standartą: jis turi būti konkretus, nedviprasmiškas, informuotas ir duotas laisvai, ir duomenų subjektas turi galėti atšaukti sutikimą taip pat lengvai, kaip jį davė. UAE duomenų biuras šį standartą išaiškino kaip reikalaujantį:
- Aiškaus patvirtinimo veiksmo prieš suveikiant neesminiais slapukams. Naršymo tęsimas, slinkimas ar numanomas sutikimas nėra pakankamas.
- Išsamių kategorijų valdiklių, atskiriančių griežtai būtinus slapukus nuo analitinių ir reklaminių, leidžiant lankytojui vienus priimti, o kitus atmesti.
- Aiškaus atšaukimo mechanizmo, pasiekiamo iš bet kurio puslapio, kuriame aktyvus sekimas, atšaukimas suveikia nedelsiant.
- Sutikimo sprendimo dokumentavimo, pakankamo Article 5 atskaitomybės reikalavimui įvykdyti.
Praktiškai tai yra tas pats veiklos standartas, kurį leidėjas kurtų GDPR. Reklamjuostė, atitinkanti EDPB Slapukų reklamjuosčių darbo grupės kriterijus, atitiks PDPL; neįvykdžiusi jų nepraeis ir PDPL tikrinimo.
Tarpvalstybinis duomenų perdavimas
Vienas iš labiausiai išskirtinių PDPL bruožų yra jo tarpvalstybinio perdavimo sistema. PDPL Article 22 ir Article 23 nustato sąlygas, kuriomis asmens duomenys gali būti perduodami už UAE ribų, struktūrizuotas pagal linijas, lygiagrečias – bet ne identiška – GDPR V skyriui.
Adekvatumo tipo apibrėžtys
PDPL leidžia UAE duomenų biurui nurodyti šalis kaip teikiančias tinkamą apsaugą. Dabartinis sąrašas trumpesnis nei Europos Komisijos ir, tikimasi, jis plėsis. Kol šalis nenurodyta, perduodant reikia vieno iš kitų teisėtų mechanizmų.
Standartiniai sutartiniai susitarimai
PDPL leidžia perduoti remiantis tinkamomis sutartinėmis apsaugos priemonėmis, panašiomis į ES SCC struktūrą. Daugelis UAE valdytojų naudoja specialius sutartinius priedus, kuriuos UAE duomenų biuras peržiūri paprašius.
Konkrečios išimtys
Aiškaus sutikimo, sutarties vykdymo ir gyvybiškai svarbių interesų išimtys yra prieinamos, tačiau aiškinamos siaurai. Įprasta pasikliauti sutikimu dėl perdavimų – kas pagal GDPR dažnai laikoma išimtine, o ne sistemine – čia traktuojama panašiai.
Internetiniams leidėjams praktinė pasekmė yra ta, kad slapukų sutikimo įrašas dabar taip pat turi pagrįsti perdavimo atskaitomybės prievolę. Jei UAE lankytojas priima slapukus, nukreipiančius jų duomenis į JAV reklamos technologijų tiekėją, CMP turi gebėti pateikti perdavimo priemonę, leidžiančią tą srautą.
Sektoriniai ir laisvosios ekonominės zonos aspektai
UAE privatumo aplinka yra daugiasluoksnė. Federalinis PDPL taikomas plačiai, tačiau kelios laisvosios ekonominės zonos — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM) ir Dubai Healthcare City — valdo savo duomenų apsaugos režimus, prieš PDPL. DIFC Data Protection Law No. 5 of 2020 ir ADGM Data Protection Regulations 2021 abu atitinka GDPR ir taikomi atitinkamose zonose. Keliose zonose veikiantys leidėjai turi suderinti federalinį PDPL su taikoma laisvosios ekonominės zonos sistema; daugeliu atvejų materialiniai standartai sutampa, tačiau priežiūros kanalas skiriasi.
Ką davė UAE duomenų biuras
UAE duomenų biuras buvo apgalvotas dėl vykdymo pozicijos, teikdamas pirmenybę pajėgumų kūrimui, sektoriaus konsultacijoms ir aukšto profilio byloms, o ne didelio kiekio baudų režimui. Viešieji gairių dokumentai pabrėžė:
Reklamjuosčių dizainas
UAE duomenų biuras suderino su EDPB stiliaus kriterijais dėl reklamjuosčių dizaino, laikydamas trūkstamus atmetimo mygtukus, klaidinantį nuorodų stilių ir iš anksto pažymėtus žymimuosius laukelius įprastais defektais, reikalaujančiais pataisymo. Lūkestis – suartėjimas su Europos normomis.
Tarpvalstybinis skaidrumas
UAE duomenų biuras signalizavo, kad tarptautiniai perdavimai bus ypatingas dėmesio centras, ypač kai asmens duomenys nukreipiami į jurisdikcijas be nurodyto adekvatumo. Perdavimo mechanizmo dokumentavimas laikomas atskaitomybės reikalavimu, o ne neprivalomas.
Atskleidimas arabų kalba
Nors PDPL neįpareigoja naudoti arabų kalbos, UAE duomenų biuras nurodė, kad atskleidimai turėtų būti prieinami arabų kalba ten, kur auditorija daugiausia kalba arabiškai – tiek prieinamumo, tiek įrodomaisiais tikslais.
Praktinis atitikties kontrolinis sąrašas
Šeši konkretūs klausimai, į kuriuos reikia atsakyti dėl bet kurios slapukų reklamjuostės, aptarnaujančios UAE srautą.
1. Patvirtinantis sutikimas prieš sekimą
Ar neesminiai slapukai blokuojami scenarijų įkroviklio lygiu, kol lankytojas nesiima patvirtinančio veiksmo? Reklamjuostės išankstinis įkėlimas virš jau veikiančių sekimo priemonių yra savaime pažeidimas.
2. Išsamios kategorijos
Ar reklamjuostė atskiria būtinas, analitines ir reklamos kategorijas, su nepriklausomais jungikliais? Sujungtas priimti viską be išsamumo yra defektas.
3. Arabų kalbos prieinamumas
Ar reklamjuostė aptinka arabiškai kalbančius lankytojus ir pagal numatytuosius nustatymus pateikiama arabų kalba, anglų kaip perjungiama alternatyva? UAE duomenų biuras aiškiai nurodė kalbos prieinamumą.
4. Atšaukimo prieiga
Ar atšaukimo valdiklis yra nuolatinis ir pasiekiamas iš kiekvieno puslapio? Daugiaetapiai nustatymai, palaidoti poraštės nuorodoje, neatitinka standarto „atšaukti taip pat lengvai, kaip duoti".
5. Tarpvalstybinio perdavimo dokumentavimas
Kiekvienam slapukui, suaktyvinančiam tarptautinį perdavimą, ar perdavimo mechanizmas (adekvatumas, sutartinė apsauga, išimtis) yra dokumentuotas ir pateikiamas pagal pareikalavimą?
6. Sutikimo registravimas
Ar sistema užregistruoja kiekvieną sutikimo sprendimą su laiko žyma, reklamjuostės versija, pasirinkimu ir lankytojo jurisdikcija, kad leidėjas galėtų atsakyti į UAE duomenų biuro užklausą su įrodymais?
Kur PDPL tinka regioniniame paveiksle
UAE PDPL yra vienas iš kelių Persijos įlankos privatumo sistemų, įsigaliojusių per pastaruosius kelerius metus – Saudo Arabijos PDPL, Bahreino Asmens duomenų apsaugos įstatymas, Kataro Asmens duomenų privatumo įstatymas ir Omano Asmens duomenų apsaugos įstatymas visi veikia kartu su juo. Materialiniai standartai visame regione artėja prie GDPR suderintų principų, su nacionaliniais skirtumais priežiūros architektūroje, perdavimo mechanizmuose ir sektorinėse išimtyse. Leidėjams, veikiantiems visame Persijos įlankyje, kuriant vieną kartą pagal aukštesnį standartą – išsamų sutikimą, nuolatinį atšaukimą, dokumentuotus perdavimus, arabų kalbos palaikymą, audito lygio registravimą – regioninė atitiktis tvarkoma per tą pačią CMP infrastruktūrą, kuri tvarko Europos atitiktį. UAE daugeliu atžvilgių yra regioninis etalonas: kur eina UAE duomenų biuras, kaimyniniai reguliuotojai paprastai seka paskui.