Ēģiptes Personas datu aizsardzības likums Nr. 151 (2020) — Sīkdatņu piekrišanas atbilstības rokasgrāmata: 2026. gada plāns izdevējiem
Ēģiptes Personas datu aizsardzības likums Nr. 151 (2020) — parasti dēvēts par Ēģiptes PDPL — tika izdots 2020. gada 15. jūlijā un stājās spēkā 2020. gada 14. oktobrī. Lielākoties šajā periodā izpildes noteikumu neesamība nozīmēja, ka likums palika kā principu deklarācija, nevis izpildāms režīms. Tas mainījās, kad Personas datu aizsardzības centrs — regulators, kas izveidots saskaņā ar likumu, pievienots Komunikāciju un informācijas tehnoloģiju ministrijai — publicēja savu darbības sistēmu, licencēšanas prasības un izpildes noteikumus. Līdz 2026. gadam režīms ir pilnībā funkcionāls, datu pārziņu un apstrādātāju licencēšanas kārtība ir aktīva, un izdevēji, kas darbojas Ēģiptē vai vērsti uz to, ir pakļauti vietējam piekrišanas standartam, kas ir tuvāk GDPR nekā jebkuram vecākam reģionālajam modelim. Ietekme uz sīkdatņu piekrišanu ir tieša: reklāmkarogs, kas darbojās Ēģiptē saskaņā ar iepriekšējo režīmu, vairs nav pietiekams, un reklāmkarogs, kas atbilst GDPR, atbildīs PDPL tikai tad, kad integrācijā ņems vērā punktus, kur abi ietvari atšķiras.
Ko Ēģiptes PDPL faktiski prasa
Likums attiecas uz Ēģiptes iedzīvotāju personas datu apstrādi neatkarīgi no tā, kur pārzinis vai apstrādātājs ir reģistrēts, un uz pārziņiem un apstrādātājiem, kas reģistrēti Ēģiptē, neatkarīgi no tā, kur atrodas datu subjekti. Šī ekstrateritoriālā piemērošana atspoguļo GDPR 3. pantu un nozīmē, ka izdevējs, kura galvenā mītne atrodas ārpus Ēģiptes, bet kuram ir Ēģiptes lasītāji, lietotņu instalācijas vai maksājoši klienti, ir stingri tvērumā. Personas dati ir plaši definēti kā jebkuri dati, kas attiecas uz identificētu vai identificējamu fizisku personu, un sensitīvi personas dati — tostarp veselības, biometrisko, ģenētisko, garīgās veselības, finanšu, reliģisko uzskatu, politisko uzskatu un krimināla notiesājuma dati — ir pakļauti augstākam piekrišanas slieksnim un papildu aizsargpasākumiem.
Likums nosaka likumīgas apstrādes pamatus, standarta datu subjektu tiesību kopumu — piekļuve, labošana, dzēšana, ierobežošana, iebildums un pārnesamība — pārziņu un apstrādātāju atbildības sistēmu, pārkāpumu paziņošanas pienākumus, pārrobežu datu pārsūtīšanas kontroli un administratīvo sankciju režīmu ar sodiem no EGP 100 000 par nelieliem pārkāpumiem līdz EGP 5 miljoniem par nopietniem vai atkārtotiem pārkāpumiem. Kriminālas sankcijas attiecas uz vissmagākajām kategorijām, tostarp nelicencētu pārrobežu pārsūtīšanu un sensitīvu datu apstrādi bez atļaujas.
Kā PDPL konkrēti attiecas uz sīkdatņu piekrišanu
Atšķirībā no ES ePrivacy direktīvas, PDPL nesatur atsevišķu noteikumu par sīkdatnēm. Sīkdatnes un analogas uzglabāšanas un piekļuves tehnoloģijas ietilpst vispārējā piekrišanas ietvarā: jebkurai personas datu apstrādei, kuras juridiskais pamats ir piekrišana, tā jāsaņem, pamatojoties uz skaidru, brīvprātīgu, specifisku un dokumentētu datu subjekta vienošanos. Personas datu aizsardzības centrs savā vadlīnijās, kas izdotas noteikumu pakāpeniskās ieviešanas laikā, ir apstiprinājis, ka iepriekš atzīmētas izvēles rūtiņas, netieša piekrišana, kas secināta no turpinātās pārlūkošanas, un apvienotas piekrišanas reklāmkarogi neatbilst likuma standartam. Tas stingri nostāda Ēģipti globālajas trajektorijas virzienā un nozīmē, ka praktiskā pozīcija, ko izdevēji jau uztur EEA, ir pareizais sākumpunkts Ēģiptes trafika apstrādei.
Praktiskā sekas ir tādas, ka sīkdatnes un jebkuras analogas tehnoloģijas, kas nav stingri nepieciešamas pakalpojuma sniegšanai, nedrīkst tikt iestatītas pirms lietotājs ir aktīvi devis piekrišanu. Stingri nepieciešamās sīkdatnes — sesijas identifikatori, groza saturs, drošības marķieri, slodzes balansēšanas sīkdatnes — var tikt iestatītas bez piekrišanas, pamatojoties uz to, ka lietotājs ir aktīvi pieprasījis pakalpojumu. Viss pārējais — analītika, reklāma, personalizācija, A/B testēšana, sesijas atskaņošana un jebkurš trešās puses tags — prasa iepriekšēju piekrišanu.
Kā PDPL praksē atšķiras no GDPR
Trīs atšķirības ir svarīgas integrācijas slānī. Pirmkārt, PDPL prasa, lai piekrišana sensitīvu personas datu apstrādei tiktu saņemta rakstiski vai ar dokumentētu elektronisku ekvivalentu, ko pārzinis var iesniegt pēc pieprasījuma — augstāks pierādījumu standarts nekā GDPR skaidras piekrišanas prasība. Otrkārt, PDPL uzliek licencēšanas režīmu: pārziņiem un apstrādātājiem jāreģistrējas Personas datu aizsardzības centrā, un noteiktām apstrādes kategorijām — tostarp pārrobežu pārsūtīšanai un tiešajam mārketingam — nepieciešama atsevišķa darbības licence. Treškārt, PDPL pārrobežu pārsūtīšanas noteikumi prasa vai nu centra atzinuma lēmumu, apstiprinātu līguma aizsargpasākumu vai datu subjekta skaidru piekrišanu; pārsūtīšana uz jurisdikcijām bez atzinumiem vai aizsargpasākumiem ir ierobežota neatkarīgi no saņēmēja pašu atbilstības pozīcijas.
Kā izskatās atbilstīgs sīkdatņu reklāmkarogs saskaņā ar PDPL
Tehniskās prasības sakrīt ar to, ko katrs mūsdienu CMP jau ražo, taču marķējumam, dokumentācijai un piekrišanas žurnālam jāatspoguļo Ēģiptes specifika. Pirmā slāņa reklāmkarogam jāpiedāvā lietotājam reāla izvēle — pieņemt, noraidīt, pārvaldīt — kur noraidīšanas iespēja ir vismaz tikpat pamanāma kā pieņemšanas iespēja. Apvienotā piekrišana ir aizliegta, tāpēc otrajā slānī jāatļauj kategoriāla opt-in, aptverot vismaz analītiku, reklāmu un jebkuru no pārrobežu pārsūtīšanas atkarīgu apstrādi. Kategorijām pēc noklusējuma jābūt izslēgtām; reklāmkarogam nedrīkst ielādēt tagus, kamēr lietotājs tos nav apstiprinājis.
Privātuma paziņojumam, kas redzams no reklāmkaroga, jāidentificē pārzinis, pārziņa PDPL licences numurs, ja piemērojams, apkopoto personas datu kategorijas, katra apstrādes mērķa likumīgais pamats, datu glabāšanas periods, saņēmēju kategorijas, tostarp jebkuri apakšapstrādātāji ārpus Ēģiptes, datu subjekta tiesības saskaņā ar likumu un Personas datu aizsardzības centra kontaktinformācija sūdzībām. Paziņojums, kas atbilst GDPR 13. panta standartam, lielā mērā pārklāsies, taču Ēģiptes licences un centra kontaktlīnijas jāpievieno skaidri.
Integrācijas modelis, kas iztur Personas datu aizsardzības centra pārbaudi
Atsauces implementācijai ir četras mainīgas daļas. Pirmā ir CMP, kas atbalsta kategoriālu, pēc noklusējuma izslēgtu opt-in un eksponē lietotāja izvēli, izmantojot strukturētu piekrišanas virkni, ko izdevējs var saglabāt. Otrā ir tagu ielādes slānis — servera puses tagu pārvaldnieks vai CMP natīvā vārteja — kas stingri nodrošina piekrišanas stāvokli pirms jebkuras nebūtiskas sīkdatnes iestatīšanas. Trešā ir piekrišanas žurnāls, kas tiek glabāts servera pusē, ierakstot katram piekrišanas notikumam lietotāja izvēli pa kategorijām, laika zīmogu, reklāmkaroga versiju un saīsinātu vai jauktu IP identifikatoru, lai pārzinis varētu iesniegt ierakstu pēc centra pieprasījuma. Ceturtā ir atteikšanās ceļš, kas ir vismaz tikpat viegli pieejams kā sākotnējā piešķiršana — parasti pastāvīga reklāmkaroga atkārtotas atvēršanas saite kājenē.
- Analītikas tagi — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — drīkst ielādēties tikai pēc tam, kad analītikas kategorija ir piešķirta. Katra platforma atbalsta piekrišanai pakārtotu konfigurāciju, kas neļauj rakstīt sīkdatnes pirms vārtejas aktivācijas.
- Reklāmas tagi — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programmatiskās header bidding sistēmas — ir līdzīgi jānodrošina ar vārtejām, un gadījumos, kad reklāmas partneris pārsūta datus ārpus Ēģiptes, saņēmēja jurisdikcijai jābūt norādītai privātuma paziņojumā. Vispārīga apstrāda globāli pakalpojumu sniedzēji atklāšana nav pietiekama saskaņā ar centra vadlīnijām.
- Sesijas atskaņošanas un siltuma kartes rīki — Hotjar, Microsoft Clarity, FullStory — jānovieto aiz atsevišķas, stingrākas vārtejas, jo centrs ir pielīdzinājis EDPB viedoklim, ka ievades lauku renderēšana prasa skaidru un granulētu piekrišanu.
- Pārrobežu pārsūtīšanas atklāšana jābūt specifiskai katrai saņēmēja jurisdikcijai un jāatsaucas uz pārsūtīšanas juridisko pamatu — apstiprinātu līguma aizsargpasākumu, atzinuma lēmumu vai skaidru datu subjekta piekrišanu.
Validācija, licencēšana un audita pozīcija 2026. gadā
Aizstāvama Ēģiptes izvietošana 2026. gadā jāiztur četrās tehniskajās pārbaudēs. Pirmkārt, tīra pārlūkprogrammas sesija, kas tiek apkalpota no Ēģiptes IP adreses, pirms reklāmkarogs ir aktivizēts, nedrīkst radīt nevienu nebūtisku sīkdatni. Otrkārt, visu noraidīšanas ceļš jārada tāda pati pozīcija kā sesija bez darbības — bez analītikas tagiem, bez reklāmas tagiem, bez sesijas atskaņošanas skriptiem. Treškārt, visu pieņemšanas plūsmai jārada tikai tagi, kuriem lietotājs ir devis piekrišanu, un piekrišanas žurnālam jāsatur atbilstošs ieraksts. Ceturtkārt, atteikšanās plūsmai nekavējoties jāaptur tālāka tagu aktivizēšana, jābeidz darboties piekrišanas sesijas laikā iestatītajām sīkdatnēm un jāaktivizē jebkuri saņēmēja partneru prasītie dzēšanas vai atteikšanās signāli.
Pārsniedzot tehniskās pārbaudes, licencēšanas un audita pozīcija ir tas, kas padara izvietošanu aizstāvamu. Pārziņiem, kas apstrādā Ēģiptes iedzīvotāju personas datus virs izpildes noteikumos noteiktajiem sliekšņiem, jāreģistrējas Personas datu aizsardzības centrā, un reģistrācijas ieraksts — kopā ar piekrišanas žurnālu, privātuma paziņojumu, datu aizsardzības ietekmes novērtējuma rezultātiem augstāka riska apstrādei un jebkurām pārrobežu pārsūtīšanas atļaujām — veido dokumentāciju, ko centrs var pieprasīt atbilstības pārskatīšanas laikā. Pareizi konfigurēts CMP ar servera puses žurnālu, tagu ielādes slānis, kas nodrošina piekrišanas stāvokli, privātuma paziņojums, kas nosaukumi katru pārrobežu pārsūtīšanas galamērķi, un licencēšanas dokumenti, kas ir pieejami, ir tas, kas pārvērš Ēģiptes PDPL no regulatīvā nezināmā par aizstāvamu daļu no izdevēja MENA reģiona piekrišanas pozīcijas.