UAE PDPL Sīkdatņu Piekrišanas Rokasgrāmata: Federālais Dekrēts-Likums 45 (2021) Izdevējiem
Apvienotie Arābu Emirāti pieņēma Personas Datu Aizsardzības Likumu 2021. gada beigās un nākamajā gadā to ieveda spēkā. Federālais Dekrēts-Likums 45 of 2021, pazīstams kā PDPL, ir valsts pirmais visaptverošais federālais privātuma statūts, kas lielā mērā aizgūts no GDPR struktūras, pielāgojot galvenos noteikumus UAE federālajiem tiesību aktiem un datu lokalizācijas apsvērumiem. Izdevējiem, kas darbojas UAE vai mērķē uz UAE satiksmi — tirgū, kas strauji paplašinājies reģionālās e-komercijas, fintecha, kā arī Dubai un Abu Dhabi bāzēto hiperliela mēroga mediju uzņēmumu izaugsmē — PDPL pārvērta sīkdatņu piekrišanu no neformālas cerības par federālu atbilstības pienākumu. Šī rokasgrāmata aplūko, kā PDPL regulē tiešsaistes izsekošanu, uz ko UAE Datu birojs koncentrē izpildi, un kādas ir praktiskās sekas sīkdatņu bannera dizainā un CMP konfigurācijā.
PDPL Juridiskais Regulējums
PDPL attiecas uz UAE rezidentu personas datu apstrādi neatkarīgi no tā, vai apstrāde notiek UAE iekšienē vai ārpus tās, un neatkarīgi no tā, vai pārzinis vai apstrādātājs ir reģistrēts UAE vai darbojas no ārvalstīm. Teritoriālā darbības joma tādēļ ir eksteritoriāla tāpat kā GDPR — izdevējs, kas darbojas Londonā vai Singapūrā un apstrādā datus par UAE rezidentiem, ir iekļauts darbības jomā. Uzraudzības iestāde ir UAE Datu birojs, kas izveidots saskaņā ar to pašu likumdošanas pakotni un ir pieņēmis piesardzīgu, bet arvien aktīvāku nostāju izpildē.
PDPL pamatprincipi būs pazīstami ikvienam, kas ir strādājis ar GDPR: likumīgs pamats, mērķa ierobežojums, datu minimizācija, precizitāte, uzglabāšanas ierobežojums, integritāte un konfidencialitāte, un pārskatatbildība. Likumīgie pamati saskaņā ar Article 4 ietver piekrišanu, līguma izpildi, juridisku pienākumu, dzīvībai svarīgas intereses, sabiedriskās intereses un likumīgas intereses, katram ar savu darbības jomu un nosacījumiem. Tiešsaistes izsekošanai atbilstīgie pamati ir piekrišana un šaurā apstākļu lokā — likumīgas intereses. Iepriekš instalētas sīkdatnes, kas vāc personas datus bez piekrišanas, ir pārkāpums tāpat kā saskaņā ar GDPR.
Kas Tiek Uzskatīts par Personas Datiem Saskaņā ar PDPL
PDPL personas datu definīcija ir plaša un cieši seko GDPR: jebkuri dati, kas attiecas uz identificētu vai identificējamu fizisku personu, tostarp tiešsaistes identifikatori. Sīkdatnes, kas pastāvīgi identificē ierīci, IP adreses, kas apstrādātas kopā ar citiem datiem, reklāmas ID un pirkstu nospiedumu stila identifikatori — visi ietilpst darbības jomā. Datu biroja ieviešanas norādījumi ir apstiprinājuši, ka analīze, ko piemēro uzvedības un reklāmas sīkdatnēm ES, UAE piemērojama būtībā tādā pašā formā — atšķiras izpildes arhitektūra, nevis materiālais standarts.
PDPL arī definē sensitīvo personas datu kategoriju ar stingrākām apstrādes prasībām, aptverot veselības informāciju, ģenētiskos un biometriskos datus, reliģisko pārliecību, kriminālā sodāmība un līdzīgas kategorijas. Sīkdatnes, kas uztver jebkurus šādus datus, prasa skaidru piekrišanu un papildu aizsardzības pasākumus.
Sīkdatņu Piekrišana Saskaņā ar PDPL
PDPL nesatur sīkdatnei specifisku noteikumu tā, kā to dara ES ePrivacy Direktīva. Tā vietā piekrišanas prasība izriet no Article 6, kas nosaka vispārējo standartu derīgai piekrišanai: tai jābūt specifiskai, nepārprotamai, informētai un brīvi sniegtai, un datu subjektam jāspēj atsaukt piekrišanu tikpat viegli, kā viņš to sniedza. Datu birojs šo standartu ir interpretējis kā:
- Skaidra apstiprinoša darbība pirms nebūtisku sīkdatņu aktivizēšanas. Turpināta pārlūkošana, ritināšana vai netiešā piekrišana nav pietiekama.
- Granulētas kategoriju kontroles, kas atdala stingri nepieciešamās sīkdatnes no analītikas un reklāmas, ļaujot apmeklētājam pieņemt dažas un noraidīt citas.
- Skaidrs atsaukšanas mehānisms, kas pieejams no jebkuras lapas, kur izsekošana ir aktīva, un atsaukšana stājas spēkā nekavējoties.
- Piekrišanas lēmuma dokumentācija, kas pietiekama, lai izpildītu pārskatatbildības prasību saskaņā ar Article 5.
Praksē tas ir tas pats operatīvais standarts, ko izdevējs veidotu GDPR. Banneris, kas atbilst EDPB Sīkdatņu Bannera darba grupas kritērijiem, apmierinās PDPL; tas, kas tiem neatbilst, neatbildīs arī PDPL pārbaudē.
Pārrobežu Datu Pārsūtīšana
Viena no visatšķirīgākajām PDPL iezīmēm ir tās pārrobežu pārsūtīšanas regulējums. Articles 22 un 23 PDPL nosaka nosacījumus, saskaņā ar kuriem personas dati var tikt pārsūtīti ārpus UAE, strukturēti paralēli — bet ne identiskā atspogulojumā — GDPR V nodaļai.
Adekvātuma veida apzīmējumi
PDPL ļauj Datu birojam noteikt valstis kā nodrošinošas adekvātu aizsardzību. Pašreizējais saraksts ir īsāks nekā Eiropas Komisijas saraksts un, paredzams, attīstīsies. Līdz valsts iekļaušanai sarakstā pārsūtīšanai nepieciešami viens no pārējiem likumīgajiem mehānismiem.
Standarta līgumiskas vienošanās
PDPL pieļauj pārsūtīšanu, ko atbalsta atbilstošas līgumiskas garantijas, struktūrā līdzīgas ES SCC. Daudzi UAE kontrolieri darbojas ar pielāgotiem līgumiskiem pielikumiem, kurus Datu birojs izskata pēc pieprasījuma.
Specifiski atkāpšanās gadījumi
Skaidras piekrišanas, līguma izpildes un dzīvībai svarīgo interešu atkāpšanās gadījumi ir pieejami, bet šauri interpretēti. Regulāra paļaušanās uz piekrišanu pārsūtīšanai — kas saskaņā ar GDPR bieži tiek uzskatīta par izņēmuma, nevis sistemātisku — šeit tiek apstrādāta līdzīgi.
Tiešsaistes izdevējiem praktiskā ietekme ir tāda, ka sīkdatņu piekrišanas ierakstam tagad jāatbalsta arī pārsūtīšanas pārskatatbildības pienākums. Ja UAE apmeklētājs pieņem sīkdatnes, kas novirza viņu datus uz ASV reklāmas tehnoloģiju piegādātāju, CMP ir jāspēj uzrādīt pārsūtīšanas instrumentu, kas atļauj šo datu plūsmu.
Nozariskās un Brīvās Zonas Apsvērumi
UAE privātuma ainava ir daudzslāņu. Federālais PDPL plašu piemērojums, bet vairākas brīvās zonas — Dubai Starptautiskais Finanšu centrs (DIFC), Abu Dhabi Globālais tirgus (ADGM) un Dubai Veselības aprūpes pilsēta — darbojas ar saviem datu aizsardzības režīmiem, kas ir vecāki par PDPL. DIFC Datu aizsardzības likums Nr. 5 no 2020. gada un ADGM Datu aizsardzības noteikumi 2021. gads abi ir GDPR saskaņoti un attiecas to attiecīgajās zonās. Izdevējiem, kas darbojas vairākās zonās, jāsaskaņo federālais PDPL ar piemērojamo brīvās zonas regulējumu; vairumā gadījumu materiālie standarti konverģē, bet uzraudzības kanāls atšķiras.
Ko Datu Birojs Ir Signalizējis
UAE Datu birojs bijis apdomīgs savā izpildes nostājā, prioritizējot kapacitātes veidošanu, nozares konsultācijas un augstas vērtības lietas nevis liela apjoma soda naudas režīmu. Publiskajos norādījumu dokumentos uzsvērts:
Bannera dizains
Datu birojs ir saskaņojies ar EDPB tipa kritērijiem bannera dizainā, uzskatot trūkstošās noraidīšanas pogas, maldinošu saišu noformēšanu un iepriekš atzīmētas izvēles rūtiņas par biežiem defektiem, kas prasa novēršanu. Sagaidāma konverģence ar Eiropas normām.
Pārrobežu pārskatāmība
Birojs ir signalizējis, ka starptautiskās pārsūtīšanas būs īpaša uzmanības joma, īpaši kur personas dati tiek novirzīti uz jurisdikcijām bez atzītas adekvātuma. Pārsūtīšanas mehānisma dokumentācija tiek uzskatīta par pārskatatbildības prasību, nevis izvēles.
Arābiskās valodas informēšana
Lai gan PDPL nenosaka arābu valodu, Datu birojs norādījis, ka informācijai jābūt pieejamai arābu valodā, ja auditorija galvenokārt runā arābiski, gan pieejamības, gan pierādījumu nolūkos.
Praktiskā Atbilstības Kontrolsaraksts
Seši konkrēti jautājumi, uz kuriem jāatbild jebkuram sīkdatņu banneram, kas apkalpo UAE satiksmi.
1. Apstiprinoša piekrišana pirms izsekošanas
Vai nebūtiskās sīkdatnes tiek bloķētas skripta ielādētāja līmenī līdz brīdim, kad apmeklētājs veic apstiprinošu darbību? Bannera priekšielaupīšana pār jau aktivizētiem izsekotājiem ir pati par sevi pārkāpums.
2. Granulētas kategorijas
Vai banneris atdala nepieciešamās, analītikas un reklāmas kategorijas ar neatkarīgiem pārslēgšanas slēdžiem? Apvienota pieņemšana bez granularitātes ir defekts.
3. Arābu valodas pieejamība
Vai banneris atklāj arābiski runājošos apmeklētājus un pēc noklusējuma rāda arābu valodā, ar angļu valodu kā pārslēdzamu alternatīvu? Datu birojs ir skaidri atzīmējis valodas pieejamību.
4. Atsaukšanas piekļuve
Vai atsaukšanas kontrole ir pastāvīga un pieejama no katras lapas? Vairāku soļu iestatījumi, kas apslēpti kājenes saitē, neatbilst standartam "tikpat viegli atsaukt, kā sniegt".
5. Pārrobežu pārsūtīšanas dokumentācija
Katrai sīkdatnei, kas aktivizē starptautisku pārsūtīšanu, vai pārsūtīšanas mehānisms (adekvātums, līgumiskas garantijas, atkāpšanās) ir dokumentēts un uzrādāms pēc pieprasījuma?
6. Piekrišanas reģistrēšana
Vai sistēma reģistrē katru piekrišanas lēmumu ar laika zīmogu, bannera versiju, izvēli un apmeklētāja jurisdikciju, lai izdevējs varētu atbildēt uz Datu biroja pieprasījumu ar pierādījumiem?
Kur PDPL Iekļaujas Reģionālajā Ainā
UAE PDPL ir viens no vairākiem Persijas līča privātuma regulējumiem, kas stājušies spēkā pēdējo dažu gadu laikā — Saūda Arābijas PDPL, Bahreinas Personas datu aizsardzības likums, Katāras Personas datu privātuma likums un Omānas Personas datu aizsardzības likums darbojas blakus tam. Būtiskie standarti reģionā konverģē uz GDPR saskaņotiem principiem, ar nacionālām variācijām uzraudzības arhitektūrā, pārsūtīšanas mehānismos un nozaru atbrīvojumos. Izdevējiem, kas darbojas Persijas līcī, vienreiz veidojot pēc augstākā standarta — granulēta piekrišana, pastāvīga atsaukšana, dokumentētas pārsūtīšanas, arābu valodas atbalsts, audita līmeņa reģistrēšana — reģionālā atbilstība tiek nodrošināta caur to pašu CMP infrastruktūru, kas apstrādā Eiropas atbilstību. UAE daudzējādā ziņā ir reģionālais barometrs: kur Datu birojs virzās, kaimiņu regulatori mēdz sekot.