Rangka Kerja Undang-Undang PDPL

PDPL terpakai kepada pemprosesan data peribadi penduduk UAE, sama ada pemprosesan berlaku di dalam UAE atau di luarnya, dan sama ada pengawal atau pemproses ditubuhkan di UAE atau beroperasi dari luar negeri. Skop wilayah oleh itu adalah ekstrateritorial dengan cara yang sama seperti GDPR — penerbit yang beroperasi dari London atau Singapura yang memproses data tentang penduduk UAE adalah dalam skop. Pihak berkuasa penyeliaan adalah Pejabat Data UAE, yang ditubuhkan di bawah pakej perundangan yang sama, yang telah mengambil pendirian yang terukur tetapi semakin aktif dalam penguatkuasaan.

Prinsip teras PDPL akan biasa bagi sesiapa yang pernah bekerja dengan GDPR: asas yang sah, had tujuan, pengurangan data, ketepatan, had penyimpanan, integriti dan kerahsiaan, dan akauntabiliti. Asas yang sah di bawah Article 4 termasuk persetujuan, prestasi kontrak, kewajipan undang-undang, kepentingan penting, kepentingan awam, dan kepentingan sah, masing-masing dengan skop dan syaratnya sendiri. Untuk penjejakan dalam talian, asas yang relevan adalah persetujuan dan, dalam keadaan yang sempit, kepentingan sah. Kuki yang dipasang terlebih dahulu yang mengumpul data peribadi tanpa persetujuan adalah pelanggaran dengan cara yang sama seperti di bawah GDPR.

Apa yang Dikira Sebagai Data Peribadi di Bawah PDPL

Definisi data peribadi PDPL adalah luas dan mengikut GDPR dengan rapat: sebarang data yang berkaitan dengan orang semula jadi yang dikenal pasti atau boleh dikenal pasti, termasuk pengecam dalam talian. Kuki yang mengenal pasti peranti secara berterusan, alamat IP yang diproses bersama data lain, ID pengiklanan, dan pengecam gaya cap jari semuanya termasuk dalam skop. Panduan pelaksanaan Pejabat Data telah mengesahkan bahawa analisis yang digunakan pada kuki tingkah laku dan pengiklanan di EU terpakai dalam bentuk yang pada dasarnya sama di UAE — yang berbeza adalah seni bina penguatkuasaan, bukan piawaian substantif.

PDPL juga mentakrifkan kategori data peribadi sensitif dengan keperluan pengendalian yang lebih ketat, merangkumi maklumat kesihatan, data genetik dan biometrik, kepercayaan agama, rekod jenayah, dan kategori seumpamanya. Kuki yang menangkap mana-mana data ini memerlukan persetujuan ekspres dan perlindungan tambahan.

Persetujuan Kuki di Bawah PDPL

PDPL tidak mengandungi peruntukan khusus kuki dengan cara yang dilakukan oleh Arahan ePrivacy EU. Sebaliknya, keperluan persetujuan mengalir dari Article 6, yang menetapkan piawaian umum untuk persetujuan yang sah: ia mesti spesifik, tidak samar-samar, bermaklumat, dan diberikan secara bebas, dan subjek data mesti dapat menarik balik persetujuan semudah mereka memberikannya. Pejabat Data telah mentafsirkan piawaian ini untuk memerlukan:

• Tindakan afirmatif yang jelas sebelum kuki bukan penting diaktifkan. Penyemakan imbas berterusan, menatal, atau persetujuan tersirat tidak mencukupi.
• Kawalan kategori berbutir yang memisahkan kuki yang ketat perlu dari analitik dan dari pengiklanan, dengan pengunjung dapat menerima sebahagian dan menolak yang lain.
• Mekanisme penarikan balik yang jelas yang boleh dicapai dari mana-mana halaman di mana penjejakan aktif, dengan penarikan balik yang berkuat kuasa dengan serta-merta.
• Dokumentasi keputusan persetujuan yang mencukupi untuk memenuhi keperluan akauntabiliti di bawah Article 5.

Dalam amalan, ini adalah piawaian operasi yang sama yang akan dibina oleh penerbit untuk GDPR. Sepanduk yang memenuhi kriteria Pasukan Petugas Sepanduk Kuki EDPB akan memenuhi PDPL; yang gagal memenuhinya akan gagal di bawah penelitian PDPL juga.

Pemindahan Data Merentas Sempadan

Salah satu ciri paling tersendiri PDPL adalah rangka kerja pemindahan merentas sempadan. Articles 22 dan 23 PDPL menetapkan syarat-syarat di mana data peribadi boleh dipindahkan ke luar UAE, berstruktur mengikut garis yang selari — tetapi tidak mencerminkan secara identik — dengan Bab V GDPR.

Penetapan bergaya kecukupan

PDPL membenarkan Pejabat Data untuk menetapkan negara sebagai menyediakan perlindungan yang mencukupi. Senarai semasa lebih pendek daripada senarai Suruhanjaya Eropah dan dijangka akan berkembang. Sehingga sesebuah negara ditetapkan, pemindahan memerlukan salah satu mekanisme sah yang lain.

Peraturan kontrak standard

PDPL membenarkan pemindahan yang disokong oleh perlindungan kontrak yang sesuai, serupa dengan SCC EU dalam struktur. Ramai pengawal UAE beroperasi dengan adendum kontrak yang direka khas yang disemak oleh Pejabat Data atas permintaan.

Pengecualian tertentu

Pengecualian persetujuan ekspres, prestasi kontrak, dan kepentingan penting tersedia tetapi ditafsirkan secara sempit. Pergantungan rutin pada persetujuan untuk pemindahan — yang di bawah GDPR sering dianggap pengecualian dan bukan sistematik — diperlakukan seumpama di sini.

Bagi penerbit dalam talian, implikasi praktisnya ialah rekod persetujuan kuki kini juga harus menyokong kewajipan akauntabiliti pemindahan. Jika pengunjung di UAE menerima kuki yang menghalakan data mereka kepada vendor teknologi iklan AS, CMP perlu dapat menunjukkan instrumen pemindahan yang membenarkan aliran tersebut.

Pertimbangan Sektoral dan Zon Bebas

Landskap privasi UAE adalah berlapis. PDPL persekutuan terpakai secara meluas, tetapi beberapa zon bebas — Pusat Kewangan Antarabangsa Dubai (DIFC), Pasaran Global Abu Dhabi (ADGM), dan Bandar Penjagaan Kesihatan Dubai — menjalankan rejim perlindungan data mereka sendiri yang mendahului PDPL. Undang-Undang Perlindungan Data DIFC No. 5 tahun 2020 dan Peraturan Perlindungan Data ADGM 2021 kedua-duanya sejajar dengan GDPR dan terpakai dalam zon masing-masing. Penerbit yang beroperasi merentasi berbilang zon mesti menyelaraskan PDPL persekutuan dengan rangka kerja zon bebas yang terpakai; dalam kebanyakan kes piawaian substantif bertumpu tetapi saluran penyeliaan berbeza.

Apa yang Telah Diisyaratkan oleh Pejabat Data

Pejabat Data UAE telah berhati-hati dalam pendirian penguatkuasaannya, mengutamakan pembinaan kapasiti, perundingan sektor, dan kes berprofil tinggi berbanding rejim denda berjumlah tinggi. Dokumen panduan awam telah menekankan:

Reka bentuk sepanduk

Pejabat Data telah sejajar dengan kriteria bergaya EDPB pada reka bentuk sepanduk, menganggap butang tolak yang hilang, gaya pautan yang mengelirukan, dan kotak semak yang ditanda terlebih dahulu sebagai kecacatan biasa yang memerlukan pemulihan. Jangkaan adalah penumpuan dengan norma-norma Eropah.

Ketelusan merentas sempadan

Pejabat telah mengisyaratkan bahawa pemindahan antarabangsa akan menjadi fokus khusus, terutamanya di mana data peribadi dihalakan ke bidang kuasa tanpa kecukupan yang ditetapkan. Dokumentasi mekanisme pemindahan dianggap sebagai keperluan akauntabiliti, bukan pilihan.

Pendedahan dalam bahasa Arab

Walaupun PDPL tidak mewajibkan bahasa Arab, Pejabat Data telah menunjukkan bahawa pendedahan seharusnya tersedia dalam bahasa Arab di mana audiens terutamanya berbahasa Arab, untuk kebolehcapaian dan tujuan keterangan.

Senarai Semak Pematuhan Praktikal

Enam soalan konkrit untuk dijawab bagi mana-mana sepanduk kuki yang melayani trafik UAE.

1. Persetujuan afirmatif sebelum penjejakan

Adakah kuki bukan penting disekat di peringkat pemuat skrip sehingga pengunjung mengambil tindakan afirmatif? Pra-memuat sepanduk di atas penjejak yang sudah aktif adalah pelanggaran per se.

2. Kategori berbutir

Adakah sepanduk memisahkan kategori yang perlu, analitik, dan pengiklanan, dengan togol yang bebas? Penerimaan keseluruhan yang digabungkan tanpa perincian adalah kecacatan.

3. Ketersediaan bahasa Arab

Adakah sepanduk mengesan pengunjung berbahasa Arab dan menyampaikan dalam bahasa Arab secara lalai, dengan bahasa Inggeris sebagai alternatif yang boleh ditukar? Pejabat Data telah secara eksplisit menandakan kebolehcapaian bahasa.

4. Akses penarikan balik

Adakah kawalan penarikan balik berterusan dan boleh dicapai dari setiap halaman? Tetapan berbilang langkah yang tersembunyi dalam pautan footer gagal memenuhi piawaian "semudah menarik balik seperti memberikan".

5. Dokumentasi pemindahan merentas sempadan

Bagi setiap kuki yang mencetuskan pemindahan antarabangsa, adakah mekanisme pemindahan (kecukupan, perlindungan kontrak, pengecualian) didokumentasikan dan boleh ditunjukkan atas permintaan?

6. Pengelogan persetujuan

Adakah sistem merekod setiap keputusan persetujuan dengan cap masa, versi sepanduk, pilihan, dan bidang kuasa pengunjung supaya penerbit dapat menjawab pertanyaan Pejabat Data dengan bukti?

Di Mana PDPL Sesuai dalam Gambaran Serantau

UAE PDPL adalah salah satu dari beberapa rangka kerja privasi Teluk yang telah berkuat kuasa dalam beberapa tahun kebelakangan ini — PDPL Arab Saudi, Undang-Undang Perlindungan Data Peribadi Bahrain, Undang-Undang Privasi Data Peribadi Qatar, dan Undang-Undang Perlindungan Data Peribadi Oman semuanya beroperasi bersamanya. Piawaian substantif merentasi rantau ini menumpu pada prinsip sejajar GDPR, dengan variasi nasional dalam seni bina penyeliaan, mekanisme pemindahan, dan pengecualian sektoral. Bagi penerbit yang beroperasi merentasi Teluk, membina sekali mengikut piawaian yang lebih tinggi — persetujuan berbutir, penarikan balik berterusan, pemindahan yang didokumentasikan, sokongan bahasa Arab, pengelogan gred audit — mengendalikan pematuhan serantau melalui infrastruktur CMP yang sama yang mengendalikan pematuhan Eropah. UAE adalah, dalam banyak hal, penanda aras serantau: di mana Pejabat Data bergerak, pengawal selia jiran cenderung untuk mengikuti.