Ramy prawne PDPL

PDPL ma zastosowanie do przetwarzania danych osobowych mieszkańców UAE, niezależnie od tego, czy przetwarzanie odbywa się wewnątrz UAE, czy poza nią, oraz niezależnie od tego, czy administrator lub podmiot przetwarzający jest ustanowiony w UAE, czy działa z zagranicy. Zakres terytorialny jest zatem eksterytorialny w taki sam sposób jak GDPR — wydawca działający z Londynu lub Singapuru przetwarzający dane dotyczące mieszkańców UAE podlega przepisom. Organ nadzorczy to UAE Data Office, ustanowiony w ramach tego samego pakietu legislacyjnego, który przyjął wyważone, ale coraz bardziej aktywne podejście do egzekwowania.

Podstawowe zasady PDPL będą znane każdemu, kto pracował z GDPR: podstawa prawna, ograniczenie celu, minimalizacja danych, dokładność, ograniczenie przechowywania, integralność i poufność oraz rozliczalność. Podstawy prawne na mocy Article 4 obejmują zgodę, wykonanie umowy, obowiązek prawny, żywotne interesy, interes publiczny i uzasadnione interesy, każda z własnym zakresem i warunkami. W przypadku śledzenia online odpowiednimi podstawami są zgoda i, w wąskich okolicznościach, uzasadniony interes. Wstępnie zainstalowane pliki cookie gromadzące dane osobowe bez zgody stanowią naruszenie w taki sam sposób, jak miałoby to miejsce na podstawie GDPR.

Co liczy się jako dane osobowe na mocy PDPL

Definicja danych osobowych w PDPL jest szeroka i ściśle odpowiada GDPR: wszelkie dane dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, w tym identyfikatory online. Pliki cookie trwale identyfikujące urządzenie, adresy IP przetwarzane łącznie z innymi danymi, identyfikatory reklamowe i identyfikatory w stylu odcisku palca wchodzą w zakres. Wskazówki implementacyjne Data Office potwierdziły, że analiza stosowana do behawioralnych i reklamowych plików cookie w UE ma zasadniczo taką samą formę w UAE — różni się architektura egzekwowania, a nie standard merytoryczny.

PDPL definiuje również kategorię wrażliwych danych osobowych z surowszymi wymogami przetwarzania, obejmującą informacje o zdrowiu, dane genetyczne i biometryczne, przekonania religijne, kartotekę karną i podobne kategorie. Pliki cookie przechwytujące którekolwiek z tych danych wymagają wyraźnej zgody i dodatkowych zabezpieczeń.

Zgoda na pliki cookie na mocy PDPL

PDPL nie zawiera przepisu dotyczącego konkretnie plików cookie w sposób, w jaki czyni to dyrektywa ePrivacy UE. Zamiast tego wymóg zgody wynika z Article 6, który określa ogólny standard ważnej zgody: musi być konkretna, jednoznaczna, świadoma i dobrowolna, a osoba, której dane dotyczą, musi być w stanie wycofać zgodę tak łatwo, jak ją wyraziła. Data Office zinterpretował ten standard jako wymagający:

• Wyraźnego działania twierdzącego przed uruchomieniem nieistotnych plików cookie. Ciągłe przeglądanie, przewijanie lub domniemana zgoda nie są wystarczające.
• Szczegółowych kontroli kategorii oddzielających ściśle niezbędne pliki cookie od analityki i reklamy, przy czym odwiedzający może zaakceptować niektóre i odrzucić inne.
• Jasnego mechanizmu wycofania dostępnego z każdej strony, gdzie śledzenie jest aktywne, przy czym wycofanie wchodzi w życie natychmiast.
• Dokumentacji decyzji o zgodzie wystarczającej do spełnienia wymogu rozliczalności na mocy Article 5.

W praktyce jest to ten sam standard operacyjny, który wydawca budowałby dla GDPR. Baner spełniający kryteria EDPB Cookie Banner Taskforce spełni PDPL; taki, który ich nie spełnia, nie przejdzie też kontroli PDPL.

Transgraniczne przekazywanie danych

Jedną z najbardziej charakterystycznych cech PDPL jest jej ramy dotyczące transferów transgranicznych. Articles 22 i 23 PDPL określają warunki, na jakich dane osobowe mogą być przekazywane poza UAE, zorganizowane wzdłuż linii równoległych — ale nie identycznych — do rozdziału V GDPR.

Decyzje o adekwatności

PDPL pozwala Data Office wyznaczać kraje jako zapewniające odpowiednią ochronę. Obecna lista jest krótsza niż lista Komisji Europejskiej i oczekuje się, że będzie ewoluować. Do czasu wyznaczenia kraju transfery wymagają jednego z innych legalnych mechanizmów.

Standardowe porozumienia umowne

PDPL dopuszcza transfery oparte na odpowiednich zabezpieczeniach umownych, podobnych strukturą do SCC UE. Wielu administratorów w UAE działa z dostosowanymi aneksami umownymi, które Data Office weryfikuje na żądanie.

Szczegółowe odstępstwa

Dostępne są odstępstwa dotyczące wyraźnej zgody, wykonania umowy i żywotnych interesów, ale są wąsko interpretowane. Rutynowe poleganie na zgodzie przy transferach — co w GDPR jest często uważane za wyjątkowe, a nie systematyczne — jest traktowane podobnie tutaj.

Dla wydawców internetowych praktyczny wpływ polega na tym, że rejestr zgody na pliki cookie musi teraz wspierać również obowiązek rozliczalności transferu. Jeśli odwiedzający w UAE zaakceptuje pliki cookie, które kierują jego dane do dostawcy technologii reklamowej w USA, CMP musi być w stanie ujawnić instrument transferu, który autoryzuje ten przepływ.

Sektorowe i wolnostrefowe rozważania

Krajobraz prywatności UAE jest wielowarstwowy. Federalny PDPL ma szerokie zastosowanie, ale kilka wolnych stref — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM) i Dubai Healthcare City — działają na własnych reżimach ochrony danych, które poprzedzają PDPL. Ustawa o ochronie danych DIFC nr 5 z 2020 r. i Przepisy o ochronie danych ADGM z 2021 r. są obydwa zgodne z GDPR i mają zastosowanie w swoich strefach. Wydawcy działający w wielu strefach muszą pogodzić federalny PDPL z odpowiednimi ramami wolnej strefy; w większości przypadków standardy merytoryczne zbiegają się, ale kanał nadzorczy różni się.

Co zasygnalizowało Data Office

UAE Data Office było rozważne w swojej postawie egzekwowania, priorytetyzując budowanie zdolności, konsultacje sektorowe i głośne sprawy zamiast systemu kar opartego na dużej liczbie przypadków. Publiczne dokumenty wytycznych podkreślały:

Projekt banera

Data Office dostosowało się do kryteriów w stylu EDPB dotyczących projektu banera, traktując brakujące przyciski odrzucenia, wprowadzające w błąd stylizowanie linków i wstępnie zaznaczone pola wyboru jako powszechne wady wymagające naprawy. Oczekuje się zbieżności z normami europejskimi.

Przejrzystość transgraniczna

Biuro zasygnalizowało, że transfery międzynarodowe będą szczególnym obszarem zainteresowania, zwłaszcza gdy dane osobowe są kierowane do jurysdykcji bez wyznaczonej adekwatności. Dokumentacja mechanizmu transferu jest traktowana jako wymóg rozliczalności, a nie opcjonalny.

Ujawnianie w języku arabskim

Chociaż PDPL nie nakazuje języka arabskiego, Data Office wskazało, że ujawnienia powinny być dostępne w języku arabskim, gdy odbiorcy posługują się przede wszystkim językiem arabskim, zarówno dla dostępności, jak i celów dowodowych.

Praktyczna lista kontrolna zgodności

Sześć konkretnych pytań, na które należy odpowiedzieć dla każdego banera cookie obsługującego ruch UAE.

1. Twierdzące wyrażenie zgody przed śledzeniem

Czy nieistotne pliki cookie są blokowane na poziomie ładowania skryptu do czasu, gdy odwiedzający podejmie działanie twierdzące? Wstępne ładowanie banera nad już uruchomionymi trackerami jest naruszeniem per se.

2. Szczegółowe kategorie

Czy baner rozdziela kategorie niezbędne, analityczne i reklamowe, z niezależnymi przełącznikami? Zbiorcze zaakceptowanie bez granularności jest wadą.

3. Dostępność języka arabskiego

Czy baner wykrywa arabskojęzycznych odwiedzających i domyślnie wyświetla się po arabsku, z angielskim jako przełączalną alternatywą? Data Office wyraźnie oznaczyło dostępność językową.

4. Dostęp do wycofania

Czy kontrolka wycofania jest trwała i dostępna z każdej strony? Wieloetapowe ustawienia ukryte w linku stopki nie spełniają standardu „tak łatwo wycofać, jak wyrazić".

5. Dokumentacja transferu transgranicznego

Dla każdego pliku cookie uruchamiającego transfer międzynarodowy, czy mechanizm transferu (adekwatność, zabezpieczenie umowne, odstępstwo) jest udokumentowany i możliwy do przedstawienia na żądanie?

6. Rejestrowanie zgody

Czy system rejestruje każdą decyzję o zgodzie ze znacznikiem czasu, wersją banera, wyborem i jurysdykcją odwiedzającego, aby wydawca mógł odpowiedzieć na zapytanie Data Office z dowodami?

Gdzie PDPL pasuje do regionalnego obrazu

UAE PDPL jest jednym z kilku przepisów dotyczących prywatności w Zatoce, które weszły w życie w ciągu ostatnich kilku lat — saudyjskie PDPL, bahrajńska ustawa o ochronie danych osobowych, katarska ustawa o prywatności danych osobowych i omańska ustawa o ochronie danych osobowych wszystkie działają obok siebie. Standardy merytoryczne w całym regionie zbiegają się w kierunku zasad zgodnych z GDPR, z krajowymi wariantami w architekturze nadzorczej, mechanizmach transferu i wyłączeniach sektorowych. Dla wydawców działających w całej Zatoce, budowanie raz na wyższy standard — szczegółowa zgoda, trwałe wycofanie, udokumentowane transfery, wsparcie języka arabskiego, rejestrowanie na poziomie audytu — obsługuje regionalną zgodność za pośrednictwem tej samej infrastruktury CMP, która obsługuje zgodność europejską. UAE jest pod wieloma względami regionalnym wyznacznikiem trendu: tam gdzie Data Office się posuwa, sąsiednie organy regulacyjne mają tendencję do podążania.