Руководство по согласию на cookie ОАЭ PDPL: Федеральный декрет-закон 45 от 2021 года для паблишеров
Объединённые Арабские Эмираты приняли свой Закон о защите персональных данных в конце 2021 года и ввели его в силу в следующем году. Федеральный декрет-закон 45 от 2021 года, известный как PDPL, — это первый всеобъемлющий федеральный закон о приватности страны, и он во многом заимствует структуру GDPR, адаптируя ключевые положения к федеральному праву ОАЭ и соображениям локализации данных страны. Для паблишеров, работающих в ОАЭ или ориентирующихся на трафик ОАЭ — рынок, который резко расширился с ростом регионального электронного коммерции, финтеха и гипермасштабных медиабизнесов, базирующихся в Дубае и Абу-Даби — PDPL превратил согласие на cookie из мягкого ожидания в федеральное обязательство соответствия. Это руководство проходит через то, как PDPL трактует онлайн-отслеживание, на чём фокусирует исполнение Управление данных ОАЭ, и каковы практические последствия для дизайна баннера cookie и конфигурации CMP.
Правовая рамка PDPL
PDPL применяется к обработке персональных данных резидентов ОАЭ, происходит ли обработка внутри ОАЭ или за их пределами, и установлен ли контролёр или процессор в ОАЭ или работает из-за рубежа. Территориальный охват, таким образом, экстерриториален в том же смысле, что и GDPR — паблишер, работающий из Лондона или Сингапура и обрабатывающий данные о резидентах ОАЭ, входит в сферу действия. Надзорным органом является Управление данных ОАЭ, учреждённое в рамках того же законодательного пакета, которое заняло взвешенную, но всё более активную позицию по исполнению.
Основные принципы PDPL будут знакомы любому, кто работал с GDPR: законное основание, ограничение цели, минимизация данных, точность, ограничение хранения, целостность и конфиденциальность, и подотчётность. Законные основания по Статье 4 включают согласие, исполнение договора, юридическое обязательство, жизненные интересы, общественный интерес и законные интересы, каждое со своим охватом и условиями. Для онлайн-отслеживания релевантными основаниями являются согласие и, в узких обстоятельствах, законный интерес. Предустановленные cookie, собирающие персональные данные без согласия, являются нарушением так же, как и по GDPR.
Что считается персональными данными по PDPL
Определение персональных данных в PDPL широко и близко следует GDPR: любые данные, относящиеся к идентифицированному или идентифицируемому физическому лицу, включая онлайн-идентификаторы. Cookie, постоянно идентифицирующие устройство, IP-адреса, обрабатываемые вместе с другими данными, рекламные ID и идентификаторы в стиле отпечатков — все попадают в сферу действия. Имплементирующее руководство Управления данных подтвердило, что анализ, применяемый к поведенческим и рекламным cookie в ЕС, применяется по существу в той же форме в ОАЭ — различается архитектура исполнения, а не содержательный стандарт.
PDPL также определяет категорию чувствительных персональных данных с более строгими требованиями к обработке, охватывающую информацию о здоровье, генетические и биометрические данные, религиозные убеждения, судимость и аналогичные категории. Cookie, захватывающие любые из этих данных, требуют явного согласия и дополнительных гарантий.
Согласие на cookie по PDPL
PDPL не содержит cookie-специфичного положения так, как это делает Директива ЕС ePrivacy. Вместо этого требование согласия вытекает из Статьи 6, которая устанавливает общий стандарт для действительного согласия: оно должно быть конкретным, недвусмысленным, информированным и свободно данным, а субъект данных должен иметь возможность отозвать согласие так же легко, как он его дал. Управление данных интерпретировало этот стандарт как требующее:
- Явного утвердительного действия до срабатывания неосновных cookie. Продолжение просмотра, прокрутка или подразумеваемое согласие недостаточны.
- Гранулярных категориальных средств управления, разделяющих строго необходимые cookie от аналитики и от рекламы, с возможностью посетителя принять одни и отклонить другие.
- Чёткого механизма отзыва, доступного с любой страницы, где активно отслеживание, с немедленным вступлением отзыва в силу.
- Документации решения о согласии, достаточной для удовлетворения требования подотчётности по Статье 5.
На практике это тот же операционный стандарт, который паблишер построил бы для GDPR. Баннер, проходящий критерии Целевой группы по баннерам cookie EDPB, удовлетворит PDPL; тот, который их не проходит, провалится и под проверкой PDPL.
Трансграничные передачи данных
Одна из самых отличительных особенностей PDPL — его рамка трансграничных передач. Статьи 22 и 23 PDPL устанавливают условия, при которых персональные данные могут быть переданы за пределы ОАЭ, структурированные по линиям, которые параллельны — но не идентично зеркальны — Главе V GDPR.
Обозначения в стиле адекватности
PDPL позволяет Управлению данных обозначать страны как обеспечивающие адекватную защиту. Текущий список короче, чем у Европейской комиссии, и ожидается, что он будет развиваться. Пока страна не обозначена, передачи требуют одного из других законных механизмов.
Стандартные договорные соглашения
PDPL разрешает передачи, подкреплённые соответствующими договорными гарантиями, аналогичными по структуре SCC ЕС. Многие контролёры ОАЭ работают с индивидуальными договорными приложениями, которые Управление данных рассматривает по запросу.
Конкретные отступления
Явное согласие, исполнение договора и отступления по жизненным интересам доступны, но узко толкуются. Рутинное полагание на согласие для передач — которое по GDPR часто считается исключительным, а не систематическим — трактуется здесь аналогично.
Для онлайн-паблишеров практическое влияние состоит в том, что запись о согласии на cookie теперь также должна поддерживать обязательство подотчётности по передачам. Если посетитель в ОАЭ принимает cookie, которые направляют его данные американскому ad-tech вендору, CMP должна быть способна выявить инструмент передачи, который санкционирует этот поток.
Секторальные соображения и соображения свободных зон
Ландшафт приватности ОАЭ многослоен. Федеральный PDPL применяется широко, но несколько свободных зон — Дубайский международный финансовый центр (DIFC), Глобальный рынок Абу-Даби (ADGM) и Дубайский город здравоохранения — управляют собственными режимами защиты данных, предшествующими PDPL. Закон о защите данных DIFC № 5 от 2020 года и Регламент защиты данных ADGM 2021 года оба согласованы с GDPR и применяются в своих соответствующих зонах. Паблишеры, работающие в нескольких зонах, должны согласовать федеральный PDPL с применимой рамкой свободной зоны; в большинстве случаев содержательные стандарты сходятся, но надзорный канал различается.
На что сигнализировало Управление данных
Управление данных ОАЭ было взвешенным в своей позиции по исполнению, приоритизируя наращивание потенциала, секторальные консультации и громкие дела над режимом высокообъёмных штрафов. Публичные документы руководства подчёркивали:
Дизайн баннера
Управление данных согласовалось с критериями в стиле EDPB по дизайну баннера, трактуя отсутствие кнопок отклонения, обманчивую стилизацию ссылок и предварительно отмеченные флажки как распространённые дефекты, требующие исправления. Ожидается конвергенция с европейскими нормами.
Трансграничная прозрачность
Управление сигнализировало, что международные передачи будут особым фокусом, особенно там, где персональные данные направляются в юрисдикции без обозначенной адекватности. Документация механизма передачи трактуется как требование подотчётности, а не как необязательная.
Раскрытие на арабском языке
Хотя PDPL не предписывает арабский, Управление данных указало, что раскрытия должны быть доступны на арабском там, где аудитория преимущественно арабоязычна, как для доступности, так и для доказательственных целей.
Практический чек-лист соответствия
Шесть конкретных вопросов, на которые нужно ответить для любого баннера cookie, обслуживающего трафик ОАЭ.
1. Утвердительное согласие до отслеживания
Блокируются ли неосновные cookie на уровне загрузчика скриптов, пока посетитель не предпримет утвердительное действие? Предварительная загрузка баннера поверх уже срабатывающих трекеров — это нарушение per se.
2. Гранулярные категории
Разделяет ли баннер необходимые, аналитические и рекламные категории с независимыми переключателями? Связанное принятие-всего без гранулярности — это дефект.
3. Доступность арабского языка
Обнаруживает ли баннер арабоязычных посетителей и представляет ли по умолчанию на арабском, с английским как переключаемой альтернативой? Управление данных явно отметило языковую доступность.
4. Доступ к отзыву
Постоянен ли элемент управления отзывом и доступен ли с каждой страницы? Многоступенчатые настройки, погребённые в ссылке футера, проваливают стандарт «отозвать так же легко, как дать».
5. Документация трансграничных передач
Для каждого cookie, который запускает международную передачу, задокументирован ли и доступен ли по запросу механизм передачи (адекватность, договорная гарантия, отступление)?
6. Логирование согласия
Записывает ли система каждое решение о согласии с временной меткой, версией баннера, выбором и юрисдикцией посетителя, чтобы паблишер мог ответить на запрос Управления данных с доказательствами?
Где PDPL вписывается в региональную картину
PDPL ОАЭ — одна из нескольких рамок приватности Залива, вступивших в силу за последние несколько лет — PDPL Саудовской Аравии, Закон о защите персональных данных Бахрейна, Закон о приватности персональных данных Катара и Закон о защите персональных данных Омана все работают наряду с ним. Содержательные стандарты по региону сходятся на принципах, согласованных с GDPR, с национальными вариациями в надзорной архитектуре, механизмах передачи и секторальных исключениях. Для паблишеров, работающих по всему Заливу, построение один раз по более высокому стандарту — гранулярное согласие, постоянный отзыв, задокументированные передачи, поддержка арабского языка, логирование уровня аудита — обрабатывает региональное соответствие через ту же инфраструктуру CMP, которая обрабатывает европейское соответствие. ОАЭ во многих отношениях являются региональным барометром: куда движется Управление данных, туда склонны следовать соседние регуляторы.