Egyptský zákon o ochrane osobných údajov č. 151 z roku 2020 — Príručka súladu so súhlasom so súbormi cookie: Playbook 2026 pre vydavateľov
Egyptský zákon o ochrane osobných údajov č. 151 z roku 2020 — zvyčajne označovaný ako egyptský PDPL — bol vydaný 15. júla 2020 a nadobudol účinnosť 14. októbra 2020. Počas väčšiny obdobia odvtedy absencia vykonávacích predpisov znamenala, že zákon zostával vyhlásením zásad, nie vymáhateľným režimom. To sa zmenilo, keď Centrum ochrany osobných údajov — regulátor zriadený podľa zákona, pripojený k Ministerstvu komunikácií a informačných technológií — zverejnilo svoj operatívny rámec, požiadavky na licencovanie a vykonávacie predpisy, ktoré zákon ponechal na vydanie. Do roku 2026 je režim plne funkčný, licenčná cesta pre prevádzkovateľov a sprostredkovateľov je aktívna a vydavatelia pôsobiaci v Egypte alebo zameraní naň podliehajú domácemu štandardu súhlasu, ktorý je bližšie GDPR ako akémukoľvek staršiemu regionálnemu modelu. Dôsledok pre súhlas so súbormi cookie je priamy: banner, ktorý fungoval v Egypte v rámci predchádzajúceho režimu, teraz nestačí, a banner, ktorý spĺňa GDPR, bude spĺňať PDPL len vtedy, keď integrácia zohľadní body, v ktorých sa oba rámce rozchádzajú.
Čo egyptský PDPL skutočne vyžaduje
Zákon sa vzťahuje na spracúvanie osobných údajov egyptských rezidentov bez ohľadu na to, kde je prevádzkovateľ alebo sprostredkovateľ usadený, a na prevádzkovateľov a sprostredkovateľov usadených v Egypte bez ohľadu na to, kde sa nachádzajú dotknuté osoby. Tento extrateritoriálny dosah zrkadlí článok 3 GDPR a znamená, že vydavateľ so sídlom mimo Egypta, ale s egyptskými čitateľmi, inštaláciami aplikácií alebo platiacimi zákazníkmi, je pevne v rozsahu pôsobnosti. Osobné údaje sú definované široko ako akékoľvek údaje týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby, pričom citlivé osobné údaje — vrátane zdravotných, biometrických, genetických, údajov o duševnom zdraví, finančných, náboženských presvedčení, politických názorov a odsúdení za trestné činy — podliehajú vyššiemu prahovému hodnote súhlasu a ďalším zárukám.
Zákon stanovuje zákonné základy spracúvania, štandardný súbor práv dotknutých osôb — prístup, opravu, vymazanie, obmedzenie, námietku a prenosnosť —, rámec zodpovednosti prevádzkovateľa a sprostredkovateľa, povinnosti oznamovať porušenia, kontroly cezhraničného prenosu a režim správnych sankcií s pokutami od EGP 100 000 za menšie porušenia až po EGP 5 miliónov za závažné alebo opakované porušenia. Trestné sankcie sa vzťahujú na najzávažnejšie kategórie, vrátane nelicencovaného cezhraničného prenosu a spracúvania citlivých údajov bez povolenia.
Ako PDPL narába konkrétne so súhlasom so súbormi cookie
Na rozdiel od smernice EÚ o ePrivacy, PDPL neobsahuje osobitné ustanovenie o súboroch cookie. Súbory cookie a analogické technológie uchovávania a prístupu spadajú do rámca všeobecného súhlasu: akékoľvek spracúvanie osobných údajov, ktoré sa opiera o súhlas ako o zákonný základ, musí byť získané na základe výslovného, dobrovoľného, konkrétneho a zdokumentovaného vyjadrenia súhlasu dotknutej osoby. Centrum ochrany osobných údajov vo svojich usmerneniach vydaných počas postupného nadobúdania účinnosti predpisov potvrdilo, že vopred zaškrtnuté políčka, implicitný súhlas vyvodený z ďalšieho prehliadania a súhrnné bannery so súhlasom nespĺňajú štandard zákona. To pevne zaraďuje Egypt do súladu s globálnym trendom a znamená, že praktický postoj, ktorý vydavatelia už udržiavajú pre EEA, je správnym východiskovým bodom pre egyptskú návštevnosť.
Praktický dôsledok je ten, že súbory cookie a akékoľvek analogické technológie, ktoré nie sú nevyhnutne potrebné na poskytovanie služby, nesmú byť nastavené predtým, než používateľ aktívne súhlasil. Nevyhnutne potrebné súbory cookie — identifikátory relácie, obsah košíka, bezpečnostné tokeny, vyrovnávacie súbory cookie — môžu byť nastavené bez súhlasu na základe toho, že používateľ aktívne požiadal o službu. Všetko ostatné — analytika, reklama, personalizácia, testovanie A/B, prehrávanie relácií a akákoľvek značka tretej strany — vyžaduje predchádzajúci súhlas.
Ako sa PDPL v praxi odlišuje od GDPR
Tri rozdiely sú dôležité na integračnej úrovni. Po prvé, PDPL vyžaduje, aby bol súhlas so spracúvaním citlivých osobných údajov získaný písomne alebo prostredníctvom zdokumentovaného elektronického ekvivalentu, ktorý môže prevádzkovateľ predložiť na požiadanie — vyšší dôkazný štandard ako požiadavka výslovného súhlasu podľa GDPR. Po druhé, PDPL ukladá licenčný režim: prevádzkovatelia a sprostredkovatelia sa musia zaregistrovať v Centre ochrany osobných údajov a určité kategórie spracúvania — vrátane cezhraničného prenosu a priameho marketingu — vyžadujú samostatnú prevádzkovú licenciu. Po tretie, pravidlá cezhraničného prenosu PDPL vyžadujú buď rozhodnutie o primeranosti Centrom, schválenú zmluvnú záruku, alebo výslovný súhlas dotknutej osoby; prenosy do jurisdikcií bez označení alebo záruk sú obmedzené bez ohľadu na vlastný postoj príjemcu v otázkach dodržiavania predpisov.
Ako vyzerá banner súborov cookie vyhovujúci PDPL
Technické požiadavky sa zhodujú s tým, čo každý moderný CMP už produkuje, ale označovanie, dokumentácia a protokol súhlasov musia odrážať egyptské špecifiká. Banner prvej vrstvy musí používateľovi poskytnúť skutočnú možnosť voľby — prijať, odmietnuť, spravovať — kde možnosť odmietnutia je aspoň rovnako nápadná ako možnosť prijatia. Súhrnný súhlas je zakázaný, takže druhá vrstva musí umožniť prihlásenie podľa kategórie pokrývajúce minimálne analytiku, reklamu a akékoľvek spracúvanie závislé od cezhraničného prenosu. Kategórie musia mať predvolene vypnutý stav; banner nesmie načítavať značky, kým ich používateľ aktívne nezapne.
Oznámenie o ochrane súkromia zobrazené z bannera musí identifikovať prevádzkovateľa, číslo licencie PDPL prevádzkovateľa (ak sa uplatňuje), kategórie zhromaždených osobných údajov, zákonný základ pre každý účel spracúvania, obdobie uchovávania údajov, kategórie príjemcov vrátane akýchkoľvek sub-sprostredkovateľov mimo Egypta, práva dotknutej osoby podľa zákona a kontaktné údaje Centra ochrany osobných údajov pre sťažnosti. Oznámenie, ktoré spĺňa štandard článku 13 GDPR, sa bude do veľkej miery prekrývať, ale riadky týkajúce sa egyptskej licencie a kontaktu na Centrum musia byť pridané explicitne.
Integračný vzor, ktorý prejde preskúmaním Centra ochrany osobných údajov
Referenčná implementácia má štyri pohyblivé časti. Prvou je CMP, ktorý podporuje prihlásenie podľa kategórie, predvolene vypnuté, a sprístupňuje voľbu používateľa prostredníctvom štruktúrovaného reťazca súhlasu, ktorý môže vydavateľ uchovávať. Druhou je vrstva načítavania značiek — správca značiek na strane servera alebo natívna brána CMP — ktorá prísne uplatňuje stav súhlasu pred nastavením akéhokoľvek nepodstatného súboru cookie. Treťou je protokol súhlasov uchovávaný na strane servera, ktorý zaznamenáva pre každú udalosť súhlasu voľbu používateľa podľa kategórie, časovú pečiatku, verziu bannera a skrátený alebo hašovaný identifikátor IP, aby mohol prevádzkovateľ predložiť záznam na žiadosť Centra. Štvrtou je cesta odvolania súhlasu aspoň rovnako jednoduchá ako pôvodné udelenie — zvyčajne trvalý odkaz na opätovné otvorenie bannera v päte stránky.
- Analytické značky — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — sa môžu načítavať až po udelení kategórie analytiky. Každá platforma podporuje konfiguráciu s bránou súhlasu, ktorá zabraňuje akémukoľvek zápisu súborov cookie pred otvorením brány.
- Reklamné značky — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programové header-biddersy — musia byť podobne blokované bránami a tam, kde reklamný partner prenáša údaje mimo Egypta, musí sa jurisdikcia príjemcu uviesť v oznámení o ochrane súkromia. Generické zverejnenie spracúvania globálnymi poskytovateľmi služieb nie je dostačujúce podľa usmernení Centra.
- Nástroje na prehrávanie relácií a heatmapy — Hotjar, Microsoft Clarity, FullStory — musia byť umiestnené za samostatnou, prísnejšou bránou, pretože Centrum sa zosúladilo so stanoviskom EDPB, že vykreslenie vstupných polí vyžaduje výslovný a granulárny súhlas.
- Zverejnenia o cezhraničnom prenose musia byť špecifické pre každú jurisdikciu príjemcu a odkazovať na právny základ prenosu — schválenú zmluvnú záruku, rozhodnutie o primeranosti alebo výslovný súhlas dotknutej osoby.
Validácia, licencovanie a auditný postoj na rok 2026
Obhájiteľné egyptské nasadenie v roku 2026 musí prejsť štyrmi technickými kontrolami. Po prvé, čistá relácia prehliadača obsluhovaná z egyptskej IP adresy musí pred vykonaním akcie s bannerom produkovať nula nepodstatných súborov cookie. Po druhé, cesta odmietnutia všetkého musí mať za výsledok rovnaký postoj ako relácia bez akcie — žiadne analytické značky, žiadne reklamné značky, žiadne skripty prehrávania relácií. Po tretie, tok prijatia všetkého musí produkovať len značky, s ktorými používateľ súhlasil, a protokol súhlasov musí obsahovať zodpovedajúci záznam. Po štvrté, tok odvolania musí okamžite zastaviť ďalšie spustenia značiek, vyexpiruje súbory cookie nastavené počas odsúhlasenej relácie a spustí akékoľvek signály vymazania alebo opt-out požadované prijímajúcimi partnermi.
Okrem technických kontrol, licencovanie a auditný postoj sú tým, čo robí nasadenie obhájiteľným. Prevádzkovatelia spracúvajúci osobné údaje egyptských rezidentov nad prahovými hodnotami stanovenými vykonávacími predpismi sa musia zaregistrovať v Centre ochrany osobných údajov a registračný záznam — spolu s protokolom súhlasov, oznámením o ochrane súkromia, výsledkami posúdenia vplyvu na ochranu údajov pre spracúvanie s vyšším rizikom a akýmikoľvek povoleniami cezhraničného prenosu — tvorí dokumentáciu, ktorú môže Centrum požadovať počas preskúmania súladu. Správne nakonfigurovaný CMP so serverovým protokolom, vrstva načítavania značiek, ktorá uplatňuje stav súhlasu, oznámenie o ochrane súkromia, ktoré menuje každý cieľ cezhraničného prenosu, a licenčné dokumenty uložené v spise sú tým, čo premení egyptský PDPL z regulačnej neznámej na obhájiteľnú súčasť postoja vydavateľa v otázkach súhlasu v regióne MENA.