Sprievodca súhlasom s cookies UAE PDPL: Federal Decree-Law 45 of 2021 pre vydavateľov
Spojené arabské emiráty schválili zákon o ochrane osobných údajov koncom roka 2021 a nasledujúci rok ho uviedli do platnosti. Federal Decree-Law 45 of 2021, známy ako PDPL, je prvým komplexným federálnym štatútom ochrany súkromia krajiny a vo veľkej miere čerpá zo štruktúry GDPR, pričom prispôsobuje kľúčové ustanovenia federálnemu právu UAE a úvahám krajiny o lokalizácii údajov. Pre vydavateľov pôsobiacich v UAE alebo zameraných na prevádzku UAE — trh, ktorý sa prudko rozrástol s rastom regionálneho elektronického obchodu, fintechov a hyperskálových mediálnych podnikov so sídlom v Dubai a Abu Dhabi — PDPL premenil súhlas so súbormi cookie z neformálneho očakávania na federálnu povinnosť súladu. Táto príručka prechádza tým, ako PDPL zaobchádza s online sledovaním, kde UAE Data Office sústreďuje presadzovanie pravidiel a aké sú praktické dôsledky pre návrh bannera súborov cookie a konfiguráciu CMP.
Právny rámec PDPL
PDPL sa vzťahuje na spracovanie osobných údajov obyvateľov UAE, či už spracovanie prebieha v rámci UAE alebo mimo nej, a či je prevádzkovateľ alebo sprostredkovateľ usadený v UAE alebo pôsobí zo zahraničia. Územný rozsah je preto extrateritoriálny rovnakým spôsobom, ako je to pri GDPR — vydavateľ pôsobiaci z Londýna alebo Singapuru, ktorý spracúva údaje o obyvateľoch UAE, je v rozsahu pôsobnosti. Dozorným orgánom je UAE Data Office, zriadený v rámci rovnakého legislatívneho balíka, ktorý zaujal vyrovnaný, ale čoraz aktívnejší postoj k presadzovaniu pravidiel.
Základné princípy PDPL budú povedomé pre každého, kto pracoval s GDPR: právny základ, obmedzenie účelu, minimalizácia údajov, presnosť, obmedzenie uchovávania, integrita a dôvernosť a zodpovednosť. Právne základy podľa Article 4 zahŕňajú súhlas, plnenie zmluvy, právnu povinnosť, životne dôležité záujmy, verejný záujem a oprávnené záujmy, každý s vlastným rozsahom a podmienkami. Pre online sledovanie sú príslušnými základmi súhlas a za úzkych okolností oprávnený záujem. Predinštalované súbory cookie, ktoré zhromažďujú osobné údaje bez súhlasu, sú porušením rovnakým spôsobom, ako by tomu bolo pod GDPR.
Čo sa počíta ako osobné údaje podľa PDPL
Definícia osobných údajov v PDPL je široká a úzko sleduje GDPR: akékoľvek údaje týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby vrátane online identifikátorov. Súbory cookie, ktoré trvalo identifikujú zariadenie, IP adresy spracúvané spolu s inými údajmi, reklamné ID a identifikátory v štýle odtlačku prsta všetky spadajú do rozsahu. Implementačné usmernenie Data Office potvrdilo, že analýza aplikovaná na behaviorálne a reklamné súbory cookie v EÚ platí v podstate v rovnakej forme v UAE — čo sa líši, je architektúra presadzovania, nie vecný štandard.
PDPL tiež definuje kategóriu citlivých osobných údajov s prísnejšími požiadavkami na spracovanie, ktoré zahŕňajú zdravotné informácie, genetické a biometrické údaje, náboženské presvedčenie, trestný register a podobné kategórie. Súbory cookie, ktoré zachytávajú akékoľvek z týchto údajov, vyžadujú výslovný súhlas a dodatočné záruky.
Súhlas so súbormi cookie podľa PDPL
PDPL neobsahuje ustanovenie špecifické pre súbory cookie tak, ako to robí smernica EÚ ePrivacy. Namiesto toho požiadavka súhlasu vychádza z Article 6, ktorý stanovuje všeobecný štandard pre platný súhlas: musí byť konkrétny, jednoznačný, informovaný a slobodne udelený a dotknutá osoba musí byť schopná odvolať súhlas rovnako ľahko, ako ho udelila. Data Office interpretoval tento štandard ako vyžadujúci:
- Výslovný afirmatívny úkon pred spustením nepodstatných súborov cookie. Pokračovanie v prehliadaní, posúvanie alebo implicitný súhlas nie sú dostatočné.
- Granulárne ovládacie prvky kategórií oddeľujúce striktne nevyhnutné súbory cookie od analytických a od reklamných, pričom návštevník môže niektoré prijať a iné odmietnuť.
- Jasný mechanizmus odvolania dostupný z akejkoľvek stránky, kde je sledovanie aktívne, pričom odvolanie nadobudne účinnosť okamžite.
- Dokumentácia rozhodnutia o súhlase dostatočná na splnenie požiadavky zodpovednosti podľa Article 5.
V praxi ide o rovnaký operačný štandard, aký by vydavateľ budoval pre GDPR. Banner, ktorý spĺňa kritériá EDPB Cookie Banner Taskforce, vyhovie PDPL; ten, ktorý ich nespĺňa, neuspeje ani pri kontrole PDPL.
Cezhraničné prenosy údajov
Jednou z najvýraznejších čŕt PDPL je jej rámec cezhraničných prenosov. Articles 22 a 23 PDPL stanovujú podmienky, za ktorých môžu byť osobné údaje prenesené mimo UAE, štruktúrované pozdĺž línií, ktoré sú paralelné s — ale nie identicky zrkadlia — kapitol V GDPR.
Rozhodnutia o primeranosti
PDPL umožňuje Data Office označiť krajiny ako poskytujúce primeranú ochranu. Aktuálny zoznam je kratší ako zoznam Európskej komisie a očakáva sa, že sa bude vyvíjať. Kým nie je krajina označená, prenosy vyžadujú jeden z iných zákonných mechanizmov.
Štandardné zmluvné dojednania
PDPL umožňuje prenosy podložené primeranými zmluvnými zárukami, podobnými štandardným zmluvným doložkám EÚ štruktúrou. Mnohí prevádzkovatelia v UAE pracujú s špeciálne navrhnutými zmluvnými dodatiami, ktoré Data Office preskúmava na požiadanie.
Konkrétne výnimky
Výnimky na základe výslovného súhlasu, plnenia zmluvy a životne dôležitých záujmov sú dostupné, ale úzko vykladané. Rutinné spoliehanie sa na súhlas pri prenosoch — čo sa v rámci GDPR často považuje za výnimočné, nie systematické — sa tu zaobchádza podobne.
Pre online vydavateľov je praktický dopad taký, že záznam súhlasu so súbormi cookie musí teraz podporovať aj povinnosť zodpovednosti za prenos. Ak návštevník v UAE prijme súbory cookie, ktoré smerujú jeho údaje k americkému poskytovateľovi reklamných technológií, CMP musí byť schopný predložiť prenosový nástroj, ktorý tento tok autorizuje.
Sektorové a úvahy voľných zón
Krajina ochrany súkromia UAE je vrstvená. Federálny PDPL sa uplatňuje široko, ale niekoľko voľných zón — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM) a Dubai Healthcare City — prevádzkuje vlastné režimy ochrany údajov, ktoré predchádzajú PDPL. Zákon o ochrane údajov DIFC č. 5 z roku 2020 a Nariadenie o ochrane údajov ADGM z roku 2021 sú oba v súlade s GDPR a uplatňujú sa v príslušných zónach. Vydavatelia pôsobiaci vo viacerých zónach musia zladiť federálny PDPL s platným rámcom voľnej zóny; vo väčšine prípadov sa vecné štandardy zbiehajú, ale dozorný kanál sa líši.
Čo signalizoval Data Office
UAE Data Office bol pri presadzovaní zámerný, uprednostňoval budovanie kapacít, sektorové konzultácie a vysoko profilové prípady pred režimom pokút s vysokým objemom. Verejné dokumenty s usmerneniami zdôraznili:
Dizajn bannera
Data Office sa zosúladil s kritériami v štýle EDPB pri návrhu bannera, pričom chýbajúce tlačidlá odmietnutia, zavádzajúce formátovanie odkazov a vopred zaškrtnuté políčka považuje za bežné chyby vyžadujúce nápravu. Očakáva sa konvergencia s európskymi normami.
Cezhraničná transparentnosť
Úrad signalizoval, že medzinárodné prenosy budú osobitným zameraním, najmä tam, kde sú osobné údaje smerované do jurisdikcií bez určenej primeranosti. Dokumentácia mechanizmu prenosu sa považuje za požiadavku zodpovednosti, nie za voliteľnú.
Zverejnenie v arabskom jazyku
Hoci PDPL nenariadi arabčinu, Data Office uviedol, že zverejnenia by mali byť dostupné v arabčine, kde je publikum primárne arabsky hovoriace, a to z dôvodu prístupnosti aj dôkazných účelov.
Praktický kontrolný zoznam súladu
Šesť konkrétnych otázok, na ktoré treba odpovedať pre akýkoľvek banner súborov cookie obsluhujúci prevádzku UAE.
1. Afirmatívny súhlas pred sledovaním
Sú nepodstatné súbory cookie zablokované na úrovni načítavača skriptov, kým návštevník nevykoná afirmatívny úkon? Predbežné načítanie bannera nad už aktivujúcimi sledovačmi je porušením per se.
2. Granulárne kategórie
Oddeľuje banner nevyhnutné, analytické a reklamné kategórie s nezávislými prepínačmi? Paušálne prijatie bez granularity je chybou.
3. Dostupnosť arabského jazyka
Detekuje banner arabsky hovoriacich návštevníkov a predvolene zobrazuje v arabčine, pričom angličtina je prepínateľná alternatíva? Data Office výslovne upozornil na jazykovú dostupnosť.
4. Prístup k odvolaniu
Je ovládací prvok odvolania trvalý a dostupný z každej stránky? Viacstupňové nastavenia zahrnuté v odkaze v päte nespĺňajú štandard „rovnako ľahko odvolať ako udeliť".
5. Dokumentácia cezhraničného prenosu
Pre každý súbor cookie, ktorý spúšťa medzinárodný prenos, je mechanizmus prenosu (primeranosť, zmluvná záruka, výnimka) zdokumentovaný a predložiteľný na požiadanie?
6. Zaznamenávanie súhlasu
Zaznamenáva systém každé rozhodnutie o súhlase s časovou pečiatkou, verziou bannera, voľbou a jurisdikciou návštevníka, aby vydavateľ mohol odpovedať na dopyt Data Office s dôkazmi?
Kde sa PDPL hodí do regionálneho obrazu
UAE PDPL je jedným z niekoľkých rámcov ochrany súkromia Zálivu, ktoré nadobudli účinnosť v posledných rokoch — saudskoarabský PDPL, bahrajnský zákon o ochrane osobných údajov, katarský zákon o ochrane súkromia osobných údajov a omanský zákon o ochrane osobných údajov všetky pôsobia vedľa neho. Vecné štandardy naprieč regiónom konvergujú k princípom v súlade s GDPR, s národnými variáciami v dozornej architektúre, mechanizmoch prenosu a sektorových výnimkách. Pre vydavateľov pôsobiacich naprieč Zálivom, budovanie raz na vyšší štandard — granulárny súhlas, trvalé odvolanie, zdokumentované prenosy, podpora arabského jazyka, protokolovanie na úrovni auditu — zvláda regionálny súlad prostredníctvom rovnakej infraštruktúry CMP, ktorá zvláda európsky súlad. UAE je v mnohých ohľadoch regionálnym ukazovateľom trendu: kde sa Data Office pohybuje, susedné regulačné orgány majú tendenciu nasledovať.