Egiptovski zakon o varstvu osebnih podatkov št. 151 iz leta 2020 — Vodnik za skladnost s soglasjem za piškotke: Priročnik 2026 za založnike

Egiptovski zakon o varstvu osebnih podatkov št. 151 iz leta 2020 — pogosto imenovan egiptovski PDPL — je bil izdan 15. julija 2020 in je začel veljati 14. oktobra 2020. V večjem delu obdobja od takrat odsotnost izvršilnih predpisov pomeni, da je zakon ostal izjava načel in ne izvršljiv režim. To se je spremenilo, ko je Središče za varstvo osebnih podatkov — regulator, ustanovljen na podlagi zakona, priključen Ministrstvu za komunikacije in informacijsko tehnologijo — objavilo svoj operativni okvir, zahteve glede licenciranja in izvršilne predpise, ki jih je zakon pustil za kasnejše sprejetje. Do leta 2026 je režim v celoti operativen, licenčna pot za upravljavce in obdelovalce podatkov je aktivna, in založniki, ki delujejo v Egiptu ali ga ciljajo, so zavezani domačemu standardu soglasja, ki je bližje GDPR kot kateremu koli starejšemu regionalnemu modelu. Posledica za soglasje za piškotke je neposredna: pasica, ki je delovala v Egiptu v okviru prejšnjega režima, zdaj ne zadostuje, in pasica, ki izpolnjuje GDPR, bo izpolnjevala PDPL le, ko bo integracija upoštevala točke, v katerih se oba okvira razlikujeta.

Kaj egiptovski PDPL dejansko zahteva

Zakon se uporablja za obdelavo osebnih podatkov egiptovskih prebivalcev, ne glede na to, kje je upravljavec ali obdelovalec ustanovljen, ter za upravljavce in obdelovalce, ki so ustanovljeni v Egiptu, ne glede na to, kje se nahajajo posamezniki, na katere se nanašajo podatki. Ta ekstrateritorialni doseg odraža 3. člen GDPR in pomeni, da je založnik s sedežem zunaj Egipta, ki pa ima egiptovske bralce, namestitve aplikacij ali plačilne stranke, jasno v področju uporabe. Osebni podatki so široko opredeljeni kot kateri koli podatki v zvezi z identificirano ali identifikabilno fizično osebo, pri čemer so občutljivi osebni podatki — vključno s podatki o zdravju, biometričnimi, genetskimi, podatki o duševnem zdravju, finančnimi, verskimi prepričanji, političnim mnenjem in obsodbo za kazniva dejanja — podvrženi višjemu pragu soglasja in dodatnim zaščitnim ukrepom.

Zakon določa zakonite podlage za obdelavo, standardni nabor pravic posameznikov, na katere se nanašajo podatki — dostop, popravek, izbris, omejitev, ugovor in prenosljivost —, okvir odgovornosti med upravljavcem in obdelovalcem, obveznosti obveščanja o kršitvah, nadzor nad čezmejnimi prenosi in sistem upravnih sankcij z globami od EGP 100.000 za manjše kršitve do EGP 5 milijonov za hude ali ponavljajoče se kršitve. Kazenske sankcije se uporabljajo za najresnejše kategorije, vključno z nelicenciranim čezmejnim prenosom in obdelavo občutljivih podatkov brez dovoljenja.

Kako PDPL obravnava soglasje za piškotke posebej

Za razliko od direktive EU o zasebnosti in elektronskih komunikacijah PDPL ne vsebuje ločene določbe o piškotkih. Piškotki in analogične tehnologije shranjevanja in dostopa spadajo v splošni okvir soglasja: vsaka obdelava osebnih podatkov, ki se opira na soglasje kot zakonito podlago, mora biti pridobljena na podlagi izrecne, prostovoljne, konkretne in dokumentirane izjave volje posameznika, na katerega se nanašajo podatki. Središče za varstvo osebnih podatkov je v svojih smernicah, izdanih med postopnim začetkom veljavnosti predpisov, potrdilo, da vnaprej potrjena polja, implicitno soglasje, pridobljeno iz nadaljevanja brskanja, in združene pasice s soglasjem ne izpolnjujejo standarda zakona. To postavlja Egipt v polno usklajenost z globalnim trendom in pomeni, da je praktičen pristop, ki ga že vzdržujejo založniki za EGP, pravo izhodišče za egiptovski promet.

Praktični učinek je, da piškotkov in analogičnih tehnologij, ki niso nujno potrebni za zagotavljanje storitve, ni mogoče nastaviti, preden uporabnik aktivno ne soglaša. Strogo potrebni piškotki — identifikatorji sej, vsebina košarice, varnostni žetoni, piškotki za izravnavanje obremenitev — so lahko nastavljeni brez soglasja na podlagi tega, da je uporabnik aktivno zahteval storitev. Vse ostalo — analitika, oglaševanje, personalizacija, testiranje A/B, predvajanje sej in katera koli oznaka tretje osebe — zahteva predhodno soglasje.

Kako se PDPL v praksi razlikuje od GDPR

Tri razlike so pomembne na ravni integracije. Prvič, PDPL zahteva, da se soglasje za obdelavo občutljivih osebnih podatkov pridobi pisno ali prek dokumentiranega elektronskega ekvivalenta, ki ga upravljavec lahko predloži na zahtevo — višji dokazni standard od zahteve po izrecnem soglasju po GDPR. Drugič, PDPL nalaga licenčni režim: upravljavci in obdelovalci se morajo registrirati pri Središču za varstvo osebnih podatkov, nekatere kategorije obdelave — vključno s čezmejnim prenosom in neposrednim trženjem — pa zahtevajo ločeno operativno licenco. Tretjič, pravila PDPL o čezmejnem prenosu zahtevajo bodisi odločitev o ustreznosti s strani Središča, odobreno pogodbeno zaščitno klavzulo ali izrecno soglasje posameznika, na katerega se nanašajo podatki; prenosi v jurisdikcije brez oznak ali zaščitnih ukrepov so omejeni, ne glede na lastno stanje skladnosti prejemnika.

Kako izgleda pasica za piškotke, ki je skladna s PDPL

Tehnične zahteve se ujemajo s tem, kar že producira vsak sodobni CMP, toda označevanje, dokumentacija in dnevnik soglasij morajo odražati egiptovske specifike. Pasica prve ravni mora uporabniku predstaviti resnično izbiro — sprejmi, zavrni, upravljaj — pri čemer je možnost zavrnitve vsaj enako izrazita kot možnost sprejetja. Skupno soglasje je prepovedano, zato mora druga raven omogočati opt-in po kategorijah, ki zajema vsaj analitiko, oglaševanje in katero koli obdelavo, odvisno od čezmejnega prenosa. Kategorije morajo biti privzeto nastavljene na izklopljeno; pasica ne sme nalagati oznak, dokler jih uporabnik ni aktivno vklopil.

Obvestilo o zasebnosti, prikazano iz pasice, mora identificirati upravljavca, številko licence PDPL upravljavca, če je to relevantno, kategorije zbranih osebnih podatkov, zakonito podlago za vsak namen obdelave, obdobje hrambe podatkov, kategorije prejemnikov, vključno z morebitnimi podobdelovalci zunaj Egipta, pravice posameznika, na katerega se nanašajo podatki, po zakonu ter kontaktne podatke Središča za varstvo osebnih podatkov za pritožbe. Obvestilo, ki izpolnjuje standard 13. člena GDPR, se bo v veliki meri prekrivalo, toda vrstice o egiptovski licenci in stiku s Središčem morajo biti izrecno dodane.

Vzorec integracije, ki prestane pregled Središča za varstvo osebnih podatkov

Referenčna implementacija ima štiri premične dele. Prva je CMP, ki podpira opt-in po kategorijah, privzeto izklopljeno, in izpostavi izbiro uporabnika prek strukturiranega niza soglasij, ki ga pode založnik shraniti. Drugi je plast nalaganja oznak — strežniški upravljalnik oznak ali nativna vrata CMP —, ki strogo uveljavljata stanje soglasja, preden se nastavi kateri koli nebistveni piškotek. Tretji je dnevnik soglasij, shranjen na strežniški strani, ki za vsak dogodek soglasja zabeleži izbiro uporabnika po kategorijah, časovni žig, različico pasice in skrajšan ali zgoščen identifikator IP, tako da lahko upravljavec predloži zapis na zahtevo Središča. Četrti je pot za umik, ki je vsaj tako enostavna kot prvotna podelitev — navadno trajna povezava za vnovično odpiranje pasice v nogi.

Validacija, licenciranje in revizijsko stanje za leto 2026

Zanesljiva egiptovska namestitev v letu 2026 mora prestati štiri tehnične preveritve. Prvič, čista seja brskalnika, ki se streže z egiptovskega IP naslova, mora pred ukrepanjem glede pasice ustvariti nič nebistvenih piškotkov. Drugič, pot zavrnitve vsega mora povzročiti enako stanje kot seja brez ukrepanja — brez analitičnih oznak, brez oglaševalskih oznak, brez skriptov za predvajanje sej. Tretjič, tok sprejetja vsega mora ustvariti samo oznake, za katere je uporabnik dal soglasje, in dnevnik soglasij mora vsebovati ustrezen zapis. Četrtič, tok umika mora takoj ustaviti nadaljnje sprožanje oznak, poteči piškotki, nastavljeni med soglasno sejo, in sprožiti morebitne signale za brisanje ali odjavo, ki jih zahtevajo sprejemni partnerji.

Poleg tehničnih preveritev sta licenciranje in revizijsko stanje tisto, kar naredi namestitev zanesljivo. Upravljavci, ki obdelujejo osebne podatke egiptovskih prebivalcev nad mejnimi vrednostmi, ki jih določajo izvršilni predpisi, se morajo registrirati pri Središču za varstvo osebnih podatkov, in registracijski zapis — skupaj z dnevnikom soglasij, obvestilom o zasebnosti, rezultati ocene učinka na varstvo podatkov za obdelavo z višjim tveganjem in morebitnimi dovoljenji za čezmejni prenos — tvori dokumentacijo, ki jo Središče lahko zahteva med pregledom skladnosti. Pravilno konfiguriran CMP s strežniškim dnevnikom, plast nalaganja oznak, ki uveljavlja stanje soglasja, obvestilo o zasebnosti, ki navaja vsak cilj čezmejnega prenosa, in licenčni dokumenti v arhivu so tisto, kar egyptovski PDPL preoblikuje iz regulativne neznanke v zanesljiv del stanja soglasij v regiji MENA za posameznega založnika.

← Blog Preberi vse →