Pravni okvir PDPL

PDPL se nanaša na obdelavo osebnih podatkov rezidentov UAE, ne glede na to, ali se obdelava odvija znotraj UAE ali zunaj nje, in ne glede na to, ali je upravljavec ali obdelovalec ustanovljen v UAE ali deluje iz tujine. Ozemeljski obseg je zato ekstrateritorialen na enak način kot GDPR — založnik, ki deluje iz Londona ali Singapurja in obdeluje podatke o rezidentih UAE, je v obsegu. Nadzorni organ je UAE Data Office, ustanovljen v okviru istega zakonodajnega svežnja, ki je prevzel premišljeno, a vse bolj aktivno stališče do izvajanja.

Temeljna načela PDPL bodo poznana vsem, ki so delali z GDPR: pravna podlaga, omejitev namena, minimizacija podatkov, točnost, omejitev shranjevanja, celovitost in zaupnost ter odgovornost. Pravne podlage po Article 4 vključujejo privolitev, izpolnjevanje pogodbe, zakonsko obveznost, vitalne interese, javni interes in zakonite interese, vsaka s svojim obsegom in pogoji. Za spletno sledenje so ustrezne podlage privolitev in v ozkih okoliščinah zakoniti interes. Vnaprej nameščeni piškotki, ki zbirajo osebne podatke brez privolitve, so kršitev na enak način, kot bi bili pod GDPR.

Kaj šteje za osebne podatke po PDPL

Opredelitev osebnih podatkov v PDPL je široka in tesno sledi GDPR: vsi podatki v zvezi z identificirano ali identificabilno fizično osebo, vključno s spletnimi identifikatorji. Piškotki, ki trajno identificirajo napravo, IP-naslovi, obdelani skupaj z drugimi podatki, oglaševalski ID-ji in identifikatorji v slogu prstnih odtisov so vsi v obsegu. Smernice za izvajanje Data Office so potrdile, da se analiza, uporabljena za vedenjske in oglaševalske piškotke v EU, v bistvu v enaki obliki uporablja v UAE — kar se razlikuje, je arhitektura izvajanja, ne vsebinski standard.

PDPL prav tako opredeljuje kategorijo občutljivih osebnih podatkov s strožjimi zahtevami za obdelavo, ki zajema zdravstvene informacije, genetske in biometrične podatke, versko prepričanje, kazensko evidenco in podobne kategorije. Piškotki, ki zajemajo katerekoli od teh podatkov, zahtevajo izrecno privolitev in dodatne varovalke.

Privolitev piškotkov po PDPL

PDPL ne vsebuje določbe, specifične za piškotke, tako kot to počne smernica EU ePrivacy. Namesto tega zahteva po privolitvi izhaja iz Article 6, ki določa splošni standard za veljavno privolitev: mora biti specifična, nedvoumna, informirana in prosto dana, posameznik, na katerega se nanašajo osebni podatki, pa mora biti sposoben umakniti privolitev enako enostavno, kot jo je dal. Data Office je ta standard razlagal kot zahtevo po:

• Izrecnem potrditvenem dejanju pred aktiviranjem nebistvenih piškotkov. Nadaljnje brskanje, pomikanje ali nadomestna privolitev niso zadostni.
• Zrnatih kontrolah kategorij, ki ločijo strogo potrebne piškotke od analitičnih in oglaševalskih, pri čemer obiskovalec lahko nekatere sprejme in druge zavrne.
• Jasnem mehanizmu umika, dostopnem z vsake strani, kjer je sledenje aktivno, pri čemer umik začne veljati takoj.
• Dokumentaciji odločitve o privolitvi, zadostni za izpolnitev zahteve po odgovornosti po Article 5.

V praksi je to enak operativni standard, ki bi ga založnik gradil za GDPR. Pasica, ki prestane merila EDPB Cookie Banner Taskforce, bo zadostila PDPL; tista, ki jih ne prestane, ne bo prestala niti nadzora PDPL.

Čezmejni prenosi podatkov

Ena od najbolj posebnih značilnosti PDPL je njen okvir čezmejnih prenosov. Articles 22 in 23 PDPL določata pogoje, pod katerimi se osebni podatki lahko prenesejo zunaj UAE, strukturirani vzdolž linij, ki so vzporedne z — a ne enake — Poglavju V GDPR.

Odločitve o ustreznosti

PDPL Data Office dovoljuje, da označi države kot tiste, ki zagotavljajo ustrezno zaščito. Trenutni seznam je krajši od seznama Evropske komisije in se pričakuje, da se bo razvijal. Dokler država ni označena, prenosi zahtevajo enega od drugih zakonitih mehanizmov.

Standardne pogodbene ureditve

PDPL dovoljuje prenose, podprte z ustreznimi pogodbenimi zavarovanji, podobnimi standardnim pogodbenim klavzulam EU po strukturi. Mnogi upravljavci v UAE delujejo z namenskimi pogodbenimi dodatki, ki jih Data Office pregleda na zahtevo.

Specifične odstopitve

Razpoložljive so odstopitve za izrecno privolitev, izpolnjevanje pogodbe in vitalne interese, a so ozko razlagane. Rutinsko zanašanje na privolitev za prenose — kar se v GDPR pogosto šteje za izjemno in ne sistematično — se tu obravnava podobno.

Za spletne založnike je praktični vpliv ta, da mora zapis privolitve piškotkov zdaj podpirati tudi obveznost odgovornosti za prenos. Če obiskovalec v UAE sprejme piškotke, ki usmerjajo njegove podatke k ameriškemu ponudniku oglaševalske tehnologije, mora CMP biti sposoben predložiti prenosni instrument, ki pooblašča ta tok.

Sektorski in premisleki prostih con

Pokrajina zasebnosti UAE je večplastna. Zvezni PDPL se nanaša široko, a nekatere proste cone — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM) in Dubai Healthcare City — upravljajo z lastnimi režimi varstva podatkov, ki so starejši od PDPL. DIFC zakon o varstvu podatkov št. 5 iz leta 2020 in uredbe o varstvu podatkov ADGM 2021 sta oba usklajena z GDPR in se nanašata na svoje cone. Založniki, ki delujejo v več conah, morajo uskladiti zvezni PDPL z veljavnim okvirom proste cone; v večini primerov se vsebinski standardi konvergirajo, a nadzorni kanal se razlikuje.

Kaj je Data Office nakazal

UAE Data Office je bil premišljen v svojem stališču do izvajanja, pri čemer je dajal prednost izgradnji zmogljivosti, sektorskim posvetovanjem in odmevnim zadevam pred režimom glob z visokim obsegom. Javni dokumenti s smernicami so poudarili:

Oblikovanje pasice

Data Office se je uskladil z merili v slogu EDPB za oblikovanje pasice in obravnava manjkajoče gumbe za zavrnitev, zavajajoče oblikovanje povezav in vnaprej označena potrditvena polja kot pogostih napak, ki zahtevajo odpravo. Pričakovana je konvergenca z evropskimi standardi.

Čezmejna preglednost

Urad je nakazal, da bodo mednarodni prenosi posebno žarišče, zlasti tam, kjer se osebni podatki usmerjajo v jurisdikcije brez določene ustreznosti. Dokumentacija mehanizma prenosa se obravnava kot zahteva po odgovornosti, ne kot neobvezna.

Razkritje v arabščini

Čeprav PDPL ne predpisuje arabščine, je Data Office nakazal, da bi morala biti razkritja na voljo v arabščini, kjer je občinstvo pretežno arabsko govoreče, tako za dostopnost kot za dokazne namene.

Praktičen kontrolni seznam skladnosti

Šest konkretnih vprašanj za odgovor za katerokoli pasico piškotkov, ki streže prometu UAE.

1. Potrditvena privolitev pred sledenjem

Ali so nebistveni piškotki blokirani na ravni nalagalnika skriptov, dokler obiskovalec ne izvede potrditvenega dejanja? Predhodno nalaganje pasice nad že aktiviranimi sledilniki je kršitev per se.

2. Zrnate kategorije

Ali pasica ločuje potrebne, analitične in oglaševalske kategorije z neodvisnimi stikali? Skupni sprejem brez zrnatosti je napaka.

3. Razpoložljivost arabskega jezika

Ali pasica zazna arabsko govoreče obiskovalce in privzeto prikazuje v arabščini, z angleščino kot preklopno alternativo? Data Office je izrecno opozoril na jezikovno dostopnost.

4. Dostop do umika

Ali je kontrola umika trajna in dostopna z vsake strani? Večstopenjske nastavitve, zakopane v meni v nogi, ne ustrezajo standardu "enako enostavno umakniti kot dati".

5. Dokumentacija čezmejnega prenosa

Za vsak piškotek, ki sproži mednarodni prenos, ali je mehanizem prenosa (ustreznost, pogodbeno zavarovanje, odstopitev) dokumentiran in ga je mogoče predložiti na zahtevo?

6. Beleženje privolitev

Ali sistem zabeleži vsako odločitev o privolitvi s časovnim žigom, različico pasice, izbiro in jurisdikcijo obiskovalca, da lahko založnik odgovori na poizvedbo Data Office z dokazi?

Kje PDPL ustreza regionalni sliki

UAE PDPL je eden od več okvirov zasebnosti Zaliva, ki so začeli veljati v zadnjih nekaj letih — savdski PDPL, bahrajnski zakon o varstvu osebnih podatkov, katarski zakon o zasebnosti osebnih podatkov in omanski zakon o varstvu osebnih podatkov vsi delujejo vzporedno z njim. Vsebinski standardi v regiji konvergirajo k načelom, usklajenem z GDPR, z nacionalnimi različicami v nadzorni arhitekturi, mehanizmih prenosa in sektorskih izvzetjih. Za založnike, ki delujejo v Zalivu, enkratna gradnja na višjem standardu — zrnata privolitev, trajni umik, dokumentirani prenosi, podpora arabskemu jeziku, beleženje na revizijskem nivoju — obravnava regionalno skladnost prek iste infrastrukture CMP, ki obravnava evropsko skladnost. UAE je v marsičem regionalni barometer: kjer se Data Office premika, regulatorji sosednjih držav sledijo.