Ligji Egjiptian për Mbrojtjen e të Dhënave Personale 151 i vitit 2020 Udhëzues i Pajtueshmërisë me Miratimin e Cookie-ve: Libri i Lojës 2026 për Botuesit
Ligji Egjiptian për Mbrojtjen e të Dhënave Personale Nr. 151 i vitit 2020 — zakonisht i referuar si PDPL Egjiptian — u lëshua më 15 korrik 2020 dhe hyri në fuqi më 14 tetor 2020. Për shumicën e periudhës që atëherë, mungesa e rregulloreve ekzekutive nënkuptonte se Ligji qëndroi si një deklaratë parimesh sesa si një regjim i zbatueshëm. Kjo ndryshoi kur Qendra për Mbrojtjen e të Dhënave Personale — rregullatori i themeluar sipas Ligjit, i bashkëngjitur Ministrisë së Komunikimeve dhe Teknologjisë së Informacionit — publikoi kuadrin e saj operacional, kërkesat e licensimit dhe rregulloret ekzekutive që Ligji i kishte lënë të lëshoheshin. Deri në vitin 2026 regjimi është plotësisht operacional, gjurmimi i licensimit për kontrolluesit dhe përpunuesit e të dhënave është aktiv, dhe botuesit që operojnë në ose synojnë Egjiptin i nënshtrohen një standardi vendas miratimi që është më afër GDPR-së sesa çdo modeli rajonal më të vjetër. Implikimet për miratimin e cookie-ve janë direkte: një banner që funksiononte në Egjipt nën regjimin legacy nuk është i mjaftueshëm tani, dhe një banner që plotëson GDPR-në do të plotësojë PDPL-në vetëm kur integrimi llogarit pikat ku dy kuadret divergjojnë.
Çfarë kërkon realisht PDPL Egjiptian
Ligji zbatohet ndaj përpunimit të të dhënave personale të rezidentëve egjiptianë pavarësisht se ku është i vendosur kontrolluesi ose përpunuesi, dhe ndaj kontrolluesve dhe përpunuesve të vendosur në Egjipt pavarësisht se ku ndodhen subjektet e të dhënave. Ai shtrirje ekstraterritoriale pasqyron Nenin 3 të GDPR-së dhe nënkupton se një botues i vendosur jashtë Egjiptit por me lexues egjiptianë, instalime aplikacioni ose klientë me pagesë është firmisht brenda fushës. Të dhënat personale përkufizohen gjerësisht si çdo të dhënë që lidhet me një person fizik të identifikuar ose të identifikueshëm, me të dhëna personale të ndjeshme — duke përfshirë të dhëna shëndetësore, biometrike, gjenetike, të shëndetit mendor, financiare, besimit fetar, mendimit politik dhe dënimeve penale — i nënshtruara një pragu më të lartë miratimi dhe mbrojtjeve shtesë.
Ligji vendos baza ligjore për përpunimin, grupin standard të të drejtave të subjektit të të dhënave — aksesi, korrigjimi, fshirja, kufizimi, kundërshtimi dhe portabiliteti — një kuadër llogaridhënieje kontrolluesi-përpunuesi, detyrime të njoftimit të shkeljeve, kontrolle të transferimit ndërkufitar dhe një regjim sanksionesh administrative me gjoba që variaojnë nga EGP 100,000 për shkelje të vogla deri në EGP 5 milionë për shkelje serioze ose të përsëritura. Sanksionet penale zbatohen ndaj kategorive më serioze, duke përfshirë transferimin ndërkufitar pa licencë dhe përpunimin e të dhënave të ndjeshme pa autorizim.
Si PDPL trajton specifikisht miratimin e cookie-ve
Ndryshe nga Direktiva ePrivacy e BE-së, PDPL nuk përmban një dispozitë të veçantë mbi cookie-t. Cookie-t dhe teknologjitë analoge të ruajtjes dhe aksesit hyjnë brenda kuadrit të përgjithshëm të miratimit: çdo përpunim i të dhënave personale që mbështetet në miratimin si bazë e tij ligjore duhet të merret mbi bazën e një shprehjeje të qartë, vullnetare, specifike dhe të dokumentuar të marrëveshjes nga subjekti i të dhënave. Qendra për Mbrojtjen e të Dhënave Personale, në udhëzimet e saj të lëshuara gjatë fillimit të shkallëzuar të rregulloreve, ka konfirmuar se kutitë e para-shënuara, miratimi implicit i nxjerrë nga shfletimi i vazhduar dhe bannerët e miratimit të grumbulluar nuk plotësojnë standardin e Ligjit. Kjo e sjell Egjiptin krejtësisht në linjë me trajektoren globale dhe nënkupton se qëndrimi praktik që botuesit tashmë mbajnë për EEA-në është pika e duhur e fillimit për trafikun egjiptian.
Efekti praktik është se cookie-t dhe çdo teknologji analoge që nuk janë rreptësisht të nevojshme për ofrimin e shërbimit nuk duhet vendosur para se përdoruesi të ketë miratuar aktivisht. Cookie-t rreptësisht të nevojshme — identifikuesit e sesionit, përmbajtjet e shportës, tokenat e sigurisë, cookie-t e balancimit të ngarkesës — mund të vendosen pa miratim mbi bazën se përdoruesi ka kërkuar aktivisht shërbimin. Gjithçka tjetër — analitika, reklamimi, personalizimi, testimi A/B, riprodhimi i sesionit dhe çdo etiketë e palëve të treta — kërkon miratim paraprak.
Si PDPL divergjon nga GDPR në praktikë
Tre dallime janë të rëndësishme në shtresën e integrimit. Së pari, PDPL kërkon që miratimi për përpunimin e të dhënave personale të ndjeshme të merret me shkrim ose nëpërmjet një ekuivalenti elektronik të dokumentuar që kontrolluesi mund ta prodhojë me kërkesë — një standard dëshmor më i lartë sesa kërkesa e GDPR-së për miratim eksplicit. Së dyti, PDPL vendos një regjim licensimi: kontrolluesit dhe përpunuesit duhet të regjistrohen me Qendrën për Mbrojtjen e të Dhënave Personale, dhe kategori të caktuara të përpunimit — duke përfshirë transferimin ndërkufitar dhe marketingun direkt — kërkojnë një licencë operative të veçantë. Së treti, rregullat e transferimit ndërkufitar të PDPL-së kërkojnë ose një përcaktim adekuatshmërie nga Qendra, një mbrojtje kontraktuale të miratuar ose miratim eksplicit nga subjekti i të dhënave; transferimet drejt juridiksioneve pa përcaktime ose mbrojtje janë të kufizuara pavarësisht nga qëndrimi i vet i pajtueshmërisë së marrësit.
Çfarë duket si një banner cookie i pajtushëm nën PDPL
Kërkesat teknike konvergjojnë me atë që çdo CMP modern tashmë prodhon, por etiketimi, dokumentacioni dhe regjistri i miratimit duhet të pasqyrojnë specifika egjiptiane. Banneri i shtresës së parë duhet t'i paraqitë përdoruesit një zgjedhje reale — pranoni, refuzoni, menaxhoni — ku opsioni i refuzimit është të paktën po aq i dukshëm sa opsioni i pranimit. Miratimi i grumbulluar është i ndaluar, kështu që shtresa e dytë duhet të lejojë opt-in për kategorinë duke mbuluar minimalisht analitikën, reklamimin dhe çdo përpunim të varur nga transferimi ndërkufitar. Kategoritë duhet të jenë si parazgjedhje joaktive; banneri nuk duhet të ngarkojë etiketa derisa përdoruesi t'i ketë ndezur ato aktivisht.
Njoftimi i privatësisë i shfaqur nga banneri duhet të identifikojë kontrolluesin, numrin e licencës PDPL të kontrolluesit nëse aplikohet, kategoritë e të dhënave personale të mbledhura, bazën ligjore për çdo qëllim përpunimi, periudhën e mbajtjes së të dhënave, kategoritë e marrësve duke përfshirë çdo nën-përpunues të vendosur jashtë Egjiptit, të drejtat e subjektit të të dhënave sipas Ligjit dhe detajet e kontaktit të Qendrës për Mbrojtjen e të Dhënave Personale për ankesa. Një njoftim që plotëson standardin e Nenit 13 të GDPR-së do të mbivendoset kryesisht, por rreshtat e licencës egjiptiane dhe kontaktit të Qendrës duhet të shtohen eksplicit.
Modeli i integrimit që kalon një rishikim të Qendrës për Mbrojtjen e të Dhënave Personale
Zbatimi i referencës ka katër pjesë lëvizëse. E para është një CMP që mbështet opt-in për kategori, i parazgjedhur-joaktiv dhe ekspozon zgjedhjen e përdoruesit nëpërmjet një vargu të strukturuar miratimi që botuesi mund ta ruajë. E dyta është një shtresë ngarkimi etiketash — një menaxher etiketash nga ana e serverit ose një portë native CMP — që zbaton rreptësisht gjendjen e miratimit para se të vendoset ndonjë cookie jo-esenciale. E treta është një regjistër miratimi, i ruajtur nga ana e serverit, që regjistron për çdo ngjarje miratimi zgjedhjen e përdoruesit për kategori, vulosjen kohore, versionin e bannerit dhe një identifikues IP të shkurtuar ose të hashuar në mënyrë që kontrolluesi të mund ta prodhojë rekordin me kërkesën e Qendrës. E katërta është një rrugë tërheqjeje të paktën po aq e lehtë sa grantimet origjinale — zakonisht një lidhje e vazhdueshme ri-hapjeje banneri në fund të faqes.
- Etiketat analitike — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — duhet të ngarkohen vetëm pasi kategoria analitike të jetë dhënë. Çdo platformë mbështet një konfigurim të gatitur me miratim që parandalon çdo shkrim cookie para se porta të rrotullohet.
- Etiketat reklamuese — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, ofertuesit programatikë të header-it — duhet të jenë të gatitura ngjashëm, dhe ku partneri reklamues transferon të dhëna jashtë Egjiptit juridiksioni marrës duhet të shfaqet në njoftimin e privatësisë. Një zbulim gjenerik i përpunuar nga ofruesit globalë të shërbimeve nuk është i mjaftueshëm sipas udhëzimeve të Qendrës.
- Mjetet e riprodhimit të sesionit dhe hartave të nxehta — Hotjar, Microsoft Clarity, FullStory — duhet të vendosen pas një porte të veçantë, më strikte sepse Qendra është rreshtuar me pikëpamjen e EDPB-së se renderimi i fushave të hyrjes kërkon miratim eksplicit dhe të granuluar.
- Zbulimet e transferimit ndërkufitar duhet të jenë specifike për çdo juridiksion marrës dhe të referencojnë bazën ligjore për transferimin — një mbrojtje kontraktuale e miratuar, një përcaktim adekuatshmërie ose miratim eksplicit i subjektit të të dhënave.
Validimi, licensimi dhe qëndrimi i auditit për vitin 2026
Një vendosje egjiptiane e mbrojtur në vitin 2026 duhet të kalojë katër kontrolle teknike. Së pari, një sesion i pastër shfletuesi i shërbyer nga një adresë IP egjiptiane duhet të prodhojë zero cookie jo-esenciale para se banneri të jetë ndërvepruar. Së dyti, rruga e refuzimit-të-gjitha duhet të rezultojë në të njëjtin qëndrim si një sesion pa veprim — pa etiketa analitike, pa etiketa reklamuese, pa skripte riprodhimi sesioni. Së treti, një rrjedhë pranim-të-gjitha duhet të prodhojë vetëm etiketat që përdoruesi ka miratuar dhe regjistri i miratimit duhet të përmbajë një rekord përputhës. Së katërti, një rrjedhë tërheqjeje duhet të ndalojë menjëherë ndezjet e mëtejshme të etiketave, të skadojë cookie-t e vendosura gjatë sesionit të miratuar dhe të aktivizojë çdo sinjal fshirjeje ose largimi-nga-loja poshtë të rrjedhës që kërkojnë partnerët marrës.
Përtej kontrolleve teknike, licensimi dhe qëndrimi i auditit është ajo që bën një vendosje të mbrojtur. Kontrolluesit që përpunojnë të dhënat personale të rezidentëve egjiptianë mbi pragjet e vendosura nga rregulloret ekzekutive duhet të regjistrohen me Qendrën për Mbrojtjen e të Dhënave Personale, dhe rekordi i regjistrimit — bashkë me regjistrin e miratimit, njoftimin e privatësisë, rezultatet e vlerësimit të ndikimit të mbrojtjes së të dhënave për përpunimin me risk më të lartë dhe çdo autorizim transferimi ndërkufitar — formon dokumentacionin që Qendra mund ta kërkojë gjatë një rishikimi të pajtueshmërisë. Një CMP i konfiguruar saktë me një regjistër nga ana e serverit, një shtresë ngarkimi etiketash që zbaton gjendjen e miratimit, një njoftim privatësie që emërton çdo destinacion transferimi ndërkufitar dhe dokumentet e licensimit në dosje është ajo që e kthen PDPL Egjiptian nga një e panjohur rregullatore në një pjesë të mbrojtur të qëndrimit të miratimit të një botuesi në rajonin MENA.