Шта је PDPL заправо

PDPL је први свеобухватни закон о приватности Саудијске Арабије. Издат је Краљевским указом M/19 2021. године, измењен у марту 2023. ради ближег усклађивања са глобалним стандардом постављеним од стране GDPR-а и сличних режима, и у потпуности ступио на снагу 14. септембра 2024. након годишњег периода за прилагођавање. Закон је смештен унутар ширег саудијског стека управљања подацима који укључује Привремене прописе о националном управљању подацима, Регулаторни оквир за рачунарство у облаку и правила о слободи информисања SDAIA — али за издаваче, PDPL је тај сегмент који уређује колачиће, праћење огласа, аналитику и свако друго обрађивање личних података повезано са веб-сајтом или апликацијом.

Прописи о спровођењу

PDPL је кратак. Детаљи су садржани у два прописа о спровођењу које је SDAIA објавио у септембру 2023. и усавршио током 2024. и 2025.: Прописи о спровођењу (општи) и Прописи о преносу личних података (прекогранични). Заједно ови пружају издавачима конкретне одговоре о квалитету сагласности, чувању, временским роковима за обавештавање о кршењу и условима за слање података саудијских становника изван Краљевине. Свако ко још увек ради само на основу текста из 2021. чита застарелу мапу.

Временски оквир извршења који издавачи треба да знају

SDAIA је организацијама дао рок до 14. септембра 2024. да постигну потпуну усклађеност. Први талас писама ревизије послат је крајем 2024. великим контролорима у финансијама, телекомуникацијама и државним услугама. Током 2025. програм ревизије проширен је тако да укључи медије финансиране огласима, е-трговину и сваку платформу која обрађује више од дефинисаног обима података саудијских становника. До 2026. SDAIA је сигнализовао да су мали и средnje велики издавачи сада у оквиру — посебно сваки оператер чији арапски садржај или потрошња на огласе указује на намерну саудијску публику.

Кога SDAIA сматра контролором података

PDPL се примењује екстериторијално. Не треба вам саудијски субјект, саудијски сервер или саудијски банковни рачун да бисте били контролор у складу са законом. Ако ваш веб-сајт или апликација обрађује личне податке лица која живе у Краљевини, налазите се у оквиру. За издаваче ова кука се активира уобичајеним током података о рекламним технологијама: IP адресе, ID-ови уређаја, хэшована е-маил адреса, бихевиорални колачићи и корисничке идентификаторе које теку кроз програматске аукције — сви се рачунају као лични подаци када су везани за саудијског становника.

Захтев за локалног представника

Страни контролори без присуства у Краљевини морају именовати локалног представника регистрованог код SDAIA. Представник је правна тачка контакта за захтеве субјеката података и кореспонденцију с регулатором. Мањи издавачи то често решавају преко фирме за услуге приватности уместо да се региструју локално — али именовање је обавезно када пређете праг редовне саудијске обраде.

Сценарији заједничких контролора за рекламну технологију

Ланац снабдевања који монетизује програматски огласни слот — ваш CMP, ваш огласни сервер, SSP-ови које позивате, DSP-ови који лицитирају, добављачи верификације и партнери за мерење — ствара заједничке и солидарне односе контролора у складу са PDPL, баш kao и под GDPR-ом. Издавачи не могу да пренесу одговорност по PDPL-у на добављача. SDAIA очекује да издавач докаже да сваки партнер низводно има свој законити основ и уговорне обавезе које одговарају ономе што је издавач обећао на банеру са сагласношћу.

Сагласност за колачиће у складу са прописима о спровођењу

PDPL признаје сагласност као један законити основ за обраду личних података, а Прописи о спровођењу одређују kako изгледа важећа сагласност. Стандард је висок — ближи GDPR-у него CCPA — и покрива колачиће, пикселе, SDK-ове, прикупљање отиска прста и сваку другу технологију праћења која чита или уписује податке на уређају корисника.

Шта се рачуна као важећа сагласност

Сагласност мора бити слободно дата, специфична, информисана и експлицитна. Унапред штикирана поља, зидови колачића који блокирају садржај осим ако корисник не прихвати и двосмислена обавештења „наставком прегледања” — сва не задовољавају стандард. Корисник мора предузети недвосмислену афирмативну радњу — обично клик на дугме Прихвати — и та радња мора бити повезана с јасним описом сврхе обраде. Јединствена сагласност која спаја аналитику, оглашавање и персонализацију у један одговор да или не изричито је забрањена.

Категорије детаљне сврхе

Смернице SDAIA наводе категорије сврхе које CMP издавача треба да изложи: строго неопходне, функционалне, аналитичке, рекламне, за персонализацију и свака обрада осетљивих података попут здравствених или биометријских закључака. Свака категорија треба свој прекидач, свој опис сврхе и своју листу добављача. Оквир IAB Europe TCF v2.3, прикладно проширен PDPL-специфичним текстом на арапском, најчешћи је пут koji издавачи користе за задовољавање захтева за детаљношћу.

Повлачење и поновна сагласност

Право на повлачење сагласности мора бити исто тако лако као и право на давање сагласности. Лебдећа икона за подешавање сагласности, веза у подножју или поставке унутар апликације — све квалификује; закопан излаз само путем е-поште не квалификује. Издавачи треба да планирају периодичну поновну сагласност за суштинске измене — нови рекламни партнер, нова сврха колачића, нови SDK — а SDAIA очекује да дневник ревизије CMP-а бележи сваки догађај поновне сагласности са временском ознаком.

Прекогранични преноси и локализација података

Прописи о преносу личних података су онај сегмент PDPL-а koji највероватније може да заустави издаваче, јер у тренутку kada IP адреса саудијског корисника уђе у програматску аукцију она је фактички пренета где год да оперишу SSP-ови и DSP-ови. SDAIA то не третира као слободан ток.

Листа адекватности и стандардни уговори

Контролор може пренети личне податке изван Краљевине на основу једног од три примарна механизма: одлука о адекватности коју је одобрио SDAIA за одредишну земљу, стандардни уговор одобрен од SDAIA или скуп обавезујућих корпоративних правила за преносе унутар групе. Листа адекватности на дан 2026. укључује мали број GCC суседа и шачицу европских јурисдикција, али већина одредишта рекламних технологија — укључујући Сједињене Државе — изван је nje и захтева или стандардни уговор или деrogацију.

Процена утицаја преноса података

За пренос високог ризика SDAIA захтева документовану Процену утицаја преноса података (DTIA) пре почетка преноса. Ово је саудијски аналог EU процене утицаја преноса након Schrems II. Издавачи треба да раде са својим CMP-ом и добављачима рекламних технологија на изради шаблонских DTIA-а које покривају понављане програматске токове, и да их освежавају кад год добављач промени локације обраде.

Практични кораци усклађености за издаваче

Програм PDPL-а поделен је на пет оперативних задатака koji се чисто пресликавају на постојећи CMP и рекламни стек издавача. Ниједан није непознат свако ко је већ имплементирао GDPR или LGPD усклађеност — разлика је у детаљу саудијског текста и специфичним правилима преноса.

Контролна листа конфигурације CMP-а

Потврдите да ваш банер за сагласност приказује на арапском за посетиоце KSA и на енглеском за све остале, да су категорије сврхе потпуно детаљне, да је пут одбиј-све један клик и визуелно равноправан са прихвати-све, и да стринг сагласности тече низводно кроз Google Consent Mode v2 или вашу TCF интеграцију. Уверите се да ваш CMP бележи PDPL-специфичну потврду сагласности са временском ознаком, верзијом смернице и корисничком идентификатором тако да се одговори на ревизију могу саставити за минуте а не за дане.

Евиденција сагласности и траг ревизије

Тимови ревизије SDAIA траже доказ о сагласности у познатом облику: ко је дао сагласност, на шта, когде, с kojom верзијом банера и шта им је речено у тренутку давања сагласности. Планирајте чување ових евиденција најмање две године и чувајте их на начин koji преживи промене добављача CMP-а — извоз у складиште података у власништву контролора је најчистији образац.

Ток рада права субјеката података

PDPL даје права на приступ, исправку, брисање и преносивост, са роковима одговора од тридесет дана. Издавач са јединственим прегледом поштанског сандучета privatnost@ и без тока рада тикета пропустиће рок чешће него što ће га поштовати. Успоставите документован процес од пријема до одговора, обучите именованог власника и интегришите ток рада са вашим CMP-ом и евиденцијама сагласности огласног сервера тако да се захтеви за брисање пропагирају низводно.

Закључак

PDPL Саудијске Арабије у 2026. није благ режим koji издавачи могу да ставе иза GDPR-а и CCPA. SDAIA има финансирање, капацитет ревизије и политичку подршку да га примени, а правила о прекограничном преносу посебно стварају стварно трење са глобалним ланцем снабдевања рекламних технологија around kоje издавачи морају да инжењерирају. Добра вест је да PDPL довољно позajмљује из GDPR-а тако да издавач са зрелим европским ставом усклађености је највећим делом на добром путу. Локализујте свој банер са сагласношћу на арапски, наслојите PDPL-специфичан текст сврхе на врх вашег постојећег TCF подешавања, документујте своје механизме преноса, именујте локалног представника ако то налаже ваш саудијски саобраћај, и ваша KSA публика остаје монетизабилна, dok оператори koji су одмахнули руком на PDPL као папирну вежбу проведу 2026. читајући писма ревизије.