Водич за сагласност за колачиће UAE PDPL: Савезни декрет-закон 45 из 2021. за издаваче
Уједињени Арапски Емирати усвојили су Закон о заштити личних података крајем 2021. године и ставили га на снагу следеће године. Савезни декрет-закон 45 из 2021., познат као PDPL, први је свеобухватни савезни статут о приватности у земљи и у великој мери преузима структуру GDPR, прилагођавајући кључне одредбе савезном закону UAE и разматрањима о локализацији података у земљи. За издаваче који послују у UAE или циљају UAE саобраћај — тржиште које се нагло проширило растом регионалне е-трговине, финтека и медијских предузећа хиперразмере са седиштем у Dubai и Abu Dhabi — PDPL је сагласност за колачиће претворио из меканог очекивања у савезну обавезу усклађености. Овај водич пролази кроз то како PDPL третира онлајн праћење, где UAE Data Office фокусира примену и које су практичне импликације за дизајн банера колачића и конфигурацију CMP.
Правни оквир PDPL
PDPL се примењује на обраду личних података резидената UAE, без обзира да ли се обрада дешава унутар UAE или изван ње, и без обзира да ли је руковалац или обрађивач основан у UAE или послује из иностранства. Територијални обим је стога екстериторијалан на исти начин као и GDPR — издавач који послује из Лондона или Сингапура и обрађује податке о резидентима UAE је у обухвату. Надзорни орган је UAE Data Office, основан у оквиру истог законодавног пакета, и заузео је смирен, али све активнији став по питању примене.
Основни принципи PDPL биће познати свима ко је радио са GDPR: законита основа, ограничење сврхе, минимизација података, тачност, ограничење чувања, интегритет и поверљивост, и одговорност. Законите основе према Article 4 укључују сагласност, испуњење уговора, законску обавезу, виталне интересе, јавни интерес и легитимне интересе, свака са сопственим обухватом и условима. За онлајн праћење релевантне основе су сагласност и, у уским околностима, легитимни интерес. Унапред инсталирани колачићи који прикупљају личне податке без сагласности представљају кршење на исти начин на који би то чинили под GDPR.
Шта се рачуна као лични подаци под PDPL
Дефиниција личних података у PDPL је широка и блиско прати GDPR: сваки податак који се односи на идентификовано или идентификабилно физичко лице, укључујући онлајн идентификаторе. Колачићи који трајно идентификују уређај, IP адресе обрађене заједно са другим подацима, рекламни ID-ови и идентификатори у стилу отиска прстију — сви спадају у обухват. Упутство о примени Data Office потврдило је да се анализа примењена на колачиће понашања и оглашавања у EU примењује у суштински истом облику у UAE — оно што се разликује је архитектура примене, а не суштински стандард.
PDPL такође дефинише категорију осетљивих личних података са строжијим захтевима руковања, покривајући здравствене информације, генетске и биометријске податке, верско уверење, криминалну евиденцију и сличне категорије. Колачићи који прикупљају било које од ових података захтевају изричиту сагласност и додатне заштитне мере.
Сагласност за колачиће под PDPL
PDPL не садржи одредбу специфичну за колачиће на начин на који то чини EU ePrivacy директива. Уместо тога, захтев за сагласност произилази из Article 6, која утврђује општи стандард за важећу сагласност: мора бити специфична, недвосмислена, информисана и слободно дата, а субјект података мора бити у могућности да повуче сагласност исто тако лако као што ју је дао. Data Office је протумачио овај стандард тако да захтева:
- Експлицитну афирмативну радњу пре него што се активирају неесенцијални колачићи. Наставак прегледавања, скроловање или имплицирана сагласност нису довољни.
- Грануларне контроле категорија које раздвајају строго неопходне колачиће од аналитичких и рекламних, са могућношћу посетиоца да прихвати неке и одбије друге.
- Јасан механизам повлачења доступан са сваке странице где је праћење активно, при чему повлачење одмах ступа на снагу.
- Документацију одлуке о сагласности довољну за испуњење захтева одговорности у складу са Article 5.
У пракси, ово је исти оперативни стандард за који би издавач градио за GDPR. Банер који пролази критеријуме EDPB Cookie Banner Taskforce задовољиће PDPL; онај који им не успе, неће успети ни под PDPL надзором.
Прекогранични преноси података
Једна од најкарактеристичнијих карактеристика PDPL је оквир за прекограничне преносе. Articles 22 and 23 PDPL утврђују услове под којима се лични подаци могу пренети изван UAE, структуисани дуж линија које су паралелне — али не идентично огледају — GDPR Поглавље V.
Одређивање у стилу адекватности
PDPL омогућава Data Office да одреди земље као оне које пружају адекватну заштиту. Тренутна листа је краћа од листе Европске комисије и очекује се да ће се развијати. Dok земља не буде одређена, преноси захтевају један од осталих законитих механизама.
Стандардни уговорни аранжмани
PDPL дозвољава преносе подржане одговарајућим уговорним заштитним мерама, сличним EU SCCs по структури. Многи UAE руковаоци послују са прилагођеним уговорним додатцима које Data Office прегледа на захтев.
Специфичне дерогације
Изричита сагласност, испуњење уговора и дерогације виталног интереса су доступне, али уско тумачене. Рутинско ослањање на сагласност за преносе — које се под GDPR често сматра изузетним а не систематским — третира се слично овде.
За онлајн издаваче, практичан утицај је да евиденција о сагласности за колачиће сада такође мора да подржи обавезу одговорности за пренос. Ако посетилац у UAE прихвати колачиће који усмеравају њихове податке ка US добављачу ад-тек технологије, CMP мора бити у стању да прикаже инструмент преноса који ауторизује тај ток.
Секторска разматрања и разматрања слободних зона
Пејзаж приватности UAE је вишеслојан. Савезни PDPL се примењује широко, али неколико слободних зона — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM) и Dubai Healthcare City — имају сопствене режиме заштите података који претходе PDPL. DIFC Закон о заштити података бр. 5 из 2020. и ADGM Прописи о заштити података из 2021. оба су усклађена са GDPR и примењују се у оквиру своје зоне. Издавачи који послују у више зона морају ускладити савезни PDPL са применљивим оквиром слободне зоне; у већини случајева суштински стандарди конвергирају, али се надзорни канал разликује.
Шта је Data Office сигнализовао
UAE Data Office је био намеран у свом ставу о примени, дајући приоритет изградњи капацитета, секторским консултацијама и случајевима високог профила у односу на режим казни великог обима. Јавни документи са упутствима нагласили су:
Дизајн банера
Data Office је усклађен са EDPB критеријумима у погледу дизајна банера, третирајући недостајуће дугмиће за одбијање, обмањујући стил линкова и унапред означена поља за потврду као уобичајене недостатке који захтевају исправку. Очекивање је конвергенција са европским нормама.
Прекогранична транспарентност
Канцеларија је сигнализовала да ће међународни преноси бити посебан фокус, посебно тамо где се лични подаци усмеравају ка јурисдикцијама без одређене адекватности. Документација механизма преноса третира се као захтев одговорности, а не опционо.
Обелодањивање на арапском језику
Иако PDPL не налаже арапски, Data Office је указао да обелодањивања треба да буду доступна на арапском где је публика претежно арапска, и ради приступачности и у доказне сврхе.
Практична контролна листа усклађености
Шест конкретних питања на која треба одговорити за сваки банер колачића који опслужује UAE саобраћај.
1. Афирмативна сагласност пре праћења
Да ли су неесенцијални колачићи блокирани на нивоу учитавача скрипти све до тренутка када посетилац предузме афирмативну радњу? Учитавање банера преко већ активних трекера је кршење само по себи.
2. Грануларне категорије
Да ли банер раздваја неопходне, аналитичке и рекламне категорије, са независним прекидачима? Груписано прихватање свих без гранулираности представља недостатак.
3. Доступност арапског језика
Да ли банер препознаје посетиоце са арапским говорним подручјем и приказује се на арапском по подразумеваном, са енглеским као прекидљивом алтернативом? Data Office је изричито истакао приступачност језика.
4. Приступ повлачењу
Да ли је контрола повлачења трајна и доступна са сваке странице? Вишекорачна подешавања сакривена у линку у подножју не задовољавају стандард захтевања да повлачење буде исто тако лако као и давање.
5. Документација прекограничног преноса
За сваки колачић који покреће међународни пренос, да ли је механизам преноса (адекватност, уговорна заштитна мера, дерогација) документован и може да се прикаже на захтев?
6. Евидентирање сагласности
Да ли систем бележи сваку одлуку о сагласности са временском ознаком, верзијом банера, избором и јурисдикцијом посетиоца, тако да издавач може да одговори на упит Data Office са доказима?
Где PDPL стоји у регионалној слици
UAE PDPL је један од неколико оквира приватности у Заливу који су ступили на снагу последњих неколико година — PDPL Саудијске Арабије, Закон о заштити личних података Бахреина, Закон о приватности личних података Катара и Закон о заштити личних података Омана — сви послују поред њега. Суштински стандарди у региону конвергирају ка принципима усклађеним са GDPR, са националним варијацијама у надзорној архитектури, механизмима преноса и секторским изузецима. За издаваче који послују широм Залива, градњом једном на вишем стандарду — гранулирана сагласност, трајно повлачење, документовани преноси, подршка за арапски језик, евидентирање на нивоу ревизије — обрађује регионалну усклађеност кроз исту CMP инфраструктуру која обрађује европску усклађеност. UAE је, у многим погледима, регионални претеча: куда крене Data Office, суседни регулатори теже да следе.