UAE PDPL Guide för cookie-samtycke: Federal Decree-Law 45 of 2021 för utgivare
Förenade arabemiraten antog sin lag om skydd av personuppgifter i slutet av 2021 och satte den i kraft följande år. Federal Decree-Law 45 of 2021, känd som PDPL, är landets första omfattande federala integritetslagstiftning och lånar kraftigt från GDPR:s struktur, samtidigt som den anpassar viktiga bestämmelser till UAE:s federala lag och landets överväganden om datalokalisering. För utgivare som verkar i eller riktar sig mot UAE-trafik — en marknad som har expanderat kraftigt med tillväxten av regional e-handel, fintech och de Dubai- och Abu Dhabi-baserade hyperscale-medieföretagen — förvandlade PDPL cookie-samtycke från en mjuk förväntan till en federal efterlevnadsskyldighet. Den här guiden går igenom hur PDPL behandlar onlinespårning, var UAE Data Office fokuserar sin tillsyn och vad de praktiska konsekvenserna är för design av cookie-banners och CMP-konfiguration.
PDPL:s rättsliga ramverk
PDPL gäller för behandling av personuppgifter om UAE-bosatta, oavsett om behandlingen sker inom UAE eller utanför det, och oavsett om den personuppgiftsansvarige eller behandlaren är etablerad i UAE eller verkar från utlandet. Det territoriella tillämpningsområdet är därför extraterritoriellt på samma sätt som GDPR — en utgivare som verkar från London eller Singapore och behandlar uppgifter om UAE-bosatta omfattas. Tillsynsmyndigheten är UAE Data Office, inrättad inom samma lagstiftningspaket, som har intagit en måttfull men allt mer aktiv hållning i fråga om tillsyn.
PDPL:s kärnprinciper kommer att vara bekanta för alla som har arbetat med GDPR: rättslig grund, ändamålsbegränsning, uppgiftsminimering, riktighet, lagringsbegränsning, integritet och konfidentialitet samt ansvarsskyldighet. De rättsliga grunderna enligt Article 4 inkluderar samtycke, fullgörande av avtal, rättslig förpliktelse, intressen av grundläggande betydelse, allmänt intresse och berättigade intressen, var och en med sitt eget tillämpningsområde och villkor. För onlinespårning är de relevanta grunderna samtycke och, i snäva omständigheter, berättigat intresse. Förinstallerade cookies som samlar in personuppgifter utan samtycke är en överträdelse på samma sätt som de skulle vara under GDPR.
Vad som räknas som personuppgifter enligt PDPL
PDPL:s definition av personuppgifter är bred och följer GDPR nära: alla uppgifter som rör en identifierad eller identifierbar fysisk person, inklusive onlineidentifierare. Cookies som ihållande identifierar en enhet, IP-adresser som behandlas tillsammans med andra uppgifter, reklam-ID:n och fingeravtrycksstilsidentifierare faller alla inom tillämpningsområdet. Data Offices genomförandeanvisningar har bekräftat att den analys som tillämpas på beteende- och reklamcookies i EU tillämpas i väsentligen samma form i UAE — vad som skiljer sig är tillsynsarkitekturen, inte den materiella standarden.
PDPL definierar också en kategori av känsliga personuppgifter med strängare hanteringskrav, som täcker hälsoinformation, genetiska och biometriska uppgifter, religiös övertygelse, brottsregister och liknande kategorier. Cookies som samlar in någon av dessa uppgifter kräver uttryckligt samtycke och ytterligare skyddsåtgärder.
Cookie-samtycke enligt PDPL
PDPL innehåller inte en cookie-specifik bestämmelse på det sätt som EU:s ePrivacy-direktiv gör. Istället härrör samtyckeskravet från Article 6, som fastställer den allmänna standarden för giltigt samtycke: det måste vara specifikt, otvetydigt, informerat och frivilligt lämnat, och den registrerade måste kunna återkalla samtycket lika lätt som det gavs. Data Office har tolkat denna standard som att den kräver:
- En uttrycklig bekräftande åtgärd innan icke nödvändiga cookies aktiveras. Fortsatt surfande, scrollning eller underförstått samtycke är inte tillräckligt.
- Granulära kategorikontroller som separerar strikt nödvändiga cookies från analys och reklam, med möjlighet för besökaren att acceptera vissa och avvisa andra.
- En tydlig återkallelsemekanism tillgänglig från alla sidor där spårning är aktiv, med omedelbar verkan vid återkallelse.
- Dokumentation av samtyckesbeslutet tillräcklig för att uppfylla ansvarsskyldigheten enligt Article 5.
I praktiken är detta samma operativa standard som en utgivare skulle bygga mot för GDPR. En banner som uppfyller EDPB Cookie Banner Taskforce-kriterierna kommer att uppfylla PDPL; en som inte gör det kommer att misslyckas under PDPL-granskning också.
Gränsöverskridande dataöverföringar
En av de mest utmärkande egenskaperna hos PDPL är dess ramverk för gränsöverskridande överföringar. Articles 22 and 23 i PDPL fastställer de villkor under vilka personuppgifter får överföras utanför UAE, strukturerade längs linjer som är parallella med — men inte identiskt speglar — GDPR:s kapitel V.
Adekvansliknande beteckningar
PDPL tillåter Data Office att utse länder som tillhandahållare av adekvat skydd. Den nuvarande listan är kortare än Europeiska kommissionens och förväntas utvecklas. Tills ett land har utsetts kräver överföringar ett av de andra lagliga mekanismerna.
Standardavtalsarrangemang
PDPL tillåter överföringar som backas upp av lämpliga avtalsgarantier, liknande EU:s standardavtalsklausuler i strukturen. Många UAE-personuppgiftsansvariga verkar med skräddarsydda avtalsbilagor som Data Office granskar på begäran.
Specifika undantag
Uttryckligt samtycke, fullgörande av avtal och undantag för intressen av grundläggande betydelse finns tillgängliga men tolkas snävt. Rutinmässigt beroende av samtycke för överföringar — vilket under GDPR ofta anses vara exceptionellt snarare än systematiskt — behandlas på liknande sätt här.
För onlineutgivare är den praktiska konsekvensen att cookie-samtyckesregistret nu också måste stödja en ansvarsskyldighet för överföring. Om en besökare i UAE accepterar cookies som dirigerar deras uppgifter till en amerikansk ad-tech-leverantör måste CMP kunna visa upp det överföringsinstrument som auktoriserar det flödet.
Sektoriella och frizonöverväganden
UAE:s integritetslandskap är mångskiktat. Det federala PDPL gäller brett, men flera frizoner — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM) och Dubai Healthcare City — har egna dataskyddsregimer som föregår PDPL. DIFC:s dataskyddslag nr 5 från 2020 och ADGM:s dataskyddsförordningar 2021 är båda GDPR-anpassade och gäller inom sina respektive zoner. Utgivare som verkar över flera zoner måste samordna det federala PDPL med det tillämpliga frizonramverket; i de flesta fall konvergerar de materiella standarderna men tillsynskanalen skiljer sig åt.
Vad Data Office har signalerat
UAE Data Office har varit avsiktlig i sin tillsynshållning och prioriterat kapacitetsuppbyggnad, sektorkonsultation och högprofilerade fall framför ett regelverk med hög volym av böter. Offentliga vägledningsdokument har betonat:
Bannerdesign
Data Office har anpassat sig till EDPB-liknande kriterier för bannerdesign och behandlar saknade avvisningsknappar, vilseledande länkstyling och förtickade kryssrutor som vanliga defekter som kräver åtgärd. Förväntningen är konvergens med europeiska normer.
Gränsöverskridande transparens
Myndigheten har signalerat att internationella överföringar kommer att vara ett särskilt fokus, särskilt där personuppgifter dirigeras till jurisdiktioner utan utsedd adekvans. Dokumentation av överföringsmekanismen behandlas som ett ansvarsskyldighetstkrav, inte valfritt.
Arabiskspråkig information
Även om PDPL inte kräver arabiska har Data Office indikerat att information bör finnas tillgänglig på arabiska där publiken till övervägande del är arabisktalande, både för tillgänglighet och för bevissyfte.
En praktisk efterlevnadschecklista
Sex konkreta frågor att besvara för varje cookie-banner som betjänar UAE-trafik.
1. Bekräftande samtycke innan spårning
Är icke nödvändiga cookies blockerade på skriptladdarnivå tills besökaren vidtar en bekräftande åtgärd? Förhandsladdar man bannern över redan aktiva spårare är det en överträdelse per se.
2. Granulära kategorier
Separerar bannern nödvändiga, analys- och reklamkategorier, med oberoende reglage? Samlat godkänn-allt utan granularitet är en defekt.
3. Tillgänglighet för arabiska
Upptäcker bannern arabisktalande besökare och presenterar som standard på arabiska, med engelska som ett möjligt alternativ? Data Office har uttryckligen flaggat språklig tillgänglighet.
4. Återkallelsesaccess
Är återkallelsekontroll beständig och tillgänglig från varje sida? Flerstegs inställningar begravda i en sidfotslänk uppfyller inte standarden om att vara lika lätt att återkalla som att ge.
5. Dokumentation av gränsöverskridande överföring
För varje cookie som utlöser en internationell överföring, är överföringsmekanismen (adekvans, avtalsgaranti, undantag) dokumenterad och kan presenteras på begäran?
6. Samtyckesloggning
Registrerar systemet varje samtykesbeslut med tidsstämpel, bannerversion, val och besökarens jurisdiktion så att utgivaren kan svara på en förfrågan från Data Office med bevis?
Var PDPL passar in i den regionala bilden
UAE PDPL är ett av flera integritetsramverk i Gulfen som har trätt i kraft de senaste åren — Saudiarabiens PDPL, Bahrains lag om skydd av personuppgifter, Qatars lag om personlig dataintegritet och Omans lag om skydd av personuppgifter verkar alla vid sidan av det. De materiella standarderna i regionen konvergerar mot GDPR-anpassade principer, med nationella variationer i tillsynsarkitektur, överföringsmekanismer och sektoriella undantag. För utgivare som verkar i hela Gulfen innebär en engångsuppbyggnad till den högre standarden — granulerat samtycke, beständig återkallelse, dokumenterade överföringar, arabiskt språkstöd, revisionsvärdigt loggande — att regional efterlevnad hanteras genom samma CMP-infrastruktur som hanterar europeisk efterlevnad. UAE är i många avseenden den regionala vägvisaren: dit Data Office rör sig tenderar grannländernas tillsynsmyndigheter att följa.