Mwongozo wa Idhini ya Cookie za UAE PDPL: Federal Decree-Law 45 of 2021 kwa Wachapishaji
Umoja wa Falme za Kiarabu ulipitisha Sheria yake ya Ulinzi wa Data ya Kibinafsi mwishoni mwa 2021 na kuianzisha mwaka uliofuata. Federal Decree-Law 45 of 2021, inayojulikana kama PDPL, ni sheria ya kwanza ya shirikisho ya faragha ya kina nchini, na inakopa sana kutoka kwa muundo wa GDPR huku ikibadilisha masharti muhimu kwa sheria ya shirikisho ya UAE na mazingira ya ujalisiaji wa data ya nchi. Kwa wachapishaji wanaofanya kazi katika au wanaolenga trafiki ya UAE — soko ambalo limepanuka kwa kasi na ukuaji wa biashara ya kidijitali ya kikanda, fintech, na biashara za vyombo vya habari vya kiwango kikubwa zenye makao yake Dubai na Abu Dhabi — PDPL iligeuza idhini ya cookie kutoka matarajio laini hadi wajibu wa uzingatiaji wa shirikisho. Mwongozo huu unachunguza jinsi PDPL inavyoshughulikia ufuatiliaji wa mtandaoni, ambapo UAE Data Office inazingatia utekelezaji, na ni nini athari za vitendo kwa muundo wa bango la cookie na usanidi wa CMP.
Mfumo wa Kisheria wa PDPL
PDPL inatumika kwa usindikaji wa data ya kibinafsi ya wakazi wa UAE, iwe usindikaji unafanyika ndani ya UAE au nje yake, na iwe mdhibiti au msindikaji ameanzishwa UAE au anafanya kazi kutoka nje ya nchi. Upeo wa kimaeneo kwa hivyo ni wa nje ya maeneo kwa njia ile ile kama GDPR — mchapishaji anayefanya kazi kutoka London au Singapore akisindika data kuhusu wakazi wa UAE yuko ndani ya upeo. Mamlaka ya usimamizi ni UAE Data Office, iliyoanzishwa chini ya mfuko huo huo wa kisheria, ambayo imechukua msimamo uliopimwa lakini unaozidi kuwa hai kuhusu utekelezaji.
Kanuni za msingi za PDPL zitafahamika kwa mtu yeyote ambaye amefanya kazi na GDPR: msingi wa kisheria, ukomo wa madhumuni, upunguzaji wa data, usahihi, ukomo wa uhifadhi, uadilifu na usiri, na uwajibikaji. Misingi ya kisheria chini ya Article 4 inajumuisha idhini, utendaji wa mkataba, wajibu wa kisheria, maslahi muhimu, maslahi ya umma, na maslahi halali, kila moja ikiwa na upeo na masharti yake. Kwa ufuatiliaji wa mtandaoni misingi muhimu ni idhini na, katika hali nyembamba, maslahi halali. Vidakuzi vilivyosakinishwa mapema ambavyo vya kukusanya data ya kibinafsi bila idhini ni ukiukaji kwa njia ile ile ambavyo vingekuwa chini ya GDPR.
Kinachohesabiwa kama Data ya Kibinafsi Chini ya PDPL
Ufafanuzi wa PDPL wa data ya kibinafsi ni mpana na unafuata GDPR kwa karibu: data yoyote inayohusiana na mtu binafsi aliyetambuliwa au anayeweza kutambuliwa, ikiwa ni pamoja na vitambulisho vya mtandaoni. Vidakuzi vinavyotambua kwa kudumu kifaa, anwani za IP zinazosindikwa pamoja na data nyingine, vitambulisho vya matangazo, na vitambulisho vya mtindo wa alama za vidole vyote vinaangukia ndani ya upeo. Mwongozo wa utekelezaji wa UAE Data Office umethibitisha kwamba uchambuzi unaotumika kwa vidakuzi vya kitabia na vya matangazo katika EU unatumika katika hali ile ile kwa UAE — kinachotofautiana ni muundo wa utekelezaji, si kiwango cha kimsingi.
PDPL pia inafafanua aina ya data nyeti ya kibinafsi yenye mahitaji magumu zaidi ya ushughulikiaji, inayoshughulikia habari za afya, data ya kijeni na kibaolojia, imani ya kidini, rekodi ya uhalifu, na aina zinazofanana. Vidakuzi vinavyokusanya data yoyote kati ya hii vinahitaji idhini ya wazi na tahadhari za ziada.
Idhini ya Cookie Chini ya PDPL
PDPL haina kifungu maalum cha cookie kwa njia ambavyo Maelekezo ya ePrivacy ya EU yanafanya. Badala yake, hitaji la idhini linatoka Article 6, ambayo inaweka kiwango cha jumla cha idhini halali: lazima iwe maalum, isiyoeleweka, iliyoarifiwa, na kutolewa kwa uhuru, na mhusika wa data lazima aweze kujiondoa idhini kwa urahisi sawa na ambavyo alikuwa ameitoa. UAE Data Office imefasiri kiwango hiki kuhitaji:
- Hatua ya wazi ya uthibitisho kabla ya vidakuzi visivyo muhimu kufyatuliwa. Kuvinjari kunaendelea, kuteleza, au idhini iliyodokezwa haitoshi.
- Udhibiti wa kategoria wa kina unaotofautisha vidakuzi vinavyohitajika kabisa kutoka kwa uchambuzi na kutoka kwa matangazo, na mgeni akiweza kukubali baadhi na kukataa vingine.
- Utaratibu wa wazi wa kujiondoa unaoweza kufikiwa kutoka ukurasa wowote ambapo ufuatiliaji ni hai, na ujiondoaji ukianza mara moja.
- Nyaraka za uamuzi wa idhini zinazotosha kukidhi hitaji la uwajibikaji chini ya Article 5.
Katika mazoezi hii ni kiwango sawa cha uendeshaji ambacho mchapishaji angejenga kwa GDPR. Bango linalopita vigezo vya EDPB Cookie Banner Taskforce litakidhi PDPL; linaloshindwa navyo litashindwa chini ya PDPL pia.
Uhamishaji wa Data wa Kimataifa
Moja ya sifa tofauti zaidi za PDPL ni mfumo wake wa uhamishaji wa kimataifa. Articles 22 and 23 za PDPL zinaweka masharti ambayo data ya kibinafsi inaweza kuhamishiwa nje ya UAE, iliyoundwa kando na mistari inayofanana — lakini si kuakisi sawasawa — GDPR Sura ya V.
Uteuzi wa mtindo wa utoshelevu
PDPL inaruhusu UAE Data Office kuteua nchi kama zinazotoa ulinzi wa kutosha. Orodha ya sasa ni fupi kuliko ile ya Tume ya Ulaya na inatarajiwa kubadilika. Hadi nchi iteulwe, uhamishaji unahitaji moja ya utaratibu mwingine wa kisheria.
Mipangilio ya mikataba ya kawaida
PDPL inaruhusu uhamishaji unaoungwa mkono na dhamana za mkataba zinazofaa, zinazofanana na EU SCCs kwa muundo. Wadhibiti wengi wa UAE hufanya kazi na nyongeza za mkataba maalum ambazo UAE Data Office inakagua kwa ombi.
Misamaha maalum
Idhini ya wazi, utendaji wa mkataba, na misamaha ya maslahi muhimu inapatikana lakini inafafanuliwa kwa upembaji. Kutegemea kwa kawaida idhini kwa uhamishaji — ambayo chini ya GDPR mara nyingi huzingatiwa kuwa ya kipekee badala ya ya kimfumo — inashughulikiwa vivyo hivi hapa.
Kwa wachapishaji wa mtandaoni, athari ya vitendo ni kwamba rekodi ya idhini ya cookie sasa pia lazima isaidie wajibu wa uwajibikaji wa uhamishaji. Ikiwa mgeni nchini UAE anakubali vidakuzi ambavyo vinaelekeza data yao kwa muuzaji wa ad-tech wa Marekani, CMP inahitaji kuwa na uwezo wa kuonyesha chombo cha uhamishaji kinachoidhinisha mtiririko huo.
Mazingira ya Kisekta na ya Maeneo Huru
Mandhari ya faragha ya UAE ina tabaka nyingi. PDPL ya shirikisho inatumika kwa upana, lakini maeneo kadhaa huru — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM), na Dubai Healthcare City — yanafanya kazi na mifumo yake ya ulinzi wa data inayotangulia PDPL. Sheria ya Ulinzi wa Data ya DIFC Nambari 5 ya 2020 na Kanuni za Ulinzi wa Data za ADGM za 2021 zote mbili zimeoana na GDPR na zinatumika ndani ya maeneo yao husika. Wachapishaji wanaofanya kazi katika maeneo mengi lazima wapatanishe PDPL ya shirikisho na mfumo unaotumika wa eneo huru; katika hali nyingi viwango vya kimsingi vinakutana lakini njia ya usimamizi inatofautiana.
Ishara Zilizotolewa na UAE Data Office
UAE Data Office imekuwa makini katika msimamo wake wa utekelezaji, ikitoa kipaumbele kwa ujenzi wa uwezo, mashauriano ya kisekta, na kesi za hadhi juu juu ya utaratibu wa faini za kiasi kikubwa. Nyaraka za mwongozo wa umma zimesisitiza:
Muundo wa bango
UAE Data Office imeoana na vigezo vya mtindo wa EDPB kuhusu muundo wa bango, ikizingatia vitufe vya kukataa vilivyokosekana, muundo wa kiungo wa udanganyifu, na visanduku vilivyotikiwa awali kama kasoro za kawaida zinazohitaji urekebishaji. Matarajio ni muunganiko na kanuni za Ulaya.
Uwazi wa kimataifa
UAE Data Office imetoa ishara kwamba uhamishaji wa kimataifa utakuwa lengo maalum, hasa ambapo data ya kibinafsi inaelekezwa kwa mamlaka bila utoshelevu ulioteuliwa. Nyaraka za utaratibu wa uhamishaji inazingatiwa kama hitaji la uwajibikaji, si la hiari.
Ufichuzi wa lugha ya Kiarabu
Ingawa PDPL haitaki Kiarabu, UAE Data Office imeonyesha kwamba maelezo yanapaswa kupatikana kwa Kiarabu ambapo hadhira ni wenye Kiarabu kwa kiasi kikubwa, kwa ufikiaji na kwa madhumuni ya ushahidi.
Orodha ya Vitendo ya Uzingatiaji
Maswali sita maalum ya kujibu kwa bango lolote la cookie linalohudumia trafiki ya UAE.
1. Idhini ya uthibitisho kabla ya ufuatiliaji
Je, vidakuzi visivyo muhimu vinazuiwa katika kiwango cha kipakiaji cha hati hadi mgeni achukue hatua ya uthibitisho? Kupakia mapema bango juu ya vifuatiliaji vilivyowashwa tayari ni ukiukaji wa aina yake.
2. Kategoria za kina
Je, bango linatenga kategoria zinazohitajika, za uchambuzi, na za matangazo, na vidhibiti huru? Kukubali yote bila kina ni kasoro.
3. Upatikanaji wa lugha ya Kiarabu
Je, bango linagundua wageni wanaozungumza Kiarabu na kuwasilisha kwa Kiarabu kwa chaguo-msingi, na Kiingereza kama mbadala unaoweza kubadilishwa? UAE Data Office imebainisha wazi ufikiaji wa lugha.
4. Ufikiaji wa kujiondoa
Je, udhibiti wa kujiondoa ni wa kudumu na unaweza kufikiwa kutoka kila ukurasa? Mipangilio ya hatua nyingi iliyozikwa katika kiungo cha kijachini haifuati kiwango cha kujiondoa kwa urahisi sawa na kutoa.
5. Nyaraka za uhamishaji wa kimataifa
Kwa kila cookie inayochochea uhamishaji wa kimataifa, je, utaratibu wa uhamishaji (utoshelevu, dhamana ya mkataba, msamaha) umerekodiwa na unaweza kuonyeshwa kwa ombi?
6. Uandikishaji wa idhini
Je, mfumo unarekodia kila uamuzi wa idhini na muhuri wa muda, toleo la bango, chaguo, na mamlaka ya mgeni ili mchapishaji aweze kujibu uchunguzi wa UAE Data Office kwa ushahidi?
Mahali PDPL Inapoingia katika Picha ya Kikanda
UAE PDPL ni moja ya mifumo kadhaa ya faragha ya Ghuba ambayo imekuja kuwa ya ufanisi katika miaka michache iliyopita — PDPL ya Saudi Arabia, Sheria ya Ulinzi wa Data ya Kibinafsi ya Bahrain, Sheria ya Faragha ya Data ya Kibinafsi ya Qatar, na Sheria ya Ulinzi wa Data ya Kibinafsi ya Oman zote zinafanya kazi pamoja nayo. Viwango vya kimsingi katika eneo lote vinaunganika kwenye kanuni zilizooana na GDPR, na tofauti za kitaifa katika muundo wa usimamizi, utaratibu wa uhamishaji, na msamaha wa kisekta. Kwa wachapishaji wanaofanya kazi katika Ghuba yote, kujenga mara moja kwa kiwango cha juu — idhini ya kina, ujiondoaji wa kudumu, uhamishaji ulioandikwa, usaidizi wa lugha ya Kiarabu, uandikishaji wa kiwango cha ukaguzi — kushughulikia uzingatiaji wa kikanda kupitia miundombinu ile ile ya CMP inayoshughulikia uzingatiaji wa Ulaya. UAE ni, kwa njia nyingi, kiashiria cha kikanda: UAE Data Office inapohamia, wasimamizi wa jirani huwa wanaifuata.