คู่มือการปฏิบัติตาม PDPL ด้านคุกกี้ของซาอุดีอาระเบียสำหรับผู้เผยแพร่ในปี 2026
ซาอุดีอาระเบีย กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPL) เปลี่ยนจากกฎหมายที่เขียนไว้บนกระดาษมาเป็นระบบที่บังคับใช้อย่างเต็มรูปแบบในช่วงเวลาสิบแปดเดือนระหว่างเดือนกันยายน 2024 ถึงต้นปี 2026 และหน่วยงานกำกับดูแลข้อมูลของประเทศ — หน่วยงานด้านข้อมูลและ AI ของซาอุดีอาระเบีย (SDAIA) — ได้ใช้เวลานั้นออกกฎระเบียบการบังคับใช้ กฎการโอนข้ามพรมแดน และโปรแกรมตรวจสอบการปฏิบัติตามที่ได้รับการสนับสนุนจากค่าธรรมเนียมซึ่งปัจจุบันครอบคลุมผู้เผยแพร่ทุกรายที่มีทราฟฟิกจากซาอุดีอาระเบียที่วัดได้ สำหรับสตูดิโอเกมมือถือ เว็บไซต์ข่าวที่ได้รับทุนจากโฆษณา ผู้ดำเนินการอีคอมเมิร์ซ และแพลตฟอร์มใดก็ตามที่มีผู้ชมซึ่งรวมถึงผู้อยู่อาศัยในราชอาณาจักร PDPL ไม่ใช่ข้อกำหนดบนกระดาษที่วางอยู่ข้างๆ GDPR ในแฟ้มการปฏิบัติตามอีกต่อไป แต่เป็นภาระผูกพันในการปฏิบัติงานที่มีค่าปรับจริง จดหมายตรวจสอบจริง และการเชื่อมต่อโหมดความยินยอมจริงที่ต้องต่อเข้ากับ CMP ของคุณ คู่มือนี้นำผู้เผยแพร่ผ่านสิ่งที่ PDPL ต้องการจริงๆ ในปี 2026 วิธีที่ความยินยอมคุกกี้สอดคล้องกับกรอบของ SDAIA ความหมายของกฎข้ามพรมแดนสำหรับ AdSense และการโฆษณาแบบโปรแกรมมาติก และขั้นตอนปฏิบัติในการรักษาทราฟฟิก KSA ให้สร้างรายได้ได้โดยไม่กระตุ้นระบบการคว่ำบาตรใหม่
PDPL คืออะไรกันแน่
PDPL คือกฎหมายความเป็นส่วนตัวฉบับแรกที่ครอบคลุมของซาอุดีอาระเบีย ออกโดยพระราชกฤษฎีกา M/19 ในปี 2021 แก้ไขในเดือนมีนาคม 2023 เพื่อให้สอดคล้องกับมาตรฐานสากลที่กำหนดโดย GDPR และระบอบที่คล้ายกันมากขึ้น และมีผลบังคับใช้อย่างเต็มรูปแบบเมื่อ 14 กันยายน 2024 หลังจากระยะเวลาผ่อนผันหนึ่งปี กฎหมายนี้อยู่ภายในกรอบการกำกับดูแลข้อมูลของซาอุดีอาระเบียที่กว้างกว่า ซึ่งรวมถึงกฎระเบียบการกำกับดูแลข้อมูลแห่งชาติชั่วคราว กรอบกฎระเบียบการประมวลผลบนคลาวด์ และกฎเกณฑ์เสรีภาพในการเข้าถึงข้อมูลของ SDAIA — แต่สำหรับผู้เผยแพร่ PDPL คือส่วนที่ควบคุมคุกกี้ การติดตามโฆษณา การวิเคราะห์ และการประมวลผลข้อมูลส่วนบุคคลอื่นๆ ที่เกี่ยวข้องกับเว็บไซต์หรือแอป
กฎระเบียบการบังคับใช้
PDPL มีความสั้น รายละเอียดอยู่ในกฎระเบียบการบังคับใช้สองฉบับที่ SDAIA เผยแพร่ในเดือนกันยายน 2023 และปรับปรุงตลอดปี 2024 และ 2025: กฎระเบียบการบังคับใช้ (ทั่วไป) และ กฎระเบียบการโอนข้อมูลส่วนบุคคล (ข้ามพรมแดน) ทั้งสองฉบับนี้รวมกันให้คำตอบที่เป็นรูปธรรมแก่ผู้เผยแพร่เกี่ยวกับคุณภาพความยินยอม การเก็บรักษา กำหนดเวลาแจ้งเหตุการละเมิด และเงื่อนไขในการส่งข้อมูลของผู้อยู่อาศัยในซาอุดีอาระเบียออกนอกราชอาณาจักร ใครก็ตามที่ยังทำงานจากข้อความปี 2021 เพียงอย่างเดียวกำลังอ่านแผนที่ที่ล้าสมัย
กำหนดเวลาการบังคับใช้ที่ผู้เผยแพร่ควรทราบ
SDAIA ให้เวลาองค์กรต่างๆ จนถึงวันที่ 14 กันยายน 2024 เพื่อบรรลุการปฏิบัติตามอย่างเต็มรูปแบบ คลื่นแรกของจดหมายตรวจสอบถูกส่งออกไปในช่วงปลายปี 2024 ไปยังผู้ควบคุมรายใหญ่ในด้านการเงิน โทรคมนาคม และบริการรัฐบาล ตลอดปี 2025 โปรแกรมตรวจสอบขยายกว้างขึ้นเพื่อรวมสื่อที่ได้รับทุนจากโฆษณา อีคอมเมิร์ซ และแพลตฟอร์มใดก็ตามที่ประมวลผลข้อมูลผู้อยู่อาศัยในซาอุดีอาระเบียมากกว่าปริมาณที่กำหนด ภายในปี 2026 SDAIA ส่งสัญญาณว่าผู้เผยแพร่ขนาดเล็กและขนาดกลางอยู่ในขอบเขตแล้ว — โดยเฉพาะอย่างยิ่งผู้ดำเนินการที่เนื้อหาภาษาอาหรับหรือการใช้จ่ายโฆษณาบ่งชี้ถึงผู้ชมชาวซาอุดีอาระเบียที่ตั้งใจ
ใครที่ SDAIA ถือว่าเป็นผู้ควบคุมข้อมูล
PDPL มีผลบังคับใช้นอกอาณาเขต คุณไม่จำเป็นต้องมีนิติบุคคลของซาอุดีอาระเบีย เซิร์ฟเวอร์ของซาอุดีอาระเบีย หรือบัญชีธนาคารของซาอุดีอาระเบียเพื่อเป็นผู้ควบคุมภายใต้กฎหมาย หากเว็บไซต์หรือแอปของคุณประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อาศัยอยู่ในราชอาณาจักร คุณอยู่ในขอบเขต สำหรับผู้เผยแพร่ ตะขอนี้ถูกกระตุ้นโดยการไหลของข้อมูลเทคโนโลยีโฆษณาตามปกติ ได้แก่ ที่อยู่ IP รหัสอุปกรณ์ ID อีเมลที่แฮช คุกกี้พฤติกรรม และตัวระบุผู้ใช้ที่ไหลผ่านการประมูลแบบโปรแกรมมาติก ทั้งหมดนับเป็นข้อมูลส่วนบุคคลเมื่อผูกติดกับผู้อยู่อาศัยในซาอุดีอาระเบีย
ข้อกำหนดตัวแทนในพื้นที่
ผู้ควบคุมต่างประเทศที่ไม่มีสำนักงานในราชอาณาจักรต้องแต่งตั้งตัวแทนในพื้นที่ที่ลงทะเบียนกับ SDAIA ตัวแทนเป็นจุดติดต่อทางกฎหมายสำหรับคำขอของเจ้าของข้อมูลและการติดต่อสื่อสารกับหน่วยงานกำกับดูแล ผู้เผยแพร่รายเล็กมักจัดการเรื่องนี้ผ่านบริษัทบริการความเป็นส่วนตัวแทนการจดทะเบียนในพื้นที่ — แต่การแต่งตั้งเป็นสิ่งบังคับเมื่อคุณข้ามเกณฑ์ของการประมวลผลซาอุดีอาระเบียอย่างสม่ำเสมอ
สถานการณ์ผู้ควบคุมร่วมสำหรับเทคโนโลยีโฆษณา
ห่วงโซ่อุปทานที่สร้างรายได้จากช่องโฆษณาแบบโปรแกรมมาติก — CMP ของคุณ เซิร์ฟเวอร์โฆษณาของคุณ SSP ที่คุณเรียก DSP ที่ประมูล ผู้ขายการตรวจสอบ และพันธมิตรการวัดผล — สร้างความสัมพันธ์ผู้ควบคุมร่วมและแยกกันรับผิดชอบภายใต้ PDPL เช่นเดียวกับภายใต้ GDPR ผู้เผยแพร่ไม่สามารถถ่ายโอนความรับผิดชอบ PDPL ให้กับผู้ขายได้ SDAIA คาดหวังให้ผู้เผยแพร่แสดงให้เห็นว่าพันธมิตรปลายน้ำทุกรายมีเหตุผลทางกฎหมายและพันธกรณีตามสัญญาของตนเองที่สอดคล้องกับสิ่งที่ผู้เผยแพร่สัญญาไว้ที่แบนเนอร์ความยินยอม
ความยินยอมคุกกี้ภายใต้กฎระเบียบการบังคับใช้
PDPL ยอมรับความยินยอมเป็นเหตุผลทางกฎหมายหนึ่งสำหรับการประมวลผลข้อมูลส่วนบุคคล และกฎระเบียบการบังคับใช้ระบุว่าความยินยอมที่ถูกต้องมีลักษณะอย่างไร มาตรฐานนั้นสูง — ใกล้เคียงกับ GDPR มากกว่า CCPA — และครอบคลุมคุกกี้ พิกเซล SDK การจดจำลายนิ้วมือ และเทคโนโลยีการติดตามอื่นๆ ที่อ่านหรือเขียนข้อมูลบนอุปกรณ์ของผู้ใช้
อะไรนับเป็นความยินยอมที่ถูกต้อง
ความยินยอมต้อง ให้อย่างเสรี เฉพาะเจาะจง ได้รับข้อมูล และชัดแจ้ง กล่องที่ติ๊กไว้ล่วงหน้า กำแพงคุกกี้ที่บล็อกเนื้อหาเว้นแต่ผู้ใช้จะยอมรับ และประกาศที่คลุมเครือว่า "การเรียกดูต่อไปถือว่ายินยอม" ล้วนไม่ผ่านมาตรฐาน ผู้ใช้ต้องดำเนินการยืนยันที่ชัดเจน — โดยทั่วไปคือการคลิกปุ่มยอมรับ — และการกระทำนั้นต้องเชื่อมโยงกับคำอธิบายที่ชัดเจนของวัตถุประสงค์การประมวลผล ความยินยอมรวมที่รวมการวิเคราะห์ การโฆษณา และการปรับแต่งเป็นตัวเลือกเดียวใช่หรือไม่ใช่ถูกห้ามอย่างชัดแจ้ง
หมวดหมู่วัตถุประสงค์ที่ละเอียด
คำแนะนำของ SDAIA ระบุหมวดหมู่วัตถุประสงค์ที่ CMP ของผู้เผยแพร่ควรแสดง ได้แก่ จำเป็นอย่างเคร่งครัด ฟังก์ชัน การวิเคราะห์ การโฆษณา การปรับแต่ง และการประมวลผลข้อมูลที่ละเอียดอ่อนใดๆ เช่น การอนุมานด้านสุขภาพหรือไบโอเมตริก แต่ละหมวดหมู่ต้องมีสวิตช์ของตัวเอง คำอธิบายวัตถุประสงค์ของตัวเอง และรายการผู้ขายของตัวเอง กรอบ IAB Europe TCF v2.3 ที่ขยายอย่างเหมาะสมด้วยข้อความเฉพาะ PDPL เป็นภาษาอาหรับ เป็นเส้นทางที่ผู้เผยแพร่ส่วนใหญ่ใช้เพื่อตอบสนองความต้องการความละเอียด
การถอนความยินยอมและการให้ความยินยอมใหม่
สิทธิในการถอนความยินยอมต้องง่ายพอๆ กับสิทธิในการให้ความยินยอม ไอคอนความยินยอมที่ลอยอยู่ ลิงก์ในส่วนท้าย หรือแผงการตั้งค่าในแอปล้วนมีคุณสมบัติ การออกจากระบบทางอีเมลเพียงอย่างเดียวที่ซ่อนอยู่ไม่มีคุณสมบัติ ผู้เผยแพร่ควรวางแผนการให้ความยินยอมใหม่เป็นระยะสำหรับการเปลี่ยนแปลงที่สำคัญ — พันธมิตรโฆษณาใหม่ วัตถุประสงค์คุกกี้ใหม่ SDK ใหม่ — และ SDAIA คาดหวังให้บันทึกการตรวจสอบของ CMP บันทึกเหตุการณ์การให้ความยินยอมใหม่แต่ละครั้งพร้อมการประทับเวลา
การโอนข้ามพรมแดนและการทำให้ข้อมูลอยู่ในพื้นที่
กฎระเบียบการโอนข้อมูลส่วนบุคคลเป็นส่วนของ PDPL ที่มีแนวโน้มมากที่สุดที่จะทำให้ผู้เผยแพร่สะดุด เพราะในขณะที่ที่อยู่ IP ของผู้ใช้ชาวซาอุดีอาระเบียเข้าสู่การประมูลแบบโปรแกรมมาติก ข้อมูลนั้นได้รับการโอนอย่างมีประสิทธิภาพไปยังที่ที่ SSP และ DSP ดำเนินงาน SDAIA ไม่ถือว่านี่เป็นการไหลเวียนอย่างเสรี
รายการความเพียงพอและสัญญามาตรฐาน
ผู้ควบคุมอาจโอนข้อมูลส่วนบุคคลออกนอกราชอาณาจักรภายใต้กลไกหลักสามประการ ได้แก่ การตัดสินใจเรื่องความเพียงพอที่ได้รับการอนุมัติจาก SDAIA สำหรับประเทศปลายทาง สัญญามาตรฐานที่ได้รับการอนุมัติจาก SDAIA หรือชุดกฎเกณฑ์ขององค์กรที่มีผลผูกพันสำหรับการโอนภายในกลุ่ม รายการความเพียงพอ ณ ปี 2026 รวมถึงประเทศเพื่อนบ้าน GCC จำนวนน้อย และเขตอำนาจศาลยุโรปเพียงหยิบมือ แต่จุดหมายปลายทางของเทคโนโลยีโฆษณาส่วนใหญ่ — รวมถึงสหรัฐอเมริกา — อยู่นอกรายการนั้นและต้องการสัญญามาตรฐานหรือการยกเว้น
การประเมินผลกระทบการโอนข้อมูล
สำหรับการโอนที่มีความเสี่ยงสูง SDAIA กำหนดให้มี การประเมินผลกระทบการโอนข้อมูล (DTIA) ที่บันทึกไว้ก่อนการโอนเริ่มต้น นี่คือการเทียบเท่าซาอุดีอาระเบียของการประเมินผลกระทบการโอนของ EU หลัง Schrems II ผู้เผยแพร่ควรทำงานร่วมกับ CMP และผู้ขายเทคโนโลยีโฆษณาเพื่อรวบรวม DTIA เทมเพลตที่ครอบคลุมการไหลของโปรแกรมมาติกที่เกิดซ้ำ และรีเฟรชเมื่อใดก็ตามที่ผู้ขายเปลี่ยนสถานที่ประมวลผล
ขั้นตอนการปฏิบัติตามที่ใช้ได้จริงสำหรับผู้เผยแพร่
โปรแกรม PDPL แบ่งออกเป็นงานปฏิบัติการห้างานที่สอดคล้องอย่างชัดเจนกับ CMP ที่มีอยู่ของผู้เผยแพร่และสแตกโฆษณา ไม่มีสิ่งใดที่ไม่คุ้นเคยสำหรับผู้ที่ได้ใช้งานการปฏิบัติตาม GDPR หรือ LGPD แล้ว — ความแตกต่างอยู่ที่รายละเอียดของข้อความซาอุดีอาระเบียและกฎการโอนเฉพาะ
รายการตรวจสอบการกำหนดค่า CMP
ยืนยันว่าแบนเนอร์ความยินยอมของคุณแสดงเป็นภาษาอาหรับสำหรับผู้เยี่ยมชม KSA และภาษาอังกฤษสำหรับคนอื่นๆ ทั้งหมด หมวดหมู่วัตถุประสงค์มีความละเอียดอย่างเต็มที่ เส้นทางปฏิเสธทั้งหมดเป็นการคลิกเดียวและเท่าเทียมกันทางภาพกับยอมรับทั้งหมด และสตริงความยินยอมไหลไปปลายน้ำผ่าน Google Consent Mode v2 หรือการรวม TCF ของคุณ ตรวจสอบให้แน่ใจว่า CMP ของคุณบันทึกใบเสร็จความยินยอมเฉพาะ PDPL พร้อมการประทับเวลา เวอร์ชันนโยบาย และตัวระบุผู้ใช้ เพื่อให้การตอบสนองการตรวจสอบสามารถรวบรวมได้ภายในไม่กี่นาทีแทนที่จะเป็นวัน
บันทึกความยินยอมและเส้นทางการตรวจสอบ
ทีมตรวจสอบของ SDAIA ขอหลักฐานความยินยอมในรูปแบบที่คุ้นเคย ได้แก่ ใครยินยอม ต่ออะไร เมื่อไหร่ ด้วยเวอร์ชันแบนเนอร์ใด และพวกเขาได้รับแจ้งอะไรในขณะที่ให้ความยินยอม วางแผนเก็บรักษาบันทึกเหล่านี้อย่างน้อยสองปีและจัดเก็บในลักษณะที่รอดจากการเปลี่ยนผู้ขาย CMP — การส่งออกไปยังคลังข้อมูลที่ผู้ควบคุมเป็นเจ้าของเป็นรูปแบบที่สะอาดที่สุด
กระบวนการทำงานสิทธิ์ของเจ้าของข้อมูล
PDPL ให้สิทธิ์การเข้าถึง การแก้ไข การลบ และการพกพา ด้วยระยะเวลาตอบสนองสามสิบวัน ผู้เผยแพร่ที่มีกล่องจดหมาย privacy@ เพียงกล่องเดียวและไม่มีกระบวนการทำงานตั๋วจะพลาดกำหนดเวลามากกว่าที่จะทำได้ตรงเวลา ตั้งกระบวนการที่บันทึกไว้จากการรับเข้าถึงการตอบสนอง ฝึกอบรมเจ้าของที่ตั้งชื่อหนึ่งราย และรวมกระบวนการทำงานกับบันทึก CMP และความยินยอมของเซิร์ฟเวอร์โฆษณาของคุณ เพื่อให้คำขอลบแพร่กระจายไปยังปลายน้ำ
บทสรุป
PDPL ของซาอุดีอาระเบียในปี 2026 ไม่ใช่ระบอบที่อ่อนนุ่มซึ่งผู้เผยแพร่สามารถให้ความสำคัญน้อยกว่า GDPR และ CCPA ได้ SDAIA มีเงินทุน ความสามารถในการตรวจสอบ และการสนับสนุนทางการเมืองในการบังคับใช้ และกฎการโอนข้ามพรมแดนโดยเฉพาะสร้างแรงเสียดทานที่แท้จริงกับห่วงโซ่อุปทานเทคโนโลยีโฆษณาทั่วโลกที่ผู้เผยแพร่ต้องวิศวกรรมรอบๆ ข่าวดีคือ PDPL ยืมมาจาก GDPR เพียงพอที่ผู้เผยแพร่ที่มีท่าทีการปฏิบัติตามของยุโรปที่สมบูรณ์แบบนั้นอยู่ในทางส่วนใหญ่แล้ว ทำให้แบนเนอร์ความยินยอมของคุณเป็นภาษาอาหรับ วางข้อความวัตถุประสงค์เฉพาะ PDPL ทับบนการตั้งค่า TCF ที่มีอยู่ของคุณ จัดทำเอกสารกลไกการโอนของคุณ แต่งตั้งตัวแทนในพื้นที่หากทราฟฟิกซาอุดีอาระเบียของคุณรับประกัน และผู้ชม KSA ของคุณยังคงสร้างรายได้ได้ในขณะที่ผู้ดำเนินการที่โบกมือให้ PDPL เป็นแบบฝึกหัดกระดาษใช้เวลาปี 2026 อ่านจดหมายตรวจสอบ