กรอบกฎหมายของ PDPL

PDPL ใช้กับการประมวลผลข้อมูลส่วนบุคคลของผู้อยู่อาศัยใน UAE ไม่ว่าการประมวลผลจะเกิดขึ้นในหรือนอก UAE และไม่ว่าผู้ควบคุมหรือผู้ประมวลผลจะจัดตั้งใน UAE หรือดำเนินการจากต่างประเทศ ขอบเขตดินแดนจึงมีผลนอกอาณาเขตในลักษณะเดียวกับ GDPR ผู้เผยแพร่ที่ดำเนินการจากลอนดอนหรือสิงคโปร์และประมวลผลข้อมูลเกี่ยวกับผู้อยู่อาศัยใน UAE อยู่ในขอบเขต หน่วยงานกำกับดูแลคือ UAE Data Office ซึ่งจัดตั้งขึ้นภายใต้ชุดกฎหมายเดียวกัน และได้ใช้จุดยืนที่รอบคอบแต่ยิ่งทวีความกระตือรือร้นในการบังคับใช้

หลักการหลักของ PDPL จะคุ้นเคยสำหรับผู้ที่เคยทำงานกับ GDPR ได้แก่ ฐานทางกฎหมาย การจำกัดวัตถุประสงค์ การลดข้อมูลให้เหลือน้อยที่สุด ความถูกต้อง การจำกัดการจัดเก็บ ความสมบูรณ์และการรักษาความลับ และความรับผิดชอบ ฐานทางกฎหมายภายใต้ Article 4 ได้แก่ การยินยอม การปฏิบัติตามสัญญา ภาระผูกพันทางกฎหมาย ผลประโยชน์ที่สำคัญ ผลประโยชน์สาธารณะ และผลประโยชน์ที่ชอบด้วยกฎหมาย แต่ละอย่างมีขอบเขตและเงื่อนไขของตัวเอง สำหรับการติดตามออนไลน์ ฐานที่เกี่ยวข้องคือการยินยอม และในสถานการณ์ที่แคบ ผลประโยชน์ที่ชอบด้วยกฎหมาย Cookie ที่ติดตั้งล่วงหน้าซึ่งเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับการยินยอมถือเป็นการละเมิดในลักษณะเดียวกับที่จะเกิดขึ้นภายใต้ GDPR

สิ่งที่นับเป็นข้อมูลส่วนบุคคลภายใต้ PDPL

คำจำกัดความของ PDPL เกี่ยวกับข้อมูลส่วนบุคคลนั้นกว้างและสอดคล้องกับ GDPR อย่างใกล้ชิด ได้แก่ ข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุตัวตนได้หรือสามารถระบุตัวตนได้ รวมถึงตัวระบุออนไลน์ Cookie ที่ระบุอุปกรณ์อย่างถาวร ที่อยู่ IP ที่ประมวลผลร่วมกับข้อมูลอื่น รหัสโฆษณา และตัวระบุแบบลายนิ้วมือทั้งหมดอยู่ในขอบเขต แนวทางการดำเนินการของ UAE Data Office ได้ยืนยันว่าการวิเคราะห์ที่ใช้กับ cookie เชิงพฤติกรรมและโฆษณาใน EU ใช้ในรูปแบบเดียวกันโดยพื้นฐานใน UAE สิ่งที่แตกต่างคือสถาปัตยกรรมการบังคับใช้ ไม่ใช่มาตรฐานที่มีสาระสำคัญ

PDPL ยังกำหนดประเภทของข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่มีข้อกำหนดการจัดการที่เข้มงวดกว่า ครอบคลุมข้อมูลสุขภาพ ข้อมูลทางพันธุกรรมและชีวมิติ ความเชื่อทางศาสนา บันทึกทางอาญา และประเภทที่คล้ายกัน Cookie ที่เก็บรวบรวมข้อมูลเหล่านี้ต้องได้รับการยินยอมอย่างชัดแจ้งและมีมาตรการป้องกันเพิ่มเติม

การยินยอม Cookie ภายใต้ PDPL

PDPL ไม่มีบทบัญญัติเฉพาะสำหรับ cookie ในลักษณะที่ Directive ePrivacy ของ EU มี ข้อกำหนดการยินยอมแทนนั้นมาจาก Article 6 ซึ่งกำหนดมาตรฐานทั่วไปสำหรับการยินยอมที่ถูกต้อง ต้องเฉพาะเจาะจง ชัดเจน ได้รับการแจ้งข้อมูล และให้อย่างอิสระ และเจ้าของข้อมูลต้องสามารถถอนการยินยอมได้ง่ายเท่าที่ให้ UAE Data Office ได้ตีความมาตรฐานนี้ว่าต้องการ:

• การกระทำยืนยันที่ชัดเจน ก่อนที่ cookie ที่ไม่จำเป็นจะทำงาน การเรียกดูต่อเนื่อง การเลื่อน หรือการยินยอมโดยนัยไม่เพียงพอ
• การควบคุมประเภทแบบละเอียด ที่แยก cookie ที่จำเป็นอย่างเคร่งครัดออกจากการวิเคราะห์และโฆษณา โดยผู้เยี่ยมชมสามารถยอมรับบางส่วนและปฏิเสธส่วนอื่น
• กลไกการถอนที่ชัดเจน ที่เข้าถึงได้จากทุกหน้าที่มีการติดตามอยู่ โดยการถอนมีผลทันที
• เอกสารการตัดสินใจยินยอม เพียงพอที่จะตอบสนองข้อกำหนดความรับผิดชอบภายใต้ Article 5

ในทางปฏิบัติ นี่คือมาตรฐานการดำเนินงานเดียวกับที่ผู้เผยแพร่จะสร้างสำหรับ GDPR แบนเนอร์ที่ผ่านเกณฑ์ EDPB Cookie Banner Taskforce จะตรงตาม PDPL แบนเนอร์ที่ล้มเหลวในเกณฑ์เหล่านั้นจะล้มเหลวภายใต้การตรวจสอบของ PDPL เช่นกัน

การโอนข้อมูลข้ามพรมแดน

หนึ่งในลักษณะที่โดดเด่นที่สุดของ PDPL คือกรอบการโอนข้ามพรมแดน Articles 22 and 23 ของ PDPL กำหนดเงื่อนไขที่ข้อมูลส่วนบุคคลอาจโอนออกนอก UAE ซึ่งมีโครงสร้างตามแนวที่ขนานกัน แต่ไม่เหมือนกับ บทที่ V ของ GDPR อย่างแน่นอน

การกำหนดแบบความเพียงพอ

PDPL อนุญาตให้ UAE Data Office กำหนดประเทศว่าให้การคุ้มครองที่เพียงพอ รายชื่อปัจจุบันสั้นกว่าของคณะกรรมาธิการยุโรปและคาดว่าจะพัฒนาต่อไป จนกว่าประเทศหนึ่งจะได้รับการกำหนด การโอนต้องใช้หนึ่งในกลไกทางกฎหมายอื่น ๆ

ข้อตกลงสัญญามาตรฐาน

PDPL อนุญาตให้โอนโดยรองรับด้วยการป้องกันสัญญาที่เหมาะสม คล้ายกับ EU SCCs ในโครงสร้าง ผู้ควบคุมหลายรายของ UAE ดำเนินการด้วยภาคผนวกสัญญาแบบกำหนดเองที่ UAE Data Office ตรวจสอบตามคำขอ

การยกเว้นเฉพาะ

การยินยอมอย่างชัดแจ้ง การปฏิบัติตามสัญญา และการยกเว้นผลประโยชน์ที่สำคัญมีให้ใช้ แต่ตีความอย่างแคบ การพึ่งพาการยินยอมตามปกติสำหรับการโอน ซึ่งภายใต้ GDPR มักถือว่าเป็นข้อยกเว้นมากกว่าการเป็นระบบ ได้รับการปฏิบัติในลักษณะคล้ายกันที่นี่

สำหรับผู้เผยแพร่ออนไลน์ ผลกระทบในทางปฏิบัติคือบันทึกการยินยอม cookie ตอนนี้ยังต้องรองรับภาระผูกพันความรับผิดชอบในการโอนด้วย หากผู้เยี่ยมชมใน UAE ยอมรับ cookie ที่นำข้อมูลของพวกเขาไปยังผู้จำหน่าย ad-tech ของสหรัฐอเมริกา CMP ต้องสามารถแสดงเครื่องมือการโอนที่อนุญาตกระแสนั้น

ข้อพิจารณาด้านภาคส่วนและเขตการค้าเสรี

ภูมิทัศน์ความเป็นส่วนตัวของ UAE มีหลายชั้น PDPL ของรัฐบาลกลางใช้กันอย่างกว้างขวาง แต่เขตการค้าเสรีหลายแห่ง ได้แก่ Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM) และ Dubai Healthcare City ดำเนินการตามระบบคุ้มครองข้อมูลของตนเองที่มีมาก่อน PDPL กฎหมายคุ้มครองข้อมูล DIFC ฉบับที่ 5 ปี 2020 และ ADGM Data Protection Regulations 2021 ทั้งคู่สอดคล้องกับ GDPR และใช้กับเขตของตนเอง ผู้เผยแพร่ที่ดำเนินการในหลายเขตต้องประสาน PDPL ของรัฐบาลกลางกับกรอบเขตการค้าเสรีที่บังคับใช้ ในกรณีส่วนใหญ่มาตรฐานที่มีสาระสำคัญมาบรรจบกัน แต่ช่องทางกำกับดูแลแตกต่างกัน

สัญญาณที่ UAE Data Office ให้

UAE Data Office ได้ดำเนินการอย่างรอบคอบในจุดยืนการบังคับใช้ โดยจัดลำดับความสำคัญของการสร้างศักยภาพ การปรึกษาหารือในภาคส่วน และคดีที่มีชื่อเสียงเหนือระบบค่าปรับที่มีปริมาณสูง เอกสารแนวทางสาธารณะได้เน้น:

การออกแบบแบนเนอร์

UAE Data Office ได้สอดคล้องกับเกณฑ์แบบ EDPB ในการออกแบบแบนเนอร์ โดยถือว่าปุ่มปฏิเสธที่ขาดหายไป การออกแบบลิงก์ที่หลอกลวง และช่องทำเครื่องหมายที่ถูกทำเครื่องหมายไว้ล่วงหน้าเป็นข้อบกพร่องทั่วไปที่ต้องแก้ไข ความคาดหวังคือการบรรจบกับบรรทัดฐานของยุโรป

ความโปร่งใสข้ามพรมแดน

UAE Data Office ส่งสัญญาณว่าการโอนระหว่างประเทศจะเป็นจุดสนใจเฉพาะ โดยเฉพาะอย่างยิ่งเมื่อข้อมูลส่วนบุคคลถูกส่งไปยังเขตอำนาจศาลที่ไม่มีความเพียงพอที่กำหนด เอกสารกลไกการโอนได้รับการถือว่าเป็นข้อกำหนดความรับผิดชอบ ไม่ใช่ตัวเลือก

การเปิดเผยข้อมูลภาษาอาหรับ

แม้ว่า PDPL จะไม่บังคับให้ใช้ภาษาอาหรับ UAE Data Office ได้ระบุว่าการเปิดเผยควรมีให้เป็นภาษาอาหรับเมื่อผู้ชมส่วนใหญ่พูดภาษาอาหรับ ทั้งเพื่อการเข้าถึงและเพื่อวัตถุประสงค์ด้านหลักฐาน

รายการตรวจสอบการปฏิบัติตามกฎหมายที่ใช้ได้จริง

คำถามหกข้อที่เป็นรูปธรรมที่ต้องตอบสำหรับแบนเนอร์ cookie ที่ให้บริการทราฟฟิก UAE

1. การยินยอมยืนยันก่อนการติดตาม

Cookie ที่ไม่จำเป็นถูกบล็อกที่ระดับ script-loader จนกว่าผู้เยี่ยมชมจะดำเนินการยืนยันหรือไม่ การโหลดแบนเนอร์ล่วงหน้าเหนือ tracker ที่ทำงานอยู่แล้วถือเป็นการละเมิดในตัวเอง

2. ประเภทแบบละเอียด

แบนเนอร์แยกประเภทที่จำเป็น การวิเคราะห์ และโฆษณา พร้อม toggle อิสระหรือไม่ การยอมรับทั้งหมดโดยไม่มีรายละเอียดถือเป็นข้อบกพร่อง

3. ความพร้อมใช้ภาษาอาหรับ

แบนเนอร์ตรวจจับผู้เยี่ยมชมที่พูดภาษาอาหรับและนำเสนอเป็นภาษาอาหรับตามค่าเริ่มต้น โดยมีภาษาอังกฤษเป็นทางเลือกที่สลับได้หรือไม่ UAE Data Office ได้ระบุชัดเจนถึงการเข้าถึงภาษา

4. การเข้าถึงการถอน

การควบคุมการถอนเป็นแบบถาวรและเข้าถึงได้จากทุกหน้าหรือไม่ การตั้งค่าหลายขั้นตอนที่ซ่อนอยู่ในลิงก์ส่วนท้ายล้มเหลวในมาตรฐานการถอนง่ายเท่าการให้

5. เอกสารการโอนข้ามพรมแดน

สำหรับ cookie แต่ละตัวที่ทริกเกอร์การโอนระหว่างประเทศ กลไกการโอน (ความเพียงพอ การป้องกันสัญญา การยกเว้น) ได้รับการบันทึกและสามารถแสดงได้ตามคำขอหรือไม่

6. การบันทึกการยินยอม

ระบบบันทึกการตัดสินใจยินยอมแต่ละครั้งพร้อม timestamp เวอร์ชันแบนเนอร์ ตัวเลือก และเขตอำนาจศาลของผู้เยี่ยมชม เพื่อให้ผู้เผยแพร่สามารถตอบการสอบสวนของ UAE Data Office ด้วยหลักฐานได้หรือไม่

ตำแหน่งของ PDPL ในภาพรวมระดับภูมิภาค

UAE PDPL เป็นหนึ่งในกรอบความเป็นส่วนตัวของอ่าวเปอร์เซียหลายรายการที่มีผลบังคับใช้ในช่วงสองสามปีที่ผ่านมา ได้แก่ PDPL ของซาอุดีอาระเบีย กฎหมายคุ้มครองข้อมูลส่วนบุคคลของบาห์เรน กฎหมายความเป็นส่วนตัวของข้อมูลส่วนบุคคลของกาตาร์ และกฎหมายคุ้มครองข้อมูลส่วนบุคคลของโอมาน ทั้งหมดดำเนินการควบคู่กัน มาตรฐานที่มีสาระสำคัญทั่วทั้งภูมิภาคกำลังบรรจบกันตามหลักการที่สอดคล้องกับ GDPR โดยมีความแตกต่างของชาติในสถาปัตยกรรมกำกับดูแล กลไกการโอน และการยกเว้นภาคส่วน สำหรับผู้เผยแพร่ที่ดำเนินการทั่วอ่าวเปอร์เซีย การสร้างครั้งเดียวตามมาตรฐานที่สูงกว่า ได้แก่ การยินยอมแบบละเอียด การถอนแบบถาวร การโอนที่มีเอกสาร การรองรับภาษาอาหรับ การบันทึกระดับการตรวจสอบ จัดการการปฏิบัติตามกฎหมายระดับภูมิภาคผ่านโครงสร้างพื้นฐาน CMP เดียวกันกับที่จัดการการปฏิบัติตามกฎหมายของยุโรป UAE เป็น bellwether ระดับภูมิภาคในหลายๆ ด้าน ที่ใดที่ UAE Data Office เคลื่อนไหว หน่วยงานกำกับดูแลในประเทศเพื่อนบ้านมักจะติดตาม