Що таке PDPL насправді

PDPL — це перший всеосяжний закон Саудівської Аравії про конфіденційність. Він виданий Королівським декретом M/19 у 2021 році, змінений у березні 2023 року для ближчого узгодження з глобальним стандартом, встановленим GDPR та аналогічними режимами, і набрав повної чинності 14 вересня 2024 року після однорічного перехідного періоду. Закон перебуває в рамках ширшого саудівського стеку управління даними, що включає Тимчасові регламенти національного управління даними, Регуляторну структуру хмарних обчислень та правила свободи інформації SDAIA — але для видавців PDPL — це частина, яка регулює файли cookie, відстеження реклами, аналітику та будь-яку іншу обробку персональних даних, пов'язану з веб-сайтом або застосунком.

Імплементаційні регламенти

PDPL короткий. Деталі містяться у двох імплементаційних регламентах, опублікованих SDAIA у вересні 2023 року та вдосконалених протягом 2024 та 2025 років: Імплементаційних регламентах (загальних) та Регламентах передавання персональних даних (транскордонних). Разом вони надають видавцям конкретні відповіді щодо якості згоди, зберігання, термінів повідомлення про порушення та умов надсилання даних мешканців Саудівської Аравії за межі Королівства. Будь-хто, хто досі працює лише за текстом 2021 року, читає застарілу карту.

Графік виконання, який повинні знати видавці

SDAIA надав організаціям час до 14 вересня 2024 року для досягнення повної відповідності. Перша хвиля листів аудиту вийшла наприкінці 2024 року для великих контролерів у сфері фінансів, телекомунікацій та державних послуг. Протягом 2025 року програма аудиту розширилася, щоб охопити рекламно-фінансовані ЗМІ, електронну комерцію та будь-яку платформу, що обробляє більше визначеного обсягу даних мешканців Саудівської Аравії. До 2026 року SDAIA сигналізував, що малі та середні видавці тепер у сфері охоплення — особливо будь-який оператор, чий арабомовний контент або витрати на рекламу сигналізують про навмисну саудівську аудиторію.

Кого SDAIA вважає контролером даних

PDPL застосовується екстериторіально. Вам не потрібна саудівська юридична особа, саудівський сервер або саудівський банківський рахунок, щоб бути контролером за законом. Якщо ваш сайт або застосунок обробляє персональні дані осіб, які мешкають у Королівстві, ви перебуваєте у сфері охоплення. Для видавців цей гачок спрацьовує від звичного потоку рекламно-технологічних даних: IP-адреси, ID пристроїв, хешовані електронні пошти, поведінкові файли cookie та ідентифікатори користувачів, що течуть через програматичні аукціони, — усе це вважається персональними даними, коли прив'язане до мешканця Саудівської Аравії.

Вимога щодо місцевого представника

Іноземні контролери без присутності у Королівстві повинні призначити місцевого представника, зареєстрованого в SDAIA. Представник є юридичною точкою контакту для запитів суб'єктів даних та листування з регулятором. Менші видавці часто вирішують це через компанію з надання послуг конфіденційності, а не шляхом місцевої реєстрації — але призначення є обов'язковим, як тільки ви перевищите поріг регулярної обробки даних Саудівської Аравії.

Сценарії спільного контролера для рекламних технологій

Ланцюг постачання, що монетизує програматичний рекламний слот — ваш CMP, ваш рекламний сервер, SSP, до яких ви звертаєтесь, DSP, що роблять ставки, постачальники перевірки та вимірювальні партнери — створює солідарні відносини контролерів відповідно до PDPL, так само як і відповідно до GDPR. Видавці не можуть перекласти відповідальність за PDPL на постачальника. SDAIA очікує, що видавець продемонструє, що кожен партнер нижче за потоком має власну законну підставу та договірні зобов'язання, що відповідають тому, що видавець пообіцяв у банері згоди.

Згода на файли cookie відповідно до імплементаційних регламентів

PDPL визнає згоду як одну законну підставу для обробки персональних даних, а Імплементаційні регламенти визначають, як виглядає дійсна згода. Стандарт є високим — ближчим до GDPR, ніж до CCPA — і охоплює файли cookie, пікселі, SDK, цифрові відбитки та будь-яку іншу технологію відстеження, що зчитує або записує дані на пристрій користувача.

Що вважається дійсною згодою

Згода повинна бути вільно надана, конкретна, поінформована та явна. Попередньо встановлені прапорці, стіни cookie, що блокують вміст, якщо користувач не погоджується, та розпливчасті повідомлення про те, що "продовження перегляду означає згоду" — усі не відповідають стандарту. Користувач повинен вчинити однозначну підтверджувальну дію — як правило, клік кнопки «Прийняти» — і ця дія повинна бути пов'язана з чітким описом цілей обробки. Об'єднана згода, що поєднує аналітику, рекламу та персоналізацію в одну відповідь «так чи ні», прямо заборонена.

Детальні категорії цілей

Керівництво SDAIA перелічує категорії цілей, які CMP видавця повинен відображати: строго необхідні, функціональні, аналітичні, рекламні, персоналізації та будь-яка обробка конфіденційних даних, наприклад, медичні або біометричні висновки. Кожна категорія потребує власного перемикача, власного опису цілей і власного списку постачальників. Структура IAB Europe TCF v2.3, належним чином розширена текстом для PDPL арабською мовою, є найпоширенішим шляхом, який видавці використовують для задоволення вимоги деталізації.

Відкликання та повторна згода

Право відкликати згоду повинно бути таким же простим, як і право її надати. Плаваюча іконка налаштувань згоди, посилання у нижньому колонтитулі або панель налаштувань у застосунку — усі підходять; прихований вихід лише електронною поштою — не підходить. Видавці повинні планувати periodичну повторну згоду на суттєві зміни — новий рекламний партнер, нова ціль файлів cookie, новий SDK — і SDAIA очікує, що журнал аудиту CMP реєструє кожну подію повторної згоди з часовою міткою.

Транскордонні передавання та локалізація даних

Регламенти передавання персональних даних — це та частина PDPL, яка найімовірніше ускладнює роботу видавців, оскільки в момент, коли IP-адреса саудівського користувача потрапляє на програматичний аукціон, вона фактично передається туди, де діють SSP і DSP. SDAIA не розглядає це як вільний потік.

Список адекватності та стандартні контракти

Контролер може передавати персональні дані за межі Королівства за одним із трьох основних механізмів: рішення про адекватність, схвалене SDAIA для країни призначення, стандартний контракт, схвалений SDAIA, або набір обов'язкових корпоративних правил для передавань усередині групи. Список адекватності станом на 2026 рік включає невелику кількість сусідів по GCC та декілька європейських юрисдикцій, але більшість напрямків рекламних технологій — включно зі США — знаходяться за його межами і вимагають або стандартного контракту, або відступу.

Оцінка впливу передавання даних

Для передавань із високим ризиком SDAIA вимагає задокументованої Оцінки впливу передавання даних (DTIA) до початку передавання. Це саудівський аналог оцінки впливу передавання ЄС після Schrems II. Видавці повинні працювати зі своїм CMP та постачальниками рекламних технологій для складання шаблонних DTIA, що охоплюють повторювані програматичні потоки, та оновлювати їх щоразу, коли постачальник змінює місця обробки.

Практичні кроки відповідності для видавців

Програма PDPL розбивається на п'ять операційних завдань, що чітко відображаються на існуючий CMP видавця та рекламний стек. Жодне з них не є незнайомим для тих, хто вже впровадив відповідність GDPR або LGPD — різниця полягає у деталях саудівського тексту та конкретних правилах передавання.

Контрольний список налаштування CMP

Підтвердіть, що ваш банер згоди відображається арабською мовою для відвідувачів KSA та англійською для всіх інших, що категорії цілей є повністю деталізованими, що шлях «відхилити все» є одним кліком і візуально рівнозначний «прийняти все», і що рядок згоди передається нижче за потоком через Google Consent Mode v2 або вашу інтеграцію TCF. Переконайтеся, що ваш CMP записує квитанцію згоди, специфічну для PDPL, з часовою міткою, версією політики та ідентифікатором користувача, щоб відповіді на аудит можна було зібрати за хвилини, а не дні.

Журнали згоди та слід аудиту

Команди аудиту SDAIA запитують докази згоди у знайомій формі: хто дав згоду, на що, коли, з якою версією банера і що їм повідомили в момент згоди. Плануйте зберігати ці журнали щонайменше два роки та зберігайте їх таким чином, щоб вони витримали зміну постачальника CMP — експорт до сховища даних, що належить контролеру, є найчистішим шаблоном.

Робочий процес прав суб'єктів даних

PDPL надає права на доступ, виправлення, видалення та переносимість з термінами відповіді тридцять днів. Видавець з єдиною поштовою скринькою privacy@ та без процесу обробки заявок пропускатиме дедлайн частіше, ніж дотримуватиметься його. Налаштуйте задокументований процес від прийому до відповіді, навчіть одного призначеного власника та інтегруйте процес із вашим CMP і записами згоди рекламного сервера, щоб запити на видалення поширювалися нижче за потоком.

Підсумок

PDPL Саудівської Аравії у 2026 році — не м'який режим, який видавці можуть відкладати на другий план після GDPR та CCPA. SDAIA має фінансування, потужності аудиту та політичну підтримку для його виконання, а правила транскордонного передавання особливо створюють реальні перепони у взаємодії з глобальним ланцюгом постачання рекламних технологій, навколо яких видавці повинні будувати свою роботу. Хороша новина полягає в тому, що PDPL достатньо запозичує з GDPR, тому видавець із зрілою європейською позицією відповідності переважно вже на правильному шляху. Локалізуйте ваш банер згоди арабською мовою, додайте текст цілей, специфічний для PDPL, поверх вашого поточного налаштування TCF, задокументуйте механізми передавання, призначте місцевого представника, якщо ваш саудівський трафік цього вимагає, і ваша аудиторія KSA залишатиметься монетизованою, тоді як оператори, що відмахнулися від PDPL як паперового заходу, проведуть 2026 рік, читаючи листи аудиту.