Посібник із отримання згоди на файли cookie за UAE PDPL: Federal Decree-Law 45 of 2021 для видавців
Об'єднані Арабські Емірати ухвалили Закон про захист персональних даних наприкінці 2021 року та ввели його в дію наступного року. Federal Decree-Law 45 of 2021, відомий як PDPL, є першим комплексним федеральним законом про конфіденційність у країні; він значною мірою запозичує структуру GDPR, адаптуючи ключові положення до федерального права UAE та вимог щодо локалізації даних. Для видавців, які працюють в ОАЕ або орієнтуються на UAE-трафік — ринок, що стрімко розширився завдяки зростанню регіональної електронної комерції, фінтеху та гіперштабних медіабізнесів, що базуються в Dubai та Abu Dhabi, — PDPL перетворив згоду на файли cookie зі звичайного очікування на федеральне зобов'язання з дотримання вимог. Цей посібник розглядає, як PDPL регулює онлайн-відстеження, на чому UAE Data Office зосереджує правозастосування та які практичні наслідки це має для дизайну банерів із файлами cookie та налаштування CMP.
Правова база PDPL
PDPL застосовується до обробки персональних даних резидентів ОАЕ незалежно від того, де відбувається обробка — в ОАЕ чи за його межами — і незалежно від того, де засновані контролер або оператор. Таким чином, територіальна сфера дії є екстериторіальною — так само, як і у GDPR: видавець, що працює з Лондона або Сінгапуру та обробляє дані резидентів ОАЕ, підпадає під дію закону. Наглядовим органом є UAE Data Office, заснований у рамках того самого законодавчого пакету; він дотримується виваженої, але дедалі активнішої позиції щодо правозастосування.
Основні принципи PDPL будуть знайомі кожному, хто працював із GDPR: законна підстава, обмеження мети, мінімізація даних, точність, обмеження зберігання, цілісність і конфіденційність, а також підзвітність. Законні підстави за Article 4 включають згоду, виконання договору, юридичний обов'язок, життєво важливі інтереси, суспільний інтерес і законні інтереси — кожна зі своєю сферою застосування та умовами. Для онлайн-відстеження відповідними підставами є згода та, у вузьких обставинах, законний інтерес. Попередньо встановлені файли cookie, що збирають персональні дані без згоди, є порушенням так само, як і за GDPR.
Що вважається персональними даними за PDPL
Визначення персональних даних у PDPL є широким і близько відповідає GDPR: будь-які дані, що стосуються ідентифікованої або такої, яку можна ідентифікувати, фізичної особи, включаючи онлайн-ідентифікатори. Файли cookie, що постійно ідентифікують пристрій, IP-адреси, оброблені разом з іншими даними, рекламні ідентифікатори та ідентифікатори за відбитком пальця — усі вони потрапляють у сферу дії. Роз'яснення UAE Data Office щодо правозастосування підтверджують, що аналіз, що застосовується до поведінкових та рекламних файлів cookie в EU, застосовується в ОАЕ у фактично тій самій формі — відрізняється архітектура правозастосування, а не матеріальний стандарт.
PDPL також визначає категорію чутливих персональних даних із суворішими вимогами до обробки, що охоплює інформацію про здоров'я, генетичні та біометричні дані, релігійні переконання, судимість та подібні категорії. Файли cookie, що збирають будь-які з цих даних, потребують явної згоди та додаткових гарантій.
Згода на файли cookie за PDPL
PDPL не містить положення, спеціально присвяченого файлам cookie, на відміну від Директиви ePrivacy EU. Натомість вимога згоди випливає з Article 6, яка встановлює загальний стандарт дійсної згоди: вона має бути конкретною, однозначною, поінформованою та наданою добровільно, а суб'єкт даних має мати змогу відкликати згоду так само легко, як він її надав. UAE Data Office витлумачив цей стандарт як такий, що вимагає:
- Явної позитивної дії до активації необов'язкових файлів cookie. Продовження перегляду, прокручування або мовчазна згода є недостатніми.
- Детального контролю категорій, що розмежовує суворо необхідні файли cookie, аналітику та рекламу, з можливістю відвідувача приймати одні та відхиляти інші.
- Чіткого механізму відкликання, доступного з будь-якої сторінки, де активне відстеження, з негайним набуттям чинності відкликання.
- Документування рішення про згоду, достатнього для виконання вимоги щодо підзвітності за Article 5.
На практиці це той самий операційний стандарт, для якого видавець будував би рішення для GDPR. Банер, що відповідає критеріям EDPB Cookie Banner Taskforce, задовольняє вимоги PDPL; той, що не відповідає, не пройде перевірки за PDPL.
Транскордонні передачі даних
Однією з найбільш характерних особливостей PDPL є його система транскордонних передач. Articles 22 and 23 PDPL встановлюють умови, за яких персональні дані можуть бути передані за межі ОАЕ; вони побудовані паралельно до Глави V GDPR, але не є її точним відображенням.
Рішення за аналогією з адекватністю
PDPL дозволяє UAE Data Office визнавати країни такими, що забезпечують належний захист. Поточний перелік є коротшим, ніж перелік Єврокомісії, і, очікується, розширюватиметься. До визнання країни передачі потребують одного з інших законних механізмів.
Стандартні договірні домовленості
PDPL дозволяє передачі, підкріплені належними договірними гарантіями, що за структурою подібні до EU SCCs. Багато контролерів в ОАЕ працюють із індивідуальними договірними додатками, які UAE Data Office перевіряє за запитом.
Конкретні відступи
Явна згода, виконання договору та відступи, засновані на життєво важливих інтересах, є доступними, але тлумачяться вузько. Рутинне покладання на згоду для передач — що за GDPR часто розглядається як виняткове, а не систематичне — тут трактується аналогічно.
Для онлайн-видавців практичний наслідок полягає в тому, що запис про згоду на файли cookie тепер також має підтверджувати зобов'язання щодо підзвітності за передачі. Якщо відвідувач в ОАЕ приймає файли cookie, що передають їхні дані постачальнику ad-tech у США, CMP має бути здатна пред'явити інструмент передачі, що авторизує цей потік.
Галузеві аспекти та аспекти вільних зон
Конфіденційне середовище ОАЕ є багаторівневим. Федеральний PDPL застосовується широко, але кілька вільних зон — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM) і Dubai Healthcare City — мають власні режими захисту даних, що передують PDPL. Закон про захист даних DIFC № 5 від 2020 року та Положення про захист даних ADGM 2021 року — обидва відповідають GDPR і застосовуються у своїх відповідних зонах. Видавці, що працюють у кількох зонах, мають узгоджувати федеральний PDPL із застосовним режимом вільної зони; у більшості випадків матеріальні стандарти збігаються, але наглядовий канал відрізняється.
Сигнали, що подав UAE Data Office
UAE Data Office діяв цілеспрямовано у своїй позиції щодо правозастосування, надаючи пріоритет розбудові спроможностей, галузевим консультаціям і резонансним справам над системою великих штрафів. У публічних роз'яснювальних документах наголошено на:
Дизайн банера
UAE Data Office узгодив свою позицію з критеріями на зразок EDPB щодо дизайну банерів, вважаючи відсутність кнопок відмови, оманливе оформлення посилань і попередньо позначені прапорці типовими дефектами, що підлягають усуненню. Очікується зближення з європейськими нормами.
Транскордонна прозорість
UAE Data Office дав зрозуміти, що міжнародні передачі стануть особливим пріоритетом, особливо там, де персональні дані передаються до юрисдикцій без визнаної адекватності. Документування механізму передачі розглядається як вимога підзвітності, а не опціональний захід.
Розкриття інформації арабською мовою
Хоча PDPL не зобов'язує використовувати арабську мову, UAE Data Office вказав, що розкриття інформації має бути доступне арабською там, де аудиторія є переважно арабомовною, — як з міркувань доступності, так і для доказових цілей.
Практичний контрольний список відповідності
Шість конкретних запитань, на які слід відповісти для будь-якого банера з файлами cookie, що обслуговує UAE-трафік.
1. Позитивна згода до відстеження
Чи блокуються необов'язкові файли cookie на рівні завантажувача сценаріїв до того, як відвідувач вчинить позитивну дію? Попереднє завантаження банера поверх трекерів, що вже спрацювали, є порушенням само по собі.
2. Детальні категорії
Чи розмежовує банер необхідні, аналітичні та рекламні категорії з незалежними перемикачами? Пакетне «прийняти все» без деталізації є дефектом.
3. Доступність арабської мови
Чи виявляє банер арабомовних відвідувачів і чи відображається арабською мовою за замовчуванням, пропонуючи англійську як можливу альтернативу? UAE Data Office прямо вказав на мовну доступність.
4. Доступ до відкликання
Чи є елемент управління відкликанням постійним і доступним із кожної сторінки? Багатокрокові налаштування, заховані у посиланні в нижньому колонтитулі, не відповідають стандарту відкликання так само легко, як і надання згоди.
5. Документування транскордонної передачі
Для кожного файлу cookie, що ініціює міжнародну передачу, чи задокументовано механізм передачі (адекватність, договірна гарантія, відступ) і чи можна надати його на запит?
6. Ведення журналу згоди
Чи фіксує система кожне рішення про згоду з міткою часу, версією банера, вибором і юрисдикцією відвідувача, щоб видавець міг відповісти на запит UAE Data Office із доказами?
Місце PDPL у регіональній картині
UAE PDPL є одним із кількох законодавств про конфіденційність у Перській затоці, що набрали чинності за останні кілька років — PDPL Саудівської Аравії, Закон Бахрейну про захист персональних даних, Закон Катару про конфіденційність персональних даних і Закон Оману про захист персональних даних — усі вони діють паралельно. Матеріальні стандарти по всьому регіону зближуються з принципами, узгодженими з GDPR, із національними відмінностями в архітектурі нагляду, механізмах передачі та галузевих винятках. Для видавців, що працюють по всій Перській затоці, одноразове будівництво відповідно до вищого стандарту — деталізована згода, постійне відкликання, задокументовані передачі, підтримка арабської мови, ведення журналів рівня аудиту — забезпечує регіональну відповідність через ту саму CMP-інфраструктуру, що забезпечує відповідність вимогам Європи. ОАЕ є, в багатьох відношеннях, регіональним барометром: там, де рухається UAE Data Office, сусідні регулятори схильні слідувати.