پبلشرز کے لیے سعودی عرب کے PDPL کوکی کنسینٹ کمپلائنس گائیڈ 2026
سعودی عرب کا ذاتی ڈیٹا پروٹیکشن قانون (PDPL) ستمبر 2024 اور ابتدائی 2026 کے درمیان اٹھارہ مہینوں میں ایک تحریری قانون سے مکمل طور پر نافذ ہونے والے نظام میں تبدیل ہو گیا، اور ملک کے ڈیٹا ریگولیٹر — سعودی ڈیٹا اینڈ AI اتھارٹی (SDAIA) — نے اس وقت کو امپلیمنٹنگ ریگولیشنز، کراس بارڈر ٹرانسفر کے اصول، اور فیس سے مالی امداد یافتہ کمپلائنس آڈٹ پروگرام شائع کرنے میں صرف کیا جو اب قابل پیمائش سعودی ٹریفک والے ہر پبلشر تک پہنچتا ہے۔ موبائل گیم اسٹوڈیوز، اشتہار سے مالی امداد یافتہ نیوز سائٹس، ای کامرس آپریٹرز، اور کسی بھی پلیٹ فارم کے لیے جن کے صارفین میں مملکت کے رہائشی شامل ہیں، PDPL اب ایک کاغذی ضرورت نہیں رہا جو کمپلائنس فائل میں GDPR کے ساتھ رکھی ہو۔ یہ حقیقی جرمانوں، حقیقی آڈٹ خطوط، اور حقیقی کنسینٹ موڈ کنیکشن کے ساتھ ایک آپریشنل ذمہ داری ہے جسے آپ کے CMP میں شامل کرنا ضروری ہے۔ یہ گائیڈ پبلشرز کو بتاتا ہے کہ PDPL 2026 میں دراصل کیا مطالبہ کرتا ہے، کوکی کنسینٹ SDAIA کے فریم ورک پر کیسے میپ ہوتی ہے، کراس بارڈر اصولوں کا AdSense اور پروگراماتی اشتہارات کے لیے کیا مطلب ہے، اور نئے سنکشن رجیم کو متحرک کیے بغیر KSA ٹریفک کو منیٹائزیبل رکھنے کے عملی اقدامات کیا ہیں۔
PDPL دراصل کیا ہے
PDPL سعودی عرب کا پہلا جامع پرائیویسی قانون ہے۔ اسے 2021 میں شاہی فرمان M/19 کے ذریعے جاری کیا گیا، مارچ 2023 میں GDPR اور اسی طرح کے نظاموں کی طرف سے قائم کردہ عالمی معیار کے ساتھ قریب سے ہم آہنگ کرنے کے لیے ترمیم کی گئی، اور ایک سال کی گریس پیریڈ کے بعد 14 ستمبر 2024 کو مکمل طور پر نافذ ہوا۔ یہ قانون ایک وسیع سعودی ڈیٹا گورننس اسٹیک کے اندر ہے جس میں قومی ڈیٹا گورننس عبوری ریگولیشنز، کلاؤڈ کمپیوٹنگ ریگولیٹری فریم ورک، اور SDAIA کے معلومات تک رسائی کے اصول شامل ہیں — لیکن پبلشرز کے لیے، PDPL وہ حصہ ہے جو کوکیز، اشتہار ٹریکنگ، تجزیات، اور کسی ویب سائٹ یا ایپ سے منسلک کسی بھی دیگر ذاتی ڈیٹا پروسیسنگ کو کنٹرول کرتا ہے۔
امپلیمنٹنگ ریگولیشنز
PDPL مختصر ہے۔ تفصیل SDAIA کے ستمبر 2023 میں شائع کردہ اور 2024 اور 2025 کے دوران بہتر کیے گئے دو امپلیمنٹنگ ریگولیشنز میں موجود ہے: امپلیمنٹنگ ریگولیشنز (عام) اور ذاتی ڈیٹا ٹرانسفر ریگولیشنز (کراس بارڈر)۔ مل کر یہ پبلشرز کو کنسینٹ کوالٹی، برقراری، خلاف ورزی کی اطلاع کی مدت، اور سعودی رہائشیوں کا ڈیٹا مملکت سے باہر بھیجنے کی شرائط پر ٹھوس جوابات فراہم کرتے ہیں۔ جو شخص ابھی بھی صرف 2021 کے متن سے کام کر رہا ہے وہ ایک پرانا نقشہ پڑھ رہا ہے۔
انفورسمنٹ ٹائم لائن جو پبلشرز کو جاننی چاہیے
SDAIA نے تنظیموں کو 14 ستمبر 2024 تک مکمل کمپلائنس حاصل کرنے کا وقت دیا۔ آڈٹ خطوط کی پہلی لہر 2024 کے آخر میں مالیات، ٹیلی کمیونیکیشن، اور سرکاری خدمات میں بڑے کنٹرولرز کو بھیجی گئی۔ 2025 کے دوران آڈٹ پروگرام اشتہار سے مالی امداد یافتہ میڈیا، ای کامرس، اور کسی بھی پلیٹ فارم کو شامل کرنے کے لیے وسیع ہوا جو سعودی رہائشیوں کے ایک مقررہ حجم سے زیادہ ڈیٹا پروسیس کرتا ہے۔ 2026 تک SDAIA نے اشارہ دیا ہے کہ چھوٹے اور درمیانے درجے کے پبلشرز اب دائرہ کار میں ہیں — خاص طور پر کوئی بھی آپریٹر جس کا عربی زبان میں مواد یا اشتہار خرچ ایک ارادی سعودی سامعین کی نشاندہی کرتا ہو۔
SDAIA کسے ڈیٹا کنٹرولر سمجھتا ہے
PDPL ملک سے باہر بھی لاگو ہوتا ہے۔ قانون کے تحت کنٹرولر بننے کے لیے آپ کو سعودی ادارے، سعودی سرور، یا سعودی بینک اکاؤنٹ کی ضرورت نہیں۔ اگر آپ کی سائٹ یا ایپ مملکت میں رہنے والے افراد کے ذاتی ڈیٹا کو پروسیس کرتی ہے، تو آپ دائرہ کار میں ہیں۔ پبلشرز کے لیے یہ کنکشن معمول کے اشتہار ٹیک ڈیٹا فلو سے متحرک ہوتا ہے: IP ایڈریس، ڈیوائس ID، ہیشڈ ای میلز، رویے کی کوکیز، اور پروگراماتی نیلامیوں سے گزرنے والے صارف شناخت کنندگان سبھی ذاتی ڈیٹا شمار ہوتے ہیں جب وہ کسی سعودی رہائشی سے منسلک ہوں۔
مقامی نمائندے کی ضرورت
مملکت میں موجودگی کے بغیر غیر ملکی کنٹرولرز کو SDAIA کے ساتھ رجسٹرڈ ایک مقامی نمائندہ مقرر کرنا ہوگا۔ نمائندہ ڈیٹا سبجیکٹ کی درخواستوں اور ریگولیٹر کے ساتھ خط و کتابت کے لیے ایک قانونی رابطہ نقطہ ہے۔ چھوٹے پبلشرز اکثر مقامی طور پر رجسٹر ہونے کے بجائے پرائیویسی سروسز فرم کے ذریعے اسے ہینڈل کرتے ہیں — لیکن جب آپ باقاعدہ سعودی پروسیسنگ کی حد کو عبور کریں تو تقرری لازمی ہے۔
ایڈ ٹیک کے لیے جوائنٹ کنٹرولر کے منظرنامے
سپلائی چین جو پروگراماتی ایڈ سلاٹ کو منیٹائز کرتی ہے — آپ کا CMP، آپ کا ایڈ سرور، جن SSP کو آپ کال کرتے ہیں، بولی لگانے والے DSP، تصدیقی وینڈرز، اور پیمائش کے شراکت دار — PDPL کے تحت مشترکہ اور فردی کنٹرولر تعلقات بناتی ہے جیسا کہ GDPR کے تحت ہوتا ہے۔ پبلشرز PDPL ذمہ داری کو کسی وینڈر پر منتقل نہیں کر سکتے۔ SDAIA توقع کرتا ہے کہ پبلشر یہ ظاہر کرے کہ ہر ڈاؤن اسٹریم پارٹنر کی اپنی قانونی بنیاد اور معاہداتی وعدے ہیں جو کنسینٹ بینر پر پبلشر کے وعدوں سے مطابقت رکھتے ہیں۔
امپلیمنٹنگ ریگولیشنز کے تحت کوکی کنسینٹ
PDPL کنسینٹ کو ذاتی ڈیٹا پروسیس کرنے کی ایک قانونی بنیاد کے طور پر تسلیم کرتا ہے، اور امپلیمنٹنگ ریگولیشنز وضاحت کرتے ہیں کہ درست کنسینٹ کیسی نظر آتی ہے۔ معیار اونچا ہے — CCPA سے زیادہ GDPR کے قریب — اور اس میں کوکیز، پکسلز، SDK، فنگرپرنٹنگ، اور کوئی بھی دیگر ٹریکنگ ٹیکنالوجی شامل ہے جو صارف کے آلے پر ڈیٹا پڑھتی یا لکھتی ہے۔
درست کنسینٹ کیا شمار ہوتی ہے
کنسینٹ آزادانہ طور پر دی گئی، مخصوص، باخبر، اور واضح ہونی چاہیے۔ پہلے سے ٹک کیے گئے خانے، کوکی وال جو مواد کو بلاک کرتی ہے جب تک کہ صارف قبول نہ کرے، اور مبہم "براؤزنگ جاری رکھنے سے آپ کی رضامندی مانی جاتی ہے" نوٹسز سب معیار پر پوری نہیں اترتیں۔ صارف کو ایک غیر مبہم تصدیقی عمل کرنا ہوگا — عام طور پر قبول بٹن پر کلک — اور وہ عمل پروسیسنگ کے مقاصد کی واضح وضاحت سے منسلک ہونا چاہیے۔ بنڈلڈ کنسینٹ جو تجزیات، اشتہارات، اور ذاتی نوعیت کو ایک ہاں یا نہ میں یکجا کرتی ہے واضح طور پر ممنوع ہے۔
تفصیلی مقصد کی کیٹیگریز
SDAIA کی رہنمائی ان مقصد کی کیٹیگریز کی فہرست دیتی ہے جو پبلشر CMP کو ظاہر کرنا چاہیے: سختی سے ضروری، فنکشنل، تجزیاتی، اشتہاری، ذاتی نوعیت، اور کوئی بھی حساس ڈیٹا پروسیسنگ جیسے صحت یا بایومیٹرک مستنتجات۔ ہر کیٹیگری کو اپنا ٹوگل، اپنی مقصد کی وضاحت، اور اپنی وینڈر فہرست چاہیے۔ IAB Europe TCF v2.3 فریم ورک، جسے عربی میں PDPL مخصوص متن کے ساتھ مناسب طریقے سے بڑھایا گیا ہو، وہ سب سے عام راستہ ہے جو پبلشرز تفصیل کی ضرورت پوری کرنے کے لیے استعمال کرتے ہیں۔
واپسی اور دوبارہ کنسینٹ
کنسینٹ واپس لینے کا حق اتنا ہی آسان ہونا چاہیے جتنا کہ اسے دینے کا حق۔ ایک فلوٹنگ کنسینٹ ترجیحات آئیکن، فوٹر لنک، یا ان ایپ سیٹنگز پینل سب اہل ہیں؛ کوئی چھپا ہوا صرف ای میل آپٹ آؤٹ اہل نہیں ہے۔ پبلشرز کو مادی تبدیلیوں پر وقتاً فوقتاً دوبارہ کنسینٹ کی منصوبہ بندی کرنی چاہیے — ایک نیا اشتہاری شراکت دار، ایک نیا کوکی مقصد، ایک نیا SDK — اور SDAIA توقع کرتا ہے کہ CMP آڈٹ لاگ ہر دوبارہ کنسینٹ ایونٹ کو ٹائم اسٹیمپ کے ساتھ ریکارڈ کرے۔
کراس بارڈر ٹرانسفرز اور ڈیٹا لوکلائزیشن
ذاتی ڈیٹا ٹرانسفر ریگولیشنز PDPL کا وہ حصہ ہے جس سے پبلشرز کو سب سے زیادہ پریشانی ہو سکتی ہے، کیونکہ جب کسی سعودی صارف کا IP ایڈریس پروگراماتی نیلامی میں داخل ہوتا ہے تو اسے مؤثر طریقے سے جہاں SSP اور DSP کام کرتے ہیں وہاں منتقل کر دیا جاتا ہے۔ SDAIA اسے آزاد بہاؤ کے طور پر نہیں سمجھتا۔
اڈیکوایسی فہرست اور معیاری معاہدے
کنٹرولر تین بنیادی طریقہ کار میں سے ایک کے تحت مملکت سے باہر ذاتی ڈیٹا منتقل کر سکتا ہے: منزل کے ملک کے لیے SDAIA سے منظور شدہ اڈیکوایسی فیصلہ، SDAIA سے منظور شدہ معیاری معاہدہ، یا گروپ کے اندر ٹرانسفرز کے لیے پابند کارپوریٹ اصولوں کا سیٹ۔ 2026 تک اڈیکوایسی فہرست میں تھوڑے سے GCC پڑوسی اور کچھ یورپی دائرہ اختیار شامل ہیں، لیکن زیادہ تر اشتہار ٹیک مقامات — بشمول امریکہ — اس سے باہر ہیں اور یا تو معیاری معاہدے یا استثنیٰ کی ضرورت ہے۔
ڈیٹا ٹرانسفر امپیکٹ اسیسمنٹ
اعلی خطرے والی منتقلیوں کے لیے SDAIA ٹرانسفر شروع ہونے سے پہلے ایک دستاویزی ڈیٹا ٹرانسفر امپیکٹ اسیسمنٹ (DTIA) کی ضرورت ہے۔ یہ Schrems II کے بعد EU کے ٹرانسفر امپیکٹ اسیسمنٹ کا سعودی ہم منصب ہے۔ پبلشرز کو اپنے CMP اور اشتہار ٹیک وینڈرز کے ساتھ مل کر ٹیمپلیٹ DTIA اکٹھی کرنی چاہیے جو بار بار ہونے والے پروگراماتی فلوز کو کور کریں، اور جب بھی کوئی وینڈر پروسیسنگ مقامات تبدیل کرے انہیں اپ ڈیٹ کریں۔
پبلشرز کے لیے عملی کمپلائنس اقدامات
PDPL پروگرام پانچ آپریشنل کاموں میں تقسیم ہوتا ہے جو پبلشر کے موجودہ CMP اور اشتہاری اسٹیک پر صاف طریقے سے میپ ہوتے ہیں۔ ان میں سے کوئی بھی ان لوگوں کے لیے انجان نہیں جنہوں نے پہلے ہی GDPR یا LGPD کمپلائنس نافذ کی ہے — فرق سعودی متن کی تفصیل اور مخصوص ٹرانسفر قوانین میں ہے۔
CMP کنفیگریشن چیک لسٹ
تصدیق کریں کہ آپ کا کنسینٹ بینر KSA وزیٹرز کے لیے عربی میں اور باقی سب کے لیے انگریزی میں ظاہر ہوتا ہے، کہ مقصد کی کیٹیگریز مکمل طور پر تفصیلی ہیں، کہ سب کو مسترد کریں کا راستہ ایک کلک کا ہے اور بصری طور پر سب کو قبول کریں کے برابر ہے، اور کہ کنسینٹ اسٹرنگ Google Consent Mode v2 یا آپ کے TCF انٹیگریشن کے ذریعے ڈاؤن اسٹریم بہتی ہے۔ یقینی بنائیں کہ آپ کا CMP ایک ٹائم اسٹیمپ، پالیسی ورژن، اور صارف شناخت کنندہ کے ساتھ ایک PDPL مخصوص کنسینٹ رسید ریکارڈ کرتا ہے تاکہ آڈٹ جوابات دنوں کے بجائے منٹوں میں مرتب کیے جا سکیں۔
کنسینٹ لاگز اور آڈٹ ٹریل
SDAIA کی آڈٹ ٹیمیں ایک مانوس شکل میں کنسینٹ ثبوت مانگتی ہیں: کس نے کنسینٹ دی، کسی چیز کے لیے، کب، کس بینر ورژن کے ساتھ، اور کنسینٹ کے وقت انہیں کیا بتایا گیا۔ ان لاگز کو کم از کم دو سال کے لیے برقرار رکھنے کی منصوبہ بندی کریں اور انہیں اس طریقے سے ذخیرہ کریں جو CMP وینڈر تبدیلیوں سے بچ سکے — کنٹرولر کے ملکیتی ڈیٹا ویئر ہاؤس میں ایکسپورٹ کرنا سب سے صاف پیٹرن ہے۔
ڈیٹا سبجیکٹ رائٹس ورک فلو
PDPL تیس دن کی جواب کی مدت کے ساتھ رسائی، اصلاح، حذف، اور پورٹیبلٹی کے حقوق دیتا ہے۔ ایک واحد privacy@ ان باکس اور کوئی ٹکٹنگ ورک فلو نہ ہونے والا پبلشر ڈیڈ لائن کو اتنی بار چھوڑ دے گا جتنی بار پوری کرے گا۔ ایک دستاویزی انٹیک سے لے کر ردعمل تک کا عمل قائم کریں، ایک نامزد مالک کو تربیت دیں، اور ورک فلو کو اپنے CMP اور اشتہاری سرور کنسینٹ ریکارڈز کے ساتھ یکجا کریں تاکہ حذف کی درخواستیں ڈاؤن اسٹریم پھیل سکیں۔
حاصل کلام
2026 میں سعودی عرب کا PDPL کوئی نرم نظام نہیں ہے جسے پبلشرز GDPR اور CCPA کے پیچھے ترجیح کم کر سکیں۔ SDAIA کے پاس اسے نافذ کرنے کے لیے فنڈنگ، آڈٹ صلاحیت، اور سیاسی حمایت ہے، اور خاص طور پر کراس بارڈر ٹرانسفر کے قوانین عالمی اشتہار ٹیک سپلائی چین کے ساتھ حقیقی رگڑ پیدا کرتے ہیں جس کے ارد گرد پبلشرز کو انجینئرنگ کرنی ہے۔ اچھی خبر یہ ہے کہ PDPL GDPR سے کافی ادھار لیتا ہے کہ پختہ یورپی کمپلائنس پوزیشن والا پبلشر زیادہ تر راستے پر ہے۔ اپنے کنسینٹ بینر کو عربی میں لوکلائز کریں، اپنی موجودہ TCF سیٹ اپ کے اوپر PDPL مخصوص مقصد کا متن شامل کریں، اپنے ٹرانسفر میکانزم کی دستاویز کریں، اگر آپ کی سعودی ٹریفک اس کا تقاضا کرتی ہے تو مقامی نمائندہ مقرر کریں، اور آپ کے KSA سامعین منیٹائزیبل رہتے ہیں جبکہ وہ آپریٹرز جنہوں نے PDPL کو ایک کاغذی مشق کے طور پر لہرایا 2026 آڈٹ خطوط پڑھتے ہوئے گزاریں گے۔