Дапаможнік па адпаведнасці згодзе на cookie ў рамках Закона Егіпта аб ахове персанальных даных № 151 ад 2020 года: сцэнарый 2026 года для выдаўцоў
Закон Егіпта аб ахове персанальных даных № 151 ад 2020 года — звычайна называны егіпецкім PDPL — быў выдадзены 15 ліпеня 2020 года і ўступіў у сілу 14 кастрычніка 2020 года. На працягу большай часткі перыяду з тых часоў адсутнасць выканаўчых правіл азначала, што Закон стаяў як заява прынцыпаў, а не як забяспечваемы правам рэжым. Гэта змянілася, калі Цэнтр аховы персанальных даных — рэгулятар, заснаваны па Законе, прымацаваны да Міністэрства сувязі і інфармацыйных тэхналогій — апублікаваў сваю аперацыйную сістэму, патрабаванні да ліцэнзіравання і выканаўчыя правілы, якія Закон пакінуў для выдання. Да 2026 года рэжым цалкам аперацыйны, трэк ліцэнзіравання для кантралёраў і апрацоўшчыкаў даных актыўны, і выдаўцы, якія працуюць у Егіпце або нацэленыя на яго, падпарадкоўваюцца ўнутранаму стандарту згоды, які бліжэй да GDPR, чым да любой больш старой рэгіянальнай мадэлі. Следства для згоды на cookie прамое: баннер, які працаваў у Егіпце па састарэлым рэжыме, цяпер недастатковы, а баннер, які задавальняе GDPR, задаволіць PDPL толькі калі інтэграцыя ўлічвае кропкі, дзе дзве сістэмы разыходзяцца.
Што фактычна патрабуе егіпецкі PDPL
Закон прымяняецца да апрацоўкі персанальных даных егіпецкіх рэзідэнтаў незалежна ад таго, дзе заснаваны кантралёр або апрацоўшчык, і да кантралёраў і апрацоўшчыкаў, заснаваных у Егіпце, незалежна ад таго, дзе знаходзяцца суб'екты даных. Гэты экстэрытарыяльны ахоп люстэркава адлюстроўвае GDPR Артыкул 3 і азначае, што выдавец са штаб-кватэрай за межамі Егіпта, але з егіпецкімі чытачамі, усталёўкамі прыкладанняў або плацячымі кліентамі, цвёрда знаходзіцца ў сферы дзеяння. Персанальныя даныя вызначаны шырока як любыя даныя, якія адносяцца да ідэнтыфікаванай або ідэнтыфікуемай фізічнай асобы, з адчувальнымі персанальнымі данымі — уключаючы даныя пра здароўе, біяметрычныя, генетычныя, псіхічным здароўі, фінансавыя, рэлігійных перакананнях, палітычных поглядах і судзімасцях — якія падлягаюць больш высокаму парогу згоды і дадатковым гарантыям.
Закон усталёўвае прававыя падставы для апрацоўкі, стандартны набор правоў суб'екта даных — доступ, выпраўленне, сціранне, абмежаванне, пярэчанне і пераноснасць — сістэму падсправаздачнасці кантралёр-апрацоўшчык, абавязкі па паведамленні аб парушэннях, кантроль трансгранічнай перадачы і рэжым адміністрацыйных пакаранняў са штрафамі ад 100 000 EGP за дробныя парушэнні да 5 мільёнаў EGP за сур'ёзныя або паўторныя парушэнні. Крымінальныя санкцыі прымяняюцца да найбольш сур'ёзных катэгорый, уключаючы неліцэнзаваную трансгранічную перадачу і апрацоўку адчувальных даных без дазволу.
Як PDPL трактуе згоду на cookie канкрэтна
У адрозненне ад Дырэктывы ЕС ePrivacy, PDPL не змяшчае асобнага палажэння аб cookie. Cookie і аналагічныя тэхналогіі захоўвання-і-доступу трапляюць у агульную сістэму згоды: любая апрацоўка персанальных даных, якая спадзяецца на згоду як сваю прававую падставу, павінна атрымлівацца на аснове відавочнага, добраахвотнага, канкрэтнага і задакументаванага выражэння згоды ад суб'екта даных. Цэнтр аховы персанальных даных у сваім кіраўніцтве, выдадзеным падчас паэтапнага пачатку дзеяння правіл, пацвердзіў, што папярэдне адзначаныя сцяжкі, няяўная згода, выводзімая з працягваючагася прагляду, і аб'яднаныя баннеры згоды не задавальняюць стандарту Закона. Гэта цвёрда прыводзіць Егіпет у адпаведнасць з глабальнай траекторыяй і азначае, што практычная пазіцыя, якую выдаўцы ўжо падтрымліваюць для ЕЭЗ, з'яўляецца правільнай адпраўной кропкай для егіпецкага трафіку.
Практычны эфект у тым, што cookie і любыя аналагічныя тэхналогіі, якія не з'яўляюцца строга неабходнымі для прадастаўлення паслугі, не павінны ўсталёўвацца да таго, як карыстальнік актыўна даў згоду. Строга неабходныя cookie — ідэнтыфікатары сесіі, змесціва кошыка, токены бяспекі, cookie балансоўкі нагрузкі — могуць усталёўвацца без згоды на падставе таго, што карыстальнік актыўна запытаў паслугу. Усё астатняе — аналітыка, рэклама, персаналізацыя, A/B-тэставанне, прайграванне сесіі і любы старонні тэг — патрабуе папярэдняй згоды.
Як PDPL разыходзіцца з GDPR на практыцы
Тры адрозненні маюць значэнне на ўзроўні інтэграцыі. Па-першае, PDPL патрабуе, каб згода на апрацоўку адчувальных персанальных даных атрымлівалася ў пісьмовай форме або праз задакументаваны электронны эквівалент, які кантралёр можа прадаставіць па патрабаванні — больш высокі доказны стандарт, чым патрабаванне відавочнай згоды GDPR. Па-другое, PDPL налагае рэжым ліцэнзіравання: кантралёры і апрацоўшчыкі павінны рэгістравацца ў Цэнтры аховы персанальных даных, а пэўныя катэгорыі апрацоўкі — уключаючы трансгранічную перадачу і прамы маркетынг — патрабуюць асобнай аперацыйнай ліцэнзіі. Па-трэцяе, правілы трансгранічнай перадачы PDPL патрабуюць альбо абазначэння адэкватнасці Цэнтрам, альбо адобранай дагаворнай гарантыі, альбо відавочнай згоды ад суб'екта даных; перадачы ў юрысдыкцыі без абазначэнняў або гарантый абмежаваны незалежна ад уласнай пазіцыі адпаведнасці атрымальніка.
Як выглядае адпаведны cookie-баннер па PDPL
Тэхнічныя патрабаванні сыходзяцца з тым, што ўжо вырабляе кожны сучасны CMP, але маркіроўка, дакументацыя і лог згоды павінны адлюстроўваць егіпецкія асаблівасці. Баннер першага ўзроўню павінен прадставіць карыстальніку рэальны выбар — прыняць, адхіліць, кіраваць — дзе опцыя адхілення прынамсі такая ж прыкметная, як опцыя прыняцця. Аб'яднаная згода забаронена, таму другі ўзровень павінен дазваляць опт-ін па катэгорыях, пакрываючы як мінімум аналітыку, рэкламу і любую апрацоўку, залежную ад трансгранічнай перадачы. Катэгорыі павінны па змаўчанні быць выключаны; баннер не павінен загружаць тэгі, пакуль карыстальнік не актыўна іх не ўключыў.
Паведамленне аб канфідэнцыяльнасці, выводзімае з баннера, павінна ідэнтыфікаваць кантралёра, нумар ліцэнзіі PDPL кантралёра, калі прымяняльна, катэгорыі збіраемых персанальных даных, прававую падставу для кожнай мэты апрацоўкі, перыяд захоўвання даных, катэгорыі атрымальнікаў, уключаючы любых субапрацоўшчыкаў, размешчаных за межамі Егіпта, правы суб'екта даных па Законе і кантактныя даныя Цэнтра аховы персанальных даных для скаргаў. Паведамленне, якое адпавядае стандарту Артыкула 13 GDPR, істотна перакрые, але радкі егіпецкай ліцэнзіі і кантакту Цэнтра павінны быць дададзены відавочна.
Шаблон інтэграцыі, які праходзіць праверку Цэнтра аховы персанальных даных
Эталонная рэалізацыя мае чатыры рухомыя часткі. Першая — гэта CMP, якая падтрымлівае опт-ін па катэгорыях з выключэннем па змаўчанні і прадастаўляе выбар карыстальніка праз структураваны радок згоды, які выдавец можа захаваць. Другая — гэта ўзровень загрузкі тэгаў — серверны менеджар тэгаў або CMP-натыўны шлюз — які строга забяспечвае стан згоды да ўсталёўкі любога неасноўнага cookie. Трэцяя — гэта лог згоды, які захоўваецца на серверы, які запісвае для кожнай падзеі згоды выбар карыстальніка па катэгорыях, часавую метку, версію баннера і ўсечаны або хэшаваны ідэнтыфікатар IP, такі што кантралёр можа прадаставіць запіс па запыце Цэнтра. Чацвёртая — гэта шлях адклікання, прынамсі такі ж лёгкі, як першапачатковае прадастаўленне — звычайна пастаянная спасылка паўторнага адкрыцця баннера ў ніжнім калонтытуле.
- Аналітычныя тэгі — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — павінны загружацца толькі пасля прадастаўлення аналітычнай катэгорыі. Кожная платформа падтрымлівае канфігурацыю з кантролем згоды, якая прадухіляе любы запіс cookie да пераключэння шлюза.
- Рэкламныя тэгі — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, праграматык header bidders — павінны быць аналагічна закрыты, і там, дзе рэкламны партнёр перадае даныя за межы Егіпта, юрысдыкцыя атрымальніка павінна з'явіцца ў паведамленні аб канфідэнцыяльнасці. Агульнае раскрыццё апрацоўваецца глабальнымі пастаўшчыкамі паслуг недастаткова па кіраўніцтве Цэнтра.
- Інструменты прайгравання сесіі і цеплавых карт — Hotjar, Microsoft Clarity, FullStory — павінны знаходзіцца за асобным, больш строгім шлюзам, таму што Цэнтр пагадзіўся з меркаваннем EDPB аб тым, што рэндэрынг палёў уводу патрабуе відавочнай і гранулярнай згоды.
- Раскрыцці трансгранічнай перадачы павінны быць спецыфічнымі для кожнай юрысдыкцыі атрымальніка і спасылацца на прававую падставу для перадачы — адобраную дагаворную гарантыю, абазначэнне адэкватнасці або відавочную згоду суб'екта даных.
Валідацыя, ліцэнзіраванне і пазіцыя аўдыту для 2026 года
Абараняльнае егіпецкае разгортванне ў 2026 годзе павінна прайсці чатыры тэхнічныя праверкі. Па-першае, чыстая сесія браўзера, якая абслугоўваецца з егіпецкага IP-адрасу, павінна вырабляць нуль неасноўных cookie да таго, як баннер быў задзейнічаны. Па-другое, шлях адхілення-усяго павінен прывесці да той жа пазіцыі, што і сесія без дзеяння — няма аналітычных тэгаў, няма рэкламных тэгаў, няма скрыптаў прайгравання сесіі. Па-трэцяе, паток прыняцця-усяго павінен вырабляць толькі тэгі, на якія карыстальнік даў згоду, і лог згоды павінен змяшчаць адпаведны запіс. Па-чацвёртае, паток адклікання павінен неадкладна спыніць далейшыя спрацоўванні тэгаў, скончыць cookie, усталяваныя падчас узгодненай сесіі, і запусціць любыя наступныя сігналы выдалення або опт-аўту, якія патрабуюць партнёры-атрымальнікі.
Акрамя тэхнічных праверак, пазіцыя ліцэнзіравання і аўдыту — гэта тое, што робіць разгортванне абараняльным. Кантралёры, якія апрацоўваюць персанальныя даныя егіпецкіх рэзідэнтаў вышэй парогаў, усталяваных выканаўчымі правіламі, павінны быць зарэгістраваны ў Цэнтры аховы персанальных даных, і запіс рэгістрацыі — разам з логам згоды, паведамленнем аб канфідэнцыяльнасці, вынікамі ацэнкі ўздзеяння на ахову даных для апрацоўкі павышанай рызыкі і любымі дазволамі на трансгранічную перадачу — фарміруе дакументацыю, якую Цэнтр можа запытаць падчас праверкі адпаведнасці. Правільна наладжаная CMP з серверным логам, узроўнем загрузкі тэгаў, які забяспечвае стан згоды, паведамленнем аб канфідэнцыяльнасці, якое называе кожны напрамак трансгранічнай перадачы, і ліцэнзійнымі дакументамі ў файле — гэта тое, што ператварае егіпецкі PDPL з рэгулятарнай невядомасці ў абараняльную частку пазіцыі згоды выдаўца ў рэгіёне MENA.