Egiptuse isikuandmete kaitse seadus 151 (2020) – küpsiste nõusoleku vastavusjuhend: kirjastajate 2026. aasta käsiraamat

Egiptuse isikuandmete kaitse seadus nr 151 (2020) – mida tavaliselt nimetatakse Egiptuse PDPL-iks – avaldati 15. juulil 2020 ja jõustus 14. oktoobril 2020. Suurema osa sellest perioodist tähendas täidesaatvate määruste puudumine, et seadus jäi pigem põhimõtete deklaratsiooniks kui rakendatavaks režiimiks. See muutus, kui isikuandmete kaitse keskus – seaduse alusel loodud regulaator, mis on seotud kommunikatsiooni- ja infotehnoloogiaministeeriumiga – avaldas oma tegevusraamistiku, litsentseerimise nõuded ja täidesaatvad määrused, mille seadus oli jätnud hilisemaks väljastamiseks. 2026. aastaks on režiim täielikult toimiv, andmetöötlejate ja -volitajate litsentseerimistee on aktiivne ning Egiptuses tegutsevad või Egiptusse suunatud kirjastajad peavad järgima kohalikku nõusolekustandardit, mis on GDPR-ile lähemal kui ükski varasem piirkondlik mudel. Küpsiste nõusoleku jaoks on see vahetu mõju: bänner, mis töötas Egiptuses vana režiimi alusel, ei ole enam piisav, ja GDPR-i rahuldav bänner rahuldab PDPL-i ainult siis, kui integreerimisel arvestatakse kohtadega, kus kaks raamistikku erinevad.

Mida Egiptuse PDPL tegelikult nõuab

Seadus kehtib Egiptuse elanike isikuandmete töötlemisele sõltumata sellest, kus töötleja või volitaja asub, ning Egiptuses asuvatele vastutavatele ja volitavatele töötlejatele sõltumata sellest, kus andmesubjektid asuvad. See territooriumiväline ulatus peegeldab GDPR-i artiklit 3 ja tähendab, et väljaspool Egiptusse asukohaga kirjastaja, kellel on Egiptuse lugejad, rakenduste installimine või maksavad kliendid, on kindlalt selle kohaldamisalas. Isikuandmed on laialdaselt määratletud kui kõik andmed tuvastatud või tuvastatava füüsilise isiku kohta; tundlikud isikuandmed – sh tervise-, biomeetrilised, geneetilised, vaimse tervise, rahalised, usuliste veendumuste, poliitiliste arvamuste ja kriminaalkaristustega seotud andmed – on allutatud kõrgemale nõusolekulävele ja lisameetmetele.

Seadus kehtestab töötlemiseks seaduslikud alused, andmesubjektide standardõigused – juurdepääs, parandamine, kustutamine, piiramine, vastuväide ja ülekandmine –, vastutava töötleja-volitaja vastutuse raamistiku, rikkumisest teatamise kohustused, piiriülese andmeedastuse kontrollid ning haldustrahvide süsteemi, kus trahvid ulatuvad väiksemate rikkumiste eest 100 000 EGP-st kuni 5 miljoni EGP-ni tõsisemate või korduvate rikkumiste eest. Kriminaalsanktsioonid kehtivad kõige tõsisemate kategooriate puhul, sh litsentseerimata piiriülene andmeedastus ja tundlike andmete töötlemine ilma loata.

Kuidas PDPL kohtleb küpsiste nõusolekut konkreetselt

Erinevalt EL-i ePrivacy direktiivist ei sisalda PDPL küpsiste kohta eraldi sätet. Küpsised ja analoogsed salvestamis- ja juurdepääsutehnoloogiad kuuluvad üldise nõusoleku raamistiku alla: igasugune isikuandmete töötlemine, mis tugineb nõusolekule kui seaduslikule alusele, peab põhinema andmesubjekti selgesõnalisel, vabatahtlikul, spetsiifilisel ja dokumenteeritud nõusolekuavaldusel. Isikuandmete kaitse keskus on oma juhistes, mis avaldati määruste järkjärgulise jõustumise käigus, kinnitanud, et eelnevalt märgitud ruudud, sirvimise jätkamisest järeldatav kaudne nõusolek ja koondnõusoleku bännerid ei vasta seaduse standardile. See viib Egiptuse kindlalt globaalse arengu joone peale ja tähendab, et kirjastajate praktiline hoiak, mida nad juba EEA liikluse jaoks rakendavad, on Egiptuse liikluse jaoks õige lähtepunkt.

Praktiline mõju on see, et küpsiseid ja kõiki analoogseid tehnoloogiaid, mis ei ole hädavajalikud teenuse osutamiseks, ei tohi seada enne, kui kasutaja on aktiivselt nõustunud. Hädavajalikke küpsiseid – seansiidentifikaatorid, ostukorvi sisu, turvatunnused, koormuse tasakaalustamise küpsised – saab seada ilma nõusolekuta, kuna kasutaja on teenust aktiivselt taotlenud. Kõik muu – analüütika, reklaam, isikupärastamine, A/B testimine, seansiredaktsioon ja iga kolmanda osapoole silt – nõuab eelnevat nõusolekut.

Kuidas PDPL erineb GDPR-ist praktikas

Integreerimiskihil on oluline kolm erinevust. Esiteks nõuab PDPL, et nõusolek tundlike isikuandmete töötlemiseks saadaks kirjalikult või dokumenteeritud elektroonilise ekvivalendi kaudu, mida töötleja saab taotlusel esitada – see on kõrgem tõendamisstandard kui GDPR-i selgesõnaline nõusolek. Teiseks kehtestab PDPL litsentseerimisrežiimi: töötlejad ja volitajad peavad registreeruma isikuandmete kaitse keskuses, ning teatavad töötlemise kategooriad – sh piiriülene andmeedastus ja otseturundus – nõuavad eraldi tegevuslitsentsi. Kolmandaks nõuavad PDPL-i piiriülese andmeedastuse reeglid kas keskuse piisavuse tunnustamist, heakskiidetud lepingulist kaitsemeedet või andmesubjekti selgesõnalist nõusolekut; ülekanded jurisdiktsioonidesse, millel puuduvad tunnustused või kaitsemeetmed, on piiratud sõltumata saaja enda vastavuspositsioonist.

Milline näeb välja PDPL-i nõuetele vastav küpsisebänner

Tehnilised nõuded ühtivad sellega, mida iga kaasaegne CMP juba toodab, kuid sildistamine, dokumentatsioon ja nõusoleku logi peavad kajastama Egiptuse erisusi. Esimese kihi bänner peab esitama kasutajale reaalse valiku – nõustu, keeldu, halda –, kus keeldumisvalik on vähemalt sama silmapaistev kui nõustumisvalik. Koondnõusolek on keelatud, seega peab teine kiht võimaldama kategooriapõhist nõusolekut, mis katab vähemalt analüütika, reklaami ja igasuguse piiriülese andmeedastusest sõltuva töötlemise. Kategooriad peavad vaikimisi olema väljas; bänner ei tohi laadida silte enne, kui kasutaja on need aktiivselt sisse lülitanud.

Bännerist avanev privaatsusteade peab tuvastama töötleja, töötleja PDPL litsentseerimise numbri (kui kohaldatav), kogutavate isikuandmete kategooriad, iga töötlemise eesmärgi seadusliku aluse, andmete säilitamise perioodi, vastuvõtjate kategooriad sh Egiptusest väljaspool asuvad alamtöötlejad, andmesubjekti õigused seaduse alusel ning isikuandmete kaitse keskuse kontaktandmed kaebuste esitamiseks. Teade, mis vastab GDPR-i artikli 13 standardile, kattub suuresti, kuid Egiptuse litsentseerimise ja keskuse kontaktandmete read tuleb lisada selgesõnaliselt.

Integratsioonimuster, mis läbib isikuandmete kaitse keskuse kontrolli

Võrdlusrakenduses on neli liikuvat osa. Esimene on CMP, mis toetab kategooriate kaupa vaikimisi väljas nõusolekut ja esitab kasutaja valiku struktureeritud nõusolekustringina, mida kirjastaja saab salvestada. Teine on sildilaadimise kiht – serveripoolne sildihaldur või CMP-omane värav –, mis rakendab rangelt nõusoleku olekut enne mis tahes mitteolulise küpsise seadmist. Kolmas on serveripoolselt salvestatud nõusoleku logi, mis registreerib iga nõusolekusündmuse kohta kasutaja valiku kategooria järgi, ajatempli, bänneri versiooni ning lühendatud või räsistatud IP-identifikaatori, nii et töötleja saab kirje esitada keskuse taotlusel. Neljas on tagasivõtmistee, mis on vähemalt sama lihtne kui algne andmine – tavaliselt püsiv bänneri uuesti avamise link jaluses.

Valideerimine, litsentseerimineja auditihoiak 2026. aastaks

Kaitstav Egiptuse juurutamine 2026. aastal peab läbima neli tehnilist kontrolli. Esiteks peab Egiptuse IP-aadressilt teenindatav puhas brauseriseansid andma nulli mitteolulisi küpsiseid enne, kui bänner on toiminguid teinud. Teiseks peab kõigist keeldumise tee tagajärg olema sama kui tegevuseta seansil – ei analüütikasiltide, ei reklaamisiltide, ei seansiredaktsiooniskriptide. Kolmandaks peab kõigiga nõustumise voog tootma ainult need sildid, millega kasutaja on nõustunud, ja nõusoleku logi peab sisaldama vastavat kirjet. Neljandaks peab tagasivõtmise voog kohe lõpetama täiendavad silditulid, aeguma nõustunud seansil seatud küpsised ning käivitama kõik allavoolu kustutamis- või loobumissignaalid, mida vastuvõtvad partnerid nõuavad.

Lisaks tehnilistele kontrollidele on litsentseerimis- ja auditihoiak see, mis muudab juurutamise kaitstavaks. Töötlejad, kes töötlevad Egiptuse elanike isikuandmeid üle täidesaatvate määrustega seatud künniste, peavad olema registreeritud isikuandmete kaitse keskuses, ning registreerimisrekord – koos nõusoleku logi, privaatsusteate, kõrgema riskiga töötlemise andmekaitsemõju hindamise tulemuste ja piiriülese andmeedastuse lubade loeteluga – moodustab dokumentatsiooni, mida keskus võib vastavusülevaatuse käigus nõuda. Õigesti seadistatud CMP serveripoolse logiga, sildilaadimiskihiga, mis rakendab nõusoleku olekut, privaatsusteated, mis nimetab iga piiriülese andmeedastuse sihtkoha, ning litsentseerimisdokumendid käepärast – see on see, mis muudab Egiptuse PDPL-i regulatiivse tundmatusest kirjastaja MENA-piirkonna nõusolekupositsiooni kaitstavaks osaks.

← Blogi Loe kõike →