قانون حمایت از داده‌های شخصی مصر ۱۵۱ (۲۰۲۰) – راهنمای انطباق با رضایت کوکی: کتاب راهنمای ناشران برای ۲۰۲۶

قانون حمایت از داده‌های شخصی مصر به شماره ۱۵۱ (۲۰۲۰) – که معمولاً به عنوان PDPL مصر از آن یاد می‌شود – در ۱۵ ژوئیه ۲۰۲۰ صادر شد و در ۱۴ اکتبر ۲۰۲۰ لازم‌الاجرا شد. در اکثر دوره‌ی پس از آن، فقدان مقررات اجرایی به این معنا بود که قانون بیشتر به عنوان بیانیه‌ای از اصول تلقی می‌شد تا یک رژیم قابل اجرا. این وضعیت زمانی تغییر کرد که مرکز حمایت از داده‌های شخصی – نهاد نظارتی تأسیس‌شده تحت این قانون، وابسته به وزارت ارتباطات و فناوری اطلاعات – چارچوب عملیاتی، الزامات صدور مجوز و مقررات اجرایی را که قانون صدور آنها را به بعد موکول کرده بود، منتشر کرد. تا سال ۲۰۲۶ این رژیم کاملاً عملیاتی شده، مسیر صدور مجوز برای کنترل‌کنندگان و پردازش‌کنندگان داده فعال است، و ناشرانی که در مصر فعالیت می‌کنند یا مصر را هدف قرار می‌دهند مشمول معیار رضایت داخلی هستند که به GDPR نزدیک‌تر از هر مدل قدیمی‌تر منطقه‌ای است. پیامد آن برای رضایت کوکی مستقیم است: بنری که در مصر تحت رژیم قدیمی کار می‌کرد اکنون کافی نیست، و بنری که GDPR را برآورده می‌کند PDPL را تنها زمانی برآورده می‌کند که یکپارچه‌سازی نقاط تفاوت دو چارچوب را مدنظر قرار داده باشد.

آنچه PDPL مصر واقعاً الزام می‌کند

قانون در مورد پردازش داده‌های شخصی ساکنان مصر صرف نظر از محل استقرار کنترل‌کننده یا پردازش‌کننده اعمال می‌شود، و در مورد کنترل‌کنندگان و پردازش‌کنندگان مستقر در مصر صرف نظر از محل سکونت موضوعات داده. این دسترسی فرامرزی آینه‌ی ماده ۳ GDPR است و به این معناست که ناشری که خارج از مصر مستقر است اما خوانندگان مصری، نصب‌های برنامه یا مشتریان پرداخت‌کننده دارد، به طور قطع در محدوده‌ی آن قرار دارد. داده‌های شخصی به طور گسترده به عنوان هر داده‌ای مرتبط با یک شخص حقیقی شناسایی‌شده یا قابل شناسایی تعریف می‌شود؛ داده‌های شخصی حساس – از جمله داده‌های بهداشتی، بیومتریک، ژنتیک، سلامت روان، مالی، باورهای دینی، نظرات سیاسی و محکومیت‌های جنایی – مشمول آستانه‌ی رضایت بالاتر و پادمان‌های اضافی هستند.

قانون پایه‌های قانونی برای پردازش، فهرست استاندارد حقوق موضوع داده – دسترسی، اصلاح، حذف، محدودیت، اعتراض و قابلیت حمل – چارچوب پاسخگویی کنترل‌کننده-پردازنده، تعهدات اطلاع‌رسانی در مورد نقض، کنترل‌های انتقال برون‌مرزی و رژیم جریمه‌های اداری با جریمه‌هایی از ۱۰۰٬۰۰۰ EGP برای تخلفات جزئی تا ۵ میلیون EGP برای نقض‌های جدی یا مکرر را برقرار می‌کند. مجازات‌های کیفری برای جدی‌ترین دسته‌بندی‌ها اعمال می‌شود، از جمله انتقال برون‌مرزی بدون مجوز و پردازش داده‌های حساس بدون مجوز.

نحوه رفتار PDPL با رضایت کوکی به طور خاص

بر خلاف دستورالعمل ePrivacy اتحادیه اروپا، PDPL حاوی مقرره‌ی جداگانه‌ای برای کوکی‌ها نیست. کوکی‌ها و فناوری‌های مشابه ذخیره‌سازی و دسترسی در چارچوب کلی رضایت قرار می‌گیرند: هر پردازش داده‌های شخصی که به رضایت به عنوان پایه قانونی متکی است باید بر اساس بیان صریح، داوطلبانه، خاص و مستند توافق از موضوع داده کسب شود. مرکز حمایت از داده‌های شخصی در راهنمای خود که در طول شروع مرحله‌ای مقررات صادر شده، تأیید کرده که چک‌باکس‌های از پیش تیک‌خورده، رضایت ضمنی برگرفته از مرور ادامه‌دار و بنرهای رضایت دسته‌بندی‌شده معیار قانون را برآورده نمی‌کنند. این امر مصر را به وضوح در مسیر جهانی قرار می‌دهد و به این معناست که موضع عملی که ناشران از قبل برای ترافیک EEA حفظ می‌کنند نقطه‌ی شروع درستی برای ترافیک مصری است.

اثر عملی این است که کوکی‌ها و هر فناوری مشابه که برای ارائه خدمات کاملاً ضروری نیستند نباید قبل از اینکه کاربر رضایت فعال داده باشد تنظیم شوند. کوکی‌های کاملاً ضروری – شناسه‌های جلسه، محتوای سبد خرید، توکن‌های امنیتی، کوکی‌های متعادل‌کننده بار – می‌توانند بدون رضایت بر این اساس تنظیم شوند که کاربر فعالانه درخواست سرویس کرده است. همه چیز دیگر – آنالیتیک، تبلیغات، شخصی‌سازی، آزمایش A/B، پخش مجدد جلسه و هر برچسب شخص ثالث – نیاز به رضایت قبلی دارد.

نحوه تفاوت PDPL با GDPR در عمل

سه تفاوت در لایه یکپارچه‌سازی اهمیت دارند. اول، PDPL الزام می‌کند که رضایت برای پردازش داده‌های شخصی حساس به صورت کتبی یا از طریق معادل الکترونیکی مستند شده‌ای که کنترل‌کننده می‌تواند در صورت درخواست ارائه دهد کسب شود – معیار اثباتی بالاتر از الزام رضایت صریح GDPR. دوم، PDPL یک رژیم صدور مجوز تحمیل می‌کند: کنترل‌کنندگان و پردازش‌کنندگان باید با مرکز حمایت از داده‌های شخصی ثبت‌نام کنند، و برخی دسته‌بندی‌های پردازش – از جمله انتقال برون‌مرزی و بازاریابی مستقیم – نیاز به مجوز عملیاتی جداگانه دارند. سوم، قوانین انتقال برون‌مرزی PDPL یا تعیین کفایت توسط مرکز، یک پادمان قراردادی مورد تأیید، یا رضایت صریح موضوع داده را الزامی می‌کند؛ انتقال به حوزه‌های قضایی بدون تعیین یا پادمان صرف نظر از موضع انطباق خود گیرنده محدود است.

بنر کوکی منطبق تحت PDPL چه شکلی دارد

الزامات فنی با آنچه هر CMP مدرن از قبل تولید می‌کند همگرا می‌شوند، اما برچسب‌گذاری، مستندات و گزارش رضایت باید ویژگی‌های مصری را منعکس کنند. بنر لایه اول باید به کاربر یک انتخاب واقعی ارائه دهد – قبول، رد، مدیریت – که در آن گزینه رد حداقل به اندازه‌ی گزینه قبول برجسته باشد. رضایت دسته‌بندی‌شده ممنوع است، بنابراین لایه دوم باید امکان opt-in بر اساس هر دسته را فراهم کند که حداقل آنالیتیک، تبلیغات و هر پردازش وابسته به انتقال برون‌مرزی را پوشش دهد. دسته‌ها باید به صورت پیش‌فرض خاموش باشند؛ بنر نباید برچسب‌ها را تا زمانی که کاربر فعالانه آنها را روشن نکرده بارگذاری کند.

اطلاعیه حریم خصوصی ارائه‌شده از بنر باید کنترل‌کننده، شماره مجوز PDPL کنترل‌کننده در صورت کاربرد، دسته‌های داده‌های شخصی جمع‌آوری‌شده، پایه قانونی برای هر هدف پردازش، دوره نگهداری داده، دسته‌های گیرندگان از جمله هر پردازنده‌ی فرعی مستقر خارج از مصر، حقوق موضوع داده تحت قانون، و جزئیات تماس مرکز حمایت از داده‌های شخصی برای شکایات را شناسایی کند. اطلاعیه‌ای که معیار ماده ۱۳ GDPR را برآورده می‌کند با اکثریت قریب به اتفاق همپوشانی خواهد داشت، اما خطوط مجوز مصری و تماس مرکز باید به صراحت اضافه شوند.

الگوی یکپارچه‌سازی که بررسی مرکز حمایت از داده‌های شخصی را پشت سر می‌گذارد

پیاده‌سازی مرجع چهار بخش متحرک دارد. اول یک CMP است که از opt-in پیش‌فرض خاموش بر اساس هر دسته پشتیبانی می‌کند و انتخاب کاربر را از طریق یک رشته رضایت ساختاریافته که ناشر می‌تواند ذخیره کند ارائه می‌دهد. دوم یک لایه بارگذاری برچسب – یک مدیریت برچسب سمت سرور یا یک دروازه بومی CMP – است که وضعیت رضایت را قبل از تنظیم هر کوکی غیرضروری به سختی اعمال می‌کند. سوم یک گزارش رضایت است که در سمت سرور ذخیره می‌شود و برای هر رویداد رضایت انتخاب کاربر به ازای هر دسته، زمان‌سنج، نسخه بنر و یک شناسه IP کوتاه‌شده یا هش‌شده را ثبت می‌کند تا کنترل‌کننده بتواند رکورد را در صورت درخواست مرکز ارائه دهد. چهارم یک مسیر انصراف است که حداقل به آسانی اعطای اولیه باشد – معمولاً یک پیوند باز کردن مجدد بنر دائمی در پاورقی.

اعتبارسنجی، صدور مجوز و موضع ممیزی برای ۲۰۲۶

یک استقرار مصری قابل دفاع در ۲۰۲۶ باید چهار بررسی فنی را پشت سر بگذارد. اول، یک جلسه مرورگر تمیز ارائه‌شده از یک آدرس IP مصری باید صفر کوکی غیرضروری قبل از اقدام شدن بنر تولید کند. دوم، مسیر رد-همه باید منجر به همان موضع جلسه بدون-اقدام شود – بدون برچسب آنالیتیک، بدون برچسب تبلیغاتی، بدون اسکریپت‌های پخش مجدد جلسه. سوم، جریان قبول-همه باید فقط برچسب‌هایی که کاربر با آنها موافقت کرده تولید کند، و گزارش رضایت باید یک رکورد مطابقت داشته باشد. چهارم، یک جریان انصراف باید بلافاصله آتش‌های برچسب بیشتر را متوقف کند، کوکی‌های تنظیم‌شده در طول جلسه با رضایت را منقضی کند، و هر سیگنال حذف یا خروج از سرویس که شرکای گیرنده نیاز دارند را فعال کند.

فراتر از بررسی‌های فنی، موضع صدور مجوز و ممیزی است که یک استقرار را قابل دفاع می‌کند. کنترل‌کنندگانی که داده‌های شخصی ساکنان مصری را فراتر از آستانه‌های تعیین‌شده توسط مقررات اجرایی پردازش می‌کنند باید با مرکز حمایت از داده‌های شخصی ثبت‌نام کرده باشند، و رکورد ثبت‌نام – همراه با گزارش رضایت، اطلاعیه حریم خصوصی، نتایج ارزیابی تأثیر حمایت از داده برای پردازش با ریسک بالاتر و هر مجوز انتقال برون‌مرزی – مستنداتی را تشکیل می‌دهد که مرکز ممکن است در طول بررسی انطباق درخواست کند. یک CMP به درستی پیکربندی‌شده با یک گزارش سمت سرور، یک لایه بارگذاری برچسب که وضعیت رضایت را اعمال می‌کند، یک اطلاعیه حریم خصوصی که هر مقصد انتقال برون‌مرزی را نام می‌برد، و مدارک صدور مجوز در پرونده، همان چیزی است که PDPL مصر را از یک مجهول نظارتی به یک بخش قابل دفاع از موضع رضایت ناشر در منطقه MENA تبدیل می‌کند.

← وبaderegistrdelays delays خواندن همه →