قانون حمایت از دادههای شخصی مصر ۱۵۱ (۲۰۲۰) – راهنمای انطباق با رضایت کوکی: کتاب راهنمای ناشران برای ۲۰۲۶
قانون حمایت از دادههای شخصی مصر به شماره ۱۵۱ (۲۰۲۰) – که معمولاً به عنوان PDPL مصر از آن یاد میشود – در ۱۵ ژوئیه ۲۰۲۰ صادر شد و در ۱۴ اکتبر ۲۰۲۰ لازمالاجرا شد. در اکثر دورهی پس از آن، فقدان مقررات اجرایی به این معنا بود که قانون بیشتر به عنوان بیانیهای از اصول تلقی میشد تا یک رژیم قابل اجرا. این وضعیت زمانی تغییر کرد که مرکز حمایت از دادههای شخصی – نهاد نظارتی تأسیسشده تحت این قانون، وابسته به وزارت ارتباطات و فناوری اطلاعات – چارچوب عملیاتی، الزامات صدور مجوز و مقررات اجرایی را که قانون صدور آنها را به بعد موکول کرده بود، منتشر کرد. تا سال ۲۰۲۶ این رژیم کاملاً عملیاتی شده، مسیر صدور مجوز برای کنترلکنندگان و پردازشکنندگان داده فعال است، و ناشرانی که در مصر فعالیت میکنند یا مصر را هدف قرار میدهند مشمول معیار رضایت داخلی هستند که به GDPR نزدیکتر از هر مدل قدیمیتر منطقهای است. پیامد آن برای رضایت کوکی مستقیم است: بنری که در مصر تحت رژیم قدیمی کار میکرد اکنون کافی نیست، و بنری که GDPR را برآورده میکند PDPL را تنها زمانی برآورده میکند که یکپارچهسازی نقاط تفاوت دو چارچوب را مدنظر قرار داده باشد.
آنچه PDPL مصر واقعاً الزام میکند
قانون در مورد پردازش دادههای شخصی ساکنان مصر صرف نظر از محل استقرار کنترلکننده یا پردازشکننده اعمال میشود، و در مورد کنترلکنندگان و پردازشکنندگان مستقر در مصر صرف نظر از محل سکونت موضوعات داده. این دسترسی فرامرزی آینهی ماده ۳ GDPR است و به این معناست که ناشری که خارج از مصر مستقر است اما خوانندگان مصری، نصبهای برنامه یا مشتریان پرداختکننده دارد، به طور قطع در محدودهی آن قرار دارد. دادههای شخصی به طور گسترده به عنوان هر دادهای مرتبط با یک شخص حقیقی شناساییشده یا قابل شناسایی تعریف میشود؛ دادههای شخصی حساس – از جمله دادههای بهداشتی، بیومتریک، ژنتیک، سلامت روان، مالی، باورهای دینی، نظرات سیاسی و محکومیتهای جنایی – مشمول آستانهی رضایت بالاتر و پادمانهای اضافی هستند.
قانون پایههای قانونی برای پردازش، فهرست استاندارد حقوق موضوع داده – دسترسی، اصلاح، حذف، محدودیت، اعتراض و قابلیت حمل – چارچوب پاسخگویی کنترلکننده-پردازنده، تعهدات اطلاعرسانی در مورد نقض، کنترلهای انتقال برونمرزی و رژیم جریمههای اداری با جریمههایی از ۱۰۰٬۰۰۰ EGP برای تخلفات جزئی تا ۵ میلیون EGP برای نقضهای جدی یا مکرر را برقرار میکند. مجازاتهای کیفری برای جدیترین دستهبندیها اعمال میشود، از جمله انتقال برونمرزی بدون مجوز و پردازش دادههای حساس بدون مجوز.
نحوه رفتار PDPL با رضایت کوکی به طور خاص
بر خلاف دستورالعمل ePrivacy اتحادیه اروپا، PDPL حاوی مقررهی جداگانهای برای کوکیها نیست. کوکیها و فناوریهای مشابه ذخیرهسازی و دسترسی در چارچوب کلی رضایت قرار میگیرند: هر پردازش دادههای شخصی که به رضایت به عنوان پایه قانونی متکی است باید بر اساس بیان صریح، داوطلبانه، خاص و مستند توافق از موضوع داده کسب شود. مرکز حمایت از دادههای شخصی در راهنمای خود که در طول شروع مرحلهای مقررات صادر شده، تأیید کرده که چکباکسهای از پیش تیکخورده، رضایت ضمنی برگرفته از مرور ادامهدار و بنرهای رضایت دستهبندیشده معیار قانون را برآورده نمیکنند. این امر مصر را به وضوح در مسیر جهانی قرار میدهد و به این معناست که موضع عملی که ناشران از قبل برای ترافیک EEA حفظ میکنند نقطهی شروع درستی برای ترافیک مصری است.
اثر عملی این است که کوکیها و هر فناوری مشابه که برای ارائه خدمات کاملاً ضروری نیستند نباید قبل از اینکه کاربر رضایت فعال داده باشد تنظیم شوند. کوکیهای کاملاً ضروری – شناسههای جلسه، محتوای سبد خرید، توکنهای امنیتی، کوکیهای متعادلکننده بار – میتوانند بدون رضایت بر این اساس تنظیم شوند که کاربر فعالانه درخواست سرویس کرده است. همه چیز دیگر – آنالیتیک، تبلیغات، شخصیسازی، آزمایش A/B، پخش مجدد جلسه و هر برچسب شخص ثالث – نیاز به رضایت قبلی دارد.
نحوه تفاوت PDPL با GDPR در عمل
سه تفاوت در لایه یکپارچهسازی اهمیت دارند. اول، PDPL الزام میکند که رضایت برای پردازش دادههای شخصی حساس به صورت کتبی یا از طریق معادل الکترونیکی مستند شدهای که کنترلکننده میتواند در صورت درخواست ارائه دهد کسب شود – معیار اثباتی بالاتر از الزام رضایت صریح GDPR. دوم، PDPL یک رژیم صدور مجوز تحمیل میکند: کنترلکنندگان و پردازشکنندگان باید با مرکز حمایت از دادههای شخصی ثبتنام کنند، و برخی دستهبندیهای پردازش – از جمله انتقال برونمرزی و بازاریابی مستقیم – نیاز به مجوز عملیاتی جداگانه دارند. سوم، قوانین انتقال برونمرزی PDPL یا تعیین کفایت توسط مرکز، یک پادمان قراردادی مورد تأیید، یا رضایت صریح موضوع داده را الزامی میکند؛ انتقال به حوزههای قضایی بدون تعیین یا پادمان صرف نظر از موضع انطباق خود گیرنده محدود است.
بنر کوکی منطبق تحت PDPL چه شکلی دارد
الزامات فنی با آنچه هر CMP مدرن از قبل تولید میکند همگرا میشوند، اما برچسبگذاری، مستندات و گزارش رضایت باید ویژگیهای مصری را منعکس کنند. بنر لایه اول باید به کاربر یک انتخاب واقعی ارائه دهد – قبول، رد، مدیریت – که در آن گزینه رد حداقل به اندازهی گزینه قبول برجسته باشد. رضایت دستهبندیشده ممنوع است، بنابراین لایه دوم باید امکان opt-in بر اساس هر دسته را فراهم کند که حداقل آنالیتیک، تبلیغات و هر پردازش وابسته به انتقال برونمرزی را پوشش دهد. دستهها باید به صورت پیشفرض خاموش باشند؛ بنر نباید برچسبها را تا زمانی که کاربر فعالانه آنها را روشن نکرده بارگذاری کند.
اطلاعیه حریم خصوصی ارائهشده از بنر باید کنترلکننده، شماره مجوز PDPL کنترلکننده در صورت کاربرد، دستههای دادههای شخصی جمعآوریشده، پایه قانونی برای هر هدف پردازش، دوره نگهداری داده، دستههای گیرندگان از جمله هر پردازندهی فرعی مستقر خارج از مصر، حقوق موضوع داده تحت قانون، و جزئیات تماس مرکز حمایت از دادههای شخصی برای شکایات را شناسایی کند. اطلاعیهای که معیار ماده ۱۳ GDPR را برآورده میکند با اکثریت قریب به اتفاق همپوشانی خواهد داشت، اما خطوط مجوز مصری و تماس مرکز باید به صراحت اضافه شوند.
الگوی یکپارچهسازی که بررسی مرکز حمایت از دادههای شخصی را پشت سر میگذارد
پیادهسازی مرجع چهار بخش متحرک دارد. اول یک CMP است که از opt-in پیشفرض خاموش بر اساس هر دسته پشتیبانی میکند و انتخاب کاربر را از طریق یک رشته رضایت ساختاریافته که ناشر میتواند ذخیره کند ارائه میدهد. دوم یک لایه بارگذاری برچسب – یک مدیریت برچسب سمت سرور یا یک دروازه بومی CMP – است که وضعیت رضایت را قبل از تنظیم هر کوکی غیرضروری به سختی اعمال میکند. سوم یک گزارش رضایت است که در سمت سرور ذخیره میشود و برای هر رویداد رضایت انتخاب کاربر به ازای هر دسته، زمانسنج، نسخه بنر و یک شناسه IP کوتاهشده یا هششده را ثبت میکند تا کنترلکننده بتواند رکورد را در صورت درخواست مرکز ارائه دهد. چهارم یک مسیر انصراف است که حداقل به آسانی اعطای اولیه باشد – معمولاً یک پیوند باز کردن مجدد بنر دائمی در پاورقی.
- برچسبهای آنالیتیک – Google Analytics 4، Adobe Analytics، Matomo، Amplitude، Mixpanel، PostHog – فقط پس از اعطای دسته آنالیتیک باید بارگذاری شوند. هر پلتفرم از یک پیکربندی دروازهی رضایت پشتیبانی میکند که از هر نوشتن کوکی قبل از چرخش دروازه جلوگیری میکند.
- برچسبهای تبلیغاتی – Google Ads، Meta Pixel، TikTok Pixel، LinkedIn Insight، مزایدهکنندگان header برنامهریزی شده – باید به طور مشابه دروازهبندی شوند، و جایی که شریک تبلیغاتی دادهها را خارج از مصر منتقل میکند حوزه قضایی گیرنده باید در اطلاعیه حریم خصوصی ظاهر شود. افشای عمومی توسط ارائهدهندگان خدمات جهانی پردازش شده تحت راهنمای مرکز کافی نیست.
- ابزارهای پخش مجدد جلسه و نقشه حرارتی – Hotjar، Microsoft Clarity، FullStory – باید پشت یک دروازه جداگانهی سختگیرانهتر قرار بگیرند زیرا مرکز با دیدگاه EDPB هماهنگ شده که رندر کردن فیلدهای ورودی نیاز به رضایت صریح و دانهدانه دارد.
- افشاهای انتقال برونمرزی باید برای هر حوزه قضایی گیرنده خاص باشد و پایه قانونی انتقال را ارجاع دهد – یک پادمان قراردادی مورد تأیید، یک تعیین کفایت، یا رضایت صریح موضوع داده.
اعتبارسنجی، صدور مجوز و موضع ممیزی برای ۲۰۲۶
یک استقرار مصری قابل دفاع در ۲۰۲۶ باید چهار بررسی فنی را پشت سر بگذارد. اول، یک جلسه مرورگر تمیز ارائهشده از یک آدرس IP مصری باید صفر کوکی غیرضروری قبل از اقدام شدن بنر تولید کند. دوم، مسیر رد-همه باید منجر به همان موضع جلسه بدون-اقدام شود – بدون برچسب آنالیتیک، بدون برچسب تبلیغاتی، بدون اسکریپتهای پخش مجدد جلسه. سوم، جریان قبول-همه باید فقط برچسبهایی که کاربر با آنها موافقت کرده تولید کند، و گزارش رضایت باید یک رکورد مطابقت داشته باشد. چهارم، یک جریان انصراف باید بلافاصله آتشهای برچسب بیشتر را متوقف کند، کوکیهای تنظیمشده در طول جلسه با رضایت را منقضی کند، و هر سیگنال حذف یا خروج از سرویس که شرکای گیرنده نیاز دارند را فعال کند.
فراتر از بررسیهای فنی، موضع صدور مجوز و ممیزی است که یک استقرار را قابل دفاع میکند. کنترلکنندگانی که دادههای شخصی ساکنان مصری را فراتر از آستانههای تعیینشده توسط مقررات اجرایی پردازش میکنند باید با مرکز حمایت از دادههای شخصی ثبتنام کرده باشند، و رکورد ثبتنام – همراه با گزارش رضایت، اطلاعیه حریم خصوصی، نتایج ارزیابی تأثیر حمایت از داده برای پردازش با ریسک بالاتر و هر مجوز انتقال برونمرزی – مستنداتی را تشکیل میدهد که مرکز ممکن است در طول بررسی انطباق درخواست کند. یک CMP به درستی پیکربندیشده با یک گزارش سمت سرور، یک لایه بارگذاری برچسب که وضعیت رضایت را اعمال میکند، یک اطلاعیه حریم خصوصی که هر مقصد انتقال برونمرزی را نام میبرد، و مدارک صدور مجوز در پرونده، همان چیزی است که PDPL مصر را از یک مجهول نظارتی به یک بخش قابل دفاع از موضع رضایت ناشر در منطقه MENA تبدیل میکند.