Batas sa Proteksyon ng Personal na Data ng Ehipto 151 ng 2020 – Gabay sa Pagsunod sa Cookie Consent: 2026 Playbook para sa mga Publisher

Ang Personal Data Protection Law No. 151 ng 2020 ng Ehipto – karaniwang tinutukoy bilang ang Ehipsiyanong PDPL – ay inilabas noong 15 Hulyo 2020 at nagkabisa noong 14 Oktubre 2020. Sa karamihan ng panahon mula noon, ang kawalan ng mga regulasyong tagapagpaganap ay nangangahulugang ang Batas ay nananatili bilang isang pahayag ng mga prinsipyo kaysa sa isang maipapatupad na rehimen. Nagbago ito nang ang Personal Data Protection Centre – ang regulator na naitatag sa ilalim ng Batas, nakakabit sa Ministry of Communications and Information Technology – ay nag-publish ng operational framework nito, mga kinakailangan sa paglisensiyo, at ang mga regulasyong tagapagpaganap na iniwanan ng Batas upang mailabas. Sa taong 2026 ang rehimen ay ganap na operasyonal, ang landas ng paglisensiyo para sa mga data controller at processor ay aktibo, at ang mga publisher na nagpapatakbo sa o nagta-target ng Ehipto ay napapailalim sa isang domestic na pamantayan ng consent na mas malapit sa GDPR kaysa sa anumang mas lumang modelo ng rehiyon. Ang implikasyon para sa cookie consent ay direkta: ang isang banner na gumagana sa Ehipto sa ilalim ng lumang rehimen ay hindi na sapat, at ang isang banner na nagbibigay-kasiyahan sa GDPR ay magbibigay-kasiyahan sa PDPL lamang kung ang integrasyon ay isinasaalang-alang ang mga punto kung saan nagkakaiba ang dalawang balangkas.

Ano talaga ang hinihingi ng Ehipsiyanong PDPL

Ang Batas ay nalalapat sa pagpoproseso ng personal na data ng mga residente ng Ehipto anuman ang lokasyon ng controller o processor, at sa mga controller at processor na nakabase sa Ehipto anuman ang lokasyon ng mga data subject. Ang extraterritorial na saklaw na iyon ay sumasalamin sa GDPR Article 3 at nangangahulugang ang isang publisher na naka-headquarter sa labas ng Ehipto ngunit may mga mambabasa ng Ehipto, mga pag-install ng app, o mga nagbabayad na customer ay malinaw na nasa loob ng saklaw. Ang personal na data ay malawak na tinukoy bilang anumang data na nauugnay sa isang natukoy o natutukoy na natural na tao, na may sensitibong personal na data – kabilang ang kalusugan, biometric, genetic, mental-health, pinansiyal, relihiyosong paniniwala, pulitikal na opinyon, at datos ng kriminal na hatol – napapailalim sa mas mataas na threshold ng consent at karagdagang mga proteksyon.

Ang Batas ay nagtatag ng mga legal na batayan para sa pagpoproseso, ang karaniwang listahan ng mga karapatan ng data subject – access, rectification, erasure, restriction, objection, at portability – isang balangkas ng accountability ng controller-processor, mga obligasyon ng notification ng paglabag, mga kontrol sa cross-border na paglilipat, at isang rehimen ng administrative na parusa na may mga multa mula sa EGP 100,000 para sa mga menor na paglabag hanggang sa EGP 5 milyon para sa mga seryoso o paulit-ulit na paglabag. Ang mga criminal na parusa ay nalalapat sa pinaka-seryosong mga kategorya, kabilang ang hindi lisensyadong cross-border na paglilipat at pagpoproseso ng sensitibong data nang walang awtorisasyon.

Paano tinatrato ng PDPL ang cookie consent nang partikular

Hindi tulad ng EU ePrivacy Directive, ang PDPL ay hindi naglalaman ng hiwalay na probisyon sa mga cookie. Ang mga cookie at mga katulad na teknolohiya ng storage-and-access ay nahuhulog sa loob ng pangkalahatang balangkas ng consent: ang anumang pagpoproseso ng personal na data na umaasa sa consent bilang legal na batayan nito ay dapat makuha batay sa isang malinaw, kusang-loob, tiyak, at dokumentadong pagpapahayag ng kasunduan mula sa data subject. Ang Personal Data Protection Centre, sa gabay nito na inilabas sa panahon ng paunti-unting simula ng mga regulasyon, ay nagkumpirma na ang mga pre-ticked na kahon, implicit na consent na natanggap mula sa patuloy na pagba-browse, at mga bundled na banner ng consent ay hindi nakakatugon sa pamantayan ng Batas. Inilalagay nito ang Ehipto nang maayos sa linya sa pandaigdigang direksyon at nangangahulugang ang praktikal na posisyon na pinapanatili na ng mga publisher para sa trapiko ng EEA ay ang tamang panimulang punto para sa trapiko ng Ehipto.

Ang praktikal na epekto ay ang mga cookie at anumang katulad na teknolohiya na hindi mahigpit na kinakailangan para sa paghahatid ng serbisyo ay hindi dapat itakda bago aktibong pumayag ang gumagamit. Ang mga mahigpit na kinakailangang cookie – mga identifier ng session, nilalaman ng cart, mga token ng seguridad, mga cookie ng load-balancing – ay maaaring itakda nang walang consent batay sa katotohanang aktibo ang kahilingan ng gumagamit para sa serbisyo. Lahat ng iba pa – analytics, advertising, personalization, A/B testing, session replay, at anumang tag ng third-party – ay nangangailangan ng paunang consent.

Paano naiiba ang PDPL mula sa GDPR sa pagsasagawa

Tatlong pagkakaiba ang mahalaga sa integration layer. Una, ang PDPL ay nag-aatas na ang consent para sa pagpoproseso ng sensitibong personal na data ay makuha nang nakasulat o sa pamamagitan ng isang dokumentadong electronic equivalent na maaaring gawin ng controller sa kahilingan – isang mas mataas na pamantayan ng katibayan kaysa sa kinakailangan ng explicit-consent ng GDPR. Pangalawa, ang PDPL ay nagpapataw ng isang rehimen ng paglisensiyo: ang mga controller at processor ay dapat magrehistro sa Personal Data Protection Centre, at ang ilang mga kategorya ng pagpoproseso – kabilang ang cross-border na paglilipat at direktang marketing – ay nangangailangan ng hiwalay na operational license. Pangatlo, ang mga patakaran sa cross-border na paglilipat ng PDPL ay nangangailangan ng alinman sa isang designation ng adequacy ng Centre, isang aprubadong contractual na pangangalaga, o explicit na consent ng data subject; ang mga paglilipat sa mga hurisdiksyon nang walang mga designation o pangangalaga ay limitado anuman ang sariling posisyon ng pagsunod ng tatanggap.

Ano ang hitsura ng isang sumusunod na banner ng cookie sa ilalim ng PDPL

Ang mga teknikal na kinakailangan ay nagkakasama sa kung ano ang ginagawa na ng bawat modernong CMP, ngunit ang labelling, dokumentasyon, at tala ng consent ay dapat sumalamin sa mga detalye ng Ehipto. Ang unang-layer na banner ay dapat magpresenta sa gumagamit ng isang tunay na pagpipilian – tanggapin, tanggihan, pamahalaan – kung saan ang opsyon ng pagtanggi ay hindi bababa sa pagkakitaan gaya ng opsyon ng pagtanggap. Ang bundled na consent ay ipinagbabawal, kaya ang pangalawang layer ay dapat pahintulutan ang per-category na opt-in na sumasaklaw kahit man ang analytics, advertising, at anumang pagpoprosesong nakasalalay sa cross-border na paglilipat. Ang mga kategorya ay dapat mag-default sa off; ang banner ay hindi dapat mag-load ng mga tag hangga't hindi aktibong pina-flip ng gumagamit ang mga ito.

Ang abiso sa privacy na inilabas mula sa banner ay dapat tukuyin ang controller, ang numero ng PDPL license ng controller kung naaangkop, ang mga kategorya ng personal na data na nakolekta, ang legal na batayan para sa bawat layunin ng pagpoproseso, ang panahon ng pagpapanatili ng data, ang mga kategorya ng tatanggap kabilang ang anumang mga sub-processor na matatagpuan sa labas ng Ehipto, ang mga karapatan ng data subject sa ilalim ng Batas, at ang mga detalye ng pakikipag-ugnayan ng Personal Data Protection Centre para sa mga reklamo. Ang isang abiso na nakakatugon sa pamantayan ng GDPR Article 13 ay malaki ang magkakatulad, ngunit ang mga linya ng Ehipsiyanong lisensya at pakikipag-ugnayan sa Centre ay dapat idagdag nang malinaw.

Ang integration pattern na pumapasa sa pagsusuri ng Personal Data Protection Centre

Ang reference implementation ay may apat na gumagalaw na bahagi. Ang una ay isang CMP na sumusuporta sa per-category, default-off na opt-in at inilalantad ang pagpipilian ng gumagamit sa pamamagitan ng isang structured na string ng consent na maaaring i-persist ng publisher. Ang pangalawa ay isang tag-loading layer – isang server-side na tag manager o isang CMP-native gate – na mahigpit na nagpapatupad ng estado ng consent bago mailagay ang anumang hindi mahalagang cookie. Ang pangatlo ay isang tala ng consent, nakaimbak sa server-side, na nagtatala para sa bawat kaganapan ng consent ng pagpipilian ng gumagamit bawat kategorya, ang timestamp, ang bersyon ng banner, at isang truncated o hashed na IP identifier upang ang controller ay makalikha ng tala sa kahilingan ng Centre. Ang ikaapat ay isang landas ng pag-atras na hindi bababa sa dali ng orihinal na pagbibigay – karaniwang isang persistent na link ng muling pagbubukas ng banner sa footer.

Validation, paglisensiyo, at posisyon ng audit para sa 2026

Ang isang mapagtatanggol na deployment ng Ehipto sa 2026 ay dapat pumasa sa apat na teknikal na pagsusuri. Una, ang isang malinis na session ng browser na pinagsilbihan mula sa isang IP address ng Ehipto ay dapat makagawa ng zero na hindi mahalagang mga cookie bago ma-aksyon ang banner. Pangalawa, ang path ng reject-all ay dapat magresulta sa parehong posisyon gaya ng isang no-action session – walang mga tag ng analytics, walang mga tag ng advertising, walang mga script ng session-replay. Pangatlo, ang isang accept-all na daloy ay dapat makagawa lamang ng mga tag na pinayagan ng gumagamit, at ang tala ng consent ay dapat maglaman ng isang katumbas na tala. Pang-apat, ang isang daloy ng pag-atras ay dapat agad na ihinto ang mga karagdagang pagsusunog ng tag, i-expire ang mga cookie na itinakda sa panahon ng consent na session, at i-trigger ang anumang downstream na mga signal ng pagtanggal o pag-opt-out na kinakailangan ng mga kasosyo na tatanggap.

Higit sa mga teknikal na pagsusuri, ang posisyon ng paglisensiyo at audit ang nagpapaganda ng isang deployment. Ang mga controller na nagpoproseso ng personal na data ng mga residente ng Ehipto na higit sa mga threshold na itinakda ng mga regulasyong tagapagpaganap ay dapat mairehistro sa Personal Data Protection Centre, at ang rekord ng pagpaparehistro – kasama ang tala ng consent, ang abiso sa privacy, ang mga resulta ng data-protection-impact-assessment para sa pagpoprosesong may mas mataas na panganib, at anumang mga awtorisasyon ng cross-border na paglilipat – ang bumubuo ng dokumentasyon na maaaring hilingin ng Centre sa panahon ng pagsusuri ng pagsunod. Ang isang tamang na-configure na CMP na may server-side na tala, isang tag-loading layer na nagpapatupad ng estado ng consent, isang abiso sa privacy na nagngangalan ng bawat destinasyon ng cross-border na paglilipat, at ang mga papel ng paglisensiyo na naka-file ay ang nagpapalit ng Ehipsiyanong PDPL mula sa isang regulatory na hindi kilala patungo sa isang mapagtatanggol na bahagi ng posisyon ng consent ng publisher sa rehiyon ng MENA.

← Blog Basahin Lahat →