मिस्र का व्यक्तिगत डेटा सुरक्षा कानून 151 (2020) – कुकी सहमति अनुपालन मार्गदर्शिका: प्रकाशकों के लिए 2026 प्लेबुक

मिस्र का व्यक्तिगत डेटा सुरक्षा कानून संख्या 151 (2020) – जिसे आमतौर पर मिस्री PDPL के रूप में जाना जाता है – 15 जुलाई 2020 को जारी किया गया था और 14 अक्टूबर 2020 को लागू हुआ था। उसके बाद के अधिकांश समय में, कार्यकारी विनियमों की अनुपस्थिति का अर्थ था कि कानून एक लागू करने योग्य व्यवस्था के बजाय सिद्धांतों की घोषणा के रूप में रहा। यह तब बदला जब व्यक्तिगत डेटा सुरक्षा केंद्र – कानून के तहत स्थापित नियामक, संचार और सूचना प्रौद्योगिकी मंत्रालय से जुड़ा – ने अपनी परिचालन रूपरेखा, लाइसेंसिंग आवश्यकताएं और वे कार्यकारी विनियम प्रकाशित किए जिन्हें कानून ने बाद में जारी करने के लिए छोड़ दिया था। 2026 तक यह व्यवस्था पूरी तरह से परिचालन में है, डेटा नियंत्रकों और प्रोसेसर के लिए लाइसेंसिंग मार्ग सक्रिय है, और मिस्र में संचालन करने वाले या मिस्र को लक्षित करने वाले प्रकाशक एक घरेलू सहमति मानक के अधीन हैं जो किसी भी पुराने क्षेत्रीय मॉडल की तुलना में GDPR के अधिक निकट है। कुकी सहमति के लिए निहितार्थ प्रत्यक्ष है: पुरानी व्यवस्था के तहत मिस्र में काम करने वाला एक बैनर अब पर्याप्त नहीं है, और GDPR को संतुष्ट करने वाला बैनर PDPL को तभी संतुष्ट करेगा जब एकीकरण उन बिंदुओं को ध्यान में रखे जहाँ दोनों ढाँचे अलग होते हैं।

मिस्री PDPL वास्तव में क्या अपेक्षा करता है

कानून मिस्र के निवासियों के व्यक्तिगत डेटा के प्रसंस्करण पर लागू होता है, चाहे नियंत्रक या प्रोसेसर कहीं भी स्थापित हो, और मिस्र में स्थापित नियंत्रकों और प्रोसेसरों पर लागू होता है चाहे डेटा विषय कहीं भी हों। यह अतिरिक्त-क्षेत्रीय पहुँच GDPR अनुच्छेद 3 को दर्पणित करती है और इसका अर्थ है कि मिस्र के बाहर मुख्यालय वाला एक प्रकाशक जिसके मिस्री पाठक, ऐप इंस्टॉलेशन या भुगतान करने वाले ग्राहक हैं, वह दृढ़ता से दायरे में है। व्यक्तिगत डेटा को व्यापक रूप से एक पहचाने गए या पहचाने जाने योग्य प्राकृतिक व्यक्ति से संबंधित किसी भी डेटा के रूप में परिभाषित किया गया है; संवेदनशील व्यक्तिगत डेटा – स्वास्थ्य, बायोमेट्रिक, आनुवंशिक, मानसिक-स्वास्थ्य, वित्तीय, धार्मिक-विश्वास, राजनीतिक-राय और आपराधिक-दोषसिद्धि डेटा सहित – उच्च सहमति सीमा और अतिरिक्त सुरक्षा उपायों के अधीन है।

कानून प्रसंस्करण के लिए वैधानिक आधार स्थापित करता है, डेटा-विषय अधिकारों की मानक सूची – पहुँच, सुधार, मिटाना, प्रतिबंध, आपत्ति और पोर्टेबिलिटी –, एक नियंत्रक-प्रोसेसर जवाबदेही ढाँचा, उल्लंघन-अधिसूचना दायित्व, सीमा-पार हस्तांतरण नियंत्रण, और 100,000 EGP से लेकर मामूली उल्लंघनों के लिए 5 मिलियन EGP तक के जुर्माने के साथ एक प्रशासनिक-दंड व्यवस्था। सबसे गंभीर श्रेणियों पर आपराधिक प्रतिबंध लागू होते हैं, जिसमें अनधिकृत सीमा-पार हस्तांतरण और बिना प्राधिकरण के संवेदनशील डेटा का प्रसंस्करण शामिल है।

PDPL विशेष रूप से कुकी सहमति के साथ कैसे व्यवहार करता है

EU के ePrivacy निर्देश के विपरीत, PDPL में कुकीज़ पर कोई अलग प्रावधान नहीं है। कुकीज़ और अनुरूप भंडारण-और-पहुँच प्रौद्योगिकियाँ सामान्य सहमति ढाँचे के अंतर्गत आती हैं: व्यक्तिगत डेटा का कोई भी प्रसंस्करण जो सहमति पर अपने वैधानिक आधार के रूप में निर्भर करता है, डेटा विषय से स्पष्ट, स्वैच्छिक, विशिष्ट और प्रलेखित अभिव्यक्ति के आधार पर प्राप्त किया जाना चाहिए। व्यक्तिगत डेटा सुरक्षा केंद्र ने विनियमों के चरणबद्ध प्रारंभ के दौरान जारी किए गए अपने मार्गदर्शन में पुष्टि की है कि पूर्व-टिक किए गए बॉक्स, निरंतर ब्राउज़िंग से अनुमानित निहित सहमति, और बंडल सहमति बैनर कानून के मानक को पूरा नहीं करते। यह मिस्र को वैश्विक प्रक्षेपवक्र के साथ दृढ़ता से पंक्तिबद्ध करता है और इसका अर्थ है कि प्रकाशक EEA यातायात के लिए जो व्यावहारिक मुद्रा पहले से बनाए रखते हैं, वह मिस्री यातायात के लिए सही शुरुआती बिंदु है।

व्यावहारिक प्रभाव यह है कि कुकीज़ और कोई भी अनुरूप प्रौद्योगिकियाँ जो सेवा प्रदान करने के लिए सख्त रूप से आवश्यक नहीं हैं, उपयोगकर्ता द्वारा सक्रिय रूप से सहमति देने से पहले सेट नहीं की जानी चाहिए। कड़ाई से आवश्यक कुकीज़ – सत्र पहचानकर्ता, कार्ट सामग्री, सुरक्षा टोकन, लोड-बैलेंसिंग कुकीज़ – इस आधार पर बिना सहमति के सेट की जा सकती हैं कि उपयोगकर्ता ने सक्रिय रूप से सेवा का अनुरोध किया है। बाकी सब कुछ – विश्लेषण, विज्ञापन, वैयक्तिकरण, A/B परीक्षण, सत्र रिप्ले और कोई भी तृतीय-पक्ष टैग – पूर्व सहमति की आवश्यकता है।

PDPL व्यवहार में GDPR से कैसे अलग है

एकीकरण परत पर तीन अंतर मायने रखते हैं। पहला, PDPL को आवश्यकता है कि संवेदनशील व्यक्तिगत डेटा के प्रसंस्करण के लिए सहमति लिखित रूप में या एक प्रलेखित इलेक्ट्रॉनिक समकक्ष के माध्यम से प्राप्त की जाए जिसे नियंत्रक अनुरोध पर प्रस्तुत कर सके – GDPR की स्पष्ट-सहमति आवश्यकता की तुलना में एक उच्च साक्ष्यात्मक मानक। दूसरा, PDPL एक लाइसेंसिंग व्यवस्था लागू करता है: नियंत्रकों और प्रोसेसरों को व्यक्तिगत डेटा सुरक्षा केंद्र के साथ पंजीकरण करना होगा, और प्रसंस्करण की कुछ श्रेणियों – सीमा-पार हस्तांतरण और प्रत्यक्ष विपणन सहित – के लिए एक अलग परिचालन लाइसेंस की आवश्यकता है। तीसरा, PDPL के सीमा-पार हस्तांतरण नियमों में या तो केंद्र द्वारा पर्याप्तता पदनाम, एक अनुमोदित संविदात्मक सुरक्षा उपाय, या डेटा विषय की स्पष्ट सहमति आवश्यक है; पदनामों या सुरक्षा उपायों के बिना क्षेत्राधिकार में स्थानांतरण प्राप्तकर्ता की अपनी अनुपालन स्थिति की परवाह किए बिना प्रतिबंधित है।

PDPL के तहत अनुपालन कुकी बैनर कैसा दिखता है

तकनीकी आवश्यकताएं उस चीज़ के साथ अभिसरण करती हैं जो हर आधुनिक CMP पहले से उत्पन्न करता है, लेकिन लेबलिंग, दस्तावेज़ीकरण और सहमति लॉग में मिस्री विशिष्टताओं को प्रतिबिंबित करना होगा। पहली-परत बैनर को उपयोगकर्ता को एक वास्तविक विकल्प प्रस्तुत करना होगा – स्वीकार करें, अस्वीकार करें, प्रबंधित करें – जहाँ अस्वीकृति विकल्प कम से कम स्वीकृति विकल्प जितना प्रमुख हो। बंडल सहमति निषिद्ध है, इसलिए दूसरी परत को प्रति-श्रेणी ऑप्ट-इन की अनुमति देनी होगी जो कम से कम विश्लेषण, विज्ञापन और किसी भी सीमा-पार-हस्तांतरण-निर्भर प्रसंस्करण को कवर करती हो। श्रेणियों को डिफ़ॉल्ट रूप से बंद होना चाहिए; बैनर को तब तक टैग लोड नहीं करना चाहिए जब तक उपयोगकर्ता ने उन्हें सक्रिय रूप से चालू नहीं किया हो।

बैनर से प्रदर्शित गोपनीयता सूचना को नियंत्रक, नियंत्रक का PDPL लाइसेंस नंबर यदि लागू हो, एकत्रित व्यक्तिगत डेटा की श्रेणियाँ, प्रत्येक प्रसंस्करण उद्देश्य के लिए वैधानिक आधार, डेटा-प्रतिधारण अवधि, प्राप्तकर्ताओं की श्रेणियाँ जिसमें मिस्र के बाहर स्थित कोई भी उप-प्रोसेसर शामिल हैं, कानून के तहत डेटा विषय के अधिकार, और शिकायतों के लिए व्यक्तिगत डेटा सुरक्षा केंद्र का संपर्क विवरण पहचाना जाना चाहिए। GDPR अनुच्छेद 13 मानक को पूरा करने वाली एक सूचना काफी हद तक ओवरलैप करेगी, लेकिन मिस्री-लाइसेंस और केंद्र-संपर्क लाइनों को स्पष्ट रूप से जोड़ा जाना चाहिए।

वह एकीकरण पैटर्न जो व्यक्तिगत डेटा सुरक्षा केंद्र की समीक्षा से गुजरता है

संदर्भ कार्यान्वयन में चार गतिशील भाग हैं। पहला एक CMP है जो प्रति-श्रेणी, डिफ़ॉल्ट-बंद ऑप्ट-इन का समर्थन करता है और उपयोगकर्ता की पसंद को एक संरचित सहमति स्ट्रिंग के माध्यम से उजागर करता है जिसे प्रकाशक बना रह सकता है। दूसरी एक टैग-लोडिंग परत है – एक सर्वर-साइड टैग प्रबंधक या एक CMP-नेटिव गेट – जो किसी भी गैर-आवश्यक कुकी को सेट करने से पहले सहमति स्थिति को सख्ती से लागू करती है। तीसरा एक सहमति लॉग है, सर्वर-साइड संग्रहीत, जो प्रत्येक सहमति घटना के लिए प्रति श्रेणी उपयोगकर्ता की पसंद, टाइमस्टैंप, बैनर संस्करण और एक छोटा या हैश किया हुआ IP पहचानकर्ता रिकॉर्ड करता है ताकि नियंत्रक केंद्र के अनुरोध पर रिकॉर्ड प्रस्तुत कर सके। चौथा एक वापसी पथ है जो मूल अनुदान जितना आसान हो – आम तौर पर फुटर में एक स्थायी बैनर पुनः-खोलने का लिंक।

2026 के लिए सत्यापन, लाइसेंसिंग और ऑडिट स्थिति

2026 में एक बचाव योग्य मिस्री तैनाती को चार तकनीकी जाँचें पास करनी होंगी। पहला, मिस्री IP पते से प्रदान किया गया एक साफ़ ब्राउज़र सत्र बैनर को सक्रिय करने से पहले शून्य गैर-आवश्यक कुकीज़ उत्पन्न करना चाहिए। दूसरा, reject-all पथ को no-action सत्र जैसी ही स्थिति में परिणाम देना चाहिए – कोई विश्लेषण टैग नहीं, कोई विज्ञापन टैग नहीं, कोई सत्र-रिप्ले स्क्रिप्ट नहीं। तीसरा, एक accept-all प्रवाह को केवल वे टैग उत्पन्न करने चाहिए जिनके लिए उपयोगकर्ता ने सहमति दी है, और सहमति लॉग में एक मेल खाता रिकॉर्ड होना चाहिए। चौथा, एक वापसी प्रवाह को तुरंत आगे टैग फायर रोकना चाहिए, सहमत सत्र के दौरान सेट की गई कुकीज़ को समाप्त करना चाहिए, और प्राप्तकर्ता भागीदारों द्वारा आवश्यक किसी भी डाउनस्ट्रीम हटाने या ऑप्ट-आउट सिग्नल को ट्रिगर करना चाहिए।

तकनीकी जाँचों से परे, लाइसेंसिंग और ऑडिट स्थिति वह है जो एक तैनाती को बचाव योग्य बनाती है। कार्यकारी विनियमों द्वारा निर्धारित सीमाओं से ऊपर मिस्री निवासियों के व्यक्तिगत डेटा को संसाधित करने वाले नियंत्रकों को व्यक्तिगत डेटा सुरक्षा केंद्र के साथ पंजीकृत होना चाहिए, और पंजीकरण रिकॉर्ड – सहमति लॉग, गोपनीयता सूचना, उच्च-जोखिम प्रसंस्करण के लिए डेटा-संरक्षण-प्रभाव-मूल्यांकन परिणाम, और किसी भी सीमा-पार-हस्तांतरण प्राधिकरण के साथ – उस दस्तावेज़ीकरण का निर्माण करता है जिसे केंद्र अनुपालन समीक्षा के दौरान अनुरोध कर सकता है। एक सर्वर-साइड लॉग के साथ सही तरीके से कॉन्फ़िगर किया गया CMP, एक टैग-लोडिंग परत जो सहमति स्थिति को लागू करती है, एक गोपनीयता सूचना जो प्रत्येक सीमा-पार-हस्तांतरण गंतव्य का नाम लेती है, और फ़ाइल पर लाइसेंसिंग कागज़ात – यही वह है जो मिस्री PDPL को एक नियामक अज्ञात से एक प्रकाशक की MENA-क्षेत्र सहमति स्थिति के बचाव योग्य हिस्से में बदलता है।

← ब्लaderegistrdelays delays सभी पढ़ें →