Egipatski Zakon o zaštiti osobnih podataka 151 iz 2020. – Vodič za usklađenost s pristankom za kolačiće: Priručnik za izdavače za 2026.
Egipatski Zakon o zaštiti osobnih podataka br. 151 iz 2020. – koji se obično naziva egipatskim PDPL-om – donesen je 15. srpnja 2020. i stupio je na snagu 14. listopada 2020. Tijekom većeg dijela vremena od tada, odsustvo izvršnih propisa značilo je da je Zakon ostao više kao izjava načela nego kao provedivi režim. To se promijenilo kada je Centar za zaštitu osobnih podataka – regulatorno tijelo osnovano na temelju Zakona, vezano uz Ministarstvo komunikacija i informacijske tehnologije – objavio svoj operativni okvir, zahtjeve za licenciranje i izvršne propise koje je Zakon ostavio za kasniju objavu. Do 2026. godine režim je u potpunosti operativan, staza licenciranja za voditelje obrade i izvršitelje obrade je aktivna, a izdavači koji posluju u Egiptu ili ciljaju na Egipat podliježu domaćem standardu pristanka koji je bliži GDPR-u nego bilo kojem starijem regionalnom modelu. Implikacija za pristanak za kolačiće je izravna: banner koji je funkcionirao u Egiptu pod starim režimom više nije dovoljan, a banner koji zadovoljava GDPR zadovoljit će PDPL samo kada integracija uzme u obzir točke u kojima se dva okvira razilaze.
Što egipatski PDPL zapravo zahtijeva
Zakon se primjenjuje na obradu osobnih podataka egipatskih stanovnika bez obzira na to gdje je voditelj ili izvršitelj obrade osnovan, te na voditelje i izvršitelje obrade osnovane u Egiptu bez obzira na to gdje se nalaze ispitanici. Ta ekstrateritorijalna dosega odražava članak 3. GDPR-a i znači da je izdavač sa sjedištem izvan Egipta, ali s egipatskim čitateljima, instaliranim aplikacijama ili platnim kupcima, jasno u domeni primjene. Osobni podaci su u širem smislu definirani kao svaki podatak koji se odnosi na identificiranu ili prepoznatljivu fizičku osobu; posebne kategorije osobnih podataka – uključujući zdravstvene, biometrijske, genetske, mentalno-zdravstvene, financijske, vjerske uvjerenja, politička mišljenja i podatke o kaznenim presudama – podliježu višem pragu pristanka i dodatnim zaštitnim mjerama.
Zakon uspostavlja zakonske osnove za obradu, standardni popis prava ispitanika – pristup, ispravak, brisanje, ograničenje, prigovor i prenosivost –, okvir odgovornosti voditelja-izvršitelja, obveze obavješćivanja o povredi, kontrole prekograničnog prijenosa i administrativni režim sankcija s kaznama u rasponu od 100.000 EGP-a za manje povrede do 5 milijuna EGP-a za teže ili ponavljajuće povrede. Kaznenopravne sankcije primjenjuju se na najozbiljnije kategorije, uključujući nelicencirani prekogranični prijenos i obradu osjetljivih podataka bez odobrenja.
Kako PDPL tretira pristanak za kolačiće posebno
Za razliku od EU-ove Direktive o ePrivacyju, PDPL ne sadrži posebnu odredbu o kolačićima. Kolačići i analogne tehnologije pohrane i pristupa spadaju u opći okvir pristanka: svaka obrada osobnih podataka koja se oslanja na pristanak kao zakonsku osnovu mora se dobiti na temelju izričitog, dobrovoljnog, specifičnog i dokumentiranog izražavanja suglasnosti od ispitanika. Centar za zaštitu osobnih podataka, u svojim smjernicama objavljenim tijekom postupnog stupanja na snagu propisa, potvrdio je da unaprijed označeni okviri, implicitni pristanak zaključen iz nastavka pregledavanja i skupni baneri s pristankom ne zadovoljavaju standard Zakona. Time je Egipat čvrsto usmjeren u skladu s globalnim trendom, a to znači da je praktičan stav koji izdavači već održavaju za promet EEA pravi polazni punkt za egipatski promet.
Praktičan učinak je da se kolačići i sve analogne tehnologije koje nisu strogo nužne za pružanje usluge ne smiju postaviti prije nego što korisnik aktivno pristane. Strogo nužni kolačići – identifikatori sesije, sadržaj košarice, sigurnosni tokeni, kolačići za uravnoteženje opterećenja – mogu se postavljati bez pristanka na temelju toga da je korisnik aktivno zatražio uslugu. Sve ostalo – analitika, oglašavanje, personalizacija, A/B testiranje, reprodukcija sesije i svaka oznaka trećih strana – zahtijeva prethodni pristanak.
Kako se PDPL razlikuje od GDPR-a u praksi
Tri razlike su važne na integracijskom sloju. Prvo, PDPL zahtijeva da se pristanak za obradu posebnih kategorija osobnih podataka dobije u pisanom obliku ili putem dokumentiranog elektroničkog ekvivalenta koji voditelj može dostaviti na zahtjev – viši evidentni standard od zahtjeva izričitog pristanka GDPR-a. Drugo, PDPL nameće režim licenciranja: voditelji i izvršitelji moraju se registrirati pri Centru za zaštitu osobnih podataka, a određene kategorije obrade – uključujući prekogranični prijenos i izravni marketing – zahtijevaju zasebnu operativnu licenciju. Treće, pravila prekograničnog prijenosa PDPL-a zahtijevaju ili odluku o primjerenosti Centra, odobrane ugovorne zaštitne mjere ili izričiti pristanak ispitanika; prijenosi u jurisdikcije bez odluka ili zaštitnih mjera ograničeni su bez obzira na stav usklađenosti samog primatelja.
Kako izgleda baner s kolačićima usklađen s PDPL-om
Tehnički zahtjevi se podudaraju s onim što svaki moderni CMP već proizvodi, ali označavanje, dokumentacija i zapisnik pristanaka moraju odražavati egipatske posebnosti. Baner prvog sloja mora korisniku ponuditi pravi izbor – prihvati, odbij, upravljaj – gdje je opcija odbijanja barem jednako vidljiva kao opcija prihvaćanja. Skupni pristanak je zabranjen, pa stoga drugi sloj mora omogućiti opt-in po kategorijama koji pokriva najmanje analitiku, oglašavanje i svaku obradu ovisnu o prekograničnom prijenosu. Kategorije moraju biti zadano isključene; baner ne smije učitavati oznake dok korisnik nije aktivno uključio te.
Obavijest o privatnosti prikazana iz banera mora identificirati voditelja, broj PDPL licence voditelja ako je primjenjivo, kategorije prikupljenih osobnih podataka, zakonsku osnovu za svaku svrhu obrade, period čuvanja podataka, kategorije primatelja uključujući sve pod-izvršitelje locirane izvan Egipta, prava ispitanika prema Zakonu i kontakt podatke Centra za zaštitu osobnih podataka za pritužbe. Obavijest koja zadovoljava standard članka 13. GDPR-a u velikoj mjeri će se podudarati, ali retke o egipatskoj licenci i kontaktu Centra treba izričito dodati.
Integracijski uzorak koji prolazi pregled Centra za zaštitu osobnih podataka
Referentna implementacija ima četiri pokretna dijela. Prvo je CMP koji podržava opt-in po kategorijama, zadano isključen, i prikazuje korisnikov izbor putem strukturiranog niza pristanka koji izdavač može pohraniti. Drugo je sloj učitavanja oznaka – upravljač oznaka na strani poslužitelja ili CMP-nativni prolaz – koji strogo primjenjuje stanje pristanka prije postavljanja bilo kojeg nebitnog kolačića. Treće je zapisnik pristanaka, pohranjen na strani poslužitelja, koji bilježi za svaki događaj pristanka korisnikov izbor po kategoriji, vremensku oznaku, verziju banera i skraćeni ili hashirani IP identifikator tako da voditelj može dostaviti zapis na zahtjev Centra. Četvrto je put povlačenja bar jednako lak kao što je bila izvorna dodjela – tipično stalna veza za ponovano otvaranje banera u podnožju.
- Analitičke oznake – Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog – smiju se učitavati samo nakon dodjele kategorije analitike. Svaka platforma podržava konfiguraciju s kontroliranim pristankom koja sprječava bilo kakvo pisanje kolačića prije nego što se prolaz otvori.
- Oglasne oznake – Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programatski header bidderi – moraju biti slično zaključane, a gdje oglasni partner prenosi podatke izvan Egipta jurisdikcija primatelja mora se pojaviti u obavijesti o privatnosti. Generično otkrivanje obrađuje globalni pružatelji usluga nije dovoljno prema smjernicama Centra.
- Alati za reprodukciju sesije i toplinske karte – Hotjar, Microsoft Clarity, FullStory – moraju biti smješteni iza zasebnog, strožeg prolaza jer se Centar uskladio sa stajalište EDPB-a da renderiranje polja za unos zahtijeva izričit i granularni pristanak.
- Otkrivanja o prekograničnom prijenosu moraju biti specifična za svaku jurisdikciju primatelja i upućivati na zakonsku osnovu prijenosa – odobrenu ugovornu zaštitnu mjeru, odluku o primjerenosti ili izričiti pristanak ispitanika.
Validacija, licenciranje i stav revizije za 2026.
Obranjiva egipatska implementacija u 2026. mora proći četiri tehnička provjere. Prvo, čista sesija preglednika posluživana s egipatske IP adrese mora producirati nula nebitnih kolačića prije nego što je baner aktiviran. Drugo, put odbaci-sve mora rezultirati istim stavom kao sesija bez akcije – bez analitičkih oznaka, bez oglasnih oznaka, bez skripti za reprodukciju sesije. Treće, tok prihvati-sve mora producirati samo oznake za koje je korisnik dao pristanak, a zapisnik pristanaka mora sadržavati odgovarajući zapis. Četvrto, tok povlačenja mora odmah zaustaviti daljnje okidanje oznaka, isteći kolačiće postavljene tijekom sesije s pristankom i pokrenuti sve nizvodne signale brisanja ili odjave koje zahtijevaju partnerski primatelji.
Osim tehničkih provjera, stav licenciranja i revizije je ono što čini implementaciju obranjivom. Voditelji koji obrađuju osobne podatke egipatskih stanovnika iznad pragova postavljenih izvršnim propisima moraju biti registrirani pri Centru za zaštitu osobnih podataka, a zapis registracije – zajedno sa zapisnikom pristanaka, obaviješću o privatnosti, rezultatima procjene učinka zaštite podataka za obradu višeg rizika i eventualnim odobrenjima prekograničnog prijenosa – čini dokumentaciju koju Centar može zatražiti pri pregledu usklađenosti. Ispravno konfiguriran CMP s zapisnikom na strani poslužitelja, sloj učitavanja oznaka koji primjenjuje stanje pristanka, obavijest o privatnosti koja navodi svako odredište prekograničnog prijenosa i licencna dokumentacija u dosjeima – to je ono što egipatski PDPL pretvara iz regulatorne nepoznanice u obranjivi dio stava pristanka izdavača u MENA regiji.