Egyptskt persónuverndarlag nr. 151/2020 leiðarvísir um samþykki smákaka: 2026 handbók fyrir útgefendur
Persónuverndarlag Egypts nr. 151/2020 — venjulega kallað egypska PDPL — var gefið út 15 July 2020 og tók gildi 14 October 2020. Að mestu leyti síðan þá hafði lagið, vegna skorts á framkvæmdarreglugerðum, frekar þjónað sem yfirlýsing um meginreglur en framfylganlegt kerfi. Þetta breyttist þegar Persónuverndarsetur — eftirlitsaðilinn sem stofnaður var samkvæmt lögum og tengist Ministry of Communications and Information Technology — birti rekstrarrammann, leyfiskröfurnar og framkvæmdarreglugerðirnar sem lögin höfðu látið eftir að gefa út. Árið 2026 er kerfið að fullu virkt, leyfisferillinn fyrir gagnarekendur og vinnsluaðila er virkur, og útgefendur sem starfa í eða beinast að Egyptalandi lúta innlendum samþykkisstaðli sem er nær GDPR en nokkru eldra svæðislíkani. Áhrifin á samþykki smákaka eru bein: borði sem virkaði í Egyptalandi undir gamla kerfinu er ekki nóg lengur, og borði sem uppfyllir GDPR mun uppfylla PDPL aðeins þegar samþætting tekur tillit til punktanna þar sem tvær rammar víkja frá hvorum öðrum.
Hvað egypska PDPL krefst í raun og veru
Lögin gilda um vinnslu persónuupplýsinga egypskra íbúa óháð því hvar rekstraraðili eða vinnsluaðili er staðsettur, og fyrir rekstraraðila og vinnsluaðila með staðsetningu í Egyptalandi óháð því hvar gagnaeigendur eru staðsettir. Þetta þvert-landamæra-umfang speglar GDPR 3. grein og þýðir að útgefandi með höfuðstöðvar utan Egypts en með egypskar lesendur, forrituppsetningar eða greiðandi viðskiptavini er örugglega innan gildissviðs. Persónuupplýsingar eru skilgreindar vítt sem hvaða gögn sem tengjast auðþekkjanlegum eða auðþekkjanlegum einstaklingi; viðkvæmar persónuupplýsingar — þar á meðal heilsu-, lífmæla-, erfðafræðilegar, geðheilsu-, fjárhagslegar, trúarafstöðu-, pólitískar skoðunar- og sakfelldar gögn — lúta hærra samþykkisþröskuldi og viðbótarverndum.
Lögin koma á lögmætum grundvelli fyrir vinnslu, venjulegu setti af réttindum gagnaeigenda — aðgangur, leiðrétting, eyðing, takmörkun, mótmæli og flutningshæfni — rekstraraðila-vinnsluaðila ábyrgðarramma, tilkynningarskyldum um öryggisbrot, þvert-landamæra-flutningseftirlit og stjórnviðurlaga kerfi með sektum á bilinu EGP 100.000 fyrir minniháttar brot upp í EGP 5 milljónum fyrir alvarlegar eða endurteknar brotleg hegðun. Refsiviðurlög gilda um alvarlegustu flokka, þar á meðal ólöglegar þvert-landamæra-flutningar og vinnslu viðkvæmra gagna án heimildar.
Hvernig PDPL meðhöndlar samþykki smákaka sérstaklega
Ólíkt ePrivacy-tilskipun ESB inniheldur PDPL ekki sérstakt ákvæði um smákökur. Smákökur og hliðstæðar geymslu-og-aðgangs-tækni falla undir almennt samþykkisramma: öll vinnsla persónuupplýsinga sem treystir á samþykki sem lögmætan grundvöll verður að fást á grundvelli skýrrar, frjálslegrar, sértækrar og skjallaðrar samþykkisyfirlýsingar frá gagnaeigandanum. Persónuverndarsetur hefur í leiðbeiningum sem gefnar voru út á stigskiptum gildistöku reglugerðanna staðfest að fyrirfram hakkaðar gátreitir, óbein samþykki sem dregin eru af áframhaldandi vafri og bundið samþykki borðar uppfylla ekki kröfur laganna. Þetta færir Egypta í samræmi við alþjóðlega þróun og þýðir að hagnýt afstaða sem útgefendur viðhalda þegar fyrir EEA er réttur upphafsstaður fyrir egypskan umferð.
Hagnýt áhrif eru þau að smákökur og hliðstæðar tækni sem eru ekki stranglega nauðsynlegar til að veita þjónustuna má ekki setja áður en notandinn hefur gefið virkt samþykki. Stranglega nauðsynlegar smákökur — lotuskilríki, körfuinnihald, öryggistákn, smákökur til hleðslujöfnunar — má setja án samþykkis á grundvelli þess að notandinn hefur sérstaklega beðið um þjónustuna. Allt annað — greiningar, auglýsingar, sérsníðing, A/B prófun, lotu-endurspilun og hvaðeina þriðja aðila merki — krefst fyrirfram samþykkis.
Hvernig PDPL víkur frá GDPR í framkvæmd
Þrjár munir skipta máli á samþættingarlaginu. Í fyrsta lagi krefst PDPL þess að samþykki fyrir vinnslu viðkvæmra persónuupplýsinga fáist skriflega eða með skjalfestum rafrænum jafngildi sem rekstraraðili getur framvísað að beiðni — hærri sannaðar kröfur en GDPR skýrar samþykkiskröfur. Í öðru lagi setur PDPL upp leyfiskerfi: rekstraraðilar og vinnsluaðilar verða að skrá sig hjá Persónuverndarsetri, og ákveðnir flokkar af vinnslu — þar á meðal þvert-landamæra-flutningur og bein markaðssetning — krefjast sérstaks rekstrarleyfis. Í þriðja lagi krefjast þvert-landamæra-flutningsreglur PDPL annaðhvort fullnægingarákvörðun frá Setri, samþykktri samningslegar verndar, eða skýrri samþykki frá gagnaeigandanum; flutningur til lögsögu án ákvörðunar eða verndar er takmarkaður óháð eigin samræmisafstöðu móttakanda.
Hvernig lögmætur smákakuborði lítur út samkvæmt PDPL
Tæknilegar kröfur sameinast við það sem hvert nútímalegt CMP framleiðir nú þegar, en merkingar, skjöl og samþykkisskrá verða að endurspegla egypsk sérkennilegar atriði. Fyrsta-lag-borðinn verður að kynna notandanum raunverulegt val — samþykkja, hafna, stjórna — þar sem hafreiknivalkosturinn er að minnsta kosti jafn áberandi og samþykktarvalkosturinn. Bundið samþykki er bannað, þannig að annað lag verður að leyfa samþykki per flokki sem nær að lágmarki greiningu, auglýsingar og hvaða vinnslu sem er háð þvert-landamæra-flutningi. Flokkar verða að vera sjálfgefið af; borðinn má ekki hlaða merkjum fyrr en notandinn hefur kveikt á þeim með virkni.
Persónuverndartilkynningin sem birtist frá borðanum verður að auðkenna rekstraraðilann, PDPL-leyfisnúmer rekstraraðilans ef við á, flokka persónuupplýsinga sem safnað er, lögmætan grundvöll fyrir hvern vinnslutudum, gagnageymslubiðtímann, flokka móttakenda þar á meðal hvaða undirvinnsluraðila sem staðsettir eru utan Egypts, réttindi gagnaeigandans samkvæmt lögunum og samskiptaupplýsingar Persónuverndarseturs til kvartana. Tilkynning sem uppfyllir 13. grein GDPR mun skarist mikið, en egypska leyfi og samskiptaupplýsingar Seturs verða að bætast við sérstaklega.
Samþættingarmynstrið sem stenst yfirferð Persónuverndarseturs
Tilvísunarframleiðslan hefur fjóra hreyfanlega hluta. Sá fyrsti er CMP sem styður per-flokk, sjálfgefið-af opt-in og afhjúpar val notandans í gegnum skipulagðan samþykktarstreng sem útgefandinn getur vistað. Sá annar er merki-hleðslulager — netþjóna-hliðar merki-stjórnandi eða CMP-innfæddur gátt — sem knýr rækilega á samþykktarástandi áður en einhver óþarfi smákaka er sett. Sá þriðji er samþykkisskrá, geymd á netþjóna-hlið, sem skráir fyrir hvert samþykktisatvik val notandans per flokk, tímastimpilinn, borðaútgáfuna og styttan eða hakkaðan IP-auðkenni þannig að rekstraraðilinn geti framvísað skrána að beiðni Seturs. Sá fjórði er afturkallingarleiðin sem er að minnsta kosti jafn auðveld og upprunaleg veiting — venjulega viðvarandi borðaenduropnunartengill í síðufætinum.
- Greiningar-merki — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — verða aðeins að hlaðast eftir að greininga-flokkurinn hefur verið veittur. Hvert vettvangur styður samþykkt-gátaða stillingu sem kemur í veg fyrir hvaða smákaku-skrift fyrr en gáttinn opnast.
- Auglýsingarmerki — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, forritanlegar haus-bjóðendur — verða að vera svipað gáttaðar, og þar sem auglýsingapartnerinn flytur gögn utan Egypts verður móttakarlögsagan að birtast í persónuverndartilkynningunni. Almælt unnin af alþjóðlegum þjónustuaðilum uppljóstrun er ekki nóg samkvæmt leiðbeiningum Seturs.
- Lotu-endurspilun og hitakorts verkfæri — Hotjar, Microsoft Clarity, FullStory — verða að vera á bak við aðskilda, strangari gátt vegna þess að Setur hefur samræmt sig skoðun EDPB um að rennsli inntaksreita krefst skýrar og nákvæmrar samþykkis.
- Þvert-landamæra-flutningsuppljóstranir verður að vera sértækar fyrir hverja móttakarlögsögu og vísa í lögmætan grundvöll flutningsins — samþykkt samningslegar verndar, fullnægingarákvörðun eða skýrt samþykki gagnaeiganda.
Staðfesting, leyfisveitingar og endurskoðunarafstaða fyrir 2026
Varanlegt egypsk uppsetning árið 2026 verður að standast fjórar tæknilegar athuganir. Í fyrsta lagi verður hrein vafralota þjónustuð frá egypskri IP-tölu að framleiða núll óþarfar smákökur áður en borðinn hefur verið virkjaður. Í öðru lagi verður hafna-öllu-leiðin að leiða til sömu afstöðu og lota án aðgerðar — engin greiningamerki, engin auglýsingamerki, engar lotu-endurspilun-skriftur. Í þriðja lagi verður samþykkja-allt-flæðið að framleiða aðeins merkj sem notandinn hefur samþykkt, og samþykkisskráin verður að innihalda samsvarandi skrá. Í fjórða lagi verður afturkallingarleiðin að stoppa strax frekar merki-eldsneyti, fyrnast smákökurnar sem settar voru á meðal samþykktarlotunnar og kveikja á niðurstreymis eyðingar- eða afskráningarmerkjum sem móttakendur krefjast.
Utan tæknilegu athugananna er leyfis- og endurskoðunarafstaðan það sem gerir uppsetninguna varanlega. Rekstraraðilar sem vinna persónuupplýsingar egypskra íbúa yfir þröskuldana sem framkvæmdarreglugerðirnar setja verða að vera skráðar hjá Persónuverndarsetri, og skráningarskráin — ásamt samþykkisskránni, persónuverndartilkynningunni, niðurstöðum persónuverndaráhrifa-mats fyrir hærra-áhættu-vinnslu og hvaða þvert-landamæra-flutningsheimildum — myndar skjölin sem Setur kann að óska eftir við samræmisyfirferð. Rétt stilltur CMP með netþjóna-hliðar-skrá, merki-hleðslulager sem knýr á samþykktarástandi, persónuverndartilkynning sem nefnir hverja þvert-landamæra-flutnings-ákvörðunarstaðsetningu og leyfisskjölin á skrá er það sem breytir egypska PDPL úr óþekktu reglugerðaratriði í varanlegan hluta samþykkisafstöðu útgefanda á MENA-svæðinu.