ეგვიპტის პერსონალური მონაცემების დაცვის კანონი №151/2020 — ქუქი-თანხმობის შესაბამისობის სახელმძღვანელო: გამომცემლებისთვის 2026 წლის სახელმძღვანელო
ეგვიპტის პერსონალური მონაცემების დაცვის კანონი №151/2020 — ჩვეულებრივ მოხსენიებული როგორც ეგვიპტური PDPL — გამოქვეყნდა 15 July 2020 და ძალაში შევიდა 14 October 2020. მომდევნო პერიოდის უდიდეს ნაწილში, სამოქმედო რეგლამენტების არარსებობა ნიშნავდა, რომ კანონი ემყარებოდა პრინციპების გამოხატვას, ვიდრე აღსასრულებელ რეჟიმს. ეს შეიცვალა, როდესაც Personal Data Protection Centre — კანონის საფუძველზე შექმნილი მარეგულირებელი, Ministry of Communications and Information Technology-სთან მიმაგრებული — გამოაქვეყნა თავისი სამოქმედო ჩარჩო, ლიცენზიის მოთხოვნები და სამოქმედო რეგლამენტები, რომელთა გამოქვეყნება კანონმა გადადო. 2026 წლისთვის რეჟიმი სრულად ოპერაციულია, მონაცემთა კონტროლერებისა და დამმუშავებლების ლიცენზირების ბილიკი აქტიურია, და ეგვიპტეში მოქმედი ან ეგვიპტეს მიზანმიმართული გამომცემლები ექვემდებარებიან შიდა თანხმობის სტანდარტს, რომელიც უფრო ახლოს დგას GDPR-თან, ვიდრე ნებისმიერ ძველ რეგიონულ მოდელთან. ქუქი-თანხმობაზე გავლენა პირდაპირია: ბანერი, რომელიც ეგვიპტეში ძველი რეჟიმის პირობებში მუშაობდა, ახლა აღარ არის საკმარისი, და ბანერი, რომელიც GDPR-ს აკმაყოფილებს, PDPL-ს მხოლოდ მაშინ დააკმაყოფილებს, როდესაც ინტეგრაცია ითვალისწინებს პუნქტებს, სადაც ორი ჩარჩო განსხვავდება.
რას მოითხოვს სინამდვილეში ეგვიპტური PDPL
კანონი ვრცელდება ეგვიპტელი რეზიდენტების პერსონალური მონაცემების დამუშავებაზე, მიუხედავად იმისა, სად არის კონტროლერი ან დამმუშავებელი დამკვიდრებული, და ეგვიპტეში დამკვიდრებულ კონტროლერებსა და დამმუშავებლებზე, მიუხედავად იმისა, სად მდებარეობენ მონაცემთა სუბიექტები. ეს ექსტრატერიტორიული охват ასახავს GDPR-ის მე-3 მუხლს და ნიშნავს, რომ ეგვიპტის გარეთ დასახლებული, მაგრამ ეგვიპტელი მკითხველების, აპლიკაციის ინსტალაციების ან გადამხდელი კლიენტების მქონე გამომცემელი მკაფიოდ არის სფეროში. პერსონალური მონაცემები ფართოდ არის განმარტებული, როგორც ნებისმიერი მონაცემი, რომელიც ეხება იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირს, ხოლო მგრძნობიარე პერსონალური მონაცემები — მათ შორის ჯანმრთელობის, ბიომეტრიული, გენეტიკური, ფსიქიკური ჯანმრთელობის, ფინანსური, რელიგიური რწმენის, პოლიტიკური მოსაზრებისა და სისხლისსამართლებრივი გამამტყუნებელი მონაცემები — ექვემდებარება მაღალ თანხმობის ზღვარს და დამატებით გარანტიებს.
კანონი ადგენს დამუშავების კანონიერ საფუძვლებს, მონაცემთა სუბიექტის უფლებების სტანდარტულ ნაკრებს — წვდომა, გასწორება, წაშლა, შეზღუდვა, წინააღმდეგობა და პორტაბელობა —, კონტროლერ-დამმუშავებლის ანგარიშვალდებულების ჩარჩოს, დარღვევის შეტყობინების ვალდებულებებს, საზღვარგარეთ გადაცემის კონტროლს და ადმინისტრაციული სანქციების რეჟიმს, სადაც ჯარიმები მცირე დარღვევებისთვის EGP 100,000-დან სერიოზული ან განმეორებითი დარღვევებისთვის EGP 5 მილიონამდე მოიცავს. სისხლისსამართლებრივი სანქციები ვრცელდება ყველაზე სერიოზულ კატეგორიებზე, მათ შორის უნებართვო საზღვარგარეთ გადაცემასა და უნებართვო მგრძნობიარე მონაცემთა დამუშავებაზე.
როგორ ეხება PDPL ქუქი-თანხმობას კონკრეტულად
EU-ის ePrivacy დირექტივისგან განსხვავებით, PDPL არ შეიცავს ქუქიებზე ცალკე დებულებას. ქუქიები და ანალოგიური შენახვა-და-წვდომის ტექნოლოგიები ექვემდებარებიან ზოგადი თანხმობის ჩარჩოს: პერსონალური მონაცემების ნებისმიერი დამუშავება, რომელიც ეყრდნობა თანხმობას, როგორც კანონიერ საფუძველს, უნდა მიიღებოდეს მონაცემთა სუბიექტის მხრიდან გამოხატული, ნებაყოფლობითი, კონკრეტული და დოკუმენტური შეთანხმების საფუძველზე. Personal Data Protection Centre-მა, რეგულაციების ეტაპობრივი ამოქმედების განმავლობაში გამოქვეყნებულ სახელმძღვანელოში, დაადასტურა, რომ წინასწარ მონიშნული ველები, გაგრძელებული დათვალიერებიდან ნაგულვები ნაგულვები თანხმობა და ერთობლივი თანხმობის ბანერები კანონის სტანდარტს არ აკმაყოფილებს. ეს ეგვიპტეს გლობალური ტრაექტორიასთან ამყარებს და ნიშნავს, რომ გამომცემლები EEA-სთვის უკვე ინარჩუნებენ პრაქტიკულ პოზას ეს არის სწორი საწყისი წერტილი ეგვიპტური ტრაფიკისთვის.
პრაქტიკული ეფექტი ისაა, რომ ქუქიები და ნებისმიერი ანალოგიური ტექნოლოგია, რომელიც სერვისის მიწოდებისათვის მკაცრად საჭირო არ არის, არ უნდა დაყენდეს მანამ, სანამ მომხმარებელი აქტიურად არ გამოთქვამს თანხმობას. მკაცრად საჭირო ქუქიები — სესიის იდენტიფიკატორები, კალათის შინაარსი, უსაფრთხოების ნიშნები, დატვირთვის განაწილების ქუქიები — შეიძლება დაყენდეს თანხმობის გარეშე, საფუძვლად ისე, რომ მომხმარებელმა სერვისი აქტიურად მოითხოვა. ყველა სხვა — ანალიტიკა, რეკლამა, პერსონალიზაცია, A/B ტესტირება, სესიის ხელახლა ჩართვა და ნებისმიერი მესამე მხარის ტეგი — მოითხოვს წინასწარ თანხმობას.
როგორ განსხვავდება PDPL GDPR-სგან პრაქტიკაში
ინტეგრაციის ფენაზე სამი განსხვავება მნიშვნელოვანია. პირველი, PDPL მოითხოვს, რომ მგრძნობიარე პერსონალური მონაცემების დამუშავებაზე თანხმობა მიღებულ იქნეს წერილობით ან დოკუმენტური ელექტრონული ეკვივალენტის მეშვეობით, რომელიც კონტროლერს შეუძლია მოთხოვნის შემთხვევაში წარადგინოს — GDPR-ის ცალსახა თანხმობის მოთხოვნაზე უფრო მაღალი მტკიცებულებების სტანდარტი. მეორე, PDPL ადგენს ლიცენზიის რეჟიმს: კონტროლერებმა და დამმუშავებლებმა Personal Data Protection Centre-ში უნდა დარეგისტრირდნენ, და გარკვეული კატეგორიის დამუშავება — მათ შორის საზღვარგარეთ გადაცემა და პირდაპირი მარკეტინგი — საჭიროებს ცალკე სამოქმედო ლიცენზიას. მესამე, PDPL-ის საზღვარგარეთ გადაცემის წესები მოითხოვს Centre-ის მიერ ადეკვატურობის დადგენას, დამტკიცებულ სახელშეკრულებო გარანტიას ან მონაცემთა სუბიექტის ცალსახა თანხმობას; გადაცემა დადგენილებების ან გარანტიების გარეშე იურისდიქციებში შეზღუდულია, მიუხედავად მიმღების საკუთარი შესაბამისობის პოზისა.
როგორ გამოიყურება PDPL-ის შესაბამისი ქუქი-ბანერი
ტექნიკური მოთხოვნები ემთხვევა იმას, რასაც ყოველი თანამედროვე CMP უკვე ქმნის, მაგრამ ეტიკეტირება, დოკუმენტაცია და თანხმობის ჟურნალი უნდა ასახავდეს ეგვიპტურ სპეციფიკას. პირველი ფენის ბანერი უნდა წარუდგინოს მომხმარებელს რეალური არჩევანი — მიღება, უარყოფა, მართვა — სადაც უარყოფის ოფცია სულ მცირე ისეთივე თვალსაჩინოა, როგორც მიღების ოფცია. ერთობლივი თანხმობა აკრძალულია, ამიტომ მეორე ფენა უნდა იძლეოდეს კატეგორიის მიხედვით opt-in-ის შესაძლებლობას, რომელიც მინიმუმ ანალიტიკას, რეკლამასა და ნებისმიერ საზღვარგარეთ გადაცემაზე დამოკიდებულ დამუშავებას მოიცავს. კატეგორიები ნაგულისხმევად უნდა იყოს გამორთული; ბანერი არ უნდა ჩატვირთოს ტეგები, სანამ მომხმარებელი მათ დადებითად ჩართავს.
ბანერიდან გამოტანილ კონფიდენციალობის შეტყობინებაში უნდა იდენტიფიცირდეს კონტროლერი, კონტროლერის PDPL ლიცენზიის ნომერი (ასეთის არსებობის შემთხვევაში), შეგროვებული პერსონალური მონაცემების კატეგორიები, თითოეული დამუშავების მიზნის კანონიერი საფუძველი, მონაცემთა შენახვის პერიოდი, მიმღებთა კატეგორიები, მათ შორის ეგვიპტის გარეთ განლაგებული ქვე-დამმუშავებლები, კანონით განსაზღვრული მონაცემთა სუბიექტის უფლებები და კონფიდენციალობის მარეგულირებლის — Personal Data Protection Centre-ის საჩივრების საკონტაქტო მონაცემები. GDPR-ის მე-13 მუხლის სტანდარტის მდრთველი შეტყობინება მეტწილად გადაკვეთება, მაგრამ ეგვიპტური ლიცენზიისა და Centre-ის საკონტაქტო ხაზები ცალსახად უნდა დაემატოს.
ინტეგრაციის ნიმუში, რომელიც პასუხობს Personal Data Protection Centre-ის გადასინჯვას
სარეფერენციო იმპლემენტაციას ოთხი მოძრავი ნაწილი აქვს. პირველი არის CMP, რომელიც მხარს უჭერს კატეგორიის მიხედვით, ნაგულისხმევ-გამორთულ opt-in-ს და ამხელს მომხმარებლის არჩევანს სტრუქტურული თანხმობის სტრინგის მეშვეობით, რომლის შენახვაც გამომცემელს შეუძლია. მეორე არის ტეგების ჩატვირთვის ფენა — სერვერის მხარის ტეგ-მენეჯერი ან CMP-ნათელი კარიბჭე — რომელიც მკაცრად ამოქმედებს თანხმობის მდგომარეობას, სანამ არაარსებითი ქუქი დაყენდება. მესამე არის თანხმობის ჟურნალი, სერვერის მხარეს შენახული, რომელიც ყოველი თანხმობის მოვლენისთვის ჩაწერს კატეგორიის მიხედვით მომხმარებლის არჩევანს, დროის ნიშანს, ბანერის ვერსიას და შემოკლებულ ან ჰეშირებულ IP-იდენტიფიკატორს, ასე რომ კონტროლერს შეუძლია Centre-ის მოთხოვნით ჩანაწერი წარადგინოს. მეოთხე არის გამოტანის ბილიკი, რომელიც სულ მცირე ისეთივე მარტივია, როგორც თავდაპირველი გაცემა — ჩვეულებრივ footer-ში მუდმივი ბანერის ხელახლა გახსნის ბმული.
- ანალიტიკის ტეგები — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — მხოლოდ ანალიტიკის კატეგორიის მინიჭების შემდეგ უნდა ჩაიტვირთოს. თითოეული პლათფორმა მხარს უჭერს თანხმობით შეზღუდულ კონფიგურაციას, რომელიც ხელს უშლის ქუქის ჩაწერას კარიბჭის გახსნამდე.
- სარეკლამო ტეგები — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, პროგრამული header bidder-ები — ანალოგიურად უნდა იყოს შეზღუდული, და სადაც სარეკლამო პარტნიორი ეგვიპტის გარეთ გადასცემს მონაცემებს, მიმღები იურისდიქცია კონფიდენციალობის შეტყობინებაში უნდა გამოჩნდეს. ზოგადი გლობალური სერვის პროვაიდერების მიერ დამუშავებული გამჟღავნება Centre-ის სახელმძღვანელოს მიხედვით საკმარისი არ არის.
- სესიის ხელახლა ჩართვის და სითბოს რუქის ხელსაწყოები — Hotjar, Microsoft Clarity, FullStory — ცალკე, უფრო მკაცრ კარიბჭეს მიღმა უნდა მოთავსდეს, რადგანაც Centre EDPB-ის შეხედულებას ემთხვევა, რომ შეყვანის ველების ვიზუალიზაცია მოითხოვს ცალსახა და განვრცობილ თანხმობას.
- საზღვარგარეთ გადაცემის გამჟღავნება უნდა იყოს სპეციფიური თითოეული მიმღები იურისდიქციისთვის და მიმართოს გადაცემის კანონიერ საფუძველს — დამტკიცებული სახელშეკრულებო გარანტია, ადეკვატურობის დადგენა ან მონაცემთა სუბიექტის ცალსახა თანხმობა.
ვალიდაცია, ლიცენზირება და 2026 წლის აუდიტის პოზა
2026 წელს დასაცავი ეგვიპტური განლაგება ოთხ ტექნიკურ შემოწმებას უნდა გაიაროს. პირველი, ეგვიპტური IP-მისამართიდან მომსახურებული სუფთა ბრაუზერის სესია ნულოვანი არაარსებითი ქუქი უნდა გამოიმუშავოს, სანამ ბანერი გააქტიურდება. მეორე, ყველა უარყოფის ბილიკი ისეთივე პოზა უნდა გამოიღოს, როგორც ქმედების გარეშე სესია — ანალიტიკის ტეგები არ არსებობს, სარეკლამო ტეგები არ არსებობს, სესიის ხელახლა ჩართვის სკრიპტები არ არსებობს. მესამე, ყველა მიღების ნაკადი მხოლოდ მომხმარებლის მიერ თანხმობა გაცემული ტეგებს უნდა გამოიმუშავებდეს, და თანხმობის ჟურნალი შესაბამის ჩანაწერს უნდა შეიცავდეს. მეოთხე, გამოტანის ნაკადი დაუყოვნებლივ უნდა ჩაერთოს ტეგების შემდგომი გაშვების შეჩერებაში, გააუქმოს თანხმობის სესიის განმავლობაში დაყენებული ქუქიების ვადა და გამოიწვიოს მიმღები პარტნიორების მოთხოვნილი ქვემო ნაკადის წაშლის ან opt-out სიგნალები.
ტექნიკური შემოწმებების გარდა, ლიცენზიისა და აუდიტის პოზა ის არის, რაც განლაგებას დასაცავს ხდის. კონტროლერები, რომლებიც სამოქმედო რეგლამენტებით განსაზღვრული ზღვრებზე მეტი ეგვიპტელი რეზიდენტების პერსონალური მონაცემებს ამუშავებენ, Personal Data Protection Centre-ში უნდა იყვნენ რეგისტრირებული, და რეგისტრაციის ჩანაწერი — თანხმობის ჟურნალთან, კონფიდენციალობის შეტყობინებასთან, მაღალი რისკის დამუშავებისთვის მონაცემთა დაცვის გავლენის შეფასების შედეგებთან და ნებისმიერ საზღვარგარეთ გადაცემის ნებართვასთან ერთად — ქმნის დოკუმენტაციას, რომელსაც Centre შესაბამისობის განხილვისას შეიძლება მოითხოვს. სერვერის მხარის ჟურნალით სწორად კონფიგურირებული CMP, თანხმობის მდგომარეობის ამოქმედების ტეგ-ჩატვირთვის ფენა, თითოეული საზღვარგარეთ გადაცემის დანიშნულებას დამასახელებელი კონფიდენციალობის შეტყობინება და ფაილზე შენახული სალიცენზიო დოკუმენტაცია ის არის, რაც ეგვიპტის PDPL-ს რეგულაციურ უცნობიდან გამომცემლის MENA-რეგიონის თანხმობის პოზის დასაცავ ნაწილად გადაქცევს.