Egipto Asmens duomenų apsaugos įstatymo Nr. 151/2020 slapukų sutikimo atitikties vadovas: 2026 m. leidėjų veiksmų planas
Egipto Asmens duomenų apsaugos įstatymas Nr. 151/2020 — dažniausiai vadinamas Egipto PDPL — buvo paskelbtas 15 July 2020 ir įsigaliojo 14 October 2020. Didžiąją dalį to laikotarpio vykdomųjų reglamentų nebuvimas reiškė, kad Įstatymas egzistavo veikiau kaip principų pareiškimas nei vykdytinas režimas. Tai pasikeitė, kai Asmens duomenų apsaugos centras — pagal Įstatymą įsteigtas reguliatorius, priskirtas prie Ministry of Communications and Information Technology — paskelbė savo veiklos sistemą, licencijavimo reikalavimus ir vykdomuosius reglamentus, kurių Įstatymas nebuvo paskelbęs. Iki 2026 m. režimas veikia visiškai, duomenų valdytojų ir tvarkytojų licencijavimo kelias yra aktyvus, o Egipte veikiantys ar Egiptą taikantys leidėjai yra pavaldūs vidaus sutikimo standartui, kuris yra arčiau GDPR nei bet kurio senesnio regioninio modelio. Pasekmė slapukų sutikimui yra tiesioginė: baneriai, veikę Egipte pagal ankstesnį režimą, nebėra pakankami, o GDPR reikalavimus atitinkantis baneris atitiks PDPL tik tada, kai integracija atsižvelgs į taškus, kuriuose dvi sistemos skiriasi.
Ko iš tikrųjų reikalauja Egipto PDPL
Įstatymas taikomas Egipto gyventojų asmens duomenų tvarkymui nepriklausomai nuo to, kur įsteigtas valdytojas ar tvarkytojas, ir Egipte įsteigtiems valdytojams bei tvarkytojams nepriklausomai nuo to, kur yra duomenų subjektai. Toks ekstrateritorialus taikymas atspindi GDPR 3 straipsnį ir reiškia, kad leidėjas, įsikūręs ne Egipte, bet turintis Egipto skaitytojų, programėlių diegimų ar mokančių klientų, yra aiškiai taikymo srityje. Asmens duomenys apibrėžiami plačiai kaip bet kokie duomenys, susiję su identifikuotu arba identifikuojamu fiziniu asmeniu; jautrūs asmens duomenys — įskaitant sveikatos, biometrinius, genetinius, psichinės sveikatos, finansinius, religinių įsitikinimų, politinių pažiūrų ir baudžiamojo teistumo duomenis — reikalauja aukštesnio sutikimo slenksčio ir papildomų apsaugos priemonių.
Įstatymas nustato teisinius duomenų tvarkymo pagrindus, standartinį duomenų subjektų teisių rinkinį — prieigos, ištaisymo, ištrynimo, apribojimo, prieštaravimo ir perkeliamumo teises —, valdytojo ir tvarkytojo atskaitomybės sistemą, pareigą pranešti apie pažeidimus, tarpvalstybinio perdavimo kontrolę ir administracinių sankcijų režimą su baudomis nuo EGP 100 000 už nedidelius pažeidimus iki EGP 5 milijonų už šiurkščius ar pakartotinius pažeidimus. Baudžiamosios sankcijos taikomos patiems rimčiausiems atvejams, įskaitant neteisėtą tarpvalstybinį perdavimą ir neteisėtą jautrių duomenų tvarkymą.
Kaip PDPL specifiškai reguliuoja slapukų sutikimą
Skirtingai nuo ES ePrivacy direktyvos, PDPL neturi atskiros nuostatos dėl slapukų. Slapukai ir analogiškos saugojimo ir prieigos technologijos patenka į bendrą sutikimo sistemą: bet koks asmens duomenų tvarkymas, grindžiamas sutikimu kaip teisiniu pagrindu, turi būti gautas remiantis aiškiu, savanorišku, konkrečiu ir dokumentuotu duomenų subjekto sutikimo pareiškimu. Asmens duomenų apsaugos centras, reglamentų laipsniško įsigaliojimo laikotarpiu paskelbtose rekomendacijose, patvirtino, kad iš anksto pažymėti laukeliai, netiesioginiai sutikimai, daryti prielaidą iš tolesnio naršymo, ir sujungti sutikimo baneriai neatitinka Įstatymo standarto. Tai suartina Egiptą su pasaulinėmis tendencijomis ir reiškia, kad praktinė pozicija, kurią leidėjai jau palaiko EEA atžvilgiu, yra tinkamas pradinis taškas Egipto srauto atžvilgiu.
Praktinis poveikis yra toks, kad slapukai ir bet kokios analogiškos technologijos, kurių nereikia griežtai norint teikti paslaugą, negali būti nustatytos prieš naudotojui aktyviai sutinkant. Griežtai būtini slapukai — sesijos identifikatoriai, krepšelio turinys, saugos prieigos raktai, apkrovos balansavimo slapukai — gali būti nustatyti be sutikimo, nes naudotojas aktyviai paprašė paslaugos. Visas kitas — analitika, reklama, personalizavimas, A/B testavimas, sesijos atkūrimas ir bet kurios trečiųjų šalių žymos — reikalauja išankstinio sutikimo.
Kaip PDPL skiriasi nuo GDPR praktikoje
Integravimo sluoksnyje svarbūs trys skirtumai. Pirma, PDPL reikalauja, kad sutikimas tvarkyti jautrius asmens duomenis būtų gautas raštu arba dokumentuotu elektroniniu ekvivalentu, kurį valdytojas gali pateikti paprašius — aukštesnis įrodymų standartas nei GDPR aiškaus sutikimo reikalavimas. Antra, PDPL įveda licencijavimo režimą: valdytojai ir tvarkytojai turi registruotis Asmens duomenų apsaugos centre, o tam tikros tvarkymo kategorijos — įskaitant tarpvalstybinį perdavimą ir tiesioginę rinkodarą — reikalauja atskiros veiklos licencijos. Trečia, PDPL tarpvalstybinio perdavimo taisyklės reikalauja Centro atitikties nustatymo, patvirtintų sutartinių apsaugos priemonių arba aiškaus duomenų subjekto sutikimo; perdavimas į jurisdikcijas be nustatymo ar apsaugos priemonių yra ribojamas nepriklausomai nuo gavėjo paties atitikties pozicijos.
Kaip atrodo PDPL reikalavimus atitinkantis slapukų baneris
Techniniai reikalavimai sutampa su tuo, ką jau gamina kiekvienas šiuolaikinis CMP, tačiau žymėjimas, dokumentacija ir sutikimo žurnalas turi atspindėti Egipto specifiką. Pirmojo sluoksnio baneris turi suteikti naudotojui tikrą pasirinkimą — priimti, atmesti, tvarkyti —, kur atmetimo parinktis yra bent tokia pat ryški kaip priėmimo parinktis. Sujungtas sutikimas yra draudžiamas, todėl antrasis sluoksnis turi leisti pasirinkimą pagal kategorijas, apimantį bent analitiką, reklamą ir bet kokį nuo tarpvalstybinio perdavimo priklausomą tvarkymą. Kategorijos turi būti numatytosiomis nustatytomis į išjungta; baneris neturi krauti žymų, kol naudotojas jų aktyviai neįjungė.
Iš banerio rodomos privatumo pranešimas turi identifikuoti valdytoją, valdytojo PDPL licencijos numerį (jei taikoma), renkamų asmens duomenų kategorijas, teisinį pagrindą kiekvienam tvarkymo tikslui, duomenų saugojimo laikotarpį, gavėjų kategorijas, įskaitant subtvarkytojai ne Egipte, duomenų subjekto teises pagal Įstatymą ir Asmens duomenų apsaugos centro kontaktinius duomenis skundams. Pranešimas, atitinkantis GDPR 13 straipsnio standartą, iš esmės sutaps, tačiau Egipto licencijos ir Centro kontaktų eilutės turi būti aiškiai pridėtos.
Integracijos modelis, praeinantis Asmens duomenų apsaugos centro patikrinimą
Etaloninė diegimo sistema turi keturias judamas dalis. Pirmoji yra CMP, palaikantis pagal kategorijas, numatytuoju atjungtu opt-in ir atskleidžiantis naudotojo pasirinkimą per struktūrizuotą sutikimo eilutę, kurią leidėjas gali saugoti. Antroji yra žymų įkėlimo sluoksnis — serverio pusės žymų tvarkyklė arba CMP gimtasis vartai —, griežtai vykdantis sutikimo būseną prieš nustatant bet kurį nebūtiną slapuką. Trečioji yra sutikimo žurnalas, saugomas serverio pusėje, registruojantis kiekvienam sutikimo įvykiui naudotojo pasirinkimą pagal kategorijas, laiko žymą, banerio versiją ir sutrumpintą arba maišytą IP identifikatorių, kad valdytojas galėtų pateikti įrašą Centro prašymu. Ketvirtoji yra atšaukimo kelias, bent toks pat paprastas kaip pradinis suteikimas — paprastai nuolatinė banerio pakartotinio atidarymo nuoroda antraštėje.
- Analitikos žymos — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — turi būti įkeltos tik suteikus analitikos kategoriją. Kiekviena platforma palaiko sutikimu apribotą konfigūraciją, kuri apsaugo nuo bet kokio slapuko rašymo prieš atsidarius vartams.
- Reklamos žymos — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programinis antraštės siūlytojams — turi būti panašiai apribotos, o kai reklamos partneris perduoda duomenis ne Egipte, gavėjo jurisdikcija turi būti nurodyta privatumo pranešime. Bendrinis tvarkomas pasaulinių paslaugų teikėjų atskleidimas nepakankamai pagal Centro rekomendacijas.
- Sesijų atkūrimo ir šilumos žemėlapio įrankiai — Hotjar, Microsoft Clarity, FullStory — turi būti už atskiro, griežtesnio vartų, nes Centras suderino savo poziciją su EDPB nuomone, kad įvesties laukų atvaizdavimui reikalingas aiškus ir smulkus sutikimas.
- Tarpvalstybinio perdavimo atskleidimai turi būti konkretūs kiekvienai gavėjo jurisdikcijai ir nurodyti perdavimo teisinį pagrindą — patvirtintą sutartinę apsaugos priemonę, atitikties nustatymą arba aiškų duomenų subjekto sutikimą.
Tikrinimas, licencijavimas ir audito pozicija 2026 m.
Gynybingas Egipto diegimas 2026 m. turi praėti keturis techninius tikrinimus. Pirma, švari naršyklės sesija, aptarnaujama iš Egipto IP adreso, turi nesukelti jokių nebūtinų slapukų prieš aktyvuojant banerį. Antra, visų atmetimo kelias turi lemti tokią pačią poziciją kaip sesija be veiksmų — nėra analitikos žymų, nėra reklamos žymų, nėra sesijos atkūrimo scenarijų. Trečia, visų priėmimo srautas turi sukurti tik naudotojo sutiktas žymas, o sutikimo žurnale turi būti atitinkamas įrašas. Ketvirta, atšaukimo srautas turi nedelsiant sustabdyti tolesnius žymų sužadinimus, pabaigti slapukus, nustatytus sutiktos sesijos metu, ir suaktyvinti gavėjų partnerių reikalaujamus tolesnio ištrynimo ar atsisakymo signalus.
Techniniams tikrinimams praėjus, licencijavimo ir audito pozicija yra tai, kas diegimą daro gynybingą. Valdytojai, tvarkantys Egipto gyventojų asmens duomenis virš vykdomųjų reglamentų nustatytų ribų, turi būti registruoti Asmens duomenų apsaugos centre, o registracijos įrašas — kartu su sutikimo žurnalu, privatumo pranešimu, didesnės rizikos tvarkymo duomenų apsaugos poveikio vertinimo rezultatais ir bet kokiais tarpvalstybinio perdavimo leidimais — sudaro dokumentus, kuriuos Centras gali paprašyti atitikties peržiūros metu. Tinkamai sukonfigūruotas CMP su serverio pusės žurnalu, žymų įkėlimo sluoksnis, vykdantis sutikimo būseną, privatumo pranešimas, įvardijantis kiekvieną tarpvalstybinio perdavimo paskirties vietą, ir licencijavimo dokumentacija byloje paverčia Egipto PDPL iš reguliacinės nežinomybės į gynybingą leidėjo MENA regiono sutikimo pozicijos dalį.