Egyptisk lov om beskyttelse av personopplysninger nr. 151 av 2020 — Veiledning for samtykke til informasjonskapsler: Spillebok 2026 for utgivere
Egypts lov om beskyttelse av personopplysninger nr. 151 av 2020 — vanligvis omtalt som den egyptiske PDPL — ble utgitt 15. juli 2020 og trådte i kraft 14. oktober 2020. I det meste av perioden siden har fraværet av utøvende reguleringer betydd at loven sto som en prinsipperklæring snarere enn et håndhevbart regime. Det endret seg da Senteret for beskyttelse av personopplysninger — regulatoren etablert under loven, tilknyttet Ministeriet for kommunikasjon og informasjonsteknologi — publiserte sitt operative rammeverk, lisenskrav og de utøvende reguleringene som loven hadde overlatt til å bli utgitt. Innen 2026 er regimet fullt operativt, lisensieringssporet for behandlingsansvarlige og databehandlere er aktivt, og utgivere som opererer i eller retter seg mot Egypt, er underlagt en innenlandsk samtykkestendard som er nærmere GDPR enn noen eldre regional modell. Implikasjonen for samtykke til informasjonskapsler er direkte: et banner som fungerte i Egypt under det tidligere regimet, er ikke tilstrekkelig nå, og et banner som tilfredsstiller GDPR, vil tilfredsstille PDPL bare når integrasjonen tar hensyn til punktene der de to rammeverkene avviker.
Hva den egyptiske PDPL faktisk krever
Loven gjelder for behandling av personopplysninger om egyptiske innbyggere uavhengig av hvor behandlingsansvarlig eller databehandler er etablert, og for behandlingsansvarlige og databehandlere etablert i Egypt uavhengig av hvor de registrerte befinner seg. Den ekstraterritorielle rekkevidden speiler GDPR artikkel 3 og betyr at en utgiver med hovedkontor utenfor Egypt, men med egyptiske lesere, appinstallasjoner eller betalende kunder, er klart innenfor omfanget. Personopplysninger er definert bredt som alle data knyttet til en identifisert eller identifiserbar fysisk person, med sensitive personopplysninger — inkludert helse-, biometriske, genetiske, psykiske helse-, finansielle, religiøse tros-, politiske menings- og straffedomsdata — underlagt en høyere samtykkterskel og ytterligere sikkerhetstiltak.
Loven fastslår lovlige grunnlag for behandling, standardutvalget av rettigheter for registrerte — innsyn, retting, sletting, begrensning, innvending og portabilitet — et ansvarsrammeverk for behandlingsansvarlige og databehandlere, forpliktelser til å varsle om brudd, kontroller for overføring på tvers av grenser og et regime for administrative sanksjoner med bøter fra EGP 100 000 for mindre overtredelser opp til EGP 5 millioner for alvorlige eller gjentatte brudd. Strafferettslige sanksjoner gjelder for de mest alvorlige kategoriene, inkludert ulisensiert overføring på tvers av grenser og behandling av sensitive data uten tillatelse.
Slik behandler PDPL samtykke til informasjonskapsler spesifikt
I motsetning til EUs ePrivacy-direktiv inneholder PDPL ingen separat bestemmelse om informasjonskapsler. Informasjonskapsler og analoge lagrings- og tilgangsteknologier faller innenfor det generelle samtykkrammeverket: enhver behandling av personopplysninger som er basert på samtykke som sitt lovlige grunnlag, må innhentes på grunnlag av et uttrykkelig, frivillig, spesifikt og dokumentert uttrykk for samtykke fra den registrerte. Senteret for beskyttelse av personopplysninger har i sin veiledning utgitt under den trinnvise ikrafttredelsen av reguleringene bekreftet at forhåndsavmerkede bokser, implisitt samtykke utledet fra fortsatt nettlesing og samlede samtykkebannere ikke tilfredsstiller lovens standard. Dette plasserer Egypt klart i tråd med den globale trenden og betyr at den praktiske holdningen utgivere allerede opprettholder for EEA er det riktige utgangspunktet for egyptisk trafikk.
Den praktiske effekten er at informasjonskapsler og analoge teknologier som ikke er strengt nødvendige for å levere tjenesten, ikke må settes før brukeren aktivt har samtykket. Strengt nødvendige informasjonskapsler — sesjonsidentifikatorer, handlekurvinnhold, sikkerhetstokens, lastbalanserende informasjonskapsler — kan settes uten samtykke basert på at brukeren aktivt har bedt om tjenesten. Alt annet — analyse, annonsering, personalisering, A/B-testing, sesjonsavspilling og enhver tredjeparts-tag — krever forhåndssamtykke.
Slik avviker PDPL fra GDPR i praksis
Tre forskjeller er viktige på integrasjonsnivå. For det første krever PDPL at samtykke for behandling av sensitive personopplysninger innhentes skriftlig eller via et dokumentert elektronisk ekvivalent som behandlingsansvarlig kan fremlegge på forespørsel — en høyere bevismessig standard enn GDPRs krav om uttrykkelig samtykke. For det andre pålegger PDPL et lisensieringsregime: behandlingsansvarlige og databehandlere må registrere seg hos Senteret for beskyttelse av personopplysninger, og visse kategorier av behandling — inkludert overføring på tvers av grenser og direkte markedsføring — krever en separat driftslisens. For det tredje krever PDPLs regler for overføring på tvers av grenser enten en adekvansavgjørelse av Senteret, en godkjent kontraktsmessig sikkerhet eller uttrykkelig samtykke fra den registrerte; overføringer til jurisdiksjoner uten betegnelser eller sikkerhetstiltak er begrenset uavhengig av mottakerens egen overholdelsesposisjon.
Slik ser et samsvarende informasjonskapsel-banner ut under PDPL
De tekniske kravene konvergerer med det enhver moderne CMP allerede produserer, men merkingen, dokumentasjonen og samtykkeloggen må gjenspeile egyptiske spesifikke forhold. Det første lags-banneret må presentere brukeren med et reelt valg — godta, avslå, administrere — der avslagsalternativet er minst like fremtredende som godtakelsesalternativet. Samlet samtykke er forbudt, slik at det andre laget må tillate opt-in per kategori som minst dekker analyse, annonsering og all behandling avhengig av overføring på tvers av grenser. Kategorier må ha av som standard; banneret må ikke laste tagger før brukeren aktivt har slått dem på.
Personvernerklæringen som vises fra banneret, må identifisere behandlingsansvarlig, behandlingsansvarliges PDPL-lisensnummer om aktuelt, kategoriene av innsamlede personopplysninger, det lovlige grunnlaget for hvert behandlingsformål, datalagringsperioden, kategoriene av mottakere inkludert eventuelle underdatabehandlere utenfor Egypt, den registrertes rettigheter under loven og kontaktinformasjonen til Senteret for beskyttelse av personopplysninger for klager. En erklæring som oppfyller GDPR artikkel 13-standarden, vil i stor grad overlappe, men de egyptiske lisens- og Senter-kontaktlinjene må legges til eksplisitt.
Integrasjonsmønsteret som består en gjennomgang av Senteret for beskyttelse av personopplysninger
Referanseimplementasjonen har fire bevegelige deler. Den første er en CMP som støtter opt-in per kategori, standard av og eksponerer brukerens valg via en strukturert samtykkstreng som utgiveren kan lagre. Den andre er et taglastingslag — en server-side tag-manager eller en CMP-nativ port — som strengt håndhever samtykketilstanden før noen ikke-essensiell informasjonskapsel settes. Den tredje er en samtykkelogg, lagret på server-siden, som registrerer for hvert samtykke-hendelse brukerens valg per kategori, tidsstempelet, bannerversjonen og en forkortet eller hashet IP-identifikator slik at behandlingsansvarlig kan fremlegge posten på Senterets forespørsel. Den fjerde er en tilbaketrekningsvei minst like enkel som den opprinnelige tildelingen — vanligvis en permanent banner-gjenåpningslenke i bunnteksten.
- Analysetagger — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — må bare lastes etter at analysekategorien er innvilget. Hver plattform støtter en samtykke-gated konfigurasjon som forhindrer skrivning av informasjonskapsler før porten åpnes.
- Annonsetagger — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programmatiske header-biddere — må gates tilsvarende, og der annonsepartneren overfører data utenfor Egypt, må mottakerjurisdiksjonen fremgå av personvernerklæringen. En generisk behandlet av globale tjenesteleverandører-opplysning er ikke tilstrekkelig under Senterets veiledning.
- Sesjonsavspillings- og heatmapverktøy — Hotjar, Microsoft Clarity, FullStory — må ligge bak en separat, strengere port fordi Senteret har tilpasset seg EDPBs synspunkt om at gjengivelse av inndatafelt krever uttrykkelig og granulært samtykke.
- Opplysninger om overføring på tvers av grenser må være spesifikke for hver mottakerjurisdiksjon og referere til det rettslige grunnlaget for overføringen — en godkjent kontraktsmessig sikkerhet, en adekvansavgjørelse eller uttrykkelig samtykke fra den registrerte.
Validering, lisensiering og revisjonsposisjon for 2026
En forsvarlig egyptisk distribusjon i 2026 må bestå fire tekniske kontroller. For det første må en ren nettleserøkt servert fra en egyptisk IP-adresse produsere null ikke-essensielle informasjonskapsler før banneret er behandlet. For det andre må avvis-alt-banen resultere i samme posisjon som en økt uten handling — ingen analysetagger, ingen annonsetagger, ingen sesjonsavspillingsskript. For det tredje må en godta-alt-flyt kun produsere taggerne brukeren har samtykket til, og samtykkeloggen må inneholde en tilsvarende post. For det fjerde må en tilbaketrekningsflyt umiddelbart stoppe videre tag-aktivering, utløpe informasjonskapsler satt under den samtykket sesjonen og utløse eventuelle slettings- eller opt-ut-signaler som mottakerpartnerne krever.
Utover de tekniske kontrollene er lisensieringen og revisjonsposisjonen det som gjør en distribusjon forsvarlig. Behandlingsansvarlige som behandler personopplysninger om egyptiske innbyggere over terskelverdiene fastsatt av de utøvende reguleringene, må være registrert hos Senteret for beskyttelse av personopplysninger, og registreringsposten — sammen med samtykkeloggen, personvernerklæringen, resultatene av personvernkonsekvensanalysen for høyere-risiko-behandling og eventuelle autorisasjoner for overføring på tvers av grenser — utgjør dokumentasjonen Senteret kan be om under en samsvarsvurdering. En korrekt konfigurert CMP med en server-side logg, et taglastingslag som håndhever samtykketilstand, en personvernerklæring som navngir hvert overføringsmål på tvers av grenser og lisensdokumentene på plass er det som gjør den egyptiske PDPL fra et regulatorisk ukjent til en forsvarlig del av en utgivers MENA-region samtykkeposisjon.