Egipska ustawa o ochronie danych osobowych nr 151 z 2020 roku — Przewodnik po zgodności z przepisami dotyczącymi zgody na pliki cookie: Playbook 2026 dla wydawców
Egipska ustawa o ochronie danych osobowych nr 151 z 2020 roku — zwykle określana jako egipski PDPL — została wydana 15 lipca 2020 roku i weszła w życie 14 października 2020 roku. Przez większą część okresu od jej uchwalenia brak przepisów wykonawczych sprawiał, że ustawa pozostawała zbiorem zasad, a nie egzekwowalnym reżimem. To się zmieniło, gdy Centrum Ochrony Danych Osobowych — organ regulacyjny powołany na mocy ustawy, podległy Ministerstwu Komunikacji i Technologii Informacyjnych — opublikowało ramy operacyjne, wymogi licencyjne i przepisy wykonawcze, których wydanie ustawa przewidywała. Do 2026 roku reżim jest w pełni operacyjny, ścieżka licencyjna dla administratorów i podmiotów przetwarzających dane jest aktywna, a wydawcy działający w Egipcie lub kierujący swoją ofertę do jego mieszkańców podlegają krajowemu standardowi zgody bliższemu GDPR niż jakiemukolwiek starszemu modelowi regionalnemu. Implikacje dla zgody na pliki cookie są bezpośrednie: baner działający w Egipcie w ramach poprzedniego reżimu nie jest już wystarczający, a baner spełniający wymogi GDPR będzie spełniał wymogi PDPL tylko wtedy, gdy integracja uwzględni punkty, w których oba systemy się różnią.
Czego faktycznie wymaga egipski PDPL
Ustawa ma zastosowanie do przetwarzania danych osobowych egipskich mieszkańców niezależnie od miejsca siedziby administratora lub podmiotu przetwarzającego, a także do administratorów i podmiotów przetwarzających z siedzibą w Egipcie, niezależnie od miejsca zamieszkania osób, których dane dotyczą. Ten eksterytorialny zasięg odzwierciedla art. 3 GDPR i oznacza, że wydawca z siedzibą poza Egiptem, ale posiadający egipskich czytelników, instalacje aplikacji lub płacących klientów, zdecydowanie podlega zakresowi stosowania ustawy. Dane osobowe są szeroko zdefiniowane jako wszelkie dane dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przy czym wrażliwe dane osobowe — w tym dane dotyczące zdrowia, biometryczne, genetyczne, zdrowia psychicznego, finansowe, przekonań religijnych, poglądów politycznych i wyroków skazujących — podlegają wyższemu progowi zgody i dodatkowym zabezpieczeniom.
Ustawa ustanawia podstawy prawne przetwarzania, standardowy zestaw praw osób, których dane dotyczą — dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw i przenoszenie — ramy odpowiedzialności administratora i podmiotu przetwarzającego, obowiązki zgłaszania naruszeń, kontrolę transgranicznego przekazywania danych i reżim sankcji administracyjnych z grzywnami od EGP 100 000 za drobne naruszenia do EGP 5 milionów za poważne lub powtarzające się naruszenia. Sankcje karne mają zastosowanie do najpoważniejszych kategorii, w tym nielicencjonowanego transgranicznego przekazywania danych i przetwarzania wrażliwych danych bez zezwolenia.
Jak PDPL traktuje konkretnie zgodę na pliki cookie
W odróżnieniu od unijnej dyrektywy ePrivacy PDPL nie zawiera odrębnego przepisu dotyczącego plików cookie. Pliki cookie i analogiczne technologie przechowywania danych i dostępu do nich mieszczą się w ogólnych ramach zgody: każde przetwarzanie danych osobowych opierające się na zgodzie jako podstawie prawnej musi być uzyskane na podstawie wyraźnego, dobrowolnego, konkretnego i udokumentowanego wyrażenia woli przez osobę, której dane dotyczą. Centrum Ochrony Danych Osobowych w wytycznych wydanych podczas stopniowego wdrażania przepisów potwierdziło, że z góry zaznaczone pola wyboru, zgoda dorozumiana wynikająca z kontynuowanego przeglądania oraz zbiorcze banery zgody nie spełniają standardu ustawy. Sytuacja ta stawia Egipt w pełnej zgodności z globalną tendencją i oznacza, że praktyczna postawa, którą wydawcy już zachowują wobec EOG, jest właściwym punktem wyjścia dla egipskiego ruchu.
Praktyczny skutek jest taki, że pliki cookie i analogiczne technologie, które nie są ściśle niezbędne do świadczenia usługi, nie mogą być ustawiane, zanim użytkownik nie wyrazi aktywnej zgody. Ściśle niezbędne pliki cookie — identyfikatory sesji, zawartość koszyka, tokeny bezpieczeństwa, pliki cookie do równoważenia obciążenia — mogą być ustawiane bez zgody na podstawie tego, że użytkownik aktywnie zażądał usługi. Wszystko inne — analityka, reklama, personalizacja, testy A/B, odtwarzanie sesji i wszelkie tagi podmiotów zewnętrznych — wymaga uprzedniej zgody.
Jak PDPL różni się od GDPR w praktyce
Trzy różnice mają znaczenie na poziomie integracji. Po pierwsze, PDPL wymaga, aby zgoda na przetwarzanie wrażliwych danych osobowych była uzyskiwana na piśmie lub za pośrednictwem udokumentowanego odpowiednika elektronicznego, który administrator może przedstawić na żądanie — wyższy standard dowodowy niż wymóg wyraźnej zgody w GDPR. Po drugie, PDPL nakłada reżim licencyjny: administratorzy i podmioty przetwarzające muszą rejestrować się w Centrum Ochrony Danych Osobowych, a określone kategorie przetwarzania — w tym transgraniczne przekazywanie danych i marketing bezpośredni — wymagają odrębnej licencji operacyjnej. Po trzecie, zasady transgranicznego przekazywania danych w PDPL wymagają albo decyzji stwierdzającej odpowiedni stopień ochrony wydanej przez Centrum, zatwierdzonych zabezpieczeń umownych albo wyraźnej zgody osoby, której dane dotyczą; przekazywanie do jurysdykcji bez takich oznaczeń lub zabezpieczeń jest ograniczone niezależnie od własnej postawy w zakresie zgodności odbiorcy.
Jak wygląda baner plików cookie zgodny z PDPL
Wymagania techniczne zbiegają się z tym, co każdy nowoczesny CMP już produkuje, jednak etykietowanie, dokumentacja i dziennik zgód muszą odzwierciedlać specyfikę egipską. Baner pierwszej warstwy musi przedstawiać użytkownikowi realny wybór — akceptuj, odrzuć, zarządzaj — gdzie opcja odrzucenia jest co najmniej tak samo widoczna jak opcja akceptacji. Zgoda zbiorcza jest zabroniona, więc druga warstwa musi umożliwiać opt-in według kategorii, obejmując co najmniej analitykę, reklamę i wszelkie przetwarzanie zależne od transgranicznego przekazywania danych. Kategorie muszą domyślnie być wyłączone; baner nie może ładować tagów, dopóki użytkownik aktywnie ich nie włączy.
Informacja o prywatności wyświetlana z banera musi identyfikować administratora, numer licencji PDPL administratora (jeśli dotyczy), kategorie zbieranych danych osobowych, podstawę prawną dla każdego celu przetwarzania, okres przechowywania danych, kategorie odbiorców, w tym wszelkich podprzetwarzających spoza Egiptu, prawa osób, których dane dotyczą, na mocy ustawy oraz dane kontaktowe Centrum Ochrony Danych Osobowych do składania skarg. Informacja spełniająca standard art. 13 GDPR będzie w znacznym stopniu się pokrywać, jednak wiersze dotyczące egipskiej licencji i danych kontaktowych Centrum muszą zostać dodane wprost.
Wzorzec integracji, który przechodzi weryfikację Centrum Ochrony Danych Osobowych
Implementacja referencyjna składa się z czterech ruchomych elementów. Pierwszym jest CMP obsługujący opt-in według kategorii, domyślnie wyłączony, który udostępnia wybór użytkownika za pomocą strukturalnego ciągu zgody, który wydawca może zachować. Drugim jest warstwa ładowania tagów — menedżer tagów po stronie serwera lub natywna brama CMP — która ściśle egzekwuje stan zgody przed ustawieniem jakiegokolwiek nieistotnego pliku cookie. Trzecim jest dziennik zgód przechowywany po stronie serwera, rejestrujący dla każdego zdarzenia zgody wybór użytkownika według kategorii, znacznik czasu, wersję banera oraz skrócony lub haszowany identyfikator IP, tak aby administrator mógł przedstawić zapis na żądanie Centrum. Czwartym jest ścieżka wycofania zgody co najmniej tak łatwa jak pierwotne jej udzielenie — zazwyczaj stały link do ponownego otwarcia banera w stopce.
- Tagi analityczne — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — muszą być ładowane tylko po przyznaniu kategorii analitycznej. Każda platforma obsługuje konfigurację z bramką zgody, która uniemożliwia zapisywanie plików cookie przed jej otwarciem.
- Tagi reklamowe — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programatyczne header-biddersy — muszą być podobnie zabezpieczone bramkami, a w przypadku gdy partner reklamowy przekazuje dane poza Egipt, jurysdykcja odbiorcy musi pojawić się w informacji o prywatności. Ogólne ujawnienie, że dane są przetwarzane przez globalnych dostawców usług, nie jest wystarczające w świetle wytycznych Centrum.
- Narzędzia do odtwarzania sesji i map cieplnych — Hotjar, Microsoft Clarity, FullStory — muszą znajdować się za osobną, bardziej rygorystyczną bramką, ponieważ Centrum przyjęło stanowisko EDPB, że renderowanie pól wprowadzania danych wymaga wyraźnej i szczegółowej zgody.
- Ujawnienia dotyczące transgranicznego przekazywania danych muszą być specyficzne dla każdej jurysdykcji odbiorcy i wskazywać podstawę prawną przekazania — zatwierdzone zabezpieczenia umowne, decyzję stwierdzającą odpowiedni stopień ochrony lub wyraźną zgodę osoby, której dane dotyczą.
Walidacja, licencjonowanie i postawa audytowa na 2026 rok
Odporna egipska wdrożenie w 2026 roku musi przejść cztery kontrole techniczne. Po pierwsze, czysta sesja przeglądarki obsługiwana z egipskiego adresu IP musi wygenerować zero nieistotnych plików cookie przed obsłużeniem banera. Po drugie, ścieżka odrzucenia wszystkiego musi skutkować taką samą postawą jak sesja bez działania — brak tagów analitycznych, brak tagów reklamowych, brak skryptów odtwarzania sesji. Po trzecie, przepływ akceptacji wszystkiego musi generować tylko tagi, na które użytkownik wyraził zgodę, a dziennik zgód musi zawierać odpowiadający rekord. Po czwarte, przepływ wycofania zgody musi natychmiast zatrzymać dalsze uruchamianie tagów, wygasić pliki cookie ustawione podczas sesji za zgodą i uruchomić wszelkie sygnały usuwania lub opt-out wymagane przez partnerów-odbiorców.
Poza kontrolami technicznymi to licencjonowanie i postawa audytowa decydują o obronności wdrożenia. Administratorzy przetwarzający dane osobowe egipskich mieszkańców powyżej progów określonych przez przepisy wykonawcze muszą być zarejestrowani w Centrum Ochrony Danych Osobowych, a rejestr rejestracyjny — wraz z dziennikiem zgód, informacją o prywatności, wynikami oceny skutków dla ochrony danych w przypadku przetwarzania obarczanego wyższym ryzykiem i wszelkimi zezwoleniami na transgraniczne przekazywanie danych — tworzy dokumentację, o którą Centrum może się zwrócić podczas przeglądu zgodności. Prawidłowo skonfigurowany CMP z dziennikiem po stronie serwera, warstwa ładowania tagów egzekwująca stan zgody, informacja o prywatności wymieniająca z nazwy każdy cel transgranicznego przekazywania danych i kompletne dokumenty licencyjne to elementy, które zamieniają egipski PDPL z regulatoryjnej niewiadomej w obronną część postawy zgodności wydawcy w regionie MENA.