Руководство по соответствию согласию на cookie в рамках Закона Египта о защите персональных данных № 151 от 2020 года: сценарий 2026 года для издателей
Закон Египта о защите персональных данных № 151 от 2020 года — обычно называемый египетским PDPL — был издан 15 июля 2020 года и вступил в силу 14 октября 2020 года. На протяжении большей части периода с тех пор отсутствие исполнительных правил означало, что Закон стоял как заявление принципов, а не как обеспечиваемый правом режим. Это изменилось, когда Центр защиты персональных данных — регулятор, учреждённый по Закону, прикреплённый к Министерству связи и информационных технологий — опубликовал свою операционную систему, требования к лицензированию и исполнительные правила, которые Закон оставил для издания. К 2026 году режим полностью операционен, трек лицензирования для контролёров и обработчиков данных активен, и издатели, работающие в Египте или нацеленные на него, подчиняются внутреннему стандарту согласия, который ближе к GDPR, чем к любой более старой региональной модели. Следствие для согласия на cookie прямое: баннер, который работал в Египте по устаревшему режиму, теперь недостаточен, а баннер, удовлетворяющий GDPR, удовлетворит PDPL только когда интеграция учитывает точки, где две системы расходятся.
Что фактически требует египетский PDPL
Закон применяется к обработке персональных данных египетских резидентов независимо от того, где учреждён контролёр или обработчик, и к контролёрам и обработчикам, учреждённым в Египте, независимо от того, где находятся субъекты данных. Этот экстерриториальный охват зеркально отражает GDPR Статью 3 и означает, что издатель со штаб-квартирой за пределами Египта, но с египетскими читателями, установками приложений или платящими клиентами, твёрдо находится в сфере действия. Персональные данные определены широко как любые данные, относящиеся к идентифицированному или идентифицируемому физическому лицу, с чувствительными персональными данными — включая данные о здоровье, биометрические, генетические, психическом здоровье, финансовые, религиозных убеждениях, политических взглядах и судимостях — подлежащими более высокому порогу согласия и дополнительным гарантиям.
Закон устанавливает правовые основания для обработки, стандартный набор прав субъекта данных — доступ, исправление, стирание, ограничение, возражение и переносимость — систему подотчётности контролёр-обработчик, обязательства по уведомлению о нарушениях, контроль трансграничной передачи и режим административных наказаний со штрафами от 100 000 EGP за мелкие нарушения до 5 миллионов EGP за серьёзные или повторные нарушения. Уголовные санкции применяются к наиболее серьёзным категориям, включая нелицензированную трансграничную передачу и обработку чувствительных данных без разрешения.
Как PDPL трактует согласие на cookie конкретно
В отличие от Директивы ЕС ePrivacy, PDPL не содержит отдельного положения о cookie. Cookie и аналогичные технологии хранения-и-доступа попадают в общую систему согласия: любая обработка персональных данных, которая полагается на согласие как своё правовое основание, должна получаться на основе явного, добровольного, конкретного и задокументированного выражения согласия от субъекта данных. Центр защиты персональных данных в своём руководстве, выпущенном во время поэтапного начала действия правил, подтвердил, что предварительно отмеченные флажки, неявное согласие, выводимое из продолжающегося просмотра, и объединённые баннеры согласия не удовлетворяют стандарту Закона. Это твёрдо приводит Египет в соответствие с глобальной траекторией и означает, что практическая позиция, которую издатели уже поддерживают для ЕЭЗ, является правильной отправной точкой для египетского трафика.
Практический эффект в том, что cookie и любые аналогичные технологии, которые не являются строго необходимыми для предоставления услуги, не должны устанавливаться до того, как пользователь активно дал согласие. Строго необходимые cookie — идентификаторы сессии, содержимое корзины, токены безопасности, cookie балансировки нагрузки — могут устанавливаться без согласия на основании того, что пользователь активно запросил услугу. Всё остальное — аналитика, реклама, персонализация, A/B-тестирование, воспроизведение сессии и любой сторонний тег — требует предварительного согласия.
Как PDPL расходится с GDPR на практике
Три различия имеют значение на уровне интеграции. Во-первых, PDPL требует, чтобы согласие на обработку чувствительных персональных данных получалось в письменной форме или через задокументированный электронный эквивалент, который контролёр может предоставить по требованию — более высокий доказательственный стандарт, чем требование явного согласия GDPR. Во-вторых, PDPL налагает режим лицензирования: контролёры и обработчики должны регистрироваться в Центре защиты персональных данных, а определённые категории обработки — включая трансграничную передачу и прямой маркетинг — требуют отдельной операционной лицензии. В-третьих, правила трансграничной передачи PDPL требуют либо обозначения адекватности Центром, либо одобренной договорной гарантии, либо явного согласия от субъекта данных; передачи в юрисдикции без обозначений или гарантий ограничены независимо от собственной позиции соответствия получателя.
Как выглядит соответствующий cookie-баннер по PDPL
Технические требования сходятся с тем, что уже производит каждая современная CMP, но маркировка, документация и лог согласия должны отражать египетские особенности. Баннер первого уровня должен представить пользователю реальный выбор — принять, отклонить, управлять — где опция отклонения по крайней мере так же заметна, как опция принятия. Объединённое согласие запрещено, поэтому второй уровень должен позволять опт-ин по категориям, покрывая как минимум аналитику, рекламу и любую обработку, зависящую от трансграничной передачи. Категории должны по умолчанию быть выключены; баннер не должен загружать теги, пока пользователь не активно их не включил.
Уведомление о конфиденциальности, выводимое из баннера, должно идентифицировать контролёра, номер лицензии PDPL контролёра, если применимо, категории собираемых персональных данных, правовое основание для каждой цели обработки, период хранения данных, категории получателей, включая любых субобработчиков, расположенных за пределами Египта, права субъекта данных по Закону и контактные данные Центра защиты персональных данных для жалоб. Уведомление, соответствующее стандарту Статьи 13 GDPR, существенно перекроет, но строки египетской лицензии и контакта Центра должны быть добавлены явно.
Шаблон интеграции, который проходит проверку Центра защиты персональных данных
Эталонная реализация имеет четыре движущиеся части. Первая — это CMP, которая поддерживает опт-ин по категориям с выключением по умолчанию и предоставляет выбор пользователя через структурированную строку согласия, которую издатель может сохранить. Вторая — это уровень загрузки тегов — серверный менеджер тегов или CMP-нативный шлюз — который строго обеспечивает состояние согласия до установки любого неосновного cookie. Третья — это лог согласия, хранящийся на сервере, который записывает для каждого события согласия выбор пользователя по категориям, временную метку, версию баннера и усечённый или хешированный идентификатор IP, такой что контролёр может предоставить запись по запросу Центра. Четвёртая — это путь отзыва, по крайней мере такой же лёгкий, как первоначальное предоставление — обычно постоянная ссылка повторного открытия баннера в нижнем колонтитуле.
- Аналитические теги — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — должны загружаться только после предоставления аналитической категории. Каждая платформа поддерживает конфигурацию с контролем согласия, которая предотвращает любую запись cookie до переключения шлюза.
- Рекламные теги — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, программатик header bidders — должны быть аналогично закрыты, и там, где рекламный партнёр передаёт данные за пределы Египта, юрисдикция получателя должна появиться в уведомлении о конфиденциальности. Общее раскрытие обрабатывается глобальными поставщиками услуг недостаточно по руководству Центра.
- Инструменты воспроизведения сессии и тепловых карт — Hotjar, Microsoft Clarity, FullStory — должны находиться за отдельным, более строгим шлюзом, потому что Центр согласился с мнением EDPB о том, что рендеринг полей ввода требует явного и гранулярного согласия.
- Раскрытия трансграничной передачи должны быть специфичными для каждой юрисдикции получателя и ссылаться на правовое основание для передачи — одобренную договорную гарантию, обозначение адекватности или явное согласие субъекта данных.
Валидация, лицензирование и позиция аудита для 2026 года
Защищаемое египетское развёртывание в 2026 году должно пройти четыре технические проверки. Во-первых, чистая сессия браузера, обслуживаемая с египетского IP-адреса, должна производить ноль неосновных cookie до того, как баннер был задействован. Во-вторых, путь отклонения-всего должен привести к той же позиции, что и сессия без действия — нет аналитических тегов, нет рекламных тегов, нет скриптов воспроизведения сессии. В-третьих, поток принятия-всего должен производить только теги, на которые пользователь дал согласие, и лог согласия должен содержать соответствующую запись. В-четвёртых, поток отзыва должен немедленно остановить дальнейшие срабатывания тегов, истечь cookie, установленные во время согласованной сессии, и запустить любые последующие сигналы удаления или опт-аута, которые требуют партнёры-получатели.
Помимо технических проверок, позиция лицензирования и аудита — это то, что делает развёртывание защищаемым. Контролёры, обрабатывающие персональные данные египетских резидентов выше порогов, установленных исполнительными правилами, должны быть зарегистрированы в Центре защиты персональных данных, и запись регистрации — вместе с логом согласия, уведомлением о конфиденциальности, результатами оценки воздействия на защиту данных для обработки повышенного риска и любыми разрешениями на трансграничную передачу — формирует документацию, которую Центр может запросить во время проверки соответствия. Правильно настроенная CMP с серверным логом, уровнем загрузки тегов, который обеспечивает состояние согласия, уведомлением о конфиденциальности, которое называет каждое направление трансграничной передачи, и лицензионными документами в файле — это то, что превращает египетский PDPL из регуляторной неизвестности в защищаемую часть позиции согласия издателя в регионе MENA.