Египатски закон о заштити личних података 151 из 2020. Водич за усклађеност са сагласношћу за колачиће: Приручник за 2026. за издаваче
Египатски закон о заштити личних података бр. 151 из 2020. — обично познат као египатски PDPL — издат је 15. јула 2020. и ступио је на снагу 14. октобра 2020. Током већег дела периода од тада, одсуство извршних прописа значило је да је Закон стајао као изјава принципа, а не као извршиви режим. То се променило када је Центар за заштиту личних података — регулатор успостављен под Законом, прикључен Министарству комуникација и информационих технологија — објавио свој оперативни оквир, захтеве за лиценцирање и извршне прописе које је Закон остavio да буду издати. До 2026. режим је потпуно оперативан, систем лиценцирања за контролоре и обрађиваче података је активан, а издавачи који послују у Египту или циљају Египат подлежу домаћем стандарду сагласности који је ближи GDPR-у него иједном старијем регионалном моделу. Импликација за сагласност за колачиће је директна: банер који је радио у Египту под старим режимом сада није довољан, а банер који задовољава GDPR задовољиће PDPL само када интеграција узме у обзир тачке у којима се два оквира разилазе.
Шта египатски PDPL заправо захтева
Закон се примењује на обраду личних података египатских резидената без обзира где је контролор или обрађивач успостављен, и на контролоре и обрађиваче успостављене у Египту без обзира где се налазе субјекти података. Тај екстериторијални домашај одражава члан 3. GDPR-а и значи да издавач са седиштем ван Египта, али са египатским читаоцима, инсталацијама апликација или платећим купцима, чврсто улази у обим примене. Лични подаци су широко дефинисани као сви подаци који се тичу идентификованог или идентификабилног физичког лица, са осетљивим личним подацима — укључујући здравствене, биометријске, генетске, менталне, финансијске, верске, политичке и казненоправне податке — подлежу вишем прагу сагласности и додатним мерама заштите.
Закон успоставља правне основе за обраду, стандардни скуп права субјекта података — приступ, исправку, брисање, ограничење, приговор и преносивост — оквир одговорности контролора-обрађивача, обавезе обавештавања о повредама, контроле прекограничног преноса и режим административних санкција са казнама у распону од EGP 100.000 за мање прекршаје до EGP 5 милиона за озбиљне или поновљене прекршаје. Кривичне санкције примењују се на најозбиљније категорије, укључујући нелиценцирани прекогранични пренос и обраду осетљивих података без овлашћења.
Како PDPL третира сагласност за колачиће
За разлику од ЕУ Директиве о ePrivacy, PDPL не садржи посебну одредбу о колачићима. Колачићи и аналогне технологије складиштења и приступа спадају у општи оквир сагласности: свака обрада личних података која се ослања на сагласност као свој правни основ мора бити добијена на основу изричитог, вољног, специфичног и документованог израза сагласности субјекта података. Центар за заштиту личних података, у своје смерницама издатим током поступног увођења прописа, потврдио је да унапред означена поља, имплицитна сагласност изведена из наставка прегледавања и обједињени банери сагласности не задовољавају стандард Закона. То Египат чврсто ставља у линију са глобалним трендом и значи да је практичан став који издавачи већ одржавају за EEA право полазиште за египатски саобраћај.
Практични учинак је да колачићи и све аналогне технологије које нису строго неопходне за пружање услуге не смеју бити постављени пре него што корисник активно даст сагласност. Строго неопходни колачићи — идентификатори сесије, садржај корпе, сигурносни токени, колачићи за балансирање оптерећења — могу бити постављени без сагласности на основу тога да је корисник активно затражио услугу. Све остало — аналитика, оглашавање, персонализација, A/B тестирање, репродукција сесије и све ознаке трећих страна — захтева претходну сагласност.
Где се PDPL разилази са GDPR-ом у пракси
Три разлике су важне на нивоу интеграције. Прво, PDPL захтева да сагласност за обраду осетљивих личних података буде добијена у писаном облику или путем документованог електронског еквивалента који контролор може поднети на захтев — виши стандард доказа него GDPR-ов захтев за изричиту сагласност. Друго, PDPL намеће режим лиценцирања: контролори и обрађивачи морају се регистровати код Центра за заштиту личних података, а одређене категорије обраде — укључујући прекогранични пренос и директни маркетинг — захтевају посебну оперативну лиценцу. Треће, правила прекограничног преноса PDPL-а захтевају или одлуку о адекватности Центра, одобрену уговорну заштиту или изричиту сагласност субјекта података; преноси у јурисдикције без одлука или заштите су ограничени без обзира на сопствени став прималаца о усклађености.
Како изгледа усклађени банер колачића под PDPL-ом
Технички захтеви конвергирају са оним што сваки модерни CMP већ производи, али означавање, документација и евиденција сагласности морају одражавати египатске специфичности. Банер првог слоја мора представити кориснику стваран избор — прихвати, одбиј, управљај — где је опција одбијања барем исто толико истакнута као опција прихватања. Обједињена сагласност је забрањена, па стога други слој мора омогућити opt-in по категоријама, покривајући барем аналитику, оглашавање и свако прекогранично-зависно обрађивање. Категорије морају бити подразумевано искључене; банер не сме учитавати ознаке пока корисник их активно не укључи.
Обавештење о приватности приказано са банера мора идентификовати контролора, PDPL број лиценце контролора ако је применљиво, категорије прикупљених личних података, правни основ за сваку сврху обраде, период задржавања података, категорије прималаца укључујући сваког подобрађивача смештеног ван Египта, права субјекта података под Законом и контакт детаље Центра за заштиту личних података за притужбе. Обавештење које задовољава стандард члана 13. GDPR-а ће се суштински преклапати, али линије египатске лиценце и контакта Центра морају бити изричито додате.
Образац интеграције који пролази ревизију Центра за заштиту личних података
Референтна имплементација има четири покретна дела. Прво је CMP који подржава opt-in по категоријама, подразумевано искључен, и излаже корисников избор путем структурираног низа сагласности који издавач може да перзистира. Друго је слој учитавања ознака — менаџер ознака на страни сервера или CMP-нативна капија — која строго примењује стање сагласности пре него што се постави нека ненеопходна колачић. Треће је евиденција сагласности, ускладиштена на страни сервера, која бележи за сваки догађај сагласности кориснички избор по категоријама, временску ознаку, верзију банера и скраћени или хеширани IP идентификатор тако да контролор може произвести евиденцију на захтев Центра. Четврто је пут повлачења барем исто толико лак као оригинално одобрење — типично трајни линк поновног отварања банера у подножју странице.
- Аналитичке ознаке — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — морају се учитавати само након доделе аналитичке категорије. Свака платформа подржава конфигурацију са сагласношћу која спречава сваки упис колачића пре него што се капија промени.
- Рекламне ознаке — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, програматски header bidders — морају бити слично затворене, а где рекламни партнер преноси податке ван Египта, јурисдикција примаоца мора се навести у обавештењу о приватности. Генеричко обрађено од стране глобалних пружалаца услуга обелодањивање није довољно под смерницама Центра.
- Алати за репродукцију сесије и топлотне карте — Hotjar, Microsoft Clarity, FullStory — морају бити постављени иза посебне, строже капије јер се Центар усагласио са EDPB ставом да приказивање поља за унос захтева изричиту и грануларну сагласност.
- Обелодањивања прекограничног преноса морају бити специфична за сваку јурисдикцију примаоца и референцирати правни основ за пренос — одобрену уговорну заштиту, одлуку о адекватности или изричиту сагласност субјекта података.
Валидација, лиценцирање и ревизијски став за 2026.
Одбрањиво египатско распоређивање у 2026. мора проћи четири техничке провере. Прво, чиста браузерска сесија послужена са египатске IP адресе мора произвести нула ненеопходних колачића пре него што је банер активиран. Друго, пут одбијања свега мора резултирати истим ставом као сесија без акције — без аналитичких ознака, без рекламних ознака, без скриптова репродукције сесије. Треће, ток прихватања свега мора произвести само ознаке на које је корисник дао сагласност, а евиденција сагласности мора садржати одговарајући запис. Четврто, ток повлачења мора одмах зауставити даља паљења ознака, истећи колачиће постављене током сесије са сагласношћу и покренути све низводне сигнале брисања или одласка које захтевају партнери-примаоци.
Осим техничких провера, лиценцирање и ревизијски став је оно што чини распоређивање одбрањивим. Контролори који обрађују личне податке египатских резидената изнад прагова постављених извршним прописима морају бити регистровани код Центра за заштиту личних података, а евиденција о регистрацији — заједно са евиденцијом сагласности, обавештењем о приватности, резултатима процене утицаја на заштиту података за обраду вишег ризика и свим ауторизацијама прекограничног преноса — чини документацију коју Центар може захтевати током ревизије усклађености. Правилно конфигурисани CMP са сервер-страним евиденцијом, слојем учитавања ознака који примењује стање сагласности, обавештењем о приватности које именује свако одредиште прекограничног преноса и лиценцном документацијом у досијеу је оно што египатски PDPL претвара из регулаторне непознанице у одбрањиви део издавачевог MENA регионалног става о сагласности.