Egyptens personuppgiftsskyddslag 151 från 2020 Guide till efterlevnad av cookie-samtycke: 2026 Spelbok för utgivare

Egyptens personuppgiftsskyddslag nr 151 från 2020 — vanligtvis kallad den egyptiska PDPL — utfärdades den 15 juli 2020 och trädde i kraft den 14 oktober 2020. Under större delen av perioden sedan dess innebar avsaknaden av verkställande förordningar att lagen stod som ett principdokument snarare än ett verkställbart regelverk. Det förändrades när centrum för personuppgiftsskydd — tillsynsmyndigheten inrättad under lagen, knuten till ministeriet för kommunikation och informationsteknik — publicerade sitt operativa ramverk, licenskrav och de verkställande förordningar som lagen hade lämnat att utfärdas. År 2026 är regelverket fullt operativt, licensspåret för personuppgiftsansvariga och -biträden är aktivt, och utgivare som verkar i eller riktar sig mot Egypten är underkastade en inhemsk samtyckesstandard som ligger närmre GDPR än något äldre regionalt modell. Implikationen för cookie-samtycke är direkt: en banner som fungerade i Egypten under det tidigare regelverket är inte tillräcklig nu, och en banner som uppfyller GDPR kommer att uppfylla PDPL endast när integreringen tar hänsyn till de punkter där de två ramverken skiljer sig åt.

Vad den egyptiska PDPL faktiskt kräver

Lagen gäller för behandling av personuppgifter om egyptiska invånare oavsett var den personuppgiftsansvarige eller -biträdet är etablerat, och för personuppgiftsansvariga och -biträden etablerade i Egypten oavsett var de registrerade befinner sig. Den extraterritoriella räckvidden speglar GDPR artikel 3 och innebär att en utgivare med säte utanför Egypten men med egyptiska läsare, appinstallationer eller betalande kunder definitivt faller inom tillämpningsområdet. Personuppgifter definieras brett som alla uppgifter som rör en identifierad eller identifierbar fysisk person, med känsliga personuppgifter — inklusive hälso-, biometrisk-, genetisk-, psykisk hälso-, finansiell-, religiös tros-, politisk åsikts- och straffrättslig uppgifter — underkastade en högre samtyckesnivå och ytterligare skyddsåtgärder.

Lagen fastställer rättsliga grunder för behandling, standarduppsättningen av de registrerades rättigheter — tillgång, rättelse, radering, begränsning, invändning och portabilitet — ett ansvarsramverk för personuppgiftsansvariga-biträden, anmälningsskyldigheter vid personuppgiftsincidenter, kontroller av gränsöverskridande överföring och ett administrativt sanktionssystem med böter från EGP 100 000 för mindre överträdelser upp till EGP 5 miljoner för allvarliga eller upprepade överträdelser. Straffrättsliga påföljder gäller för de allvarligaste kategorierna, inklusive otillåten gränsöverskridande överföring och behandling av känsliga uppgifter utan tillstånd.

Hur PDPL behandlar cookie-samtycke specifikt

Till skillnad från EU:s ePrivacy-direktiv innehåller PDPL inte en separat bestämmelse om cookies. Cookies och liknande lagrings- och åtkomstteknikologier faller inom det allmänna samtyckesramverket: all behandling av personuppgifter som förlitar sig på samtycke som rättslig grund måste inhämtas på grundval av ett uttryckligt, frivilligt, specifikt och dokumenterat uttryck för samtycke från den registrerade. Centrum för personuppgiftsskydd, i sin vägledning utfärdad under det stegvisa ikraftträdandet av förordningarna, har bekräftat att förkryssade rutor, implicit samtycke slutet av fortsatt surfande och samlade samtyckesbanners inte uppfyller lagens standard. Det placerar Egypten helt i linje med den globala trenden och innebär att den praktiska hållning utgivare redan upprätthåller för EEA är rätt utgångspunkt för egyptisk trafik.

Den praktiska effekten är att cookies och liknande teknikologier som inte är strikt nödvändiga för att tillhandahålla tjänsten inte får sättas innan användaren aktivt har gett samtycke. Strikt nödvändiga cookies — sessionsidentifierare, varukorgsinnehåll, säkerhetstokens, lastbalanseringscookies — kan sättas utan samtycke på grundval av att användaren aktivt har begärt tjänsten. Allt annat — analys, annonsering, personalisering, A/B-testning, sessionsåteruppspelning och all tredjepartstagg — kräver föregående samtycke.

Hur PDPL skiljer sig från GDPR i praktiken

Tre skillnader är viktiga på integreringsnivån. För det första kräver PDPL att samtycke för behandling av känsliga personuppgifter inhämtas skriftligen eller via ett dokumenterat elektroniskt motsvarighet som den personuppgiftsansvarige kan producera på begäran — en högre bevisbörda än GDPR:s krav på uttryckligt samtycke. För det andra inför PDPL ett licenssystem: personuppgiftsansvariga och -biträden måste registrera sig hos centrum för personuppgiftsskydd, och vissa kategorier av behandling — inklusive gränsöverskridande överföring och direktmarknadsföring — kräver en separat operativ licens. För det tredje kräver PDPL:s regler för gränsöverskridande överföring antingen ett adekvansbesked av centrum, ett godkänt avtalsskydd eller uttryckligt samtycke från den registrerade; överföringar till jurisdiktioner utan besked eller skyddsåtgärder är begränsade oavsett mottagarens egna efterlevnadshållning.

Hur en PDPL-kompatibel cookie-banner ser ut

De tekniska kraven konvergerar med vad varje modern CMP redan producerar, men märkning, dokumentation och samtyckeslogg måste återspegla egyptiska detaljer. Förstanivåbannern måste presentera användaren med ett verkligt val — acceptera, avvisa, hantera — där avvisningsalternativet är minst lika framträdande som accepteringsalternativet. Samlat samtycke är förbjudet, så andranivån måste tillåta opt-in per kategori som åtminstone täcker analys, annonsering och all behandling beroende av gränsöverskridande överföring. Kategorier måste som standard vara avaktiverade; bannern får inte ladda taggar förrän användaren aktivt har aktiverat dem.

Integritetspolicyn som visas från bannern måste identifiera den personuppgiftsansvarige, den personuppgiftsansvariges PDPL-licensnummer om tillämpligt, kategorier av personuppgifter som samlas in, den rättsliga grunden för varje behandlingsändamål, datalagringens period, kategorier av mottagare inklusive eventuella underbiträden belägna utanför Egypten, den registrerades rättigheter enligt lagen och centrum för personuppgiftsskyddets kontaktuppgifter för klagomål. En anmälan som uppfyller GDPR artikel 13-standarden kommer i stor utsträckning att överlappa, men de egyptiska licens- och centrumkontaktraderna måste läggas till explicit.

Det integrationsmönster som klarar granskning av centrum för personuppgiftsskydd

Referensimplementeringen har fyra rörliga delar. Den första är en CMP som stöder per-kategori, som standard avaktiverat opt-in och exponerar användarens val via en strukturerad samtyckessträng som utgivaren kan lagra. Den andra är ett taggladdningslager — en serversidig tagghanterare eller en CMP-nativ port — som strikt upprätthåller samtyckestillståndet innan någon icke-nödvändig cookie sätts. Den tredje är en samtyckeslogg, lagrad serversidigt, som registrerar för varje samtyckeshändelse användarens val per kategori, tidsstämpeln, bannerversionen och en trunkerad eller hashad IP-identifierare så att den personuppgiftsansvarige kan ta fram posten på centrumets begäran. Den fjärde är en återkallningsväg minst lika enkel som det ursprungliga beviljandet — vanligtvis en beständig bannerlänk för återöppning i sidfoten.

Validering, licensiering och revisionshållning för 2026

En försvarlig egyptisk driftsättning år 2026 måste klara fyra tekniska kontroller. Först måste en ren webbläsarsession betjänad från en egyptisk IP-adress producera noll icke-nödvändiga cookies innan bannern har åtgärdats. För det andra måste vägen avvisa-alla resultera i samma hållning som en icke-åtgärd-session — inga analystaggar, inga annonstaggar, inga sessionsåteruppspelningsskript. För det tredje måste ett acceptera-alla-flöde bara producera de taggar användaren har samtyckt till, och samtyckesloggen måste innehålla en matchande post. För det fjärde måste ett återkallningsflöde omedelbart stoppa ytterligare taggutlösningar, löpa ut de cookies som sattes under den samtyckta sessionen och utlösa eventuella nedströms borttagnings- eller opt-out-signaler som mottagarpartnerna kräver.

Bortom de tekniska kontrollerna är licensiering och revisionshållning det som gör en driftsättning försvarlig. Personuppgiftsansvariga som behandlar personuppgifter om egyptiska invånare över de trösklar som fastställs av de verkställande förordningarna måste vara registrerade hos centrum för personuppgiftsskydd, och registreringsposten — tillsammans med samtyckesloggen, integritetspolicyn, resultaten av konsekvensbedömning för dataskydd för behandling med högre risk och eventuella tillstånd för gränsöverskridande överföring — utgör den dokumentation som centrum kan begära vid en efterlevnadsgranskning. En korrekt konfigurerad CMP med en serversidigt lagrad logg, ett taggladdningslager som upprätthåller samtyckestillståndet, en integritetspolicy som namnger varje destination för gränsöverskridande överföring och licensdokumenteringen på fil är det som förvandlar den egyptiska PDPL från ett regulatoriskt okänt till en försvarlig del av en utgivares MENA-regions samtyckeshållning.

← Blogg Läs allt →