คู่มือการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของอียิปต์ฉบับที่ 151 ปี 2020 สำหรับการยินยอมใช้คุกกี้: แผนการเล่นปี 2026 สำหรับผู้เผยแพร่
กฎหมายคุ้มครองข้อมูลส่วนบุคคลของอียิปต์ฉบับที่ 151 ปี 2020 ซึ่งมักเรียกว่า PDPL ของอียิปต์ ได้ออกประกาศเมื่อวันที่ 15 กรกฎาคม 2020 และมีผลบังคับใช้เมื่อวันที่ 14 ตุลาคม 2020 ตลอดช่วงเวลาส่วนใหญ่นับจากนั้น การไม่มีกฎระเบียบบริหารทำให้กฎหมายดำรงอยู่ในฐานะคำแถลงหลักการมากกว่าระบบที่บังคับใช้ได้จริง สิ่งนั้นเปลี่ยนแปลงไปเมื่อศูนย์คุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานกำกับดูแลที่จัดตั้งขึ้นตามกฎหมายและสังกัดกระทรวงการสื่อสารและเทคโนโลยีสารสนเทศ ได้เผยแพร่กรอบปฏิบัติการ ข้อกำหนดการออกใบอนุญาต และกฎระเบียบบริหารที่กฎหมายเหลือไว้ให้ออกประกาศ ภายในปี 2026 ระบบดังกล่าวดำเนินการอย่างเต็มรูปแบบ การออกใบอนุญาตสำหรับผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลเปิดดำเนินการแล้ว และผู้เผยแพร่ที่ดำเนินงานในอียิปต์หรือกำหนดเป้าหมายไปที่อียิปต์ต้องอยู่ภายใต้มาตรฐานการยินยอมในประเทศที่ใกล้เคียงกับ GDPR มากกว่าโมเดลระดับภูมิภาคเก่าใดๆ ผลกระทบต่อการยินยอมใช้คุกกี้นั้นตรงไปตรงมา แบนเนอร์ที่ใช้งานได้ในอียิปต์ภายใต้ระบบเดิมไม่เพียงพออีกต่อไป และแบนเนอร์ที่ผ่านมาตรฐาน GDPR จะผ่านมาตรฐาน PDPL ได้เฉพาะเมื่อการผสานรวมคำนึงถึงจุดที่กรอบทั้งสองแตกต่างกัน
สิ่งที่ PDPL ของอียิปต์กำหนดไว้จริงๆ
กฎหมายมีผลบังคับใช้กับการประมวลผลข้อมูลส่วนบุคคลของผู้อยู่อาศัยชาวอียิปต์โดยไม่คำนึงว่าผู้ควบคุมหรือผู้ประมวลผลจัดตั้งอยู่ที่ใด และกับผู้ควบคุมและผู้ประมวลผลที่จัดตั้งในอียิปต์โดยไม่คำนึงว่าเจ้าของข้อมูลอยู่ที่ใด การบังคับใช้นอกอาณาเขตนั้นสะท้อนถึงมาตรา 3 ของ GDPR และหมายความว่าผู้เผยแพร่ที่มีสำนักงานใหญ่อยู่นอกอียิปต์แต่มีผู้อ่านชาวอียิปต์ การติดตั้งแอป หรือลูกค้าที่ชำระเงินอยู่ในขอบเขตอย่างแน่นอน ข้อมูลส่วนบุคคลถูกกำหนดอย่างกว้างๆ ว่าเป็นข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุตัวตนได้หรือที่สามารถระบุตัวตนได้ โดยข้อมูลส่วนบุคคลที่ละเอียดอ่อน ซึ่งรวมถึงข้อมูลสุขภาพ ไบโอเมตริก พันธุกรรม สุขภาพจิต การเงิน ความเชื่อทางศาสนา ความคิดเห็นทางการเมือง และคำพิพากษาทางอาญา ต้องอยู่ภายใต้เกณฑ์การยินยอมที่สูงกว่าและมาตรการป้องกันเพิ่มเติม
กฎหมายกำหนดฐานทางกฎหมายสำหรับการประมวลผล ชุดสิทธิมาตรฐานของเจ้าของข้อมูล ได้แก่ การเข้าถึง การแก้ไข การลบ การจำกัด การคัดค้าน และการพกพา กรอบความรับผิดชอบของผู้ควบคุม-ผู้ประมวลผล ภาระผูกพันในการแจ้งเตือนการละเมิด การควบคุมการโอนข้ามพรมแดน และระบบโทษทางปกครองที่มีค่าปรับตั้งแต่ EGP 100,000 สำหรับการละเมิดเล็กน้อยจนถึง EGP 5 ล้านสำหรับการละเมิดร้ายแรงหรือซ้ำซาก บทลงโทษทางอาญาใช้กับประเภทที่ร้ายแรงที่สุด รวมถึงการโอนข้ามพรมแดนโดยไม่มีใบอนุญาตและการประมวลผลข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
วิธีที่ PDPL ปฏิบัติต่อการยินยอมใช้คุกกี้โดยเฉพาะ
ต่างจาก ePrivacy Directive ของ EU PDPL ไม่มีบทบัญญัติแยกต่างหากเกี่ยวกับคุกกี้ คุกกี้และเทคโนโลยีการจัดเก็บและการเข้าถึงที่คล้ายคลึงกันอยู่ภายในกรอบการยินยอมทั่วไป การประมวลผลข้อมูลส่วนบุคคลใดๆ ที่อาศัยการยินยอมเป็นฐานทางกฎหมายต้องได้รับจากการแสดงออกที่ชัดเจน สมัครใจ เฉพาะเจาะจง และบันทึกไว้ของข้อตกลงจากเจ้าของข้อมูล ศูนย์คุ้มครองข้อมูลส่วนบุคคล ในแนวทางที่ออกระหว่างการเริ่มต้นแบบขั้นตอนของกฎระเบียบ ได้ยืนยันว่ากล่องที่เลือกไว้ล่วงหน้า การยินยอมโดยนัยที่อนุมานจากการเรียกดูต่อเนื่อง และแบนเนอร์การยินยอมแบบรวมไม่ผ่านมาตรฐานของกฎหมาย ซึ่งทำให้อียิปต์อยู่ในแนวทางเดียวกับแนวโน้มระดับโลกอย่างชัดเจน และหมายความว่าจุดยืนทางปฏิบัติที่ผู้เผยแพร่ดำรงอยู่สำหรับ EEA เป็นจุดเริ่มต้นที่ถูกต้องสำหรับการจราจรชาวอียิปต์
ผลกระทบทางปฏิบัติคือคุกกี้และเทคโนโลยีที่คล้ายคลึงกันซึ่งไม่จำเป็นอย่างยิ่งสำหรับการให้บริการต้องไม่ถูกตั้งค่าก่อนที่ผู้ใช้จะยินยอมอย่างแข็งขัน คุกกี้ที่จำเป็นอย่างยิ่ง ได้แก่ ตัวระบุเซสชัน เนื้อหาตะกร้าสินค้า โทเค็นความปลอดภัย คุกกี้สมดุลโหลด สามารถตั้งค่าได้โดยไม่ต้องยินยอมบนพื้นฐานที่ว่าผู้ใช้ร้องขอบริการอย่างแข็งขัน สิ่งอื่นๆ ทั้งหมด ได้แก่ การวิเคราะห์ การโฆษณา การปรับให้เป็นส่วนตัว การทดสอบ A/B การเล่นซ้ำเซสชัน และแท็กของบุคคลที่สาม ต้องได้รับการยินยอมล่วงหน้า
วิธีที่ PDPL แตกต่างจาก GDPR ในทางปฏิบัติ
ความแตกต่างสามประการมีความสำคัญในชั้นการผสานรวม ประการแรก PDPL กำหนดให้การยินยอมสำหรับการประมวลผล ข้อมูลส่วนบุคคลที่ละเอียดอ่อน ต้องได้รับเป็นลายลักษณ์อักษรหรือผ่านเอกสารอิเล็กทรอนิกส์ที่บันทึกไว้ซึ่งผู้ควบคุมสามารถนำเสนอตามคำขอ ซึ่งเป็นมาตรฐานหลักฐานที่สูงกว่าข้อกำหนดการยินยอมอย่างชัดแจ้งของ GDPR ประการที่สอง PDPL กำหนดระบบการออกใบอนุญาต ผู้ควบคุมและผู้ประมวลผลต้องลงทะเบียนกับศูนย์คุ้มครองข้อมูลส่วนบุคคล และหมวดหมู่การประมวลผลบางประเภท รวมถึงการโอนข้ามพรมแดนและการตลาดตรง ต้องมีใบอนุญาตปฏิบัติการแยกต่างหาก ประการที่สาม กฎการโอนข้ามพรมแดนของ PDPL กำหนดให้ต้องมีการกำหนดความเพียงพอจากศูนย์ มาตรการป้องกันตามสัญญาที่ได้รับอนุมัติ หรือการยินยอมอย่างชัดแจ้งจากเจ้าของข้อมูล การโอนไปยังเขตอำนาจศาลที่ไม่มีการกำหนดหรือมาตรการป้องกันถูกจำกัดโดยไม่คำนึงถึงจุดยืนการปฏิบัติตามของผู้รับเอง
แบนเนอร์คุกกี้ที่สอดคล้องกับ PDPL มีลักษณะอย่างไร
ข้อกำหนดทางเทคนิคสอดคล้องกับสิ่งที่ CMP สมัยใหม่ทุกตัวสร้างขึ้นแล้ว แต่การติดฉลาก เอกสาร และบันทึกการยินยอมต้องสะท้อนถึงข้อกำหนดเฉพาะของอียิปต์ แบนเนอร์ชั้นแรกต้องนำเสนอทางเลือกจริงแก่ผู้ใช้ ได้แก่ ยอมรับ ปฏิเสธ จัดการ โดยตัวเลือกการปฏิเสธต้องเด่นชัดอย่างน้อยเท่ากับตัวเลือกการยอมรับ การยินยอมแบบรวมถูกห้าม ดังนั้นชั้นที่สองต้องอนุญาตให้เลือกเข้าร่วมแต่ละหมวดหมู่ ครอบคลุมอย่างน้อยการวิเคราะห์ การโฆษณา และการประมวลผลที่ขึ้นอยู่กับการโอนข้ามพรมแดน หมวดหมู่ต้องตั้งค่าเริ่มต้นเป็น ปิด แบนเนอร์ต้องไม่โหลดแท็กจนกว่าผู้ใช้จะเปิดใช้งานอย่างแข็งขัน
ประกาศความเป็นส่วนตัวที่แสดงจากแบนเนอร์ต้องระบุผู้ควบคุม หมายเลขใบอนุญาต PDPL ของผู้ควบคุมหากมี หมวดหมู่ข้อมูลส่วนบุคคลที่รวบรวม ฐานทางกฎหมายสำหรับวัตถุประสงค์การประมวลผลแต่ละประการ ระยะเวลาการเก็บรักษาข้อมูล หมวดหมู่ผู้รับรวมถึงผู้ประมวลผลย่อยที่ตั้งอยู่นอกอียิปต์ สิทธิ์ของเจ้าของข้อมูลภายใต้กฎหมาย และรายละเอียดการติดต่อของศูนย์คุ้มครองข้อมูลส่วนบุคคลสำหรับการร้องเรียน ประกาศที่ผ่านมาตรฐานมาตรา 13 ของ GDPR จะทับซ้อนกันเป็นส่วนใหญ่ แต่ต้องเพิ่มบรรทัดใบอนุญาตอียิปต์และการติดต่อศูนย์อย่างชัดเจน
รูปแบบการผสานรวมที่ผ่านการตรวจสอบของศูนย์คุ้มครองข้อมูลส่วนบุคคล
การนำไปใช้อ้างอิงมีส่วนเคลื่อนไหวสี่ส่วน ส่วนแรกคือ CMP ที่รองรับการเลือกเข้าร่วมแต่ละหมวดหมู่ ตั้งค่าเริ่มต้นเป็นปิด และเปิดเผยการเลือกของผู้ใช้ผ่านสตริงการยินยอมที่มีโครงสร้างซึ่งผู้เผยแพร่สามารถคงอยู่ได้ ส่วนที่สองคือชั้นการโหลดแท็ก ซึ่งเป็นตัวจัดการแท็กฝั่งเซิร์ฟเวอร์หรือเกตแบบ CMP-native ที่บังคับใช้สถานะการยินยอมอย่างเข้มงวดก่อนที่จะตั้งค่าคุกกี้ที่ไม่จำเป็น ส่วนที่สามคือบันทึกการยินยอมที่จัดเก็บฝั่งเซิร์ฟเวอร์ ซึ่งบันทึกสำหรับทุกเหตุการณ์การยินยอม การเลือกของผู้ใช้ต่อหมวดหมู่ ตราเวลา เวอร์ชันแบนเนอร์ และตัวระบุ IP ที่ตัดทอนหรือแฮชเพื่อให้ผู้ควบคุมสามารถนำเสนอบันทึกตามคำขอของศูนย์ ส่วนที่สี่คือเส้นทางการถอนที่ง่ายอย่างน้อยเท่ากับการอนุมัติเดิม โดยทั่วไปคือลิงก์เปิดแบนเนอร์อีกครั้งที่คงอยู่ในส่วนท้าย
- แท็กการวิเคราะห์ ได้แก่ Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog ต้องโหลดเฉพาะหลังจากได้รับหมวดหมู่การวิเคราะห์ แต่ละแพลตฟอร์มรองรับการกำหนดค่าแบบควบคุมการยินยอมที่ป้องกันการเขียนคุกกี้ใดๆ ก่อนที่เกตจะเปิด
- แท็กโฆษณา ได้แก่ Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programmatic header bidders ต้องถูกควบคุมในลักษณะเดียวกัน และในกรณีที่คู่ค้าโฆษณาโอนข้อมูลนอกอียิปต์ เขตอำนาจศาลผู้รับต้องปรากฏในประกาศความเป็นส่วนตัว การเปิดเผยแบบทั่วไปว่า ประมวลผลโดยผู้ให้บริการระดับโลก ไม่เพียงพอตามแนวทางของศูนย์
- เครื่องมือเล่นซ้ำเซสชันและแผนที่ความร้อน ได้แก่ Hotjar, Microsoft Clarity, FullStory ต้องอยู่หลังเกตที่แยกออกมาและเข้มงวดกว่า เนื่องจากศูนย์ได้ปรับให้สอดคล้องกับมุมมองของ EDPB ว่าการแสดงผลของช่องป้อนข้อมูลต้องการการยินยอมที่ชัดแจ้งและละเอียด
- การเปิดเผยการโอนข้ามพรมแดน ต้องเฉพาะเจาะจงสำหรับแต่ละเขตอำนาจศาลผู้รับ และอ้างอิงฐานทางกฎหมายสำหรับการโอน ซึ่งได้แก่ มาตรการป้องกันตามสัญญาที่ได้รับอนุมัติ การกำหนดความเพียงพอ หรือการยินยอมอย่างชัดแจ้งของเจ้าของข้อมูล
การตรวจสอบความถูกต้อง การออกใบอนุญาต และจุดยืนการตรวจสอบสำหรับปี 2026
การใช้งานในอียิปต์ที่สามารถปกป้องได้ในปี 2026 ต้องผ่านการตรวจสอบทางเทคนิคสี่ประการ ประการแรก เซสชันเบราว์เซอร์ใหม่ที่ให้บริการจากที่อยู่ IP ของอียิปต์ต้องสร้างคุกกี้ที่ไม่จำเป็นเป็นศูนย์ก่อนที่แบนเนอร์จะถูกดำเนินการ ประการที่สอง เส้นทางปฏิเสธทั้งหมดต้องส่งผลให้ได้จุดยืนเดียวกับเซสชันที่ไม่มีการดำเนินการ ไม่มีแท็กการวิเคราะห์ ไม่มีแท็กโฆษณา ไม่มีสคริปต์เล่นซ้ำเซสชัน ประการที่สาม ขั้นตอนยอมรับทั้งหมดต้องสร้างเฉพาะแท็กที่ผู้ใช้ยินยอม และบันทึกการยินยอมต้องมีบันทึกที่ตรงกัน ประการที่สี่ ขั้นตอนการถอนต้องหยุดการยิงแท็กเพิ่มเติมทันที หมดอายุคุกกี้ที่ตั้งค่าระหว่างเซสชันที่ยินยอม และเรียกใช้สัญญาณการลบหรือการเลือกออกปลายน้ำที่คู่ค้าผู้รับต้องการ
นอกเหนือจากการตรวจสอบทางเทคนิค การออกใบอนุญาตและจุดยืนการตรวจสอบคือสิ่งที่ทำให้การใช้งานสามารถปกป้องได้ ผู้ควบคุมที่ประมวลผลข้อมูลส่วนบุคคลของผู้อยู่อาศัยชาวอียิปต์เกินเกณฑ์ที่กำหนดโดยกฎระเบียบบริหารต้องลงทะเบียนกับศูนย์คุ้มครองข้อมูลส่วนบุคคล และบันทึกการลงทะเบียน พร้อมกับบันทึกการยินยอม ประกาศความเป็นส่วนตัว ผลการประเมินผลกระทบการคุ้มครองข้อมูลสำหรับการประมวลผลความเสี่ยงสูง และการอนุมัติการโอนข้ามพรมแดนใดๆ ก่อให้เกิดเอกสารที่ศูนย์อาจร้องขอในระหว่างการตรวจสอบการปฏิบัติตาม CMP ที่กำหนดค่าอย่างถูกต้องพร้อมบันทึกฝั่งเซิร์ฟเวอร์ ชั้นการโหลดแท็กที่บังคับใช้สถานะการยินยอม ประกาศความเป็นส่วนตัวที่ระบุชื่อจุดหมายปลายทางการโอนข้ามพรมแดนแต่ละแห่ง และเอกสารการออกใบอนุญาตในแฟ้ม คือสิ่งที่เปลี่ยน PDPL ของอียิปต์จากความไม่แน่นอนด้านกฎระเบียบให้กลายเป็นส่วนที่สามารถปกป้องได้ของจุดยืนการยินยอมของผู้เผยแพร่ในภูมิภาค MENA