Єгипетський Закон про захист персональних даних 151 від 2020 року Посібник з дотримання вимог щодо згоди на файли cookie: Посібник 2026 для видавців
Єгипетський Закон про захист персональних даних № 151 від 2020 року — зазвичай відомий як єгипетський PDPL — був виданий 15 липня 2020 року і набрав чинності 14 жовтня 2020 року. Протягом більшої частини цього часу відсутність виконавчих нормативних актів означала, що Закон залишався декларацією принципів, а не виконуваним режимом. Це змінилося, коли Центр захисту персональних даних — регулятор, створений відповідно до Закону, підпорядкований Міністерству зв'язку та інформаційних технологій — опублікував свою операційну структуру, вимоги до ліцензування та виконавчі нормативні акти, які Закон залишив для видання. До 2026 року режим повністю функціонує, система ліцензування для операторів та обробників даних активна, а видавці, що працюють в Єгипті або орієнтовані на нього, підпадають під внутрішній стандарт згоди, що ближчий до GDPR, ніж до будь-якої старої регіональної моделі. Наслідки для згоди на файли cookie є прямими: банер, який працював в Єгипті за старим режимом, зараз недостатній, а банер, що відповідає GDPR, задовольнятиме PDPL лише тоді, коли інтеграція враховує точки, де два режими розходяться.
Що насправді вимагає єгипетський PDPL
Закон застосовується до обробки персональних даних єгипетських резидентів незалежно від того, де встановлено оператора або обробника, а також до операторів та обробників, встановлених в Єгипті, незалежно від того, де перебувають суб'єкти даних. Цей екстериторіальний охоплення відображає статтю 3 GDPR і означає, що видавець, який базується за межами Єгипту, але має єгипетських читачів, встановлення додатків або платних клієнтів, чітко перебуває в сфері застосування. Персональні дані визначені широко як будь-які дані, що стосуються ідентифікованої або такої, що може бути ідентифікована, фізичної особи, причому чутливі персональні дані — включаючи медичні, біометричні, генетичні, дані щодо психічного здоров'я, фінансові, релігійно-переконані, політично-ідеологічні та дані про кримінальні засудження — підлягають більш високому порогу згоди та додатковим гарантіям.
Закон встановлює правові підстави для обробки, стандартний набір прав суб'єктів даних — доступ, виправлення, видалення, обмеження, заперечення та переносимість — систему підзвітності оператора-обробника, зобов'язання щодо повідомлення про порушення, контроль транскордонного передавання та режим адміністративних санкцій з штрафами від EGP 100 000 за незначні порушення до EGP 5 мільйонів за серйозні або повторні порушення. Кримінальні санкції застосовуються до найсерйозніших категорій, включаючи нелiцензоване транскордонне передавання та обробку чутливих даних без дозволу.
Як PDPL конкретно трактує згоду на файли cookie
На відміну від Директиви ЄС про ePrivacy, PDPL не містить окремого положення щодо файлів cookie. Файли cookie та аналогічні технології зберігання та доступу підпадають під загальну структуру згоди: будь-яка обробка персональних даних, що покладається на згоду як правову підставу, повинна отримуватися на основі чіткого, добровільного, конкретного та задокументованого вираження згоди суб'єкта даних. Центр захисту персональних даних у своїх рекомендаціях, виданих під час поетапного запровадження нормативних актів, підтвердив, що попередньо відмічені прапорці, неявна згода, виведена з продовженого перегляду, та об'єднані банери згоди не відповідають стандарту Закону. Це чітко ставить Єгипет у відповідність до глобальної тенденції та означає, що практична позиція, яку видавці вже підтримують для EEA, є правильною відправною точкою для єгипетського трафіку.
Практичний ефект полягає в тому, що файли cookie та будь-які аналогічні технології, які не є суворо необхідними для надання послуги, не повинні встановлюватися до того, як користувач активно надав згоду. Суворо необхідні файли cookie — ідентифікатори сеансу, вміст кошика, маркери безпеки, файли cookie для балансування навантаження — можуть встановлюватися без згоди на підставі того, що користувач активно запросив послугу. Все інше — аналітика, реклама, персоналізація, A/B-тестування, відтворення сеансу та будь-який сторонній тег — вимагає попередньої згоди.
Як PDPL відрізняється від GDPR на практиці
Три відмінності важливі на рівні інтеграції. По-перше, PDPL вимагає, щоб згода на обробку чутливих персональних даних отримувалася в письмовій формі або через задокументований електронний еквівалент, який оператор може надати на запит — більш високий доказовий стандарт, ніж вимога GDPR щодо явної згоди. По-друге, PDPL запроваджує режим ліцензування: оператори та обробники повинні реєструватися в Центрі захисту персональних даних, а певні категорії обробки — включаючи транскордонне передавання та пряму рекламу — вимагають окремої операційної ліцензії. По-третє, правила транскордонного передавання PDPL вимагають або рішення про адекватність від Центру, схваленої договірної гарантії або явної згоди суб'єкта даних; передавання до юрисдикцій без рішень або гарантій обмежені незалежно від власної позиції одержувача щодо відповідності.
Як виглядає сумісний банер файлів cookie відповідно до PDPL
Технічні вимоги збігаються з тим, що вже виробляє кожна сучасна CMP, але маркування, документація та журнал згоди повинні відображати єгипетські особливості. Банер першого рівня повинен пропонувати користувачеві реальний вибір — прийняти, відхилити, керувати — де варіант відхилення є щонайменше таким само помітним, як варіант прийняття. Об'єднана згода заборонена, тому другий рівень повинен дозволяти вибір за категоріями, охоплюючи щонайменше аналітику, рекламу та будь-яку обробку, залежну від транскордонного передавання. Категорії повинні бути за замовчуванням вимкнені; банер не повинен завантажувати теги, поки користувач не активує їх.
Повідомлення про конфіденційність, що відображається з банера, повинно ідентифікувати оператора, номер ліцензії PDPL оператора, якщо застосовно, категорії зібраних персональних даних, правову підставу для кожної мети обробки, строк зберігання даних, категорії одержувачів, включаючи будь-яких субпроцесорів, розташованих за межами Єгипту, права суб'єкта даних відповідно до Закону та контактні дані Центру захисту персональних даних для подання скарг. Повідомлення, що відповідає стандарту статті 13 GDPR, буде в значній мірі збігатися, але рядки єгипетської ліцензії та контакту Центру повинні бути додані явно.
Шаблон інтеграції, що проходить перевірку Центру захисту персональних даних
Еталонна реалізація має чотири рухомі частини. Перша — це CMP, що підтримує вибір за категоріями, вимкнений за замовчуванням, та відкриває вибір користувача через структурований рядок згоди, який видавець може зберегти. Друга — це рівень завантаження тегів — серверний менеджер тегів або CMP-нативний шлюз — який суворо застосовує стан згоди перед встановленням будь-якого необов'язкового файлу cookie. Третя — це журнал згоди, що зберігається на сервері, який фіксує для кожної події згоди вибір користувача за категоріями, часову мітку, версію банера та скорочений або хешований ідентифікатор IP, щоб оператор міг надати запис на запит Центру. Четвертий — це шлях відкликання, принаймні такий само простий, як оригінальне надання — як правило, постійне посилання на повторне відкриття банера в нижньому колонтитулі.
- Аналітичні теги — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — повинні завантажуватися лише після надання категорії аналітики. Кожна платформа підтримує конфігурацію зі шлюзом згоди, яка запобігає будь-якому запису файлів cookie до відкриття шлюзу.
- Рекламні теги — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, програматичні header bidder'и — повинні бути аналогічно захищені, а там, де рекламний партнер передає дані за межі Єгипту, юрисдикція одержувача повинна фігурувати в повідомленні про конфіденційність. Загальне розкриття обробляється глобальними постачальниками послуг недостатньо відповідно до рекомендацій Центру.
- Інструменти відтворення сеансів та теплових карт — Hotjar, Microsoft Clarity, FullStory — повинні бути розміщені за окремим, суворішим шлюзом, оскільки Центр узгодився з позицією EDPB про те, що відтворення полів введення вимагає явної та детальної згоди.
- Розкриття транскордонного передавання повинні бути специфічними для кожної юрисдикції одержувача та посилатися на правову підставу для передавання — схвалену договірну гарантію, рішення про адекватність або явну згоду суб'єкта даних.
Перевірка, ліцензування та аудиторська позиція на 2026 рік
Захищене єгипетське розгортання у 2026 році повинно пройти чотири технічні перевірки. По-перше, чиста сесія браузера, що обслуговується з єгипетської IP-адреси, повинна видавати нуль необов'язкових файлів cookie до того, як банер оброблено. По-друге, шлях відхилення всього повинен призводити до тієї самої позиції, що й сесія без дій — без аналітичних тегів, без рекламних тегів, без скриптів відтворення сеансу. По-третє, потік прийняття всього повинен видавати лише теги, на які користувач дав згоду, а журнал згоди повинен містити відповідний запис. По-четверте, потік відкликання повинен негайно зупинити подальші спрацьовування тегів, закрити файли cookie, встановлені під час сесії зі згодою, та ініціювати будь-які низхідні сигнали видалення або відмови, що вимагаються партнерами-одержувачами.
Окрім технічних перевірок, ліцензування та аудиторська позиція є тим, що робить розгортання захищеним. Оператори, що обробляють персональні дані єгипетських резидентів понад пороги, встановлені виконавчими нормативними актами, повинні бути зареєстровані в Центрі захисту персональних даних, а запис реєстрації — разом із журналом згоди, повідомленням про конфіденційність, результатами оцінки впливу на захист даних для обробки вищого ризику та будь-якими дозволами на транскордонне передавання — утворює документацію, яку Центр може запросити під час перевірки відповідності. Правильно налаштована CMP зі серверним журналом, рівень завантаження тегів, що застосовує стан згоди, повідомлення про конфіденційність із зазначенням кожного місця призначення транскордонного передавання та ліцензійні документи у файлі — це те, що перетворює єгипетський PDPL з регуляторної невідомості на захищену частину позиції видавця щодо згоди в регіоні MENA.