Защита персональных данных в ОАЭ: обзор на изменения в сфере privacy-регулирования
- 20 мая, 2024
- Бизнес, Законодательства, Защита данных
В современном мире защита персональных данных стала одной из ключевых задач для компаний и организаций. И наличие большого количества национальных законов о защите персональных данных по всему миру только подтверждает это утверждение. Давайте углубимся в эмиратское регулирование в сфере приватности, в котором за последние четыре года произошли существенные изменения.
Содержание
Регулирование персональных данных
В ОАЭ действует Федеральный закон № 45 от 2021 года о защите персональных данных, который вступил в силу 2 января 2022 года. Основная цель — обеспечить надлежащую защиту персональных данных граждан и резидентов ОАЭ путем установления правил сбора, хранения, использования и передачи персональных данных.
Согласно определению закона, персональные данные — это любая информация, относящаяся к конкретному физическому лицу (индивидууму), которое может быть прямо или косвенно идентифицировано по таким признакам, как имя, голос, фотография, идентификационный номер, электронный идентификатор, географическое местоположение или физические, физиологические, культурные и социальные характеристики.
Согласно статье 2(1), Федеральный закон о защите персональных данных в ОАЭ применяется ко всем организациям и компаниям, которые оперируют на территории ОАЭ, включая иностранные компании, имеющие представительства или филиалы в стране. Это означает, что вне зависимости от масштабов и отрасли деятельности, все компании обязаны соблюдать требования закона и обеспечивать безопасность персональных данных своих клиентов и сотрудников.
Cтоит отметить, что закон не применяется к обработке данных государственных органов ОАЭ, медицинской, банковской и кредитной информации — эти сегменты в Эмиратах регулирует отдельное законодательство. Компании, созданные и зарегистрированные в свободных зонах, таких как Дубайский международный финансовый центр (DIFC) и Глобальный рынок Абу-Даби (ADGM), также не подпадают под действие закона.
Несмотря на то, что закон о защите персональных данных в ОАЭ имеет некоторое сходство с требованиями Общего регламента о защите данных (GDPR), он также обладает рядом отличительных особенностей. Ключевым можно назвать факт того, что основным правовым основанием для обработки данных является согласие (за исключением отдельных ограниченных случаев). Однако существуют определенные исключения, когда обработка возможна без согласия субъекта, например:
1. Заключение договора с субъектом данных, внесение изменений или расторжение договора.
2. Если субъект данных сделал персональные данные общедоступными.
3. Для защиты интересов субъекта данных.
4. Если обработка необходима для отстаивания законных прав или в рамках судебных процедур или процедур безопасности.
5. Когда обработка необходима для определенных медицинских целей или вопросов общественного здравоохранения.
⚡️ Если вы уже знакомы с GDPR и хотите расширить свои знания на юрисдикцию ОАЭ, советуем пройти курс «Защита персональных данных в ОАЭ на основе GDPR». Это интенсивная программа, которая поможет разобраться в сходствах и отличиях двух законов.
Кроме этого, в ОАЭ действует Регламент Комитета по защите персональных данных ОАЭ (Personal Data Protection Committee Regulations), который содержит положения о процедурах и регулировании, связанных с применением Федерального закона о защите персональных данных, включая политику защиты персональных данных, руководства и стандарты.
Также важным документом является Закон об электронной коммерции (Electronic Commerce Law), который, помимо прочего, охватывает вопросы, связанные с обработкой персональных данных в сфере электронной коммерции. Он содержит положения о сборе, использовании и хранении персональных данных в контексте электронной коммерции.
Существуют и другие законодательные акты, которые могут иметь отношение к защите персональных данных в ОАЭ, например, законы о банковской тайне, медицинской конфиденциальности и т. д. Различные эмираты ОАЭ также имею свои собственные законы и регулятивные акты в этой сфере.
Методы защиты данных
Соблюдение требований по защите персональных данных является не только юридической обязанностью, но и имеет важное значение для создания доверия со стороны клиентов. В эпоху усиления цифровизации и роста онлайн-сервисов, люди все более осознают важность защиты своих персональных данных. Компании, которые проявляют заботу о безопасности и конфиденциальности информации своих клиентов, создают положительное впечатление и укрепляют свою репутацию.
Для того, чтобы обеспечить безопасность персональных данных в ОАЭ, компании должны принять ряд мер. Важно разработать и внедрить систему управления информационной безопасностью, которая будет регулировать сбор, хранение и использование персональных данных в соответствии с требованиями закона. Компании также должны обучить своих сотрудников правилам обработки персональных данных.
Законодательство требует от контроллера и обработчика данных внедрения соответствующих технических и организационных мер и действий для обеспечения высокого уровня информационной безопасности. Сюда мы можем отнести:
Шифрование персональных данных субъекта данных.
Псевдонимизация данных.
Осуществление мер, гарантирующих долгосрочную защиту данных, целостность, безопасность, гибкость систем и служб обработки.
Реализация мер, которые гарантируют своевременное получение доступа к персональным данным в случае технического сбоя или другого рода неполадок.
В случае возникновения вопросов или неясностей относительно требований по защите персональных данных в ОАЭ, рекомендуется обратиться за консультацией к юристам, специализирующимся на данной области права.
Последствия нарушений и надзорные орган
Несоблюдение требований по защите персональных данных может иметь серьезные последствия для компаний. В случае нарушения закона, органы государственной власти ОАЭ могут применить административные меры, включая наложение штрафов, приостановку деятельности компании, лишение лицензии или ограничение права на заключение государственных контрактов. Кроме того, нарушение требований по защите персональных данных может привести к уголовной ответственности руководителей компаний.
Штрафы являются одним из наиболее распространенных административных мер, которые могут быть применены к компаниям за нарушение требований закона о защите персональных данных. Их размер зависит от характера нарушения и может быть значительным. В соответствии с законодательством ОАЭ, штрафы могут достигать до 5 миллионов дирхам (около 1,36 миллиона долларов США) или определенного процента от годового оборота компании, в зависимости от тяжести нарушения.
В случае серьезных нарушений, которые могут быть классифицированы как уголовное преступление, руководители компаний также могут быть подвергнуты уголовной ответственности: аресту, штрафам или тюремное заключение в зависимости от тяжести нарушения.
Важно отметить, что применение административных и уголовных мер зависит от конкретных обстоятельств каждого случая нарушения закона о защите персональных данных. Компетентные органы государственной власти ОАЭ имеют право принимать решения о применении мер в соответствии с законодательством и своими полномочиями.
К слову о них, основным органом государственной власти, который отвечает за соблюдение законов, является Data Office, созданный в соответствии с отдельным Федеральным законом Объединенных Арабских Эмиратов №44. Он отвечает за разработку политики и стандартов в области защиты персональных данных, а также проведение проверок и расследований нарушений закона.
Также каждый эмират ОАЭ имеет свой собственный орган по защите персональных данных, который отвечает за надзор и контроль за соблюдением требований закона о защите персональных данных на своей территории. Эти органы могут проводить проверки и расследования нарушений в соответствии с полномочиями, предоставленными им законодательством.
Здесь стоит упомянуть и Комиссию по сетевой безопасности и информационным технологиям (Telecommunications Regulatory Authority) — федеральный орган, который также играет роль в области защиты персональных данных. Комиссия осуществляет надзор за сектором информационных технологий и телекоммуникаций в ОАЭ и может проводить проверки и расследования нарушений в этой области, включая нарушения закона о защите персональных данных.
Эти органы имеют полномочия проводить проверки, требовать предоставления информации и документов, связанных с обработкой персональных данных, а также применять административные и уголовные меры в случае выявления нарушений. Они также предоставляют руководства и консультации компаниям и частным лицам по вопросам защиты персональных данных в ОАЭ.
Как привести компанию к соответствию эмиратскому закону?
Чтобы соответствовать требованиям эмиратского закона, бизнесу необходимо совершить целый ряд действий. Рассмотрим ключевые шаги:
1. Провести инвентаризацию своих данных (разработать реестр персональных данных) и понять, какие персональные данные обрабатываются, обрабатывается ли чувствительная информация.
2. Оценить необходимость назначения DPO.
Согласно статье 10 эмиратского закона, контроллер и обработчик данных должны назначить ответственного за защиту данных в любом из следующих случаях:
Если обработка может привести к высокому риску нарушения безопасности данных и серьезным последствиям для субъекта.
Если обработка включает в себя систематическую и общую оценку чувствительных персональных данных, включая профилирование и автоматизацию.
При обработке большого объема чувствительных персональных данных.
3. Обеспечить прозрачное и открытое информирование субъектов о том, как обрабатываются их персональные данные (самый простой способ — публикация в открытом доступе Политики приватности, которая будет содержать всю необходимую информацию).
4. Разработать официальные политики и процедуры (например, процедура получения согласия и т. д.), а также не забывать об их постоянном обновлении.
5. Иметь надежные механизмы уведомления о нарушении конфиденциальности данных.
6. Составить карту своих процессов и выявить трансграничные потоки данных из ОАЭ в другие страны, а также выполнить строгие требования по трансграничной передачи данных в соответствии с эмиратским законом.
7. Применять технические и организационные меры безопасности для защиты персональных данных.
8. Проводить оценку воздействия на защиту персональных данных (DPIA), оценку процессоров и другие оценки рисков.
Как Data Privacy Office может помочь
Наша команда помогает компаниям строить системы защиты персональных данных в соответствии с законодательством ОАЭ, а также обучает специалистов работе в этой юрисдикции.
Если вы хотите выйти на рынок ОАЭ или делегировать обязанности по защите персональных данных в этой юрисдикции, наши сертифицированные эксперты могут в этом помочь. Для каждой компании мы собираем уникальный пакет услуг, который позволит соответствовать требованиям. Для этого мы проводим аудит, выявляем пробелы в системе и разрабатываем план действий по их минимизации.
На основе многочисленных запросов от клиентов наша команда разработала программу обучения по эмиратскому регулированию в сфере приватности «Защита персональных данных в ОАЭ на основе GDPR». На курсе вы сможете глубоко разобраться в требованиях ОАЭ и двух главных свободных экономических зон (DIFC, ADGM) в сравнении с GDPR.
Ознакомление сотрудников с принципами data privacy — одна из организационных мер защиты персональных данных во многих юрисдикциях, и ОАЭ — не исключение. Наши специалисты могут разработать программу для вашей команды, которая будет учитывать специфику бизнеса и уровень сотрудников в сфере законодательства.
