Защита персональных данных в ОАЭ: обзор на изменения в сфере privacy-регулирования
- 20 мая, 2024
- Бизнес, Законодательства, Защита данных
В современном мире защита персональных данных стала одной из ключевых задач для компаний и организаций. И наличие большого количества национальных законов о защите персональных данных по всему миру только подтверждает это утверждение. В преддверии старта курса «Защита персональных данных в ОАЭ на основе GDPR» давайте углубимся в эмиратское регулирование в сфере приватности, в котором за последние четыре года произошли существенные изменения.
Содержание
Регулирование персональных данных
В ОАЭ действует Федеральный закон № 45 от 2021 года о защите персональных данных (PDPL), который вступил в силу 2 января 2022 года. Основная цель — обеспечить надлежащую защиту персональных данных граждан и резидентов ОАЭ путем установления правил сбора, хранения, использования и передачи персональных данных.
Согласно определению PDPL, персональные данные — это любая информация, относящаяся к конкретному физическому лицу (индивидууму), которое может быть прямо или косвенно идентифицировано по таким \ признакам, как имя, голос, фотография, идентификационный номер, электронный идентификатор, географическое местоположение или физические, физиологические, культурные и социальные характеристики.
Согласно статье 2(1), Федеральный закон о защите персональных данных в ОАЭ применяется ко всем организациям и компаниям, которые оперируют на территории ОАЭ, включая иностранные компании, имеющие представительства или филиалы в стране. Это означает, что вне зависимости от масштабов и отрасли деятельности, все компании обязаны соблюдать требования закона и обеспечивать безопасность персональных данных своих клиентов и сотрудников.
Cтоит отметить, что закон не применяется к обработке данных государственных органов ОАЭ, медицинской, банковской и кредитной информации — эти сегменты в Эмиратах регулирует отдельное законодательство. Компании, созданные и зарегистрированные в свободных зонах, таких как Дубайский международный финансовый центр (DIFC) и Глобальный рынок Абу-Даби (ADGM), также не подпадают под действие закона.
Несмотря на то, что закон о защите персональных данных в ОАЭ имеет некоторое сходство с требованиями Общего регламента о защите данных (GDPR), он также обладает рядом отличительных особенностей. Ключевым можно назвать факт того, что основным правовым основанием для обработки данных является согласие (за исключением отдельных ограниченных случаев). Однако существуют определенные исключения, когда обработка возможна без согласия субъекта, например:
1. Заключение договора с субъектом данных, внесение изменений или расторжение договора.
2. Если субъект данных сделал персональные данные общедоступными.
3. Для защиты интересов субъекта данных.
4. Если обработка необходима для отстаивания законных прав или в рамках судебных процедур или процедур безопасности.
5. Когда обработка необходима для определенных медицинских целей или вопросов общественного здравоохранения.
Кроме этого, в ОАЭ действует Регламент Комитета по защите персональных данных ОАЭ (Personal Data Protection Committee Regulations), который содержит положения о процедурах и регулировании, связанных с применением Федерального закона о защите персональных данных, включая политику защиты персональных данных, руководства и стандарты.
Также важным документом является Закон об электронной коммерции (Electronic Commerce Law), который, помимо прочего, охватывает вопросы, связанные с обработкой персональных данных в сфере электронной коммерции. Он содержит положения о сборе, использовании и хранении персональных данных в контексте электронной коммерции.
Существуют и другие законодательные акты, которые могут иметь отношение к защите персональных данных в ОАЭ, например, законы о банковской тайне, медицинской конфиденциальности и т. д. Различные эмираты ОАЭ также имею свои собственные законы и регулятивные акты в этой сфере.
Консалтинг по национальным законам
Приведение проектов, процессов, продуктов и компании в соответствии с международными и локальными законами: GDPR, ССPA, UAE PDPL, PIPL и других.
Методы защиты данных
Соблюдение требований по защите персональных данных является не только юридической обязанностью, но и имеет важное значение для создания доверия со стороны клиентов. В эпоху усиления цифровизации и роста онлайн-сервисов, люди все более осознают важность защиты своих персональных данных. Компании, которые проявляют заботу о безопасности и конфиденциальности информации своих клиентов, создают положительное впечатление и укрепляют свою репутацию.
Для того, чтобы обеспечить безопасность персональных данных в ОАЭ, компании должны принять ряд мер. Во-первых, важно разработать и внедрить систему управления информационной безопасностью, которая будет регулировать сбор, хранение и использование персональных данных в соответствии с требованиями закона. Компании также должны обучить своих сотрудников правилам обработки персональных данных и проводить регулярные проверки безопасности.
PDPL требует от контроллера и обработчика данных внедрения соответствующих технических и организационных мер и действий для обеспечения высокого уровня информационной безопасности. Сюда мы можем отнести:
Шифрование персональных данных субъекта данных.
Псевдонимизация данных.
Осуществление мер, гарантирующих долгосрочную защиту данных, целостность, безопасность, гибкость систем и служб обработки.
Реализация мер, которые гарантируют своевременное получение доступа к персональным данным в случае технического сбоя или другого рода неполадок.
В случае возникновения вопросов или неясностей относительно требований по защите персональных данных в ОАЭ, рекомендуется обратиться за консультацией к юристам, специализирующимся на данной области права.
Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
Последствия нарушений и надзорные орган
Несоблюдение требований по защите персональных данных может иметь серьезные последствия для компаний. В случае нарушения закона, органы государственной власти ОАЭ могут применить административные меры, включая наложение штрафов, приостановку деятельности компании, лишение лицензии или ограничение права на заключение государственных контрактов. Кроме того, нарушение требований по защите персональных данных может привести к уголовной ответственности руководителей компаний.
Штрафы являются одним из наиболее распространенных административных мер, которые могут быть применены к компаниям за нарушение требований закона о защите персональных данных. Их размер зависит от характера нарушения и может быть значительным. В соответствии с законодательством ОАЭ, штрафы могут достигать до 5 миллионов дирхам (около 1,36 миллиона долларов США) или определенного процента от годового оборота компании, в зависимости от тяжести нарушения.
В случае серьезных нарушений, которые могут быть классифицированы как уголовное преступление, руководители компаний также могут быть подвергнуты уголовной ответственности: аресту, штрафам или тюремное заключение в зависимости от тяжести нарушения.
Важно отметить, что применение административных и уголовных мер зависит от конкретных обстоятельств каждого случая нарушения закона о защите персональных данных. Компетентные органы государственной власти ОАЭ имеют право принимать решения о применении мер в соответствии с законодательством и своими полномочиями.
К слову о них, основным органом государственной власти, который отвечает за соблюдение UAE PDPL, является Data Office, созданный в соответствии с отдельным Федеральным законом Объединенных Арабских Эмиратов №44. Он отвечает за разработку политики и стандартов в области защиты персональных данных, а также проведение проверок и расследований нарушений закона.
Также каждый эмират ОАЭ имеет свой собственный орган по защите персональных данных, который отвечает за надзор и контроль за соблюдением требований закона о защите персональных данных на своей территории. Эти органы могут проводить проверки и расследования нарушений в соответствии с полномочиями, предоставленными им законодательством.
Здесь стоит упомянуть и Комиссию по сетевой безопасности и информационным технологиям (Telecommunications Regulatory Authority) — федеральный орган, который также играет роль в области защиты персональных данных. Комиссия осуществляет надзор за сектором информационных технологий и телекоммуникаций в ОАЭ и может проводить проверки и расследования нарушений в этой области, включая нарушения закона о защите персональных данных.
Эти органы имеют полномочия проводить проверки, требовать предоставления информации и документов, связанных с обработкой персональных данных, а также применять административные и уголовные меры в случае выявления нарушений. Они также предоставляют руководства и консультации компаниям и частным лицам по вопросам защиты персональных данных в ОАЭ.
Как привести компанию к соответствию PDPL?
Чтобы соответствовать требованиям PDPL, бизнесу необходимо совершить целый ряд действий. Рассмотрим ключевые шаги:
1. Провести инвентаризацию своих данных (разработать реестр персональных данных) и понять, какие персональные данные обрабатываются, обрабатывается ли чувствительная информация.
2. Оценить необходимость назначения DPO.
Согласно статье 10 PDPL, контроллер и обработчик данных должны назначить ответственного за защиту данных в любом из следующих случаях:
Если обработка может привести к высокому риску нарушения безопасности данных и серьезным последствиям для субъекта.
Если обработка включает в себя систематическую и общую оценку чувствительных персональных данных, включая профилирование и автоматизацию.
При обработке большого объема чувствительных персональных данных.
3. Обеспечить прозрачное и открытое информирование субъектов о том, как обрабатываются их персональные данные (самый простой способ — публикация в открытом доступе Политики приватности, которая будет содержать всю необходимую информацию).
4. Разработать официальные политики и процедуры (например, процедура получения согласия и т. д.), а также не забывать об их постоянном обновлении.
5. Иметь надежные механизмы уведомления о нарушении конфиденциальности данных.
6. Составить карту своих процессов и выявить трансграничные потоки данных из ОАЭ в другие страны, а также выполнить строгие требования по трансграничной передачи данных в соответствии с PDPL.
7. Применять технические и организационные меры безопасности для защиты персональных данных.
8. Проводить оценку воздействия на защиту персональных данных (DPIA), оценку процессоров и другие оценки рисков.
Как Data Privacy Office может помочь
Обучение
На основе многочисленных запросов от клиентов наша команда разработала программу обучения по эмиратскому регулированию в сфере приватности “Защита персональных данных в ОАЭ на основе GDPR”. На курсе вы сможете глубоко разобраться в требованиях ОАЭ и двух главных свободных экономических зон (DIFC, ADGM) в сравнении с GDPR.
Все вышеперечисленное в статье подтверждает, что компаниям, которые релоцируются в ОАЭ или планируют продвигать свои продукты на рынке Эмиратов, необходимы обученные специалисты, знающие все нюансы местного законодательства. Это критически важно с учетом тех последствий, к которым могут привести нарушения (штрафы, приостановка деятельности или даже закрытие бизнеса, снижение уровня доверия клиентов и партнеров и многое другое). А для практикующих экспертов знание еще одной юрисдикции будет явным преимуществом в глазах работодателей.
Кроме этого, наша команда может разработать специально адаптированную под запросы вашего бизнеса программу корпоративного обучения. Во всем вопросам вы можете смело обращаться к нашим менеджерам, которые с радостью сориентируют вас по условиям оплаты, формате обучения и не только.
Консалтинг
Одним из направлений деятельности бизнеса является оказание консалтинговых услуг в сфере приватности по различных законодательствам, и эмиратское регулирование не исключение. Любую из предложенных здесь услуг мы можем адаптировать под конкретные запросы вашей компании. А если вы не найдете ничего подходящего, то предложить специальные кастомные решения.
Мы приглашаем вас на бесплатную небольшую встречу с нашим менеджером, на которой вы сможете задать все интересующие вопросы по тому, как команда Data Privacy Office может помочь привести к соответствию требованиям законодательств о защите данных. Вы можете выбрать любое удобное для вас время в календаре, написать лично нашему менеджеру или заполнить форму внизу страницы. Будем рады помочь!
Заключение
Таким образом, RoPA (Реестр обработок персональных данных) является обязательным документом, требующимся по статье 30 GDPR. Основные проблемы при его заполнении связаны с определением целей обработки данных, категорий данных, процессоров и информационных систем, категорий субъектов данных и т.д. Использование больших языковых моделей (LLMs) может помочь в решении этих проблем, предоставляя подробное описание бизнес-процесса, включая этапы процесса, используемые персональные данные и их цели, сроки выполнения процесса, типы процессоров данных и примеры, отделы компании, участвующие в процессе, риски приватности и нарушения GDPR, связанные с обработкой, а также штрафы и другие регуляторные действия.
