Закон принят, практики нет: 3 риска UAE PDPL для бизнеса

Риск трансграничных ограничений и осложнённого data flow

Нормативная база и её текущее состояние

Статьи 22 и 23 UAE PDPL регулируют передачу персональных данных за пределы ОАЭ. Механизм в целом воспроизводит архитектуру GDPR: передача разрешена в страны с «адекватным уровнем защиты», одобренным UAE Data Office, либо при наличии соответствующих гарантий — стандартных договорных условий (SCCs), обязывающих корпоративных правил (BCRs) или иных контрактных инструментов. Статья 23 также предусматривает ряд исключений — в частности, передачу на основании согласия субъекта или в целях исполнения договора.

Однако на практике этот механизм не работает в полном объёме. По состоянию на май 2026 года UAE Data Office не опубликовал перечень стран с «адекватным уровнем защиты»: ни одна юрисдикция формально не признана «адекватной». Для сравнения — Европейская Комиссия приняла решения об адекватности для более чем десятка стран, включая Японию, Южную Корею, Канаду и Великобританию. Стандартные договорные условия (SCCs) на федеральном уровне ОАЭ также не утверждены: бизнес вынужден опираться на договорные гарантии, смоделированные по международным образцам, без официального одобрения со стороны регулятора. Исполнительный регламент (Executive Regulations), призванный конкретизировать порядок трансграничной передачи, спустя четыре года после вступления PDPL в силу всё ещё не принят.

Зеркальная проблема: позиция Европейского Союза

Самостоятельный и критически важный риск — отсутствие решения Европейской Комиссии об адекватности для ОАЭ. Его практическое следствие: передача персональных данных из ЕС в ОАЭ не может опираться на упрощённый режим решения ЕС об адекватности. Европейские контрагенты обязаны использовать SCCs по модели ЕС и проводить Оценку воздействия передачи данных (TIA) в соответствии с Руководством EDPB 01/2020. При проведении TIA они неизбежно столкнутся с факторами, снижающими оценку уровня защиты: широкими исключениями для государственных органов, вопросами к институциональной независимости надзора и отсутствием зрелой правоприменительной практики — подробнее об этом в следующих разделах.

Практические последствия

Любая трансграничная передача — в обоих направлениях — требует дополнительных договорных гарантий. Для компаний, работающих в цепочке ЕС ↔ ОАЭ, это означает двойное бремя: необходимость одновременно соблюдать требования GDPR и PDPL, которые при концептуальном сходстве имеют разную нормативную базу и разный набор допустимых механизмов передачи.

Без утверждённых SCCs и перечня стран с адекватным уровнем защиты бизнес фактически оперирует в «серой зоне»: передача формально возможна при наличии контрактных гарантий, однако стандарт этих гарантий регулятором не установлен. Нет ни презумпции соответствия, ни чётких критериев достаточности. Это создаёт значительную неопределённость при аудитах и во взаимодействии с европейскими контрагентами, обязанными документально обосновывать каждую передачу.

Рекомендация: На текущем этапе разумный подход — использовать договорные гарантии по образцу EU SCCs, адаптированных с учётом специфики UAE PDPL, и документировать правовое основание каждой трансграничной передачи. Для передач из ЕС — проводить TIA. Необходимо выстроить систему мониторинга публикаций UAE Data Office на предмет появления официального перечня стран с адекватным уровнем защиты и утверждённых SCCs.

Риск широкого доступа государства к данным

Исключения из сферы применения PDPL

Статья 2 UAE PDPL выводит из-под действия закона две категории: государственные данные (government data) — персональные данные, обрабатываемые государственными органами при осуществлении ими своих полномочий, — и данные, обрабатываемые органами безопасности и судебными органами. По своему охвату эти исключения значительно шире аналогичных изъятий в европейском праве. GDPR применяется к публичному сектору наравне с частным: доступ государственных органов к данным частных лиц строго регламентирован и предполагает судебный контроль. В ОАЭ государственные органы фактически выведены из-под режима UAE PDPL — без детализации пределов этого исключения и без установленных процессуальных гарантий.

Неопределённость пределов государственного доступа

Особую обеспокоенность вызывает не само по себе наличие государственных исключений — национальная безопасность является признанным основанием для ограничения прав субъектов данных в любой юрисдикции, включая ЕС, — а неопределённость их границ. Закон не содержит чёткого определения понятия «government data» и не устанавливает исчерпывающего перечня органов, пользующихся исключением. Это открывает пространство для расширительного толкования, при котором под исключение могут быть подведены органы, чья деятельность не имеет прямого отношения к национальной безопасности. UAE PDPL не предусматривает ни требований о предварительном судебном разрешении на доступ к данным, ни механизма уведомления субъекта (в том числе отложенного), ни порядка обжалования соответствующих решений.

Дополнительный контекст создаёт Федеральный Декрет-Закон № 34 от 2021 года о борьбе с киберпреступностью, наделяющий компетентные органы широкими полномочиями по доступу к электронным данным в целях расследования. В совокупности с исключениями из UAE PDPL это формирует правовую среду, в которой государственный доступ к данным регулируется преимущественно нормами публичного права — без стандартов и гарантий, предусмотренных законодательством о защите персональных данных.

Практические последствия

Руководство EDPB 01/2020 прямо указывает: при TIA необходимо учитывать «право доступа публичных властей к переданным данным». Если оценка выявит, что уровень защиты в стране-получателе недостаточен, экспортёр данных в соответствии с решением Суда ЕС по делу Schrems II обязан приостановить передачу или внедрить дополнительные меры — в том числе технические, препятствующие доступу государственных органов к данным в расшифрованном виде.

Рекомендация: Провести детальный анализ категорий данных, хранящихся и обрабатываемых в ОАЭ, с учётом реального риска запросов со стороны государственных органов. Для чувствительных категорий — рассматривать применение end-to-end шифрования, псевдонимизации, токенизации. Разработать внутреннюю политику реагирования на запросы властей, закрепляющую принцип минимального раскрытия.

Риск правовой неопределённости и слабой предсказуемости правоприменительной практики

Незрелость правоприменительной практики

UAE PDPL предусматривает создание UAE Data Office — надзорного органа с полномочиями по контролю за соблюдением закона, проведению расследований и наложению штрафов. Data Office учреждён на основании Федерального Декрета-Закона № 44 от 2021 года. Однако к маю 2026 года его практическая деятельность остаётся крайне ограниченной.

Исполнительные регламенты (Executive Regulations), которые конкретизируют ключевые положения UAE PDPL: порядок назначения DPO, детальные требования к уведомлению об инцидентах, правовые основания обработки в их практическом применении — так и не приняты спустя четыре года после вступления закона в силу. Отсутствуют опубликованные решения о наложении штрафов, публичные расследования, иная информация о правоприменении. Не сформирован и корпус разъяснений и руководств: в отличие от европейских DPA, активно публикующих практические руководства и мнения, UAE Data Office пока не создал сопоставимой базы для интерпретации требований закона.

UAE PDPL предусматривает возможность применения административных санкций, однако конкретный перечень нарушений и размеры штрафов должны быть определены отдельным решением Совета министров по представлению UAE Data Office. Поэтому до публикации такого решения этот риск остаётся трудно калибруемым: бизнес не может точно оценить ни вероятность применения санкций, ни категории нарушений, которые регулятор будет преследовать в первую очередь. Отдельно от UAE PDPL уголовная ответственность может наступать по Федеральному Декрету-Закону № 34 от 2021 года о борьбе с киберпреступностью — например, за неправомерный доступ, использование, раскрытие или незаконную обработку персональных данных с применением информационных технологий. Отсутствие правоприменительной практики сегодня не означает её отсутствия завтра: опыт GDPR показывает, что регуляторы нередко начинают с показательных дел.

Вопросы институциональной независимости

UAE Data Office создан при Telecommunications and Digital Government Regulatory Authority — государственном органе, совмещающем функции регулятора телекоммуникационного сектора и надзора за защитой данных. Такая структурная подчинённость создаёт потенциал конфликта интересов и ставит под вопрос готовность регулятора последовательно применять закон в отношении государственных структур или крупных компаний с государственным участием. В европейской модели полная институциональная независимость надзорных органов — требование, прямо закреплённое статьёй 52(1) GDPR. Именно она учитывается при TIA как один из ключевых индикаторов реальной эффективности правовых механизмов защиты данных в стране-получателе.

Фрагментация: федеральный уровень и специальные зоны

Правовой ландшафт ОАЭ отличается принципиальной особенностью — сосуществованием самостоятельных режимов защиты данных. UAE PDPL применяется на территории материковых ОАЭ. DIFC Data Protection Law No. 5 of 2020 действует в Дубайском международном финансовом центре, a ADGM Data Protection Regulations 2021 применяются в Abu Dhabi Global Market.

Каждый из трёх режимов имеет собственного регулятора, собственные правила трансграничной передачи, собственный уровень зрелости правоприменительной практики. Для компании, оперирующей одновременно на территории ОАЭ (вне свободных экономических зон), DIFC и ADGM, это означает ситуацию тройного комплаенса — необходимость параллельного соответствия трём различным правовым режимам с существенными различиями в требованиях. При этом режимы DIFC и ADGM значительно более зрелые и предсказуемые — у них есть независимые регуляторы, опубликованная практика и детализированные правила. На практике это означает, что компаниям сложно самостоятельно выстроить единый комплаенс в сфере защиты персональных данных в ОАЭ по одной модели.

🌏 Работаете сразу в нескольких юрисдикциях?

Команда Data Privacy Office консультирует по UAE PDPL, GDPR, DIFC и ADGM — помогаем выстроить комплаенс-программу, которая работает сразу в нескольких правовых режимах, без тройного дублирования усилий.

Узнать об услуге →

Вывод

UAE PDPL — амбициозный и концептуально современный закон. Однако разрыв между его текстом и состоянием институциональной реализации создаёт три фундаментальных риска, которые бизнесу необходимо учитывать уже сейчас. Для компании, работающей с данными в ОАЭ, комплаенс начинается с трёх вопросов:

🔹 Какие потоки данных затрагивают территорию ОАЭ — и какой именно режим (федеральный PDPL, DIFC, ADGM) применим к каждому из них?

🔹 Насколько данные компании уязвимы перед запросами государственных органов — и достаточны ли технические меры защиты для снижения этого риска?

🔹 Готова ли комплаенс-программа к быстрой перестройке при принятии Executive Regulations и активизации UAE Data Office?

Если эти три вопроса проработаны — большая часть UAE-рисков становится управляемой. Игнорировать PDPL при отсутствии видимого правоприменения может казаться разумным, но опыт GDPR убедительно показывает обратное: регуляторы нередко начинают с показательных дел, а стоимость реактивного комплаенса многократно превышает превентивный.