Question 1

Какой закон ОАЭ о защите данных применяется к моему бизнесу?

Accepted Answer

Три режима действуют параллельно. (1) Федеральный ФЗУ о персональных данных (Федеральный закон-указ 45 от 2021 года) — применяется к обработке персональных данных субъектов данных, находящихся в ОАЭ, включая экстерриториальное распространение на контролёров/обработчиков, не находящихся в ОАЭ, но обрабатывающих такие данные; Федеральное управление по данным ОАЭ является федеральным регулятором. (2) Закон DIFC о защите данных 5 от 2020 года — применяется к контролёрам и обработчикам, учреждённым в DIFC, и к обработке, осуществляемой в контексте деятельности DIFC; Комиссар по защите данных является регулятором. (3) Регламент ADGM о защите данных 2021 года — применяется в ADGM, где Управление по защите данных является регулятором. Несколько секторальных режимов (Центральный банк ОАЭ для банков, Управление здравоохранения Дубая/Департамент здравоохранения Абу-Даби/Министерство здравоохранения и профилактики ОАЭ для данных о здоровье, Управление по регулированию телекоммуникаций и цифрового правительства для телекоммуникаций, Управление по ценным бумагам и товарам для ценных бумаг). Правильный ответ — картирование режимов на основе (а) места вашего учреждения, (б) местонахождения субъектов данных и (в) контекста деятельности.

Question 2

Мы являемся контролёром или обработчиком?

Accepted Answer

Классификация зависит от фактов — контролёр является субъектом, который определяет цели и средства обработки; обработчик осуществляет обработку от имени контролёра. ФЗУ о персональных данных ОАЭ, DIFC и ADGM следуют дихотомии, производной от GDPR. Неоднозначность в реальном мире возникает с: поставщиками SaaS (часто совместные контролёры для аналитики, обработчики для данных клиентов); торговыми площадками (контролёр для данных платформы, обработчик для стороны продавца); администраторами льгот для сотрудников (обычно обработчик, но совместный контролёр по некоторым вопросам); облачной инфраструктурой (обработчик, но с обязательствами субобработчика). Неверная классификация является частым результатом аудита — и она меняет всё далее по цепочке (контракты, обязательства по нарушениям, механизмы передачи).

Question 3

Нужно ли нам назначать Уполномоченного по защите данных?

Accepted Answer

Статья 10 ФЗУ о персональных данных требует назначения УЗД, если: (i) обработка, вероятно, приведёт к высокому риску для субъектов данных после оценки риска; (ii) обработка включает систематический мониторинг персональных данных в больших масштабах; или (iii) обработка включает широкомасштабную обработку данных специальных категорий (здоровье, биометрические, генетические и т. д.). Закон DIFC 5/2020 налагает требование о назначении УЗД для контролёров данных, осуществляющих высокорисковую обработку. Регламент ADGM 2021 года аналогичен. УЗД не обязательно должен быть резидентом или сотрудником ОАЭ, но должен иметь беспрепятственный доступ к высшему руководству. Мы регулярно выступаем в качестве внешнего УЗД в соответствии с условиями договора об оказании юридических услуг — особенно для групп, не находящихся в ОАЭ, создающих операции в ОАЭ.

Question 4

Каковы обязательства по уведомлению о нарушениях?

Accepted Answer

Статья 9 ФЗУ о персональных данных требует уведомления Федерального управления по данным ОАЭ о нарушениях персональных данных, с уведомлением затронутых субъектов данных, если нарушение, вероятно, причинит вред. Имплементирующие регламенты (постановление Кабинета министров ожидает — применяется временное руководство) уточняют 72-часовой стандарт для уведомления регулятора, требования к содержанию (характер нарушения, категории и приблизительное количество затронутых субъектов данных, вероятные последствия, меры по устранению) и пороговые значения для уведомления субъектов данных. DIFC и ADGM налагают сопоставимые 72-часовые стандарты уведомления. Секторальные режимы (Центральный банк ОАЭ для банков, Управление здравоохранения Дубая для данных о здоровье) могут устанавливать дополнительные или более короткие сроки уведомления. Мы оказываем услуги по реагированию на нарушения с предварительно согласованными шаблонами уведомлений и круглосуточной поддержкой партнёров.

Question 5

Как осуществляется трансграничная передача данных?

Accepted Answer

Трансграничная передача персональных данных из ОАЭ в соответствии с ФЗУ о персональных данных требует либо: (а) передачи в страну с адекватной защитой (Кабинет министров опубликует список — ожидается); (б) соответствующих гарантий (обязательные корпоративные правила, стандартные договорные положения, утверждённые Федеральным управлением по данным ОАЭ, механизмы сертификации, кодексы поведения); либо (в) конкретных исключений (согласие субъекта данных, исполнение договора, общественные интересы, жизненно важные интересы, юридические претензии). DIFC и ADGM работают с системами адекватности + стандартными договорными положениями, соответствующими Главе V Общего регламента по защите данных (GDPR) ЕС. Практическая реальность: большинство транснациональных компаний используют ту же архитектуру стандартных договорных положений, что и для GDPR, дополненную соглашениями между группами, специфичными для ОАЭ. Потоки данных в Россию / Китай привлекают повышенное внимание.

Question 6

Что насчёт маркетинга и согласия?

Accepted Answer

Статья 6 ФЗУ о персональных данных требует согласия как основного законного основания (с ограниченными альтернативными основаниями — исполнение договора, юридическое обязательство, жизненно важные интересы, общественные интересы, сбалансированные законные интересы). Согласие на маркетинг должно быть конкретным, информированным, свободно данным и легко отзываемым. Маркетинг через WhatsApp / SMS дополнительно взаимодействует с антиспам-системой Управления по регулированию телекоммуникаций и цифрового правительства (Резолюция Управления по регулированию телекоммуникаций и цифрового правительства о маркетинговых коммуникациях и Федеральный регламент по СПАМу). Правила согласия в ОАЭ строже, чем маркетинг только по электронной почте в некоторых западных юрисдикциях — предварительно отмеченные поля, пакетные согласия и предположения о продолжающихся отношениях — всё это не соответствует требованиям. Мы регулярно пересматриваем процедуры получения согласия для маркетинга, ориентированного на ОАЭ.

Question 7

Каковы штрафы и исполнение по ФЗУ о персональных данных?

Accepted Answer

Имплементирующие регламенты ФЗУ о персональных данных устанавливают график штрафов за нарушения — текущее опубликованное руководство предусматривает штрафы от 50 000 до 5 000 000 дирхамов за каждое нарушение, с отягчающими обстоятельствами за повторные правонарушения и широкомасштабные нарушения. Комиссар DIFC может налагать административные штрафы до 100 000 долларов США за каждое нарушение плюс предписания об исполнении. Управление по защите данных ADGM может налагать аналогичные штрафы. Защита от действий регулятора — особенно для трансграничных групп, сталкивающихся с параллельными действиями ОАЭ / DIFC / ADGM плюс эквивалент домашней юрисдикции (Управление Комиссара по информации GDPR / CNIL / Комиссар по защите данных) — это специализированная работа, которая выигрывает от скоординированных консультаций.

Защита данных в ОАЭ — федеральный ФЗУ о персональных данных, DIFC, ADGM и секторальные нормы.

Что мы делаем для контролёров, обработчиков и УЗД.

Построение системы комплаенса

Услуги УЗД

Реагирование на нарушения и исполнение

Специализированные вопросы

Часто задаваемые вопросы

Построение системы ФЗУ о персональных данных, нарушение или действия регулятора?