В 2021 году в ОАЭ приняли новое законодательство (Federal Decree-Law No. 45 of 2021), регулирующее правила сбора, обработки и использования персональных данных и призванное привести регулирование в данной сфере в соответствие с международными стандартами и принципами защиты персональных данных.
Федеральный закон о защите данных — это первый федеральный закон, который был разработан совместно с крупными технологическими компаниями частного сектора. Закон вступил в силу 02 января 2022 года. (далее — Закон о защите данных или Закон).
Вместе с законом о защите данных также был издан Федеральный декрет-закон ОАЭ № 44 от 2021 года (Federal Decree-Law No.44 of 2021 Creation of the UAE Data Office) о создании специального регулятора — Управления данных ОАЭ («Data Office»), которое будет действовать в качестве регулирующего органа по защите данных (далее — Регулятор).
Отдельный Закон о защите данных был принят в DIFC — Закон № 5 от 2020 г. «О защите данных».
Вместе с законом о защите данных также был издан Федеральный декрет-закон ОАЭ № 44 от 2021 года (Federal Decree-Law No.44 of 2021 Creation of the UAE Data Office) о создании специального регулятора — Управления данных ОАЭ («Data Office»), которое будет действовать в качестве регулирующего органа по защите данных (далее — Регулятор).
Отдельный Закон о защите данных был принят в DIFC — Закон № 5 от 2020 г. «О защите данных».
- Ключевые положения Закона о защите данных
Закон о защите данных, аналогично Общему регламенту ЕС о защите данных (GDPR) имеет следующие ключевые положения:
- требует ведения записей об обработке данных;
- включает понятия «Контроллер» и «Оператор персональных данных»;
- устанавливает законные основания, необходимые для обработки данных;
- вводит общие требования к обработке данных, сопоставимые с принципами GDPR;
- требует проведения оценок защиты данных «высокого риска»;
- предоставляет субъектам данных права наравне с правами, предоставленными GDPR, в том числе право требовать компенсацию в случае наступления ущерба в результате нарушения Закона;
- устанавливает гарантии трансграничной обработки персональных данных (Закон запрещает международные переводы, если нет соответствующих гарантий безопасности данных в иной стране);
- устанавливает критерии для определения того, когда организация должна назначить специального сотрудника по защите данных (Data Protection Officer) (далее — DPO).
2. На кого распространяется Закон о защите данных
Закон о защите данных имеет экстерриториальное действие, аналогично Общему регламенту ЕС о защите данных (GDPR) и применяется к любой организации, которая создана в ОАЭ и обрабатывает персональные данные субъектов данных внутри или за пределами ОАЭ, а также к любой организации, которая создана за пределами ОАЭ и обрабатывает персональные данные субъектов данных внутри ОАЭ.
Закон о защите данных определяет персональные данные как любые данные, относящиеся к живому физическому лицу, которое может быть прямо или косвенно идентифицировано посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или один или несколько факторов, характерных для его биологической, физической, биометрической, физиологической, психической, генетической, экономической, культурной или социальной идентичности.
К конфиденциальным персональным данным относятся данные, касающиеся расового или этнического происхождения, общинного происхождения, политической принадлежности или взглядов, религиозных или философских убеждений, судимостей, членства в профсоюзах, состояния здоровья или сексуальной жизни, включая генетические данные и биометрические данные, если таковые имеются используется для однозначной идентификации физического лица.
Закон о защите данных применяется к обработке персональных данных: (i) контролерами и операторами персональных данных, зарегистрированными в ОАЭ, независимо от того, происходит ли какая-либо обработка в ОАЭ или нет; и (ii) контролерами и операторам персональных данных, независимо от их места регистрации, если они обрабатывают персональные данные в ОАЭ на постоянной основе.
Закон о защите данных определяет персональные данные как любые данные, относящиеся к живому физическому лицу, которое может быть прямо или косвенно идентифицировано посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или один или несколько факторов, характерных для его биологической, физической, биометрической, физиологической, психической, генетической, экономической, культурной или социальной идентичности.
К конфиденциальным персональным данным относятся данные, касающиеся расового или этнического происхождения, общинного происхождения, политической принадлежности или взглядов, религиозных или философских убеждений, судимостей, членства в профсоюзах, состояния здоровья или сексуальной жизни, включая генетические данные и биометрические данные, если таковые имеются используется для однозначной идентификации физического лица.
Закон о защите данных применяется к обработке персональных данных: (i) контролерами и операторами персональных данных, зарегистрированными в ОАЭ, независимо от того, происходит ли какая-либо обработка в ОАЭ или нет; и (ii) контролерами и операторам персональных данных, независимо от их места регистрации, если они обрабатывают персональные данные в ОАЭ на постоянной основе.
Контролер определяется в Законе как любое лицо, которое самостоятельно или совместно с другими лицами определяет цели и средства обработки персональных данных.
Оператор персональных данных определяется в Законе как любое лицо, которое обрабатывает персональные данные от имени контролера.
3. На кого НЕ распространяется Закон о защите данных
Действие Закона не распространяется:
Информация о юридических лицах не является персональными данными. Тем не менее, Закон о защите данных может применяться к любому физическому лицу, действующему в качестве индивидуального предпринимателя или члена товарищества.
Закон о защите данных также предоставляет Регулятору возможность освобождать определенные организации, которые не обрабатывают большой объем персональных данных, от некоторых или всех требований, предусмотренных Законом о защите данных.
- на государственные данные, государственные органы, осуществляющие контроль или обработку персональных данных, а также персональные данные, обрабатываемые правоохранительными и судебными органами.
- на личные медицинские данные и информацию или личные банковские и кредитные данные, если существует отдельное законодательство, регулирующее такие личные данные и информацию.
- на такие свободные зоны ОАЭ, как Дубайский международный финансовый центр (DIFC) и Глобальный рынок Абу-Даби (ADGM), в которых действуют собственные законы о защите данных.
- на использование персональных данных в личных (некоммерческих) целях.
Информация о юридических лицах не является персональными данными. Тем не менее, Закон о защите данных может применяться к любому физическому лицу, действующему в качестве индивидуального предпринимателя или члена товарищества.
Закон о защите данных также предоставляет Регулятору возможность освобождать определенные организации, которые не обрабатывают большой объем персональных данных, от некоторых или всех требований, предусмотренных Законом о защите данных.
4. Основания обработки данных
По общему правилу Закон о защите данных запрещает обработку Персональных данных без согласия физического лица — Субъекта данных.
В некоторых исключительных случаях обработка данных признается законной без получения согласия субъекта персональных данных, когда ее проведение обосновано и необходимо для:
Персональные данные, за исключением случаев, когда такие интересы перекрываются интересами или правами Субъекта данных.
Согласие должно быть дано добровольно посредством четкого недвусмысленного положительного заявления или действия. Если совершение действия Контролером, Субъектом данных или любой другой стороной (включая выполнение договорных обязательств) зависит от предоставления согласия на обработку персональных данных, то такое согласие не будет считаться добровольно предоставленным в отношении любой обработки данных, которая не является разумно необходимой для совершения предусмотренного действия или когда данные запрашиваются в чрезмерном для заявленной цели объеме.
В некоторых исключительных случаях обработка данных признается законной без получения согласия субъекта персональных данных, когда ее проведение обосновано и необходимо для:
- выполнения договора, стороной которого является Субъект данных (или для принятия мер по запросу Субъекта данных до заключения такого договора);
- соблюдения законодательства, которому подчиняется Контролер;
- защиты жизненно важных интересов Субъекта данных или другого физического лица;
- обеспечения законных интересов Контролера или третьего лица, которому были предоставлены
Персональные данные, за исключением случаев, когда такие интересы перекрываются интересами или правами Субъекта данных.
Согласие должно быть дано добровольно посредством четкого недвусмысленного положительного заявления или действия. Если совершение действия Контролером, Субъектом данных или любой другой стороной (включая выполнение договорных обязательств) зависит от предоставления согласия на обработку персональных данных, то такое согласие не будет считаться добровольно предоставленным в отношении любой обработки данных, которая не является разумно необходимой для совершения предусмотренного действия или когда данные запрашиваются в чрезмерном для заявленной цели объеме.
5. Обязанности Контролера/Оператора персональных данных
Закон о защите данных требует от контролеров и операторов персональных данных вести учет персональных данных (Отчет об обработке данных, ROPA).
Контролер или Оператор персональных данных должны установить программу для демонстрации соответствия требованиям Закона. Уровень и детализация программы будут зависеть от масштаба и ресурсов Контролера, категории Обрабатываемых Персональных данных и рисков для Субъектов данных.
Контролер или Оператор персональных данных должны реализовать соответствующие технические и организационные меры, подтверждающие, что Обработка данных осуществляется в соответствии с настоящим Законом, в том числе с учетом:
Если Контролер предлагает онлайн-услуги через платформу, настройки конфиденциальности платформы должны быть установлены таким образом, чтобы запрос информации не превышал такой объем Персональных данных, который строго необходим для предоставления или получения соответствующей услуги, а Субъект данных должен иметь право и техническую возможность: (a) выбрать настройки конфиденциальности при первом использовании и (б) легко изменить такие настройки впоследствии.
Контролер или Оператор персональных данных должны установить программу для демонстрации соответствия требованиям Закона. Уровень и детализация программы будут зависеть от масштаба и ресурсов Контролера, категории Обрабатываемых Персональных данных и рисков для Субъектов данных.
Контролер или Оператор персональных данных должны реализовать соответствующие технические и организационные меры, подтверждающие, что Обработка данных осуществляется в соответствии с настоящим Законом, в том числе с учетом:
- характера, объема и цели Обработки;
- рисков, связанных с Обработкой данных, для соответствующего Субъекта данных;
- преобладающей отраслевой практики в области информационной безопасности;
- разумных и достаточных мер, направленных на защиту данных от любых умышленных незаконных действий и/или небрежного, случайного, уничтожения, утраты, изменения, раскрытия Персональных данных или доступа к ним;
- разумных и достаточных мер защиты данных от иных незаконных форм обработки;
- обеспечение того, чтобы предоставлялись только те Персональные данные, которые необходимы для конкретной заявленной цели.
Если Контролер предлагает онлайн-услуги через платформу, настройки конфиденциальности платформы должны быть установлены таким образом, чтобы запрос информации не превышал такой объем Персональных данных, который строго необходим для предоставления или получения соответствующей услуги, а Субъект данных должен иметь право и техническую возможность: (a) выбрать настройки конфиденциальности при первом использовании и (б) легко изменить такие настройки впоследствии.
Контролер или Оператор персональных данных должен внедрить и поддерживать Политику защиты данных в письменной форме, а также четко определить ответственное за безопасность данных должностное лицо. Ответственность за соблюдение Закона должна лежать на относительно высокопоставленном представителе компании, таком как главный исполнительный директор, главный юрисконсульт, управляющий директор.
6. Назначение Data protection Officer (DPO)
Компания должна назначить DPO в случаях, если Контролер или Оператор персональных данных выполняют действия по обработке данных с высоким риском на систематической или постоянная основе.
Обработка персональных данных высокого уровня риска означает обработку данных, отвечающих одному или нескольким признакам ниже:
(a) обработка, которая включает внедрение новых или иных технологий или методов, создающих существенный повышенный риск для безопасности или прав Субъектов данных, или затрудняет для Субъекта данных осуществление его прав;
(b) обработка значительного объема персональных данных (включая сотрудников и Персональные данные подрядчика) и если такая Обработка может привести к высокому риску для Субъекта Данных, в том числе из-за конфиденциальности персональных данных;
(c) обработка включает систематическую и всестороннюю оценку данных, касающихся расового или этнического происхождения, общинного происхождения, политической принадлежности или взглядов, религиозных или философских убеждений, судимостей, членства в профсоюзах, состояния здоровья или сексуальной жизни, включая генетические данные и биометрические данные, если таковые имеются используется для однозначной идентификации физического лица.
DPO может быть сотрудником компании или внешним лицом, которое по общему правилу должно проживать в ОАЭ, за исключением случаев, когда это сотрудник, работающий в Группе компаний и выполняющий аналогичную функцию для Группы на международном уровне.
Такое лицо должно иметь соответствующий уровень квалификации для понимания местных требований и быть доступным для поддержки бизнеса в ОАЭ.
Контролер или Оператор персональных данных должны опубликовать контактную информацию DPO таким образом, чтобы контакт был легко доступен для третьих лиц (в том числе субъектов данных) и обеспечивал возможность связаться с ним в рабочее время.
DPO должен быть обеспечен достаточными ресурсами для эффективного, объективного и независимого выполнения своих обязанностей, в том числе наличие прямого и неограниченного доступа к данным. DPO информирует и консультирует Контролера/Оператора персональных данных и их сотрудников о применении Закона о защите данных, а также взаимодействует с Комиссаром DIFC,
в случаях, установленных Законом предоставляет Комиссару соответствующую информацию, за исключением информации, которая защищена Законом и не подлежит разглашению.
Обработка персональных данных высокого уровня риска означает обработку данных, отвечающих одному или нескольким признакам ниже:
(a) обработка, которая включает внедрение новых или иных технологий или методов, создающих существенный повышенный риск для безопасности или прав Субъектов данных, или затрудняет для Субъекта данных осуществление его прав;
(b) обработка значительного объема персональных данных (включая сотрудников и Персональные данные подрядчика) и если такая Обработка может привести к высокому риску для Субъекта Данных, в том числе из-за конфиденциальности персональных данных;
(c) обработка включает систематическую и всестороннюю оценку данных, касающихся расового или этнического происхождения, общинного происхождения, политической принадлежности или взглядов, религиозных или философских убеждений, судимостей, членства в профсоюзах, состояния здоровья или сексуальной жизни, включая генетические данные и биометрические данные, если таковые имеются используется для однозначной идентификации физического лица.
DPO может быть сотрудником компании или внешним лицом, которое по общему правилу должно проживать в ОАЭ, за исключением случаев, когда это сотрудник, работающий в Группе компаний и выполняющий аналогичную функцию для Группы на международном уровне.
Такое лицо должно иметь соответствующий уровень квалификации для понимания местных требований и быть доступным для поддержки бизнеса в ОАЭ.
Контролер или Оператор персональных данных должны опубликовать контактную информацию DPO таким образом, чтобы контакт был легко доступен для третьих лиц (в том числе субъектов данных) и обеспечивал возможность связаться с ним в рабочее время.
DPO должен быть обеспечен достаточными ресурсами для эффективного, объективного и независимого выполнения своих обязанностей, в том числе наличие прямого и неограниченного доступа к данным. DPO информирует и консультирует Контролера/Оператора персональных данных и их сотрудников о применении Закона о защите данных, а также взаимодействует с Комиссаром DIFC,
в случаях, установленных Законом предоставляет Комиссару соответствующую информацию, за исключением информации, которая защищена Законом и не подлежит разглашению.
7. Порядок действий при утечке данных
Контролер должен, узнав о любой утечке персональных данных, которая может «нанести ущерб неприкосновенности частной жизни, конфиденциальности и безопасности персональных данных субъекта данных», информировать субъекта данных и Регулятора о нарушениях, а также предоставить Регулятору информацию о расследовании, проведенном в связи с нарушением.
8. Порядок трансграничной передачи данных
Персональные данные могут передаваться за пределы ОАЭ в страны, одобренные Регулятором на основании оценок «адекватного уровня защиты», что может означать (i) наличие специального законодательства для защиты персональных данных, либо (ii) присоединение государства к двусторонним или многосторонним международным соглашениям, касающимся защиты персональных данных.
Для стран, не одобренных Регулятором, Закон предоставляет различные механизмы, позволяющие передавать персональные данные, в том числе передача персональных данных по договору, условия которого отвечают требования Закона о защите данных или обеспечение явного согласия субъекта данных на такую передачу (если такое согласие не противоречит общественным интересам и интересам безопасности ОАЭ).
Для стран, не одобренных Регулятором, Закон предоставляет различные механизмы, позволяющие передавать персональные данные, в том числе передача персональных данных по договору, условия которого отвечают требования Закона о защите данных или обеспечение явного согласия субъекта данных на такую передачу (если такое согласие не противоречит общественным интересам и интересам безопасности ОАЭ).
9. Административные штрафы
Административные взыскания могут быть наложены в рамках решения Совета министров в ответ на нарушение закона или исполнительных нормативных актов и на основании предложения генерального директора Управления данных. Субъекты персональных данных могут подать жалобу Регулятору, если у них есть основания полагать, что закон был нарушен контролером или оператором персональных данных.
1 Третье лицо — это любое лицо, уполномоченное на обработку Персональных данных, за исключением: (а) Субъекта данных; (б) Контролера; (c) Совместного контролера; (г) Оператор персональных данных; или (e) Субоператор персональных данных.
2 Законный интерес Контролера может иметь место при передаче Персональных данных внутри своей Группы для внутренних административных целей или, если это необходимо и соразмерно для предотвращения мошенничества или обеспечения сетевой и информационной безопасности.
2 Законный интерес Контролера может иметь место при передаче Персональных данных внутри своей Группы для внутренних административных целей или, если это необходимо и соразмерно для предотвращения мошенничества или обеспечения сетевой и информационной безопасности.