Правительство выпустило ряд существенных правовых реформ в честь 50-летия независимости, включая долгожданный Федеральный закон № 45 от 2021 г. о защите персональных данных (PDPL), который был издан 26 сентября 2021 г. В статье мы будем его называть Закон.

Закон вступил в силу 2 января 2022 г. и представляет собой руководство по управлению и защите данных, определяя права и обязанности всех заинтересованных сторон. Закон направлен на согласование федерального закона ОАЭ с международной практикой защиты данных, включая ключевые глобальные концепции прозрачности и подотчетности. Закон включает требования к нарушению данных, оценку воздействия защиты данных, требования к передаче данных и уведомлению, а также требования к ведению учета. В нашей статье мы изложим основные принципы и сферы действия Закона.

Основные положения и принципы Закона в ОАЭ

Закон подразумевает контроль над обработкой персональных данных. Контроль включает в себя прозрачные методы сбора информации, т. е. сбор персональных данных только для конкретной и ясной цели; поддержание точности персональных данных, исправление или удаление неточных персональных данных; обеспечение безопасности персональных данных; хранение персональных данных только до тех пор, пока они необходимы для точечной задачи, а затем их удаление.

Закон подразумевает контроль над обработкой персональных данных. Контроль включает в себя прозрачные методы сбора информации, т. е. сбор персональных данных только для конкретной и ясной цели; поддержание точности персональных данных, исправление или удаление неточных персональных данных; обеспечение безопасности персональных данных; хранение персональных данных только до тех пор, пока они необходимы для точечной задачи, а затем их удаление.

При этом, Закон охватывает две стороны: Контролеров и Обработчиков. Контролер — это лицо или организация, которая принимает решение о методе и критериях обработки персональных данных, а также о цели обработки. Персональные данные обрабатываются под руководством инструкций Контроллера Обработчиком. Под Обработчиком подразумевают предприятие или физическое лицо, которое обрабатывает Персональные данные по поручению Контроллера, в соответствии с полномочиями и инструкциями последнего.

В соответствии с определением из Закона, персональные данные — это любая информация, относящаяся к физическому лицу (индивиду), которое включает такие личные признаки, как имя, голос, фотографию, идентификационный номер, электронный идентификатор, географическое местоположение или физические, физиологические, культурные и социальные характеристики.

Однако всегда есть предприятия, которые не подпадают под действие Закона. К таким исключениям относятся:

• Данные государственных органов
• Компании в Свободных Экономических Зонах, у которых есть свой закон о защите данных. Например, компании в СЭЗ Abu Dhabi Global Market (ADGM) и Dubai International Finance Center (DIFC)
• Личная медицинская, банковская и кредитная информация, которую охватывает отдельное законодательство

Территория охвата Законом

Закон применим к физическим лицам, проживающим в ОАЭ, или лицам, имеющим бизнес на территории страны; к каждому Контроллеру или Обработчику на территории страны, вне зависимости от того, собираются ли обрабатываемые ими персональные данные с физических лиц на территории или за пределами Эмиратов; к каждому Контроллеру или Обработчику, расположенному за пределами ОАЭ, который осуществляет деятельность по обработке субъектов данных, находящихся на территории ОАЭ.

Исключения, требующие обработки персональных данных

За исключением частных случаев ограничений, обработка персональных данных может осуществляться только с согласия субъекта данных. Однако существуют определенные исключительные обстоятельства, когда обработки данных требует закон. К таким случаям относятся: 

• заключение договора с субъектом данных, внесение изменений или расторжение договора; 
• когда субъект данных обнародовал личные данные; 
• для защиты интересов субъекта данных; 
• когда обработка необходима для отстаивания законных прав или в рамках судебных процедур или процедур безопасности; 
• когда обработка необходима для определенных медицинских целей или вопросов общественного здравоохранения.

Закон ОАЭ о бюро данных

Существует еще один закон, который был издан одновременно с Законом — отдельный нормативный акт (Федеральный закон № 44 от 2021 г.), который носит название Управление данными. Его цель — обеспечить максимально эффективную защиту персональных данных. В обязанности Бюро данных входит выполнение целого ряда задач, включая подготовку рекомендаций и утверждение систем рассмотрения жалоб субъектов данных и вознаграждений; предоставление информации о том, как в полной мере применять законодательство о защите данных; назначение административных наказаний; разработка законопроектов и политики в области защиты данных; предложение стандартов для регулирования законодательства о защите данных.

Хотя Закон имеет много общих аспектов с законом ЕС о защите данных, Общим регламентом по защите персональных данных (GDPR), между двумя законодательствами есть несколько различий. Основные характеристики Закона:

• смягченные требования к прозрачности, означающие, что перед обработкой потребуется лишь небольшой объем информации;
• основа на согласии, являющаяся главным правовым фундаментом;
• более тщательная запись требований к обработке. 

Если вы хотите получить консультацию или сопровождение по предоставлению информации о Законе, пожалуйста, свяжитесь с нами.

Марсель Шадманов

Руководитель отдела корпоративных услуг в Garant Business Consultancy DMCC

Phone +971 4 421 4335

Email info@garant.ae