GDPR: основные положения регламента по защите персональных данных в Дубае, ОАЭ

GDPR основные положения регламента по защите персональных данных в Дубае, ОАЭ - Makebiz

С 2021 года правительство Объединенных Арабских Эмиратов активно работает над созданием собственного свода правил по защите персональных данных. Его основа – общий регламент GDPR Европейского Союза. 

Федеральные указ-законы № 44 и № 45 действуют в ОАЭ 2022 года. В них содержатся основные понятия о персональных данных, правилах их сбора и обработки, а также о новом регулирующем органе в данной сфере – Управление данных ОАЭ.

В соответствии с общепринятыми стандартами декрет имеет следующие положения:

  • об основных понятиях;
  • о необходимости ведения учета обработанных данных;
  • перечисление оснований для сбора персональных сведений;
  • требования к порядку сбора;
  • о разработке особых правил защиты для данных «высокого риска»;
  • о правах граждан, в случае нарушения законодательства и утечки конфиденциальной информации;
  • о запрете международной передачи личных сведений в страны, где не подтверждена гарантия безопасности персональных данных;
  • описание случаев, когда необходим наем специального сотрудника по защите данных. 

Соблюдение Регламента должны обеспечить все организации, собирающие личную информацию о своих клиентах, находящихся в ОАЭ. Это касается и компаний, зарегистрированных за пределами Эмиратов, но работающих с местными клиентами.  

Персональными данными считается любая информация, идентифицирующая клиента в какой-либо области: начиная от имени и заканчивая религиозными взглядами, состоянием здоровья и т.п. Закон не распространяется на юридические лица. Личные сведения, данные физическим лицом, обрабатываются Контроллером или Оператором (уполномочен на обработку Контролером). Они обязуются вести учет предоставленных данных и обеспечивать их сохранность и безопасность. 

В законодательстве есть несколько исключений, когда Регламент не применяется:

  • персональные данные обрабатывают государственные, правоохранительные или судебные органы;
  • сбор медицинских или финансовых сведений, если существует отдельное законодательство в сфере их обработки;
  • субъект находится в рамках свободных зон DIFC и ADGM, где действует собственное законодательство;
  • данные используются в некоммерческих целях.

При обработке больших объемов информации организация может быть освобождена от исполнения Регламента Управлением данных ОАЭ. 

Без согласия физ. лица обработка данных считается правомерной в случае: 

  • исполнения договора, где субъект выступает одной из сторон;
  • защиты жизненно важных интересов субъекта;
  • соблюдения некоторых пунктов законодательства Контролером.

Обработка высокорисковой информации влечет за собой назначение на должность сотрудника по защите данных. Данная категория включает сведения о новых технологиях, связанных с защитой информации, о некоторых политических, религиозных и медицинских особенностях.

Уполномоченный сотрудник должен проживать в ОАЭ, иметь соответствующий уровень квалификации и сотрудничать с Комиссаром DIFC. Контроллер или Оператор открывают ему доступ к информации и, при необходимости, могут консультироваться с сотрудником по вопросам защиты персональных данных. 

Выявление утечки данных обязует Контроллера проинформировать субъекта данных, а также предоставить информацию о нарушении и ходе расследования регулирующему органу. За нарушения исполнения Федеральных законов в сфере защиты данных может быть назначена административная ответственность. 

Читайте другие статьи на эту тему:

Назад