Що варто знати про захист персональних даних, перш ніж вийти на ринки ОАЕ, Оману, Саудівської Аравії?
Плануєте вихід на нові ринки? ОАЕ, Оман та Саудівська Аравія відкривають можливості для бізнесу, але разом із можливостями приходить і відповідальність. Якщо ви налаштовані будувати довгострокову присутність у цих країнах Перської затоки, одного лише продукту чи маркетингової стратегії буде недостатньо. Вам обов’язково потрібно врахувати місцеве законодавство про захист персональних даних. Якщо ви маєте досвід комплаєнсу з GDPR, ви вже маєте надійну базу і час адаптувати її до нових ринків.
Нижче ваш гайд як обробляти дані клієнтів у відповідності до норм ОАЕ, Оману та Саудівської Аравії.
На які акти потрібно звернути увагу?
У країнах Перської затоки, зокрема в ОАЕ, Саудівській Аравії та Оману, діють окремі закони про захист персональних даних, які зобов’язують бізнес відповідати вимогам збирання, зберігання та обробки інформації суб’єктів даних. Зокрема основними актами про захист персональних даних на які потрібно звернути увагу першочергово є:
| ОАЕ | Саудівська Аравія | Оман |
|---|---|---|
| Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data (UAE PDPL) | Personal Data Protection Law issued pursuant to Royal Decree No. (M/19) dated 09/02/1443 AH corresponding to 16/09/2021 G, amended pursuant to Royal Decree No. (M/148) dated 05/09/1444 AH corresponding to 27/03/2023 G (KSA PDPL) | Royal Decree No. 6/2022 — Personal Data Protection Law (Oman PDPL) |
| Регулятор: UAE Data Office | Регулятор: Saudi Data and Artificial Intelligence Authority (SDAIA) | Регулятор: Ministry of Transport, Communications and Information Technology |
Які основні вимоги?
Застосовність
Щоб ефективно побудувати систему захисту даних, важливо зрозуміти, чи діють ці акти саме на ваш бізнес.
| ОАЕ | Саудівська Аравія | Оман |
| Норми закону застосовуються до обробки персональних даних будь-яким способом (автоматизованим через електронні системи чи іншими засобами). Якщо ви працюєте з даними резидентів ОАЕ, закон на вас розповсюджується. | Закон поширюється на будь-яку обробку персональних даних, пов’язану з особами, яка відбувається на території Королівства, незалежно від того, хто її проводить (навіть якщо це зовнішні компанії за межами країни). Тож якщо ваш бізнес має справу з даними мешканців Саудівської Аравії – ви вже у зоні дії закону. | Закон стосується обробки персональних даних, які прямо або опосередковано ідентифікують осіб і впливає на компанії, що працюють на території Омана або опрацьовують дані резидентів Омана. Навіть якщо ви за межами країни, але маєте доступ до таких даних — закон розповсюджується і на вас. |
Законні підстави для обробки персональних даних
Обробляти персональні дані без законної підстави неможливо і це правило стосується як Саудівської Аравії, так і Оману та ОАЕ.
| ОАЕ | Саудівська Аравія | Оман |
| Без згоди власника дані обробляти не можна, за винятком ситуацій, коли це потрібно для виконання контракту або дотримання вимог закону. | Персональні дані можна обробляти лише зі згоди суб’єкта, крім випадків, прямо передбачених законом. Зміна мети обробки без згоди заборонена. | Обробка даних можлива лише за умови отримання чіткої, прозорої і документально підтвердженої згоди від суб’єкта даних. Закон також дозволяє обробляти дані без згоди, якщо це необхідно для виконання контракту, юридичних зобов’язань тощо. |
Обов’язки контролера
Успішний комплаєнс починається з розуміння відповідальності. Компанії зобов’язані впроваджувати комплексні заходи відповідно до своїх ролей щоб гарантувати безпеку даних.
| ОАЕ | Саудівська Аравія | Оман |
| Контролер має впроваджувати технічні та організаційні заходи для забезпечення конфіденційності, цілісності та захисту даних від несанкціонованого доступу, змін чи знищення. Це включає вибір і впровадження стандартів безпеки з урахуванням характеру обробки і ризиків, обмеження обсягу даних, строків їх зберігання і доступу згідно з обробкою. | Контролер повинен впроваджувати всі необхідні організаційні та технічні заходи захисту персональних даних, включно з контролем під час їх передачі. | Контролер відповідає за конфіденційність даних. Це включає впровадження систем захисту від несанкціонованого доступу, чи витоку даних, створення систем відновлення даних після інцидентів безпеки та регулярне тестування заходів безпеки. |
Обов’язки процесора
Процесори персональних даних – це ті, хто безпосередньо працює з інформацією від імені вашої компаній. Законодавство даних країн встановлює вимоги до контролю дій процесорів та відповідальності.
| ОАЕ | Саудівська Аравія | Оман |
| Процесор повинен обробляти дані виключно за інструкціями контролера і згідно з договорами, впроваджувати технічні та організаційні заходи безпеки з урахуванням специфіки обробки, дотримуватися цілей обробки, видаляти або повертати дані після завершення обробки тощо. | Контролер зобов’язаний залучати тільки процесорів, які можуть гарантувати виконання норм закону. Водночас контролер має постійно моніторити їхню відповідність. Відповідальність контролера перед суб’єктами даних та регуляторами у разі інцидентів безпеки при цьому не знімається. | Контролер повинен провести аудит залучених процесорів, включно з описом характеру, обсягу та чутливості даних, цілей і тривалості їх обробки, а також шляхів і ризиків передачі персональних даних. |
Записи обробки персональних даних
Закони Саудівської Аравії, Оману та ОАЕ встановлюють обов’язки щодо збереження повної інформації про процеси обробки даних.
| ОАЕ | Саудівська Аравія | Оман |
| Контролер та процесор зобов’язані вести спеціальний реєстр, який має містити: Дані контролера і відповідального за захист даних,Мету і опис категорій оброблюваних даних,Відомості про осіб з доступом до даних,Інформацію про передачу даних за кордон, Терміни, обмеження і механізми обробки,Технічні та організаційні заходи безпеки. | Контролер зобов’язаний вести записи про діяльність з обробки даних та надавати їх на вимогу компетентних органів. Записи повинні містити: Контактні дані контролера,Мету обробки, Опис категорій суб’єктів даних, Дані про інших отримувачів персональних даних,Інформацію про трансфер даних за межі країни, Строк зберігання даних. | Контролер та процесор зобов’язані вести та оновлювати записи, що включають: Дані про відповідального за захист даних,Категорії персональних даних і осіб, що мають доступ,Строки, обмеження та масштаб обробки,Механізми видалення та модифікації,Мету обробки,Інформацію про передачу даних за кордон,Технічні заходи безпеки,Інциденти порушення безпеки та заходи з їх усунення. |
Призначення відповідального за захист персональних даних
Призначення відповідального за захист персональних даних – це не завжди обов’язок, але часто – найкраще рішення для вашого бізнесу.
| ОАЕ | Саудівська Аравія | Оман |
| Призначення відповідального обов’язкове у випадках високих ризиків для конфіденційності, пов’язаних з обробкою великих обсягів чутливих даних або впровадженням нових технологій, таких як профілювання чи автоматизована обробка. Відповідальний може бути працівником або зовнішнім консультантом. | Призначення відповідального не є обов’язковим для всіх компаній. Вимога стосується державних органів, організацій, які здійснюють масовий моніторинг даних або обробляють чутливі персональні дані. Відповідальний може бути внутрішнім працівником або зовнішнім консультантом. Його основні обов’язки – консультування з питань відповідності законодавству, взаємодія з регулятором тощо. | Закон зобов’язує призначити відповідального за захист даних. Контролер має публічно повідомити ім’я та контакти відповідального (наприклад, це можна зробити розмістивши цю інформацію в політиці приватності), щоб суб’єкти даних могли звертатися з питань щодо обробки їх персональних даних. |
З чого складається покрокова інструкція щодо побудови програми відповідності?
Крок 1: Проведіть аудит та побудуйте data flow map
- Визначте, які саме дані ви збираєте;
- Перевірте, чи є правова підстава для обробки;
- Визначте, де і як персональні дані зберігаються і чи передаються третім особам (підрядникам);
- Якщо дані передаються третім особам (підрядникам) – визначте їхнє місцезнаходження та чи необхідно вживати додаткових гарантій для таких передач;
- Проведіть оцінку відповідності третіх осіб (підрядників) вимогам даних законів;
- Побудуйте data flow передачі даних.
Крок 2: Підготуйте внутрішню та публічну документацію
Якщо ваш бізнес вже працює відповідно до вимог GDPR, ймовірно, у вас вже є політика конфіденційності, записи обробки даних, внутрішні політики щодо обробки даних, реалізації прав суб’єктів даних та реагування на інциденти безпеки. Вам потрібно оновити ці документи з урахуванням локальних вимог ОАЕ, Оману чи Саудівської Аравії. Зверніть увагу на формулювання згоди, правила передачі даних за кордон та реєстрацію в регуляторних органах (де це необхідно).
А якщо ви тільки починаєте працювати з темою data protection – варто:
- розробити політику конфіденційності (відкрита для користувачів (у разі наявності сайту чи платформи) та внутрішня для команди);
- реєстр обробки персональних даних (може мати різні назви, але загалом в цьому документі фіксується які дані обробляються, навіщо, де зберігаються, хто має доступ, куди можуть передаватися);
- розробити процедури щодо процесів обробки, збереження та видалення даних, відповіді на запити суб’єктів даних, а також щодо реагування на випадок витоку або несанкціонованого доступу до даних;
- зафіксувати ролі та відповідальність у команді (хто і за що відповідає).
Крок 3: Навчання працівників та підрядників
Розроблені політики та процедури – це лише половина справи. Наявність документації не врятує, якщо працівник випадково відкриє фішинговий лист або надасть доступ до даних стороннім. Регулярне навчання команди є критично важливим елементом відповідності, тому:
- проведіть тренінг щодо належної обробки персональних даних для працівників та підрядників та зафіксуйте проходження навчання (у разі перевірки це буде вашим доказом навчання працівників щодо основ обробки персональних даних);
- розгляньте можливість створення внутрішнього чекліста або короткого хендбука, доступного кожному працівнику з основними вимогами щодо обробки даних відповідно до його/її ролі.
Крок 4: Забезпечте технічний захист персональних даних
Законодавство ОАЕ, Оману та Саудівської Аравії не надає вичерпного переліку технічних вимог. Але суть одна: ваші технічні заходи мають реально працювати і ефективно захищати дані.
Проактивний підхід – це найкраща практика. Обговоріть захист персональних даних із вашою технічною командою щодо того де і як дані захищені, хто має доступ, які рішення щодо шифрування даних та антивірусні рішення використовуються, як відбувається оновлення та резервне копіювання систем, чи ведуться записи контролю доступу та автентифікація тощо.
Проведіть тренінг для IT команди щодо основних вимог локального законодавства щодо захисту персональних даних, ролі технічних рішень та важливості фіксації дій (на випадок інциденту чи перевірки).
Крок 5: Розгляньте призначення відповідального за захист даних
Якщо попередні чотири кроки вже здаються вам надто складними, заплутаними та такими, що вимагають багато часу, варто подумати про призначення відповідального за захист персональних даних. Призначення відповідального є обов’язковим лише в окремих випадках і подібний підхід діє в країнах Перської затоки. Але навіть якщо це не є прямою вимогою місцевих законів у вашому випадку – це стратегічно правильне рішення.
Навіщо це вам:
Відповідальна особа за захист персональних даних допоможе зрозуміти, що потрібно розробити з політик та процедур саме для вашої компанії. Це також спростить комунікацію з регуляторами, партнерами та клієнтами щодо питань які дії вжила компанія для захисту персональних даних.
Обов’язково перевірте, чи не є призначення відповідального за захист персональних даних обов’язковим у вашій ситуації. Наприклад, у деяких юрисдикціях це потрібно, якщо:
- компанія обробляє великі обсяги персональних даних або чутливих персональних даних,
- працює в окремих галузях (медицина, фінанси, тощо).
Підбиваємо підсумки
Вийти на нові ринки – це не просто, проте комплаєнс із законами про захист персональних даних – ваша можливість зміцнити довіру клієнтів. Але пам’ятайте: комплаєнс – це не одноразове завдання, а процес, який потребує оновлень, адаптації до нових норм і технологій.
Якщо ви не впевнені, з чого почати або як усе правильно оформити – наша DPO команда забезпечить повний супровід та з радістю допоможе вам оцінити обсяг обов’язків, налаштувати внутрішні процеси під місцеве законодавство та підготувати відповідну документацію, а також навчити команду діяти у відповідності до законів.
Давайте разом будувати культуру захисту даних для вашого міжнародного зростання.
