Захист персональних даних в ОАЕ: аспекти для бізнесу

OAE третій рік поспіль очолюють рейтинг із 49 економік світу за критерієм якості умов для ведення бізнесу. Українські компанії також активно відкриваються в ОАЕ — з початку 2022 року їхня кількість зросла приблизно на 25%. Більшість з них працюють у сферах ІТ, технологій, права та фінансів, а також з’являється все більше стартапів.

Правова основа захисту даних в ОАЕ

Відображаючи бачення щодо розвитку цифрової економіки, уряд ОАЕ приділив значну увагу розробці законів і правил, які забезпечують захист даних і покращують цифрову конфіденційність.

Законодавство, яке регулює захист даних в ОАЕ можна умовно розділити на дві категорії: 

– федеральне законодавство (Федеральний Декрет (45) від 2021 р. про захист персональних даних (PDPL), та 

– закони про захист персональних даних, які діють в рамках зон вільної торгівлі (територій, які мають спеціальний податковий, митний та імпортний режими), а саме: 

• закон про захист даних в Міжнародному фінансовому центрі Дубаї (the “DIFC”) від 2020 р.; 
• закон №(26) від 2015 р., про регулювання розповсюдження та обміну даними в Еміраті Дубай; та 
• закон про захист даних в Глобальному ринку  Абу Дабі (“ADGM”) від 2021 р.  

Окрім спеціального законодавства, окремі положення про захист даних містяться також і в законах, які регулюють окремі сфери правових відносин, наприклад Законі про захист прав споживачів, Цивільному кодексі (федеральний закон про цивільні правочини), Декреті про регулювання функціонування медіа, положеннях трудового законодавства, законодавства про кібербезпеку тощо. 

Дія федерального законодавства

Положення Федерального декрету згідно із законом № (45) від 2021 р. “Про захист персональних даних”, поширюються на іноземних громадян та на іноземні компанії (стаття 2 Декрету), якщо:  

– суб’єкт даних проживає в ОАЕ або веде бізнес в ОАЕ;

– контролер або обробник проживає в ОАЕ та здійснює діяльність з обробки персональних даних суб’єктів даних в межах та поза межами ОАЕ;

– контролер або обробник проживає за межами ОАЕ та здійснює діяльність з обробки персональних даних суб’єктів даних в межах ОАЕ.

Дія зазначеного Декрету не поширюється на компанії та установи, розташовані у вільних економічних зонах ОАЕ та мають спеціальне законодавство щодо захисту персональних даних. З цих вільних зон Міжнародний фінансовий центр Дубаї (DIFC), Глобальний ринок Абу-Дабі (ADGM) і місто охорони здоров’я Дубаї (DHCC) ухвалили окремі закони про захист даних, які застосовуються до компаній, які здійснюють діяльність у відповідній зоні.

Втім, частка компаній, діяльність яких припадає на вільні зони становить приблизно 70 відсотків, а отже дотримання федерального законодавства залишається важливим. 

Вимоги згідно Декрету про захист даних

Аналогічно вимогам Загального регламенту про захист даних (GDPR), Декрет про захист персональних даних в ОАЕ (PDPL) встановлює низку обов’язків для контролера та обробника персональних даних: 

— покладає на контролера обов’язок щодо вжиття відповідних технічних та організаційних заходів для реалізації необхідних стандартів для захисту та безпеки персональних даних, з метою збереження їх конфіденційності; 

— передбачає обов’язок ведення спеціального обліку обробки персональних даних, за умови, що такі записи містять дані як Контролера, так і Уповноваженого із захисту даних; 

— передбачає призначення офіцера із захисту даних (DPO) в наступних випадках: 

• якщо обробка спричиняє високий рівень ризику для конфіденційності персональних даних в результаті впровадження нових технологій або в контексті обсягу даних;
• якщо обробка включає систематичну та всебічну оцінку чутливих персональних даних, включаючи профілювання та автоматизовану обробку;
• якщо здійснюється обробка великого обсягу чутливих персональних даних.

— забороняє передачу персональних даних до країни або території за межами ОАЕ, якщо ця країна не забезпечує “адекватний рівень захисту” прав і свобод суб’єктів даних у зв’язку з обробкою персональних даних;

— якщо тип обробки з використанням нових технологій може призвести до високого ризику для конфіденційності та конфіденційності персональних даних суб’єкта даних, контролер повинен провести оцінку впливу на захист даних (DPIA) перед обробкою;

— в разі порушення даних, яке може завдати шкоди конфіденційності та безпеці персональних даних суб’єкта даних, стаття 9 PDPL вимагає від контролера негайного повідомлення Управління даних про відповідне порушення; 

— організації не повинні зберігати персональні дані після досягнення мети, для якої такі дані були зібрані; 

— статті 10 і 21 PDPL передбачають, що якщо обробка здійснюється щодо великої кількості чутливих персональних даних, контролер і/або обробник повинні провести оцінку ризиків (DPIA) та призначити офіцера з захисту даних (DPO);

— стаття 8 PDPL вимагає від обробника здійснення обробки персональних даних на основі вказівок контролера та відповідно до договорів і угод, укладених між ними, які конкретно встановлюють обсяг, предмет, мету та характер обробки, тип персональних даних і категорії суб’єктів даних;

— інші заходи.

Відповідальність та санкції за порушення федерального законодавства про захист даних

 PDPL спрямований на захист персональних даних населення ОАЕ і встановлює правила щодо обробки персональних даних. Недотримання цих правил може призвести до: 

• прямих штрафів, накладених Управлінням даних ОАЕ (від 100 000 до 1 000 000 дирхамів ОАЕ (від 25 до 270 тис. доларів) за окремі порушення), і 
• непрямих витрат внаслідок шкоди репутації, судових зборів та збоїв в роботі компаній, 
• обмеження дій, які є порушенням цього Декрету та його виконавчих положень, включаючи адміністративні стягнення, які мають бути накладені. 

Зазначимо, що орган, відповідальний за адміністрування та виконання PDPL, ще не створено.

Крім цього, в рамках окремих галузей, існують і інші санкції, передбачені за порушення приватного життя особи. Прикладом є положення статті 6 федерального указу-закону № (34) від 2021 року про боротьбу з кіберзлочинністю, відповідно до якого отримання, володіння, зміна, знищення, розкриття та інші маніпуляції з персональними даними з використанням інформаційних технологій чи будь-яких ІТ без дозволу, карається позбавленням волі на строк не менше шести місяців та/або штрафом у розмірі не менше 20 000 дирхамів або більше ніж 100 000 дирхамів.

Міжнародний фінансовий центр Дубаї (DIFC)

Загальною правовою основою захисту персональних даних в DIFC є Закон про захист даних, Закон DIFC № 5 від 2020 року (Закон DIFC DP) та оновлені Положення про захист даних. Концепція про захист даних була прийнята 21 травня 2020 року та набула чинності 1 липня 2020 року.

Закон DIFC DP поширюється на компанії, зареєстровані в DIFC та які обробляють персональні дані  в межах чи поза межами DIFC.  Хоча закон про DIFC DP багато в чому співпадає з GDPR і визначає детальні правила та норми щодо обробки персональних даних в DIFC, існують певні незначні відмінності між Законом DIFC DP і GDPR, включаючи вимоги та терміни для повідомлення про порушення персональних даних і системи санкцій.

Наглядовим органом з питань захисту персональних даних у DIFC є Офіс Уповноваженого із захисту даних, який є незалежним регулятором, створеним для захисту прав на інформацію в інтересах суспільства та конфіденційності даних для осіб у DIFC або з нього. Важливим є те, що хоч DIFC є юрисдикцією загального права з власним цивільним і комерційним законодавством, федеральне кримінальне законодавство ОАЕ також застосовується на його території. 

Глобальний ринок Абу-Дабі (ADGM)

Основним законом про захист даних у вільній зоні ADGM є Правила захисту даних ADGM 2021 (ADGM DPR). Правила були прийняті 11 лютого 2021 року та вступили в силу 14 серпня 2021 року. ADGM DPR поширюється на обробку персональних даних у ADGM. Подібно до положень Закону DIFC DP, ADGM DPR опирається на міжнародні стандарти та найкращі практики.

ADGM DPR передбачає функціонування незалежного Управління із захисту даних (ODP) на чолі з Уповноваженим із захисту даних. Аналогічно GDPR, ADGM DPR вимагає проведення оцінки впливу на захист даних якщо обробка може спричинити ризики для прав фізичних осіб, вимагає призначення Офіцера із захисту даних в певних випадках, встановлює механізми транскордонної передачі даних та встановлює штрафи за порушення ADGM DPR. Зокрема, Уповноважений із захисту даних шляхом письмового повідомлення Контролеру або Обробнику може накласти штраф за порушення в такій сумі, яку Уповноважений із захисту даних визнає належним. При цьому сума, визначена Уповноваженим із захисту даних, не повинна перевищувати 28 мільйонів доларів США.

Подібно до DIFC, хоч ADGM і є юрисдикцією загального права з власним цивільним і комерційним законодавством, кримінальне законодавство ОАЕ та відповідні санкції щодо порушення персональних даних продовжують застосовуватись в ADGM.  

Рекомендації для компаній

Об’єднані Арабські Емірати приділили значну увагу розробці спеціального законодавства про захист персональних даних. Для компаній, які планують відкривати бізнес або переходити на ринок ОАЕ, зазначені обставини тягнуть за собою обовʼязок приділити увагу розробці відповідної документації та вжиттю належних організаційних заходів щодо дотримання відповідних законів. Також варто звернути увагу на особливості правових режимів та адміністративних механізмів захисту персональних даних в межах конкретної території, де компанія планує вести свою діяльність. Доцільним буде, зокрема, залучити фахівців із захисту даних, які допоможуть визначити, чи поширюється на компанію законодавчі вимоги законів, які регулюють окремі галузі (захисту прав споживачів, медіа, трудового законодавства або кібербезпеки) та вжити необхідних дій для їх дотримання.

Для зменшення фінансових ризиків, пов’язаних з невідповідністю законодавству про захист даних в ОАЕ, рекомендуємо вжити наступних профілактичних заходів:

• Запровадити належні механізми управління даними: розробити політики та процедури обробки, зберігання та передачі персональних  даних, з метою забезпечення дотримання вимог PDPL;
• Інвестувати в безпеку даних: застосувати технічні та оргназаційні заходи для захисту персональних даних від злому та несанкціонованого доступу;
• Проводити регулярні тренінги із захисту даних: навчати співробітників найкращим практикам захисту даних для зменшення ризиків помилок та забезпечення відповідності;
• Провести оцінку впливу на захист даних (DPIA): визначити й усунути потенційні ризики (провести Gap assessment) для конфіденційності даних за допомогою комплексної оцінки діяльності компанії; 
• Призначити офіцера із захисту даних (DPO): призначити кваліфіковану особу або компанію для нагляду за дотриманням вимог щодо захисту даних і забезпечення дотримання правил захисту даних в  рамках компанії.

У разі виникнення додаткових питань а також в разі необхідності проведення комплексного аудиту та підготовки відповідної документації, ви можете звернутись до Legal IT Group і наші фахівці якісно та оперативно допоможуть вашій компанії.