+7 (499) 550-80-03
4people@grfc.ru
    • Главная Аналитика и законодательство Международные акты и акты иностранных государств в области персональных данных Акты иностранных государств Объединённые Арабские Эмираты
    27 сентября 2022

    Объединённые Арабские Эмираты

     

    ЗАКОНОДАТЕЛЬСТВО ОАЭ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Система законодательства. Основные нормативно правовые акты

    Законодательство ОАЭ имеет несколько уровней, а именно: федеральный и в рамках свободных экономических зон. Территория, не входящая в свободные экономические зоны, называется Onshore. В случае если в свободной экономической зоне какие-то вопросы не урегулированы, то применяется регулирование Onshore.

    Нормативные правовые акты, посвященные обработке персональных данных:

    Основной закон «О защите персональных данных» (Federal Decree Law № 45 of 2021 of the Protection of Personal Data (далее – PDPL, официальная версия на арабском). Он применяется ко всем обработкам в Onshore. Помимо него есть законы, конкретизирующие обработку персональных данных в отдельных отраслях.

    Регулирование в свободных экономических зонах:

    • Международный финансовый центр Дубая (Dubai International Financial Centre (далее — DIFC) имеет свой закон «О защите данных» от 2020 (Law № 5 of 2020 and Data Protection Regulation 2020);
    • Глобальный рынок Абу-Даби (Abu Dhabi Global Market (далее — ADGM) имеет свой закон «О защите данных» от 2021 года;
    • Город здравоохранения Дубая (Dubai Healthcare City (далее — DHCC) – имеет свой закон «О защите данных» от 2013 года.

    Основные нормативные правовые акты, которые содержат отдельные положения об обработке персональных данных:

    Конституция ОАЭ – провозглашает право граждан на приватность, которое согласуется с принципами Шариата.

    Уголовный кодекс ОАЭ (Federal Law № 3 of 1987) – применяется как в Onshore, так и в свободных экономических зонах. В соответствии со статьей 379 УК ОАЭ преступлением признается раскрытие без законного основания персональных данных другого лица для собственной выгоды. Кроме того, согласно статьи 378 УК ОАЭ, преступлением признается перехват корреспонденции, перехват или подслушивание частной беседы, перехват или передача изображений человека, полученных в частных местах.

    Федеральный закон № 5 (pdf) от 2012 года о борьбе с киберпреступлениями (Federal Decree-Law No. 5 of 2012 on Combatting Cybercrimes (Cybercrime Law) – криминализирует киберпреступления, к примеру, хакерство, несанкционированный доступ к компьютерным системам и информации.

    Федеральный закон № 2 от 2019 года «Об использовании информационных технологий в сфере здравоохранения» (Federal Law No 2 of 2019 on the use of Information Technology in the Healthcare Sector) – признает незаконным подслушивание и перехват переписки. Также закон запрещает оскорблять или обвинять других лиц.

    Федеральный закон о защите прав потребителя (Federal Law № of 2020 of Consumer Protection) – устанавливает право потребителей на конфиденциальность и безопасное хранение их данных, а также право на то, что их данные не будут использоваться в маркетинговых целях.

    Территориальное действие законодательства о персональных данных

     PDPL: Закон применяется:

    • к электронной обработке персональных данных контролером или процессором, которые находятся в ОАЭ (не имеет значения, где находится субъект персональных данных);
    • к контролеру и процессору, которые находятся за пределами ОАЭ, но обрабатывают персональные данные резидентов ОАЭ.

    Закон не применяется:

    • к обработкам, осуществляемым компаниями и институтами, которые находятся в свободных зонах со своим специальным регулированием;
    • к обработкам, осуществляемым государственными органами, судебными органами или органами безопасности;
    • при обработке в личных, бытовых целях;
    • при обработке данных о здоровье в пределах, которые урегулированы специальным отраслевым законодательством;
    • при обработке банковских и кредитных данных в пределах, которые урегулированы специальным отраслевым законодательством.

    DIFC: Закон применяется:

    • к обработкам персональных данных контролером или процессором, учрежденным в зоне DIFC, независимо от того, осуществляется обработка в зоне DIFC или нет;
    • к обработкам, которые являются частью регулярной деятельности компании и осуществляются техническими средствами или персоналом, физически расположенным в зоне в зоне DIFC.

    ADGM: Закон применяется к обработке персональных данных:

    • в контексте деятельности организационной единицы в ADGM, независимо от того, имеет обработка место в ADGM или нет;
    • процессором за пределами ADGM, если контролер находится в ADGM. Однако, если законодательство государства контролера предусматривает свои требования, которые противоречат положениям ADGM, применяются соответствующие положения законодательства государства контролера.

    DHCCЗакон центра о защите медицинских данных применяется к лицензиатам, осуществляющим обработку медицинских данных пациентов, независимо от того, где такие данные хранятся.

    С точки зрения материального критерия регулирование применяется к обработке следующих данных:

    • информации о здоровье, оказанных медицинских услугах;
    • сведений об инвалидности пациентов;
    • информации о донорстве органов;
    • иной информации, собираемой о пациентах до оказания услуг и в период их оказания.

    Основные понятия

    PDPL

    Персональные данные

    Любые данные, относящиеся к идентифицированному физическому лицу или лицу, которое может быть идентифицировано прямо или косвенно, путем связывания данных с использованием таких идентификаторов, как имя, голос, изображение, идентификационный номер, онлайн-идентификатор, географическое местоположение или одна или несколько специальных функций, которые могут выражать физическую, психологическую, экономическую, культурную или социальную идентичность такого лица. Сюда также входят конфиденциальные персональные данные и биометрические данные.

    Чувствительные персональные данные

    Любые данные, которые прямо или косвенно раскрывают семью физического лица, расовое происхождение, политические или философские взгляды, религиозные убеждения, сведения о судимости, биометрические данные или любые данные, связанные со здоровьем такого лица, такие как физическое, психологическое, умственное, генетическое или половое состояние, включая информацию, касающуюся оказанных ему медицинских услуг, раскрывающую состояние его здоровья.

    Биометрические персональные данные

    Персональные данные, полученные в результате обработки с использованием специальной техники, касающиеся физических, физиологических или поведенческих характеристик субъекта данных, которые позволяют или подтверждают уникальное идентифицирование субъекта данных, например, изображения лица или дактилоскопических данных.

    Трансграничная передача

    Распространение, использование, отображение, передача, получение, поиск, совместное использование или обработка Персональных данных за пределами территории государства.

    Персональные данные несовершеннолетних

    PDPL

    Положений о несовершеннолетних субъектах персональных данных не имеется.

    DIFC

    Закон предусматривает  исключения,  при  которых  контролер  может не предоставлять субъекту возможности возражать против принятия решений исключительно на основании автоматизированной обработки. К таким случаям относятся: необходимость такого порядка принятия решений для заключения/исполнения договора, в котором субъект является стороной или если такой порядок согласован в рамках явного согласия субъекта персональных данных, или если он предусмотрен действующим регулированием. Однако указанные три случая исключений не распространяются на случаи, когда субъектом выступают несовершеннолетние.

    ADGM

    В качестве примера, когда обработка на основании законного интереса может быть недопустима из-за превалирования интересов субъекта над законным интересом контролера, приводится обработка персональных данных несовершеннолетних.

    Оператор (контролер) vs обработчик (процессор)

    PDPL

    Контролер – учреждение, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами определяет метод, критерии и цель обработки.

    Обязанности контролера:

    • принимать необходимые технические и организационные меры для обеспечения безопасности персональных данных;
    • следить за тем, чтобы данные обрабатывались в объеме, не превышающем поставленные цели;
    • вести записи o производимых обработках данных, принимаемых мерах для защиты данных, а также ответов на запросы субъектов;
    • выбирать в качестве процессора лицо, которое гарантированно выполнит необходимые технические и организационные меры по обеспечению безопасности;
    • предоставлять надзорному органу в ответ на запросы необходимую информацию;
    • исполнять иные обязательства

    Процессор – учреждение, юридическое или физическое лицо, которое обрабатывает персональные данные от имени контролера в соответствии с его инструкциями.

    Обязанности процессора:

    • строго исполнять инструкции контролера;
    • принимать необходимые меры защиты;
    • уведомлять контролера об истечении оговоренных сроков обработки данных;
    • уничтожать данные после истечения срока обработки;
    • вести записи производимых обработок данных, принимаемых мер защиты данных, а также ответов на запросы субъектов;
    • если в обработке участвует более одного процессора, обработка должна производиться в соответствии с письменным соглашением с контролером, в котором четко определены их обязанности, ответственность и роли.

    DIFC

    Отдельная глава посвящена совместным контролерам.

    Совместные контролеры (более двух лиц) совместно определяют цели и средства обработки. Совместные контролеры должны заключить соглашение о разделении обязанностей по удовлетворению прав субъектов персональных данных. Независимо от содержания их соглашения субъекты в силу закона вправе обратиться за реализацией своих прав к любому из соконтролеров.

    В этой же главе говорится про возможность процессора поручить обработку субпроцессору при условии получения письменного согласия контролера.

    Права субъекта персональных данных. Отзыв согласия. Требование о прекращении обработки персональных данных

    PDPL:

    • право быть проинформированным о юридическом и практическом обосновании, целях сбора персональных данных, а также о том, что его данные не должны впоследствии обрабатываться способом, несовместимым с целью их сбора, или иным образом, чем в обстоятельствах, предусмотренных законом;
    • право иметь доступ к своим персональным данным, получать копию
      в четком формате и бесплатно, но без ущерба для информационной системы;
    • право требовать исправления, дополнения или обновления своих персональных данных, доступных контролеру;
    • право требовать уничтожения своих персональных данных, имеющихся
      у контролера;
    • право возражать против принятия решений, основанных исключительно на автоматизированной обработке.
    • иные права.

    DIFC

    Права субъектов:

    • право на отзыв согласия;
    • право на доступ к персональным данным;
    • право на исправление;
    • право на удаление;
    • право возражать против обработки, в том числе принятия решений на основании исключительно автоматизированной обработки;
    • право требовать блокировки обработки (к примеру, на время проверки контролером точности обрабатываемых данных);
    • право быть проинформированным о совершенных исправлении, удалении или блокировке персональных данных;
    • право на перенос данных.

    ADGM: Перечень прав субъектов аналогичен перечню закона DIFC.

    Общее регулирование согласия на обработку персональных данных. Правовые основания применения согласия. Требования к согласию

    PDPL

    По общему правилу персональные данные обрабатываются на основании согласия. Обработка не требует согласия в случае, если она:

    • необходима в силу публичного интереса;
    • направлена на общедоступные данные;
    • необходима для защиты прав, судопроизводства, мер безопасности.
    • необходима для оценки работоспособности работника, постановки медицинского диагноза, предоставления медицинской или социальной помощи, лечения, страхования и иных услуг здравоохранения;
    • необходима для защиты здоровья населения, в том числе от инфекционных заболеваний и эпидемий, а также для обеспечения качества и безопасности медицинской помощи;
    • необходима для архивных или научных, исторических и статических исследований;
    • необходима для защиты интересов субъектов;
    • необходима контролеру или субъекту данных для выполнения своих обязательств и осуществления своих законных прав в сфере занятости, социального обеспечения или законов о социальной защите, в той мере,
      в какой это разрешено этими законами;
    • необходима для исполнения, заключения, изменения или расторжения договора, стороной которого является субъект;
    • необходима для выполнения обязательств, возложенных другими законами на контролера;
    • иные случаи, предусмотренные подзаконными актами.

    Требования к оформлению согласия:

    • прозрачность;
    • простота;
    • недвусмысленность;
    • доступность.

    Согласие должно включать положение о правах субъекта на отзыв. Отзыв согласия должен быть так же прост, как и выражение согласия.

     DIFC

     Основания обработки персональных данных:

    • согласие субъекта;
    • обработка необходима для заключения или исполнения договора, стороной которого выступает субъект;
    • обработка необходима для соблюдения контролером законодательства;
    • обработка необходима для защиты жизненно важных интересов субъекта или третьего лица;
    • обработка осуществляется органом DIFC для исполнения возложенных на него полномочий, а также осуществляется третьим лицом, которой орган DIFC делегировал осуществление обработки;
    • обработка в силу законного интереса контролера или третьего лица, которому данные были раскрыты, за исключением случаев, когда интересы субъекта персональных данных перевешивают законный интерес.

    Требования к оформлению согласия:

    • прозрачность;
    • утвердительная форма;
    • недвусмысленность;
    • недопустимость предоставления согласия в качестве условия предоставления услуги;
    • доступность формы, понятный язык;
    • простота процедуры отзыва согласия.

    ADGM

    Основания для обработки персональных данных аналогичны с DIFC.

    Требования к оформлению согласия:

    • информированность (субъекту сообщаются как минимум сведения о контролере и целях обработки);
    • недвусмысленность;
    • свобода (субъект имел реальный выбор дать согласие или не дать и не был поставлен в условия, когда невыражение согласия влекло ущерб; субъекту не сообщали, что согласие является обязательным условием для заключения договора);
    • прозрачность;
    • недопустимость согласия в форме молчания либо в форме, не позволяющей активными действиями выразить согласие;
    • включение согласия в документ, которым регулируются другие вопросы, только в таком виде, которое позволяет отличить его от других вопросов в понятной и доступной форме.

    Законный интерес (предусмотрено ли такое основание обработки)

    PDPL

    Обработка на основании законного интереса не предусмотрена.

    DIFC

    Обработка на основании законного интереса возможна. При этом публичные органы не вправе полагаться на законный интерес.

    Контролер, являющийся частью группы компаний, может полагаться на законный интерес для передачи персональных данных в рамках группы компаний для внутренних административных целей.

    Законный интерес может использоваться, если обработка необходима и соразмерна для предотвращения мошенничества или для обеспечения сетевой и информационной безопасности.

     ADGM

    Обработка на основании законного интереса возможна.

    Трансграничная передача

    PDPL

    Трансграничная передача допустима, если:

    • в юрисдикции обеспечивается адекватный уровень защиты персональных данных;
    • с государством заключено двустороннее или многостороннее соглашение, относящееся к защите персональных данных.
    • в юрисдикции, не обеспечивающие адекватный уровень защиты, если:
    • с лицом, которому передаются данные, заключено соглашение, по которому сторона обязуется принять надлежащие меры безопасности;
    • субъект дал явное согласие, и такая передача не противоречит интересам государственной безопасности;
    • передача необходима для выполнения обязательств и установления, осуществления или защиты прав в судебных органах;
    • передача необходима для заключения или исполнения договора между контролером и субъектом данных или между контролером и третьей стороной для достижения интересов cубъекта данных;
    • если передача необходима для выполнения процедуры, связанной с международным судебным сотрудничеством.

    DIFC

    Трансграничная передача в третью страну или международную организацию допустима:

    • если их регулирование обеспечивает адекватный уровень защиты персональных данных;
    • если адекватный уровень защиты не обеспечивается, но:
    • контролер или процессор реализовали надлежащие средства защиты прав субъектов персональных данных (обязательные для исполнения соглашения между надзорными органами; обязательные корпоративные договоренности);
    • субъект персональных данных выразил явное согласие на передачу после того, как его проинформировали о возможных рисках такой передачи;
    • передача необходима для исполнения договора между субъектом и контролером или осуществления преддоговорных мер в ответ на запрос субъекта;
    • передача необходима для исполнения договора в пользу субъекта;
    • передача необходима в связи с публичным интересом;
    • передача необходима для судебной защиты;
    • передача необходима для защиты жизненно важных интересов субъектов при условии, что согласие субъекта получить невозможно;
    • передача необходима для соблюдения применимых обязательств по борьбе с отмыванием денег или финансированием терроризма, которые применяются к контролеру или обработчику, или для предотвращения или выявления преступления.

    Отдельно отмечается, что трансграничная передача может осуществляться в случае, если она:

    • носит единичный характер;
    • связана с ограниченным числом субъектов;
    • необходима для обеспечения законных интересов контролера, которые не перекрываются интересами субъектов.

    При оценке адекватности защиты персональных данных Комиссия учитывает следующие факторы:

    • законодательство, уважение прав субъектов и возможность субъектов защитить свои права в административном и судебном порядке;
    • доступ государственных органов к персональным данным;
    • существование эффективных инструментов регулирования оборота данных, в том числе правил о трансграничной передаче;
    • существование одного или нескольких независимых и компетентных надзорных органов в сфере персональных данных с адекватными полномочиями;
    • наличие подписанных международных договоров, членство в международных или региональных организациях.

    ADGM

    Положения о трансграничной передаче схожи с регулированием DIFC.

    Отраслевое регулирование в области персональных данных

    • Регулирование DHCC можно отнести к отраслевому, так как оно посвящено исключительно обработке медицинских данных пациентов. Закон устанавливает подробный перечень правил, которых лицензиат (контролер) обязан соблюдать для обеспечения безопасности и конфиденциальности данных пациентов.

    • Закон «О данных Дубая» № 26 от 2015 года.

    Закон предусматривает порядок обмена данными между частным и государственным сектором для того, чтобы создать массив открытых данных и использовать его для реализации системы «Умного города», то есть совершенствования городских услуг в таких сферах, как безопасность, путешествия, здоровье, образование и так далее.

    • Закон «О борьбе с киберпреступностью» № 5 от 2012 года.

    Преступлениями признаются:

    • сбор, раскрытие информации о здоровье, диагнозах, заболеваниях и иных медицинских данных в Интернете без разрешения субъекта;
    • незаконное получение доступа к реквизитам банковских карт с намерением использовать эти данные для получения средств, принадлежащих третьим лицам;
    • умышленный перехват баз сообщений субъектов в Интернете без их согласия.

    • Постановление Центрального банка о защите прав потребителя:

    Лицензируемые финансовые институты при обработке персональных данных потребителей обязаны принимать следующие меры безопасности:

    • обеспечение надежных процедур обработки данных;
    • использование безопасной цифровой обработки транзакций и средств управления;
    • возложение ответственности за функции управления и защиты данных на высокопоставленного руководителя, который подчиняется непосредственно высшему руководству;
    • контроль за тем, чтобы персональные данные собирались в законных целях, непосредственно связанных с лицензированной финансовой деятельностью лицензированного финансового учреждения; их объем был адекватным и не чрезмерным по отношению к заявленной цели; данные собирались с соблюдением надлежащих мер безопасности и защиты от несанкционированной или незаконной обработки и случайной потери, уничтожения или повреждения;
    • безопасное хранение всех персональных данных, документов, записей и файлов в течение как минимум пяти лет;
    • уведомление Центрального банка о любых существенных утечках данных, потерях, уничтожении или изменении, когда они происходят

    Локализация (есть ли положения, какие требования, какая ответственность за нарушения)

    По общему правилу трансграничная передача персональных данных не требует локализации. Однако в случае передачи медицинских данных локализация необходима. При этом важно понимать, что локализация не является разрешительным условием трансграничной передачи медицинских данных. Помимо локализации такая передача должна быть одобрена надзорным органом. Соответственно, возможна ситуация запрета трансграничной передачи, несмотря на выполнение требования о локализации.

    Ответственность за нарушения в сфере персональных данных

    • PDPL не имеет положений об ответственности, но содержит указания о том, что она должна быть предусмотрена в подзаконных актах надзорного органа.

    • Регулирование DIFC предусматривает максимальный штраф в размере 100 тыс. долларов. В законе приводится таблица с размерами штрафов за различные виды нарушений.

    • Регулирование ADGM предусматривает максимальный штраф в размере 28 млн долларов

    • Регулирование Dubai Healthcare City не содержит положений о том, что санкции могут быть опубликованы надзорным органом.

    В соответствии с регулированием DIFC, ADGM и Onshore субъекты вправе требовать компенсации вреда. В рамках регулирования Onshore в отношении нарушителей может быть возбуждено уголовное дело. DHCC не содержит положений о возмещении причиненного вреда.

    Значимые особенности регулирования

    Законы о защите персональных данных свободных экономических зон (DIFC, ADGM) имеют приоритет над федеральным законом (PDPL).

    Урегулирование споров. Досудебная процедура. Право на обращение в суд

    DIFC и ADGM

    Субъекты, которым стало известно о нарушении их прав, вправе подать жалобу в Комиссию. Допустимо также направление коллективных жалоб. Комиссия может наложить административный штраф. Контролер и процессор вправе обжаловать предписания Комиссии в суде. Аналогично субъекты вправе оспорить решение Комиссии.

    Субъект вправе подать иск в суд с требованием о компенсации причиненного вреда. Комиссия в том числе может подать иск о возмещении вреда. При этом контролера и процессора не могут обязать выплатить компенсацию дважды.

    Надзорный орган в сфере персональных данных, его полномочия

    Существует несколько надзорных органов:

    • PDPL – Data Office, который следит за соблюдением PDPL.

    В свободных экономических зонах действуют свои надзорные органы:

    • DIFC – президент DIFC, проконсультировавшись с советом директоров DIFC, назначает уполномоченного по защите персональных данных. Принятием подзаконных актов занимается совет директоров при содействии уполномоченного по защите персональных данных.

    • ADGM – правление принимает подзаконные акты в соответствии с основным законом, а также назначает уполномоченного по защите данных.

    • DHCC – надзорный орган занимается защитой персональных данных в сфере здравоохранения.

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению В.А. Ширманова на законодательство Объединённых Арабских Эмиратов

     

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.