Пошаговая инструкция о том, как подготовить бизнес к работе в ОАЭ, чтобы соблюсти законы о персональных данных и избежать многомиллионных штрафов. Со ссылками на законы и шаблонами документов.
11 мая 2023
Защита персональных данных в ОАЭ: как выйти на новый рынок и избежать штрафов
Если планируете выходить на рынок ОАЭ, готовьтесь подстраивать работу с персональными данными под местные законы. А в них множество нюансов: территориальные различия, особое регулирование для некоторых отраслей, поправки на исламское право и культурные особенности. Всё это важно учесть, иначе штрафы за нарушения могут достигать 28 миллионов долларов.
На русском языке не найти обстоятельного гайда, как подготовить бизнес к работе в ОАЭ, чтобы соблюсти законы о персональных данных и избежать многомиллионных штрафов. Эта статья — пошаговая инструкция со ссылками на законы и шаблонами документов.
Шаг 1. Проверьте, распространяются ли на ваш бизнес законы ОАЭ о персданных
Ваш бизнес должен выполнять законы ОАЭ о защите персональных данных, если:
- Компания зарегистрирована в ОАЭ.
- Компания не зарегистрирована в ОАЭ, но у вас есть инфраструктура для обработки персональных данных в свободных экономических зонах ОАЭ: Международном финансовом центре Дубая (Dubai International Financial Centre, DIFC) или Глобальном рынке Абу-Даби (Abu Dhabi Global Market, ADGM). Например, арендованы сервера, которые хранят информацию о клиентах и сотрудниках.
- Ваши клиенты находятся на территории ОАЭ. Неважно, сколько их и продвигались ли вы на этом рынке намеренно. К примеру, если хотя бы один пользователь вашего приложения переехал в ОАЭ, работа с клиентскими персональными данными должна строиться по законам этой страны. Поэтому важно следить за местонахождением клиентов. Если вы можете делать это только по IP, учтите, что многие сейчас пользуются VPN. Возможное решение — заблокировать вход в приложение или на сайт через VPN.
Шаг 2. Определите, какой закон к вам применяется
В ОАЭ законы о персональных данных отличаются территориально. Для начала определите, в чьей юрисдикции находится ваш бизнес.
Сайт Федерального закона о защите персональных данных. Закон только на арабском
Федеральный закон о защите персональных данных (Federal Decree Law № 45 of 2021 regarding the Protection of Personal Data) применяется, если компания зарегистрирована на основной территории ОАЭ или там находятся клиенты. Федеральный закон действует и в том случае, если у вас есть клиенты в свободных экономических зонах, хотя компания зарегистрирована на основной территории ОАЭ.
Важно: у некоторых отраслей, например медицины, особое правовое регулирование. Уточните у юриста, относится ли ваш бизнес к их числу. Тогда нормы федерального закона будут уступать специальным.
Закон о защите данных DIFC (Data Protection Law, DIFC Law № 5 of 2020) и подзаконный акт (DIFC Data Protection Regulations 2020) применяются к компаниям, которые зарегистрированы в свободной зоне DIFC или держат там инфраструктуру для работы с персональными данными.
Закон о защите данных ADGM (ADGM Data Protection Regulations 2021) применяется на аналогичных условиях: у бизнеса должна быть регистрация или инфраструктура в ADGM.
Шаг 3. Проконсультируйтесь с местными юристами о нормах исламского права
В ОАЭ прогрессивное законодательство о персональных данных, а в свободных зонах оно приближено к европейскому. Но бизнесу следует учитывать местную специфику, а именно — приоритет исламского права.
По конституции ОАЭ, шариат — прямой источник права и, согласно толкованию специалистов, защищает неприкосновенность частной жизни. Если ситуация прямо не урегулирована в законодательстве ОАЭ, суд при вынесении решения может обращаться к исламскому праву.
Если вы собираетесь обосноваться на рынке ОАЭ, проконсультируйтесь с местными юристами. Они подскажут, какие культурные аспекты следует учесть, какие данные будут особенно чувствительными для ваших клиентов и какие последствия может вызвать их утечка с точки зрения местных традиций и законов. Возможно, из-за высоких рисков такие данные не стоит собирать или нужно принять дополнительные меры защиты.
Шаг 4. Составьте реестр обработок персональных данных
Реестр обработок персональных данных (Record of Processing Activities, или RоPA) — это таблица в Excel, документ в Notion или любом другом формате, где вы фиксируете каждый бизнес-процесс обработки данных. Например, когда для маркетинга вы собираете контакты клиента, местоположение, поведение на сайте. Во-первых, в RoPA вы систематизируете работу с данными и поймете, какие нужны меры безопасности. Во-вторых, этот реестр нужно будет предоставлять регулятору по запросу. Пока на основной территории ОАЭ нет официального регулятора, но к моменту, когда он появится, у вас должна быть вся документация.
Что нужно указать в RоPA:
- вашу компанию и ответственного за защиту персональных данных — data protection officer (DPO), если он назначен;
- какие персональные данные собираете;
- кому принадлежат эти данные (например, ваши клиенты, контрагенты, работники);
- для какой цели используете данные;
- на каком правовом основании ведется обработка (например, согласие или договор);
- кому передаются данные, есть ли трансграничная передача;
- срок хранения данных;
- меры защиты.
Эти требования установлены в статье 7 Федерального закона, статье 15 закона DIFC и статье 29 закона ADGM.
По Федеральному закону в реестре также должны быть указаны:
- те, у кого есть доступ к персональным данным. При этом в законе не уточняется, нужно ли указывать полные имена или достаточно назвать должности сотрудников, категории субъектов;
- ограничения по объему данных, их количество и механизм удаления.
Шаг 5. Оцените, проводите ли высокорисковую обработку данных
Покажите RoPA юристу в ОАЭ. Он скажет, считаются ли ваши обработки высокорисковыми и требуют ли повышенных мер безопасности. К высокорисковым относятся:
- Обработка чувствительных персональных данных в больших количествах. Например, данных о вероисповедании, политических взглядах, состоянии здоровья. Их утечка может нанести человеку непоправимый ущерб.
- Систематическая и всеобъемлющая автоматизированная оценка личных данных, в том числе профилирование клиентов. Например, когда вы выделяется в особую категорию замужних женщин 30–40 лет, чтобы предложить им определенный товар.
После оценки рисков вам нужно решить, насколько они оправданны с точки зрения интересов компании. Если риски чрезмерные, лучше отказаться от обработки каких-то данных. Если приемлемые, нужно решить, какие меры их минимизируют. Например, шифрование, псевдонимизация или ограничение доступов к данным для ваших сотрудников.
Оценку рисков нужно обобщить в документах — так называемых Data Processing Impact Assessment, или DPIA. Закон позволяет иметь один DPIA для похожих обработок. В документе нужно указать:
- обработку (можно взять из RoPA);
- какие риски несет обработка для владельцев данных;
- насколько необходима обработка, учитывая высокие риски ущерба людям в случае утечки;
- как компания минимизирует риски.
DPIA также надо предоставлять по требованию регулятора.
Шаг 6. Выполняйте принципы обработки данных и примите меры безопасности
6 базовых принципов обработки данных
Законность. Нельзя обрабатывать данные, если у вас нет правового основания, например согласия пользователя.
Конкретность. Обрабатывать данные нужно с конкретной целью. Причем она должна быть четко обозначена в политике на сайте и отступать от нее нельзя. Допустим, вы пишете, что собираете email для уведомления клиентов о статусе доставки. В таком случае отправлять им рекламные рассылки нельзя.
Прозрачность. Обязательно уведомлять клиента об обработке его персональных данных. Например, на плашке или в попапе надо предупреждать, что вы собираете куки. Когда просите пользователя оставить контакты, лучше всего показать ему выдержку из политики о защите персональных данных или по крайней мере дать на нее ссылку.
Целесообразность. Собирайте и храните минимальную информацию — только ту, что нужна для ваших задач. К примеру, в форме для доставки заказа будет излишним запрашивать фамилию, имя, отчество, пол или возраст клиента.
Ограниченный срок хранения данных. Срок хранения данных зависит от ваших задач — чем меньше, тем лучше. Бесконечно хранить данные — дорого и небезопасно. Конечно, есть виды бизнеса с долгим циклом продаж, например мебельный. Вы знаете, что клиент вернется за новым диваном через 6 лет, а до тех пор хотите поддерживать с ним контакт через рассылки. Тогда во внутренней политике нужно обосновать долгое хранение данных. Когда срок истечет, обязательно их удалите.
Актуальность данных. Персональные данные нужно вовремя обновлять и уточнять. Иначе есть риск, что клиент не получит должный сервис. Например, его адрес устареет и товар будет доставлен не туда. Или курьер не сможет дозвониться по неверному номеру телефона. Как лучше обновлять информацию о клиенте, решайте исходя из ваших бизнес-процессов. Как вариант — позволить пользователю самому исправлять или вводить недостающую информацию.
Меры безопасности, обязательные по всем ОАЭ
— Если поручаете обработку данных подрядчику, проверьте его надежность. Хорошо, если в вашей внутренней политике перечислены требования к инфраструктуре, сертификатам и тому подобное — подрядчик должен подтвердить, что соответствует всем критериям. Это можно спросить в анкете, вашей с ним переписке, а также внести соответствующий пункт в договор. Полученное подтверждение обязательно сохраните — возможно, регулятор попросит его предъявить.
— При трансграничной передаче данных нужно заключить дополнительное соглашение с поставщиком (Standart Contractual Clauses — SCC). В нем контрагент подтверждает, что соблюдает законы ОАЭ и все меры защиты данных, обязуется сообщать об утечках, выполнять требования регулятора.
— В случае высокорисковых обработок назначьте ответственного за защиту персональных данных — data protection officer (DPO). Его задача — общаться с регулятором и клиентами, вести документы о работе с персональными данными и предъявлять их по запросу. При обычной обработке данных у DPO не так много обязанностей, поэтому можно не вводить специальную должность, а найти сотрудника, который будет совмещать их с основной работой.
— Если нарушена целостность, конфиденциальность или доступность персональных данных (data breach) и есть риск серьезных последствий, нужно сообщать об этом клиентам.
Data breach — это необязательно утечка. Это и ситуация, когда клиент не может получить собственные данные. В таком случае вам надо оценить серьезность последствий. Одно дело, если в онлайн-магазине на два часа прервался доступ к личному кабинету с чеками от прошлых заказов. Они не настолько ценны, чтобы сообщать о происшествии клиенту. И совсем другое дело, если заблокирован личный кабинет в медклинике и пациент не может получить доступ к записям о своем диагнозе и результатам анализов. О таком инциденте уведомлять обязательно.
Также о data breach нужно сообщать регулятору. Требования к такому уведомлению закреплены в законодательстве и зависят от территории: статья 9 Федерального закона, статья 41 закона DIFC, статья 32 закона ADGM.
— Важно соблюдать права клиента: предоставлять по его запросу информацию об обрабатываемых персональных данных, исправлять и удалять их, ограничивать или приостанавливать обработку. Но при этом важно исходить из задач бизнеса и оценивать, насколько законны требования клиента. К примеру, человек попросил удалить его номер телефона. Вы решаете, можно ли выполнить это требование без ущерба для сервиса. Если без номера курьер не сможет передать заказ, вы вправе отказать клиенту. Только обоснуйте причину.
Особенности защиты данных в DIFC и ADGM
Законы о защите данных в DIFC и ADGM построены на основе европейских и британских. Поэтому, если ваш бизнес соответствует GDPR (General Data Protection Regulation), то на 99% соответствует и требованиям свободных зон. Тех документов и процессов, что у вас есть, будет достаточно. Нет смысла создавать по местным шаблонам реестр обработок персональных данных (RoPA), допсоглашение с поставщиком о трансграничной передаче данных (SCC) или документ об оценке рисков (DPIA).
Если вы пока не выстраивали политику защиты данных по GDPR, воспользуйтесь рекомендациями местных регуляторов в DIFC или ADGM.
В какие сроки нужно выстроить работу с персональными данными по закону. И что будет, если не успеть
Основная территория ОАЭ
На основной территории ОАЭ пока нет официального регулятора и штрафов за несоблюдение Федерального закона. Нет даже четкого срока, когда нужно привести свою политику о персональных данных в соответствие с законом. Всё это будет закреплено в подзаконном акте, но пока неизвестно, когда его опубликуют. Зато точно известно, что через 6 месяцев после этого он вступит в силу, и нарушителей начнут наказывать.
Совет: уже сейчас стройте работу с персональными данными по правилам ОАЭ, не дожидайтесь подзаконного акта и штрафов. К примеру, начинайте запрашивать у клиентов согласие на обработку персональных данных при регистрации на сайте или в приложении. Иначе, когда акт вступит в силу, придется опрашивать всех существующих клиентов и удалять из базы тех, кто не дал согласие.
Свободные экономические зоны DIFC и ADGM
В свободных экономических зонах DIFC и ADGM законы о защите персональных данных действуют в полной мере. Так что к моменту, когда вы зарегистрируете там компанию, должны быть готовы все документы о защите персональных данных.
В DIFC, например, компания должна уведомить комиссара (DP Commissioner), что она обрабатывает персональные данные, и заплатить пошлину. Без этого оформить регистрацию невозможно. Затем ее каждый год нужно продлевать, снова отправлять уведомление и платить пошлину.
Если у компании что-то изменилось в работе с персональными данными, об этом нужно сообщить комиссару в течение 14 дней. Иначе власти могут назначить проверку, а затем и штраф.
Штрафы за нарушение закона в DIFC варьируются от 10 тысяч до 100 тысяч долларов. Комиссар может снизить штраф, если посчитает нужным, а может потребовать в суде дополнительной компенсации ущерба для экономической зоны.
Клиент, пострадавший из-за нарушений в обработке персональных данных, также может потребовать в суде компенсацию за имущественный ущерб или моральный вред.
Некоторые нарушения из закона о персональных данных DIFC и штрафы за них. Полный список — в Приложении 2 к закону
По официальным данным DIFC, в 2022 году комиссар назначил компаниям 41 штраф, из них 37 — за то, что компания вовремя не уведомила об изменениях в работе с персональными данными.
В ADGM действуют правила, аналогичные правилам DIFC. Штрафы достигают 28 миллионов долларов. Сумму комиссар определяет с учетом смягчающих или отягчающих обстоятельств.
Условия, которые влияют на размер штрафа:
- характер, тяжесть и длительность нарушения;
- количество пострадавших клиентов и степень ущерба;
- намеренный или неумышленный характер нарушения;
- меры, принятые для уменьшения вреда;
- предыдущие нарушения;
- сотрудничает ли компания с комиссаром;
- как стало известно о нарушении: благодаря проверке или компания уведомила сама;
- финансовые выгоды, которые бизнес получил благодаря нарушению, или убытки, которых удалось избежать.
Комиссар заранее уведомляет компанию, что собирается назначить штраф. Если уплатить его, комиссар не подаст иск, но проконтролирует, что закон больше не нарушается. Если штраф не уплачен, его взыскивают через суд.
Чек-лист, чтобы выстроить работу с персональными данными и ничего не упустить
1. Проверьте, распространяются ли на ваш бизнес законы ОАЭ о персданных. Это будет при одном из условий:
- Компания зарегистрирована в ОАЭ.
- У вас есть инфраструктура для обработки персональных данных в свободных экономических зонах DIFC или ADGM.
- Хотя бы один из ваших клиентов находится на территории ОАЭ.
2. Определите, какой закон к вам применяется: Федеральный закон ОАЭ, Закон о защите данных DIFC, Закон о защите данных ADGM. Зависит от того, где зарегистрирован бизнес, где находятся ваши клиенты или инфраструктура для обработки данных.
3. Проконсультируйтесь с местными юристами. Они подскажут, какие данные клиентов будут чувствительными с точки зрения исламского права и какие риски несет утечка. А также относится ли ваш бизнес к отрасли с особым правовым регулированием.
4. Внесите процессы обработки данных в реестр (RoPA). Для этого проанализируйте всю систему работы с данными: какую информацию собираете и для чего, откуда она попадает, куда передается, где хранится и как долго.
5. Попросите местного юриста посмотреть RoPA и оценить, проводите ли вы высокорисковые обработки данных. Высокорисковая обработка — это масштабная работа с чувствительными персональными данными или автоматизированное принятие решений на данных, которое может серьезно навредить человеку или обернуться для него юридическими последствиями. Если такая обработка есть, назначьте в своей компании DPO: он составит документ об оценке рисков (DPIA) и подскажет, как дополнительно защитить данные.
6. Выполняйте принципы работы с данными: законность, конкретность, прозрачность, целесообразность, ограниченный срок хранения и актуальность данных. Примите меры защиты данных по закону.
7. Подготовьте документы и поддерживайте их актуальными:
- соглашения с подрядчиками, которые обрабатывают или поставляют данные из-за рубежа, — DPA или SCC (пример SCC по закону ADGM).