01
Что считается personal data
Закон охватывает информацию в любой форме об identified или identifiable individual. Processing включает сбор, запись, систематизацию, хранение, изменение, извлечение, использование, раскрытие, передачу, объединение, блокирование, удаление и уничтожение.
- Customers
- KYC, payments, communications и behaviour
- Employees
- HR, payroll, health и performance
- Website
- Forms, cookies, device и analytics
- Vendors
- Contacts, due diligence и access logs
- CCTV / biometrics
- Идентификация и sensitive context
- AI profiling
- Input, output, inference и decisions
02
Controller и processor определяются по фактам
Controller решает, зачем и как обрабатываются данные; processor действует от его имени. Один vendor может быть processor для hosting и самостоятельным controller для собственных compliance obligations. Договорное название не заменяет functional analysis.
Фиксируются instructions, confidentiality, security, subprocessors, location, assistance, incidents, return/deletion и audit rights.
03
Lawful basis на каждую цель
Consent — только одно из оснований. Для каждой операции отдельно фиксируются purpose, data set, subject, basis, retention и recipient. Новая цель не должна автоматически наследовать старое согласие.
- Contract
- Необходимая обработка для договора
- Legal obligation
- KYC, employment, tax или regulation
- Legitimate interests
- После necessity и balancing test
- Consent
- Информированное, конкретное и управляемое
- Vital / public grounds
- Только в пределах закона
- Marketing
- Отдельно notice и objection
04
Sensitive data требует усиленного анализа
Это сведения о race, ethnic origin, political/philosophical opinions, religious beliefs, union affiliation, criminal record, health или sexual status. Проверяются специальное основание или разрешение, минимизация, access и encryption.
05
Права превращаются в workflow
Controller, purposes, basis, recipients и rights.
Identity check, systems search и redactions.
Исправление источника и downstream copies.
Основание, retention и исключения.
06
Privacy by design и технические меры
Executive order указывает privacy by design, access control, passwords, antivirus/firewalls, retention and disposal, backups, VAPT, continuity plan и разграничение полномочий. Выбор мер зависит от scope, context, purpose и risk.
- Inventory
- Systems, fields, owners и locations
- Access
- Least privilege, MFA и review
- Lifecycle
- Retention schedule и deletion
- Testing
- Vulnerability assessment и penetration test
- Resilience
- Backup, recovery и continuity
- DPIA
- High-risk processing до запуска
07
Передача за пределы Бахрейна
Order 42/2022 позволяет прямую передачу в listed adequate countries без prior authorization. Для иной страны анализируется statutory route; может потребоваться case-by-case authorization. Внутригрупповая передача в non-listed country может сопровождаться Binding Corporate Rules.
- 01Map
Exporter, recipient, country, data и purpose.
- 02Adequacy
Проверить актуальный official list.
- 03Route
Authorization, exemption или BCR.
- 04Contract
Security, onward transfer и deletion.
- 05Record
Decision, evidence и review.
08
Data Protection Guardian
В установленных случаях controller назначает internal или external Guardian и уведомляет Authority. Guardian должен быть внесён в register, сохранять независимость и конфиденциальность, контролировать compliance и взаимодействовать с Authority.
09
Incident response до утечки
- Detect
- Channels SOC, staff и vendors
- Contain
- Accounts, keys, systems и evidence
- Assess
- Data, persons, consequences и jurisdiction
- Escalate
- Legal, security, management и regulator
- Notify
- Authority/individuals в применимых случаях
- Remediate
- Root cause, controls и record
10
Privacy programme
- 01
Составить data inventory и processing record.
- 02
Назначить role, purpose, basis и retention.
- 03
Проверить notices, consent и rights workflow.
- 04
Провести vendor, security и transfer review.
- 05
Определить Guardian, DPIA и authorization.
+7 (495) 221 31 46Обсудить задачу