Бахрейн · Privacy & Technology

Персональные данные:
карта потоков до privacy notice

Сначала определяем людей, данные, цели, системы, vendors и страны — затем выбираем lawful basis, договоры, transfer route и security controls.

Controllerцели и средства
Processorобработка по поручению
Guardianзарегистрированная функция
Transferправовой маршрут

01

Что считается personal data

Закон охватывает информацию в любой форме об identified или identifiable individual. Processing включает сбор, запись, систематизацию, хранение, изменение, извлечение, использование, раскрытие, передачу, объединение, блокирование, удаление и уничтожение.

Customers
KYC, payments, communications и behaviour
Employees
HR, payroll, health и performance
Website
Forms, cookies, device и analytics
Vendors
Contacts, due diligence и access logs
CCTV / biometrics
Идентификация и sensitive context
AI profiling
Input, output, inference и decisions

02

Controller и processor определяются по фактам

Controller решает, зачем и как обрабатываются данные; processor действует от его имени. Один vendor может быть processor для hosting и самостоятельным controller для собственных compliance obligations. Договорное название не заменяет functional analysis.

Vendor contract

Фиксируются instructions, confidentiality, security, subprocessors, location, assistance, incidents, return/deletion и audit rights.

03

Lawful basis на каждую цель

Consent — только одно из оснований. Для каждой операции отдельно фиксируются purpose, data set, subject, basis, retention и recipient. Новая цель не должна автоматически наследовать старое согласие.

Contract
Необходимая обработка для договора
Legal obligation
KYC, employment, tax или regulation
Legitimate interests
После necessity и balancing test
Consent
Информированное, конкретное и управляемое
Vital / public grounds
Только в пределах закона
Marketing
Отдельно notice и objection

04

Sensitive data требует усиленного анализа

Это сведения о race, ethnic origin, political/philosophical opinions, religious beliefs, union affiliation, criminal record, health или sexual status. Проверяются специальное основание или разрешение, минимизация, access и encryption.

05

Права превращаются в workflow

Notice

Controller, purposes, basis, recipients и rights.

Access

Identity check, systems search и redactions.

Correction

Исправление источника и downstream copies.

Objection / deletion

Основание, retention и исключения.

06

Privacy by design и технические меры

Executive order указывает privacy by design, access control, passwords, antivirus/firewalls, retention and disposal, backups, VAPT, continuity plan и разграничение полномочий. Выбор мер зависит от scope, context, purpose и risk.

Inventory
Systems, fields, owners и locations
Access
Least privilege, MFA и review
Lifecycle
Retention schedule и deletion
Testing
Vulnerability assessment и penetration test
Resilience
Backup, recovery и continuity
DPIA
High-risk processing до запуска

07

Передача за пределы Бахрейна

Order 42/2022 позволяет прямую передачу в listed adequate countries без prior authorization. Для иной страны анализируется statutory route; может потребоваться case-by-case authorization. Внутригрупповая передача в non-listed country может сопровождаться Binding Corporate Rules.

  1. 01
    Map

    Exporter, recipient, country, data и purpose.

  2. 02
    Adequacy

    Проверить актуальный official list.

  3. 03
    Route

    Authorization, exemption или BCR.

  4. 04
    Contract

    Security, onward transfer и deletion.

  5. 05
    Record

    Decision, evidence и review.

08

Data Protection Guardian

В установленных случаях controller назначает internal или external Guardian и уведомляет Authority. Guardian должен быть внесён в register, сохранять независимость и конфиденциальность, контролировать compliance и взаимодействовать с Authority.

09

Incident response до утечки

Detect
Channels SOC, staff и vendors
Contain
Accounts, keys, systems и evidence
Assess
Data, persons, consequences и jurisdiction
Escalate
Legal, security, management и regulator
Notify
Authority/individuals в применимых случаях
Remediate
Root cause, controls и record

10

Privacy programme

  1. 01

    Составить data inventory и processing record.

  2. 02

    Назначить role, purpose, basis и retention.

  3. 03

    Проверить notices, consent и rights workflow.

  4. 04

    Провести vendor, security и transfer review.

  5. 05

    Определить Guardian, DPIA и authorization.

Официальная база

PDPL и executive orders

Privacy programme

Построим обработку и международные передачи

Data map, notices, contracts, DPIA, Guardian, transfer и incident response.

Обсудить данные
WAWhatsAppTGTelegram