01
Закон и исполнительные правила
Personal Data Protection Law издан Royal Decree 6/2022; Executive Regulations — Ministerial Decision 34/2024. Правила детализируют permits, детей, права, обязанности controller/processor, breaches, DPO и transfers outside Oman.
02
Кто определяет цель и кто обрабатывает
- Controller
- Определяет цели, средства и существенные решения
- Processor
- Обрабатывает данные по поручению и договору
- Data subject
- Физическое лицо, к которому относятся данные
- DPO
- Координирует privacy program и взаимодействие с MTCIT
- Joint model
- Роли определяются функциями, а не названием договора
03
Согласие должно быть доказуемым
Официальное резюме правил выделяет получение explicit consent до обработки. Privacy notice объясняет controller, данные, цели, recipients, transfers, retention и права. Там, где закон допускает иной режим, его основание фиксируется отдельно.
Согласие с условиями договора, marketing consent и разрешение на чувствительную обработку — разные элементы.
04
Права владельца данных
- Withdraw
- Отозвать согласие без отмены уже законной обработки
- Correct
- Исправить, обновить или заблокировать данные
- Access
- Получить копию при соблюдении правил
- Portability
- Передать данные другому controller
- Erase
- Удалить, если не действует законное исключение
- Breach notice
- Быть уведомлённым при серьёзном вреде или высоком риске
05
Article 5 data и permit
Для категорий, указанных в Article 5, controller или processor получает permit MTCIT по установленной процедуре. К заявке прилагаются документы, включая privacy policy и safeguards; официальный сервис указывает срок permit до пяти лет с renewal/amendment/cancellation controls.
06
Vendor и cloud не снимают ответственность
- Scope
- Данные, цели, instructions и duration
- Security
- Access, encryption, logging, backup и testing
- Subprocessors
- Approval и flow-down obligations
- Requests
- Помощь с rights и regulatory inquiries
- Breach
- Немедленное сообщение controller и evidence
- Exit
- Return/deletion и подтверждение завершения
07
Утечка: 72 часа при установленном риске
Controller уведомляет MTCIT в течение 72 часов с момента knowledge, если breach угрожает правам data subjects. В тот же период уведомляется субъект, если возможен serious harm или high risk. До инцидента нужны classification, contacts, escalation и decision log.
- 01Contain
Остановить утечку и сохранить evidence.
- 02Assess
Данные, лица, последствия и риск.
- 03Notify
MTCIT и subjects, если достигнут threshold.
- 04Remediate
Причина, controls и документированный follow-up.
08
Трансграничная передача
Правила связывают transfer с consent, отсутствием угрозы national security или higher interests и достаточной защитой у external processor не ниже уровня оманского режима. Контракт, destination, onward transfers и технические меры входят в transfer file.
09
Direct marketing
Email, SMS, messengers и профилирование проверяются по consent и специальным controls. Компания хранит proof of opt-in, даёт простой opt-out, ведёт suppression list и не использует полученную для другой цели базу без проверки.
10
Privacy-program
- 01
Создать data inventory и records of processing.
- 02
Подготовить notices, consent flows и rights procedure.
- 03
Определить Article 5 permits и DPO responsibilities.
- 04
Обновить vendor, cloud и transfer agreements.
- 05
Протестировать 72-hour breach plan.
+7 (495) 221 31 46Обсудить задачу