Оман · Privacy Guide

Персональные данные:
от inventory до breach response

PDPL — это не одна политика на сайте: нужны карта данных, согласия, permits, договоры с processors, права субъектов, DPO и контроль международных передач.

Consentключевое требование
Permitдля Article 5 data
DPOпо правилам режима
72 часазначимая утечка

01

Закон и исполнительные правила

Personal Data Protection Law издан Royal Decree 6/2022; Executive Regulations — Ministerial Decision 34/2024. Правила детализируют permits, детей, права, обязанности controller/processor, breaches, DPO и transfers outside Oman.

02

Кто определяет цель и кто обрабатывает

Controller
Определяет цели, средства и существенные решения
Processor
Обрабатывает данные по поручению и договору
Data subject
Физическое лицо, к которому относятся данные
DPO
Координирует privacy program и взаимодействие с MTCIT
Joint model
Роли определяются функциями, а не названием договора

03

Согласие должно быть доказуемым

Официальное резюме правил выделяет получение explicit consent до обработки. Privacy notice объясняет controller, данные, цели, recipients, transfers, retention и права. Там, где закон допускает иной режим, его основание фиксируется отдельно.

Не смешивать

Согласие с условиями договора, marketing consent и разрешение на чувствительную обработку — разные элементы.

04

Права владельца данных

Withdraw
Отозвать согласие без отмены уже законной обработки
Correct
Исправить, обновить или заблокировать данные
Access
Получить копию при соблюдении правил
Portability
Передать данные другому controller
Erase
Удалить, если не действует законное исключение
Breach notice
Быть уведомлённым при серьёзном вреде или высоком риске

05

Article 5 data и permit

Для категорий, указанных в Article 5, controller или processor получает permit MTCIT по установленной процедуре. К заявке прилагаются документы, включая privacy policy и safeguards; официальный сервис указывает срок permit до пяти лет с renewal/amendment/cancellation controls.

06

Vendor и cloud не снимают ответственность

Scope
Данные, цели, instructions и duration
Security
Access, encryption, logging, backup и testing
Subprocessors
Approval и flow-down obligations
Requests
Помощь с rights и regulatory inquiries
Breach
Немедленное сообщение controller и evidence
Exit
Return/deletion и подтверждение завершения

07

Утечка: 72 часа при установленном риске

Controller уведомляет MTCIT в течение 72 часов с момента knowledge, если breach угрожает правам data subjects. В тот же период уведомляется субъект, если возможен serious harm или high risk. До инцидента нужны classification, contacts, escalation и decision log.

  1. 01
    Contain

    Остановить утечку и сохранить evidence.

  2. 02
    Assess

    Данные, лица, последствия и риск.

  3. 03
    Notify

    MTCIT и subjects, если достигнут threshold.

  4. 04
    Remediate

    Причина, controls и документированный follow-up.

08

Трансграничная передача

Правила связывают transfer с consent, отсутствием угрозы national security или higher interests и достаточной защитой у external processor не ниже уровня оманского режима. Контракт, destination, onward transfers и технические меры входят в transfer file.

09

Direct marketing

Email, SMS, messengers и профилирование проверяются по consent и специальным controls. Компания хранит proof of opt-in, даёт простой opt-out, ведёт suppression list и не использует полученную для другой цели базу без проверки.

10

Privacy-program

  1. 01

    Создать data inventory и records of processing.

  2. 02

    Подготовить notices, consent flows и rights procedure.

  3. 03

    Определить Article 5 permits и DPO responsibilities.

  4. 04

    Обновить vendor, cloud и transfer agreements.

  5. 05

    Протестировать 72-hour breach plan.

Официальная база

MTCIT: правила и permit

01

MTCIT — Executive Regulation announcement

Официальное резюме Ministerial Decision 34/2024: права, permit, DPO, breach и transfers.

Открыть источник
02

MTCIT — PDPL Permits Service

Официальная услуга получения разрешения на обработку данных по Article 5.

Открыть источник

Privacy program

Построим рабочую систему защиты данных

Inventory, notices, permits, vendors, transfers и incident response.

Обсудить проект
WAWhatsAppTGTelegram