01
Сначала выбираем применимый режим
Основной частный сектор ОАЭ с предусмотренными законом исключениями и экстерриториальным scope.
DIFC Data Protection Law и Commissioner of Data Protection.
ADGM Data Protection Regulations и Office of Data Protection.
Health, banking, telecom, credit и government data могут иметь дополнительные требования.
02
Scope, personal data и роли
Personal data связывается с идентифицированным или идентифицируемым человеком. Компания описывает каждый processing operation и определяет controller, joint controllers, processor и subprocessor. Название в договоре не заменяет фактическую роль.
- Data subjects
- Клиенты, сотрудники, кандидаты, UBO, контрагенты и посетители
- Data
- Identity, contact, finance, device, location, communications и documents
- Sensitive / special
- Health, biometric, religion и иные защищённые категории — по режиму
- Controller
- Определяет зачем и как обрабатывать
- Processor
- Действует по документированному поручению controller
03
Consent — не единственное основание
Для каждой цели выбирается допустимое legal basis по конкретному режиму. Consent должен отвечать требованиям закона и быть отзывным; нельзя использовать его автоматически там, где отношения несвободны или обработка необходима для договора или закона.
- Contract
- Обработка, объективно необходимая для договора с субъектом
- Legal obligation
- KYC, tax, employment, accounting и regulatory records
- Consent
- Конкретное, информированное и доказуемое согласие
- Legitimate interests
- Только где режим допускает и после balance assessment
- Sensitive data
- Отдельный enhanced test и safeguards
04
Privacy notice и purpose limitation
Человеку сообщаются controller, цели, категории данных, recipients, transfers, retention, права и contact point. Новая несовместимая цель требует повторной оценки и, возможно, нового основания и уведомления.
- Customer notice
- Onboarding, KYC, service, fraud, marketing и analytics
- Employee notice
- Recruitment, payroll, monitoring, benefits и investigations
- Cookies / apps
- Identifiers, SDK, analytics, advertising и location
- Languages
- Notice должен быть доступным и понятным аудитории
- Evidence
- Version, publication date, consent logs и change history
05
Права субъектов и request workflow
Режимы предоставляют права доступа, исправления, ограничения или прекращения обработки и иные права в установленном объёме. Компания проверяет личность, исключения, third-party data и срок ответа.
- 01Intake
Единый канал и фиксация даты запроса.
- 02Verify
Пропорциональная идентификация заявителя.
- 03Search
Systems, vendors, email, archive и backups.
- 04Review
Exceptions, legal privilege и данные других лиц.
- 05Respond
Действие, объяснение и audit trail в срок режима.
06
Security по риску данных
Организационные и технические меры выбираются по объёму, чувствительности, угрозам и последствиям. Минимальная программа включает access control, encryption, logging, vulnerability management, backups, training и vendor security.
- Identity
- Least privilege, MFA, joiner-mover-leaver и privileged access
- Data
- Classification, encryption, DLP, retention и secure deletion
- Systems
- Secure development, testing, patching и change control
- People
- Confidentiality, training, phishing и disciplinary process
- Evidence
- Risk assessment, controls, tests, incidents и remediation
07
Data breach response
Incident становится personal data breach, когда затрагивает confidentiality, integrity или availability данных. Оцениваются факты, affected persons, harm, containment и необходимость уведомления регулятора и субъектов по применимому режиму.
Сохранить evidence, ограничить инцидент и запустить incident team.
Какие данные, люди, системы, страны и возможный вред.
Notification test, содержание и срок по конкретному режиму.
Root cause, remediation, lessons learned и documented decision.
08
Трансграничная передача
Cloud, group access и remote support могут быть international transfer. До передачи проверяются destination, adequacy или другой допустимый mechanism, contract, onward transfer, government access risk и security.
- Map
- Exporter, importer, countries, systems, data и purpose
- Mechanism
- Adequacy или предусмотренная safeguard/derogation
- Contract
- Processing instructions, security, breach, rights, audit и deletion
- Assessment
- Law and practice destination, access risk и supplementary measures
- Onward transfer
- Subprocessors и новые страны только под контролем
09
Processors, cloud и SaaS
Vendor due diligence проводится до загрузки production data. Controller сохраняет ответственность за выбор processor и договор. Проверяются data locations, subprocessors, encryption, support access, deletion и exit.
Маркетинговая фраза «данные хранятся в ОАЭ» не отвечает, откуда имеют доступ support, analytics, security и group administrators.
10
HR, monitoring и direct marketing
Employee monitoring должен иметь определённую цель, законное основание, прозрачность и пропорциональность. Для marketing отдельно проверяются consent/opt-out, channel rules и suppression list. Детские данные требуют усиленной защиты.
- Recruitment
- CV, screening, retention и sharing within group
- Workplace
- CCTV, email/device monitoring, access logs и investigations
- Marketing
- Audience, source, consent, unsubscribe и evidence
- Children
- Age, guardian consent, profiling и targeted advertising restrictions
- AI
- Training data, automated decisions, bias, explainability и vendor roles
11
Рабочая privacy-программа
- 01
Data map и register of processing по entity и режиму.
- 02
Legal basis, notices, consent и retention schedule.
- 03
Vendor DPAs, transfers и subprocessor control.
- 04
Rights, breach, security и employee procedures.
- 05
DPO/owner, training, audit и annual review.
+7 (495) 221 31 46Обсудить задачу