ОАЭ · Privacy & Data Governance

Персональные данные:
от карты систем до transfer

Federal PDPL, DIFC и ADGM — три самостоятельных режима. Определяем применимое право, роли, legal basis, права людей, security и международные передачи.

3 режимане один универсальный PDPL
Controllerопределяет цели и средства
Processorобрабатывает по поручению
До transferlegal mechanism + security

01

Сначала выбираем применимый режим

Federal PDPL

Основной частный сектор ОАЭ с предусмотренными законом исключениями и экстерриториальным scope.

DIFC

DIFC Data Protection Law и Commissioner of Data Protection.

ADGM

ADGM Data Protection Regulations и Office of Data Protection.

Sector rules

Health, banking, telecom, credit и government data могут иметь дополнительные требования.

02

Scope, personal data и роли

Personal data связывается с идентифицированным или идентифицируемым человеком. Компания описывает каждый processing operation и определяет controller, joint controllers, processor и subprocessor. Название в договоре не заменяет фактическую роль.

Data subjects
Клиенты, сотрудники, кандидаты, UBO, контрагенты и посетители
Data
Identity, contact, finance, device, location, communications и documents
Sensitive / special
Health, biometric, religion и иные защищённые категории — по режиму
Controller
Определяет зачем и как обрабатывать
Processor
Действует по документированному поручению controller

03

Consent — не единственное основание

Для каждой цели выбирается допустимое legal basis по конкретному режиму. Consent должен отвечать требованиям закона и быть отзывным; нельзя использовать его автоматически там, где отношения несвободны или обработка необходима для договора или закона.

Contract
Обработка, объективно необходимая для договора с субъектом
Legal obligation
KYC, tax, employment, accounting и regulatory records
Consent
Конкретное, информированное и доказуемое согласие
Legitimate interests
Только где режим допускает и после balance assessment
Sensitive data
Отдельный enhanced test и safeguards

04

Privacy notice и purpose limitation

Человеку сообщаются controller, цели, категории данных, recipients, transfers, retention, права и contact point. Новая несовместимая цель требует повторной оценки и, возможно, нового основания и уведомления.

Customer notice
Onboarding, KYC, service, fraud, marketing и analytics
Employee notice
Recruitment, payroll, monitoring, benefits и investigations
Cookies / apps
Identifiers, SDK, analytics, advertising и location
Languages
Notice должен быть доступным и понятным аудитории
Evidence
Version, publication date, consent logs и change history

05

Права субъектов и request workflow

Режимы предоставляют права доступа, исправления, ограничения или прекращения обработки и иные права в установленном объёме. Компания проверяет личность, исключения, third-party data и срок ответа.

  1. 01
    Intake

    Единый канал и фиксация даты запроса.

  2. 02
    Verify

    Пропорциональная идентификация заявителя.

  3. 03
    Search

    Systems, vendors, email, archive и backups.

  4. 04
    Review

    Exceptions, legal privilege и данные других лиц.

  5. 05
    Respond

    Действие, объяснение и audit trail в срок режима.

06

Security по риску данных

Организационные и технические меры выбираются по объёму, чувствительности, угрозам и последствиям. Минимальная программа включает access control, encryption, logging, vulnerability management, backups, training и vendor security.

Identity
Least privilege, MFA, joiner-mover-leaver и privileged access
Data
Classification, encryption, DLP, retention и secure deletion
Systems
Secure development, testing, patching и change control
People
Confidentiality, training, phishing и disciplinary process
Evidence
Risk assessment, controls, tests, incidents и remediation

07

Data breach response

Incident становится personal data breach, когда затрагивает confidentiality, integrity или availability данных. Оцениваются факты, affected persons, harm, containment и необходимость уведомления регулятора и субъектов по применимому режиму.

Обнаружение

Сохранить evidence, ограничить инцидент и запустить incident team.

Оценка

Какие данные, люди, системы, страны и возможный вред.

Решение

Notification test, содержание и срок по конкретному режиму.

После

Root cause, remediation, lessons learned и documented decision.

08

Трансграничная передача

Cloud, group access и remote support могут быть international transfer. До передачи проверяются destination, adequacy или другой допустимый mechanism, contract, onward transfer, government access risk и security.

Map
Exporter, importer, countries, systems, data и purpose
Mechanism
Adequacy или предусмотренная safeguard/derogation
Contract
Processing instructions, security, breach, rights, audit и deletion
Assessment
Law and practice destination, access risk и supplementary measures
Onward transfer
Subprocessors и новые страны только под контролем

09

Processors, cloud и SaaS

Vendor due diligence проводится до загрузки production data. Controller сохраняет ответственность за выбор processor и договор. Проверяются data locations, subprocessors, encryption, support access, deletion и exit.

Практический риск

Маркетинговая фраза «данные хранятся в ОАЭ» не отвечает, откуда имеют доступ support, analytics, security и group administrators.

10

HR, monitoring и direct marketing

Employee monitoring должен иметь определённую цель, законное основание, прозрачность и пропорциональность. Для marketing отдельно проверяются consent/opt-out, channel rules и suppression list. Детские данные требуют усиленной защиты.

Recruitment
CV, screening, retention и sharing within group
Workplace
CCTV, email/device monitoring, access logs и investigations
Marketing
Audience, source, consent, unsubscribe и evidence
Children
Age, guardian consent, profiling и targeted advertising restrictions
AI
Training data, automated decisions, bias, explainability и vendor roles

11

Рабочая privacy-программа

  1. 01

    Data map и register of processing по entity и режиму.

  2. 02

    Legal basis, notices, consent и retention schedule.

  3. 03

    Vendor DPAs, transfers и subprocessor control.

  4. 04

    Rights, breach, security и employee procedures.

  5. 05

    DPO/owner, training, audit и annual review.

Официальная основа

Три режима — три набора правил

Вывод и срок действия подтверждаем по федеральному праву, DIFC или ADGM.

Privacy readiness

Соберём data map и законный международный контур

Проверим роли, документы, cloud, transfers и incident response.

Обсудить данные
WAWhatsAppTGTelegram