Обязанности компаний и права граждан по закону о защите данных в ОАЭ

17 January 2026

Персональные данные сегодня стали основой цифровой экономики и одним из наиболее чувствительных источников юридической ответственности для организаций в Объединённых Арабских Эмиратах. Каждое имя, номер телефона, адрес электронной почты и запись о транзакции теперь регулируются федеральной законодательной системой, которая обязывает компании защищать собираемые ими данные и наделяет физических лиц реальными полномочиями в отношении их данных. Законодатель ОАЭ установил эту систему федеральным законом о защите персональных данных, который уравновешивает свободное движение информации и требования бизнеса, с одной стороны, и основные права субъектов данных — с другой. В этой статье мы разъясняем ключевые обязанности компаний и права, предоставленные физическим лицам, поясняя, кто подпадает под действие закона, а кто из него исключён.

Каковы обязанности компаний и права физических лиц согласно Закону о защите персональных данных в ОАЭ?

Правовая основа и надзорный орган

Система защиты персональных данных в Государстве опирается на федеральный закон о защите персональных данных, который устанавливает общие рамки сбора, обработки, хранения и защиты персональных данных, а также права и обязанности всех сторон. Надзор за его применением осуществляет Управление данных ОАЭ, учреждённое отдельным федеральным законом и являющееся компетентным регулирующим органом для издания указаний, приёма жалоб и контроля за соблюдением требований. Ряд детальных процедурных аспектов — таких как санкции, правила трансграничной передачи и пределы исключений — отнесён к исполнительному регламенту закона.

Сфера применения: кто подпадает под действие закона?

Закон применяется к обработке персональных данных — полностью или частично — электронными или иными средствами и имеет экстерриториальное действие в определённых случаях. Его сфера охватывает:

Субъект данных	Любое лицо, проживающее в Государстве или имеющее в нём место ведения деятельности.
Контролёр / обработчик внутри Государства	Обрабатывает данные субъектов внутри или за пределами Государства.
Контролёр / обработчик за пределами Государства	Обрабатывает данные субъектов, проживающих в Государстве.

Субъекты и случаи, исключённые из-под действия закона

Закон прямо определяет случаи, к которым его положения не применяются, — это ключевой момент для определения законодательства, применимого к каждому субъекту:

Исключённые случаи

Государственные данные и государственные органы, контролирующие или обрабатывающие их; персональные данные у органов безопасности и судебных органов; обработка лицом собственных данных в личных целях; данные о здоровье, защита которых регулируется специальным законодательством; банковские и кредитные данные со своим специальным законодательством; а также компании и учреждения, расположенные в свободных зонах, имеющих собственное законодательство о защите персональных данных.

Почему свободные зоны независимы? В силу этого исключения субъекты, действующие в свободных зонах, имеющих собственную систему — таких как Дубайский международный финансовый центр (DIFC) и Глобальный рынок Абу-Даби (ADGM), — подчиняются своему независимому законодательству и собственному надзорному органу, а не федеральному закону. Управление данных ОАЭ также вправе освободить некоторые учреждения, не обрабатывающие большие объёмы данных, от части требований согласно правилам исполнительного регламента.

Многоуровневая система защиты в Государстве

Федеральный закон

Общая основа для материковой части и большинства учреждений под надзором Управления данных ОАЭ.

DIFC

Независимый закон о защите данных и отдельный регулятор для субъектов, зарегистрированных в Дубайском международном финансовом центре.

ADGM

Независимые правила защиты данных для субъектов, действующих в рамках Глобального рынка Абу-Даби.

Принципы обработки персональных данных

Добросовестность, прозрачность и законность

Данные обрабатываются добросовестно, прозрачно и законно.

Ограничение цели

Собираются для конкретной чёткой цели и не обрабатываются впоследствии способом, несовместимым с ней.

Достаточность и минимизация

Достаточны и ограничены тем, что необходимо для цели обработки.

Точность и обновление

Точны и достоверны и обновляются всякий раз, когда это требуется.

Безопасность и защита

Хранятся в безопасности с помощью надлежащих технических и организационных мер против взлома и подделки.

Ограничение хранения

Не хранятся после исчерпания цели, кроме как с обезличиванием личности субъекта.

Согласие и случаи законной обработки без него

По общему правилу обработка персональных данных без согласия субъекта запрещена. Согласие должно быть таким, чтобы контролёр мог его доказать; оно должно быть ясным, простым, недвусмысленным и легкодоступным; и должно включать право легко его отозвать — при этом отзыв не влияет на законность обработки, предшествовавшей ему. Закон освобождает от требования согласия определённые случаи, когда обработка законна, в том числе:

Защита общественного интереса; данные, которые субъект своими действиями сделал доступными для всех; установление юридических прав и требований либо судебные и охранные процедуры; цели профессиональной или профилактической медицины и здравоохранения; охрана общественного здоровья; архивные цели и научные, исторические и статистические исследования; защита интересов субъекта данных; обязательства, связанные с трудоустройством и социальным обеспечением; исполнение договора, стороной которого является субъект данных; и исполнение обязанностей, установленных другими законами.

Обязанности компаний (контролёра и обработчика)

Обязанности контролёра

Принимать надлежащие технические и организационные меры для защиты данных и сохранения их конфиденциальности и приватности; применять защиту как при определении средств обработки, так и в её ходе; устанавливать настройки по умолчанию на уровне, необходимом для цели; вести специальный реестр персональных данных; назначать обработчика, обеспечивающего достаточные гарантии; и предоставлять Управлению то, что оно запрашивает согласно закону.

Обязанности обработчика

Осуществлять обработку в соответствии с указаниями контролёра и заключёнными договорами; применять защиту на этапе проектирования; соблюдать установленные цель и срок; удалять данные после завершения обработки или передавать их; не раскрывать их, кроме разрешённых случаев; обеспечивать безопасность процесса обработки; и вести специальный реестр. При множественности обработчиков без договора, определяющего роли, они несут солидарную ответственность.

Уведомление о нарушении данных

Как только контролёру становится известно о любом взломе или нарушении, затрагивающем приватность, конфиденциальность и безопасность данных, он обязан уведомить Управление о характере нарушения, его причинах, возможных последствиях и принятых мерах, а также уведомить субъекта данных, когда нарушение затрагивает его данные. Обработчик обязан уведомить контролёра, как только ему станет известно, чтобы тот мог уведомить Управление.

Назначение ответственного за защиту данных (DPO)

Квалифицированный ответственный за защиту данных должен быть назначен в трёх случаях: если обработка создаёт высокий риск для приватности данных вследствие новых технологий или объёма данных; если она включает систематическую и всестороннюю оценку чувствительных данных, в том числе профилирование и автоматизированную обработку; или если она осуществляется в отношении большого объёма чувствительных данных. Ответственный проверяет соблюдение требований, принимает запросы и жалобы и выступает связующим звеном с Управлением.

Права физических лиц на их персональные данные

Получение информации

Знать виды своих данных, цели обработки, автоматизированные решения, стороны, которым они передаются, и правила хранения — бесплатно.

Переносимость данных

Получать свои данные в структурированном, машиночитаемом формате и передавать их другому контролёру, когда это технически возможно.

Исправление и удаление

Исправлять неточные данные и требовать их удаления в случаях, таких как исчезновение цели или отзыв согласия.

Ограничение и приостановка обработки

Обязывать контролёра ограничить обработку при оспаривании точности данных либо их несоответствия целям или закону.

Возражение против автоматизированной обработки

Возражать против решений, основанных на автоматизированной обработке и профилировании, имеющих юридический или существенный эффект.

Связь и подача жалобы

Напрямую связываться с ответственным за защиту данных и подавать жалобы в Управление данных ОАЭ.

Трансграничная передача данных

Персональные данные могут передаваться за пределы Государства в страну или на территорию, обеспечивающую достаточный уровень защиты, либо в определённых случаях, включая: явное согласие субъекта данных способом, не противоречащим общественному и охранному интересу; когда передача необходима для установления прав перед судебными органами; для заключения или исполнения договора, отвечающего интересам субъекта данных; для процедуры, связанной с международным судебным сотрудничеством; или для защиты общественного интереса. Исполнительный регламент устанавливает правила для этих случаев.

Надзор, жалобы и санкции

Роль Управления данных ОАЭ: субъект данных вправе подать в Управление жалобу при нарушении любого из своих прав, а Управление может проверять причины нарушений и налагать административные санкции на контролёра или обработчика, нарушившего положения закона и решения, принятые в его исполнение. Размер этих административных санкций и порядок их применения определяются исполнительным регламентом закона, наряду с полномочием Управления издавать указания и отслеживать соблюдение требований.

Правовые источники

Применимое законодательство: Федеральный декрет-закон № (45) 2021 года о защите персональных данных и Федеральный декрет-закон № (44) 2021 года о создании Управления данных ОАЭ.

Соответствующие статьи: сфера применения и исключения (статья 2), полномочие на освобождение (статья 3), законная обработка без согласия (статья 4), принципы обработки (статья 5), согласие (статья 6), обязанности контролёра (статья 7), обязанности обработчика (статья 8), уведомление о нарушении (статья 9), ответственный за защиту данных (статьи 10–12), права физических лиц — получение информации, переносимость, исправление, удаление и ограничение (статьи 13–18), трансграничная передача (статьи 22–23), жалобы и санкции (статьи 24–26).

Для субъектов в свободных зонах: Закон DIFC о защите данных № (5) 2020 года и Правила ADGM о защите данных.

«Первый шаг для любой организации — точно определить законодательство, под действие которого она подпадает: федеральный закон или законодательство свободной зоны. Тот, кто путает эти две системы, рискует выстроить несоответствующие политики — соответствие начинается с понимания сферы действия закона, прежде чем его деталей.»

— Адвокат Авадх Альмхейри

Нужна консультация по защите данных и соответствию требованиям?

Наша юридическая команда помогает организациям и физическим лицам определить применимое законодательство, составить политики конфиденциальности и соглашения об обработке данных, выстроить процедуры реагирования на нарушения и реализовать предусмотренные права.

Свяжитесь с нами

AWADH ALMHEIRI LAW FIRM AND LEGAL CONSULTATIONS

Часто задаваемые вопросы

Применяется ли федеральный закон к компаниям в свободных зонах?+

Федеральный закон не применяется к компаниям и учреждениям, расположенным в свободных зонах, имеющих собственное законодательство о защите персональных данных, таких как Дубайский международный финансовый центр и Глобальный рынок Абу-Даби, поскольку эти субъекты подчиняются своему независимому законодательству и собственному регулятору. Все остальные учреждения подпадают под действие федерального закона.

Применяется ли закон к компании за пределами Государства?+

Да; сфера действия закона распространяется на каждого контролёра или обработчика, находящегося за пределами Государства, который обрабатывает персональные данные субъектов, проживающих в Государстве. Значение имеет место проживания субъекта данных, а не только местонахождение компании.

Когда необходимо назначить ответственного за защиту данных?+

Назначение требуется в трёх случаях: если обработка создаёт высокий риск для приватности данных вследствие новых технологий или объёма данных; если она включает систематическую и всестороннюю оценку чувствительных данных, в том числе профилирование и автоматизированную обработку; или если она осуществляется в отношении большого объёма чувствительных данных.

Что необходимо делать при нарушении данных?+

Как только контролёру становится известно о нарушении, затрагивающем приватность, конфиденциальность и безопасность данных, он обязан уведомить Управление данных ОАЭ, указав характер нарушения, его последствия и принятые меры, и уведомить субъекта данных, когда нарушение затрагивает его данные. Обработчик обязан уведомить контролёра, как только ему станет известно.

Как физическому лицу реализовать свои права или подать жалобу?+

Физическое лицо вправе напрямую связаться с ответственным за защиту данных соответствующего субъекта для реализации своих прав, таких как доступ, исправление, удаление, ограничение и возражение. Если любое из его прав нарушено, оно может подать жалобу в Управление данных ОАЭ, которое осуществляет проверку и принимает надлежащие меры.

Чтобы помочь вам обеспечить соответствие требованиям или реализовать ваши права, наша команда к вашим услугам.Свяжитесь с нами

Юридическая экспертиза, защищающая ваши данные и ваш бизнес

✓Определение применимого законодательства и построение систем соответствия

✓Составление политик конфиденциальности и соглашений об обработке данных

✓Процедуры реагирования на нарушения и представление интересов физических лиц при реализации их прав

Запишитесь на консультацию

Мы предоставляем нашу юридическую экспертизу в ваше распоряжение

AWADH ALMHEIRI LAW FIRM AND LEGAL CONSULTATIONS

Правовая оговорка

Эта статья подготовлена в целях распространения правовой культуры и просвещения общества и не является юридической консультацией или правовым заключением по конкретному делу. Правовая оценка различается в зависимости от обстоятельств каждого случая, поэтому рекомендуется обратиться к квалифицированному юридическому консультанту до принятия каких-либо мер. Ознакомление с этим содержанием не создаёт отношений «адвокат — клиент». В случае расхождений между этим переводом и оригинальным арабским текстом преимущественную силу имеет арабская версия.

Наши услуги в Дубае

AWADH ALMHEIRI LAW FIRM AND LEGAL CONSULTATIONS в Дубае предоставляет услуги организациям и физическим лицам по вопросам защиты персональных данных и соблюдения требований конфиденциальности — от определения применимого законодательства, будь то федеральный закон или законодательство свободной зоны, такой как Дубайский международный финансовый центр, и построения систем управления и составления политик конфиденциальности и соглашений об обработке, до управления запросами физических лиц, реагирования на инциденты нарушения данных и взаимодействия с компетентными надзорными органами.

Наши услуги в остальных эмиратах

Наши услуги распространяются на наших клиентов в Абу-Даби, Шардже, Аджмане, Умм-эль-Кайвайне, Рас-эль-Хайме и Фуджейре, где мы сопровождаем организации и физических лиц в понимании их обязанностей и прав в отношении персональных данных согласно федеральному закону и предоставляем практические консультации, помогающие сбалансировать требования бизнеса и защиту приватности физических лиц, при внимательном отслеживании любых законодательных изменений, затрагивающих эту важнейшую сферу.