app.brand
en English ar العربية ur اردو zh 中文 fr Français

Обязанности компаний и права граждан по закону о защите данных в DIFC

Обязанности компаний и права граждан по закону о защите данных в DIFC

Сегодня персональные данные стали одним из ценнейших активов бизнеса и одновременно одним из наиболее чувствительных источников юридической ответственности для организаций. Каждое имя, номер телефона, адрес электронной почты и запись о сделке подпадают под строгие нормативные рамки, которые обязывают компании защищать собираемые ими сведения и предоставляют физическим лицам реальный контроль над своими данными. В рамках Дубайского международного финансового центра Закон о защите данных устанавливает целостную систему, уравновешивающую свободное движение информации и потребности бизнеса, с одной стороны, и основные права субъектов данных — с другой. В этой статье мы разъясняем ключевые обязанности компаний и права, предоставленные физическим лицам этим законом, в практическом ключе, помогающем организациям и гражданам понять своё правовое положение.

Каковы обязанности компаний и права физических лиц согласно Закону DIFC о защите данных?

Сфера применения закона и круг подпадающих под него лиц

Закон о защите данных был издан Дубайским международным финансовым центром и вступил в силу, отменив и заменив прежнее законодательство; с тех пор он был обновлён в консолидированной редакции после последних поправок. Закон призван установить стандарты и средства контроля за обработкой и свободным движением персональных данных, а также защитить основные права субъектов данных, в том числе применительно к новым технологиям.

Закон применяется:к обработке персональных данных автоматизированными средствами, а также неавтоматизированными — когда данные входят в структурированную картотеку; к любому контролёру или обработчику, учреждённому в DIFC, независимо от места обработки; и к любой обработке, осуществляемой в пределах DIFC, независимо от места учреждения.
Закон не применяется:к обработке персональных данных физическими лицами в рамках сугубо личной или бытовой деятельности, не связанной с коммерческой целью. Надзор за применением закона осуществляет Уполномоченный по защите данных Центра, наделённый полномочиями контроля, расследования и наложения санкций.

Общие принципы обработки данных

Закон требует от каждой компании, обрабатывающей персональные данные, соблюдения ряда основополагающих принципов и способности подтвердить свою добросовестность перед Уполномоченным. Эти принципы образуют каркас соответствия требованиям:

Законность и прозрачность
Данные обрабатываются законно, добросовестно и прозрачно по отношению к субъекту данных.
Ограничение целью
Собираются для определённых, явных и законных целей, установленных при сборе, и не используются вразрез с ними.
Минимизация данных
Ограничены тем, что относимо и необходимо для цели, без неоправданного расширения.
Точность
Точные и при необходимости актуализируемые, с исправлением или удалением без необоснованной задержки.
Ограничение хранения
Хранятся в форме, позволяющей идентифицировать субъекта, лишь столько, сколько необходимо для цели.
Безопасность и подотчётность
Хранятся безопасно с надлежащими техническими и организационными мерами; бремя доказывания соответствия лежит на контролёре.

Правовое основание: нет обработки без основания

Компания не вправе обрабатывать какие-либо персональные данные, если не опирается хотя бы на одно из правовых оснований, исчерпывающе определённых законом:

Согласиесогласие субъекта для конкретных целей
Договорнеобходимость исполнения договора с участием субъекта
Юридическая обязанностьсоблюдение применимого закона
Жизненные интересызащита жизни субъекта или иного лица
Общественный интересзадача органа DIFC в интересах Центра
Законные интересыесли их не перевешивают права субъекта
Особые категории данных: чувствительные данные подлежат дополнительным условиям и могут обрабатываться лишь в определённых случаях, таких как явное согласие, необходимость для целей, связанных с трудовыми отношениями, защита жизненных интересов или основания существенного общественного интереса, соразмерные преследуемой цели.

Обязанности компаний (контролёр и обработчик)

Действительное согласие
Когда основанием является согласие, оно должно быть дано свободно посредством чёткого утвердительного действия, недвусмысленно выражающего согласие, а компания должна быть способна подтвердить его получение и обеспечить управление его отзывом, с периодическим повторным подтверждением при продолжающейся обработке.
Подотчётность и защита «по умолчанию»
Компания обязана применять надлежащие технические и организационные меры и придерживаться принципа «защиты данных уже на этапе проектирования и по умолчанию», чтобы по умолчанию обрабатывались только данные, необходимые для каждой цели, регистрируясь у Уполномоченного, когда того требует закон.
Реестры операций обработки
Контролёр и обработчик ведут письменный реестр операций обработки, включающий категории субъектов данных, категории данных и категории получателей, любые передачи в третьи страны или международные организации с их гарантиями, сроки удаления и общее описание мер безопасности, где это возможно.
Специалист по защите данных (DPO)
DPO должен назначаться органами DIFC, а также любым контролёром или обработчиком, осуществляющим «операции обработки высокого риска» на систематической или регулярной основе. Специалист должен обладать необходимой компетентностью и независимостью, иметь прямой доступ к высшему руководству и проводить ежегодную оценку соответствия.
Оценка воздействия и предварительная консультация
Перед обработкой высокого риска компания проводит оценку воздействия на защиту данных, анализируя риски для прав лиц и меры по их устранению, и может предварительно проконсультироваться с Уполномоченным, соблюдая при этом любые указания, выданные по итогам такой консультации.
Обработчики и передача за пределы Центра
Отношения с обработчиками регулируются обязательным письменным соглашением, определяющим обязанности, требования конфиденциальности и контроль за субобработчиками. Данные могут передаваться за пределы DIFC только в юрисдикцию с адекватным уровнем защиты либо при наличии надлежащих гарантий в отсутствие такой адекватности.
Прекращение обработки и прозрачное уведомление
Когда цель отпадает или согласие отзывается, компания обязана прекратить обработку и удалить, обезличить, псевдонимизировать или зашифровать данные либо вывести их из дальнейшего использования, а также предоставить лицам ясную информацию о том, как обрабатываются их данные, посредством уведомлений о конфиденциальности.

Права физических лиц в отношении своих персональных данных

Закон наделяет субъекта данных рядом подлежащих защите прав, и компания обязана предусмотреть не менее двух способов их реализации:

Отзыв согласия
Безусловное право отозвать согласие в любой момент, когда оно является основанием обработки.
Доступ, исправление и удаление
Получить подтверждение и копию данных и потребовать их исправления или удаления — бесплатно и в течение одного месяца.
Возражение против обработки
Возразить против определённой обработки; возражение считается обоснованным, если компания не докажет преимущественные основания.
Ограничение обработки
Потребовать ограничения в случаях, например, спора о точности данных или незаконной обработки.
Переносимость данных
Получить данные в переносимом формате и обеспечить их прямую передачу другой стороне, когда это технически возможно.
Автоматизированные решения и профилирование
Возразить против решения, основанного исключительно на автоматизированной обработке с правовыми или значимыми последствиями, и потребовать пересмотра человеком.
Недискриминация
Не подвергаться менее благоприятному обращению лишь за реализацию прав, предоставленных законом.
Уведомление получателей
Контролёр обязан уведомить получателей при исправлении, удалении или ограничении данных.

Уведомление о нарушениях безопасности персональных данных

Уведомление УполномоченногоКогда нарушение ставит под угрозу конфиденциальность, безопасность или неприкосновенность данных лица, контролёр уведомляет Уполномоченного в кратчайший практически возможный срок, описывая характер нарушения, его вероятные последствия и принятые меры. Обработчик уведомляет контролёра без необоснованной задержки.
Уведомление субъекта данныхЕсли нарушение, вероятно, повлечёт высокий риск для безопасности или прав лица, контролёр сообщает ему об этом в кратчайший возможный срок, а при непосредственной угрозе вреда — незамедлительно, ясным языком, с рекомендациями по снижению последствий. Нарушения также должны документироваться письменно.

Санкции, ответственность и право на компенсацию

Уполномоченный вправе издавать предписания и налагать на нарушителей административные штрафы согласно приложенному к закону перечню санкций, наряду с общим полномочием по наложению штрафа. Ниже приведены примеры максимальных штрафов в долларах США:

50 000 $
нарушение общих принципов, требований законной обработки или мер безопасности
75 000 $
непредоставление лицам обязательной информации об обработке
100 000 $
нарушение прав лиц, таких как доступ, исправление, возражение и удаление
Гражданская ответственность и прямое право на иск: контролёр отвечает за ущерб, причинённый незаконной обработкой, а обработчик несёт ответственность, если нарушает свои обязанности или действует вне указаний контролёра, причём ответственность может быть солидарной для обеспечения эффективной компенсации. Субъект данных, понёсший ущерб вследствие нарушения, может обратиться непосредственно в Суд за компенсацией, помимо права подать жалобу Уполномоченному.

Правовые источники

Действующее законодательство: Закон DIFC № 5 от 2020 года о защите данных — консолидированная редакция, с изменениями, внесёнными Законом DIFC о поправках № 1 от 2025 года и Законом DIFC № 2 от 2022 года.

Соответствующие статьи: общие принципы (статья 9), законность обработки (статья 10), особые категории (статья 11), согласие (статья 12), подотчётность (статья 14), реестры обработки (статья 15), специалист по защите данных (статьи 16–19), оценка воздействия (статья 20), передача данных (статьи 26–27), предоставление информации (статьи 29–31), права лиц (статьи 32–40), уведомление о нарушениях (статьи 41–42), предписания, штрафы, ответственность и частное право на иск (статьи 59–64A), а также перечень санкций (Приложение 2).
« Соблюдение требований о защите данных более не является косметической опцией; оно составляет часть корпоративного управления любой организации, действующей в Центре. Компания, строящая свои политики на принципе защиты уже на этапе проектирования, ограждает себя от штрафов в той же мере, в какой защищает своих клиентов.
— Адвокат Авад Альмхейри
Нужна консультация по защите данных и соответствию требованиям?

Наша юридическая команда помогает организациям и физическим лицам в составлении политик конфиденциальности, соглашений об обработке, процедур реагирования на нарушения и в реализации прав, предоставленных законом.

AWADH ALMHEIRI LAW FIRM AND LEGAL CONSULTATIONS

Часто задаваемые вопросы

На кого распространяется Закон DIFC о защите данных?+
Он распространяется на обработку персональных данных в пределах DIFC, на любого контролёра или обработчика, учреждённого в Центре, независимо от места обработки, и на любую обработку, осуществляемую в пределах Центра, независимо от места учреждения. Он не применяется к сугубо личной или бытовой деятельности, не связанной с коммерческой целью.
Когда компания обязана назначить специалиста по защите данных (DPO)?+
Назначение обязательно для органов DIFC и для любого контролёра или обработчика, осуществляющего операции обработки высокого риска на систематической или регулярной основе; Уполномоченный может потребовать назначения и от иных организаций. Специалист должен обладать необходимой компетентностью и независимостью и иметь прямой доступ к высшему руководству.
В какой срок компания должна ответить на запрос о доступе?+
Субъект данных вправе получить подтверждение и копию своих данных бесплатно и в течение одного месяца с момента запроса, с учётом случаев, когда компания может ограничить информацию по основаниям, предусмотренным законом, например для защиты расследований или общественной безопасности.
Что делать при нарушении безопасности данных?+
Контролёр уведомляет Уполномоченного в кратчайший практически возможный срок, когда нарушение ставит под угрозу конфиденциальность, безопасность или неприкосновенность данных, и сообщает субъекту данных, если нарушение, вероятно, повлечёт высокий риск, документируя нарушение письменно и принимая меры по снижению последствий.
Может ли физическое лицо требовать компенсацию за нарушение закона?+
Да. Субъект данных, понёсший ущерб вследствие нарушения закона, может обратиться непосредственно в Суд за компенсацией, помимо права подать жалобу Уполномоченному, причём ответственность контролёра и обработчика может быть солидарной для обеспечения эффективной компенсации.
Чтобы помочь вам обеспечить соответствие требованиям или реализовать ваши права, наша команда к вашим услугам.

Связаться с нами

AWADH ALMHEIRI LAW FIRM AND LEGAL CONSULTATIONS
Юридическая экспертиза, защищающая ваши данные и ваш бизнес
Составление политик конфиденциальности и соглашений об обработке
Процедуры реагирования на нарушения и рассмотрение жалоб
Представительство физических лиц при реализации их прав
Наша юридическая экспертиза — к вашим услугам
Правовая оговорка
Настоящая статья подготовлена с целью распространения правовой культуры и повышения осведомлённости общества и не является юридической консультацией или правовым заключением по конкретному делу. Правовая оценка различается в зависимости от обстоятельств каждого случая, поэтому рекомендуется обратиться к квалифицированному юридическому консультанту до принятия каких-либо мер. Ознакомление с этим материалом не порождает отношений «адвокат — клиент». В случае расхождения между настоящим переводом и арабской версией преимущественную силу имеет арабский текст.

Наши услуги в Дубае

AWADH ALMHEIRI LAW FIRM AND LEGAL CONSULTATIONS в Дубае оказывает услуги организациям, работающим в Дубайском международном финансовом центре и за его пределами, в вопросах защиты персональных данных и соблюдения требований конфиденциальности — от построения систем управления и составления политик конфиденциальности и соглашений об обработке до ведения запросов физических лиц, реагирования на инциденты нарушения данных и взаимодействия с компетентными надзорными органами, таким образом, чтобы сохранить деловую репутацию и снизить правовые риски.

Наши услуги в остальных эмиратах

Наши услуги распространяются на клиентов в Абу-Даби, Шардже, Аджмане, Умм-эль-Кайвайне, Рас-эль-Хайме и Фуджайре, где мы сопровождаем организации и физических лиц в понимании их обязанностей и прав в отношении персональных данных в нормативной среде государства, предлагая практические рекомендации, помогающие сочетать требования бизнеса с защитой частной жизни лиц, при внимательном отслеживании любых законодательных изменений, затрагивающих эту важнейшую сферу.