В февральском номере журнала Legal Insight вышла статья руководителя международной практики Ратмира Проскурнова и юриста Валерии Досковских, посвященная защите персональных данных в ОАЭ.
В мире бизнеса, где данные становятся новым «золотом», правильное управление ими и их защита выходят на первый план. Глобальные корпорации, действующие в различных юрисдикциях, особенно остро чувствуют потребность в понимании регулятивных границ. Ввиду активно взятого курса на Ближний Восток, представляется крайне интересным и полезным осветить и обратить внимание бизнеса на развитость и особенности одного из центров ближневосточного региона – ОАЭ.
Привлекая огромное количество инвестиций и располагая развитой системой законодательства, отвечающей глобальным вызовам, Объединённые Арабские Эмираты становятся универсальным хабом для бизнеса со всего света. Информационная безопасность – не исключение в перечне прорывных достижений ОАЭ, поскольку система регулирования в области управления и защиты персональных данных, строится как на федеральном уровне, в форме закона PDPL (Personal Data Protection Law), так и на уровне свободных экономических зон, имеющих собственное законодательство, касающееся защиты информации.
Настоящая статья нацелена на освещение и системный анализ норм PDPL и законов свободных экономических зон, Abu Dhabi Global Market (ADGM), Dubai Multi Commodities Centre (DMCC) и Dubai International Financial Centre (DIFC), в том числе на соответствие глобальным стандартам, например, европейскому GDPR. Эксперты UPPERCASE Legal Advisory подробно рассматривают данный вопрос, проводя сравнительный анализ между PDPL и GDPR, законами свободных зон, а также раскрывают юридические аспекты digital compliance, чтобы помочь бизнес-сообществу ориентироваться, в первую очередь, в местном регулировании обработки и защиты персональных данных (ПДн).
Привлекая огромное количество инвестиций и располагая развитой системой законодательства, отвечающей глобальным вызовам, Объединённые Арабские Эмираты становятся универсальным хабом для бизнеса со всего света. Информационная безопасность – не исключение в перечне прорывных достижений ОАЭ, поскольку система регулирования в области управления и защиты персональных данных, строится как на федеральном уровне, в форме закона PDPL (Personal Data Protection Law), так и на уровне свободных экономических зон, имеющих собственное законодательство, касающееся защиты информации.
Настоящая статья нацелена на освещение и системный анализ норм PDPL и законов свободных экономических зон, Abu Dhabi Global Market (ADGM), Dubai Multi Commodities Centre (DMCC) и Dubai International Financial Centre (DIFC), в том числе на соответствие глобальным стандартам, например, европейскому GDPR. Эксперты UPPERCASE Legal Advisory подробно рассматривают данный вопрос, проводя сравнительный анализ между PDPL и GDPR, законами свободных зон, а также раскрывают юридические аспекты digital compliance, чтобы помочь бизнес-сообществу ориентироваться, в первую очередь, в местном регулировании обработки и защиты персональных данных (ПДн).
1. Специфика системы законодательства о защите персональных данных в ОАЭ
Наиболее важным вопросом для бизнеса, пришедшего в ОАЭ, является достижение понимания законодательства, которое представлено на федеральном уровне и на уровне отдельных свободных экономических зон. Следует иметь ввиду, что самобытность ОАЭ раскрывается не только в его географическом положении, культуре, языке и традициях, но и в том, что страна существует в симбиозе континентальной, англо-саксонской и традиционной правовых систем. Однако, нормы Шариата не коснулись законодательства о защите персональных данных, поэтому его главной особенностью, и на федеральном, и на региональных уровнях, является чрезвычайная схожесть с европейским «первопроходцем» в мир информационной безопасности – с General Data Protection Regulation (EU) 2016/679 (далее – GDPR).
На федеральном уровне, как уже было отмечено выше, digital compliance может быть достигнут посредством соблюдения норм PDPL, который представляет собой «сжатую» версию GDPR, с добавлением более критических и строгих требований по отношению к контроллерам. PDPL направлен на минимизацию рисков для конфиденциальности данных субъектов, на установление чёткого механизма взаимодействия с государственными органами при возникновении нарушений, связанных с обработкой и передачей персональных данных, а также на превенцию таких случаев. Важно понимать, что по состоянию на октябрь 2023 года судами ОАЭ не был рассмотрен ни один спор, связанный с нарушением норм регламента о защите персональных данных ОАЭ, поэтому в настоящей статье будут использованы некоторые прецеденты европейского права, исходя из нашего анализа, представляющие юридическую ценность для последующего понимания местных законов о защите ПДн. Соответственно, бизнесу и юристам ещё предстоит пройти практический путь адаптации к специфике законодательства о защите персональных данных, который будет раскрыт посредством совершенствования отраслевой правовой доктрины с помощью местных судебных институтов. Кроме того, на федеральном уровне изданы и иные законы, регулирующие отдельные аспекты безопасности информации, например, в законе «Об использовании информационных технологий в сфере здравоохранения».
Обращаясь к законодательству свободных экономических зон, нельзя не отметить, что регулирование каждой свободной зоны представляет собой отдельный, направленный на определённый сектор экономики, свод правил, подчиняющийся законодательству либо близкому английскому праву, либо гибриду права англо-саксонской и континентальной правовых систем. Например, зоны ADGM и DIFC в своих официальных документах и релизах заявляют, что они руководствуются системой common law. Данная особенность и обуславливает то, что свободные зоны довольно часто устанавливают отличные от федерального законодателя требования к субъектам, участвующим в обработке, передаче и использовании персональных данных, а также «собственные» санкции за их нарушение. Так, в свободной зоне ADGM защита персональных данных урегулирована Data Protection Regulations 2021, в свободной зоне DMCC придерживаются норм федерального законодательства PDPL, а в зоне DIFC – Data Protection Law 2020. Пока и на уровне свободных зон ОАЭ прослеживается та же тенденция – отсутствие прецедентного права в области защиты персональных данных. Такой тренд легко объясним, поскольку и в общемировом, и в местном понимании, данная тематика является относительно молодой, развивающейся, поэтому страны адаптируются к новым вызовам, предлагая регулирование, которое дополнительно раскрывается судами.
На федеральном уровне, как уже было отмечено выше, digital compliance может быть достигнут посредством соблюдения норм PDPL, который представляет собой «сжатую» версию GDPR, с добавлением более критических и строгих требований по отношению к контроллерам. PDPL направлен на минимизацию рисков для конфиденциальности данных субъектов, на установление чёткого механизма взаимодействия с государственными органами при возникновении нарушений, связанных с обработкой и передачей персональных данных, а также на превенцию таких случаев. Важно понимать, что по состоянию на октябрь 2023 года судами ОАЭ не был рассмотрен ни один спор, связанный с нарушением норм регламента о защите персональных данных ОАЭ, поэтому в настоящей статье будут использованы некоторые прецеденты европейского права, исходя из нашего анализа, представляющие юридическую ценность для последующего понимания местных законов о защите ПДн. Соответственно, бизнесу и юристам ещё предстоит пройти практический путь адаптации к специфике законодательства о защите персональных данных, который будет раскрыт посредством совершенствования отраслевой правовой доктрины с помощью местных судебных институтов. Кроме того, на федеральном уровне изданы и иные законы, регулирующие отдельные аспекты безопасности информации, например, в законе «Об использовании информационных технологий в сфере здравоохранения».
Обращаясь к законодательству свободных экономических зон, нельзя не отметить, что регулирование каждой свободной зоны представляет собой отдельный, направленный на определённый сектор экономики, свод правил, подчиняющийся законодательству либо близкому английскому праву, либо гибриду права англо-саксонской и континентальной правовых систем. Например, зоны ADGM и DIFC в своих официальных документах и релизах заявляют, что они руководствуются системой common law. Данная особенность и обуславливает то, что свободные зоны довольно часто устанавливают отличные от федерального законодателя требования к субъектам, участвующим в обработке, передаче и использовании персональных данных, а также «собственные» санкции за их нарушение. Так, в свободной зоне ADGM защита персональных данных урегулирована Data Protection Regulations 2021, в свободной зоне DMCC придерживаются норм федерального законодательства PDPL, а в зоне DIFC – Data Protection Law 2020. Пока и на уровне свободных зон ОАЭ прослеживается та же тенденция – отсутствие прецедентного права в области защиты персональных данных. Такой тренд легко объясним, поскольку и в общемировом, и в местном понимании, данная тематика является относительно молодой, развивающейся, поэтому страны адаптируются к новым вызовам, предлагая регулирование, которое дополнительно раскрывается судами.
2. Границы и принципы действия законодательства о защите персональных данных материковой части и свободных зон
Наиболее часто бизнес имеет связь не только с той страной, регионом, где он был учреждён, но и, как минимум, с близлежащими юрисдикциями, поскольку глобализация показала, что люди, деловые связи, а, главное, информация, крайне мобильны, и не всегда удаётся оперировать ею в пределах одного региона. Как и в европейском аналоге, освещаемые законы устанавливают принцип экстерриториальности действия, иными словами, юридическая сила PDPL, DPR, DPL распространяется на контроллеров и процессоров, а также на субъектов данных независимо от того, происходит ли обработка на территории свободной зоны или в материковой части ОАЭ.
Данный принцип ярко раскрывается, когда обрабатывается информация: а) связанная с субъектом данных, имеющим резиденство на территории ОАЭ (при этом контролеру и процессору необязательно находиться или обрабатывать ПДн в пределах ОАЭ); б) обратная ситуация, когда контроллер или процессор находятся на территории ОАЭ, а субъект данных за пределами Эмиратов; в) если обработка персональных данных непосредственно связана с организацией или предприятием, находящимся на территорией свободной зоны или материковой части; г) с получением дохода от обработки персональных данных в пользу организации, находящейся в свободной зоне или материковой части (при этом субъекты данных необязательно должны находиться на территории ОАЭ). Экстерриториальный подход связан исключительно с юридической природой персональных данных, поскольку они наиболее тесно связаны с личностью человека, а, следовательно, с реализацией его фундаментальных прав, в том числе правом на свободное передвижение, свободы выбора места жительства или осуществления предпринимательской деятельности. Незащищённость такого объекта, как персональные данные, означало бы покушение на неприкосновенность частной жизни, которая является приоритетом в современной доктрине права. Именно поэтому и европейский, и местный законодатель стараются распространить регулирование на максимально возможную территорию, связанную с субъектом персональных данных.
Особое место в понимании как европейского, так и местного законодательства о защите ПДн отводится такому понятию, как “permanent establishment”. Следует отметить, что самостоятельное юридическое лицо далеко не всегда представляет собой обособленный бизнес, учреждённый внутри одной страны. Обладая филиалами, дочерними компаниями, бизнес может функционировать по всему миру и, как следствие, обрабатывать массивы персональных данных в разных юрисдикциях. Чтобы определить относимость филиала или дочерней компании к конкретной юрисдикции, и, как следствие, необходимость соблюдения национального законодательства о защите данных, в громком деле Weltimmo, 2015 European Court of Justice установил трёхступенчатый тест, при прохождении которого компания, осуществляющая деятельность на территории иной страны, обязана подчиняться законам о защите ПДн этой страны. Если процессор или контроллер может положительно ответить на вопросы этого теста, значит, филиал, дочерняя компания или предприятие обязано подчиняться и соблюдать национальное законодательство того государства, где оно учреждено. В случае с регулированием в свободной зоне DIFC понятие “permanent establishment” также неразрывно связано с обязательством по уведомлению Комиссара по защите ПДн о начале их обработки, а также уплате установленного сбора, за неуплату которого налагается штраф.
Важной особенностью федерального закона PDPL является формальное отсутствие закрепленных в нем принципов, которыми должны руководствоваться контроллеры и процессоры при работе с персональными данными. Вместе с тем, при детальном анализе этого нормативного акта создается стойкое убеждение в том, что законодатель придерживался тех же принципов, которые закреплены в его европейском аналоге и законах свободных зон в виде прямых норм. Необходимо понимать, что основополагающие принципы, закреплённые в регламенте или законах свободных зон, имеют важнейшее практическое значение для контроллеров, процессоров, а также для иных лиц, являющихся субъектами правоотношений в области ПДн, поскольку, как показывает практика (увы, пока только европейская), множество нарушений связанно именно с пренебрежением или незнанием принципов работы с персональными данными.
Следующие принципы прямо или косвенно заложены в закон о защите персональных данных ОАЭ – PDPL, а также законодательные акты свободных зон:
Данный принцип ярко раскрывается, когда обрабатывается информация: а) связанная с субъектом данных, имеющим резиденство на территории ОАЭ (при этом контролеру и процессору необязательно находиться или обрабатывать ПДн в пределах ОАЭ); б) обратная ситуация, когда контроллер или процессор находятся на территории ОАЭ, а субъект данных за пределами Эмиратов; в) если обработка персональных данных непосредственно связана с организацией или предприятием, находящимся на территорией свободной зоны или материковой части; г) с получением дохода от обработки персональных данных в пользу организации, находящейся в свободной зоне или материковой части (при этом субъекты данных необязательно должны находиться на территории ОАЭ). Экстерриториальный подход связан исключительно с юридической природой персональных данных, поскольку они наиболее тесно связаны с личностью человека, а, следовательно, с реализацией его фундаментальных прав, в том числе правом на свободное передвижение, свободы выбора места жительства или осуществления предпринимательской деятельности. Незащищённость такого объекта, как персональные данные, означало бы покушение на неприкосновенность частной жизни, которая является приоритетом в современной доктрине права. Именно поэтому и европейский, и местный законодатель стараются распространить регулирование на максимально возможную территорию, связанную с субъектом персональных данных.
Особое место в понимании как европейского, так и местного законодательства о защите ПДн отводится такому понятию, как “permanent establishment”. Следует отметить, что самостоятельное юридическое лицо далеко не всегда представляет собой обособленный бизнес, учреждённый внутри одной страны. Обладая филиалами, дочерними компаниями, бизнес может функционировать по всему миру и, как следствие, обрабатывать массивы персональных данных в разных юрисдикциях. Чтобы определить относимость филиала или дочерней компании к конкретной юрисдикции, и, как следствие, необходимость соблюдения национального законодательства о защите данных, в громком деле Weltimmo, 2015 European Court of Justice установил трёхступенчатый тест, при прохождении которого компания, осуществляющая деятельность на территории иной страны, обязана подчиняться законам о защите ПДн этой страны. Если процессор или контроллер может положительно ответить на вопросы этого теста, значит, филиал, дочерняя компания или предприятие обязано подчиняться и соблюдать национальное законодательство того государства, где оно учреждено. В случае с регулированием в свободной зоне DIFC понятие “permanent establishment” также неразрывно связано с обязательством по уведомлению Комиссара по защите ПДн о начале их обработки, а также уплате установленного сбора, за неуплату которого налагается штраф.
Важной особенностью федерального закона PDPL является формальное отсутствие закрепленных в нем принципов, которыми должны руководствоваться контроллеры и процессоры при работе с персональными данными. Вместе с тем, при детальном анализе этого нормативного акта создается стойкое убеждение в том, что законодатель придерживался тех же принципов, которые закреплены в его европейском аналоге и законах свободных зон в виде прямых норм. Необходимо понимать, что основополагающие принципы, закреплённые в регламенте или законах свободных зон, имеют важнейшее практическое значение для контроллеров, процессоров, а также для иных лиц, являющихся субъектами правоотношений в области ПДн, поскольку, как показывает практика (увы, пока только европейская), множество нарушений связанно именно с пренебрежением или незнанием принципов работы с персональными данными.
Следующие принципы прямо или косвенно заложены в закон о защите персональных данных ОАЭ – PDPL, а также законодательные акты свободных зон:
- Lawfulness - данный принцип обязывает контроллеров и процессоров обрабатывать персональные данные и получать согласие субъекта данных строго до начала их обработки и только для достижения указанных в нем целей, также строго закрепленными в согласии способами; иные основания обработки неправомерны, кроме установленных исключений, например, для защиты публичных интересов;
- Fair Processing - данный принцип обязывает контроллеров и процессоров придерживаться принципа добросовестности при обработке персональных данных;
- Transparency – исходя из данного принципа, субъект ПДн должен быть проинформирован о том, кто будет обрабатывать его персональные данные и с какой целью. Также процедура обработки персональных данных (автоматизированным способом или нет) должна быть разъяснена на доступном и понятном языке;
- Purpose Limitation - обработка персональных данных должна осуществляться исключительно в соответствии с установленной целью. Данный принцип представляет собой «ядро» защиты персональных данных, а также обусловливает законность их обработки;
- Data Minimization – контроллер обязан запрашивать столько персональных данных, сколько требуется для обработки в связи с заявленными целями – избыточность ПДн недопустима;
- Data Accuracy – данный принцип обязывает контроллеров и процессоров удалять или исправлять неточные данные, связанные с их субъектом;
- Storage Limitation – персональные данные должны быть удалены или анонимизированы (обезличены до такой степени, при которой идентификация субъекта данных становится невозможной, а восстановление самих данных – технически невыполнимым) после того, как цели обработки будут достигнуты;
- Security – обязанность контроллера и процессора незамедлительно уведомить UAE Data Office при выявлении нарушений правил обработки ПДн;
- Accountability - данный принцип устанавливает персональную ответственность контроллера и процессора за соблюдение принципов обработки данных, а также за совершение превентивных действий, направленных на недопущение нарушений целостности персональных данных.
3. Особенности обработки персональных данных и механизмы предотвращения нарушений
Не секрет, что подход, используемый законодателем при разработке PDPL, отличался от вектора, выбранного европейским законодателем. Федеральный закон о защите персональных данных ОАЭ устанавливает ограничительный подход в отношении оснований, при которых обработка персональных данных будет являться законной. Иными словами, PDPL придерживается того, что только согласие субъекта данных является правомерным основанием для обработки в то время, как исключения, установленные в статье 4 PDPL, являются лишь отступлением от общего правила. В свою очередь, европейское законодательство и законы свободных зон используют более диспозитивный подход, включая в допустимые различные основания для законной обработки данных, помимо согласия субъекта данных, равных ему по юридической силе. Обработка персональных данных без получения дополнительного (отдельного в письменной форме) согласия допускается в каждой из свободных зон, например, для исполнения договора, для защиты жизненно важных интересов субъекта данных, при наличии юридического обязательства, налагаемого на контроллера в связи с исполнением своих функциональных задач.
Однако, работа со специальной категорией персональных данных (иногда такие данные еще называют «чувствительными») является наиболее сложной задачей с точки зрения data compliance. Как известно, и европейский, и законодатель ОАЭ относят к данной категории данные, характеризующие этническую принадлежность, религиозные, политические взгляды, биометрические и генетические данные, сексуальную ориентацию и др. Выделение такой категории данных в отдельную связано с тем, что эти данные наиболее тесно связаны с субъектом персональных данных и позволяют с точностью его идентифицировать, соответственно, этому корреспондирует риск вмешательства в частную жизнь и нарушение фундаментальных прав человека.
Единой регуляторной особенностью обработки специальной категории данных выступает обязательность получения явного согласия субъекта данных, а также обязанность лица, осуществляющего обработку ПДн, учредить должность Data Protection Officer (далее – DPO). Данное должностное лицо несет персональную ответственность за нарушения, связанные с обработкой ПДн, а также обеспечивает предупреждение нарушений в области обработки и защиты ПДн, в том числе, посредством обучения сотрудников и актуализации их знаний при внесении изменений в действующее законодательство. Кроме того, в некоторых свободных зонах, например в ADGM, закреплено требование о разработке и принятии appropriate policy document, посвященного обработке именно специальной категории ПДн по отношению к каждому субъекту данных.
DPO является ключевой контрольной функцией, целью которой является достижение высокого уровня data protection compliance в любой компании. Когда-то его назначение не было обязательным, но с течением времени лиц, обрабатывающих персональные данные, обязали назначать DPO в следующих случаях: 1) если обработка персональных данных может представлять высокий риск для конфиденциальности и неприкосновенности частной жизни их субъекта; 2) если обработка является систематической и проводится с использованием автоматизированных средств; 3) если обрабатывается значительный объём специальной категории данных. На уровне свободных зон необходимость учреждения должности DPO и найма на эту должность возникает помимо перечисленных оснований, если обработкой данных занимается государственный орган (здесь прослеживается преемственность европейскому GDPR) или по прямому поручению уполномоченного надзорного органа.
Наиболее серьёзным вопросом является определение границ оценочных показателей – таких, как высокий риск и значительный объём, при назначении DPO. Одной из обязанностей DPO является систематическое проведение Data Protection Impact Assessment (далее – DPIA), который представляет собой превентивную меру, направленную на выявление и анализ рисков в отношении субъекта данных и его прав и свобод, с точки зрения европейского регулирования, либо в отношении нарушения неприкосновенности частной жизни и конфиденциальности, с точки зрения регулирования ОАЭ. Такое расхождение в понимании предмета нарушения вновь связана с особенностью государственного строения и понимания права в ОАЭ, где первостепенное значение имеет неприкосновенность частной жизни и конфиденциальность, а далее – иные свободы.
Так, в федеральном PDPL не раскрывается понятие «высокий риск», что осложняет работу бизнеса, внося правовую неопределённость. Однако, в законе свободной зоны ADGM данное понятие раскрывается и вводит критерий, качественно отличающий это понятие от понимания европейского законодателя – потенциальный физический, материальный или нематериальный вред для субъекта данных. Ни в одном другом законе физический вред не выделяется, как потенциальный риск для субъекта данных.
На уровне свободной зоны DIFC высокий риск имеет еще более широкое трактование, а именно наличие одного или более критериев при обработке персональных данных: 1) при обработке данных применяются новые технологии или методы, которые создают риск для безопасности и прав субъекта данных (например, если компания хранит персональные данные в блокчейне или использует искусственный интеллект для их обработки, DPIA должны проводиться на систематической основе); 2) обработка связана со значительным объёмом персональных данных (законодательно не установлено, какой объём следует считать значительным, но в регулировании DIFC приведены примеры, когда этот критерий точно применяется к конкретному случаю, например, если в компании работают несколько сотен сотрудников (аналогичное требование предъявляется к компании на аутсорсинге, которой поручается осуществлять обработку персональных данных сотрудников и клиентов принципала). Также следует иметь ввиду, что данный критерий будет обязателен, если компания располагает реквизитами банковских счетов и копиями официальных документов субъектов данных); 3) обработка осуществляется при использовании автоматизированных средств, а результаты такой обработки имеют существенные юридические последствия для субъекта данных; 4) обработка связана с существенным объёмом специальной категории данных.
Представляется логичным и полезным, чтобы федеральный законодатель перенял опыт свободных зон для выработки и имплементации в свое регулирование оценочных критериев по инициированию DPIA. И несмотря на то, что в настоящий момент федеральное законодательство представляется более «либеральным» в этой части, мы рекомендуем руководствоваться консервативным подходом и расширительно толковать федеральное законодательство, учитывать все известные оценочные критерии при разработке политики обработки персональных данных, чтобы избежать нарушений и наложение крупных штрафов, размер которых будет раскрыт далее.
Однако, работа со специальной категорией персональных данных (иногда такие данные еще называют «чувствительными») является наиболее сложной задачей с точки зрения data compliance. Как известно, и европейский, и законодатель ОАЭ относят к данной категории данные, характеризующие этническую принадлежность, религиозные, политические взгляды, биометрические и генетические данные, сексуальную ориентацию и др. Выделение такой категории данных в отдельную связано с тем, что эти данные наиболее тесно связаны с субъектом персональных данных и позволяют с точностью его идентифицировать, соответственно, этому корреспондирует риск вмешательства в частную жизнь и нарушение фундаментальных прав человека.
Единой регуляторной особенностью обработки специальной категории данных выступает обязательность получения явного согласия субъекта данных, а также обязанность лица, осуществляющего обработку ПДн, учредить должность Data Protection Officer (далее – DPO). Данное должностное лицо несет персональную ответственность за нарушения, связанные с обработкой ПДн, а также обеспечивает предупреждение нарушений в области обработки и защиты ПДн, в том числе, посредством обучения сотрудников и актуализации их знаний при внесении изменений в действующее законодательство. Кроме того, в некоторых свободных зонах, например в ADGM, закреплено требование о разработке и принятии appropriate policy document, посвященного обработке именно специальной категории ПДн по отношению к каждому субъекту данных.
DPO является ключевой контрольной функцией, целью которой является достижение высокого уровня data protection compliance в любой компании. Когда-то его назначение не было обязательным, но с течением времени лиц, обрабатывающих персональные данные, обязали назначать DPO в следующих случаях: 1) если обработка персональных данных может представлять высокий риск для конфиденциальности и неприкосновенности частной жизни их субъекта; 2) если обработка является систематической и проводится с использованием автоматизированных средств; 3) если обрабатывается значительный объём специальной категории данных. На уровне свободных зон необходимость учреждения должности DPO и найма на эту должность возникает помимо перечисленных оснований, если обработкой данных занимается государственный орган (здесь прослеживается преемственность европейскому GDPR) или по прямому поручению уполномоченного надзорного органа.
Наиболее серьёзным вопросом является определение границ оценочных показателей – таких, как высокий риск и значительный объём, при назначении DPO. Одной из обязанностей DPO является систематическое проведение Data Protection Impact Assessment (далее – DPIA), который представляет собой превентивную меру, направленную на выявление и анализ рисков в отношении субъекта данных и его прав и свобод, с точки зрения европейского регулирования, либо в отношении нарушения неприкосновенности частной жизни и конфиденциальности, с точки зрения регулирования ОАЭ. Такое расхождение в понимании предмета нарушения вновь связана с особенностью государственного строения и понимания права в ОАЭ, где первостепенное значение имеет неприкосновенность частной жизни и конфиденциальность, а далее – иные свободы.
Так, в федеральном PDPL не раскрывается понятие «высокий риск», что осложняет работу бизнеса, внося правовую неопределённость. Однако, в законе свободной зоны ADGM данное понятие раскрывается и вводит критерий, качественно отличающий это понятие от понимания европейского законодателя – потенциальный физический, материальный или нематериальный вред для субъекта данных. Ни в одном другом законе физический вред не выделяется, как потенциальный риск для субъекта данных.
На уровне свободной зоны DIFC высокий риск имеет еще более широкое трактование, а именно наличие одного или более критериев при обработке персональных данных: 1) при обработке данных применяются новые технологии или методы, которые создают риск для безопасности и прав субъекта данных (например, если компания хранит персональные данные в блокчейне или использует искусственный интеллект для их обработки, DPIA должны проводиться на систематической основе); 2) обработка связана со значительным объёмом персональных данных (законодательно не установлено, какой объём следует считать значительным, но в регулировании DIFC приведены примеры, когда этот критерий точно применяется к конкретному случаю, например, если в компании работают несколько сотен сотрудников (аналогичное требование предъявляется к компании на аутсорсинге, которой поручается осуществлять обработку персональных данных сотрудников и клиентов принципала). Также следует иметь ввиду, что данный критерий будет обязателен, если компания располагает реквизитами банковских счетов и копиями официальных документов субъектов данных); 3) обработка осуществляется при использовании автоматизированных средств, а результаты такой обработки имеют существенные юридические последствия для субъекта данных; 4) обработка связана с существенным объёмом специальной категории данных.
Представляется логичным и полезным, чтобы федеральный законодатель перенял опыт свободных зон для выработки и имплементации в свое регулирование оценочных критериев по инициированию DPIA. И несмотря на то, что в настоящий момент федеральное законодательство представляется более «либеральным» в этой части, мы рекомендуем руководствоваться консервативным подходом и расширительно толковать федеральное законодательство, учитывать все известные оценочные критерии при разработке политики обработки персональных данных, чтобы избежать нарушений и наложение крупных штрафов, размер которых будет раскрыт далее.
4. Специфика трансграничной передачи персональных данных в ОАЭ
Не менее сложным и противоречивым вопросом в области защиты данных является их трансграничная передача иным лицам для последующей обработки и использования. Строгое регулирование данного вопроса, как уже было отмечено ранее, продиктовано природой персональных данных, а именно уязвимостью и тесной сопряженностью с личностью субъекта данных.
Отличительная особенность Объединенных Арабских Эмиратов в этом вопросе также связана с территориальным устройством страны, а именно с понятием экстерриториальности. С точки зрения свободных зон, передача данных на материковую часть ОАЭ является трансграничной передачей данных. Данную особенность крайне важно понимать бизнесу, поскольку несоблюдение правил передачи данных может повлечь за собой реализацию значительных репутационных рисков для компании, а также существенных денежных штрафов.
Другой особенностью подхода местного законодателя к трансграничной передаче данных является неунифицированное понимание законных оснований для передачи данных в другие страны, которые закреплены как на федеральном, так и на уровне свободных зон.
Во-первых, универсальным и самым «прозрачным» основанием для трансграничной передачи данных является «решение об адекватности» (или adequacy decision). Решение об адекватности представляет собой соглашение между юрисдикциями (например, между свободной зоной и государством) о том, что уровень защиты персональных данных, режим обработки, контроля и проверки соответствуют уровню защиты, обеспечиваемому юрисдикцией, передающей данные. Причиной установления такого «международного гаранта» вызвано беспрецедентным делом Data Protection Commissioner v Facebook Ireland and Maximillian Schrems (“Schrems II case”), положившего широкое начало заключению соглашений об «адекватности» между странами. Сейчас передача данных при наличии решения об «адекватности» является самым универсальным способом, но не единственным для обеспечения защиты при трансграничной передаче данных.
Во-вторых, трансграничная передача в отсутствии решения об «адекватности» может быть осуществлена по явному согласию на это субъекта данных.
В-третьих, на основании надлежащих гарантий (appropriate safeguards), по которым контроллеры [передающие и получающие данные] обязуются поддерживать эффективный уровень защиты персональных данных, согласно национальному законодательству каждого. Спецификой данного основания является диспозитивность в вопросе согласования и законного одобрения такого инструмента. Например, в свободной зоне ADGM не все надлежащие гарантии требуют одобрения Комиссара по защите данных, а в DIFC, наоборот, без его одобрения гарантии не будут действительны. Обычно к надлежащим гарантиям относят: binding corporate rules (инструмент, схожий с Internal Code of Conduct, который распространяется на подписантов и чаще всего используется для передачи данных в группе компаний, расположенных в разных точках мира); standard data protection clauses, включенные в контракт (свободные зоны активно делятся утвержденными положениями, которые могут быть взяты за основу конкретного договора).
Важно понимать, что надлежащие гарантии не абсолютны. Иными словами, даже при подписанных заверениях об осведомлённости о специфике контрагента, риск нарушения прав субъектов данных или нарушение процедур передачи данных сохраняется. Чаще всего это может происходить из-за различий уровней развития регулирования защиты персональных данных. Зная и понимая это, европейский и местные законодатели работают над сознанием методологии оценки рисков соблюдения или несоблюдения правовых, технических и организационных норм при передаче данных (due diligence assessment). Однако, свободная зона DIFC разработала Ethical Data Management Risk Index (EDMRI), позволяющий стороне, передающей данные, быстро, эффективно и с полным пониманием и соблюдением нормативных требований, знать, что можно ожидать от контрагента. Данный индекс позволяет произвести оценку не только соответствия нормативным требованиям и рискам юрисдикции контрагента, но и склонности контрагентов к соблюдению нормативных требований в этой юрисдикции. Представляется, что данная методика может быть использована и на федеральном уровне, и на уровне иных свободных зон, но с учётом особенностей каждой юрисдикции.
Трансграничная передача персональных данных является крайне сложной задачей с точки зрения комплаенса и требует глубокой методологической проработки разрабатываемых соглашений, а, главное, уверенности, что при передаче данных не произойдет никакой фатальной ошибки, стоящей компании репутации и крупных негативных финансовых последствий.
Отличительная особенность Объединенных Арабских Эмиратов в этом вопросе также связана с территориальным устройством страны, а именно с понятием экстерриториальности. С точки зрения свободных зон, передача данных на материковую часть ОАЭ является трансграничной передачей данных. Данную особенность крайне важно понимать бизнесу, поскольку несоблюдение правил передачи данных может повлечь за собой реализацию значительных репутационных рисков для компании, а также существенных денежных штрафов.
Другой особенностью подхода местного законодателя к трансграничной передаче данных является неунифицированное понимание законных оснований для передачи данных в другие страны, которые закреплены как на федеральном, так и на уровне свободных зон.
Во-первых, универсальным и самым «прозрачным» основанием для трансграничной передачи данных является «решение об адекватности» (или adequacy decision). Решение об адекватности представляет собой соглашение между юрисдикциями (например, между свободной зоной и государством) о том, что уровень защиты персональных данных, режим обработки, контроля и проверки соответствуют уровню защиты, обеспечиваемому юрисдикцией, передающей данные. Причиной установления такого «международного гаранта» вызвано беспрецедентным делом Data Protection Commissioner v Facebook Ireland and Maximillian Schrems (“Schrems II case”), положившего широкое начало заключению соглашений об «адекватности» между странами. Сейчас передача данных при наличии решения об «адекватности» является самым универсальным способом, но не единственным для обеспечения защиты при трансграничной передаче данных.
Во-вторых, трансграничная передача в отсутствии решения об «адекватности» может быть осуществлена по явному согласию на это субъекта данных.
В-третьих, на основании надлежащих гарантий (appropriate safeguards), по которым контроллеры [передающие и получающие данные] обязуются поддерживать эффективный уровень защиты персональных данных, согласно национальному законодательству каждого. Спецификой данного основания является диспозитивность в вопросе согласования и законного одобрения такого инструмента. Например, в свободной зоне ADGM не все надлежащие гарантии требуют одобрения Комиссара по защите данных, а в DIFC, наоборот, без его одобрения гарантии не будут действительны. Обычно к надлежащим гарантиям относят: binding corporate rules (инструмент, схожий с Internal Code of Conduct, который распространяется на подписантов и чаще всего используется для передачи данных в группе компаний, расположенных в разных точках мира); standard data protection clauses, включенные в контракт (свободные зоны активно делятся утвержденными положениями, которые могут быть взяты за основу конкретного договора).
Важно понимать, что надлежащие гарантии не абсолютны. Иными словами, даже при подписанных заверениях об осведомлённости о специфике контрагента, риск нарушения прав субъектов данных или нарушение процедур передачи данных сохраняется. Чаще всего это может происходить из-за различий уровней развития регулирования защиты персональных данных. Зная и понимая это, европейский и местные законодатели работают над сознанием методологии оценки рисков соблюдения или несоблюдения правовых, технических и организационных норм при передаче данных (due diligence assessment). Однако, свободная зона DIFC разработала Ethical Data Management Risk Index (EDMRI), позволяющий стороне, передающей данные, быстро, эффективно и с полным пониманием и соблюдением нормативных требований, знать, что можно ожидать от контрагента. Данный индекс позволяет произвести оценку не только соответствия нормативным требованиям и рискам юрисдикции контрагента, но и склонности контрагентов к соблюдению нормативных требований в этой юрисдикции. Представляется, что данная методика может быть использована и на федеральном уровне, и на уровне иных свободных зон, но с учётом особенностей каждой юрисдикции.
Трансграничная передача персональных данных является крайне сложной задачей с точки зрения комплаенса и требует глубокой методологической проработки разрабатываемых соглашений, а, главное, уверенности, что при передаче данных не произойдет никакой фатальной ошибки, стоящей компании репутации и крупных негативных финансовых последствий.
5. Ответственность субъектов в рамках защиты персональных данных и финансовые издержки бизнеса
Как известно, европейский GDPR «прославился» многомиллионными оборотными штрафами, введенными в качестве меры ответственности для нарушителей закона. В ОАЭ придерживаются иного подхода и не устанавливают оборотные штрафы за несоблюдение закона о защите данных. Кроме того, на федеральном уровне не конкретизируется ни максимальный или минимальный размер штрафа, ни порядок расчета штрафа. Следует предположить, что законодатель в ОАЭ всё же прибегнет к аналогичной системе штрафов, поскольку оборотные штрафы являются довольно результативной мерой, хотя, судя по нарушениям, допускаемым европейскими компаниями, они до конца не могут решить вопрос нарушения законодательства о защите данных (полагаю, ввиду относительной новизны вопроса, предстоит ожидать всплеск нарушений и, как следствие, стремительное развитие законодательства не только в европейском регионе, но и в ОАЭ).
Свободные зоны, ADGM и DIFC, подошли к регулированию ответственности за нарушения в области защиты данных более конкретно, определив максимальные пределы штрафов: в ADGM – сумма штрафа не должна превышать $28 миллионов; в DIFC – не более $100,000.
Однако, регулирование в свободной зоне DIFC вновь содержит особенность в рамках наложения штрафов, а именно наличие двух видов штрафов – administrative (административные) и general (общие). Административные штрафы имеют свои пределы и связаны с нарушением прав субъектов данных, общие штрафы предусмотрены, когда нарушение является масштабным и существенным, например, когда компания незаконно обрабатывает и распространяет персональные данные, относящиеся к категории специальных. При этом наступление ответственности будет оцениваться не только с точки зрения нанесённого ущерба, но и с точки зрения продолжительности и систематичности нарушения. Кроме того, как было отмечено ранее, в рамках свободной зоны DIFC предусмотрены публичные выговоры, инициированные Комиссионером по защите персональных данных, что может иметь крайне негативные последствия для дальнейшей деятельности компании, например, приводя к снижению цены акций публичной компании, торгующихся на фондовом рынке.
Компаниям, зарегистрированным в свободных зонах, о которых идет речь в настоящей статье, следует помнить, что ведение деятельности на их территории влечет за собой возникновение не только обязательств перед субъектом данных, контрагентом или надзорным органом в области обработки и защиты ПДн, но и материальных обязательств, которые называются data protection fee. Компании, учрежденные в указанных свободных зонах, обязаны подавать заявку в надзорный орган на регистрацию в качестве процессора и на ежегодной основе вносить взнос в размере $300 в свободной зоне ADGM и в размере от $10 до $500 в свободной зоне DIFC. При этом, если компания регистрируется и сразу же подает заявку на обработку персональных данных, без оплаты данных взносов (которые в DIFC увеличиваются до $1,250 в отдельных случаях), регистрация не может быть совершена.
Система штрафов должна быть адаптирована к специфике нарушений, совершаемых контроллерами и процессорами, поэтому представляется правильным подход свободной зоны DIFC и европейский подход, при которых для каждого нарушения предусмотрен конкретный размер штрафа. Ввиду отсутствия прецедентного права в ОАЭ в целом, юристы и бизнес с интересом смотрят на перспективы развития законодательства о защите данных в этом регионе, который является одним из передовых и отвечает большинству глобальных вызовов в бизнесе, экономике и праве.
Свободные зоны, ADGM и DIFC, подошли к регулированию ответственности за нарушения в области защиты данных более конкретно, определив максимальные пределы штрафов: в ADGM – сумма штрафа не должна превышать $28 миллионов; в DIFC – не более $100,000.
Однако, регулирование в свободной зоне DIFC вновь содержит особенность в рамках наложения штрафов, а именно наличие двух видов штрафов – administrative (административные) и general (общие). Административные штрафы имеют свои пределы и связаны с нарушением прав субъектов данных, общие штрафы предусмотрены, когда нарушение является масштабным и существенным, например, когда компания незаконно обрабатывает и распространяет персональные данные, относящиеся к категории специальных. При этом наступление ответственности будет оцениваться не только с точки зрения нанесённого ущерба, но и с точки зрения продолжительности и систематичности нарушения. Кроме того, как было отмечено ранее, в рамках свободной зоны DIFC предусмотрены публичные выговоры, инициированные Комиссионером по защите персональных данных, что может иметь крайне негативные последствия для дальнейшей деятельности компании, например, приводя к снижению цены акций публичной компании, торгующихся на фондовом рынке.
Компаниям, зарегистрированным в свободных зонах, о которых идет речь в настоящей статье, следует помнить, что ведение деятельности на их территории влечет за собой возникновение не только обязательств перед субъектом данных, контрагентом или надзорным органом в области обработки и защиты ПДн, но и материальных обязательств, которые называются data protection fee. Компании, учрежденные в указанных свободных зонах, обязаны подавать заявку в надзорный орган на регистрацию в качестве процессора и на ежегодной основе вносить взнос в размере $300 в свободной зоне ADGM и в размере от $10 до $500 в свободной зоне DIFC. При этом, если компания регистрируется и сразу же подает заявку на обработку персональных данных, без оплаты данных взносов (которые в DIFC увеличиваются до $1,250 в отдельных случаях), регистрация не может быть совершена.
Система штрафов должна быть адаптирована к специфике нарушений, совершаемых контроллерами и процессорами, поэтому представляется правильным подход свободной зоны DIFC и европейский подход, при которых для каждого нарушения предусмотрен конкретный размер штрафа. Ввиду отсутствия прецедентного права в ОАЭ в целом, юристы и бизнес с интересом смотрят на перспективы развития законодательства о защите данных в этом регионе, который является одним из передовых и отвечает большинству глобальных вызовов в бизнесе, экономике и праве.
Заключение
Настоящая статья призвана осветить и обратить внимание бизнеса на особенности регулирования в области обработки и защиты персональных данных. Как было отмечено не раз в статье, юрисдикциям ОАЭ присущи специфические черты, отличающие обработку персональных данных по сравнению с европейским регионом и с иными юрисдикциями. Бизнесу, который развивается в ОАЭ, требуется знать эту специфику и адаптироваться к ней и, главное, постоянно следить за изменениями, поскольку мы, юристы и предприниматели, в 2023 году наблюдаем и участвуем в становлении законодательства о персональных данных в Объединенных Арабских Эмиратах, которое будет и далее совершенствоваться, и преобразовываться в ответ на глобальные вызовы.
