В этой статье мы рассмотрим какие требования предъявляет европейский Общий регламент по защите данных к компаниям, зарегистрированным в ОАЭ.
Общий регламент по защите данных (GDPR) находился в процессе разработки 7 лет, является преемником Директивы о защите данных 1995 года, был разработан для защиты личной информации физических лиц. Юридический смысл заключается в том, что с 25 мая 2018 года физические лица имеют право потребовать, чтобы компания предоставила, либо удалила персональные данные, которые хранятся у нее, а регуляторы смогут работать вместе по всему ЕС, применяя свои решения о штрафах.
Новый регламент заменяет все действующие законы о защите данных в каждой стране Европейского Союза с целью укрепления и нормализации защиты данных для физических лиц на всей территории ЕС. В нем также рассматривается экспорт персональных данных за пределы ЕС, и именно здесь будут затронуты организации, действующие за пределами ЕС, такие как компании, зарегистрированные в ОАЭ.
Рассмотрим, что нужно знать о GDPR, и какое значение он окажет на бизнес, работающий в ОАЭ.
Общий регламент по защите данных (GDPR) является правовой основой, которая устанавливает инструкции для сбора и обработки личной информации внутри ЕС. В нем излагаются принципы управления данными и права физических лиц, а также определяются штрафы.
GDPR относится ко всем «персональным данным», которые включают в себя имена, адреса, e-mail и другие, также сюда входят и IP-адреса. Для большинства компаний основные базы персональных данных относятся к клиентам, сотрудникам и поставщикам.
Все организации должны были начать соблюдать GDPR к 25 маю 2018 года.
Относится ли GDPR к компаниям, зарегистрированным в ОАЭ?
GDPR относится к компаниям (даже, если компания не работает в ЕС), если:
- у компании есть филиал, дочерняя компания или представительство в ЕС;
- компания предлагает товары или услуги для лиц, находящихся в ЕС;
- компания производит мониторинг поведения в интернете лиц, находящихся в ЕС.
Законодательство GDPR, включающее 99 статей, определяет, как компании должны обрабатывать собираемые ими данные. Нарушения в сфере данных должны быть обнародованы в течение 72 часов после того, как организация обнаружила их. Использование деликатных данных, таких как этническая принадлежность или политические взгляды не могут быть использованы организациями при принятии решения о порядке действий, например, банк не может основывать свое решение об одобрении кредита на основе деликатных данных. Массовая рассылка маркетинговых писем на e-mail людям, которые сознательно не согласились на это, также запрещена.
Любая организация, которая нарушает правила, может получить штраф до 4% от своего глобального годового дохода, либо до 20 миллионов евро, в зависимости от того, что больше.
Физические лица будут иметь более детальный контроль над своими личными данными, включая право на забвение. Компании должны иметь план полного удаления неактивных пользовательских данных из своей системы.
Если у Вас еще нет компании в Эмиратах, то мы поможем зарегистрировать компанию в ОАЭ! Кроме обычных местных компаний, можно зарегистрировать компанию в одной из свободных зон, однако, такие компании не смогут работать в ОАЭ за пределами своих свободных зон. При регистрации компании Вы, члены Вашей семьи и сотрудники Вашей компании смогут получить резидентские визы ОАЭ.
Законы о защите данных в ОАЭ. Что нужно знать при регистрации компании в ОАЭ?
Многие страны Ближнего Востока уже внедрили свои собственные регулирующие положения о защите данных. Например, Катар выпустил Закон о конфиденциальности и защите данных в 2016 году, который в значительной степени ориентирован на GDPR. Однако, регулирующие положения о конфиденциальности и уведомлениях о нарушениях стран Ближнего Востока, в целом, менее строгие и менее подробные чем GDPR.
В настоящее время регулирующие органы ОАЭ, такие как Международный финансовый центр Дубая, Abu Dhabi Global Markets и администрация Dubai Healthcare City имеют свои собственные законы о защите данных, которые ориентированы на устаревшую Директиву ЕС о защите данных 95/46/EC, поэтому потребуется пересмотр этих инструкций.
Что следует учитывать компаниям, зарегистрированным в ОАЭ?
Компания, зарегистрированная в ОАЭ, входящая в компетенцию GDPR, должна анализировать свои решения в отношении:
- демонстрации своей способности управлять и защищать личные данные;
- разработки способов сообщения о нарушениях в течение 72 часов;
- определения того, кто будет играть ведущую роль в защите данных и конфиденциальности, будет ли это исполнительное руководство, правление, главный по информационной безопасности, либо главный по защите данных.
Компании должны стараться:
- устанавливать прозрачные политики конфиденциальности и процедуры;
- пересматривать и обновлять все существующие договора, включающие в себя обработку данных, чтобы обеспечить более строгую защиту данных и условия согласия;
- создавать основу для подотчетности путем мониторинга, обзора и оценки деятельности по обработке данных;
- приобретать страховые полисы чтобы обеспечить компании адекватную защиту на случай нарушений в области обработки данных;
- проводить внутренние тренинги для обеспечения соответствия навыков сотрудников новым требованиям по защите данных;
- решать потребуется ли найм сотрудника, ответственного за защиту данных.
Для бизнеса в ОАЭ будет важно оценить всю деятельность, связанную с обработкой персональных данных. Это должно включать в себя аудит любой деятельности, которая может быть связана с обработкой персональных данных, относящихся к физическим лицам в ЕС, включая информацию, которая косвенно идентифицирует таких лиц (например, IP-адреса или номера клиентов).
При регистрации компании в ОАЭ мы поможем открыть корпоративный банковский счет в ОАЭ, поможем арендовать офис в ОАЭ и поможем с ведением бухгалтерии в ОАЭ!
Читайте больше об ОАЭ!
