Публикация

Защита персональных данных (PDPL) в ОАЭ: обязательна ли она для бизнеса

ОАЭ формируют зрелую правовую систему, ориентированную на международные стандарты. В 2022 году вступил в силу Федеральный закон № 45/2021 о защите персональных данных (Personal Data Protection Law — PDPL), регулирующий порядок обработки информации о физических лицах. Для многих компаний это стало ключевым фактором при выстраивании комплаенса и работе с банками и инвесторами.

Мы в Antwort Law ежедневно сопровождаем бизнесы в Эмиратах и подготовили для вас эту статью, чтобы разъяснить, кому PDPL обязателен и как правильно документировать отсутствие обработки персональных данных, если это ваш случай.

Итак, PDPL обязателен для всех компаний, зарегистрированных в ОАЭ (mainland и free zone), а также иностранных операторов данных, если они работают с информацией о физических лицах, находящихся в ОАЭ. Они обязаны:

регистрировать процессы обработки данных,
назначать ответственного за защиту данных (DPO) при значительных объёмах обработки,
разработать политику конфиденциальности,
уведомлять о нарушениях безопасности данных.

Однако PDPL не накладывает на компанию значимых обязанностей, если одновременно выполняются все следующие условия:

у компании нет сотрудников и клиентов;
не осуществляется сбор или обработка персональных данных физических лиц;
деятельность ведётся исключительно для собственных нужд (например, приватная торговля криптовалютой без привлечения третьих лиц).

При этом даже в этом случае, чтобы при проверках формально подтвердить свою позицию и исключить возможные претензии со стороны регуляторов, UAE Data Office рекомендует оформить:

письменное подтверждение отсутствия обработки данных;
внутреннюю политику «нулевой обработки данных»

Помимо требований регуляторов, соблюдение PDPL напрямую влияет на бизнес:

Аудит: готовые PDPL-документы помогают пройти проверку без замечаний.
Банки: политика конфиденциальности ускоряет комплаенс и снижает риск отказа в счёте.
Инвесторы: прозрачные процессы по данным повышают доверие и упрощают привлечение финансирования.

Если ваша компания обязана соблюдать PDPL, алгоритм действий предельно ясен:

Инвентаризация данных - описание всех источников данных (сотрудники, клиенты, подрядчики);
Регистрация процессов обработки через UAE Data Office (включая назначение ответственного лица, если это требуется);
Разработка политики защиты данных (Data Privacy Policy, Data Flow Map);
Подготовка к аудитам и банковским проверкам — многие банки запрашивают подтверждение соответствия PDPL при открытии счёта.

Компании в ОАЭ должны выстроить понятную систему работы с персональными данными, чтобы соответствовать требованиям PDPL и быть готовыми к проверкам. Для этого необходимо:

Вести реестр обработки данных (Data Inventory): фиксировать, какие данные собираются, для каких целей, где хранятся и кто имеет доступ.
Определять порядок хранения и уничтожения данных: прописывать сроки хранения, методы удаления и ответственных лиц.
Обновлять политику защиты данных при изменениях в бизнес-модели (например, найм сотрудников или запуск клиентских сервисов).
Документировать трансграничную передачу данных: указывать основания передачи и подтверждать безопасность обработки за пределами ОАЭ.

Сроки хранения персональных данных определяются внутренними документами компании и должны соответствовать принципу PDPL: данные нельзя хранить дольше, чем это обосновано целями их обработки.

Многие компании пытаются выстроить PDPL-процессы самостоятельно, полагаясь на общие рекомендации из открытых источников, но на практике именно здесь чаще всего допускаются ошибки: не оформляется реестр данных, не учитываются требования UAE Data Office, отсутствует внутренняя политика. В результате при аудите или банковской проверке такие пробелы становятся реальной проблемой.

Как мы помогаем в Antwort Law:

анализируем, подпадает ли бизнес под PDPL;
готовим документы для регистрации обработки данных в UAE Data Office;
разрабатываем внутренние политики и комплаенс-процедуры;
консультируем по вопросам взаимодействия с банками и аудиторами.

Работая из нашего офиса в Дубае, мы видим, что даже компании без клиентов и персонала выигрывают от того, что формально фиксируют свою позицию по PDPL. Это снимает вопросы регуляторов и ускоряет проверки. Вместо того чтобы рисковать и разбираться в нюансах закона самостоятельно, доверьте этот процесс профессионалам. В Antwort Law мы не только готовим документы, но и создаём для вашего бизнеса реальную защиту.

Лидия Иванова

Международный юрист
Antwort Law

Актуальные услуги

Подготовка политик Юридическое консультирование

FAQ

Обязательно ли соблюдать PDPL всем компаниям в ОАЭ?

Да. Закон распространяется на все компании в mainland и free zone, а также на иностранные компании, если они обрабатывают данные физических лиц, находящихся в ОАЭ. Исключение — компании без сотрудников, клиентов и обработки персональных данных, но даже им рекомендуется оформить «нулевую» политику.

Что даёт компании соблюдение PDPL на практике?

Правильно оформленные PDPL-документы помогают без проблем проходить аудиты, ускоряют процесс открытия счетов в банках и повышают доверие инвесторов, что напрямую влияет на развитие бизнеса в Эмиратах.