Обзор законов ОАЭ о конфиденциальности данных и использования технологии распознавания лиц

Технология распознавания лиц является одной из быстро развивающихся в Объединенных Арабских Эмиратах, особенно в сфере безопасности, розничной торговли и обслуживания клиентов. С другой стороны, такие технологии поднимают ключевые вопросы о конфиденциальности и законности. В этом блоге мы рассмотрим несколько часто задаваемых вопросов, которые могут возникнуть у компаний при использовании этой технологии, а также краткое изложение действующего законодательства по защите данных в Объединенных Арабских Эмиратах.

Q1. Каковы основные законы и нормативные акты ОАЭ, касающиеся конфиденциальности данных и использования FRT в отношении согласия и хранения данных?Федеральный декрет-закон № 45 от 2021 года о защите персональных данных (PDPL), в основном устанавливает основное законодательство и вступило в силу 2 января 2022 года. Однако Исполнительные регламенты похоже, что они еще не опубликованы, включая некоторые данные, необходимые для соблюдения, и поэтому могут затормозить общий процесс внедрения. PDPL устанавливает общие принципы обработки персональных данных, и в этой связи необходимо соблюдать следующее:• Согласие: Субъект данных при отсутствии каких-либо исключений, которые должны быть специально предусмотрены, всегда должен давать прямое согласие на обработку своих персональных данных, включая информацию, позволяющую распознавать лица. Это освобождение предусмотрено статьей 4.• Хранение: Хранение данных должно быть защищено. Как только будут опубликованы исполнительные положения, будут предоставлены конкретные сведения о хранении.Вопрос 2: Какова позиция закона в отношении защиты биометрических данных и предусмотрено ли решение для локального или облачного хранения? PDPL устанавливает общие критерии безопасного хранения биометрических данных, включая распознавание лиц. Вот некоторые ключевые концепции:• Технические и организационные меры: Контролер должен принять необходимые меры для обеспечения доступности, конфиденциальности и целостности персональных данных в соответствии со статьей 20.• Процедура локального или облачного хранилища: Подробные сведения об облачном хранилище не были изложены в Исполнительном регламенте; в любом случае, независимо от того, используется ли оно — локальное или облачное — оно должно в конечном итоге соответствовать юридическим требованиям безопасности.Вопрос 3: Какие законы и нормативные акты регулируют экспорт биометрических данных за пределы Объединенных Арабских Эмиратов и что нужно сделать, чтобы обеспечить соответствие экспорту любого экспорта?Статья 22 PDPL запрещает любую передачу персональных данных, включая биометрические данные, за пределы Объединенных Арабских Эмиратов, если страна-получатель не предоставит адекватная защита за права субъектов данных. Статья 23 предусматривает исключение из этого общего правила в следующем:• Договорная защита: Соглашение о применении положений PDPL между получающими и отправляющими организациями в отношении информации.• Явное согласие: Субъект данных прямо согласился на передачу.• Договорная необходимость: передача необходима для выполнения договора между контролером и субъектом данных. Исполнительный регламент, выпуск которого ожидается в ближайшее время, внесет дополнительную ясность в отношении трансграничной передачи персональных данных.Вопрос 4: Что считается согласием потребителя и какова наша ответственность за его четкое изложение и информирование потребителя о том, как используются его данные? PDPL устанавливает высокую планку для любой обработки персональных данных, поскольку для ее обработки требуется информированное, недвусмысленное и утвердительное согласие.• Четкое и явное согласие: Процесс получения согласия должен быть понятным, а цель сбора информации должна быть четко определена. В данном случае источником является четкий запрос с четко определенными целями сбора.• Право на отзыв согласия: Согласие должно быть легко отозвано в любой момент процесса.• Исключения из согласия: Согласие не требуется для архивных целей или научных, исторических или статистических исследований при условии соблюдения действующего законодательства. Поставщики информации имеют множество прав, в том числе право на возражение к обработке данных и право на удаление личной информации при отзыве согласия.Вопрос 5: Как мы можем решить большинство юридических проблем, связанных с распознаванием лиц? Каковы потенциальные риски? Технология распознавания лиц сопряжена с несколькими юридическими ошибками; в основном она связана с нарушением конфиденциальности данных и конфиденциальным обращением с биометрическими данными. Предприятиям необходимо решить эту проблему с точки зрения снижения рисков путем:• Оценки воздействия: Оценка влияния на защиту данных необходима в тех случаях, когда автоматизированная обработка данных или обработка конфиденциальных персональных данных, таких как распознавание лиц, контролером или процессором является частью крупномасштабной бизнес-модели. Это включает в себя оценку необходимости и справедливости обработки соответствующих данных, составление перечня рисков, которые могут возникнуть в результате обработки, и предложение способов их устранения (статья 21).• Сотрудник по защите данных: С учетом объема и чувствительности, но не ограничиваясь ими, статья 10 обЯЗЫВАЕТ ОРГАНИЗАЦИЮ НАЗНАЧИТЬ Сотрудник по защите данных (DPO) для обеспечения законности.• Соблюдение законодательства об авторском праве: Уместно также сослаться на Федеральный декрет-закон № 38 от 2021 года «Об авторском праве и смежных правах», который запрещает фотографировать или записывать человека без разрешения субъекта. Таким образом, согласно статье 45, для сбора биометрических данных требуется согласие. В этом блоге представлен четкий и подробный обзор ключевых юридических аспектов технологии распознавания лиц в ОАЭ. Компаниям необходимо подготовиться к грядущим изменениям и адаптировать свои системы к потребностям, которые могут возникнуть в будущем, поскольку Исполнительные регламенты еще не выпущены. Если вам нужны дополнительные рекомендации или у вас есть какие-либо конкретные юридические вопросы, пожалуйста, обращайтесь к нам за консультацией.