Законы ОАЭ о конфиденциальности данных и технология распознавания лиц: сравнительный подход с GDPR ЕС

С ростом числа технологий распознавания лиц в ОАЭ организациям — или, по крайней мере, — следует все чаще применять довольно строгие законы о конфиденциальности данных. В этом разделе вопросов и ответов рассматриваются некоторые ключевые вопросы, связанные с использованием технологий распознавания лиц, а именно согласие, передача данных и снижение рисков, в соответствии с Закон ОАЭ о защите персональных данных (PDPL) против Общий регламент ЕС по защите данных (GDPR).

‍Вопрос 1: В ОАЭ принят закон о защите данных, регулирующий технологии распознавания лиц. Чем это отличается от Общего регламента ЕС по защите данных?

The Федеральный декрет-закон № 45 от 2021 года, которое в кратчайшие сроки именуется здесь PDPL и на сегодняшний день вступил в силу закон, регулирующий обработку персональных данных в ОАЭ, включая, помимо прочего, биометрические данные, такие как распознавание лиц. Такое согласие на обработку биометрических данных физического лица должно быть получено в явном виде, прежде чем их можно будет собрать или иным образом обработать в соответствии с PDPL, хотя крайне необходимые рекомендации предоставлены Исполнительные регламенты до сих пор не опубликована. В отличие от этого, GPR в Европейском Союзе требуется прямое согласие и даже содержатся существенные положения об обработке данные в специальной категории, например биометрические данные. Хотя основополагающие принципы схожи, похоже, что в GDPR лучше четко определить способ получения согласия, не говоря уже о том, что такое согласие в первую очередь.

Вопрос 2: Является ли явное согласие, предоставленное PDPL ОАЭ и GDPR ЕС, согласием на использование данных распознавания лиц?

Согласие обеих сторон PDPL а также GPR перед обработкой любой личной информации следует дать ясный, информированный и утвердительный ответ. Это просто означает, что субъекты ОАЭ должны знать, какие данные, касающиеся распознавания лиц, будут предоставлены, и одобрить их добровольно. Тем не менее, GPR подробно остановился на том, что представляет собой»добровольно предоставленное согласие«в строгих выражениях, с тем чтобы согласие не сочеталось с другими типами условий предоставления услуг. Оба закона также предоставляют физическим лицам право отозвать согласие в любое время, и предприятия должны выполнить этот запрос.

Вопрос 3: Согласно PDPL и GDPR, бизнес должен хранить биометрические данные таким образом, чтобы это считалось безопасным?

Таким образом, защита в рамках соответствующих юрисдикций PDPL а также GPR подчеркивает важность его безопасного хранения. В то же время защита персональных данных требует принятия мер технические и организационные меры как PDPL, так и GDPR, включая шифрование данных с тем чтобы защитить его от взлома, и псевдонимизация в случае компрометации данных с целью сведения к минимуму возможности идентификации информации. В соответствии с GPR, было проведено четкое перечисление минимизация данных чтобы обеспечить сбор и хранение данных не более минимального объема. PDPL эти принципы тоже скопировал, но в ближайшее время ожидается дальнейшее объяснение Исполнительные регламенты в отношении решения для локального/облачного хранилища.

Вопрос 4: Как осуществляется трансграничная передача данных распознавания лиц в ОАЭ и ЕС?

Под обоими PDPL и GPR, трансграничная передача данных строго регулируется. Согласно статье 22 PDPL, передача персональных данных и, следовательно, данных распознавания лиц за пределы ОАЭ запрещена, за исключением случаев, когда страна, в которую должна быть осуществлена передача, обеспечивает достаточный уровень защиты. Тем не менее, GPR также запрещает переводы в третьи страны, которые не обеспечивают надлежащей защиты, хотя и предусматривает механизмы переводов в форме Стандартные договорные положения (SCC) а также Обязательные корпоративные правила (BCR). Точно так же PDPL предусматривает переводы на основе договорные соглашения, но подробная информация по этому вопросу будет приведена в Исполнительные регламенты.

Вопрос 5: Что такое действительное согласие в соответствии с PDPL ОАЭ и каково положение в соответствии с GDPR?

Обе PDPL и GPR предъявляют следующие требования для получения действительного согласия:

Предоставлено бесплатно, конкретное, информированное и недвусмысленное.
Легко отзывается: В любое время должна быть предоставлена возможность отозвать согласие.

Явное согласие под GPR имеет очень четкие ограничения, в частности исключает возможность предварительно отмеченных галочек или подразумеваемого согласия. PDPL придерживается в целом аналогичного подхода, но все еще ожидает более подробного объяснения того, как компаниям следует обеспечить их получение действительное согласие.

Вопрос 6: Каковы юридические риски, связанные с использованием технологии распознавания лиц, и как компании в ОАЭ и ЕС могут снизить такие риски?

Утечка данных и несоблюдение закона представляют собой самые серьезные правовые риски как в ОАЭ, так и в ЕС. Чтобы преодолеть такие риски, компаниям необходимо:

Обработка должна быть подвергнута Оценка воздействия на защиту данных (DPIA). Это довольно выразительно со стороны обоих PDPL а также GPR что такая обработка должна быть подвергнута DPIA, считая ее высокорискованной деятельностью, аналогичной использованию технологии распознавания лиц.
В тех случаях, когда обрабатываются большие объемы конфиденциальной личной информации, компании следует назначить Сотрудник по защите данных (DPO) - еще одно аналогичное основополагающее требование в соответствии с PDPL а также GPR.
Такие меры повлекут за собой необходимость принятия надежных мер технический и организационный контроль, включая шифрование данных и периодические проверки соответствия требованиям.

Вопрос 7: Какие еще юридические соображения следует учитывать компаниям при использовании FRT в ОАЭ?

В дополнение к PDPL, важно отметить, что Федеральный декрет-закон № 38 от 2021 года «Об авторском праве и смежных правах» предусматривает, что съемка или фотографирование человека без его свободного согласия запрещены. Это еще один аспект, гарантирующий, что изображение человека не будет снято или распространено без разрешения. Это в значительной степени соответствует Идеология GDPR — оно защищает права на неприкосновенность частной жизни, основанные на разрешениях, а также контроль над фотографией/изображением.

Заключение:

С другой стороны, в то время как ОАЭ PDPL и ЕС GPR действительно обеспечивают надежную основу для защиты от биометрических данных и идентификации лиц, ожидается выпуск Исполнительные регламенты в ОАЭ. На практике компании будут заинтересованы в механизмах эффективной защиты данных, обеспечивающих соблюдение нормативных требований.

Законы ОАЭ о конфиденциальности данных и технология распознавания лиц: сравнительный подход с GDPR ЕС

Другие статьи

Гражданский брак в Абу-Даби

Законы об алкоголе в ОАЭ: потребление, лицензирование и правовые реалии

Тяжелые последствия вождения в нетрезвом виде в ОАЭ

Дорожная карта DIFC по наследству: новая эра наследования в ОАЭ

Криптомошенничество в ОАЭ: что нужно знать и как защитить себя

Отпуск по болезни в ОАЭ: руководство для работодателей и сотрудников

Объяснение политики посещаемости и оценки Министерства образования ОАЭ

Полное руководство по правилам взыскания долгов в ОАЭ

Защита прав потребителей в банковском секторе ОАЭ: права, средства правовой защиты и льготы

Создание криптобизнеса в ОАЭ: что вам нужно знать

Преимущества «золотой визы» ОАЭ

Закон о подрядчиках Дубая: регулирование ранее нерегулируемого сектора

Закон Дубая о медиации 2025 года: объяснение ключевых поправок

Что нужно знать о частном кредитовании под проценты в ОАЭ

Понимание новых лицензий SPV и холдинговых компаний в DMCC

Изменения в оффшорных правилах JAFZA

Закон о дебиторской задолженности в ОАЭ

Скрытые опасности покупки резидентских виз в ОАЭ

Законы о дронах в ОАЭ

Прекращение трудовых отношений во время беременности в ОАЭ