Навигация по законам ОАЭ о конфиденциальности данных: технология распознавания лиц и сравнение с GDPR ЕС

Тим Эллиотт (Tim Elliott)
Добро пожаловать в Lawgical, первый регулярный подкаст, посвящённый последним юридическим новостям в Объединённых Арабских Эмиратах. Я — Тим Эллиотт (Tim Elliott), и, как всегда, со мной — Людмила Ямалова (Ludmila Yamalova), управляющий партнёр дубайской юридической фирмы «Юмалова и Плевка (Yamalova & Plewka)». Всегда рад с вами поговорить, Людмила.

Людмила Ямалова (Ludmila Yamalova)
Мне тоже очень приятно разговаривать с вами, Тим, как всегда.

Тим Эллиотт (Tim Elliott)
Мне придётся постараться не отставать и разобраться во всех аббревиатурах и терминах, но законы ОАЭ о защите данных и использование технологии распознавания лиц — тема, о которой мы часто слышим, но о которой многие задумываются не слишком глубоко.

Людмила Ямалова (Ludmila Yamalova)
Действительно. Это очень важная тема, особенно с ростом использования биометрических технологий, в частности распознавания лиц, в ОАЭ. Мы наблюдаем параллели и отличия между подходом ОАЭ и тем, что закреплено в Общем регламенте по защите данных ЕС, обычно называемом GDPR.

Тим Эллиотт (Tim Elliott)
Хорошо, давайте разберёмся. Какие ключевые законы ОАЭ регулируют использование технологии распознавания лиц и как они сопоставимы с GDPR ЕС?

Людмила Ямалова (Ludmila Yamalova)
Основные нормативы в ОАЭ: федеральный указ-закон № 45 от 2021 года, также известный как Закон о защите персональных данных, или PDPL. Немного громоздко! Этот закон вступил в силу 2 января 2022 года, но его исполнительные положения пока отсутствуют, что задерживает полное применение этого закона.

Этот Закон о защите персональных данных закрепляет общие принципы сбора и обработки биометрических данных, таких как распознавание лиц. Во многих аспектах в своей текущей форме он схож с GDPR ЕС, который также придаёт большое значение защите персональных данных, включая биометрию.

Одно из ключевых сходств между PDPL — версией ОАЭ — и GDPR заключается в требовании явного согласия перед обработкой персональных данных. Иными словами, для сбора и обработки данных распознавания лиц должно быть получено явное согласие. Оба закона предписывают информирование лиц о том, как будут использоваться их данные, и получение чёткого и однозначного согласия.

Тим Эллиотт (Tim Elliott)
Бизнес в ОАЭ и в ЕС должен получать явное согласие на использование данных распознавания лиц. Но есть ли существенные различия между законом ОАЭ и GDPR в этом отношении?

Людмила Ямалова (Ludmila Yamalova)
Да. Хотя и PDPL, и GDPR подчёркивают необходимость явного согласия, GDPR предлагает более подробные руководящие принципы по условиям согласия, особенно для специальных категий персональных данных, таких как биометрические данные.

Под GDPR определение «свободно данное» согласие особенно строго. Должно быть ясное отличие между согласием и прочими условиями пользования. В ОАЭ также требуется, чтобы согласие было ясным и недвусмысленным, однако мы всё ещё ждём исполнительных положений, которые прояснят детали — например, что именно понимается под «свободно данным» согласием на практике.

Тим Эллиотт (Tim Elliott)
Понятно. Следующий вопрос — есть ли в ОАЭ конкретные требования к хранению биометрических данных? Как это сравнить с GDPR в ЕС?

Людмила Ямалова (Ludmila Yamalova)
Оба закона требуют надёжного хранения персональных данных. Но в Европе GDPR, например, даёт более конкретные рекомендации по техническим и организационным мерам — таким как шифрование и псевдонимизация.

В ОАЭ PDPL отражает некоторые из этих общих принципов, подчёркивая важность безопасности и конфиденциальности данных. Однако детальные требования мы ожидаем увидеть в будущих исполнительных положениях.

В целом базовые принципы схожи, но конкретные механизмы в ОАЭ ещё предстоит увидеть. GDPR на данный момент идёт дальше — например, концепция минимизации данных обеспечивает, что собирается и хранится только минимальный объём персональных данных, необходимый для заявленной цели.

Хотя PDPL содержит схожие принципы, европейская версия закона имеет гораздо более детализированные руководства по исполнению и описывает строгость наказаний за нарушения. В ОАЭ общие принципы уже закреплены, а вопросы правоприменения и санкций ожидают прояснения в исполнительных положениях.

Тим Эллиотт (Tim Elliott)
Что происходит, если компании нужно передать данные распознавания лиц за пределы ОАЭ? Правила схожи с теми, что действуют в ЕС?

Людмила Ямалова (Ludmila Yamalova)
Да, они во многом схожи. Под GDPR персональные данные можно передавать за пределы ЕС только в том случае, если страна назначения обеспечивает адекватный уровень защиты — то есть соответствует повышенным требованиям.

Аналогично, согласно статье 22 PDPL ОАЭ, запрещается передача персональных данных за пределы ОАЭ, если страна назначения не обладает законами о защите данных, гарантирующими адекватную защиту. Поэтому важно не только текст закона, но и практика его применения.

Для того чтобы ОАЭ допустили такую передачу, должно быть уверенность, что данные будут надлежащим образом защищены и нарушения будут преследоваться так же эффективно, как и в ОАЭ. GDPR также допускает механизмы вроде стандартных договорных положений и обязательных корпоративных правил для обеспечения законности таких передач.

Закон ОАЭ упоминает договорные механизмы в статье 23, но у нас пока нет деталей о том, как именно будут выглядеть такие соглашения. Эти моменты также ожидают разъяснений в исполнительных положениях.

Тим Эллиотт (Tim Elliott)
Что считается действительным согласием клиента согласно закону ОАЭ по сравнению с ЕС?

Людмила Ямалова (Ludmila Yamalova)
Отличный вопрос — именно им заинтересовались некоторые наши клиенты, и это вдохновило на выпуск этого эпизода.

В общих чертах и закон ОАЭ, и европейское законодательство требуют, чтобы согласие было свободно дано, конкретно, информированно и недвусмысленно. По GDPR согласие должно быть явно выраженным — например, предварительно отмеченные галочки недействительны.

Аналогично, в ОАЭ закон требует чёткого согласия, которое может быть отозвано в любой момент. Мы ожидаем, что исполнительные положения дадут более подробные указания о том, как бизнесу следует получать и управлять согласием.

Обе правовые системы также наделяют физических лиц правом легко отозвать согласие. Например, отписка от новостных рассылок или маркетинговых писем теперь должна быть доступна и эффективна. GDPR и PDPL требуют от компаний уважать такие запросы.

Тим Эллиотт (Tim Elliott)
Похоже, оба закона дают людям контроль над их данными. Это хорошая новость. А как насчёт юридических рисков — есть ли различия в управлении рисками в рамках этих двух систем?

Людмила Ямалова (Ludmila Yamalova)
Разумеется. Управление юридическими рисками критично в обеих системах. Оба закона требуют проведения оценки воздействия на защиту данных (DPIA) при высокорисковой обработке, такой как технологии распознавания лиц.

GDPR даёт более детальные критерии для того, когда необходима DPIA, и в Европе активные регуляторы следят за соблюдением требований. В ОАЭ, согласно статье 21 PDPL, компании также обязаны оценивать риски при обработке чувствительных данных и внедрять меры по их снижению.

Хотя PDPL во многом следует за GDPR, механизмы правоприменения в Европе — включая значительные штрафы за несоблюдение — более развиты. В ОАЭ мы ожидаем большей ясности по мерам правоприменения после публикации исполнительных положений.

Тим Эллиотт (Tim Elliott)
Как компаниям, использующим распознавание лиц в ОАЭ — и в ЕС — лучше всего снизить эти риски?

Людмила Ямалова (Ludmila Yamalova)
Компании в обеих юрисдикциях должны начать с проведения оценки воздействия на защиту данных, чтобы выявить и смягчить риски, особенно при обработке биометрических данных.

Назначение ответственного по защите данных (DPO) критично для компаний, обрабатывающих большие объёмы чувствительных персональных данных. Это требование действует в обеих системах.

Кроме того, необходимо обучать персонал, документировать усилия по соблюдению требований и внедрять надёжные меры безопасности, такие как шифрование. Документирование — ключевой момент: фиксируйте всё, чтобы при необходимости доказать соблюдение требований.

Наконец, следите за изменениями в законодательстве, особенно в ОАЭ, где ожидается, что исполнительные положения дадут дополнительные разъяснения по обязанностям по защите данных.

Тим Эллиотт (Tim Elliott)
Есть ли ещё какие-либо юридические соображения, которые компаниям следует учитывать?

Людмила Ямалова (Ludmila Yamalova)
Да. Помимо PDPL, компаниям в ОАЭ следует учитывать и другие законы, например, федеральный указ-закон № 38 от 2021 года об авторском праве и смежных правах, или закон об авторском праве ОАЭ.

Этот закон запрещает фотографирование или запись лиц без их явного согласия. Он особенно актуален для компаний, использующих распознавание лиц или предоставляющих технологии, захватывающие изображение лица.

Помимо законов о защите данных, компании должны учитывать нормы об авторском праве, чтобы не нарушать права лиц на их изображения или персональные данные.

Правовая система ОАЭ во многом согласуется с принципами GDPR. Однако в ЕС механизмы правоприменения более развиты, а в ОАЭ подход ещё дорабатывается и уточняется.

Тим Эллиотт (Tim Elliott)
Итак, если кто-то уже ведёт или планирует запустить бизнес с использованием технологии распознавания лиц в ОАЭ или ЕС, какова основная рекомендация?

Людмила Ямалова (Ludmila Yamalova)
Главный вывод — бдительность. Компаниям необходимо быть в курсе своих правовых обязанностей и внимательно следить за предстоящими нормативными изменениями в ОАЭ.

PDPL даёт прочную основу для защиты персональных данных в ОАЭ. Однако поскольку эта область ещё развивается, компаниям следует активно изучать правовую среду и внедрять меры соответствия.

Например, у нас были клиенты, желающие начать технологический бизнес в ОАЭ, в том числе с использованием распознавания лиц. Им важно знать, какие нормы применимы и какие лицензии требуются.

В ОАЭ нельзя просто открыть компанию и начать деятельность без соответствующей лицензии, покрывающей конкретную деятельность. В этой сфере регулирование особенно строго, когда речь идёт о сборе чувствительных данных, таких как данные распознавания лиц.

Тим Эллиотт (Tim Elliott)
Это добавляет ещё один уровень сложности для ведения бизнеса в ОАЭ, не так ли?

Людмила Ямалова (Ludmila Yamalova)
Совершенно верно. В ОАЭ компании должны иметь специализированную лицензию для конкретной деятельности, которую они планируют осуществлять. Например, если вы хотите работать в сфере распознавания лиц, важно подобрать экономическую зону, где такая деятельность лицензируется.

Для многих иностранных компаний это новая концепция — нельзя просто открыть офис и начать работать. Нужно убедиться, что ваша деятельность покрыта лицензией, и понять ограничения работы в данной области.

Процедуры лицензирования и правовые обязательства строже для компаний, обрабатывающих особенно чувствительные данные, такие как распознавание лиц.

Тим Эллиотт (Tim Elliott)
На этом у нас завершается ещё один эпизод Lawgical. Мы обсудили законы ОАЭ о защите данных, использование технологии распознавания лиц и подробно сравнили PDPL ОАЭ с GDPR ЕС. Спасибо, как всегда, нашей эксперту — управляющему партнёру «Юмалова и Плевка (Yamalova & Plewka)», Людмиле Ямаловой (Ludmila Yamalova).

Людмила Ямалова (Ludmila Yamalova)
Спасибо, Тим. Было приятно побеседовать, как всегда.

Тим Эллиотт (Tim Elliott)
Ищите нас в Instagram, Facebook, LinkedIn, TikTok, YouTube и везде, где вы слушаете подкасты. Для юридических материалов по ОАЭ и сотен эпизодов подкаста посетите lylawyers.com. Если у вас есть юридический вопрос, вы можете связаться с опытным юридическим специалистом по ОАЭ или предложить тему для будущего эпизода Lawgical.