В соответствии с Законом об охране персональных данных ОАЭ контролер персональных данных должен уведомить Управление по данным ОАЭ о нарушении персональных данных в течение 72 часов с момента подтвержденной оценки [1].
Что вызывает возникновение обязательства:
- Любое нарушение конфиденциальности, целостности или доступности персональных данных — например, взлом, случайное раскрытие, утерянный ноутбук, неправильно отправленное письмо, программа-вымогатель.
- Отсчет начинается, когда контролер "узнает" о нарушении в разумной степени подтверждения. Время на внутреннее расследование до этого момента допускается, но должно быть задокументировано.
Что должно включать уведомление:
- Характер нарушения: категории данных, приблизительное количество субъектов данных, приблизительный объем записей.
- Вероятные последствия и оценка риска.
- Шаги по смягчению последствий, уже предпринятые или планируемые.
- Контактные данные ответственного за защиту данных для последующих уточнений.
Если нарушение представляет "высокий риск" для прав и свобод субъектов данных, контролер должен также уведомить каждого затронутого субъекта данных без неоправданной задержки, ясным и простым языком, с указанием шагов, которые может предпринять субъект.
Обработчики (поставщики, обрабатывающие данные от имени контролера) должны уведомить контролера без задержки; контролер затем несет ответственность за уведомления регулятора и субъектов данных.
Для реагирования на нарушения обратитесь к лицензированному в ОАЭ юристу по защите данных или консультанту по вопросам защиты данных для координации.
Ссылки: [1] Федеральный указ-закон № 45 от 2021 года, статья 22 (FDL-45-2021 статья 22)
Это общая юридическая информация, не консультация. Для совета по вашему делу обратитесь к лицензированному юристу в ОАЭ.