Na początku bieżącego roku weszła w życie nowa ustawa o ochronie danych osobowych w Zjednoczonych Emiratach Arabskich (ZEA) (Federal Decree Law No. 45/2021 on the Protection of Personal Data). Jest to nowe – federalne – prawo, które obowiązywać ma na całym obszarze ZEA. Wskazuje się, że ma ono zapewnić większą harmonizację z podobnymi przepisami już funkcjonującymi w tym regionie. W założeniu, przepisy mają zwiększyć ochronę prywatności osób, których dane dotyczą i wdrożyć mechanizmy zbliżone do tych znanych z RODO. W praktyce jednak zauważa się, że uchwalenie nowych – federalnych – przepisów otworzyć ma ZEA drogę do uzyskania ze strony UE decyzji stwierdzającej odpowiedni poziom ochrony danych, co ułatwi transfer danych osobowych do i z UE. Przepisy wykonawcze do nowej ustawy mają pojawić się jeszcze w tym miesiącu.
Rozszerzona ochrona
Nowa ustawa o ochronie danych osobowych wprowadza wiele rozwiązań, które – w ocenie jego twórców – mają zapewnić większą przejrzystość w zakresie kontroli procesów przetwarzania danych osobowych w ZEA. Rozwiązania te w wielu miejscach bardzo przypominają instytucje prawne, które znane nam są z RODO. Już sama definicja danych osobowych jest bardzo zbliżona.
Nowe prawo wprowadza zasady dotyczące przetwarzania danych osobowych, w tym m.in. zasadę legalności, przejrzystości, celowości i rzetelności, z czym wiąże się wiele dalszych obowiązków, które muszą spełnić administratorzy. Przepisy nakazują im m.in. wdrożenie odpowiednich środków bezpieczeństwa w celu ochrony przetwarzanych danych osobowych przed ewentualnymi naruszeniami. Zobowiązują ich również do ograniczenia przetwarzania danych osobowych w przypadku, gdy ustał cel dla takiego działania, jak również do realizacji praw osób, których dane dotyczą, tj. np. prawa dostępu do danych osobowych czy też ich aktualizacji.
Monitoring pracowników
Warto zauważyć, że przepisy nowej ustawy ZEA o ochronie danych osobowych zawierają również dość nietypowe rozwiązania, przynajmniej z naszego punktu widzenia. Przykładowo, ustawodawca uregulował w niej kwestię monitoringu pracowników. Odmiennie niż w polskim systemie prawnym, przepisy z ZEA uzależniają możliwość wdrożenia monitoringu pracowników od uzyskania od nich zgody. Administrator jest uprawniony do przetwarzania ich danych osobowych w tym celu, niemniej jedynie do czasu ewentualnego wycofania zgody. W praktyce rozwiązanie to może rodzić duże wątpliwości i potencjalne ryzyka. Zauważa się bowiem, że nieuczciwi pracownicy mogą wykorzystywać przepisy o ochronie danych osobowych m.in. w celu uniknięcia ewentualnej odpowiedzialności za swoje przewinienia pracownicze.
Nowy organ nadzorczy
Przepisy nowej ustawy ZEA o ochronie danych osobowych powołują do życia nowy organ właściwy do spraw ochrony danych osobowych (Emirates Data Office; EDO). Organ ten będzie odpowiedzialny m.in. za badanie naruszeń ochrony danych osobowych, jak również za zaprojektowanie i wdrożenie odpowiednich mechanizmów przyjmowania skarg na administratorów. Zgodnie z przepisami, EDO jest również uprawniony do inicjowania zmian w przepisach z zakresu ochrony danych osobowych.
Nowe prawo przewiduje również instytucję zbliżoną do – znanego z RODO – zgłaszania naruszeń ochrony danych osobowych. Co do zasady, administrator jest zobowiązany do powiadomienia EDO o potencjalnym lub faktycznym naruszeniu ochrony danych. Jeżeli konkretne naruszenie może spowodować zagrożenie dla osoby, której dane dotyczą – musi on powiadomić również tę osobę.
Źródło: