资源
迈出合规之旅的第一步!
FAQs
经常问的问题。
以下是理解隐私的一些关键术语。
- 什么是个人资料?
-
个人数据涵盖与自然人有关的任何数据,或与可以通过链接数据直接或间接识别的自然人有关的任何数据。
它涵盖但不限于:
- 名称
- 出生日期
- 嗓音
- 图片
- 电话号码
- 地址
- 国籍
- 识别号
- 社会安全号码
- 财务信息
- 就业详情
- 教育信息
- 电子标识符
- 电子邮件地址
- 地理位置
- IP 地址
- cookie 标识符
- 射频识别标签
- MAC 地址
- 广告 ID
- 像素标签
- 帐户句柄
- 设备指纹
或自然人的一种或多种身体、生理、经济、文化或社会特征,其中也可能包括敏感的个人数据。
- 什么是敏感的个人数据?
-
敏感数据是特殊类别的个人数据,可以直接或间接地揭示有关自然人的信息,例如:
- 家庭、种族或民族出身
- 政治观点
- 宗教教派
- 哲学信仰
- 犯罪记录
- 工会会员
- 遗传数据和生物特征数据
- 身体或心理健康
- 性生活或性取向
这种个人数据在本质上可能更敏感,因此需要更高级别的保护。
- 谁可以成为数据主体?
-
数据主体是正在处理其数据并且可以以各种方式与您的公司互动的自然人,例如:
- 在线用户
- 贵公司的员工
- 求职者
- 个人客户
- 合法客户的联系方式
- 个别供应商
- 合法供应商的联系方式
- 什么是数据处理?
-
“处理”是指对个人数据或个人数据集执行的任何操作或一组操作,无论是否通过自动方式,例如收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用、披露通过传输、传播或以其他方式提供、对齐或组合、限制、删除或破坏
- 谁可以处理数据?
-
数据处理器 (DP)
DP - 可能是个人、组织、公司、慈善机构等 - 代表 DC - 数据控制者在指示和指示下处理个人数据。这通常与 DC 签订合同
数据控制器 (DC)
DC 确定处理任何个人数据的目的和方式。这可以是个人(例如自雇顾问)或组织或法人或非法人团体(例如,有限公司、慈善机构、PLC)。
以下是您的一些权利或义务。
- 法律适用于谁?
-
该法律适用于位于阿联酋的控制者和处理者对所有个人数据的处理,无论个人数据处理是否涉及阿联酋或国外的数据主体。它涵盖在阿联酋居住或工作的数据主体的个人数据
- 数据主体的权利是什么?
-
- 访问信息的权利
- 数据可移植性的权利
- 更正或删除个人数据的权利(即被遗忘的权利)
- 限制个人数据处理的权利
- 反对个人数据处理的权利(例如出于营销目的)
- 反对由自动处理(包括分析)产生的具有法律后果或严重影响数据主体的决定的权利
如果数据主体有理由相信在处理其个人数据方面存在违法行为,他们可以向数据办公室提出投诉
- 数据处理器的职责是什么?
-
数据处理者可以是代表数据控制者 (DC) 处理数据的个人、组织、公司、慈善机构等。这通常与 DC 签订合同。
数据处理者的职责- 仅按照控制者的指示处理个人数据
- 仅根据控制者与处理者之间签署的任何协议进行处理。
- 必须采取适当的技术和组织措施来保护个人数据并确保处理过程的安全
- 维护代表控制者处理的个人数据的特殊记录
- 确保处理符合指定的目的和指定的处理期限
控制者的职责- 确定处理任何个人数据的法律依据、目的和方式。
- 采取适当的技术和组织措施来保护个人数据
- 管理自动处理以确保其仅限于预期目的
- 维护个人数据的“特殊记录”(并根据要求将其提供给数据办公室
- 确保处理器提供足够的保证
- 实施满足法律要求所需的技术和组织措施。
- 评估使用技术可能对个人数据隐私构成高风险的任何拟议处理操作(创建 DPIA)
- 报告任何损害数据主体隐私、机密性或安全性的违规行为的详细信息
- 个人数据应如何处理?
-
处理的关键原则
- 以公平、透明和合法的方式处理
- 仅出于特定和明确目的收集个人数据
- 仅根据特定目的处理必要的个人数据
- 保持个人资料准确、更正或删除不准确的个人资料
- 保护个人数据安全
- 仅根据特定目的保留个人数据,然后将其删除或匿名化。
处理的法律依据- 仅在数据主体同意的情况下进行处理
- 除非在某些有限的情况下,例如:
- 在必要时进行处理,以执行、缔结、修改或终止与数据主体的合同
- 对于履行义务和行使就业/社会保护权利的控制者或数据主体。
- 资料当事人已公开个人资料
- 保护数据主体的利益
- 处理对于主张合法权利或作为司法或安全程序的一部分是必要的
- 出于某些医疗目的或公共卫生问题需要处理
- 用于档案目的或科学、历史和统计研究
这里有一些关于做什么和不做什么的提示。
- 处理何时可能对数据主体的权利造成高风险?
-
以下列表详细说明了一些处理操作,特别是通过使用新技术,并考虑到处理的性质、范围、背景和目的,这些操作“可能对自然人的权利和自由造成高风险”。
处理操作的类型 描述 应用领域的非详尽示例 大规模剖析 任何大规模的个人分析 - 由智能仪表或物联网应用程序处理的数据
- 提供健身/生活方式监测的硬件/软件
- 社交媒体网络
- 人工智能在现有流程中的应用
生物特征数据 为唯一识别个人而对生物特征数据进行的任何处理。 - 面部识别系统
- 工作场所访问系统/身份验证
- 硬件/应用程序的访问控制/身份验证(包括语音识别/指纹/面部识别)
数据匹配 组合、比较或匹配从多个来源获得的个人数据 - 预防诈骗
- 直销
- 监控个人使用/接受法定服务或福利
- 联合身份保证服务
隐形加工 处理未直接从数据主体获得的个人数据 - 列表经纪
- 直销
- 第三方在线跟踪
- 在线广告
- 数据聚合/数据聚合平台
- 重复使用公开可用的数据
追踪 涉及跟踪个人地理位置或行为的处理,包括但不限于在线环境 - 社交网络、软件应用
- 提供健身/生活方式/健康监测的硬件/软件
- 物联网设备、应用程序和平台
- 在线广告
- 网络和跨设备跟踪
- 数据聚合/数据聚合平台
- 眼动追踪
- 工作场所的数据处理
- 家庭和远程工作环境中的数据处理
- 处理员工的位置数据
- 忠诚度计划
- 追踪服务(远程匹配、远程附加)
- 财富分析 – 识别高净值个人以进行直接营销
控制者应在处理之前对设想的处理操作对个人数据保护的影响进行评估。需要数据保护影响评估 (DPIA)
- 组织下一步应该做什么?
-
尚未制定合规框架
- 创建数据映射和处理活动记录
- 检查数据定期传输到的所有外部国家和司法管辖区。
- 为处理创建同意书和披露
- 同样,可能需要修改员工合同以反映数据保护条款
- 制定违规响应计划
- 制定数据保护影响评估、供应商评估问卷和隐私影响评估文件
- 建立 DSAR(数据主体访问请求)流程
- 就新的数据隐私要求和流程对所有员工进行培训
- 任命一名数据保护官。
已经遵守 GDPR 的组织。
- 为阿联酋指定 DPO
- 根据行业或自由区特定的数据保护法审查处理范围
- 根据阿联酋隐私法建立依赖于合法利益的处理法律依据
- 查看来自阿联酋的数据传输
- 更新处理记录
- 确保组织能够遵守数据泄露报告要求
- 网站上的 cookie 和隐私政策是否足够?
-
错误的
公司网站上的政策是一个良好的开端,但不足以让您的企业遵守阿联酋的隐私法。除了这些政策外,公司还有许多其他文件和程序需要执行:
- 员工和候选人、供应商信息说明
- 内部处理注册表
- 安全漏洞的程序
- 数据传输合同
- 等等
- 不合规的处罚是什么?
-
例如,GDPR 罚款和处罚可以是:
- 对于非常严重的违规行为,最高可达 2000 万欧元(1850 万英镑)或全球总营业额的 4%(以较高者为准)
- 对于严重违规行为,最高可达 1000 万欧元(1850 万英镑)或全球总营业额的 2%(以较高者为准)。