हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंयूएई डेटा संरक्षण कानून: व्यवसाय अनुपालन गाइड
संयुक्त अरब अमीरात ने मध्य पूर्व में सबसे परिष्कृत डेटा सुरक्षा ढांचे में से एक विकसित किया है, जिसमें संघीय, मुक्त क्षेत्र और सेक्टर-विशिष्ट न्यायालयों में डेटा सुरक्षा को नियंत्रित करने वाले कई ओवरलैपिंग कानून हैं। यह समझना कि आपके व्यवसाय पर कौन सा कानून लागू होता है - और सभी लागू व्यवस्थाओं का अनुपालन सुनिश्चित करना - यूएई की तेजी से बढ़ती डिजिटल अर्थव्यवस्था में कानूनी रूप से संचालन के लिए आवश्यक है।
यूएई के प्राथमिक डेटा संरक्षण कानून में शामिल हैं: सितंबर 2021 से प्रभावी व्यक्तिगत डेटा (पीडीपीएल) के संरक्षण पर संघीय डिक्री-कानून संख्या 45/2021, डीआईएफसी डेटा संरक्षण कानून 2020 (दुबई इंटरनेशनल फाइनेंशियल सेंटर में व्यवसायों के लिए), एडीजीएम डेटा संरक्षण विनियम 2021 (अबू धाबी ग्लोबल मार्केट में व्यवसायों के लिए), और स्वास्थ्य सेवा, दूरसंचार और वित्तीय सेवाओं को कवर करने वाले सेक्टर-विशिष्ट नियम।
मुख्य बातें
- यूएई पीडीपीएल (संघीय डिक्री-कानून संख्या 45/2021) यूएई में बाह्य-क्षेत्रीय दायरे के साथ व्यक्तिगत डेटा प्रोसेसिंग पर लागू होता है
- डीआईएफसी और एडीजीएम मुक्त क्षेत्रों के पास जीडीपीआर पर आधारित अपने स्वयं के स्वतंत्र डेटा संरक्षण कानून हैं
- यूएई पीडीपीएल प्रसंस्करण के लिए आठ कानूनी आधार प्रदान करता है; सहमति और वैध हितों का सबसे अधिक उपयोग किया जाता है
- डेटा विषय अधिकारों में पहुंच, सुधार, विलोपन, पोर्टेबिलिटी, सहमति वापस लेना और आपत्ति शामिल है
- सीमा पार डेटा स्थानांतरण के लिए या तो पर्याप्तता निर्धारण या उचित सुरक्षा उपायों की आवश्यकता होती है
- यूएई डेटा ऑफिस (यूएईडीओ) संघीय पर्यवेक्षी प्राधिकरण है; डीआईएफसी आयुक्त और एडीजीएम नियामक प्राधिकरण अपने संबंधित मुक्त क्षेत्रों की देखरेख करते हैं
- पीडीपीएल के तहत जुर्माने में एईडी 20 मिलियन ($5.4 मिलियन यूएसडी) तक का जुर्माना और कुछ उल्लंघनों के लिए कारावास शामिल है।
- हेल्थकेयर डेटा, वित्तीय डेटा और बायोमेट्रिक डेटा को संवेदनशील डेटा के रूप में बढ़ी हुई सुरक्षा प्राप्त होती है
यूएई डेटा सुरक्षा ढांचा: ओवरलैपिंग क्षेत्राधिकार
संघीय पीडीपीएल (यूएई मुख्यभूमि)
व्यक्तिगत डेटा संरक्षण पर संघीय डिक्री-कानून संख्या 45/2021 (आमतौर पर पीडीपीएल या यूएई डीपीएल कहा जाता है) इस पर लागू होता है:
- संयुक्त अरब अमीरात में रहने वाले प्राकृतिक व्यक्ति
- संयुक्त अरब अमीरात में या संयुक्त अरब अमीरात के निवासियों के बारे में व्यक्तिगत डेटा संसाधित करने वाली कोई भी संस्था, चाहे प्रसंस्करण कहीं भी हो
- कानूनी व्यक्ति जो संयुक्त अरब अमीरात क्षेत्र के भीतर व्यक्तिगत डेटा संसाधित करते हैं
पीडीपीएल को कार्यकारी विनियमन कैबिनेट निर्णय संख्या 33/2022 द्वारा पूरक किया गया था, जो विस्तृत कार्यान्वयन आवश्यकताओं को प्रदान करता है। यूएई डेटा ऑफिस (यूएईडीओ) प्रवर्तन, पंजीकरण आवश्यकताओं और मार्गदर्शन जारी करने की देखरेख करता है।
डीआईएफसी डेटा संरक्षण कानून 2020 (डीपी कानून)
दुबई इंटरनेशनल फाइनेंशियल सेंटर (डीआईएफसी) अंग्रेजी आम कानून पर आधारित अपनी कानूनी प्रणाली के साथ एक स्वतंत्र मुक्त क्षेत्र है। डीआईएफसी डेटा संरक्षण कानून 2020, डीआईएफसी डेटा संरक्षण आयुक्त द्वारा प्रशासित, संरचना और आवश्यकताओं में जीडीपीआर को बारीकी से प्रतिबिंबित करता है। यह इस पर लागू होता है:
- डीआईएफसी-पंजीकृत संस्थाएं जो व्यक्तिगत डेटा संसाधित करती हैं
- डीआईएफसी के बाहर की संस्थाएं जो डीआईएफसी में व्यक्तियों के डेटा को संसाधित करती हैं
एडीजीएम डेटा सुरक्षा विनियम 2021
अबू धाबी ग्लोबल मार्केट (एडीजीएम) मुक्त क्षेत्र एडीजीएम पंजीकरण प्राधिकरण द्वारा प्रशासित डेटा सुरक्षा नियमों के साथ डीआईएफसी के समान दृष्टिकोण का पालन करता है। ये नियम जीडीपीआर सिद्धांतों का भी बारीकी से पालन करते हैं।
व्यावहारिक निहितार्थ: डीआईएफसी-पंजीकृत सहायक कंपनी और एडीजीएम शाखा के साथ दुबई मुख्य भूमि से संचालित होने वाला व्यवसाय संभावित रूप से सभी तीन व्यवस्थाओं के तहत दायित्वों का सामना करता है। आपकी कानूनी इकाई संरचना को समझना अनुपालन मानचित्रण के लिए प्रारंभिक बिंदु है।
यूएई पीडीपीएल: मुख्य दायित्व
व्यक्तिगत डेटा परिभाषा और श्रेणियाँ
यूएई पीडीपीएल के तहत, व्यक्तिगत डेटा का अर्थ कोई भी डेटा है जो प्रत्यक्ष या अप्रत्यक्ष रूप से किसी प्राकृतिक व्यक्ति की पहचान की ओर ले जाता है, चाहे वह नाम, आवाज, तस्वीर, पहचान संख्या, या शारीरिक, मनोवैज्ञानिक, आर्थिक, सांस्कृतिक या सामाजिक पहचान से संबंधित किसी अन्य विशेषता या डेटा से हो।
संवेदनशील व्यक्तिगत डेटा (उच्च सुरक्षा की आवश्यकता) में शामिल हैं:
- परिवार या नस्लीय मूल से संबंधित डेटा
- राजनीतिक राय
- धार्मिक या दार्शनिक मान्यताएँ
- आपराधिक रिकॉर्ड से संबंधित डेटा
- बायोमेट्रिक डेटा
- स्वास्थ्य डेटा
- बच्चों से संबंधित डेटा
संवेदनशील डेटा को संसाधित करने के लिए स्पष्ट सहमति की आवश्यकता होती है या यह विशिष्ट छूट (कानूनी दायित्व, चिकित्सा आवश्यकता, महत्वपूर्ण हित) के अंतर्गत आता है।
प्रसंस्करण के लिए कानूनी आधार
यूएई पीडीपीएल का अनुच्छेद 5 आठ कानूनी आधारों को मान्यता देता है:
- डेटा विषय की स्पष्ट सहमति
- डेटा विषय के साथ अनुबंध निष्पादन
- कानूनी दायित्व का अनुपालन
- डेटा विषय या किसी तीसरे पक्ष के महत्वपूर्ण हितों की सुरक्षा
- सार्वजनिक हित या आधिकारिक अधिकार का प्रयोग
- नियंत्रक या किसी तीसरे पक्ष के वैध हित (जब तक कि डेटा विषय के हितों से ओवरराइड न हो)
- कानूनी दावों की स्थापना, अभ्यास, या बचाव
- सार्वजनिक हित में संग्रह, अनुसंधान, या सांख्यिकीय उद्देश्य
सहमति आवश्यकताएँ: यूएई पीडीपीएल के तहत, सहमति स्पष्ट, विशिष्ट, सूचित और सत्यापन योग्य होनी चाहिए। नियंत्रक को यह प्रदर्शित करने में सक्षम होना चाहिए कि सहमति प्राप्त की गई थी। सहमति वापस लेना भी उतना ही आसान होना चाहिए जितना इसे देना, और सहमति वापस लेने पर सहमति पर आधारित प्रक्रिया बंद होनी चाहिए।
डेटा विषय अधिकार
यूएई पीडीपीएल डेटा विषयों के अधिकार प्रदान करता है जिन्हें 30 दिनों के भीतर पूरा किया जाना चाहिए (उचितीकरण के साथ विस्तार योग्य):
| सही है | विवरण |
|---|---|
| पहुंच का अधिकार | संसाधित किये जा रहे व्यक्तिगत डेटा की एक प्रति प्राप्त करें |
| सुधार का अधिकार | ग़लत या अधूरे डेटा को सही करें |
| मिटाने का अधिकार | निर्दिष्ट परिस्थितियों में डेटा हटाएं (सहमति वापस ले ली गई, प्रसंस्करण गैरकानूनी) |
| प्रतिबंध का अधिकार | विवाद समाधान लंबित रहने तक प्रसंस्करण प्रतिबंधित करें |
| पोर्टेबिलिटी का अधिकार | एक संरचित, मशीन-पठनीय प्रारूप में डेटा प्राप्त करें |
| सहमति वापस लेने का अधिकार | पूर्व प्रसंस्करण को प्रभावित किए बिना किसी भी समय सहमति वापस लें |
| आपत्ति करने का अधिकार | वैध हितों के आधार पर प्रसंस्करण पर आपत्ति |
| स्वचालित निर्णयों के अधीन न होने का अधिकार | महत्वपूर्ण प्रभावों के साथ पूरी तरह से स्वचालित निर्णयों पर आपत्ति |
अधिकारों का प्रयोग: नियंत्रकों को अधिकार अनुरोध प्राप्त करने और उनका जवाब देने के लिए स्पष्ट चैनल स्थापित करने होंगे। इनकारों को औचित्य के साथ प्रलेखित किया जाना चाहिए।
नियंत्रक और प्रोसेसर दायित्व
नियंत्रक दायित्व
यूएईडीओ के साथ पंजीकरण: व्यक्तिगत डेटा संसाधित करने वाले व्यवसायों को यूएई डेटा कार्यालय के साथ पंजीकरण करने की आवश्यकता हो सकती है। यूएईडीओ अतिरिक्त नियमों के माध्यम से पंजीकरण आवश्यकताओं को विकसित कर रहा है - वर्तमान आवश्यकताओं के लिए यूएईडीओ मार्गदर्शन की निगरानी करें।
गोपनीयता सूचना: डेटा संग्रह के समय या उससे पहले विषयों को निम्नलिखित का खुलासा करते हुए प्रदान किया जाना चाहिए:
- नियंत्रक की पहचान और संपर्क विवरण
- प्रसंस्करण के उद्देश्य और कानूनी आधार
- एकत्र किए गए व्यक्तिगत डेटा की श्रेणियाँ
- डेटा अवधारण अवधि
- डेटा विषय अधिकार और उनका प्रयोग कैसे करें
- सीमा पार स्थानांतरण के बारे में जानकारी
- डेटा का प्रावधान अनिवार्य है या स्वैच्छिक
डेटा सुरक्षा अधिकारी: यूएई पीडीपीएल को निम्नलिखित के लिए डेटा सुरक्षा अधिकारी (डीपीओ) की नियुक्ति की आवश्यकता है:
- सार्वजनिक निकाय
- नियंत्रक या प्रोसेसर जिनकी मुख्य गतिविधियों के लिए व्यक्तियों की बड़े पैमाने पर व्यवस्थित निगरानी की आवश्यकता होती है
- नियंत्रक या प्रोसेसर जिनकी मुख्य गतिविधियों में संवेदनशील डेटा का बड़े पैमाने पर प्रसंस्करण शामिल है
इन मानदंडों को पूरा नहीं करने वाले निजी व्यवसाय अभी भी शासन उद्देश्यों के लिए डीपीओ नियुक्त करने से लाभान्वित हो सकते हैं।
सुरक्षा उपाय: प्रसंस्करण की प्रकृति, दायरे, संदर्भ और उद्देश्यों और डेटा विषय अधिकारों के जोखिमों पर विचार करते हुए उचित तकनीकी और संगठनात्मक सुरक्षा उपायों को लागू करें।
प्रोसेसर समझौते
प्रोसेसर को केवल प्रलेखित नियंत्रक निर्देशों पर ही डेटा संसाधित करना चाहिए। नियंत्रकों और प्रोसेसरों के बीच समझौते में निम्नलिखित शामिल होने चाहिए:
- डाटा प्रोसेसिंग निर्देश और दायरा
- गोपनीयता दायित्व
- सुरक्षा आवश्यकताएँ
- उप-प्रोसेसर प्रतिबंध
- डेटा विषय अधिकारों के साथ सहायता
- डेटा वापसी या विलोपन दायित्व
सीमा पार डेटा स्थानांतरण नियम
यूएई पीडीपीएल का अनुच्छेद 22 यूएई के बाहर व्यक्तिगत डेटा के हस्तांतरण को प्रतिबंधित करता है। अनुमत स्थानांतरण तंत्र:
| तंत्र | आवश्यकताएँ |
|---|---|
| पर्याप्तता निर्णय | पर्याप्त सुरक्षा स्तर वाले देश में स्थानांतरण (प्रति यूएईडीओ निर्धारण) |
| उचित सुरक्षा उपाय | मानक संविदात्मक धाराएँ या बाध्यकारी कॉर्पोरेट नियम |
| कॉर्पोरेट नियमों को बाध्य करना | सहयोगियों के बीच इंट्राग्रुप स्थानांतरण के लिए |
| स्पष्ट सहमति | डेटा विषय की सूचित सहमति |
| अनुबंध की आवश्यकता | डेटा विषय और नियंत्रक के बीच अनुबंध निष्पादन के लिए स्थानांतरण आवश्यक |
| कानूनी कार्यवाही | कानूनी दावों के लिए स्थानांतरण आवश्यक |
| महत्वपूर्ण रुचियाँ | महत्वपूर्ण हितों की रक्षा हेतु स्थानांतरण आवश्यक |
यूएईडीओ पर्याप्तता निर्णय: यूएईडीओ पर्याप्त डेटा सुरक्षा वाले देशों की सूची विकसित कर रहा है। 2026 की शुरुआत तक, औपचारिक पर्याप्तता सूची अभी भी स्थापित की जा रही है। व्यवहार में, कई संयुक्त अरब अमीरात व्यवसाय सीमा पार हस्तांतरण के लिए संविदात्मक शर्तों का उपयोग करते हैं।
मुक्त क्षेत्र संबंधी विचार: डीआईएफसी और एडीजीएम के पास अपने स्वयं के स्थानांतरण तंत्र हैं। डीआईएफसी डेटा संरक्षण कानून पर्याप्त देशों (जीडीपीआर-पर्याप्त देशों सहित), बाध्यकारी कॉर्पोरेट नियमों और मानक संविदात्मक धाराओं में स्थानांतरण को मान्यता देता है। डीआईएफसी आयुक्त ने विशिष्ट स्थानांतरण तंत्र को मंजूरी दे दी है।
डीआईएफसी डेटा संरक्षण कानून 2020 — मुख्य अंतर
डीआईएफसी में या उसके माध्यम से संचालित होने वाले व्यवसायों के लिए, डीआईएफसी डीपी कानून 2020 सीधे लागू होता है और संघीय पीडीपीएल की तुलना में अधिक जीडीपीआर-संरेखित है। मुख्य विशेषताएं:
छह वैध आधार (जीडीपीआर से मेल खाते हुए): सहमति, अनुबंध, कानूनी दायित्व, महत्वपूर्ण हित, सार्वजनिक कार्य, वैध हित
सख्त सहमति आवश्यकताएँ: व्यक्तिगत डेटा की विशेष श्रेणियों के प्रसंस्करण के लिए लिखित सहमति आवश्यक; सहमति स्वतंत्र रूप से दी जानी चाहिए (शक्ति असंतुलन पर विचार लागू होता है)
डेटा उल्लंघन अधिसूचना: डीआईएफसी आयुक्त को 72 घंटे की अधिसूचना; व्यक्तिगत अधिसूचना जहां उच्च जोखिम है - जीडीपीआर समय के समान
डीपीओ आवश्यकता: जीडीपीआर के समान सीमाएँ (व्यवस्थित निगरानी, बड़े पैमाने पर विशेष श्रेणी डेटा, सार्वजनिक प्राधिकरण)
जुर्माना: लेवल 1 के उल्लंघन के लिए $100,000 USD तक; लेवल 2 के लिए असीमित (गंभीर, जानबूझकर या लापरवाह उल्लंघन)
डेटा सुरक्षा प्रभाव आकलन: उच्च जोखिम वाले प्रसंस्करण के लिए आवश्यक (जीडीपीआर अनुच्छेद 35 के समान ट्रिगर)
सेक्टर-विशिष्ट डेटा सुरक्षा आवश्यकताएँ
हेल्थकेयर डेटा
यूएई का स्वास्थ्य डेटा कानून (संघीय कानून संख्या 2/2019) और दुबई स्वास्थ्य प्राधिकरण नियम स्वास्थ्य देखभाल डेटा पर अतिरिक्त आवश्यकताएं लगाते हैं:
- स्वास्थ्य देखभाल डेटा साझा करने के लिए रोगी की सहमति आवश्यक है (सार्वजनिक स्वास्थ्य और अनुसंधान के लिए विशिष्ट अपवादों के साथ)
- हेल्थकेयर डेटा को संयुक्त अरब अमीरात के भीतर संग्रहीत किया जाना चाहिए जब तक कि सीमा पार स्थानांतरण विशेष रूप से अधिकृत न हो
- इलेक्ट्रॉनिक स्वास्थ्य रिकॉर्ड को विशिष्ट सुरक्षा और अंतरसंचालनीयता मानकों को पूरा करना होगा
- दुबई स्वास्थ्य प्राधिकरण स्वास्थ्य देखभाल डेटा के लिए अनिवार्य डेटा स्थानीयकरण आवश्यकताओं को बनाए रखता है
वित्तीय सेवाएँ
यूएई सेंट्रल बैंक और सिक्योरिटीज एंड कमोडिटीज अथॉरिटी (एससीए) के पास वित्तीय संस्थानों के लिए डेटा सुरक्षा और साइबर सुरक्षा आवश्यकताएं हैं। मुख्य आवश्यकताओं में शामिल हैं:
- ग्राहक डेटा वर्गीकरण और संवेदनशीलता के अनुपात में सुरक्षा
- निर्धारित समय सीमा के भीतर डेटा उल्लंघनों की ग्राहक अधिसूचना
- सहमति के बिना ग्राहक वित्तीय डेटा साझा करने पर प्रतिबंध
- साइबर सुरक्षा ढांचा अनुपालन (बैंकों के लिए सीबीयूएई साइबर सुरक्षा ढांचा)
दूरसंचार डेटा
दूरसंचार नियामक प्राधिकरण (टीआरए) दूरसंचार प्रदाताओं द्वारा व्यक्तिगत डेटा प्रोसेसिंग को नियंत्रित करता है, जिसमें शामिल हैं:
- सब्सक्राइबर गोपनीयता सुरक्षा
- कॉल डिटेल रिकॉर्ड एक्सेस प्रतिबंध
- स्थान डेटा सुरक्षा
- कुछ दूरसंचार डेटा के लिए डेटा स्थानीयकरण आवश्यकताएँ
यूएई पीडीपीएल के तहत उल्लंघन अधिसूचना
यूएई पीडीपीएल के अनुच्छेद 16 में नियंत्रकों को सूचित करने की आवश्यकता है:
- यूएई डेटा कार्यालय: व्यक्तिगत डेटा उल्लंघन के बारे में पता चलने के 72 घंटों के भीतर, जिसके परिणामस्वरूप डेटा विषयों को नुकसान होने की संभावना है
- डेटा विषय: यदि उल्लंघन के परिणामस्वरूप उनके अधिकारों के लिए उच्च जोखिम होने की संभावना है तो बिना किसी देरी के
यूएईडीओ को अधिसूचना में शामिल होना चाहिए:
- उल्लंघन की प्रकृति
- प्रभावित डेटा विषयों की श्रेणियाँ और अनुमानित संख्या
- प्रभावित व्यक्तिगत डेटा रिकॉर्ड की श्रेणियाँ और अनुमानित संख्या
- डीपीओ का संपर्क विवरण
- उल्लंघन के संभावित परिणाम
- उल्लंघन को संबोधित करने के लिए उठाए गए या प्रस्तावित उपाय
दस्तावेज़ीकरण: भले ही किसी अधिसूचना की आवश्यकता नहीं है (क्योंकि डेटा विषयों के लिए जोखिम की संभावना नहीं है), उल्लंघन को तथ्यों, प्रभावों और उपचारात्मक कार्रवाइयों के साथ आंतरिक रूप से प्रलेखित किया जाना चाहिए।
पीडीपीएल दंड और प्रवर्तन
यूएई डेटा ऑफिस (यूएईडीओ) के पास जांच, प्रशासनिक जुर्माना और आपराधिक मामलों के लिए सार्वजनिक अभियोजन के लिए रेफरल सहित व्यापक प्रवर्तन शक्तियां हैं।
प्रशासनिक दंड:
- नियंत्रक/प्रोसेसर दायित्वों के उल्लंघन के लिए AED 5 मिलियन ($1.36 मिलियन USD) तक का जुर्माना
- संवेदनशील डेटा से जुड़े उल्लंघनों या डेटा विषयों को नुकसान पहुंचाने के लिए AED 20 मिलियन ($5.44 मिलियन USD) तक का जुर्माना
आपराधिक दंड: अफवाहों और साइबर अपराधों से निपटने पर संघीय कानून संख्या 34/2021 कुछ डेटा-संबंधित अपराधों के लिए पीडीपीएल के साथ ओवरलैप होता है। विशिष्ट डेटा-संबंधित अपराधों के परिणामस्वरूप AED 3 मिलियन तक कारावास और/या जुर्माना हो सकता है।
डीआईएफसी आयुक्त जुर्माना: गंभीर उल्लंघनों के लिए असीमित जुर्माना; कम उल्लंघनों के लिए $100,000। डीआईएफसी ने ऐतिहासिक रूप से प्रकाशित निर्णयों के साथ सक्रिय रूप से लागू किया है।
यूएई डेटा सुरक्षा अनुपालन चेकलिस्ट
- प्रत्येक कानूनी इकाई के लिए निर्धारित लागू कानून (संघीय पीडीपीएल, डीआईएफसी डीपी कानून, एडीजीएम डीपीआर, या संयोजन)
- सभी प्रणालियों में व्यक्तिगत डेटा सूची पूरी हो गई
- संवेदनशील डेटा की पहचान की गई और सुरक्षा बढ़ा दी गई
- प्रत्येक प्रसंस्करण गतिविधि के लिए कानूनी आधार प्रलेखित
- सभी आवश्यक खुलासों को शामिल करते हुए गोपनीयता नोटिस प्रकाशित किया गया
- जहां आवश्यक हो वहां डीपीओ नियुक्त किया जाए; संपर्क जानकारी प्रकाशित
- डेटा विषय अधिकार प्रक्रियाएँ प्रलेखित (30-दिवसीय प्रतिक्रिया समयरेखा)
- प्रोसेसर समझौतों की समीक्षा की गई और उन्हें पीडीपीएल आवश्यकताओं के अनुसार अद्यतन किया गया
- सीमा पार स्थानांतरण मूल्यांकन पूरा हो गया है - तंत्र मौजूद हैं
- यदि लागू हो तो हेल्थकेयर डेटा स्थानीयकरण का मूल्यांकन किया गया
- सुरक्षा उपायों को जोखिम के अनुपात में प्रलेखित और कार्यान्वित किया गया
- उल्लंघन अधिसूचना प्रक्रिया प्रलेखित (72 घंटे की समयसीमा)
- पीडीपीएल/डीआईएफसी डीपी दायित्वों पर कर्मचारी प्रशिक्षण पूरा हुआ
- यूएईडीओ पंजीकरण का मूल्यांकन वर्तमान नियमों के तहत किया गया है
अक्सर पूछे जाने वाले प्रश्न
कौन सा यूएई डेटा संरक्षण कानून मेरे मुक्त क्षेत्र व्यवसाय पर लागू होता है?
यह आपके मुक्त क्षेत्र पर निर्भर करता है। डीआईएफसी में पंजीकृत व्यवसाय डीआईएफसी डेटा संरक्षण कानून 2020 के अधीन हैं, जो संघीय पीडीपीएल से स्वतंत्र है। ADGM में व्यवसाय ADGM डेटा सुरक्षा विनियम 2021 के अधीन हैं। अन्य मुक्त क्षेत्रों (JAFZA, DMCC, दुबई इंटरनेट सिटी, आदि) में व्यवसाय आम तौर पर मुक्त क्षेत्र के अपने नियमों के साथ-साथ संघीय PDPL के अधीन हैं। कई मामलों में, विशेष रूप से मुख्य भूमि संयुक्त अरब अमीरात और मुक्त क्षेत्रों में फैले व्यवसायों के लिए, कई रूपरेखाएँ लागू होती हैं।
क्या यूएई पीडीपीएल को डेटा स्थानीयकरण की आवश्यकता है?
यूएई पीडीपीएल स्वयं व्यापक डेटा स्थानीयकरण आवश्यकताओं को लागू नहीं करता है - उचित सुरक्षा उपायों के तहत सीमा पार हस्तांतरण की अनुमति है। हालाँकि, क्षेत्र-विशिष्ट नियम (विशेषकर स्वास्थ्य सेवा और वित्तीय सेवाएँ) विशिष्ट डेटा श्रेणियों के लिए स्थानीयकरण आवश्यकताओं को लागू कर सकते हैं। सेंट्रल बैंक ऑफ यूएई के साइबर सुरक्षा ढांचे और दुबई स्वास्थ्य प्राधिकरण के नियम कुछ विनियमित डेटा के लिए डेटा रेजिडेंसी दायित्वों को लागू करते हैं। पीडीपीएल के अलावा हमेशा सेक्टर-विशिष्ट आवश्यकताओं की जांच करें।
यूएई डेटा सुरक्षा क्लाउड सेवाओं पर कैसे लागू होती है?
यूएई व्यवसायों की ओर से यूएई के व्यक्तिगत डेटा को संसाधित करने वाले क्लाउड सेवा प्रदाता पीडीपीएल के तहत प्रोसेसर हैं। उन्हें नियंत्रकों के साथ प्रोसेसर समझौते में प्रवेश करना होगा, उचित सुरक्षा उपायों को लागू करना होगा और यदि डेटा संयुक्त अरब अमीरात के बाहर संग्रहीत किया जाता है तो सीमा पार हस्तांतरण आवश्यकताओं का पालन करना होगा। क्लाउड सेवाओं का उपयोग करने वाले यूएई व्यवसायों को सत्यापित करना चाहिए: क्लाउड प्रदाता की पीडीपीएल अनुपालन स्थिति, क्या बीएए/डीपीए मौजूद है, और क्या डेटा भंडारण स्थान को सीमा पार हस्तांतरण तंत्र की आवश्यकता है।
एआई और स्वचालित निर्णय लेने के प्रति यूएई का दृष्टिकोण क्या है?
यूएई पीडीपीएल में केवल स्वचालित प्रसंस्करण पर आधारित निर्णयों के अधीन न होने का अधिकार शामिल है जो महत्वपूर्ण कानूनी या समान महत्वपूर्ण प्रभाव उत्पन्न करते हैं - अनुरोध पर मानवीय हस्तक्षेप की आवश्यकता होती है। यूएई ने एक एआई एथिक्स फ्रेमवर्क और दुबई एआई रणनीति 2031 भी विकसित किया है, जो एआई में डेटा गोपनीयता और नैतिकता पर जोर देता है। महत्वपूर्ण निर्णयों (क्रेडिट स्कोरिंग, एचआर स्क्रीनिंग, ग्राहक वर्गीकरण) के लिए एआई का उपयोग करने वाले व्यवसायों को पीडीपीएल दायित्वों और सेक्टर-विशिष्ट एआई प्रशासन आवश्यकताओं दोनों का आकलन करना चाहिए।
यूएई डेटा सुरक्षा की तुलना जीडीपीआर से कैसे की जाती है?
यूएई पीडीपीएल जीडीपीआर के मूलभूत सिद्धांतों (वैधता, निष्पक्षता, पारदर्शिता, उद्देश्य सीमा, डेटा न्यूनतमकरण, सटीकता, भंडारण सीमा, सुरक्षा, जवाबदेही) और समान डेटा विषय अधिकारों को साझा करता है। हालाँकि, पीडीपीएल कुछ क्षेत्रों में कम निर्देशात्मक है - समयसीमा, डीपीओ योग्यता आवश्यकताएँ, और डीपीआईए आवश्यकताएँ जीडीपीआर की तुलना में कम विस्तृत हैं। डीआईएफसी डीपी कानून 2020 संरचना और विवरण में जीडीपीआर के काफी करीब है। जीडीपीआर और यूएई पीडीपीएल दोनों के अधीन संगठन पाएंगे कि जीडीपीआर अनुपालन पीडीपीएल अनुपालन के लिए एक मजबूत आधार बनाता है, जिसमें कुछ यूएई-विशिष्ट परिवर्धन की आवश्यकता है।
अगले चरण
यूएई के जटिल बहुस्तरीय डेटा सुरक्षा वातावरण - संघीय पीडीपीएल, डीआईएफसी, एडीजीएम और सेक्टर नियमों - के लिए एक संरचित अनुपालन दृष्टिकोण की आवश्यकता होती है जो प्रत्येक प्रासंगिक कानूनी इकाई और डेटा प्रवाह के लिए दायित्वों को मैप करता है। ECOSIRE की टीम के पास संयुक्त अरब अमीरात के मुक्त क्षेत्र और मुख्य भूमि के वातावरण में अनुपालन को नेविगेट करने का अनुभव है, जिसमें प्रौद्योगिकी प्लेटफ़ॉर्म कार्यान्वयन में विशेष विशेषज्ञता है जो एक साथ कई नियामक आवश्यकताओं को पूरा करती है।
आरंभ करें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। यूएई डेटा संरक्षण कानून विकसित हो रहे हैं और यह मार्गदर्शिका 2026 की शुरुआत की आवश्यकताओं को दर्शाती है। अपने संगठन और अधिकार क्षेत्र के लिए विशिष्ट सलाह के लिए योग्य यूएई कानूनी परामर्शदाता से परामर्श लें।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
Odoo UAE Localization 2026: VAT, FTA E-Invoicing & Corporate Tax
Configure Odoo for UAE compliance: l10n_ae chart, VAT 5%, FTA PINT-AE e-invoicing 2026, corporate tax 9%, RCM, QFZP, VAT 201 return.
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.
रासायनिक उद्योग के लिए ईआरपी: सुरक्षा, अनुपालन और बैच प्रोसेसिंग
ईआरपी सिस्टम रासायनिक कंपनियों के लिए एसडीएस दस्तावेज़, पहुंच और जीएचएस अनुपालन, बैच प्रोसेसिंग, गुणवत्ता नियंत्रण, खतरनाक शिपिंग और फॉर्मूला प्रबंधन कैसे प्रबंधित करते हैं।
Compliance & Regulation से और अधिक
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.
ई-कॉमर्स के लिए साइबर सुरक्षा: 2026 में अपने व्यवसाय को सुरक्षित रखें
2026 के लिए पूर्ण ईकॉमर्स साइबर सुरक्षा गाइड। पीसीआई डीएसएस 4.0, डब्ल्यूएएफ सेटअप, बॉट सुरक्षा, भुगतान धोखाधड़ी की रोकथाम, सुरक्षा हेडर और घटना प्रतिक्रिया।
रासायनिक उद्योग के लिए ईआरपी: सुरक्षा, अनुपालन और बैच प्रोसेसिंग
ईआरपी सिस्टम रासायनिक कंपनियों के लिए एसडीएस दस्तावेज़, पहुंच और जीएचएस अनुपालन, बैच प्रोसेसिंग, गुणवत्ता नियंत्रण, खतरनाक शिपिंग और फॉर्मूला प्रबंधन कैसे प्रबंधित करते हैं।
आयात/निर्यात व्यापार के लिए ईआरपी: बहु-मुद्रा, रसद और अनुपालन
ईआरपी सिस्टम ट्रेडिंग कंपनियों के लिए क्रेडिट पत्र, सीमा शुल्क दस्तावेज़ीकरण, इनकोटर्म्स, बहु-मुद्रा पी एंड एल, कंटेनर ट्रैकिंग और शुल्क गणना को कैसे संभालते हैं।
ईआरपी के साथ स्थिरता और ईएसजी रिपोर्टिंग: अनुपालन गाइड 2026
ईआरपी सिस्टम के साथ 2026 में ईएसजी रिपोर्टिंग अनुपालन पर नेविगेट करें। सीएसआरडी, जीआरआई, एसएएसबी, स्कोप 1/2/3 उत्सर्जन, कार्बन ट्रैकिंग और ओडू स्थिरता को कवर करता है।
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.