हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंसंयुक्त अरब अमीरात ने मध्य पूर्व में सबसे परिष्कृत डेटा सुरक्षा ढांचे में से एक विकसित किया है, जिसमें संघीय, मुक्त क्षेत्र और सेक्टर-विशिष्ट न्यायालयों में डेटा सुरक्षा को नियंत्रित करने वाले कई ओवरलैपिंग कानून हैं। यह समझना कि आपके व्यवसाय पर कौन सा कानून लागू होता है - और सभी लागू व्यवस्थाओं का अनुपालन सुनिश्चित करना - यूएई की तेजी से बढ़ती डिजिटल अर्थव्यवस्था में कानूनी रूप से संचालन के लिए आवश्यक है।
यूएई के प्राथमिक डेटा संरक्षण कानून में शामिल हैं: सितंबर 2021 से प्रभावी व्यक्तिगत डेटा (पीडीपीएल) के संरक्षण पर संघीय डिक्री-कानून संख्या 45/2021, डीआईएफसी डेटा संरक्षण कानून 2020 (दुबई इंटरनेशनल फाइनेंशियल सेंटर में व्यवसायों के लिए), एडीजीएम डेटा संरक्षण विनियम 2021 (अबू धाबी ग्लोबल मार्केट में व्यवसायों के लिए), और स्वास्थ्य सेवा, दूरसंचार और वित्तीय सेवाओं को कवर करने वाले सेक्टर-विशिष्ट नियम।
मुख्य बातें
- यूएई पीडीपीएल (संघीय डिक्री-कानून संख्या 45/2021) यूएई में बाह्य-क्षेत्रीय दायरे के साथ व्यक्तिगत डेटा प्रोसेसिंग पर लागू होता है
- डीआईएफसी और एडीजीएम मुक्त क्षेत्रों के पास जीडीपीआर पर आधारित अपने स्वयं के स्वतंत्र डेटा संरक्षण कानून हैं
- यूएई पीडीपीएल प्रसंस्करण के लिए आठ कानूनी आधार प्रदान करता है; सहमति और वैध हितों का सबसे अधिक उपयोग किया जाता है
- डेटा विषय अधिकारों में पहुंच, सुधार, विलोपन, पोर्टेबिलिटी, सहमति वापस लेना और आपत्ति शामिल है
- सीमा पार डेटा स्थानांतरण के लिए या तो पर्याप्तता निर्धारण या उचित सुरक्षा उपायों की आवश्यकता होती है
- यूएई डेटा ऑफिस (यूएईडीओ) संघीय पर्यवेक्षी प्राधिकरण है; डीआईएफसी आयुक्त और एडीजीएम नियामक प्राधिकरण अपने संबंधित मुक्त क्षेत्रों की देखरेख करते हैं
- पीडीपीएल के तहत जुर्माने में एईडी 20 मिलियन ($5.4 मिलियन यूएसडी) तक का जुर्माना और कुछ उल्लंघनों के लिए कारावास शामिल है।
- हेल्थकेयर डेटा, वित्तीय डेटा और बायोमेट्रिक डेटा को संवेदनशील डेटा के रूप में बढ़ी हुई सुरक्षा प्राप्त होती है
यूएई डेटा सुरक्षा ढांचा: ओवरलैपिंग क्षेत्राधिकार
संघीय पीडीपीएल (यूएई मुख्यभूमि)
व्यक्तिगत डेटा संरक्षण पर संघीय डिक्री-कानून संख्या 45/2021 (आमतौर पर पीडीपीएल या यूएई डीपीएल कहा जाता है) इस पर लागू होता है:
- संयुक्त अरब अमीरात में रहने वाले प्राकृतिक व्यक्ति
- संयुक्त अरब अमीरात में या संयुक्त अरब अमीरात के निवासियों के बारे में व्यक्तिगत डेटा संसाधित करने वाली कोई भी संस्था, चाहे प्रसंस्करण कहीं भी हो
- कानूनी व्यक्ति जो संयुक्त अरब अमीरात क्षेत्र के भीतर व्यक्तिगत डेटा संसाधित करते हैं
पीडीपीएल को कार्यकारी विनियमन कैबिनेट निर्णय संख्या 33/2022 द्वारा पूरक किया गया था, जो विस्तृत कार्यान्वयन आवश्यकताओं को प्रदान करता है। यूएई डेटा ऑफिस (यूएईडीओ) प्रवर्तन, पंजीकरण आवश्यकताओं और मार्गदर्शन जारी करने की देखरेख करता है।
डीआईएफसी डेटा संरक्षण कानून 2020 (डीपी कानून)
दुबई इंटरनेशनल फाइनेंशियल सेंटर (डीआईएफसी) अंग्रेजी आम कानून पर आधारित अपनी कानूनी प्रणाली के साथ एक स्वतंत्र मुक्त क्षेत्र है। डीआईएफसी डेटा संरक्षण कानून 2020, डीआईएफसी डेटा संरक्षण आयुक्त द्वारा प्रशासित, संरचना और आवश्यकताओं में जीडीपीआर को बारीकी से प्रतिबिंबित करता है। यह इस पर लागू होता है:
- डीआईएफसी-पंजीकृत संस्थाएं जो व्यक्तिगत डेटा संसाधित करती हैं
- डीआईएफसी के बाहर की संस्थाएं जो डीआईएफसी में व्यक्तियों के डेटा को संसाधित करती हैं
एडीजीएम डेटा सुरक्षा विनियम 2021
अबू धाबी ग्लोबल मार्केट (एडीजीएम) मुक्त क्षेत्र एडीजीएम पंजीकरण प्राधिकरण द्वारा प्रशासित डेटा सुरक्षा नियमों के साथ डीआईएफसी के समान दृष्टिकोण का पालन करता है। ये नियम जीडीपीआर सिद्धांतों का भी बारीकी से पालन करते हैं।
व्यावहारिक निहितार्थ: डीआईएफसी-पंजीकृत सहायक कंपनी और एडीजीएम शाखा के साथ दुबई मुख्य भूमि से संचालित होने वाला व्यवसाय संभावित रूप से सभी तीन व्यवस्थाओं के तहत दायित्वों का सामना करता है। आपकी कानूनी इकाई संरचना को समझना अनुपालन मानचित्रण के लिए प्रारंभिक बिंदु है।
यूएई पीडीपीएल: मुख्य दायित्व
व्यक्तिगत डेटा परिभाषा और श्रेणियाँ
यूएई पीडीपीएल के तहत, व्यक्तिगत डेटा का अर्थ कोई भी डेटा है जो प्रत्यक्ष या अप्रत्यक्ष रूप से किसी प्राकृतिक व्यक्ति की पहचान की ओर ले जाता है, चाहे वह नाम, आवाज, तस्वीर, पहचान संख्या, या शारीरिक, मनोवैज्ञानिक, आर्थिक, सांस्कृतिक या सामाजिक पहचान से संबंधित किसी अन्य विशेषता या डेटा से हो।
संवेदनशील व्यक्तिगत डेटा (उच्च सुरक्षा की आवश्यकता) में शामिल हैं:
- परिवार या नस्लीय मूल से संबंधित डेटा
- राजनीतिक राय
- धार्मिक या दार्शनिक मान्यताएँ
- आपराधिक रिकॉर्ड से संबंधित डेटा
- बायोमेट्रिक डेटा
- स्वास्थ्य डेटा
- बच्चों से संबंधित डेटा
संवेदनशील डेटा को संसाधित करने के लिए स्पष्ट सहमति की आवश्यकता होती है या यह विशिष्ट छूट (कानूनी दायित्व, चिकित्सा आवश्यकता, महत्वपूर्ण हित) के अंतर्गत आता है।
प्रसंस्करण के लिए कानूनी आधार
यूएई पीडीपीएल का अनुच्छेद 5 आठ कानूनी आधारों को मान्यता देता है:
- डेटा विषय की स्पष्ट सहमति
- डेटा विषय के साथ अनुबंध निष्पादन
- कानूनी दायित्व का अनुपालन
- डेटा विषय या किसी तीसरे पक्ष के महत्वपूर्ण हितों की सुरक्षा
- सार्वजनिक हित या आधिकारिक अधिकार का प्रयोग
- नियंत्रक या किसी तीसरे पक्ष के वैध हित (जब तक कि डेटा विषय के हितों से ओवरराइड न हो)
- कानूनी दावों की स्थापना, अभ्यास, या बचाव
- सार्वजनिक हित में संग्रह, अनुसंधान, या सांख्यिकीय उद्देश्य
सहमति आवश्यकताएँ: यूएई पीडीपीएल के तहत, सहमति स्पष्ट, विशिष्ट, सूचित और सत्यापन योग्य होनी चाहिए। नियंत्रक को यह प्रदर्शित करने में सक्षम होना चाहिए कि सहमति प्राप्त की गई थी। सहमति वापस लेना भी उतना ही आसान होना चाहिए जितना इसे देना, और सहमति वापस लेने पर सहमति पर आधारित प्रक्रिया बंद होनी चाहिए।
डेटा विषय अधिकार
यूएई पीडीपीएल डेटा विषयों के अधिकार प्रदान करता है जिन्हें 30 दिनों के भीतर पूरा किया जाना चाहिए (उचितीकरण के साथ विस्तार योग्य):
| सही है | विवरण |
|---|---|
| पहुंच का अधिकार | संसाधित किये जा रहे व्यक्तिगत डेटा की एक प्रति प्राप्त करें |
| सुधार का अधिकार | ग़लत या अधूरे डेटा को सही करें |
| मिटाने का अधिकार | निर्दिष्ट परिस्थितियों में डेटा हटाएं (सहमति वापस ले ली गई, प्रसंस्करण गैरकानूनी) |
| प्रतिबंध का अधिकार | विवाद समाधान लंबित रहने तक प्रसंस्करण प्रतिबंधित करें |
| पोर्टेबिलिटी का अधिकार | एक संरचित, मशीन-पठनीय प्रारूप में डेटा प्राप्त करें |
| सहमति वापस लेने का अधिकार | पूर्व प्रसंस्करण को प्रभावित किए बिना किसी भी समय सहमति वापस लें |
| आपत्ति करने का अधिकार | वैध हितों के आधार पर प्रसंस्करण पर आपत्ति |
| स्वचालित निर्णयों के अधीन न होने का अधिकार | महत्वपूर्ण प्रभावों के साथ पूरी तरह से स्वचालित निर्णयों पर आपत्ति |
अधिकारों का प्रयोग: नियंत्रकों को अधिकार अनुरोध प्राप्त करने और उनका जवाब देने के लिए स्पष्ट चैनल स्थापित करने होंगे। इनकारों को औचित्य के साथ प्रलेखित किया जाना चाहिए।
नियंत्रक और प्रोसेसर दायित्व
नियंत्रक दायित्व
यूएईडीओ के साथ पंजीकरण: व्यक्तिगत डेटा संसाधित करने वाले व्यवसायों को यूएई डेटा कार्यालय के साथ पंजीकरण करने की आवश्यकता हो सकती है। यूएईडीओ अतिरिक्त नियमों के माध्यम से पंजीकरण आवश्यकताओं को विकसित कर रहा है - वर्तमान आवश्यकताओं के लिए यूएईडीओ मार्गदर्शन की निगरानी करें।
गोपनीयता सूचना: डेटा संग्रह के समय या उससे पहले विषयों को निम्नलिखित का खुलासा करते हुए प्रदान किया जाना चाहिए:
- नियंत्रक की पहचान और संपर्क विवरण
- प्रसंस्करण के उद्देश्य और कानूनी आधार
- एकत्र किए गए व्यक्तिगत डेटा की श्रेणियाँ
- डेटा अवधारण अवधि
- डेटा विषय अधिकार और उनका प्रयोग कैसे करें
- सीमा पार स्थानांतरण के बारे में जानकारी
- डेटा का प्रावधान अनिवार्य है या स्वैच्छिक
डेटा सुरक्षा अधिकारी: यूएई पीडीपीएल को निम्नलिखित के लिए डेटा सुरक्षा अधिकारी (डीपीओ) की नियुक्ति की आवश्यकता है:
- सार्वजनिक निकाय
- नियंत्रक या प्रोसेसर जिनकी मुख्य गतिविधियों के लिए व्यक्तियों की बड़े पैमाने पर व्यवस्थित निगरानी की आवश्यकता होती है
- नियंत्रक या प्रोसेसर जिनकी मुख्य गतिविधियों में संवेदनशील डेटा का बड़े पैमाने पर प्रसंस्करण शामिल है
इन मानदंडों को पूरा नहीं करने वाले निजी व्यवसाय अभी भी शासन उद्देश्यों के लिए डीपीओ नियुक्त करने से लाभान्वित हो सकते हैं।
सुरक्षा उपाय: प्रसंस्करण की प्रकृति, दायरे, संदर्भ और उद्देश्यों और डेटा विषय अधिकारों के जोखिमों पर विचार करते हुए उचित तकनीकी और संगठनात्मक सुरक्षा उपायों को लागू करें।
प्रोसेसर समझौते
प्रोसेसर को केवल प्रलेखित नियंत्रक निर्देशों पर ही डेटा संसाधित करना चाहिए। नियंत्रकों और प्रोसेसरों के बीच समझौते में निम्नलिखित शामिल होने चाहिए:
- डाटा प्रोसेसिंग निर्देश और दायरा
- गोपनीयता दायित्व
- सुरक्षा आवश्यकताएँ
- उप-प्रोसेसर प्रतिबंध
- डेटा विषय अधिकारों के साथ सहायता
- डेटा वापसी या विलोपन दायित्व
सीमा पार डेटा स्थानांतरण नियम
यूएई पीडीपीएल का अनुच्छेद 22 यूएई के बाहर व्यक्तिगत डेटा के हस्तांतरण को प्रतिबंधित करता है। अनुमत स्थानांतरण तंत्र:
| तंत्र | आवश्यकताएँ |
|---|---|
| पर्याप्तता निर्णय | पर्याप्त सुरक्षा स्तर वाले देश में स्थानांतरण (प्रति यूएईडीओ निर्धारण) |
| उचित सुरक्षा उपाय | मानक संविदात्मक धाराएँ या बाध्यकारी कॉर्पोरेट नियम |
| कॉर्पोरेट नियमों को बाध्य करना | सहयोगियों के बीच इंट्राग्रुप स्थानांतरण के लिए |
| स्पष्ट सहमति | डेटा विषय की सूचित सहमति |
| अनुबंध की आवश्यकता | डेटा विषय और नियंत्रक के बीच अनुबंध निष्पादन के लिए स्थानांतरण आवश्यक |
| कानूनी कार्यवाही | कानूनी दावों के लिए स्थानांतरण आवश्यक |
| महत्वपूर्ण रुचियाँ | महत्वपूर्ण हितों की रक्षा हेतु स्थानांतरण आवश्यक |
यूएईडीओ पर्याप्तता निर्णय: यूएईडीओ पर्याप्त डेटा सुरक्षा वाले देशों की सूची विकसित कर रहा है। 2026 की शुरुआत तक, औपचारिक पर्याप्तता सूची अभी भी स्थापित की जा रही है। व्यवहार में, कई संयुक्त अरब अमीरात व्यवसाय सीमा पार हस्तांतरण के लिए संविदात्मक शर्तों का उपयोग करते हैं।
मुक्त क्षेत्र संबंधी विचार: डीआईएफसी और एडीजीएम के पास अपने स्वयं के स्थानांतरण तंत्र हैं। डीआईएफसी डेटा संरक्षण कानून पर्याप्त देशों (जीडीपीआर-पर्याप्त देशों सहित), बाध्यकारी कॉर्पोरेट नियमों और मानक संविदात्मक धाराओं में स्थानांतरण को मान्यता देता है। डीआईएफसी आयुक्त ने विशिष्ट स्थानांतरण तंत्र को मंजूरी दे दी है।
डीआईएफसी डेटा संरक्षण कानून 2020 — मुख्य अंतर
डीआईएफसी में या उसके माध्यम से संचालित होने वाले व्यवसायों के लिए, डीआईएफसी डीपी कानून 2020 सीधे लागू होता है और संघीय पीडीपीएल की तुलना में अधिक जीडीपीआर-संरेखित है। मुख्य विशेषताएं:
छह वैध आधार (जीडीपीआर से मेल खाते हुए): सहमति, अनुबंध, कानूनी दायित्व, महत्वपूर्ण हित, सार्वजनिक कार्य, वैध हित
सख्त सहमति आवश्यकताएँ: व्यक्तिगत डेटा की विशेष श्रेणियों के प्रसंस्करण के लिए लिखित सहमति आवश्यक; सहमति स्वतंत्र रूप से दी जानी चाहिए (शक्ति असंतुलन पर विचार लागू होता है)
डेटा उल्लंघन अधिसूचना: डीआईएफसी आयुक्त को 72 घंटे की अधिसूचना; व्यक्तिगत अधिसूचना जहां उच्च जोखिम है - जीडीपीआर समय के समान
डीपीओ आवश्यकता: जीडीपीआर के समान सीमाएँ (व्यवस्थित निगरानी, बड़े पैमाने पर विशेष श्रेणी डेटा, सार्वजनिक प्राधिकरण)
जुर्माना: लेवल 1 के उल्लंघन के लिए $100,000 USD तक; लेवल 2 के लिए असीमित (गंभीर, जानबूझकर या लापरवाह उल्लंघन)
डेटा सुरक्षा प्रभाव आकलन: उच्च जोखिम वाले प्रसंस्करण के लिए आवश्यक (जीडीपीआर अनुच्छेद 35 के समान ट्रिगर)
सेक्टर-विशिष्ट डेटा सुरक्षा आवश्यकताएँ
हेल्थकेयर डेटा
यूएई का स्वास्थ्य डेटा कानून (संघीय कानून संख्या 2/2019) और दुबई स्वास्थ्य प्राधिकरण नियम स्वास्थ्य देखभाल डेटा पर अतिरिक्त आवश्यकताएं लगाते हैं:
- स्वास्थ्य देखभाल डेटा साझा करने के लिए रोगी की सहमति आवश्यक है (सार्वजनिक स्वास्थ्य और अनुसंधान के लिए विशिष्ट अपवादों के साथ)
- हेल्थकेयर डेटा को संयुक्त अरब अमीरात के भीतर संग्रहीत किया जाना चाहिए जब तक कि सीमा पार स्थानांतरण विशेष रूप से अधिकृत न हो
- इलेक्ट्रॉनिक स्वास्थ्य रिकॉर्ड को विशिष्ट सुरक्षा और अंतरसंचालनीयता मानकों को पूरा करना होगा
- दुबई स्वास्थ्य प्राधिकरण स्वास्थ्य देखभाल डेटा के लिए अनिवार्य डेटा स्थानीयकरण आवश्यकताओं को बनाए रखता है
वित्तीय सेवाएँ
यूएई सेंट्रल बैंक और सिक्योरिटीज एंड कमोडिटीज अथॉरिटी (एससीए) के पास वित्तीय संस्थानों के लिए डेटा सुरक्षा और साइबर सुरक्षा आवश्यकताएं हैं। मुख्य आवश्यकताओं में शामिल हैं:
- ग्राहक डेटा वर्गीकरण और संवेदनशीलता के अनुपात में सुरक्षा
- निर्धारित समय सीमा के भीतर डेटा उल्लंघनों की ग्राहक अधिसूचना
- सहमति के बिना ग्राहक वित्तीय डेटा साझा करने पर प्रतिबंध
- साइबर सुरक्षा ढांचा अनुपालन (बैंकों के लिए सीबीयूएई साइबर सुरक्षा ढांचा)
दूरसंचार डेटा
दूरसंचार नियामक प्राधिकरण (टीआरए) दूरसंचार प्रदाताओं द्वारा व्यक्तिगत डेटा प्रोसेसिंग को नियंत्रित करता है, जिसमें शामिल हैं:
- सब्सक्राइबर गोपनीयता सुरक्षा
- कॉल डिटेल रिकॉर्ड एक्सेस प्रतिबंध
- स्थान डेटा सुरक्षा
- कुछ दूरसंचार डेटा के लिए डेटा स्थानीयकरण आवश्यकताएँ
यूएई पीडीपीएल के तहत उल्लंघन अधिसूचना
यूएई पीडीपीएल के अनुच्छेद 16 में नियंत्रकों को सूचित करने की आवश्यकता है:
- यूएई डेटा कार्यालय: व्यक्तिगत डेटा उल्लंघन के बारे में पता चलने के 72 घंटों के भीतर, जिसके परिणामस्वरूप डेटा विषयों को नुकसान होने की संभावना है
- डेटा विषय: यदि उल्लंघन के परिणामस्वरूप उनके अधिकारों के लिए उच्च जोखिम होने की संभावना है तो बिना किसी देरी के
यूएईडीओ को अधिसूचना में शामिल होना चाहिए:
- उल्लंघन की प्रकृति
- प्रभावित डेटा विषयों की श्रेणियाँ और अनुमानित संख्या
- प्रभावित व्यक्तिगत डेटा रिकॉर्ड की श्रेणियाँ और अनुमानित संख्या
- डीपीओ का संपर्क विवरण
- उल्लंघन के संभावित परिणाम
- उल्लंघन को संबोधित करने के लिए उठाए गए या प्रस्तावित उपाय
दस्तावेज़ीकरण: भले ही किसी अधिसूचना की आवश्यकता नहीं है (क्योंकि डेटा विषयों के लिए जोखिम की संभावना नहीं है), उल्लंघन को तथ्यों, प्रभावों और उपचारात्मक कार्रवाइयों के साथ आंतरिक रूप से प्रलेखित किया जाना चाहिए।
पीडीपीएल दंड और प्रवर्तन
यूएई डेटा ऑफिस (यूएईडीओ) के पास जांच, प्रशासनिक जुर्माना और आपराधिक मामलों के लिए सार्वजनिक अभियोजन के लिए रेफरल सहित व्यापक प्रवर्तन शक्तियां हैं।
प्रशासनिक दंड:
- नियंत्रक/प्रोसेसर दायित्वों के उल्लंघन के लिए AED 5 मिलियन ($1.36 मिलियन USD) तक का जुर्माना
- संवेदनशील डेटा से जुड़े उल्लंघनों या डेटा विषयों को नुकसान पहुंचाने के लिए AED 20 मिलियन ($5.44 मिलियन USD) तक का जुर्माना
आपराधिक दंड: अफवाहों और साइबर अपराधों से निपटने पर संघीय कानून संख्या 34/2021 कुछ डेटा-संबंधित अपराधों के लिए पीडीपीएल के साथ ओवरलैप होता है। विशिष्ट डेटा-संबंधित अपराधों के परिणामस्वरूप AED 3 मिलियन तक कारावास और/या जुर्माना हो सकता है।
डीआईएफसी आयुक्त जुर्माना: गंभीर उल्लंघनों के लिए असीमित जुर्माना; कम उल्लंघनों के लिए $100,000। डीआईएफसी ने ऐतिहासिक रूप से प्रकाशित निर्णयों के साथ सक्रिय रूप से लागू किया है।
यूएई डेटा सुरक्षा अनुपालन चेकलिस्ट
- प्रत्येक कानूनी इकाई के लिए निर्धारित लागू कानून (संघीय पीडीपीएल, डीआईएफसी डीपी कानून, एडीजीएम डीपीआर, या संयोजन)
- सभी प्रणालियों में व्यक्तिगत डेटा सूची पूरी हो गई
- संवेदनशील डेटा की पहचान की गई और सुरक्षा बढ़ा दी गई
- प्रत्येक प्रसंस्करण गतिविधि के लिए कानूनी आधार प्रलेखित
- सभी आवश्यक खुलासों को शामिल करते हुए गोपनीयता नोटिस प्रकाशित किया गया
- जहां आवश्यक हो वहां डीपीओ नियुक्त किया जाए; संपर्क जानकारी प्रकाशित
- डेटा विषय अधिकार प्रक्रियाएँ प्रलेखित (30-दिवसीय प्रतिक्रिया समयरेखा)
- प्रोसेसर समझौतों की समीक्षा की गई और उन्हें पीडीपीएल आवश्यकताओं के अनुसार अद्यतन किया गया
- सीमा पार स्थानांतरण मूल्यांकन पूरा हो गया है - तंत्र मौजूद हैं
- यदि लागू हो तो हेल्थकेयर डेटा स्थानीयकरण का मूल्यांकन किया गया
- सुरक्षा उपायों को जोखिम के अनुपात में प्रलेखित और कार्यान्वित किया गया
- उल्लंघन अधिसूचना प्रक्रिया प्रलेखित (72 घंटे की समयसीमा)
- पीडीपीएल/डीआईएफसी डीपी दायित्वों पर कर्मचारी प्रशिक्षण पूरा हुआ
- यूएईडीओ पंजीकरण का मूल्यांकन वर्तमान नियमों के तहत किया गया है
अक्सर पूछे जाने वाले प्रश्न
कौन सा यूएई डेटा संरक्षण कानून मेरे मुक्त क्षेत्र व्यवसाय पर लागू होता है?
यह आपके मुक्त क्षेत्र पर निर्भर करता है। डीआईएफसी में पंजीकृत व्यवसाय डीआईएफसी डेटा संरक्षण कानून 2020 के अधीन हैं, जो संघीय पीडीपीएल से स्वतंत्र है। ADGM में व्यवसाय ADGM डेटा सुरक्षा विनियम 2021 के अधीन हैं। अन्य मुक्त क्षेत्रों (JAFZA, DMCC, दुबई इंटरनेट सिटी, आदि) में व्यवसाय आम तौर पर मुक्त क्षेत्र के अपने नियमों के साथ-साथ संघीय PDPL के अधीन हैं। कई मामलों में, विशेष रूप से मुख्य भूमि संयुक्त अरब अमीरात और मुक्त क्षेत्रों में फैले व्यवसायों के लिए, कई रूपरेखाएँ लागू होती हैं।
क्या यूएई पीडीपीएल को डेटा स्थानीयकरण की आवश्यकता है?
यूएई पीडीपीएल स्वयं व्यापक डेटा स्थानीयकरण आवश्यकताओं को लागू नहीं करता है - उचित सुरक्षा उपायों के तहत सीमा पार हस्तांतरण की अनुमति है। हालाँकि, क्षेत्र-विशिष्ट नियम (विशेषकर स्वास्थ्य सेवा और वित्तीय सेवाएँ) विशिष्ट डेटा श्रेणियों के लिए स्थानीयकरण आवश्यकताओं को लागू कर सकते हैं। सेंट्रल बैंक ऑफ यूएई के साइबर सुरक्षा ढांचे और दुबई स्वास्थ्य प्राधिकरण के नियम कुछ विनियमित डेटा के लिए डेटा रेजिडेंसी दायित्वों को लागू करते हैं। पीडीपीएल के अलावा हमेशा सेक्टर-विशिष्ट आवश्यकताओं की जांच करें।
यूएई डेटा सुरक्षा क्लाउड सेवाओं पर कैसे लागू होती है?
यूएई व्यवसायों की ओर से यूएई के व्यक्तिगत डेटा को संसाधित करने वाले क्लाउड सेवा प्रदाता पीडीपीएल के तहत प्रोसेसर हैं। उन्हें नियंत्रकों के साथ प्रोसेसर समझौते में प्रवेश करना होगा, उचित सुरक्षा उपायों को लागू करना होगा और यदि डेटा संयुक्त अरब अमीरात के बाहर संग्रहीत किया जाता है तो सीमा पार हस्तांतरण आवश्यकताओं का पालन करना होगा। क्लाउड सेवाओं का उपयोग करने वाले यूएई व्यवसायों को सत्यापित करना चाहिए: क्लाउड प्रदाता की पीडीपीएल अनुपालन स्थिति, क्या बीएए/डीपीए मौजूद है, और क्या डेटा भंडारण स्थान को सीमा पार हस्तांतरण तंत्र की आवश्यकता है।
एआई और स्वचालित निर्णय लेने के प्रति यूएई का दृष्टिकोण क्या है?
यूएई पीडीपीएल में केवल स्वचालित प्रसंस्करण पर आधारित निर्णयों के अधीन न होने का अधिकार शामिल है जो महत्वपूर्ण कानूनी या समान महत्वपूर्ण प्रभाव उत्पन्न करते हैं - अनुरोध पर मानवीय हस्तक्षेप की आवश्यकता होती है। यूएई ने एक एआई एथिक्स फ्रेमवर्क और दुबई एआई रणनीति 2031 भी विकसित किया है, जो एआई में डेटा गोपनीयता और नैतिकता पर जोर देता है। महत्वपूर्ण निर्णयों (क्रेडिट स्कोरिंग, एचआर स्क्रीनिंग, ग्राहक वर्गीकरण) के लिए एआई का उपयोग करने वाले व्यवसायों को पीडीपीएल दायित्वों और सेक्टर-विशिष्ट एआई प्रशासन आवश्यकताओं दोनों का आकलन करना चाहिए।
यूएई डेटा सुरक्षा की तुलना जीडीपीआर से कैसे की जाती है?
यूएई पीडीपीएल जीडीपीआर के मूलभूत सिद्धांतों (वैधता, निष्पक्षता, पारदर्शिता, उद्देश्य सीमा, डेटा न्यूनतमकरण, सटीकता, भंडारण सीमा, सुरक्षा, जवाबदेही) और समान डेटा विषय अधिकारों को साझा करता है। हालाँकि, पीडीपीएल कुछ क्षेत्रों में कम निर्देशात्मक है - समयसीमा, डीपीओ योग्यता आवश्यकताएँ, और डीपीआईए आवश्यकताएँ जीडीपीआर की तुलना में कम विस्तृत हैं। डीआईएफसी डीपी कानून 2020 संरचना और विवरण में जीडीपीआर के काफी करीब है। जीडीपीआर और यूएई पीडीपीएल दोनों के अधीन संगठन पाएंगे कि जीडीपीआर अनुपालन पीडीपीएल अनुपालन के लिए एक मजबूत आधार बनाता है, जिसमें कुछ यूएई-विशिष्ट परिवर्धन की आवश्यकता है।
अगले चरण
यूएई के जटिल बहुस्तरीय डेटा सुरक्षा वातावरण - संघीय पीडीपीएल, डीआईएफसी, एडीजीएम और सेक्टर नियमों - के लिए एक संरचित अनुपालन दृष्टिकोण की आवश्यकता होती है जो प्रत्येक प्रासंगिक कानूनी इकाई और डेटा प्रवाह के लिए दायित्वों को मैप करता है। ECOSIRE की टीम के पास संयुक्त अरब अमीरात के मुक्त क्षेत्र और मुख्य भूमि के वातावरण में अनुपालन को नेविगेट करने का अनुभव है, जिसमें प्रौद्योगिकी प्लेटफ़ॉर्म कार्यान्वयन में विशेष विशेषज्ञता है जो एक साथ कई नियामक आवश्यकताओं को पूरा करती है।
आरंभ करें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। यूएई डेटा संरक्षण कानून विकसित हो रहे हैं और यह मार्गदर्शिका 2026 की शुरुआत की आवश्यकताओं को दर्शाती है। अपने संगठन और अधिकार क्षेत्र के लिए विशिष्ट सलाह के लिए योग्य यूएई कानूनी परामर्शदाता से परामर्श लें।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
Compliance & Regulation से और अधिक
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
GoHighLevel A2P 10DLC Compliance in 2026: Registration, Fees, and Fixing Blocked SMS
Complete GoHighLevel A2P 10DLC guide for 2026: brand and campaign registration steps, carrier fees, common rejection reasons, and how to fix filtered SMS.
GxP Validation for ERP Systems: What Your 2026 Validation RFP Must Require (CSV, IQ/OQ/PQ, Audit Trails)
What a GxP ERP validation RFP must require in 2026: CSV and CSA scope, 21 CFR Part 11, EU Annex 11, IQ/OQ/PQ deliverables, audit trails, and GAMP 5 risk.
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.