हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंयूएई डेटा संरक्षण कानून: व्यवसाय अनुपालन गाइड
संयुक्त अरब अमीरात ने मध्य पूर्व में सबसे परिष्कृत डेटा सुरक्षा ढांचे में से एक विकसित किया है, जिसमें संघीय, मुक्त क्षेत्र और सेक्टर-विशिष्ट न्यायालयों में डेटा सुरक्षा को नियंत्रित करने वाले कई ओवरलैपिंग कानून हैं। यह समझना कि आपके व्यवसाय पर कौन सा कानून लागू होता है - और सभी लागू व्यवस्थाओं का अनुपालन सुनिश्चित करना - यूएई की तेजी से बढ़ती डिजिटल अर्थव्यवस्था में कानूनी रूप से संचालन के लिए आवश्यक है।
यूएई के प्राथमिक डेटा संरक्षण कानून में शामिल हैं: सितंबर 2021 से प्रभावी व्यक्तिगत डेटा (पीडीपीएल) के संरक्षण पर संघीय डिक्री-कानून संख्या 45/2021, डीआईएफसी डेटा संरक्षण कानून 2020 (दुबई इंटरनेशनल फाइनेंशियल सेंटर में व्यवसायों के लिए), एडीजीएम डेटा संरक्षण विनियम 2021 (अबू धाबी ग्लोबल मार्केट में व्यवसायों के लिए), और स्वास्थ्य सेवा, दूरसंचार और वित्तीय सेवाओं को कवर करने वाले सेक्टर-विशिष्ट नियम।
मुख्य बातें
- यूएई पीडीपीएल (संघीय डिक्री-कानून संख्या 45/2021) यूएई में बाह्य-क्षेत्रीय दायरे के साथ व्यक्तिगत डेटा प्रोसेसिंग पर लागू होता है
- डीआईएफसी और एडीजीएम मुक्त क्षेत्रों के पास जीडीपीआर पर आधारित अपने स्वयं के स्वतंत्र डेटा संरक्षण कानून हैं
- यूएई पीडीपीएल प्रसंस्करण के लिए आठ कानूनी आधार प्रदान करता है; सहमति और वैध हितों का सबसे अधिक उपयोग किया जाता है
- डेटा विषय अधिकारों में पहुंच, सुधार, विलोपन, पोर्टेबिलिटी, सहमति वापस लेना और आपत्ति शामिल है
- सीमा पार डेटा स्थानांतरण के लिए या तो पर्याप्तता निर्धारण या उचित सुरक्षा उपायों की आवश्यकता होती है
- यूएई डेटा ऑफिस (यूएईडीओ) संघीय पर्यवेक्षी प्राधिकरण है; डीआईएफसी आयुक्त और एडीजीएम नियामक प्राधिकरण अपने संबंधित मुक्त क्षेत्रों की देखरेख करते हैं
- पीडीपीएल के तहत जुर्माने में एईडी 20 मिलियन ($5.4 मिलियन यूएसडी) तक का जुर्माना और कुछ उल्लंघनों के लिए कारावास शामिल है।
- हेल्थकेयर डेटा, वित्तीय डेटा और बायोमेट्रिक डेटा को संवेदनशील डेटा के रूप में बढ़ी हुई सुरक्षा प्राप्त होती है
यूएई डेटा सुरक्षा ढांचा: ओवरलैपिंग क्षेत्राधिकार
संघीय पीडीपीएल (यूएई मुख्यभूमि)
व्यक्तिगत डेटा संरक्षण पर संघीय डिक्री-कानून संख्या 45/2021 (आमतौर पर पीडीपीएल या यूएई डीपीएल कहा जाता है) इस पर लागू होता है:
- संयुक्त अरब अमीरात में रहने वाले प्राकृतिक व्यक्ति
- संयुक्त अरब अमीरात में या संयुक्त अरब अमीरात के निवासियों के बारे में व्यक्तिगत डेटा संसाधित करने वाली कोई भी संस्था, चाहे प्रसंस्करण कहीं भी हो
- कानूनी व्यक्ति जो संयुक्त अरब अमीरात क्षेत्र के भीतर व्यक्तिगत डेटा संसाधित करते हैं
पीडीपीएल को कार्यकारी विनियमन कैबिनेट निर्णय संख्या 33/2022 द्वारा पूरक किया गया था, जो विस्तृत कार्यान्वयन आवश्यकताओं को प्रदान करता है। यूएई डेटा ऑफिस (यूएईडीओ) प्रवर्तन, पंजीकरण आवश्यकताओं और मार्गदर्शन जारी करने की देखरेख करता है।
डीआईएफसी डेटा संरक्षण कानून 2020 (डीपी कानून)
दुबई इंटरनेशनल फाइनेंशियल सेंटर (डीआईएफसी) अंग्रेजी आम कानून पर आधारित अपनी कानूनी प्रणाली के साथ एक स्वतंत्र मुक्त क्षेत्र है। डीआईएफसी डेटा संरक्षण कानून 2020, डीआईएफसी डेटा संरक्षण आयुक्त द्वारा प्रशासित, संरचना और आवश्यकताओं में जीडीपीआर को बारीकी से प्रतिबिंबित करता है। यह इस पर लागू होता है:
- डीआईएफसी-पंजीकृत संस्थाएं जो व्यक्तिगत डेटा संसाधित करती हैं
- डीआईएफसी के बाहर की संस्थाएं जो डीआईएफसी में व्यक्तियों के डेटा को संसाधित करती हैं
एडीजीएम डेटा सुरक्षा विनियम 2021
अबू धाबी ग्लोबल मार्केट (एडीजीएम) मुक्त क्षेत्र एडीजीएम पंजीकरण प्राधिकरण द्वारा प्रशासित डेटा सुरक्षा नियमों के साथ डीआईएफसी के समान दृष्टिकोण का पालन करता है। ये नियम जीडीपीआर सिद्धांतों का भी बारीकी से पालन करते हैं।
व्यावहारिक निहितार्थ: डीआईएफसी-पंजीकृत सहायक कंपनी और एडीजीएम शाखा के साथ दुबई मुख्य भूमि से संचालित होने वाला व्यवसाय संभावित रूप से सभी तीन व्यवस्थाओं के तहत दायित्वों का सामना करता है। आपकी कानूनी इकाई संरचना को समझना अनुपालन मानचित्रण के लिए प्रारंभिक बिंदु है।
यूएई पीडीपीएल: मुख्य दायित्व
व्यक्तिगत डेटा परिभाषा और श्रेणियाँ
यूएई पीडीपीएल के तहत, व्यक्तिगत डेटा का अर्थ कोई भी डेटा है जो प्रत्यक्ष या अप्रत्यक्ष रूप से किसी प्राकृतिक व्यक्ति की पहचान की ओर ले जाता है, चाहे वह नाम, आवाज, तस्वीर, पहचान संख्या, या शारीरिक, मनोवैज्ञानिक, आर्थिक, सांस्कृतिक या सामाजिक पहचान से संबंधित किसी अन्य विशेषता या डेटा से हो।
संवेदनशील व्यक्तिगत डेटा (उच्च सुरक्षा की आवश्यकता) में शामिल हैं:
- परिवार या नस्लीय मूल से संबंधित डेटा
- राजनीतिक राय
- धार्मिक या दार्शनिक मान्यताएँ
- आपराधिक रिकॉर्ड से संबंधित डेटा
- बायोमेट्रिक डेटा
- स्वास्थ्य डेटा
- बच्चों से संबंधित डेटा
संवेदनशील डेटा को संसाधित करने के लिए स्पष्ट सहमति की आवश्यकता होती है या यह विशिष्ट छूट (कानूनी दायित्व, चिकित्सा आवश्यकता, महत्वपूर्ण हित) के अंतर्गत आता है।
प्रसंस्करण के लिए कानूनी आधार
यूएई पीडीपीएल का अनुच्छेद 5 आठ कानूनी आधारों को मान्यता देता है:
- डेटा विषय की स्पष्ट सहमति
- डेटा विषय के साथ अनुबंध निष्पादन
- कानूनी दायित्व का अनुपालन
- डेटा विषय या किसी तीसरे पक्ष के महत्वपूर्ण हितों की सुरक्षा
- सार्वजनिक हित या आधिकारिक अधिकार का प्रयोग
- नियंत्रक या किसी तीसरे पक्ष के वैध हित (जब तक कि डेटा विषय के हितों से ओवरराइड न हो)
- कानूनी दावों की स्थापना, अभ्यास, या बचाव
- सार्वजनिक हित में संग्रह, अनुसंधान, या सांख्यिकीय उद्देश्य
सहमति आवश्यकताएँ: यूएई पीडीपीएल के तहत, सहमति स्पष्ट, विशिष्ट, सूचित और सत्यापन योग्य होनी चाहिए। नियंत्रक को यह प्रदर्शित करने में सक्षम होना चाहिए कि सहमति प्राप्त की गई थी। सहमति वापस लेना भी उतना ही आसान होना चाहिए जितना इसे देना, और सहमति वापस लेने पर सहमति पर आधारित प्रक्रिया बंद होनी चाहिए।
डेटा विषय अधिकार
यूएई पीडीपीएल डेटा विषयों के अधिकार प्रदान करता है जिन्हें 30 दिनों के भीतर पूरा किया जाना चाहिए (उचितीकरण के साथ विस्तार योग्य):
| सही है | विवरण |
|---|---|
| पहुंच का अधिकार | संसाधित किये जा रहे व्यक्तिगत डेटा की एक प्रति प्राप्त करें |
| सुधार का अधिकार | ग़लत या अधूरे डेटा को सही करें |
| मिटाने का अधिकार | निर्दिष्ट परिस्थितियों में डेटा हटाएं (सहमति वापस ले ली गई, प्रसंस्करण गैरकानूनी) |
| प्रतिबंध का अधिकार | विवाद समाधान लंबित रहने तक प्रसंस्करण प्रतिबंधित करें |
| पोर्टेबिलिटी का अधिकार | एक संरचित, मशीन-पठनीय प्रारूप में डेटा प्राप्त करें |
| सहमति वापस लेने का अधिकार | पूर्व प्रसंस्करण को प्रभावित किए बिना किसी भी समय सहमति वापस लें |
| आपत्ति करने का अधिकार | वैध हितों के आधार पर प्रसंस्करण पर आपत्ति |
| स्वचालित निर्णयों के अधीन न होने का अधिकार | महत्वपूर्ण प्रभावों के साथ पूरी तरह से स्वचालित निर्णयों पर आपत्ति |
अधिकारों का प्रयोग: नियंत्रकों को अधिकार अनुरोध प्राप्त करने और उनका जवाब देने के लिए स्पष्ट चैनल स्थापित करने होंगे। इनकारों को औचित्य के साथ प्रलेखित किया जाना चाहिए।
नियंत्रक और प्रोसेसर दायित्व
नियंत्रक दायित्व
यूएईडीओ के साथ पंजीकरण: व्यक्तिगत डेटा संसाधित करने वाले व्यवसायों को यूएई डेटा कार्यालय के साथ पंजीकरण करने की आवश्यकता हो सकती है। यूएईडीओ अतिरिक्त नियमों के माध्यम से पंजीकरण आवश्यकताओं को विकसित कर रहा है - वर्तमान आवश्यकताओं के लिए यूएईडीओ मार्गदर्शन की निगरानी करें।
गोपनीयता सूचना: डेटा संग्रह के समय या उससे पहले विषयों को निम्नलिखित का खुलासा करते हुए प्रदान किया जाना चाहिए:
- नियंत्रक की पहचान और संपर्क विवरण
- प्रसंस्करण के उद्देश्य और कानूनी आधार
- एकत्र किए गए व्यक्तिगत डेटा की श्रेणियाँ
- डेटा अवधारण अवधि
- डेटा विषय अधिकार और उनका प्रयोग कैसे करें
- सीमा पार स्थानांतरण के बारे में जानकारी
- डेटा का प्रावधान अनिवार्य है या स्वैच्छिक
डेटा सुरक्षा अधिकारी: यूएई पीडीपीएल को निम्नलिखित के लिए डेटा सुरक्षा अधिकारी (डीपीओ) की नियुक्ति की आवश्यकता है:
- सार्वजनिक निकाय
- नियंत्रक या प्रोसेसर जिनकी मुख्य गतिविधियों के लिए व्यक्तियों की बड़े पैमाने पर व्यवस्थित निगरानी की आवश्यकता होती है
- नियंत्रक या प्रोसेसर जिनकी मुख्य गतिविधियों में संवेदनशील डेटा का बड़े पैमाने पर प्रसंस्करण शामिल है
इन मानदंडों को पूरा नहीं करने वाले निजी व्यवसाय अभी भी शासन उद्देश्यों के लिए डीपीओ नियुक्त करने से लाभान्वित हो सकते हैं।
सुरक्षा उपाय: प्रसंस्करण की प्रकृति, दायरे, संदर्भ और उद्देश्यों और डेटा विषय अधिकारों के जोखिमों पर विचार करते हुए उचित तकनीकी और संगठनात्मक सुरक्षा उपायों को लागू करें।
प्रोसेसर समझौते
प्रोसेसर को केवल प्रलेखित नियंत्रक निर्देशों पर ही डेटा संसाधित करना चाहिए। नियंत्रकों और प्रोसेसरों के बीच समझौते में निम्नलिखित शामिल होने चाहिए:
- डाटा प्रोसेसिंग निर्देश और दायरा
- गोपनीयता दायित्व
- सुरक्षा आवश्यकताएँ
- उप-प्रोसेसर प्रतिबंध
- डेटा विषय अधिकारों के साथ सहायता
- डेटा वापसी या विलोपन दायित्व
सीमा पार डेटा स्थानांतरण नियम
यूएई पीडीपीएल का अनुच्छेद 22 यूएई के बाहर व्यक्तिगत डेटा के हस्तांतरण को प्रतिबंधित करता है। अनुमत स्थानांतरण तंत्र:
| तंत्र | आवश्यकताएँ |
|---|---|
| पर्याप्तता निर्णय | पर्याप्त सुरक्षा स्तर वाले देश में स्थानांतरण (प्रति यूएईडीओ निर्धारण) |
| उचित सुरक्षा उपाय | मानक संविदात्मक धाराएँ या बाध्यकारी कॉर्पोरेट नियम |
| कॉर्पोरेट नियमों को बाध्य करना | सहयोगियों के बीच इंट्राग्रुप स्थानांतरण के लिए |
| स्पष्ट सहमति | डेटा विषय की सूचित सहमति |
| अनुबंध की आवश्यकता | डेटा विषय और नियंत्रक के बीच अनुबंध निष्पादन के लिए स्थानांतरण आवश्यक |
| कानूनी कार्यवाही | कानूनी दावों के लिए स्थानांतरण आवश्यक |
| महत्वपूर्ण रुचियाँ | महत्वपूर्ण हितों की रक्षा हेतु स्थानांतरण आवश्यक |
यूएईडीओ पर्याप्तता निर्णय: यूएईडीओ पर्याप्त डेटा सुरक्षा वाले देशों की सूची विकसित कर रहा है। 2026 की शुरुआत तक, औपचारिक पर्याप्तता सूची अभी भी स्थापित की जा रही है। व्यवहार में, कई संयुक्त अरब अमीरात व्यवसाय सीमा पार हस्तांतरण के लिए संविदात्मक शर्तों का उपयोग करते हैं।
मुक्त क्षेत्र संबंधी विचार: डीआईएफसी और एडीजीएम के पास अपने स्वयं के स्थानांतरण तंत्र हैं। डीआईएफसी डेटा संरक्षण कानून पर्याप्त देशों (जीडीपीआर-पर्याप्त देशों सहित), बाध्यकारी कॉर्पोरेट नियमों और मानक संविदात्मक धाराओं में स्थानांतरण को मान्यता देता है। डीआईएफसी आयुक्त ने विशिष्ट स्थानांतरण तंत्र को मंजूरी दे दी है।
डीआईएफसी डेटा संरक्षण कानून 2020 — मुख्य अंतर
डीआईएफसी में या उसके माध्यम से संचालित होने वाले व्यवसायों के लिए, डीआईएफसी डीपी कानून 2020 सीधे लागू होता है और संघीय पीडीपीएल की तुलना में अधिक जीडीपीआर-संरेखित है। मुख्य विशेषताएं:
छह वैध आधार (जीडीपीआर से मेल खाते हुए): सहमति, अनुबंध, कानूनी दायित्व, महत्वपूर्ण हित, सार्वजनिक कार्य, वैध हित
सख्त सहमति आवश्यकताएँ: व्यक्तिगत डेटा की विशेष श्रेणियों के प्रसंस्करण के लिए लिखित सहमति आवश्यक; सहमति स्वतंत्र रूप से दी जानी चाहिए (शक्ति असंतुलन पर विचार लागू होता है)
डेटा उल्लंघन अधिसूचना: डीआईएफसी आयुक्त को 72 घंटे की अधिसूचना; व्यक्तिगत अधिसूचना जहां उच्च जोखिम है - जीडीपीआर समय के समान
डीपीओ आवश्यकता: जीडीपीआर के समान सीमाएँ (व्यवस्थित निगरानी, बड़े पैमाने पर विशेष श्रेणी डेटा, सार्वजनिक प्राधिकरण)
जुर्माना: लेवल 1 के उल्लंघन के लिए $100,000 USD तक; लेवल 2 के लिए असीमित (गंभीर, जानबूझकर या लापरवाह उल्लंघन)
डेटा सुरक्षा प्रभाव आकलन: उच्च जोखिम वाले प्रसंस्करण के लिए आवश्यक (जीडीपीआर अनुच्छेद 35 के समान ट्रिगर)
सेक्टर-विशिष्ट डेटा सुरक्षा आवश्यकताएँ
हेल्थकेयर डेटा
यूएई का स्वास्थ्य डेटा कानून (संघीय कानून संख्या 2/2019) और दुबई स्वास्थ्य प्राधिकरण नियम स्वास्थ्य देखभाल डेटा पर अतिरिक्त आवश्यकताएं लगाते हैं:
- स्वास्थ्य देखभाल डेटा साझा करने के लिए रोगी की सहमति आवश्यक है (सार्वजनिक स्वास्थ्य और अनुसंधान के लिए विशिष्ट अपवादों के साथ)
- हेल्थकेयर डेटा को संयुक्त अरब अमीरात के भीतर संग्रहीत किया जाना चाहिए जब तक कि सीमा पार स्थानांतरण विशेष रूप से अधिकृत न हो
- इलेक्ट्रॉनिक स्वास्थ्य रिकॉर्ड को विशिष्ट सुरक्षा और अंतरसंचालनीयता मानकों को पूरा करना होगा
- दुबई स्वास्थ्य प्राधिकरण स्वास्थ्य देखभाल डेटा के लिए अनिवार्य डेटा स्थानीयकरण आवश्यकताओं को बनाए रखता है
वित्तीय सेवाएँ
यूएई सेंट्रल बैंक और सिक्योरिटीज एंड कमोडिटीज अथॉरिटी (एससीए) के पास वित्तीय संस्थानों के लिए डेटा सुरक्षा और साइबर सुरक्षा आवश्यकताएं हैं। मुख्य आवश्यकताओं में शामिल हैं:
- ग्राहक डेटा वर्गीकरण और संवेदनशीलता के अनुपात में सुरक्षा
- निर्धारित समय सीमा के भीतर डेटा उल्लंघनों की ग्राहक अधिसूचना
- सहमति के बिना ग्राहक वित्तीय डेटा साझा करने पर प्रतिबंध
- साइबर सुरक्षा ढांचा अनुपालन (बैंकों के लिए सीबीयूएई साइबर सुरक्षा ढांचा)
दूरसंचार डेटा
दूरसंचार नियामक प्राधिकरण (टीआरए) दूरसंचार प्रदाताओं द्वारा व्यक्तिगत डेटा प्रोसेसिंग को नियंत्रित करता है, जिसमें शामिल हैं:
- सब्सक्राइबर गोपनीयता सुरक्षा
- कॉल डिटेल रिकॉर्ड एक्सेस प्रतिबंध
- स्थान डेटा सुरक्षा
- कुछ दूरसंचार डेटा के लिए डेटा स्थानीयकरण आवश्यकताएँ
यूएई पीडीपीएल के तहत उल्लंघन अधिसूचना
यूएई पीडीपीएल के अनुच्छेद 16 में नियंत्रकों को सूचित करने की आवश्यकता है:
- यूएई डेटा कार्यालय: व्यक्तिगत डेटा उल्लंघन के बारे में पता चलने के 72 घंटों के भीतर, जिसके परिणामस्वरूप डेटा विषयों को नुकसान होने की संभावना है
- डेटा विषय: यदि उल्लंघन के परिणामस्वरूप उनके अधिकारों के लिए उच्च जोखिम होने की संभावना है तो बिना किसी देरी के
यूएईडीओ को अधिसूचना में शामिल होना चाहिए:
- उल्लंघन की प्रकृति
- प्रभावित डेटा विषयों की श्रेणियाँ और अनुमानित संख्या
- प्रभावित व्यक्तिगत डेटा रिकॉर्ड की श्रेणियाँ और अनुमानित संख्या
- डीपीओ का संपर्क विवरण
- उल्लंघन के संभावित परिणाम
- उल्लंघन को संबोधित करने के लिए उठाए गए या प्रस्तावित उपाय
दस्तावेज़ीकरण: भले ही किसी अधिसूचना की आवश्यकता नहीं है (क्योंकि डेटा विषयों के लिए जोखिम की संभावना नहीं है), उल्लंघन को तथ्यों, प्रभावों और उपचारात्मक कार्रवाइयों के साथ आंतरिक रूप से प्रलेखित किया जाना चाहिए।
पीडीपीएल दंड और प्रवर्तन
यूएई डेटा ऑफिस (यूएईडीओ) के पास जांच, प्रशासनिक जुर्माना और आपराधिक मामलों के लिए सार्वजनिक अभियोजन के लिए रेफरल सहित व्यापक प्रवर्तन शक्तियां हैं।
प्रशासनिक दंड:
- नियंत्रक/प्रोसेसर दायित्वों के उल्लंघन के लिए AED 5 मिलियन ($1.36 मिलियन USD) तक का जुर्माना
- संवेदनशील डेटा से जुड़े उल्लंघनों या डेटा विषयों को नुकसान पहुंचाने के लिए AED 20 मिलियन ($5.44 मिलियन USD) तक का जुर्माना
आपराधिक दंड: अफवाहों और साइबर अपराधों से निपटने पर संघीय कानून संख्या 34/2021 कुछ डेटा-संबंधित अपराधों के लिए पीडीपीएल के साथ ओवरलैप होता है। विशिष्ट डेटा-संबंधित अपराधों के परिणामस्वरूप AED 3 मिलियन तक कारावास और/या जुर्माना हो सकता है।
डीआईएफसी आयुक्त जुर्माना: गंभीर उल्लंघनों के लिए असीमित जुर्माना; कम उल्लंघनों के लिए $100,000। डीआईएफसी ने ऐतिहासिक रूप से प्रकाशित निर्णयों के साथ सक्रिय रूप से लागू किया है।
यूएई डेटा सुरक्षा अनुपालन चेकलिस्ट
- प्रत्येक कानूनी इकाई के लिए निर्धारित लागू कानून (संघीय पीडीपीएल, डीआईएफसी डीपी कानून, एडीजीएम डीपीआर, या संयोजन)
- सभी प्रणालियों में व्यक्तिगत डेटा सूची पूरी हो गई
- संवेदनशील डेटा की पहचान की गई और सुरक्षा बढ़ा दी गई
- प्रत्येक प्रसंस्करण गतिविधि के लिए कानूनी आधार प्रलेखित
- सभी आवश्यक खुलासों को शामिल करते हुए गोपनीयता नोटिस प्रकाशित किया गया
- जहां आवश्यक हो वहां डीपीओ नियुक्त किया जाए; संपर्क जानकारी प्रकाशित
- डेटा विषय अधिकार प्रक्रियाएँ प्रलेखित (30-दिवसीय प्रतिक्रिया समयरेखा)
- प्रोसेसर समझौतों की समीक्षा की गई और उन्हें पीडीपीएल आवश्यकताओं के अनुसार अद्यतन किया गया
- सीमा पार स्थानांतरण मूल्यांकन पूरा हो गया है - तंत्र मौजूद हैं
- यदि लागू हो तो हेल्थकेयर डेटा स्थानीयकरण का मूल्यांकन किया गया
- सुरक्षा उपायों को जोखिम के अनुपात में प्रलेखित और कार्यान्वित किया गया
- उल्लंघन अधिसूचना प्रक्रिया प्रलेखित (72 घंटे की समयसीमा)
- पीडीपीएल/डीआईएफसी डीपी दायित्वों पर कर्मचारी प्रशिक्षण पूरा हुआ
- यूएईडीओ पंजीकरण का मूल्यांकन वर्तमान नियमों के तहत किया गया है
अक्सर पूछे जाने वाले प्रश्न
कौन सा यूएई डेटा संरक्षण कानून मेरे मुक्त क्षेत्र व्यवसाय पर लागू होता है?
यह आपके मुक्त क्षेत्र पर निर्भर करता है। डीआईएफसी में पंजीकृत व्यवसाय डीआईएफसी डेटा संरक्षण कानून 2020 के अधीन हैं, जो संघीय पीडीपीएल से स्वतंत्र है। ADGM में व्यवसाय ADGM डेटा सुरक्षा विनियम 2021 के अधीन हैं। अन्य मुक्त क्षेत्रों (JAFZA, DMCC, दुबई इंटरनेट सिटी, आदि) में व्यवसाय आम तौर पर मुक्त क्षेत्र के अपने नियमों के साथ-साथ संघीय PDPL के अधीन हैं। कई मामलों में, विशेष रूप से मुख्य भूमि संयुक्त अरब अमीरात और मुक्त क्षेत्रों में फैले व्यवसायों के लिए, कई रूपरेखाएँ लागू होती हैं।
क्या यूएई पीडीपीएल को डेटा स्थानीयकरण की आवश्यकता है?
यूएई पीडीपीएल स्वयं व्यापक डेटा स्थानीयकरण आवश्यकताओं को लागू नहीं करता है - उचित सुरक्षा उपायों के तहत सीमा पार हस्तांतरण की अनुमति है। हालाँकि, क्षेत्र-विशिष्ट नियम (विशेषकर स्वास्थ्य सेवा और वित्तीय सेवाएँ) विशिष्ट डेटा श्रेणियों के लिए स्थानीयकरण आवश्यकताओं को लागू कर सकते हैं। सेंट्रल बैंक ऑफ यूएई के साइबर सुरक्षा ढांचे और दुबई स्वास्थ्य प्राधिकरण के नियम कुछ विनियमित डेटा के लिए डेटा रेजिडेंसी दायित्वों को लागू करते हैं। पीडीपीएल के अलावा हमेशा सेक्टर-विशिष्ट आवश्यकताओं की जांच करें।
यूएई डेटा सुरक्षा क्लाउड सेवाओं पर कैसे लागू होती है?
यूएई व्यवसायों की ओर से यूएई के व्यक्तिगत डेटा को संसाधित करने वाले क्लाउड सेवा प्रदाता पीडीपीएल के तहत प्रोसेसर हैं। उन्हें नियंत्रकों के साथ प्रोसेसर समझौते में प्रवेश करना होगा, उचित सुरक्षा उपायों को लागू करना होगा और यदि डेटा संयुक्त अरब अमीरात के बाहर संग्रहीत किया जाता है तो सीमा पार हस्तांतरण आवश्यकताओं का पालन करना होगा। क्लाउड सेवाओं का उपयोग करने वाले यूएई व्यवसायों को सत्यापित करना चाहिए: क्लाउड प्रदाता की पीडीपीएल अनुपालन स्थिति, क्या बीएए/डीपीए मौजूद है, और क्या डेटा भंडारण स्थान को सीमा पार हस्तांतरण तंत्र की आवश्यकता है।
एआई और स्वचालित निर्णय लेने के प्रति यूएई का दृष्टिकोण क्या है?
यूएई पीडीपीएल में केवल स्वचालित प्रसंस्करण पर आधारित निर्णयों के अधीन न होने का अधिकार शामिल है जो महत्वपूर्ण कानूनी या समान महत्वपूर्ण प्रभाव उत्पन्न करते हैं - अनुरोध पर मानवीय हस्तक्षेप की आवश्यकता होती है। यूएई ने एक एआई एथिक्स फ्रेमवर्क और दुबई एआई रणनीति 2031 भी विकसित किया है, जो एआई में डेटा गोपनीयता और नैतिकता पर जोर देता है। महत्वपूर्ण निर्णयों (क्रेडिट स्कोरिंग, एचआर स्क्रीनिंग, ग्राहक वर्गीकरण) के लिए एआई का उपयोग करने वाले व्यवसायों को पीडीपीएल दायित्वों और सेक्टर-विशिष्ट एआई प्रशासन आवश्यकताओं दोनों का आकलन करना चाहिए।
यूएई डेटा सुरक्षा की तुलना जीडीपीआर से कैसे की जाती है?
यूएई पीडीपीएल जीडीपीआर के मूलभूत सिद्धांतों (वैधता, निष्पक्षता, पारदर्शिता, उद्देश्य सीमा, डेटा न्यूनतमकरण, सटीकता, भंडारण सीमा, सुरक्षा, जवाबदेही) और समान डेटा विषय अधिकारों को साझा करता है। हालाँकि, पीडीपीएल कुछ क्षेत्रों में कम निर्देशात्मक है - समयसीमा, डीपीओ योग्यता आवश्यकताएँ, और डीपीआईए आवश्यकताएँ जीडीपीआर की तुलना में कम विस्तृत हैं। डीआईएफसी डीपी कानून 2020 संरचना और विवरण में जीडीपीआर के काफी करीब है। जीडीपीआर और यूएई पीडीपीएल दोनों के अधीन संगठन पाएंगे कि जीडीपीआर अनुपालन पीडीपीएल अनुपालन के लिए एक मजबूत आधार बनाता है, जिसमें कुछ यूएई-विशिष्ट परिवर्धन की आवश्यकता है।
अगले चरण
यूएई के जटिल बहुस्तरीय डेटा सुरक्षा वातावरण - संघीय पीडीपीएल, डीआईएफसी, एडीजीएम और सेक्टर नियमों - के लिए एक संरचित अनुपालन दृष्टिकोण की आवश्यकता होती है जो प्रत्येक प्रासंगिक कानूनी इकाई और डेटा प्रवाह के लिए दायित्वों को मैप करता है। ECOSIRE की टीम के पास संयुक्त अरब अमीरात के मुक्त क्षेत्र और मुख्य भूमि के वातावरण में अनुपालन को नेविगेट करने का अनुभव है, जिसमें प्रौद्योगिकी प्लेटफ़ॉर्म कार्यान्वयन में विशेष विशेषज्ञता है जो एक साथ कई नियामक आवश्यकताओं को पूरा करती है।
आरंभ करें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। यूएई डेटा संरक्षण कानून विकसित हो रहे हैं और यह मार्गदर्शिका 2026 की शुरुआत की आवश्यकताओं को दर्शाती है। अपने संगठन और अधिकार क्षेत्र के लिए विशिष्ट सलाह के लिए योग्य यूएई कानूनी परामर्शदाता से परामर्श लें।
लेखक
ECOSIRE Research and Development Team
ECOSIRE में एंटरप्राइज़-ग्रेड डिजिटल उत्पाद बना रहे हैं। Odoo एकीकरण, ई-कॉमर्स ऑटोमेशन, और AI-संचालित व्यावसायिक समाधानों पर अंतर्दृष्टि साझा कर रहे हैं।
संबंधित लेख
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Compliance & Regulation से और अधिक
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.