Закон ОАЭ о защите персональных данных (PDPL): полный гайд для бизнеса в 2026 году

1. Что такое PDPL и почему это важно для вашего бизнеса

31 октября 2021 года ОАЭ сделали то, что большинство предпринимателей не ожидали: приняли первый в истории страны единый федеральный закон о защите персональных данных — Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data (сокращённо — PDPL). Закон вступил в силу 2 января 2022 года.

До этого ОАЭ существовали в правовом вакууме: разрозненные нормы о конфиденциальности были рассыпаны по отраслевым актам — банковскому законодательству, закону о киберпреступлениях (Federal Decree Law No. 34 of 2021 on Combatting Cybercrimes), телекоммуникационным регламентам. PDPL впервые создал единую горизонтальную рамку, обязательную для всего частного сектора, работающего на материковой части страны.

Параллельно с PDPL был принят Federal Decree-Law No. 44 of 2021, учредивший UAE Data Office — независимый федеральный регулятор, ответственный за надзор, правоприменение и выдачу разъяснений по закону. Именно этот орган уполномочен налагать штрафы и ограничивать обработку данных нарушителями.

Почему это важно для вашего бизнеса прямо сейчас? Закон применяется экстерриториально: если ваша компания обрабатывает данные резидентов ОАЭ, неважно, где физически находятся серверы или зарегистрирована компания. Это касается e-commerce-платформ, SaaS-сервисов, CRM-систем с базами клиентов, HR-инструментов и маркетинговых баз данных.

⚠ Важная оговорка: по состоянию на май 2026 года статус исполнительных регламентов к PDPL остаётся предметом профессиональных дискуссий. Ряд источников (DLA Piper, Clyde & Co) указывает, что полноценные Executive Regulations ещё не опубликованы в официальной Газете; другие источники ссылаются на Cabinet Decision No. 111/2023 как на действующий документ. Рекомендуем следить за официальным порталом uaelegislation.gov.ae и разъяснениями UAE Data Office.

2. Сфера применения: на кого распространяется PDPL

2.1. Кто обязан соблюдать закон

PDPL распространяется на любое лицо или организацию, которые обрабатывают персональные данные физических лиц, находящихся на территории ОАЭ, — вне зависимости от того, где зарегистрирована компания и где хранятся данные. Закон охватывает:

•       компании, зарегистрированные на материке ОАЭ (mainland);

•       компании во фризонах, не имеющих собственного законодательства о защите данных;

•       иностранные компании, если они предлагают товары или услуги резидентам ОАЭ либо отслеживают их поведение онлайн;

•       физических лиц, обрабатывающих данные в коммерческих целях.

2.2. Исключения — кого закон не касается

PDPL прямо исключает из своего действия несколько категорий:

•       государственные органы и публичные учреждения ОАЭ (на них действует отдельное регулирование);

•       фризоны с собственным законодательством о данных: DIFC (DIFC Data Protection Law No. 5 of 2020) и ADGM (ADGM Data Protection Regulations 2021) — у каждой из этих юрисдикций полноценный и более зрелый режим защиты данных, фактически выровненный с европейским GDPR;

•       персональные данные о здоровье и кредитные данные, если они регулируются отдельными федеральными отраслевыми законами;

•       обработка данных в сугубо личных, бытовых или домашних целях.

Практический вывод: если вы зарегистрированы в DIFC или ADGM, вам нужно смотреть на законодательство своей фризоны, а не на PDPL. Если вы работаете на mainland или в иных фризонах — PDPL ваш закон.

3. Ключевые понятия: что нужно знать до изучения обязательств

Закон строится на нескольких базовых определениях, которые определяют, в каком качестве выступает ваша компания и какие обязательства на неё ложатся.

Персональные данные

Любая информация, прямо или косвенно идентифицирующая физическое лицо: имя, номер удостоверения личности Emirates ID, голос, изображение, геолокация, IP-адрес, биометрические данные, культурные или социальные характеристики. Чем шире охват, тем больше бизнесов попадают в зону действия закона.

Чувствительные персональные данные (Sensitive Personal Data)

Отдельная, усиленно защищаемая категория: сведения об этническом происхождении, политических и религиозных убеждениях, судимостях, биометрические данные, информация о состоянии здоровья, генетические данные, данные о сексуальной жизни. Обработка этой категории требует явного согласия субъекта либо наличия специального правового основания.

Контролёр данных (Data Controller)

Организация или лицо, определяющее цели и способы обработки данных. На контролёре лежит основная нормативная нагрузка: именно он несёт ответственность за соблюдение закона.

Оператор данных (Data Processor)

Организация, обрабатывающая данные по поручению контролёра. Классический пример — облачный провайдер (AWS, Microsoft Azure), аутсорсинговая бухгалтерия, CRM-платформа. Оператор не определяет цели обработки, но несёт самостоятельные обязательства перед контролёром и обязан работать строго в рамках задокументированных инструкций.

Субъект данных (Data Subject)

Физическое лицо, чьи данные обрабатываются. Закон наделяет субъекта широким спектром прав, за реализацию которых отвечает контролёр.

4. Шесть принципов обработки данных по PDPL

В основе PDPL лежат принципы, знакомые тем, кто работал с GDPR: добросовестность и прозрачность, целевое ограничение, минимизация объёма данных, точность, ограничение сроков хранения, безопасность. Закон запрещает обрабатывать персональные данные без согласия субъекта, за исключением случаев, прямо предусмотренных законом:

•       исполнение договора с субъектом данных;

•       защита жизненно важных интересов субъекта;

•       выполнение правовой обязанности контролёра;

•       задачи публичного интереса или охраны общественного здоровья;

•       данные уже сделаны публичными самим субъектом;

•       исполнение трудовых обязательств или прав в сфере социальной защиты;

•       научные, статистические, исторические или архивные цели.

На практике для большинства коммерческих операций потребуется явное, информированное и свободно данное согласие субъекта. Важно: согласие должно быть доказуемым — то есть контролёр обязан хранить запись о том, как, когда и на что субъект дал согласие.

5. Права субъектов данных: что обязан обеспечить бизнес

PDPL закрепляет за физическими лицами следующие права, реализацию которых контролёр обязан обеспечить в разумные сроки:

•       Право на доступ (Right of Access): субъект вправе получить подтверждение того, обрабатываются ли его данные, и копию этих данных.

•       Право на исправление (Right to Rectification): субъект вправе требовать исправления неточных или устаревших данных.

•       Право на удаление (Right to Erasure / "Право быть забытым"): субъект вправе требовать удаления своих данных при наличии правовых оснований.

•       Право на переносимость данных (Right to Data Portability): субъект вправе получить данные в структурированном машиночитаемом формате и передать их другому контролёру.

•       Право на ограничение обработки (Right to Restriction): субъект вправе потребовать приостановить определённые операции с его данными.

•       Право на возражение (Right to Object): субъект вправе отозвать согласие или возразить против обработки в целях прямого маркетинга или профилирования.

Рекомендация: на практике каждая из этих прав требует операционного обеспечения — форм для подачи запросов, внутренних процедур их обработки и документирования, технических механизмов удаления или передачи данных. Это не юридическая формальность, а инфраструктурное требование.

6. Обязательства контролёра и оператора данных

6.1. Запись деятельности по обработке (Record of Processing Activities — ROPA)

Контролёр обязан вести подробный реестр всех операций по обработке данных: какие категории данных собираются, с какой целью, на каком правовом основании, кому передаются, где хранятся, как долго. ROPA — это первое, что проверит регулятор при аудите.

6.2. Оценка воздействия на защиту данных (Data Protection Impact Assessment — DPIA)

DPIA обязательна перед запуском высокорисковых операций по обработке: профилирование субъектов данных в масштабе, использование биометрических технологий, обработка данных детей, внедрение систем видеонаблюдения, автоматизированное принятие решений с правовыми последствиями. Оценка должна документировать выявленные риски и меры по их устранению.

6.3. Назначение ответственного за защиту данных (Data Protection Officer — DPO)

DPO обязателен в случаях крупномасштабной обработки чувствительных данных, системного мониторинга субъектов, а также в случаях, когда это прямо предусмотрено исполнительными регламентами. DPO выступает точкой контакта с UAE Data Office, отслеживает внутреннее соответствие требованиям и проводит обучение персонала. Функция DPO может быть передана внешнему провайдеру.

6.4. Договоры с операторами данных

Контролёр несёт ответственность за действия своих операторов. Любая передача данных третьей стороне — облачному провайдеру, маркетинговому агентству, аутсорсинговой платформе — должна быть оформлена договором об обработке данных (Data Processing Agreement), закрепляющим обязательства оператора и пределы его полномочий.

6.5. Технические и организационные меры защиты

Закон требует применения соразмерных технических и организационных мер для защиты данных от утраты, несанкционированного доступа, изменения или уничтожения. Это включает шифрование данных при хранении и передаче, ролевое разграничение доступа, регулярное тестирование систем безопасности и механизмы безопасного удаления данных по истечении срока хранения.

7. Уведомление об утечке данных: порядок и сроки

В случае нарушения безопасности персональных данных — кибератаки, случайного раскрытия, утери носителя — контролёр обязан немедленно уведомить UAE Data Office. Практика и разъяснения ведущих правовых фирм интерпретируют "немедленно" как не позднее 72 часов с момента, когда организация узнала об инциденте. Это прямое заимствование из европейской модели.

Если утечка создаёт высокий риск для прав и свобод субъектов данных, контролёр также обязан уведомить самих субъектов — без неоправданной задержки.

Критически важно: отсутствие заранее подготовленного плана реагирования на инциденты (Incident Response Plan) делает соблюдение 72-часового порога практически невозможным. Регулятор всё чаще оценивает не только сам факт утечки, но и скорость и прозрачность реакции компании.

8. Трансграничная передача персональных данных

Это один из наиболее сложных и практически значимых разделов PDPL для бизнеса с международными операциями. По умолчанию передача персональных данных за пределы ОАЭ запрещена, если только не выполнено одно из следующих условий:

•       Страна назначения признана UAE Data Office страной с адекватным уровнем защиты данных. (Перечень адекватных юрисдикций на момент публикации этой статьи находится в стадии формирования.)

•       Договорные гарантии (Standard Contractual Clauses — SCC): стороны заключают договор по стандартным условиям, одобренным UAE Data Office, либо в рамках Binding Corporate Rules (BCR).

•       Явное согласие субъекта данных: субъект дал информированное согласие на трансграничную передачу с пониманием рисков.

На практике: если ваша компания использует американские или европейские SaaS-инструменты (Salesforce, HubSpot, Google Workspace, AWS), хранит данные клиентов на зарубежных серверах или передаёт HR-данные в головной офис за рубежом — вы осуществляете трансграничную передачу и обязаны её надлежащим образом оформить.

9. DIFC и ADGM: отдельные режимы для финансовых фризон

Компании, зарегистрированные в DIFC и ADGM, работают в рамках своих, более зрелых и детально разработанных режимов защиты данных.

DIFC — DIFC Data Protection Law No. 5 of 2020

Действует с 1 октября 2020 года. Комиссар по защите данных DIFC (Data Protection Commissioner) полностью операционен и регулярно публикует решения по нарушениям. Максимальный штраф — неограниченный, по усмотрению Комиссара. Режим максимально близок к GDPR.

ADGM — ADGM Data Protection Regulations 2021

Аналогично, тесно выровнен с GDPR. Максимальный административный штраф — до 28 миллионов долларов США. Регулятор активен. Компании, работающие одновременно в ADGM и на mainland, могут подпадать под оба режима.

Важно: если компания зарегистрирована в DIFC или ADGM, но ведёт операционную деятельность на mainland ОАЭ и обрабатывает данные mainland-клиентов, она может оказаться в зоне пересечения сразу двух регуляторных режимов. Это требует отдельного правового анализа.

10. Ответственность за нарушения и санкции

PDPL предусматривает систему административных и уголовных санкций. Точные размеры штрафов по PDPL должны быть детально прописаны в исполнительных регламентах, статус которых по состоянию на май 2026 года остаётся предметом правовой неопределённости. Тем не менее из самого текста закона и сопутствующего киберзаконодательства вырисовывается следующая картина:

•       Административные штрафы: UAE Data Office вправе налагать финансовые санкции за нарушения требований PDPL. Ведущие правовые фирмы оценивают максимальный штраф в диапазоне от AED 50 000 до AED 5 000 000 и выше — по аналогии с соседними юрисдикциями.

•       Уголовная ответственность: незаконное раскрытие персональных данных влечёт уголовный штраф от AED 20 000 и лишение свободы на срок до одного года.

•       По Federal Decree Law No. 34 of 2021 on Combatting Cybercrimes: нарушения в сфере информационной безопасности могут повлечь штрафы до AED 5 000 000 в зависимости от характера нарушения.

•       Операционные ограничения: UAE Data Office вправе вынести предписание о приостановлении или полном запрете обработки данных — что для большинства цифровых бизнесов означает фактическую операционную остановку.

В DIFC и ADGM правоприменительная практика уже значительно богаче: регуляторы публикуют решения о нарушениях и накладывали реальные штрафы. Это ориентир того, что ожидать от PDPL по мере зрелости UAE Data Office.

11. Отраслевое применение: кто в зоне наибольшего риска

PDPL формально распространяется на весь частный сектор, однако степень риска неодинакова. Наибольшая концентрация обязательств — в следующих отраслях:

•       E-commerce и ритейл: история покупок, адреса доставки, поведенческий трекинг — всё это персональные данные, которые требуют прозрачных политик конфиденциальности, управления согласиями и договоров с логистическими партнёрами.

•       Финтех и платёжные сервисы: данные финансовых транзакций, верификация личности (KYC) — под надзором одновременно PDPL и отраслевого регулирования CBUAE.

•       SaaS и технологические компании: двойная роль контролёра и оператора данных; обязательства перед корпоративными клиентами по защите их клиентской базы; требования к безопасности API и облачных интеграций.

•       HR и рекрутинговые агентства: каждый работодатель в ОАЭ является контролёром данных сотрудников. Резюме, медицинские справки, биометрические данные (сканирование при входе) — всё регулируется PDPL.

•       Маркетинг и digital-агентства: сбор email-адресов, ретаргетинг, пиксели отслеживания, CRM-базы — каждый инструмент требует обоснованного правового основания для обработки данных.

•       Недвижимость: брокеры собирают Emirates ID, паспортные данные, финансовые документы — высокочувствительные данные с повышенными требованиями к безопасности.

12. Смежное законодательство: что работает в связке с PDPL

PDPL функционирует не в изоляции. Для формирования полной картины compliance-обязательств необходимо учитывать смежные нормативные акты:

•       Federal Decree-Law No. 34 of 2021 on Combatting Rumors and Cybercrimes: устанавливает уголовную ответственность за киберпреступления, включая несанкционированный доступ к данным и их неправомерное использование.

•       Federal Decree-Law No. 26 of 2025 on Child Digital Safety: с 2026 года цифровые платформы, работающие с пользователями до 18 лет, обязаны внедрять верификацию возраста, контентные фильтры и родительский контроль. Поведенческое профилирование детей в маркетинговых целях прямо запрещено.

•       Federal Decree-Law No. 44 of 2021 on the UAE Data Office: учредительный акт регулятора, определяющий его полномочия, структуру и порядок правоприменения.

•       Federal Law No. 3 of 2003 on Telecommunications (с поправками): регулирует конфиденциальность в сфере телекоммуникаций.

13. Практический чеклист для compliance с PDPL

Шаги к соответствию требованиям PDPL

•       Определить правовую роль: в каких операциях компания выступает контролёром, в каких — оператором данных.

•       Провести инвентаризацию данных: составить карту потоков данных — что собирается, где хранится, кому передаётся, на каком основании.

•       Разработать и опубликовать политику конфиденциальности на арабском и английском языках.

•       Внедрить управление согласиями: механизмы получения, хранения и отзыва согласий субъектов данных.

•       Заключить договоры об обработке данных со всеми операторами (облачными провайдерами, CRM-системами, аутсорсерами).

•       Оценить трансграничные передачи данных: идентифицировать все потоки за пределы ОАЭ и убедиться в наличии надлежащих правовых оснований.

•       Назначить DPO (при необходимости) или заключить договор с внешним провайдером функции DPO.

•       Разработать и протестировать план реагирования на инциденты (Incident Response Plan) с целевым показателем уведомления регулятора в течение 72 часов.

•       Провести обучение персонала: сотрудники, работающие с персональными данными, должны понимать требования закона.

•       Вести актуальный ROPA (реестр операций по обработке данных).

•       Следить за обновлениями UAE Data Office: по мере выхода исполнительных регламентов и разъяснений возможны уточнения обязательств.

14. Сравнение PDPL и GDPR: ключевые различия

PDPL сознательно строился на основе европейского GDPR, однако имеет ряд принципиальных отличий:

•       Консент как основное правовое основание: в PDPL он занимает более центральное место, чем в GDPR, где "легитимный интерес" даёт большую гибкость.

•       Исключения для отраслевых данных (здоровье, кредит) выведены в отдельные законы — в GDPR они регулируются в рамках того же акта.

•       Территориальная сложность: одновременное действие трёх систем (PDPL, DIFC DP Law, ADGM DP Regulations) создаёт фрагментированный ландшафт, требующий осторожной юрисдикционной навигации.

•       Зрелость правоприменения: GDPR действует с 2018 года и имеет огромную правоприменительную практику. PDPL — значительно моложе; UAE Data Office только формирует практику.

•       Пороги штрафов: в GDPR штрафы достигают 4% глобального оборота или 20 млн евро. В PDPL точные потолки закреплены в исполнительных регламентах, статус которых уточняется.

15. Выводы и стратегическая рекомендация

PDPL — это не временная регуляторная формальность, а долгосрочная структурная реальность для любого бизнеса, работающего с данными резидентов ОАЭ. Закон принят, регулятор создан, смежные акты ужесточаются (Federal Decree-Law No. 26 of 2025 on Child Digital Safety — свежий пример).

Стратегически правильная позиция — не ждать полноценного правоприменения, а выстраивать инфраструктуру соответствия сейчас, пока UAE Data Office находится на стадии операционного становления. Компании, создавшие прозрачные процессы работы с данными заранее, получают конкурентное преимущество: они быстрее проходят due diligence при привлечении инвестиций, легче выходят на рынки с высокими требованиями к privacy (ЕС, Великобритания), снижают операционные риски и укрепляют доверие клиентов.

Если вам нужна помощь в анализе вашей текущей архитектуры обработки данных и разработке плана соответствия требованиям PDPL, UPPERSETUP готов предоставить консультацию.