Передача персональных данных за пределы ОАЭ в 2026 году

Почему передача данных из ОАЭ требует отдельной проверки

Компании в ОАЭ всё чаще используют международные CRM, облачные сервисы, HR-платформы, платежные решения, подрядчиков и группы компаний за пределами страны. На практике это почти всегда означает передачу персональных данных за границу: данных клиентов, сотрудников, пользователей, инвесторов, пациентов или контрагентов.

Главная сложность в том, что в ОАЭ нет одного универсального режима. Для mainland-компаний действует федеральный PDPL. Для DIFC и ADGM применяются собственные правила защиты данных. Отдельные отрасли, включая здравоохранение и финансовые услуги, также имеют специальные требования.

Kayrouz & Associates консультирует компании по вопросам защиты данных, договоров с обработчиками и трансграничной передачи информации. Такие вопросы особенно важны для технологических компаний в ОАЭ, финансовых организаций и международных групп.

Три режима: mainland, DIFC и ADGM

Федеральный режим применяется к большинству компаний за пределами специальных финансовых зон. Он регулирует обработку персональных данных, права субъектов, обязанности контролеров и процессоров, а также условия передачи данных в другие страны.

DIFC и ADGM используют отдельные режимы защиты данных, которые ближе к международным стандартам. Они особенно важны для финансовых услуг, fintech, фондов, семейных офисов и professional services. Компании, зарегистрированные в DIFC, должны оценивать свои обязанности отдельно от федерального режима. Это актуально и для DIFC-компаний, которые используют международные платформы и передают данные между офисами группы.

Какие механизмы передачи данных доступны

Компания должна определить правовое основание передачи и зафиксировать его документально. В зависимости от режима это может включать оценку страны получателя, договорные гарантии, согласие субъекта данных, необходимость передачи для исполнения договора, защиту правовых требований или иное допустимое основание.

В DIFC и ADGM обычно требуется более структурированный подход: проверка адекватности юрисдикции, contractual clauses, data processing agreements, transfer impact assessment и внутренние политики. Для федерального режима важно не ограничиваться общей формулировкой в privacy notice.

Проблема передачи данных внутри ОАЭ

Многие компании считают, что обмен данными между Дубаем, DIFC, ADGM и другими эмиратами является чисто внутренним процессом. На уровне бизнеса это понятно, но юридически ситуация сложнее. DIFC и ADGM имеют отдельные режимы защиты данных, поэтому transfer analysis может потребоваться даже внутри страны.

Отраслевые правила

Медицинские данные требуют повышенной осторожности. Клиники, лаборатории, healthtech-платформы и страховщики должны учитывать не только общий режим защиты данных, но и отраслевые требования к хранению, доступу и передаче информации. Для медицинского бизнеса ошибка может создать регуляторный и репутационный риск.

Финансовые организации, банки, платежные сервисы и fintech-компании должны учитывать требования лицензии, регулятора, AML, outsourcing и операционной устойчивости. Для компаний в сфере финансовых услуг передача данных часто связана с cloud hosting, KYC, transaction monitoring и group compliance.

Что должно быть в договоре с обработчиком

Договор с поставщиком должен описывать роли сторон, цель обработки, категории данных, меры безопасности, субподрядчиков, уведомление о breach, удаление или возврат данных и применимое право. Если поставщик использует серверы или субпроцессоров в других странах, это должно быть понятно заранее.

Практические шаги

• составить карту потоков персональных данных;
• разделить данные клиентов, сотрудников, пациентов и пользователей;
• проверить правовое основание каждой передачи;
• обновить privacy notice и data processing agreements;
• проверить CRM, облачные сервисы, HR-платформы и sub-processors;
• отдельно оценить медицинские, финансовые и KYC-данные.

Нужна помощь с data transfer compliance?

Kayrouz & Associates помогает компаниям оценивать трансграничные передачи данных, готовить privacy documents, data processing agreements, outsourcing clauses и внутренние процедуры. Чтобы обсудить ваш data transfer setup, свяжитесь с нашей командой.