跳转到主要内容

文章分类

2020年5月21日,除《2020年数据保护条例》(“条例”)外,还颁布了《2020年第5号DIFC数据保护法》(“数据保护法”),于2020年7月1日生效,并于2020年10月1日起生效(统称为“DIFC立法”)。最近,在2022年3月8日,DIFC颁布了《DIFC法律修正法》,即20221年第2号DIFC法律(“修正法”),其中包括对若干DIFC法律的修正,包括《数据保护法》。本洞察文章概述了修订法颁布后数据保护法修订所带来的关键变化。

迪拜国际金融中心(“DIFC”)是阿联酋境内的一个金融自由区,阿联酋本身是由七个酋长国组成的联邦。作为金融自由区意味着阿联酋联邦民商法不适用,迪拜国际金融中心能够为所有民商事务创建自己的法律和监管框架。

《数据保护法》引入了各种要求,特别是使DIFC与欧盟的《一般数据保护条例》(条例(欧盟)2016/679)(“GDPR”)更为一致。

值得注意的是,《数据保护法》的修正案反映了DIFC的承诺,即保持其在该地区隐私立法中的领先地位,并包括对个人司法补救程序和《数据保护法解释规则》的澄清,以及在请求访问被认为是无理取闹或重复的数据的情况下,加强对控制器和处理器的问责要求。

合法处理的一般要求

《修正法》根据《数据保护法》第9条对合法和合法处理提出了新的一般要求,要求“以允许随时访问个人数据的方式处理个人数据,以符合法律[……]”。

数据主体权利

关于数据主体访问个人数据的权利,《修正法》在《数据保护法》第33(1)(b)条中规定,应以适当的格式提供正在处理的数据主体个人数据的副本以及关于其来源的可用信息,包括但不限于电子格式或硬拷贝格式。

此外,对《数据保护法》第9条的修正现在要求控制人保存一份其依赖第33(7)条或第33(8)条的实例登记册,涉及复杂或烦人的请求,并注明依赖这些条款的原因。

在这方面,《数据保护法》第33(10)条中指出,数据保护专员(“专员”)可通过检查上述登记册,要求提供额外信息或进行调查,以评估控制人根据第33(7)条或第33(8)条使用变更或豁免是否有效。此外,《数据保护法》第11条进一步规定,对第33(7)条或第33(8)条的无效依赖将使控制人受到《数据保护法》(Data Protection Law)第9部分规定的补救措施、责任和制裁。

专员

修订法还增加了《数据保护法》第43(6)条,规定关于DIFC主席任命专员的事宜,专员无需为其发起的与数据保护法有关的诉讼支付任何法庭费用,但是,如果专员是败诉方,且其行为不诚实或超出法定职能,法院有权对其判给费用。

此外,修正案包括扩大专员的权力。首先,在《数据保护法》第46(3)(d)条中,该条允许专员发布调查结果或作出违反或不违反《数据保护法律》的声明。第二,《数据保护法》第60(4)条规定,如果专员根据数据主体的投诉确定存在违反法律的行为,他们现在可以在投诉人和控制人之间就此类违反行为进行调解。

值得注意的是,关于罚款的征收,《数据保护法》修正案在第62(3)条中规定,除根据第62(2)条规定的行政罚款外,专员还可以对违反《数据保护法的行为处以一般罚款,金额不限于《数据保护法》附表2规定的金额。

向法院提出上诉

关于控制人和加工商在30天内针对特定裁决向迪拜国际金融中心法院(“法院”)提出上诉的权利,《数据保护法》修正案第63(3)条规定,上诉人只能依赖专员作出相关裁决时提交的材料。

此外,《数据保护法》修正案引入了第63(5)条,该条指出,对于专员参与的初审法院的任何诉讼,诉讼各方可对法院的决定提出上诉:

无需获得上诉法院的上诉许可;和

尽管有任何限制第二次上诉的程序规则。

本文:

文章链接