Dubaj sa v uplynulom čase stal metropolou vyhľadávanou podnikateľmi, okrem iného aj z dôvodu priaznivej legislatívy v oblasti regulácie kryptomien. Aktuálne zákony platné v Spojených arabských emirátoch predurčujú status Dubaja ako ornej pôdy pre krypto biznis. Či už si zvolíte oblasť kryptomien, alebo plánujete podnikať v Dubaji v inej sfére, novinka v podobe „dubajského GDPR“ by vám nemala uniknúť.
Spojené arabské emiráty schválili nový zákon o ochrane osobných údajov, ktorý vstúpil do účinnosti začiatkom roka 2022. V Dubaji sa preto premieta „ošiaľ“, ktorý sme v Európskej únii zažili v rokoch 2016 až 2018, z množstva nových povinností vzniknutých v dôsledku účinnosti pre nás vtedy nového nariadenia GDPR.
Koho by mala novinka v Dubaji zaujímať a prečo?
Pre nás azda najpodstatnejšou informáciou je, či sa na nás nový zákon o ochrane osobných údajov vzťahuje. Odpoveď na túto otázku sa môže líšiť v dôsledku toho, či máte zriadenú obchodnú spoločnosť priamo v Dubaji, resp. či na dubajský trh mierite s ponukou tovarov a služieb zo Slovenska, alebo ste európskym podnikateľom, ktorého tovary si síce občan Spojených arabských emirátov vie objednať, avšak vaša ponuka je mierená na európsky trh, prípadne primárne na Slovensko.
Dubajský zákon o ochrane osobných údajov sa vzťahuje na spracúvanie osobných údajov či už v časti alebo úplne automatizovanými aj neautomatizovanými spôsobmi, dotknutých osôb, ktoré majú tzv. domicil alebo miesto podnikania v Spojených arabských emirátoch. Ďalej sa týmto zákonom riadia všetci prevádzkovatelia osobných údajov, zriadení na území Emirátov a v neposlednom rade aj prevádzkovatelia z tretích krajín, ktorí spracúvajú osobné údaje dotknutých osôb zo Spojených arabských emirátov.
Uvedené znamená, že pravidlá vyplývajúce z nového zákona ste si povinný osvojiť jednak, ak máte zriadenú obchodnú spoločnosť v Spojených arabských emirátoch, ako aj v prípade, ak spracúvate osobné údaje osôb, ktoré majú bydlisko v tejto krajine, prostredníctvom vašej slovenskej obchodnej spoločnosti.
Vo všeobecnosti možno konštatovať, že by pre väčšinu európskych spoločností nemalo byť zosúladenie postupov s novou reguláciou v Emirátoch náročné za predpokladu, že majú dokumentáciu aj interné postupy v súlade s nariadením GDPR. Nový zákon o ochrane osobných údajov totiž vo veľkej miere zrkadlí ustanovenia nášho GDPR a až na niekoľko výnimiek možno povedať, že ide o skoro totožnú úpravu. Spomínané výnimky je však podstatné neprehliadnuť – v praxi by mohli predstavovať dôvod na uloženie sankcie.
Európskych podnikateľov môže prekvapiť napríklad nemožnosť aplikácie tzv. oprávneného záujmu ako právneho základu pre zákonné spracúvanie osobných údajov. Na Slovensku sa tento právny základ využíva v praxi najčastejšie napríklad pri monitorovaní priestorov prevádzok kamerovým systémom, pri niektorých formách priameho marketingu, či evidencií zoznamu osôb, ktoré vstúpili do budovy.
Na druhú stranu nová legislatíva pridáva niekoľko právnych základov, ktoré GDPR explicitne nevymenúva – patrí medzi ne napríklad oprávnenie spracúvať osobné údaje bez súhlasu dotknutej osoby v prípade, ak ich sama uverejnila. Nový zákon promptne reaguje aj na stále aktuálnu covid problematiku, obsiahnutím právneho základu pre spracúvanie osobných údajov na účely ochrany verejného zdravia.
Rozsiahla dokumentácia, na ktorú sme na Slovensku pri plnení informačnej povinnosti zvyknutí, sa v Dubaji výrazne obmedzuje na nevyhnutné minimum, ktoré je v zákone definované. Stále však zostava zachované právo dotknutých osôb na získanie doplňujúcich informácií, vykonávané podaním žiadosti. Prenos osobných údajov zo Spojených arabských emirátov mimo tohto územia dostal svoje pravidlá tiež. K zákonnému prenosu bude dochádzať v prípade prenosu do krajín, ktoré zabezpečujú v zmysle rozhodnutia dozorného orgánu adekvátnu mieru ochrany.
Okrem formálnych povinností, akými sú vypracovanie dokumentácie a plnenie informačnej povinnosti nesmieme ako v EÚ, tak aj na území Spojených arabských emirátov, zabúdať na praktickú implementáciu pravidiel na procesy spoločností. Ochrana osobných údajov totiž musí byť zabezpečená aj po technickej, resp. materiálnej stránke. Kde údaje ukladáte, kto k nim má prístup, po akú dobu sú uložené, aj ako spracúvanie ukončíte – toto je len zlomok z celkového množstva praktických otázok, ktoré je potrebné pre zákonné spracúvanie osobných údajov vyriešiť. Povinností je o to viac, ak spracúvate veľké množstvo rôznych druhov údajov, medzi ktoré môžu patriť údaje s osobitnou úpravou, akými sú citlivé údaje či údaje maloletých.
V úvode spomínaná krypto-sféra so sebou pri implementácii európskych AML pravidiel (pravidlá prijaté proti praniu špinavých peňazí) prináša aj povinnosť zbierať a overovať väčšie množstvo údajov. V týchto prípadoch je pre fungujúci biznis potrebné prijať správne know-how, ktoré zabezpečí jednak postupy v súlade s legislatívou, avšak formou, ktorá čo najmenej zaťaží zákazníka či biznis partnera, ale aj vás.