数据保护指南说明

本指南适用于遵守数据保护规定的阿布扎比国际金融中心注册实体('数据管理者')。该指南对处理个人数据的一般原则的目的和作用进行了说明,并会给出操作实例和回答常见问题。

这里访问指南


 

数据保护自我评估问卷

数据保护自我评估调查表可以协助注册实体评估其组织内目前的合规度,并突出强调可能需要注意地方。

这里访问自我评估问卷


数据保护常见问题

根据阿布扎比酋长国酋长殿下2013年第4号关于阿布扎比全球市场的法律第6(1)条,阿布扎比全球市场董事会行使其权力并在2015年10月4日通过2015数据保护条例(下称‘条例’)。上述‘条例’为阿布扎比全球市场内的个人数据的保护和其他相关目的提供支持。

该规定管理阿布扎比全球市场组织和企业如何使用个人信息。 所有在阿布扎比国际金融中心注册的公司要为数据使用负责,并在处理这些数据时必须遵守严格的规则。


这个术语是指在计算机上保存或打算在计算机上保存的信息,包括记录在纸上的信息。

它意味着信息 -

n   正在通过自动运行的设备进行处理,响应为此目的给出的指示,

n   记录的意图是它应该通过这样的设备进行处理,

n   被记录为相关文件系统的一部分,或意图成为相关文件系统的一部分,

n   是由政府机构持有的记录信息。


数据管理者是指阿布扎比全球市场上任何单独或与他人共同确定处理个人数据的目的和方式的人(不包括以其职员身份行事的自然人)。在默认情况下是在阿布扎比国际金融中心注册的或正在注册的实体。


数据处理者的定义是任何代表数据管理者处理个人数据的人(不包括以其职员身份行事的自然人)。数据处理者是独立于数据管理者的法人实体。数据处理者可能包括但不局限于由阿布扎比国际金融中心注册实体和集团公司总部指定的外部服务提供商。数据处理器可以不是阿布扎比国际金融中心注册实体。有无数据处理者是非强制性。

数据主体是指与个人数据相关的自然人或与特定的个人数据有关的人。 例如,这可能包括但不限于工作人员,客户或顾客。

该术语是指任何对个人数据采用自动或非自动方式进行的一个操作或一组操作。例如收集,记录,组织,存储,改编更改,检索,咨询,使用,通过传输、传播或其他共享的披露,排列组合,拦截,删除或销毁。同理可解释“已处理”,“多次处理”和“处理流程”。

就信息或数据而言,它是指获取,记录或保存信息或数据,或是对信息或数据进行以重或多重操作,包括:

n   组织,改编或更改信息或数据,

n   检索,咨询或使用信息或数据,

n   通过传输,传播或其他共享方式披露信息或数据,

n   排列,组合,拦截,删除或销毁信息或数据。


无论是否为第三方,接受者是任何接受个人资料披露的人,但这不包括任何由法律授予权力,因为个人提出或以该人名义提出特殊调查的披露接受者。

个人数据包括与已识别的自然人或可识别的自然人有关的任何信息。

它指与通过以下方式可被识别的个体相关的数据:

n   通过这些数据识别,

n   通过数据管理者拥有或可能拥有的数据和其他信息识别,

并包括任何关于个人意见的表达以及任何数据管理者或其他人对于个人的意图表示。


该术语是指可以直接或间接地通过参考身份号码或特定于他的身体,生理,精神,经济,文化或社会身份的一个或多个因素来识别的自然人。


数据管理员确定处理个人数据的目的和方式,并确保处理他们负责的个人数据符合规定。如果不这样做,则会有来自个人或数据主体的强制制裁和赔偿索求的风险。

数员据管理应确保他们处理的个人数据 -

公平,合法,安全地处理;

根据数据主体的权利,以具体,明确和合法的目的进行处理,如若有违这些目的和权力则不允许继续处理;

至于所搜集的或者需要进一步处理的目的,则需准确、相关且适度;

准确并在必要时保持更新;

保留一份表格,该表格允许数据主体的识别用途,但对数据主体的识别不能超出搜集和处理个人数据必要的范围。


个人资料只能按照“2015ADGM数据保护条例”第2节规定的要求进行处理。

每当数据管理者处理个人数据时,必须满足以下至少一个条件。

n   数据主体已经书面同意处理个人数据;

n   为执行数据主体参与的合同或为了在签订合同之前根据数据主体的要求采取的必要措施;

n   数据管理者因遵守任何监管或法律义务而必要的处理;

n   为了保护数据主体的切身利益,进行必要的处理;

n   处理任务是出于如下原因:保护阿布扎比国际金融中心的利益、行使数据控制中心授权的董事会、法院、登记员和管理者以及接受私人数据披露的第三方的职能和权力;

n   数据管理者或接受个人数据披露的第三方为实现合法权益,该合法权益因数据主体特定情况而被其强制性权益覆盖除外


根据2015阿布扎比国际金融中心数据保护条例,这是指的是个人资料泄露或与种族或民族、政治观点、宗教或哲学信仰,贸易‐工会会员和健康或性生活有(直接或间接)关系。

由于其性质的隐私性和可能的歧视性使用,必须比其他个人数据更加谨慎。 因此,阿布扎比国际金融中心注册实体在处理敏感个人数据时必须比其他类型的个人数据满足更严格的要求。


敏感个人数据除其他外主要包括以下类别。

♣种族或民族,

♣政治观点,

♣宗教信仰,

♣其他信仰,

♣身体或精神健康(在正常的人事管理过程中由负责您的工作人员保管,他们不能为个人目的使用或披露)

♣刑事判罚。

例:

敏感个人数据的分类可能包括不同程度的信息敏感度。比如,健康或性生活为敏感个人数据,而公开信息,例,如果有人手臂折断(因为任何人都可以看到该人将手臂置于石膏中)也会涉及与个人心理健康有关的“敏感”信息。


个人数据和敏感个人数据之间的差异可能在某些情况下很难定义。例如,与地址和出生日期有关的姓名是个人数据,而不是敏感的个人数据。但是,如果数据处理者器因这些姓名代表了某一宗教或种族而进行处理,例如发布针对该特定宗教或民族个人物品或服务的广告和营销材料,那么这将是敏感个人数据。

保护的充足性接受方依据的法律确保,并根据单个或一组个人数据传输操作的所有情况进行评估,这包括但不限于:

个人资料的性质;

n  提议的处理数据操作的目的和持续时间;

n  非来自阿布扎比国际金融中心的数据,私人数据的来源国和接收国;

n  接受者所遵守的任何相关法律,包括专业法规和安全措施。


登记员指定下列司法管辖区提供了充足的保护。该清单可能会不时更新,并在注册网站上发布相关信息。

1.阿根廷

2.奥地利

3.比利时

4.保加利亚

5.加拿大

6.塞浦路斯

7.捷克共和国

8.丹麦

9.爱沙尼亚

10.芬兰

11.法国

12.德国

13.希腊

14.根西岛

15.匈牙利

16.新泽西

17.冰岛

18.爱尔兰

19.马恩岛

20.意大利

21.拉脱维亚

22.列支敦士登

23.立陶宛

24.卢森堡

25.马耳他

26.荷兰

27.新西兰

28.挪威

29.波兰

30.葡萄牙

31.罗马尼亚

32.斯洛伐克

33.斯洛文尼亚

34.西班牙

35.瑞典

36.瑞士

37.联合王国

38.乌拉圭

39.美利坚合众国,服从接受美国 - 欧盟或美国 - 瑞士安全港的条款



请注意,只有满足以下条件时,才能将个人数据转移给不在法律确保充足保护级别下的接受者。

♣登记员已授予一份或一组转移许可,并且数据管理者在保护此类个人数据方面采取了适当的保护措施;

♣数据主体已书面同意提出的转移;

♣为履行数据主体与数据管理者之间的合同或执行为实现数据主体的要求而采取的合同前措施的必要转移;

♣为完成履行数据管理员与第三方之间的数据主体的利益达成协议而必要的转移;

♣对于起诉,应诉或上诉所必要的转移;

♣为了保护数据主体的切身利益的必要转移;

♣为了ADGM的利益的必要转移;

♣根据监管机构,警察或其他政府机构的要求进行的转移;

通过登记方式实现,在特定情况下法律规定的咨询条件得到满足时,依法律规定向公众提供信息,或向一般公众或任何可证明合法权益的人提供咨询进行的转移

♣为遵守数据管理者应服从的任何监管或法律义务进行的必要转移;

♣为了维护在国际金融市场上认可的数据管理者的合法利益进行的必要转移,但转移需按照适用的标准进行,并当因数据主体个人情况其合法权益优先于管理者权益时,转移不能进行

♣为服从适用在阿布扎比全球市场设立的数据管理者的监管,审计,会计,反洗钱或反恐怖融资义务而进行的必要转移,或为了预防或侦查任何犯罪行为进行的必要转移;

♣转移对象是阿布扎比全球市场以外的人员,且该人员将成为(在阿布扎比全球市场内设立的)数据管理者或是数据处理者,并在转移之前,转移方与接受方之间已经分别达成了本细则附表1或附表2所列的表格中具有法律约束力的协议;

♣根据集团的全球数据保护规范政策,在一集团的一个或多个成员之间进行的转移,同遵守在阿布扎比全球市场设立的政策一样,该集团所有正在或将要转移接收个人数据的成员都必须遵守该政策中关于个人数据和敏感个人数据使用限制的所有规定。


初始注册

作为有向意处理个人数据和敏感个人数据的阿布扎比国际金融中心实体,您必须获得其商务注册局的批准。我们的“数据保护初始注册表”(DP-01)中包含了相关申请,所有希望建立公司或合伙企业的申请者都应当提交。

年度更新

注册数据管理者的申请有效期限为一年,可以通过我们的在线渠道或提交纸质表格“注册延续申请-数据保护”并支付相应费用,每年更新一次。必须在公司成立/注册的每一周年都进行续约。

更改数据管理者的详细信息

数据管理员必须向书记官通知其任何详情变化。可以通过我们的在线渠道或纸质表格填写“数据管理者详细资料变更通知书”并支付相应费用完成此类更改通知。

指定一个新的数据处理者

数据管理员必须通知书记官数据处理者的任命或离职。第一次任命可以在初始登记表中进行。任何新的任命和离职通知可以通过我们的在线渠道或纸质表格填写“数据处理者任命/离职”并支付相应费用。

更改数据处理者的详细信息

数据管理员必须通知书记官数据处理者任何详细变化。此类通知可以通过我们的在线解决方案或纸质表格填写“数据处理者变更通知单”,并支付相应费用。

在阿布扎比全球市场外转移个人数据

请填写阿布扎比国际金融中心表格“转移数据到有充分保护的司法管辖区许可申请”,申请书记官批准将个人数据转移到2015年数据保护条例附录3中提及的司法管辖区中。

如果阿布扎比国际金融中心注册实体打算将个人数据传输给位于上述管辖区以外的收件人,请填写阿布扎比国际金融中心表格“转移数据到没有充分保护的管辖区许可申请”。




初始注册

300

数据保护年度更新

100

转移个人数据到其他司法管辖区许可申请

100

处理敏感个人数据许可申请

100

特殊情况修订

 -

违规通知

 -

数据管理者的任命/离职通知

 -

商业合同细节修订

 -




如何联系数据保护办公室

电子邮件:Data.Protection@adgm.com

电话:+971 2 333 8888

开放时间:上午9:00至下午3:00(周日至周四)