חוק מקיף להגנה על מידע אישי נחקק באיחוד האמירויות. החוק ייכנס לתוקף ביום 2.1.2022, ומיום פרסומו הרשמי תינתן לארגונים תקופה של 12 חודשים כדי להיערך ולעמוד בדרישותיו.
מדובר בחוק הפרטיות הפדרלי הראשון אי פעם של איחוד האמירויות. הוא מהווה חלק מרפורמה פדרלית רחבה המקיפה למעלה מ-40 חוקים נוספים שתוקנו או נחקקו. עד כה, רק באזורי הסחר החופשי של המרכז הפיננסי הבינלאומי של דובאי ובשוק העולמי של אבו דאבי חלו משטרי הגנה פורמליים על מידע אישי.
החוק יחול על מידע אישי שמעובד באמצעי ממוחשב או בכל אמצעי אחר. כמו ה-GDPR באיחוד האירופי, גם החוק החדש יחול על בעלי שליטה במידע או מעבדי מידע שמושבם באמירויות, ללא קשר למושבם של נושאי המידע, וכן על בעלי שליטה במידע או מעבדי מידע שמושבם מחוץ לאמירויות אך מעבדים מידע אישי על נושאי מידע באמירויות.
החוק לא יחול על גופים ציבוריים. בנוסף הוא אינו חל על מידע בריאותי ונתוני אשראי הכפופים לחקיקה ואזורי סחר חופשי עם חקיקה משלהם להגנה על מידע אישי. ארגונים הפועלים באזורי סחר חופשי ימשיכו להיות כפופים לחקיקה באזורים אלה.
החוק אוסר על עיבוד מידע אישי ללא הסכמת נושא המידע. ההסכמה לא תידרש רק כאשר העיבוד נחוץ כדי להגן על האינטרס הציבורי; העיבוד קשור למידע אישי שהפך להיות ידוע וזמין לכל על ידי בעל המידע אוֹ כאשר העיבוד נחוץ להליכים משפטיים.
החוק מעניק זכויות חדשות לנושאי המידע באמירויות ומאפשר להם יותר שליטה על המידע האישי שלהם, כגון זכות גישה למידע האישי, תיקונו, הגבלת או הפסקת עיבודו. במקביל הוא מחיל שורה של חובות על בעלי השליטה במידע, כגון הערכת סיכונים למידע האישי, דיווח על אירועי אבטחת מידע, מינוי קצין הגנת מידע וחובות בקשר להעברות מחוץ לאמירויות.
מכוח החוק תוקם רשות להגנת הפרטיות אשר תהיה אמונה בין היתר על הסדרה, פיקוח ואכיפה של החוק. מקורות: DataGuidance, Privacy Laws & Business, Emirates News Agency