阿联酋个人信息保护法（General Data Protection Regulation）于2022年1月2日生效，是阿联酋第一个联邦通用的信息保护法规。该法遵循关键的国际数据保护原则和实践，建立了一个综合法律框架，以保护阿联酋个人的一般隐私。该法通过要求企业对员工个人信息的进行合规管理，进而实现对企业所控制的个人信息得到保护。同时阿联酋成立了首个国家数据保护监管机构，负责所有数据保护相关问题。对不合规行为实施行政处罚，并监督公司的合规情况。阿联酋个人信息保护法及其后续实施细则的颁布，以及数据保护监管机构的成立，都将对在阿联酋企业的员工个人信息合规产生很大的影响。下文将对该法相关内容进行介绍，以便企业根据该法相关规定，调整并规范处理员工个人信息的合规操作。

阿联酋的个人信息保护法一般适用于联邦层面，但是该法适用范围不扩展到拥有个人信息保护特别法的自贸区内的公司。对于这些公司，继续适用各自自贸区的有关规定。该法还具有域外效力，在阿联酋境外处理阿联酋境内自然人个人信息的活动也适用该法。

阿联酋个人信息保护法对信息控制人、信息处理人、以及信息处理和个人信息的概念进行了界定，该法对个人信息的定义范围非常广泛，包括任何直接或间接的标识符，如IP号码、声音、图像、位置或其他电子标识符，甚至涵盖假名（匿名）数据或聚合数据。个人信息的所有者生前或身故后，其个人信息都受到该法的保护。

·       信息控制者（Controller）是持有个人信息的任何实体或自然人，根据其所从事的活动，确定处理其信息的方法、标准和目的。

·       信息处理者（Processor）是代表信息控制人处理个人信息的任何人。

·       信息处理（Data Processing）是指部分或全部使用电子手段对个人数据进行的任何操作，例如收集、存储或传输。

·       个人信息（Personal Data）是指与已识别的自然人有关的或可用于识别该人的所有数据或信息，包括姓名、图像或地址，但也包括­表示身体、精神、经济、文化或社会身份的其他特征。该定义还包括敏感的个人信息和生物特征数据，敏感个人信息包括与个人家庭、宗教信仰、犯罪记录或健康有关的信息。

企业作为雇主，通过电子等方式收集、储存并处理员工的个人信息，企业即成为个人信息保护法意义上的信息控制者、处理者。

根据该法的规定，信息控制者通常须在处理­个人信息时须获得信息所有人的同意，但该法规定一个例外情况，即对个人信息的处理，是信息控制者或信息所有人依照劳动法的规定，行使或履行其与劳动­关系有关的权利和义务时所必需，则不需要取得个人同意。

比如，企业根据阿联酋劳动法为保存员工有关工作记录之目的而处理员工的个人信息，则不需要征得员工的同意；或根据个人信息保护法的规定，企业为评估员工是否适合工作所必需，对员工进行健康评估，在此情况下收集处理相关个人信息也不需要征得员工的同意。但个人信息保护法中没有对必要性标准既“所必需”提供法律定义。目前相关实施细则也未出台，因此对必要性的解释仍不清楚，因此企业在与员工签订劳动合同时应包括同意处理个人信息的条款。 

除上述例外情况，企业如需要对员工的个人信息做进一步处理，则必须根据个人信息保护法取得员工的同意。该同意必须以清楚、简单、明确和容易查阅的形式(以书面或电子方式)给予，且员工有权撤回其同意。

无论是否需要征得同意，个人信息保护法要求信息管理者在处理个人信息之前须告知信息所有者处理的目的、方式及是否跨境等信息。因此企业须在劳动合同中列入一项关于告知处理员工个人信息相关内容的个别规定。

此外，法律规定要求企业采取适当的技术对员工信息进行加密，比如通过化名的方式，以确保­员工信息的机密性和安全性。在处理这些信息时，企业必须遵守规定，通过公平、透明和合法的方式处理数员工个人信息。在处理大量敏感的个人信息时，还必须任命一名足够合格的信息保护负责人，以确保数据保护的适当水平。

该法还授予员工获得由企业处理的个人信息的权利，赋予员工可要求更正、完善不准确的个人资料，以及删除个人资料的权利。但是根据劳动法规定，企业可保存在劳动关系终止后至少两年内保留员工的记录。

为遵守阿联酋个人信息保护法，企业应做好合规工作：

·       企业在与员工签订劳动合同时应包括同意处理个人信息的条款；

·       企业须在劳动合同中列入一项关于告知处理员工个人信息相关内容的个别规定；

·       企业须对员工信息采取加密措施，以确保­员工数据的机密性和安全性。在处理这些信息时，企业必须遵守规定，通过公平、透明和合法的方式；

·       企业在处理大量敏感的个人信息时，还必须任命一名足够合格的信息保护负责人，以确保数据保护的适当水平。

·       员工同意处理个人信息必须以清楚、简单、明确和容易查阅的形式(以书面或电子方式)给予，且员工有权撤回其同意。

·       员工有可要求更正、完善不准确的个人资料，以及删除个人资料的权利。

·       企业可保存在劳动关系终止后至少两年内保留员工的记录。

在阿联酋的相关企业，应尽快调整企业对员工个人信息的合规管理，以遵守个人信息保护法的规定，听取专业法律机构或人士的建议进行调整。