أصدرت دولة الإمارات العربية المتحدة المرسوم بقانون اتحادي رقم 45 لسنة 2021 بشأن حماية البيانات الشخصية ("القانون" أو "قانون حماية البيانات الشخصية"). تُطبق أحكام هذا القانون على جميع الجهات التي تتخذ من دولة الإمارات العربية المتحدة مقرًا لها، والتي تُعالج البيانات الشخصية للأشخاص داخل الدولة وخارجها. كما يُطبق القانون أيضًا على الجهات التي تتخذ من خارج دولة الإمارات العربية المتحدة مقرًا لها، ولكنها تُعالج البيانات الشخصية للأشخاص الموجودين فيها. قد تكون هذه الجهات مُعالجة للبيانات أو مُتحكمة بها (كما هو مُحدد أدناه). ومع ذلك، لن يُطبق القانون على جهات مُحددة، مثل الجهات الحكومية، والجهات العاملة في قطاعي الصحة والمصارف، والتي توجد قوانين خاصة بها.

لم تصدر بعد اللائحة التنفيذية للقانون، مما سيزيد من وضوح المتطلبات الواجب استيفاؤها من قبل الجهات المعنية. وسيبدأ تطبيق قانون حماية البيانات الشخصية بعد ستة أشهر من صدور اللائحة التنفيذية.

هناك عدة جهات معنية بقانون حماية البيانات الشخصية، وهي:

• أصحاب البيانات: الأشخاص الذين يخضعون لمعالجة البيانات الشخصية؛
• الجهات المُتحكمة: الجهات التي تتعامل مع البيانات الشخصية. تتحكم هذه الجهة في طريقة ومعايير معالجة البيانات، بالإضافة إلى الغرض منها.
• المعالج: الكيانات التي تقوم بمعالجة البيانات الشخصية نيابة عن المتحكم بموجب توجيهاته وتعليماته؛
• مسؤول حماية البيانات ("DPO"): يتم تعيينه من قبل المتحكم أو المعالج لأغراض الامتثال لهذا القانون؛
• مكتب بيانات دولة الإمارات العربية المتحدة ("مكتب البيانات"): يُنشأ بموجب المرسوم بقانون اتحادي رقم 44 لسنة 2021، الصادر بالتزامن مع قانون حماية البيانات الشخصية. ويهدف مكتب البيانات إلى ضمان حماية البيانات الشخصية بموجب القانون، بصفته الجهة المختصة.

ضوابط معالجة البيانات بموجب القانون

تُعرَّف البيانات الشخصية بأنها أي بيانات تتعلق بشخص طبيعي مُحدَّد أو مرتبطة به، ويمكن تحديد هويتها بشكل مباشر أو غير مباشر من خلال ربط البيانات باستخدام عناصر التعريف. وتشمل البيانات الشخصية الحساسة (أي بيانات تكشف عن عائلة الشخص أو عرقه أو معتقداته أو سجله الجنائي أو صحته أو أي معلومات شخصية حساسة أخرى)، والبيانات البيومترية (أي البيانات المُستقاة من التكنولوجيا التي تُحدِّد أو تُؤكِّد السمات الفريدة للشخص، مثل صور الوجه أو بصمات الأصابع) ("البيانات الشخصية").

يهدف القانون إلى ضبط معالجة البيانات الشخصية بطريقة عادلة وشفافة وقانونية، وجمعها للشخص المقصود بها، بموافقة صاحب البيانات. ويشترط أن تكون البيانات الشخصية المجمعة دقيقة وصحيحة، وأن تُحفظ بشكل آمن، وأن تُحذف أو تُفصل عن صاحب البيانات (بإجراءات مثل "إخفاء هوية" أو "إخفاء هوية" البيانات) عند انتهاء الغرض منها.

متطلب موافقة صاحب البيانات على معالجة البيانات

من الضروري جمع ومعالجة جميع البيانات الشخصية بموافقة صاحب البيانات المعني فقط، إلا في حالات معينة. تشمل هذه الاستثناءات: عندما يكون صاحب البيانات قد نشر هذه البيانات الشخصية؛ عندما يكون ذلك ضروريًا لممارسة حقوق قانونية أو تنفيذ حقوق تعاقدية؛ لأغراض الأرشفة، ولحماية المصالح العامة.

يجب أن يكون بمقدور المتحكم إثبات موافقة صاحب البيانات على معالجة البيانات الشخصية. ويجب الحصول على هذه الموافقة بطريقة واضحة وبسيطة وسهلة المنال. كما يجب أن تُراعي هذه الموافقة حق صاحب البيانات في سحب موافقته بسهولة.

التزامات المتحكم والمعالج

يجب على الكيانات التي تقوم بمعالجة البيانات الشخصية أن تلتزم بالالتزامات المنصوص عليها في القانون.

التزامات المتحكم

• تنفيذ التدابير الفنية والتنظيمية لحماية البيانات الشخصية والحفاظ على سريتها وخصوصيتها.
• الالتزام بأحكام وضوابط معالجة البيانات بموجب قانون حماية البيانات.
• تنفيذ التدابير الفنية والتنظيمية فيما يتعلق بالعمليات الآلية.
• الاحتفاظ بسجل خاص للبيانات التي تم جمعها مع التفاصيل ذات الصلة بموجب قانون حماية البيانات.
• تعيين معالج يتمتع بضمانات كافية لتنفيذ التدابير الفنية والتنظيمية.

التزامات المعالج

• معالجة البيانات الشخصية فقط وفقًا لتوجيهات وتعليمات المتحكم ووفقًا لأي اتفاقيات بينهما.
• تنفيذ التدابير الفنية والتنظيمية لحماية البيانات الشخصية في مرحلة التصميم.
• معالجة البيانات فقط وفقًا للغرض والفترة المحددة، ومسح/تسليم البيانات بعد انتهاء تلك الفترة.
• حماية وتأمين معالجة البيانات والوسائط/الأجهزة المستخدمة في هذه المعالجة.
• الاحتفاظ بسجل خاص للبيانات الشخصية التي تتم معالجتها نيابة عن المتحكم مع التفاصيل ذات الصلة بموجب قانون حماية البيانات الشخصية.
• إثبات التزامها بتنفيذ أحكام قانون حماية البيانات الشخصية.

خرق البيانات:

يُقصد بانتهاك البيانات بموجب القانون أي وصول غير مصرح به أو غير قانوني يُسبب إتلافًا أو تعديلًا أو إفصاحًا عن البيانات الشخصية لأطراف ثالثة. ويشمل هذا التعريف حالات مثل القرصنة، وفقدان البيانات، والمشاركة غير المصرح بها، وغيرها من الحالات المماثلة.

يجب على الجهة المسؤولة عن معالجة البيانات الإبلاغ عن أي خرق للبيانات الشخصية فور علمها به إلى مكتب بيانات دولة الإمارات العربية المتحدة، مع إرفاق تفاصيل الخرق. كما يجب عليها إبلاغ صاحب البيانات بالأمر، مع توضيح الإجراءات التي اتخذتها الجهة المسؤولة عن معالجة هذا الخرق. في حال علم المعالج بخرق البيانات، يتعين عليه إبلاغ الجهة المسؤولة عن معالجة البيانات، والتي بدورها ستفي بالتزاماتها.

حقوق صاحب البيانات

يمنح القانون صاحب البيانات حقوقًا معينة فيما يتعلق بمعالجة بياناته الشخصية من قِبل معالج أو مسؤول. هذه الحقوق هي:

• الحق في تلقي المعلومات: يشمل المعلومات المتعلقة بأنواع البيانات التي تتم معالجتها والغرض من جمعها؛ وإجراءات مسح البيانات وحذفها؛ والقطاعات أو المؤسسات التي سيتم مشاركة البيانات معها.
• الحق في طلب نقل البيانات الشخصية: يجب على صاحب البيانات أن يتلقى بياناته الشخصية مع مراقب البيانات إذا طلب ذلك، أو قد يطلب نقل هذه البيانات إلى مراقب بيانات آخر.
• الحق في تصحيح أو مسح البيانات الشخصية: يمكن لموضوع البيانات أن يطلب تصحيح بياناته الشخصية أو طلب مسح هذه البيانات التي يحتفظ بها المتحكم.
• الحق في تقييد المعالجة: الحق في إلزام المتحكم بتقييد وإيقاف معالجة البيانات الشخصية.
• الحق في إيقاف المعالجة: الحق في الاعتراض على معالجة البيانات الشخصية وإيقافها إذا تم استخدام المعالجة لأغراض التسويق أو المسح أو كانت تنتهك ضوابط البيانات بموجب قانون حماية البيانات الشخصية.
• الحق في الاعتراض على المعالجة الآلية: الحق في الاعتراض على القرارات الناتجة عن المعالجة الآلية للبيانات الشخصية، بما في ذلك إنشاء الملفات الشخصية.

دور مسؤول حماية البيانات والامتثال لتقييم الأثر

يتعين على المتحكمين والمعالجين تعيين مسؤول حماية البيانات ("DPO") إذا كانوا يقومون بمعالجة البيانات الشخصية على نطاق واسع، حيث قد تتسبب معالجة البيانات في إحداث مخاطر عالية المستوى على سرية وخصوصية هذه البيانات وموضوع البيانات، أو التي تنطوي على أنشطة حساسة تتعلق بالبيانات الشخصية مثل إنشاء الملفات الشخصية والمعالجة الآلية.

تستدعي الشروط المذكورة أعلاه أيضًا إجراء تقييم أثر حماية البيانات ("DPIA") بموجب قانون حماية البيانات. ويتضمن هذا التقييم، من بين أمور أخرى، تقييمًا لما يلي:

• وصف مفصل لنشاط المعالجة والغرض(الأغراض) المقصود منه؛
• تقييم ضرورة المعالجة فيما يتعلق بأهدافها؛
• تحليل المخاطر المحتملة التي تهدد حماية البيانات الشخصية للأفراد وسريتها؛
• التدابير المقترحة للحد من المخاطر المحتملة المرتبطة بأنشطة المعالجة.

بالإضافة إلى ذلك، يُطلب من مسؤولي البيانات إعادة تقييم نتائج تقييمات تأثير حماية البيانات بشكل منتظم لضمان استمرار أنشطة المعالجة في التوافق مع التقييم، خاصة إذا كان هناك تغيير في مستوى المخاطر.

يضمن مسؤول حماية البيانات امتثال المتحكم أو المعالج لأحكام ولوائح القانون، ويقدم الخبرة الفنية اللازمة بشأن الموضوع ذي الصلة. كما يتعامل مع الطلبات والشكاوى المتعلقة بالبيانات الشخصية، ويعمل بمثابة حلقة وصل بين المتحكم أو المعالج ومكتب البيانات.

نقل البيانات الشخصية عبر الحدود

وينص قانون حماية البيانات الشخصية أيضًا على الظروف التي تكون فيها البيانات الشخصية عرضة للنقل إلى ولاية قضائية أخرى.

يجوز نقل البيانات الشخصية إلى جهة قضائية أخرى شريطة أن يكون لديها تشريعات كافية لحماية البيانات الشخصية. ويُحدد مكتب بيانات دولة الإمارات العربية المتحدة هذه الجهات القضائية. كما يجب أن يكون لدى الجهة القضائية الأجنبية سلطة قضائية أو تنظيمية تفرض إجراءات بموجب قانون حماية البيانات المحلي المعني.

في حال نقل البيانات الشخصية إلى جهات قضائية لا تتوفر فيها تشريعات كافية أو لا تتوفر فيها الحماية الكافية، يجوز نقل البيانات الشخصية بشرط أن يكون الأطراف المعنيون بالنقل قد قاموا بذلك بموجب عقد أو اتفاقية تُلزمهم باتخاذ التدابير والمتطلبات المنصوص عليها في قانون حماية البيانات الشخصية. وهناك حالات أخرى يجوز فيها نقل البيانات إلى جهات قضائية لا تتوفر فيها تشريعات كافية، مثل وجود موافقة صريحة من صاحب البيانات، أو عندما يكون النقل ضروريًا لأداء واجبات قضائية أو عقد.

حماية البيانات في مركز دبي المالي العالمي (DIFC) وسوق أبوظبي العالمي (ADGM)

المناطق الحرة المالية في دولة الإمارات العربية المتحدة: لكل من مركز دبي المالي العالمي وسوق أبوظبي العالمي أطر قانونية خاصة بهما بشأن حماية البيانات، وتخضعان لها. تتوافق قوانين كلٍّ من مركز دبي المالي العالمي وسوق أبوظبي العالمي إلى حد كبير مع أحكام قانون حماية البيانات الشخصية.

مركز دبي المالي العالمي

أصدر مركز دبي المالي العالمي قانون حماية البيانات (قانون مركز دبي المالي العالمي رقم 5 لسنة 2020) ولوائح حماية البيانات ("قانون مركز دبي المالي العالمي لحماية البيانات"). يسري هذا القانون على جميع الكيانات المنشأة داخل مركز دبي المالي العالمي، بالإضافة إلى أي جهة تحكم أو معالجة بيانات (كما هو مُعرّف في قانون مركز دبي المالي العالمي لحماية البيانات)، بغض النظر عن مكان تأسيسها، والتي تعالج البيانات الشخصية داخل مركز دبي المالي العالمي باستخدام الموارد أو الموظفين الموجودين هناك بشكل منتظم. ينص القانون المذكور على إنشاء "مكتب مفوض حماية البيانات" كهيئة تنظيمية رئيسية لأغراض قانون مركز دبي المالي العالمي لحماية البيانات. ويتولى "المفوض" مسؤولية ضمان الامتثال لقانون مركز دبي المالي العالمي لحماية البيانات ومعالجة شكاوى أصحاب البيانات.

عُدِّل قانون مركز دبي المالي العالمي بشأن حماية البيانات الشخصية (DIFC DP) في عام ٢٠٢٣. والجدير بالذكر أن التعديل أضاف أحكامًا لحماية أصحاب البيانات من معالجة بياناتهم لأغراض التسويق، مما يمنحهم الحق في تقييد هذه المعالجة. علاوة على ذلك، أدرج التعديل الذكاء الاصطناعي ضمن نطاق قانون مركز دبي المالي العالمي بشأن حماية البيانات الشخصية (DIFC DP) بهدف تنظيم استخدامه بطريقة مسؤولة.

سوق أبوظبي العالمي

أصدرت سوق أبوظبي العالمي لائحة حماية البيانات لعام ٢٠٢١ (المشار إليها فيما يلي بـ"لوائح سوق أبوظبي العالمي") لتنظيم حماية البيانات الشخصية في المنطقة الحرة. ويُطبّق "مكتب حماية البيانات" المُنشأ بموجب هذه اللائحة، ويُديره مفوضه المُعيّن.

تنطبق اللوائح على جميع مؤسسات المتحكم أو المعالج (كما هو محدد في لوائح سوق أبوظبي العالمي) في سوق أبوظبي العالمي، بغض النظر عما إذا كانت معالجة البيانات تتم في سوق أبوظبي العالمي، وتحمي جميع الأشخاص الطبيعيين بغض النظر عن جنسيتهم أو مكان إقامتهم.

توضح الإرشادات الصادرة بموجب لوائح سوق أبوظبي العالمي العوامل الرئيسية التي يجب مراعاتها عند تحديد ما إذا كانت معالجة البيانات مرتبطة بمؤسسة سوق أبوظبي العالمي، وبالتالي تحديد مدى انطباقها. تُطبق لوائح سوق أبوظبي العالمي على الجهات المتحكمة والمعالجة خارج سوق أبوظبي العالمي إذا كانت علاقتها "مرتبطة ارتباطًا وثيقًا" بمؤسسة سوق أبوظبي العالمي، وإذا كانت الإيرادات التي تحققها مؤسسة سوق أبوظبي العالمي مرتبطة ارتباطًا مباشرًا بمعالجة البيانات التي تتم خارج سوق أبوظبي العالمي.

يُفرض تطبيق هذه القواعد خارج الحدود الإقليمية عند وجود علاقة وطيدة ومترابطة بين الجهة المُتحكمة والمعالجة خارج سوق أبوظبي العالمي مع مؤسسة تابعة له. علاوة على ذلك، بالنسبة لمعالجة البيانات التي تتم خارج سوق أبوظبي العالمي، يجب على الجهة المُعالجة ضمان الامتثال للوائح سوق أبوظبي العالمي قدر الإمكان، بالإضافة إلى الامتثال للاختصاص القضائي الأصلي للجهة المُتحكمة في البيانات.

خاتمة

من الضروري لجميع الكيانات، سواء كانت جهات تحكم أو معالجات بيانات، الالتزام بمتطلبات حماية البيانات الموضحة في قانون حماية البيانات، بالإضافة إلى القوانين الأخرى مثل قانون حماية البيانات في مركز دبي المالي العالمي أو لوائح سوق أبوظبي العالمي حسب الاقتضاء.

يجب على المؤسسات التي تعالج البيانات الشخصية للأفراد في دولة الإمارات العربية المتحدة ضمان الامتثال للإطار التنظيمي المعمول به من خلال مراجعة وتحديث سياسة الخصوصية الخاصة بها والسياسات الأخرى ذات الصلة، مثل سياسات إدارة الموافقة وملفات تعريف الارتباط، بما يتماشى مع المتطلبات المحددة. وينبغي إجراء هذه التحديثات على الفور، لا سيما في ضوء صدور وتطبيق اللائحة التنفيذية لقانون حماية البيانات الشخصية. علاوة على ذلك، ينبغي على المؤسسات أن تكون استباقية في مراقبة الامتثال والحفاظ عليه، مع استمرار تطور قوانين حماية البيانات.