قانون حماية البيانات الشخصية في الإمارات: خارطة طريق للامتثال للشركات التي تتعامل مع البيانات الشخصية
يُرسي قانون حماية البيانات الشخصية حقوقاً والتزامات تستلزم تغييرات تشغيلية جوهرية للشركات كثيفة البيانات. نستعرض الالتزامات الرئيسية والجداول الزمنية وخطوات التأهب.
© صورة: يُرجى استبدالها بصورة حقيقية
ما ستتعلمه من هذا المقال
- يُمثّل المرسوم الاتحادي بقانون رقم 45 لعام 2021، المعروف بقانون حماية البيانات الشخصية في الإمارات (PDPL)، أهم تشريعات حوكمة البيانات في تاريخ الإمارات.
- يُرسي القانون إطاراً قائماً على الموافقة لمعالجة البيانات الشخصية مع ستة أسس مشروعة للمعالجة تعكس إلى حد بعيد نموذج اللائحة الأوروبية GDPR: الموافقة، تنفيذ العقد، الالتزام القانوني، المصالح الحيوية، المهمة العامة، والمصالح المشروعة.
- تشمل حقوق أصحاب البيانات: الحق في الوصول إلى البيانات الشخصية، والحق في التصحيح، والحق في المحو، والحق في نقل البيانات، والحق في الاعتراض على المعالجة.
- تخضع عمليات نقل البيانات عبر الحدود لمتطلبات الملاءمة.
ُمثّل المرسوم الاتحادي بقانون رقم 45 لعام 2021، المعروف بقانون حماية البيانات الشخصية في الإمارات (PDPL)، أهم تشريعات حوكمة البيانات في تاريخ الإمارات. جنباً إلى جنب مع لوائحه التنفيذية وأطر حماية البيانات الخاصة بالإمارات والقطاعات في أبوظبي ودبي، يُفرز بيئة امتثال متعددة الطبقات تؤثر على كل شركة تتعامل مع البيانات الشخصية.
يُرسي القانون إطاراً قائماً على الموافقة لمعالجة البيانات الشخصية مع ستة أسس مشروعة للمعالجة تعكس إلى حد بعيد نموذج اللائحة الأوروبية GDPR: الموافقة، تنفيذ العقد، الالتزام القانوني، المصالح الحيوية، المهمة العامة، والمصالح المشروعة. بالنسبة لمعظم أنشطة معالجة البيانات التجارية، ستكون الموافقة أو المصالح المشروعة هي الأساس المطبّق.
من هذا المقال
يُرسي القانون إطاراً قائماً على الموافقة لمعالجة البيانات الشخصية مع ستة أسس مشروعة للمعالجة تعكس إلى حد بعيد نموذج اللائحة الأوروبية GDPR: الموافقة، تنفيذ العقد، الالتزام القانوني، المصالح الحيوية، المهمة العامة، والمصالح المشروعة. بالنسبة لمعظم أنشطة معالجة البيانات التجارية، ستكون الموافقة أو المصالح المشروعة هي الأساس المطبّق.
تشمل حقوق أصحاب البيانات: الحق في الوصول إلى البيانات الشخصية، والحق في التصحيح، والحق في المحو، والحق في نقل البيانات، والحق في الاعتراض على المعالجة. يستلزم كل حق من هذه الحقوق عملية تشغيلية مقابلة: آلية لاستقبال الطلبات والتحقق منها، وجدول زمني للرد، وإجراء للتصعيد.
تخضع عمليات نقل البيانات عبر الحدود لمتطلبات الملاءمة. لا يجوز نقل البيانات الشخصية خارج الإمارات إلا إلى الولايات القضائية التي حددها مكتب الإمارات للبيانات بأنها توفر حماية كافية، أو بموجب ضمانات معتمدة كالبنود التعاقدية القياسية أو قواعد الشركات الملزمة أو الموافقة الصريحة.
تلزم التزامات الإخطار بخرق البيانات الشركات بإخطار مكتب الإمارات للبيانات في غضون 72 ساعة من الإدراك بوقوع خرق يُرجَّح أن يُلحق ضرراً بأصحاب البيانات. يستلزم هذا: خطة استجابة للحوادث وعملية تقييم الخروقات ومسار واضح للتصعيد.
يُفرز تقاطع قانون الحماية مع المتطلبات الخاصة بالقطاع — ولا سيما متطلبات المصرف المركزي وقانون البيانات الصحية وأنظمة حماية البيانات في أبوظبي ودبي — تعقيداً للشركات المنظَّمة. حين تنطبق أطر متعددة، يجب أن يُحدد تخطيط الامتثال المعيار الأكثر تطلباً في كل مسألة.
تستلزم الجاهزية العملية خمسة عناصر محورية: رسم خريطة البيانات لتحديد البيانات الشخصية المحتجزة وموقعها والغرض منها؛ وتحديث إشعار الخصوصية وآلية الموافقة؛ وعملية الوفاء بحقوق أصحاب البيانات؛ وخطة الاستجابة لخروقات البيانات؛ وبرنامج إدارة الموردين يشمل اتفاقيات معالجة البيانات مع جميع المعالجين الخارجيين.
هذا المقال لأغراض إعلامية عامة فقط ولا يُعدّ استشارة قانونية. لا ينشأ عن قراءته علاقة محامٍ وموكّل. للحصول على مشورة قانونية متخصصة، يُرجى التواصل مع فريق الصقر ومشاركوه مباشرة.