ما التزامات الشركات وحقوق الأفراد بموجب قانون حماية البيانات في مركز دبي المالي العالمي؟
أصبحت البيانات الشخصية اليوم أحد أهم أصول الأعمال، وفي الوقت ذاته أحد أكثر مصادر المسؤولية القانونية حساسية على المؤسسات. فكل اسمٍ ورقم هاتف وعنوان بريد إلكتروني وسجل معاملةٍ يقع تحت مظلة تنظيمية صارمة تُلزم الشركات بحماية ما تجمعه، وتمنح الأفراد سلطةً حقيقية على بياناتهم. وفي مركز دبي المالي العالمي، يضع قانون حماية البيانات إطاراً متكاملاً يوازن بين حرية تدفّق المعلومات ومتطلبات الأعمال من جهة، وبين الحقوق الأساسية لأصحاب البيانات من جهة أخرى. وفي هذا المقال نشرح أبرز التزامات الشركات والحقوق المقررة للأفراد بموجب هذا القانون، بلغةٍ عملية تساعد المؤسسات والأفراد على فهم موقعهم القانوني.
ما التزامات الشركات وحقوق الأفراد بموجب قانون حماية البيانات في مركز دبي المالي العالمي؟
نطاق تطبيق القانون ومن يخضع له
صدر قانون حماية البيانات عن مركز دبي المالي العالمي ودخل حيّز التنفيذ ليحلّ محلّ التشريع السابق، وقد جرى تحديثه ضمن نسخته الموحّدة بعد التعديلات الأخيرة. ويهدف القانون إلى وضع معايير وضوابط لمعالجة البيانات الشخصية وحرية تنقّلها، وإلى حماية الحقوق الأساسية لأصحاب البيانات، بما في ذلك ما يتعلق منها بالتقنيات الناشئة.
يسري القانون على:معالجة البيانات الشخصية بالوسائل الآلية، ومعالجتها بغير الوسائل الآلية حين تشكّل جزءاً من نظام حفظ مُنظَّم، وعلى كل متحكِّمٍ أو معالجٍ مؤسَّسٍ داخل المركز أينما تمت المعالجة، وعلى أي معالجةٍ تجري داخل المركز بغضّ النظر عن مكان التأسيس.
لا يسري على:معالجة الأفراد للبيانات الشخصية في إطار نشاطٍ شخصيٍّ أو منزليٍّ بحتٍ لا صلة له بأي غرضٍ تجاري. ويشرف على تطبيق القانون «المفوّض» المختص بحماية البيانات داخل المركز، الذي يملك صلاحيات الرقابة والتحقيق والجزاء.
المبادئ العامة التي تحكم معالجة البيانات
يُلزم القانون كل شركةٍ تعالج بيانات شخصية بأن تتقيّد بمجموعة مبادئ جوهرية، وأن تكون قادرةً على إثبات التزامها بها أمام المفوّض. وهذه المبادئ هي العمود الفقري للامتثال:
المشروعية والشفافية تُعالَج البيانات بطريقةٍ مشروعةٍ وعادلةٍ وشفافةٍ تجاه صاحب البيانات.
تحديد الغرض تُجمع لأغراضٍ محددةٍ وصريحةٍ ومشروعةٍ تُقرَّر وقت الجمع، ولا تُستخدم بما يتعارض معها.
تقليل البيانات تقتصر البيانات على ما هو ملائمٌ ولازمٌ لتحقيق الغرض، دون توسّعٍ غير مبرَّر.
الدقّة تكون دقيقةً ومحدَّثةً عند اللزوم، مع التصحيح أو المحو دون تأخيرٍ غير مبرَّر.
تقييد التخزين تُحفظ بصورةٍ تتيح تحديد هوية صاحبها للمدة اللازمة للغرض فقط، لا أكثر.
لا يجوز للشركة معالجة أي بياناتٍ شخصية ما لم يستند ذلك إلى أساسٍ مشروعٍ واحدٍ على الأقل من الأسس التي حدّدها القانون حصراً:
الموافقةموافقة صاحب البيانات لأغراضٍ محددة
تنفيذ عقدما يلزم لتنفيذ عقدٍ هو طرفٌ فيه
التزام قانونيالامتثال لقانونٍ واجب التطبيق
المصلحة الحيويةحماية حياة الفرد أو شخصٍ آخر
المصلحة العامةمهمة لجهةٍ بالمركز للمصلحة العامة
المصلحة المشروعةمصلحةٌ مشروعةٌ ما لم تَرجح حقوق الفرد
الفئات الخاصة من البيانات: تخضع البيانات الحسّاسة لشروطٍ إضافية، فلا تُعالَج إلا في حالاتٍ محددة مثل الموافقة الصريحة، أو ما يلزم لأغراض علاقة العمل والتوظيف، أو حماية المصالح الحيوية، أو لأسبابٍ تتعلق بمصلحةٍ عامةٍ جوهرية متناسبة مع الغرض.
التزامات الشركات (المتحكّم والمعالِج)
الموافقة الصحيحة
حين تكون الموافقة هي الأساس، يجب أن تُعطى بحريةٍ عبر فعلٍ إيجابيٍّ واضحٍ يدلّ دلالةً لا لبس فيها على الرضا، وأن تكون الشركة قادرةً على إثبات الحصول عليها وإدارة سحبها، مع إتاحة إعادة تأكيدها دورياً في المعالجة المستمرة.
المساءلة والحماية بالتصميم
تلتزم الشركة بتطبيق تدابير تقنيةٍ وتنظيمية مناسبة، وبتبنّي مبدأ «حماية البيانات بالتصميم وافتراضياً»، بحيث لا تُعالَج افتراضياً إلا البيانات اللازمة لكل غرض، مع التسجيل لدى المفوّض حيثما يقتضي القانون ذلك.
سجلّات أنشطة المعالجة
يحتفظ المتحكّم والمعالِج بسجلٍّ مكتوبٍ لأنشطة المعالجة يتضمن فئات أصحاب البيانات وفئات البيانات وفئات المستلمين، وأي نقلٍ إلى دولٍ أو منظماتٍ دولية مع ضماناتها، ومُهَل المحو ووصفاً عاماً للتدابير الأمنية حيثما أمكن.
مسؤول حماية البيانات (DPO)
يتعيّن تعيين مسؤول حماية بياناتٍ على جهات المركز، وعلى كل متحكّمٍ أو معالِجٍ يمارس «أنشطة معالجةٍ عالية المخاطر» بشكلٍ منهجيٍّ أو منتظم. ويجب أن يتمتع المسؤول بالكفاءة والاستقلالية والوصول المباشر للإدارة العليا، ويجري تقييماً سنوياً للامتثال.
تقييم الأثر والاستشارة المسبقة
قبل المعالجات عالية المخاطر، تُجري الشركة تقييم أثرٍ لحماية البيانات يحلّل المخاطر على حقوق الأفراد والتدابير الكفيلة بمعالجتها، ولها أن تستشير المفوّض مسبقاً، مع التزامها بأي توجيهٍ يصدره نتيجة الاستشارة.
المعالِجون ونقل البيانات خارج المركز
يُنظَّم التعامل مع المعالِجين بموجب اتفاقٍ مكتوبٍ مُلزِم يحدّد المسؤوليات وواجبات السرية وضوابط المعالِجين الفرعيين. ولا يُنقَل البيان خارج المركز إلا إلى جهةٍ تتوافر فيها درجة حمايةٍ كافية، أو في ظل ضماناتٍ مناسبة عند غياب تلك الدرجة.
إيقاف المعالجة والإخطار الشفّاف
عند انتفاء الغرض أو سحب الموافقة، تلتزم الشركة بإيقاف المعالجة وحذف البيانات أو إخفاء هويتها أو تشفيرها أو جعلها خارج نطاق الاستخدام، كما تزوّد الأفراد بمعلوماتٍ واضحةٍ عن كيفية معالجة بياناتهم عبر إشعارات الخصوصية.
حقوق الأفراد على بياناتهم الشخصية
يمنح القانون صاحب البيانات حزمةً من الحقوق القابلة للممارسة، وعلى الشركة أن تتيح وسيلتين على الأقل لممارستها:
سحب الموافقة حقٌّ مطلقٌ في سحب الموافقة في أي وقتٍ متى كانت أساس المعالجة.
الاطّلاع والتصحيح والمحو الحصول على تأكيدٍ ونسخةٍ من البيانات وتصحيحها أو محوها، دون مقابلٍ وخلال شهرٍ واحدٍ من الطلب.
الاعتراض على المعالجة الاعتراض على معالجةٍ معينة، ويُعدّ الاعتراض مبرَّراً ما لم تُثبِت الشركة أسباباً قاهرة ترجح على حقوق الفرد.
تقييد المعالجة طلب تقييد المعالجة في حالاتٍ كالنزاع على دقّة البيانات أو عدم مشروعية المعالجة.
قابلية النقل الحصول على البيانات بصيغةٍ تتيح نقلها، وتحويلها مباشرةً إلى جهةٍ أخرى حيثما كان ذلك ممكناً تقنياً.
القرارات الآلية والتنميط الاعتراض على أي قرارٍ يستند حصراً إلى معالجةٍ آلية وله أثرٌ قانونيٌّ أو بالغ الأهمية، وطلب مراجعته يدوياً.
عدم التمييز عدم معاملة الفرد معاملةً أقل تفضيلاً لمجرد ممارسته حقوقه المقررة في القانون.
إبلاغ المستلمين التزام المتحكّم بإبلاغ من تلقّى البيانات عند تصحيحها أو محوها أو تقييدها.
الإخطار بخرق البيانات الشخصية
إخطار المفوّضعند وقوع خرقٍ يمسّ سرّية بيانات الفرد أو أمنها أو خصوصيتها، يُخطِر المتحكّم المفوّض في أقرب وقتٍ ممكنٍ عملياً، مع بيان طبيعة الخرق وآثاره المحتملة والتدابير المتخذة لمعالجته. ويُخطِر المعالِجُ المتحكّمَ دون تأخيرٍ لا مبرّر له.
إخطار صاحب البياناتإذا كان الخرق يُرجَّح أن يُحدِث خطراً مرتفعاً على أمن الفرد أو حقوقه، يبلّغه المتحكّم في أقرب وقتٍ ممكن، وفوراً إن كان هناك خطر ضررٍ وشيك، بلغةٍ واضحةٍ مع توصياتٍ لتخفيف الآثار. كما توثَّق الخروقات كتابةً.
الجزاءات والمسؤولية وحق الأفراد في التعويض
يملك المفوّض صلاحية إصدار التوجيهات وفرض الغرامات الإدارية على المخالفين وفق جدول الجزاءات المرفق بالقانون، إلى جانب صلاحية فرض غرامةٍ عامة. وفيما يلي نماذج للحدّ الأقصى للغرامات بالدولار الأمريكي:
50,000$
مخالفة المبادئ العامة أو شروط المعالجة المشروعة أو تدابير الأمن
75,000$
الإخلال بتزويد الأفراد بالمعلومات الواجبة عن المعالجة
100,000$
الإخلال بحقوق الأفراد كالاطّلاع والتصحيح والاعتراض والمحو
مسؤولية مدنية وحق مباشر في الدعوى: يُسأل المتحكّم عن الضرر الناتج عن معالجةٍ مخالفة، ويُسأل المعالِج عند إخلاله بالتزاماته أو تجاوزه تعليمات المتحكّم، وقد تكون المسؤولية تضامنية لضمان تعويضٍ فعّال. ولصاحب البيانات الذي لحقه ضررٌ نتيجة المخالفة أن يلجأ مباشرةً إلى المحكمة للمطالبة بالتعويض، فضلاً عن حقّه في التظلّم لدى المفوّض.
المراجع القانونية
التشريع الحاكم: قانون حماية البيانات الصادر عن مركز دبي المالي العالمي رقم (5) لسنة 2020 — النسخة الموحّدة، وتعديلاته بموجب قانون تعديل قوانين المركز رقم (1) لسنة 2025 وقانون المركز رقم (2) لسنة 2022.
المواد ذات الصلة: المبادئ العامة (المادة 9)، مشروعية المعالجة (المادة 10)، الفئات الخاصة (المادة 11)، الموافقة (المادة 12)، المساءلة (المادة 14)، سجلات المعالجة (المادة 15)، مسؤول حماية البيانات (المواد 16–19)، تقييم الأثر (المادة 20)، نقل البيانات (المادتان 26–27)، تزويد المعلومات (المواد 29–31)، حقوق الأفراد (المواد 32–40)، الإخطار بالخرق (المادتان 41–42)، التوجيهات والغرامات والمسؤولية والحق المباشر في الدعوى (المواد 59–64 مكرّر)، وجدول الجزاءات (الجدول 2).
” الامتثال لحماية البيانات لم يعد خياراً تجميلياً، بل هو جزءٌ من حوكمة أي مؤسسةٍ تعمل في المركز؛ والشركة التي تبني سياساتها على مبدأ الحماية بالتصميم تحمي نفسها من الغرامات بقدر ما تحمي عملاءها. — المحامي عوض المهيري
هل تحتاج إلى استشارةٍ في حماية البيانات والامتثال؟
يقدّم فريقنا القانوني الدعم للمؤسسات والأفراد في صياغة سياسات الخصوصية، واتفاقيات المعالجة، وإجراءات الاستجابة للخروق، وممارسة الحقوق المقررة.
على من ينطبق قانون حماية البيانات في مركز دبي المالي العالمي؟+
ينطبق على معالجة البيانات الشخصية داخل نطاق المركز، وعلى كل متحكّمٍ أو معالِجٍ مؤسَّسٍ في المركز أينما تمت المعالجة، وعلى أي معالجةٍ تجري داخل المركز بغضّ النظر عن مكان التأسيس، ولا ينطبق على النشاط الشخصي أو المنزلي البحت غير المرتبط بغرضٍ تجاري.
متى يجب على الشركة تعيين مسؤول حماية بيانات (DPO)؟+
يجب التعيين على جهات المركز، وعلى كل متحكّمٍ أو معالِجٍ يمارس أنشطة معالجةٍ عالية المخاطر بشكلٍ منهجيٍّ أو منتظم، وقد يُلزِم المفوّض جهاتٍ أخرى بالتعيين. ويجب أن يتمتع المسؤول بالكفاءة والاستقلالية والوصول المباشر للإدارة العليا.
كم تستغرق الشركة للردّ على طلب الاطّلاع على البيانات؟+
يحقّ لصاحب البيانات الحصول على تأكيدٍ ونسخةٍ من بياناته دون مقابلٍ وخلال شهرٍ واحدٍ من تاريخ الطلب، مع مراعاة الحالات التي يجوز فيها للشركة تقييد المعلومات لأسبابٍ يحددها القانون كحماية التحقيقات أو الأمن العام.
ما الذي يجب فعله عند وقوع خرقٍ للبيانات؟+
يُخطِر المتحكّم المفوّض في أقرب وقتٍ ممكنٍ عملياً عند وقوع خرقٍ يمسّ سرّية البيانات أو أمنها أو خصوصيتها، ويبلّغ صاحب البيانات إذا كان الخرق يُرجَّح أن يُحدِث خطراً مرتفعاً، مع توثيق الخرق كتابةً واتخاذ تدابير تخفيف الآثار.
هل يمكن للفرد المطالبة بتعويضٍ عن مخالفة القانون؟+
نعم؛ لصاحب البيانات الذي لحقه ضررٌ نتيجة مخالفة القانون أن يلجأ مباشرةً إلى المحكمة للمطالبة بالتعويض، إلى جانب حقّه في التظلّم لدى المفوّض، وقد تكون مسؤولية المتحكّم والمعالِج تضامنيةً لضمان تعويضٍ فعّال.
لمساعدتك في الامتثال أو ممارسة حقوقك، فريقنا في خدمتك.
أُعِدّ هذا المقال لأغراض نشر الثقافة القانونية والتوعية المجتمعية، ولا يُعدّ استشارةً قانونيةً أو رأياً قانونياً في واقعةٍ محددة. وتختلف المعالجة القانونية باختلاف ظروف كل حالة، لذا يُنصَح بالرجوع إلى مستشارٍ قانونيٍّ مختصٍّ قبل اتخاذ أي إجراء. ولا ينشئ الاطّلاع على هذا المحتوى علاقة موكِّلٍ بمحامٍ.
خدماتنا في دبي
يقدّم مكتب عوض المهيري للمحاماة والاستشارات القانونية في دبي خدماته للمؤسسات العاملة في مركز دبي المالي العالمي وخارجه فيما يتعلق بحماية البيانات الشخصية والامتثال للخصوصية، بدءاً من بناء أطر الحوكمة وصياغة سياسات الخصوصية واتفاقيات المعالجة، وصولاً إلى إدارة طلبات الأفراد والاستجابة لحوادث خرق البيانات والتعامل مع جهات الرقابة المختصة، بما يحفظ سمعة الأعمال ويقلّل المخاطر القانونية.
خدماتنا في باقي إمارات الدولة
تمتدّ خدماتنا لتشمل عملاءنا في أبوظبي والشارقة وعجمان وأم القيوين ورأس الخيمة والفجيرة، حيث نواكب المؤسسات والأفراد في فهم التزاماتهم وحقوقهم المتعلقة بالبيانات الشخصية ضمن البيئة التنظيمية في الدولة، ونقدّم استشاراتٍ عمليةً تساعد على الموازنة بين متطلبات الأعمال وحماية خصوصية الأفراد، مع متابعةٍ دقيقةٍ لأي مستجداتٍ تشريعية تمسّ هذا المجال الحيوي.
English
Русский
اردو
中文
Français
