ما التزامات الشركات وحقوق الأفراد بموجب قانون حماية البيانات الشخصية في دولة الإمارات
أصبحت البيانات الشخصية اليوم عصب الاقتصاد الرقمي وأحد أكثر مصادر المسؤولية القانونية حساسية على المؤسسات في دولة الإمارات. فكل اسمٍ ورقم هاتفٍ وعنوان بريدٍ إلكتروني وسجلّ معاملةٍ صار محكوماً بإطارٍ تشريعيٍّ اتحاديٍّ يُلزم الشركات بحماية ما تجمعه، ويمنح الأفراد سلطةً حقيقية على بياناتهم. وقد أرسى المشرّع الإماراتي هذا الإطار عبر القانون الاتحادي لحماية البيانات الشخصية، الذي يوازن بين حرية تدفّق المعلومات ومتطلبات الأعمال من جهة، والحقوق الأساسية لأصحاب البيانات من جهةٍ أخرى. وفي هذا المقال نشرح أبرز التزامات الشركات والحقوق المقررة للأفراد، مع توضيح من يخضع للقانون ومن يُستثنى منه.
ما التزامات الشركات وحقوق الأفراد بموجب قانون حماية البيانات الشخصية في دولة الإمارات؟
الإطار القانوني والجهة المشرفة
يقوم نظام حماية البيانات الشخصية في الدولة على القانون الاتحادي لحماية البيانات الشخصية، الذي يضع الأطر العامة لجمع البيانات الشخصية ومعالجتها وتخزينها وحمايتها، وحقوق وواجبات كافة الأطراف. ويتولّى الإشراف على تطبيقه «مكتب الإمارات للبيانات» المنشأ بموجب تشريعٍ اتحاديٍّ مستقل، وهو الجهة الرقابية المختصة بإصدار التوجيهات وتلقّي الشكاوى والرقابة على الامتثال. وتُحيل عدة جوانب إجرائية تفصيلية — كالجزاءات وضوابط النقل عبر الحدود وحدود الإعفاء — إلى اللائحة التنفيذية للقانون.
نطاق التطبيق: من يخضع للقانون؟
يسري القانون على معالجة البيانات الشخصية كلها أو جزء منها بالوسائل الإلكترونية أو غيرها، وله امتدادٌ خارج حدود الدولة في حالاتٍ محددة. ويشمل نطاقه:
صاحب البياناتكل من يقيم في الدولة أو له مقرّ عملٍ فيها
متحكّم/معالِج داخل الدولةيعالج بيانات أصحابها داخل الدولة أو خارجها
متحكّم/معالِج خارج الدولةيعالج بيانات أصحابها المقيمين في الدولة
الجهات والحالات المستثناة من القانون
حدّد القانون صراحةً حالاتٍ لا تسري عليها أحكامه، وهي نقطةٌ جوهرية لتحديد التشريع الواجب التطبيق على كل جهة:
الحالات المستثناة
البيانات الحكومية والجهات الحكومية المتحكّمة بها أو المعالِجة لها؛ والبيانات الشخصية لدى الجهات الأمنية والقضائية؛ ومعالجة الفرد لبياناته لأغراضٍ شخصية؛ والبيانات الصحية التي لها تشريعٌ خاصٌّ ينظّم حمايتها؛ والبيانات المصرفية والائتمانية التي لها تشريعٌ خاص؛ والشركات والمؤسسات الواقعة في المناطق الحرة التي لديها تشريعات خاصة بحماية البيانات الشخصية.
لماذا تُعدّ المناطق الحرة مستقلة؟ بموجب هذا الاستثناء، تخضع الكيانات العاملة في مناطق حرةٍ لها منظومتها الخاصة — مثل مركز دبي المالي العالمي وسوق أبوظبي العالمي — لتشريعها المستقل وجهة رقابته الخاصة، لا للقانون الاتحادي. كما يملك مكتب الإمارات للبيانات إعفاء بعض المنشآت التي لا تعالج حجماً كبيراً من البيانات من جزءٍ من المتطلبات وفق ضوابط اللائحة التنفيذية.
منظومة الحماية متعددة الطبقات في الدولة
القانون الاتحاديالإطار العام للبرّ الرئيسي وأغلب المنشآت، تحت إشراف مكتب الإمارات للبيانات.
مركز دبي المالي العالميقانون حماية بياناتٍ مستقل وجهة رقابةٍ خاصة للكيانات المسجّلة في المركز.
سوق أبوظبي العالميلوائح حماية بياناتٍ مستقلة خاصة بالكيانات العاملة داخل السوق.
ضوابط معالجة البيانات الشخصية
العدالة والشفافية والمشروعية تُعالَج البيانات بطريقةٍ عادلةٍ وشفافةٍ ومشروعة.
تحديد الغرض تُجمع لغرضٍ محددٍ واضح، ولا تُعالَج لاحقاً بما يتنافى معه.
الكفاية والاقتصار تكون كافيةً ومقتصرةً على ما هو ضروريٌّ للغرض من المعالجة.
الدقّة والتحديث تكون دقيقةً وصحيحة، وتخضع للتحديث متى اقتضى الأمر.
تقييد الاحتفاظ لا يُحتفظ بها بعد استنفاد الغرض، إلا بإخفاء هوية صاحبها.
الموافقة وحالات المعالجة المشروعة بدونها
الأصل أنه يُحظر معالجة البيانات الشخصية دون موافقة صاحبها، ويشترط في الموافقة أن يكون المتحكّم قادراً على إثباتها، وأن تكون واضحةً بسيطةً غير مبهمةٍ وسهلة الوصول، وأن تتضمّن حقّ العدول عنها بطريقةٍ سهلة دون أن يؤثر العدول على مشروعية ما سبقه. ويستثني القانون من شرط الموافقة حالاتٍ تكون فيها المعالجة مشروعة، منها:
حماية المصلحة العامة؛ والبيانات التي أتاحها صاحبها للكافة بفعله؛ وإقامة الحقوق والدعاوى القانونية أو الإجراءات القضائية والأمنية؛ وأغراض الطب المهني أو الوقائي والرعاية الصحية؛ وحماية الصحة العامة؛ والأغراض الأرشيفية والدراسات العلمية والتاريخية والإحصائية؛ وحماية مصالح صاحب البيانات؛ والتزامات التوظيف والضمان الاجتماعي؛ وتنفيذ عقدٍ يكون صاحب البيانات طرفاً فيه؛ وتنفيذ التزاماتٍ مقررةٍ في قوانين أخرى.
التزامات الشركات (المتحكّم والمعالِج)
التزامات المتحكّم
اتخاذ التدابير التقنية والتنظيمية الملائمة لتأمين البيانات والحفاظ على سرّيتها وخصوصيتها، وتطبيق الحماية عند تحديد وسائل المعالجة وأثناءها، وضبط الإعدادات التلقائية على ما هو ضروريٌّ للغرض، ومسك سجلٍّ خاصٍّ بالبيانات الشخصية، وتعيين معالِجٍ تتوفر لديه ضمانات كافية، وتزويد المكتب بما يطلبه وفق القانون.
التزامات المعالِج
إجراء المعالجة وفق تعليمات المتحكّم والعقود المبرمة، وتطبيق الحماية بالتصميم، والالتزام بالغرض والمدة المحددين، ومحو البيانات بعد انتهاء المعالجة أو تسليمها، وعدم الإفصاح إلا في الأحوال المصرّح بها، وتأمين عملية المعالجة، ومسك سجلٍّ خاص. وعند تعدّد المعالِجين دون عقدٍ يحدّد الأدوار يُعدّون مسؤولين بالتضامن.
الإبلاغ عن انتهاك البيانات
يلتزم المتحكّم بمجرد علمه بأي اختراقٍ أو انتهاكٍ يمسّ خصوصية البيانات وسرّيتها وأمنها بإبلاغ المكتب بطبيعة الانتهاك وأسبابه وآثاره المحتملة والإجراءات المتخذة، وإخطار صاحب البيانات حين يمسّ الانتهاك بياناته. وعلى المعالِج إخطار المتحكّم فور علمه ليبلّغ المكتب.
تعيين مسؤول حماية البيانات (DPO)
يجب تعيين مسؤولٍ مؤهَّل لحماية البيانات في ثلاث حالات: إذا كانت المعالجة تُحدِث خطراً عالياً على خصوصية البيانات نتيجة تقنياتٍ جديدة أو حجم البيانات؛ أو تتضمّن تقييماً ممنهجاً وشاملاً للبيانات الحسّاسة بما يشمل التنميط والمعالجة المؤتمتة؛ أو تتمّ على حجمٍ كبيرٍ من البيانات الحسّاسة. ويتولّى المسؤول التحقق من الامتثال وتلقّي الطلبات والشكاوى والعمل كحلقة وصلٍ مع المكتب.
حقوق الأفراد على بياناتهم الشخصية
الحصول على المعلومات معرفة أنواع بياناته وأغراض المعالجة والقرارات المؤتمتة والجهات المشارَكة وضوابط التخزين دون مقابل.
نقل البيانات الحصول على بياناته بصيغةٍ منظّمةٍ مقروءةٍ آلياً ونقلها لمتحكّمٍ آخر متى أمكن تقنياً.
التصحيح والمحو تصحيح البيانات غير الدقيقة، وطلب محوها في حالاتٍ كانتفاء الغرض أو العدول عن الموافقة.
تقييد المعالجة ووقفها إلزام المتحكّم بتقييد المعالجة عند الاعتراض على دقّة البيانات أو مخالفتها للأغراض أو للقانون.
الاعتراض على المعالجة المؤتمتة الاعتراض على القرارات المبنية على المعالجة الآلية والتنميط ذات الأثر القانوني أو البالغ.
التواصل وتقديم الشكوى التواصل المباشر مع مسؤول حماية البيانات، وتقديم الشكاوى إلى مكتب الإمارات للبيانات.
نقل البيانات عبر الحدود
يجوز نقل البيانات الشخصية خارج الدولة إلى دولةٍ أو إقليمٍ يوفّر مستوى حمايةٍ كافياً، أو في حالاتٍ محددة منها: الموافقة الصريحة لصاحب البيانات بما لا يتعارض مع المصلحة العامة والأمنية؛ أو إن كان النقل ضرورياً لإثبات الحقوق أمام الجهات القضائية؛ أو لإبرام أو تنفيذ عقدٍ يحقّق مصلحة صاحب البيانات؛ أو لإجراءٍ متعلقٍ بالتعاون القضائي الدولي؛ أو لحماية المصلحة العامة. وتحدّد اللائحة التنفيذية ضوابط هذه الحالات.
الإشراف والشكاوى والجزاءات
دور مكتب الإمارات للبيانات: لصاحب البيانات تقديم شكوى إلى المكتب عند الإخلال بأيٍّ من حقوقه، وللمكتب التحقق من أسباب الانتهاكات وتوقيع الجزاءات الإدارية على المتحكّم أو المعالِج المخالف لأحكام القانون والقرارات الصادرة تنفيذاً له. وتُحدَّد قيمة هذه الجزاءات الإدارية وإجراءاتها بموجب اللائحة التنفيذية للقانون، إلى جانب صلاحية المكتب في إصدار التوجيهات ومتابعة الامتثال.
المراجع القانونية
التشريع الحاكم: المرسوم بقانون اتحادي رقم (45) لسنة 2021 في شأن حماية البيانات الشخصية، والمرسوم بقانون اتحادي رقم (44) لسنة 2021 في شأن إنشاء مكتب الإمارات للبيانات.
المواد ذات الصلة: نطاق السريان والاستثناءات (المادة 2)، سلطة الإعفاء (المادة 3)، المعالجة المشروعة بدون موافقة (المادة 4)، ضوابط المعالجة (المادة 5)، الموافقة (المادة 6)، التزامات المتحكّم (المادة 7)، التزامات المعالِج (المادة 8)، الإبلاغ عن الانتهاك (المادة 9)، مسؤول حماية البيانات (المواد 10–12)، حقوق الأفراد: الحصول على المعلومات والنقل والتصحيح والمحو والتقييد (المواد 13–18)، النقل عبر الحدود (المادتان 22–23)، الشكاوى والجزاءات (المواد 24–26).
للكيانات في المناطق الحرة: قانون حماية البيانات لمركز دبي المالي العالمي رقم (5) لسنة 2020، ولوائح حماية البيانات لسوق أبوظبي العالمي.
” الخطوة الأولى لأي مؤسسةٍ هي تحديد التشريع الذي تخضع له بدقّة: اتحاديٌّ أم تشريع منطقةٍ حرة. فمن يخلط بين المنظومات قد يبني سياساتٍ غير ممتثلة، والامتثال يبدأ من فهم نطاق القانون قبل تفاصيله. — المحامي عوض المهيري
هل تحتاج إلى استشارةٍ في حماية البيانات والامتثال؟
يساعد فريقنا القانوني المؤسسات والأفراد في تحديد التشريع الواجب التطبيق، وصياغة سياسات الخصوصية واتفاقيات المعالجة، وإجراءات الاستجابة للانتهاكات، وممارسة الحقوق المقررة.
هل يسري القانون الاتحادي على الشركات في المناطق الحرة؟+
لا يسري القانون الاتحادي على الشركات والمؤسسات الواقعة في المناطق الحرة التي لديها تشريعات خاصة بحماية البيانات الشخصية، مثل مركز دبي المالي العالمي وسوق أبوظبي العالمي، إذ تخضع هذه الكيانات لتشريعها المستقل وجهة رقابته الخاصة. أما باقي المنشآت فتخضع للقانون الاتحادي.
هل يطبَّق القانون على شركةٍ خارج الدولة؟+
نعم؛ يمتدّ نطاق القانون ليشمل كل متحكّمٍ أو معالِجٍ متواجدٍ خارج الدولة يقوم بمعالجة البيانات الشخصية لأصحاب البيانات المقيمين في الدولة، فالعبرة بمحلّ إقامة صاحب البيانات لا بمكان الشركة فقط.
متى يجب تعيين مسؤول حماية البيانات؟+
يجب التعيين في ثلاث حالات: إذا كانت المعالجة تُحدِث خطراً عالياً على خصوصية البيانات نتيجة تقنياتٍ جديدة أو حجم البيانات؛ أو تتضمّن تقييماً ممنهجاً وشاملاً للبيانات الحسّاسة بما يشمل التنميط والمعالجة المؤتمتة؛ أو تتمّ على حجمٍ كبيرٍ من البيانات الحسّاسة.
ما الذي يجب فعله عند وقوع انتهاكٍ للبيانات؟+
يلتزم المتحكّم بمجرد علمه بالانتهاك الذي يمسّ خصوصية البيانات وسرّيتها وأمنها بإبلاغ مكتب الإمارات للبيانات وبيان طبيعة الانتهاك وآثاره والإجراءات المتخذة، وإخطار صاحب البيانات حين يمسّ الانتهاك بياناته. وعلى المعالِج إخطار المتحكّم فور علمه.
كيف يمارس الفرد حقوقه أو يقدّم شكوى؟+
يحقّ للفرد التواصل المباشر مع مسؤول حماية البيانات لدى الجهة لممارسة حقوقه كالاطّلاع والتصحيح والمحو والتقييد والاعتراض. وإذا أُخِلّ بأيٍّ من حقوقه، فله تقديم شكوى إلى مكتب الإمارات للبيانات الذي يتولّى التحقق واتخاذ الإجراءات المناسبة.
لمساعدتك في الامتثال أو ممارسة حقوقك، فريقنا في خدمتك.
أُعِدّ هذا المقال لأغراض نشر الثقافة القانونية والتوعية المجتمعية، ولا يُعدّ استشارةً قانونيةً أو رأياً قانونياً في واقعةٍ محددة. وتختلف المعالجة القانونية باختلاف ظروف كل حالة، لذا يُنصَح بالرجوع إلى مستشارٍ قانونيٍّ مختصٍّ قبل اتخاذ أي إجراء. ولا ينشئ الاطّلاع على هذا المحتوى علاقة موكِّلٍ بمحامٍ.
خدماتنا في دبي
يقدّم مكتب عوض المهيري للمحاماة والاستشارات القانونية في دبي خدماته للمؤسسات والأفراد فيما يتعلق بحماية البيانات الشخصية والامتثال للخصوصية، بدءاً من تحديد التشريع الواجب التطبيق سواء كان القانون الاتحادي أو تشريع منطقةٍ حرة كمركز دبي المالي العالمي، وبناء أطر الحوكمة وصياغة سياسات الخصوصية واتفاقيات المعالجة، وصولاً إلى إدارة طلبات الأفراد والاستجابة لحوادث انتهاك البيانات والتعامل مع جهات الرقابة المختصة.
خدماتنا في باقي إمارات الدولة
تمتدّ خدماتنا لتشمل عملاءنا في أبوظبي والشارقة وعجمان وأم القيوين ورأس الخيمة والفجيرة، حيث نواكب المؤسسات والأفراد في فهم التزاماتهم وحقوقهم المتعلقة بالبيانات الشخصية بموجب القانون الاتحادي، ونقدّم استشاراتٍ عمليةً تساعد على الموازنة بين متطلبات الأعمال وحماية خصوصية الأفراد، مع متابعةٍ دقيقةٍ لأي مستجداتٍ تشريعية تمسّ هذا المجال الحيوي.
English
Русский
اردو
中文
Français
