قانون حماية البيانات الجديد لمركز دبي المالي العالمي – ما تحتاجون إلى الإلمام به وكيف تتحضرون له

قانون حماية البيانات الجديد لمركز دبي المالي العالمي – ما تحتاجون إلى الإلمام به وكيف تتحضرون له

أصدر صاحب السمو الشيخ محمد بن راشد آل مكتوم، نائب رئيس الدولة رئيس مجلس الوزراء حاكم دبي، قانونًا جديدًا لحماية البيانات لمركز دبي المالي العالمي (القانون الجديد لمركز دبي المالي العالمي)، والذي يحل محل قانون حماية البيانات لمركز دبي المالي العالمي لسنة 2007

(بصيغته المعدلة) (قانون حماية البيانات لسنة 2007).

يعكس القانون الجديد لمركز دبي المالي العالمي العديد من متطلبات النظام الأوروبي العام لحماية البيانات، والتي ينظر إليها الكثيرون على أنها "المعيار الذهبي" للامتثال بحماية البيانات. وسيطبق القانون الجديد لمركز دبي المالي العالمي في الغالب على الشركات التي لها عمليات في مركز دبي المالي العالمي، وهي منطقة اقتصادية تقع في إمارة دبي.

يدخل القانون الجديد حيز التنفيذ في 1 يوليو 2020؛ إلا أنه سيتم منح المؤسسات مهلة حتى 1 أكتوبر 2020 لتحقيق شروط الامتثال بهذا القانون مراعاةً لتأثير وباء كورونا (كوفيد-19) على العمليات التجارية. وهذه المهلة تمنح المؤسسات المعنية سوى بضعة أشهر لإجراء أي تغييرات مطلوبة لمواءمة أطر الامتثال الخاصة بها بحيث تتماشى مع القانون الجديد.

من المرجح أن تكون المؤسسات التي لديها عمليات في الاتحاد الأوروبي أو التي تخضع للنظام الأوروبي العام لحماية البيانات على دراية بالعديد من مفاهيم القانون الجديد لمركز دبي المالي العالمي، وقد تكون هذه المؤسسات بالفعل في وضع جيد من حيث الامتثال للقانون الجديد من خلال تعديل السياسات والإجراءات القائمة على النظام الأوروبي العام لحماية البيانات أو إعادة تطبيقها.

وانطلاقًا من تجربتنا السابقة في التحضير لبدء سريان النظام العامة لحماية البيانات، نوصي بأن تبدأ المؤسسات المعنية بالتخطيط من الآن. يجب على المؤسسات بوجه خاص أن تولي الأولوية لجمع الحقائق وغيرها من المهام التي تستغرق وقتًا كبيرًا مثل معالجة العقود.

والأهم من ذلك أن هناك بعض الاختلافات الرئيسية بين النظام العام لحماية البيانات والقانون الجديد لمركز دبي المالي العالمي، والتي يجب أن تكون المؤسسات على دراية بها. لقد لخصنا في تحليلنا الالتزامات الرئيسية بموجب القانون الجديد لمركز دبي المالي العالمي، بالإضافة إلى بعض الاختلافات في اللائحة العامة لحماية البيانات.

1- على مَنْ ينطبق القانون الجديد لمركز دبي المالي العالمي؟

ينطبق القانون الجديد لمركز دبي المالي العالمي على:

1- معالجة البيانات الشخصية بواسطة وحدات تحكم أو معالجة مدرجة في مركز دبي المالي العالمي، بغض النظر عما إذا كانت المعالجة تتم في مركز دبي المالي العالمي؛

2- ووحدات التحكم أو المعالجة التي تقوم بمعالجة البيانات الشخصية في مركز دبي المالي العالمي (أي متى كانت الوسائل أو الأفراد المستخدمة في إجراء المعالجة فعليًا متواجدة في مركز دبي المالي العالمي) كجزء من ترتيبات مستقرة (وليس على أساس عرضي)، بغض النظر عن مكان تأسيسها.

ومن ثمّ، فرغم أن القانون الجديد لمركز دبي المالي العالمي ليس له نطاق إقليمي إضافي مثل النظام الأوروبي العام لحماية البيانات، إلا أنه سوف يشمل أنشطة معالجة البيانات الشخصية التي تتم خارج مركز دبي المالي العالمي، والتي يتم إجراؤها من قِبل أي شركة مدرجة في مركز دبي المالي العالمي وكذلك عمليات معالجة البيانات الشخصية التي تقوم بها المؤسسات غير التابعة لمركز دبي المالي العالمي باستخدام الأشخاص أو الأنظمة الموجودة في مركز دبي المالي العالمي.

2- مبادئ حماية البيانات

يحدد القانون الجديد لمركز دبي المالي العالمي، كما هو الحال مع النظام الأوروبي العام لحماية البيانات، سلسلة من المبادئ لحماية البيانات التي يجب على المؤسسات المعنية الالتزام بها، والتي تشمل (من بين جملة أمور أخرى) مفاهيم مألوفة مثل مبادئ القانونية والإنصاف والشفافية والخصوصية وفقًا للنص ومن باب الافتراض.

ويفرض القانون الجديد لمركز دبي المالي العالمي التزامًا صريحًا على وحدات التحكم والمعالجة بإنشاء برنامج امتثال لإثبات الامتثال للقانون الجديد لمركز دبي المالي العالمي. ويعتمد مدى تعقيد البرنامج ومستوى التفاصيل فيه جزئيًا على حجم المؤسسة المعنية ومواردها إضافة إلى المخاطر

التي تفرضها المعالجة على أصحاب البيانات. ومع ذلك، يجب أن يثبت البرنامج أن المبادئ الأساسية للقانون الجديد لمركز دبي المالي العالمي جزءٌ لا يتجزأ من المؤسسة.

3- تقييمات تأثير حماية البيانات

يتطلب القانون الجديد لمركز دبي المالي العالمي، على غرار النظام الأوروبي العام لحماية البيانات، إجراء تقييم لتأثير حماية البيانات في ظروف معينة، وعلى وجه التحديد متى كانت المؤسسة تزاول "أنشطة معالجة عالية المخاطر". والعتبة التي تؤدي إلى تفعيل هذا الشرط بموجب القانون الجديد لمركز دبي المالي العالمي، بالإضافة الى المحتوى المطلوب لتقييم تأثير حماية البيانات، تشبه المتطلبات اللازمة بموجب النظام الأوروبي العام لحماية البيانات، ولكنها ليست متطابقة معها.

حيث ستحتاج المؤسسات إلى إنشاء (أو مراجعة وتحديث) نموذج وإجراء لتقييم تأثير حماية البيانات لضمان إجراء تلك التقييمات عند الضرورة، والتشاور مع مفوض حماية البيانات في مركز دبي المالي العالمي عند الاقتضاء بموجب القانون الجديد لمركز دبي المالي العالمي.

4- مسؤول حماية البيانات

يتطلب القانون الجديد لمركز دبي المالي العالمي من وحدات التحكم والمعالجة تعيين مسؤول حماية بيانات إذا ما قاموا بأنشطة معالجة عالية المخاطر على أساس منهجي أو منتظم، إذا طلب منهم المفوض ذلك.

إذا لم يكن مطلوبًا من وحدات التحكم والمعالجة تعيين مسؤول حماية بيانات، يجب على المؤسسة أن تحدد بوضوح المسؤولية داخلها عن الإشراف على التزامات حماية البيانات والامتثال لها بموجب القانون الجديد لمركز دبي المالي العالمي (أو أي قانون آخر معمول به لحماية البيانات).

ستحتاج المؤسسات الخاضعة للقانون الجديد لمركز دبي المالي العالمي إلى تقييم ما إذا كان مطلوبًا منها تعيين مسؤول حماية بيانات بموجب هذا القانون الجديد مع ملاحظة أن الحد الأدنى مشابه للحد الأدنى الوارد في النظام الأوروبي العام لحماية البيانات ولكنه لا يتطابق معه.

يجب أن يكون مسؤول حماية البيانات مقيمًا في دولة الإمارات العربية المتحدة ما لم يتم توظيف مسؤول حماية البيانات داخل مجموعة المؤسسة ويقوم بوظيفة مماثلة للمجموعة على أساس دولي.

ثمة اختلاف مهم بين القانون الجديد لمركز دبي المالي العالمي والنظام الأوروبي العام لحماية البيانات، وهو أن مسؤولي حماية البيانات مطالبون بإجراء تقييم سنوي للإبلاغ عن أنشطة معالجة وحدة التحكم وما إذا كان ينوي أداء أي "أنشطة معالجة عالية المخاطر" في العام التالي.

5- التزامات الإخطار بالخرق

يتطلب القانون الجديد لمركز دبي المالي العالمي، على غرار النظام الأوروبي العام لحماية البيانات، من وحدات التحكم إخطار المفوض

فيما يتعلق بانتهاكات البيانات الشخصية على الرغم من أن الحد الأدنى الذي يتطلب عنده إصدار إخطار الى المفوض في القانون الجديد لمركز دبي المالي العالمي لا يتطابق مع متطلبات النظام الأوروبي العام لحماية البيانات. وبالإضافة إلى ذلك، يتطلب القانون الجديد لمركز دبي المالي العالمي فقط إخطار المفوض "في أقرب وقت ممكن عمليًا في الظروف"، ولا يفرض مهلة زمنية قدرها 72 ساعة كما هو الحال بموجب النظام الأوروبي العام لحماية البيانات. والجدير بالذكر أن هناك أيضًا شرط لإخطار أصحاب البيانات بالانتهاكات في ظروف معينة.

6- سجل المعالجة

على غرار المتطلبات الواردة في المادة 30 من النظام الأوروبي العام لحماية البيانات، ستحتاج المؤسسات إلى فهم البيانات الشخصية التي تحتفظ بها ولماذا تستخدمها، بالإضافة إلى المعلومات الرئيسية الأخرى المطلوبة لتوثيقها في سجل المعالجة. ومن المرجح أن تكون هذه واحدة من المهام الأكثر استهلاكًا للوقت بالنسبة للمؤسسات لكي تكملها ويجب إيلاء الأولوية لها. ويُطلب من المؤسسات مراجعة سجل المعالجة والاحتفاظ به باستمرار.

7- إشعارات المعالجة العادلة

يُطلب من وحدات التحكم تزويد أصحاب البيانات بإشعارات المعالجة العادلة. على الرغم من أن محتوى هذه الإشعارات سيكون مشابهًا لتلك المطلوب تقديمها بموجب النظام الأوروبي العام لحماية البيانات، إلا أنها ستحتاج إلى أن يتم مواءمتها لتتوافق مع القانون الجديد لمركز دبي المالي العالمي، ولاسيما لتعكس أحد القواعد القانونية المعدّلة للمعالجة. ومع ذلك، نلاحظ أن الأسس القانونية المنصوص عليها في القانون الجديد لمركز دبي المالي العالمي توفر درجة إضافية من المرونة عند مقارنتها بتلك الواردة في النظام الأوروبي العام لحماية البيانات.

إذا كانت إحدى وحدات التحكم تنوي معالجة البيانات الشخصية بطريقة تقيد أو تمنع أصحاب البيانات من ممارسة حقوقها في تصحيح المعالجة أو محوها أو الاعتراض عليها، فحينئذٍ يُطلب من وحدة التحكم تقديم تفسير واضح وصريح للتأثير المتوقع على صاحب البيانات ويجب أن يتأكد أن صاحب البيانات يفهم مدى هذه القيود. وهذا هو الفرق الرئيسي مقارنةً بالنظام الأوروبي العام لحماية البيانات .

8- حقوق أصحاب البيانات

يتمتع أصحاب البيانات بحقوق مماثلة بموجب القانون الجديد لمركز دبي المالي العالمي لتلك الحقوق المنصوص عليها في النظام الأوروبي العام لحماية البيانات، بما في ذلك الحق في سحب الموافقة أو الوصول إلى بياناتهم أو طلب تصحيح بياناتهم أو محوها (من بين جملة حقوق أخرى). ومع ذلك، تتمتع المؤسسات بمرونة إضافية مقارنةً بالنظام الأوروبي العام لحماية البيانات فيما يتعلق ببعض حقوق أصحاب البيانات مثل الحق في الاعتراض على المعالجة واتخاذ القرارات الفردية وتصحيح البيانات أو محوها آليًّا. والأهم من ذلك أنه يُحظر على وحدة التحكم بموجب القانون الجديد لمركز دبي المالي العالمي التمييز ضد أحد أصحاب البيانات عند ممارسته لحقوقه القانونية.

ستحتاج المؤسسات إلى التأكد من أن لديها سياسة وإجراءات مطبقة من أجل الاستجابة لطلبات أصحاب البيانات والتعامل معها بشكل مناسب خلال المدد الزمنية المنصوص عليها. وإذا رغبت المؤسسات في الاستفادة من سياسات حقوق أصحاب البيانات الموجودة بموجب النظام الأوروبي العام لحماية البيانات حاليًا، فسوف تحتاج إلى مراجعة هذه السياسات وتحديثها لتعكس الفروق والاختلافات الدقيقة بين النظام الأوروبي العام لحماية البيانات والقانون الجديد لمركز دبي المالي العالمي.

9- الأساس القانوني للمعالجة

ستحتاج المؤسسات التي تعالج البيانات الشخصية إلى التأكد من وجود أساس قانوني صالح قائم لديها لكل عملية معالجة تقوم بها بموجب القانون الجديد لمركز دبي المالي العالمي، بما في ذلك الفئات الخاصة من البيانات الشخصية. يجب توثيق هذا التقييم لإثبات الامتثال للقانون الجديد لمركز دبي المالي العالمي.

تتشابه القواعد القانونية للمعالجة بموجب القانون الجديد لمركز دبي المالي العالمي في كثير من النواحي مع تلك القواعد المتاحة بموجب النظام الأوروبي العام لحماية البيانات، وذلك على الرغم من أن القانون الجديد لمركز دبي المالي العالمي يوفر مرونة إضافية، وخاصةً فيما يتعلق بالأساس القانوني لمعالجة فئات خاصة من البيانات الشخصية.

والأهم من ذلك أنه تمت مراجعة معيار الموافقة بموجب القانون الجديد لمركز دبي المالي العالمي بحيث يعكس جوانب معينة من النظام الأوروبي العام لحماية البيانات؛ وعلى وجه التحديد، يجب أن يتم منحها وإثباتها دون إكراه من خلال عمل إيجابي واضح ينطوي على مؤشر لا لبس فيه على الموافقة. وبناءً عليه، فإذا كانت المؤسسة تعتمد على الموافقة لإجراء المعالجة بموجب قانون 2007، فسوف تحتاج إلى تحديث الموافقة لاستيفاء المعيار الجديد للصلاحية.

10- العقود مع وحدات المعالجة

يُطلب من وحدات التحكم بموجب القانون الجديد لمركز دبي المالي العالمي، كما هو الحال مع النظام الأوروبي العام لحماية البيانات، ضمان إدراج بعض الالتزامات الإلزامية في الاتفاقيات مع وحدات المعالجة التي تتولى معالجة البيانات الشخصية نيابةً عنهم. ويمثل هذا تغييرًا كبيرًا في قانون 2007.

وعلى الرغم من أن قائمة الشروط الإلزامية المنصوص عليها في القانون الجديد لمركز دبي المالي العالمي تشبه إلى حد كبير تلك الموجوده في النظام الأوروبي العام لحماية البيانات، إلا إن حقوق المراجعة المطلوب إدراجها في الاتفاقية يجب أن تمتد إلى السماح للمفوض بتدقيق / فحص وحدة المعالجة. والأهم من ذلك، سيكون كل من وحدات التحكم والمعالجة في وضع مخالف للقانون بموجب القانون الجديد لمركز دبي المالي العالمي إذا بدأوا في المعالجة المتفق عليها بشكل متبادل دون وجود هذا العقد المكتوب.

ويجب على المؤسسات مراجعة العقود الحالية وتحديثها، إضافة إلى التأكد من أن أي عقود جديدة تتضمن الشروط المناسبة لمعالجة البيانات. وانطلاقًا من خبرتنا المكتسبة في التحضير لبدء سريان النظام الأوروبي العام لحماية البيانات، يمكن أن تستغرق عملية معالجة العقود وقتًا كبيرًا ويجب البدء فيها دون تأخير.

11- القيود المفروضة على نقل البيانات الدولية

ينص القانون الجديد لمركز دبي المالي العالمي على قيود نقل البيانات الدولية بما يماثل النظام الأوروبي العام لحماية البيانات، والتي سيتم تطبيقها فيما يتعلق بجميع عمليات نقل البيانات الشخصية خارج مركز دبي المالي العالمي بما في ذلك إلى دولة الإمارات العربية المتحدة. وبموجب القانون الجديد، لن يكون لدى المؤسسات خيار تقديم طلب إلى المفوض للحصول على إذن لإجراء عمليات نقل البيانات عبر الحدود، ولن يُسمح بعمليات النقل هذه إلا في حالة وجود مستوى كافٍ من الحماية لحماية البيانات الشخصية، أو متى انطبق أحد الاستثناءات المنصوص عليها في القانون الجديد لمركز دبي المالي العالمي (على سبيل المثال، الموافقة الصريحة أو تنفيذ العقد) والضمانات المناسبة.

ستحتاج المؤسسات إلى تخطيط تدفقات البيانات الخاصة بها لفهم المكان الذي يتم نقل البيانات الشخصية إليه، سواء داخل مجموعة شركاتها أو خارجها، وضمان وضع إجراءات حماية مناسبة، بما في ذلك البنود التعاقدية القياسية عند الضرورة.

12- وحدات التحكم المشتركة

على غرار النظام الأوروبي العام لحماية البيانات، حيث تحدد وحدات التحكم بشكل مشترك وسائل المعالجة وأغراضها، سيتم اعتبارها "وحدات تحكم مشتركة". وبموجب القانون الجديد لمركز دبي المالي العالمي، يجب أن يكون هناك اتفاقية مكتوبة ملزمة قانونًا (وليس "ترتيبًا" كما هو الحال بموجب النظام الأوروبي العام لحماية البيانات)، يحدد مسؤوليات كل منهم، بما في ذلك الإجراءات المتعلقة بكيفية ممارسة حقوق أصحاب البيانات ومَنْ المسؤول عن تقديم إشعارات المعالجة العادلة لأصحاب البيانات. يجب أيضًا تزويد أصحاب البيانات بالاتفاقية المكتوبة (أو ملخص لها).

13- الإنفاذ

من المؤكد تمامًا أن انتهاكات النظام الأوروبي العام لحماية البيانات يمكن أن تؤدي إلى فرض غرامات إدارية كبيرة تصل إلى 10 ملايين يورو

أو 20 مليون يورو أو 2٪ أو 4٪ من إجمالي المبيعات السنوية للمؤسسة في جميع أنحاء العالم للسنة المالية السابقة، وذلك بناءً على أحكام القانون التي تم الإخلال بها.

وعلى النقيض من ذلك، لا ينص القانون الجديد لمركز دبي المالي العالمي على حد أقصى للغرامات، ويعطي المفوض سلطة تقديرية لفرض غرامة عامة بمبلغ يعتبره المفوض مناسبًا ومتناسبًا مع مراعاة خطورة الانتهاك وخطر الضرر الفعلي الواقع على أصحاب البيانات.

ويمكن للمفوض أيضًا فرض غرامات إدارية فيما يتعلق بمخالفات التزامات معينة بموجب القانون الجديد لمركز دبي المالي العالمي المنصوص عليها في الجدول 2 والتي تتراوح من 20,000 إلى 100,000 دولار.

14- تفضيلات الخصوصية الافتراضية

إذا كانت إحدى وحدات التحكم تقدم خدمات عبر الإنترنت من خلال منصة، فإن القانون الجديد لمركز دبي المالي العالمي يتطلب أن يتم تعيين تفضيلات الخصوصية الافتراضية على النظام الأساسي لضمان عدم جمع أكثر من الحد الأدنى من البيانات الشخصية، الذي يكون ضروريًا لتقديم الخدمة أو تلقيها.

15- إخطار بعمليات المعالجة

كما كان الحال بموجب قانون 2007، يُطلب من وحدات التحكم والمعالجة التسجيل لدى المفوض من خلال تقديم إخطار بعمليات المعالجة.

 ويجب أن يتم تحديث هذا الإخطار باستمرار.

وينطبق هذا الالتزام بالإخطار ودفع الرسوم على كل من وحدات التحكم والمعالجة، وسيكون من الضروري التأكد من تقديمها إلى المفوض والاحتفاظ بها باستمرار.

الخطوات التالية

يجب على المؤسسات في مركز دبي المالي العالمي أن تتحرك بسرعة لمراجعة ممارسات معالجة البيانات الحالية الخاصة بها وتحديد المواضع التي تحتاج إلى تحديث في سياساتها وإجراءاتها الحالية لحماية البيانات حتى تعكس متطلبات القانون الجديد لمركز دبي المالي العالمي. وحتى في الحالات التي يمكن فيها للمؤسسة الاستفادة من سياسات وإجراءات حماية البيانات الحالية المُعدة للامتثال للنظام الأوروبي العام لحماية البيانات ضمن مجموعتها الأوسع، ستحتاج إلى مراجعة هذه السياسات ومواءمتها لتعكس الاختلافات بموجب القانون الجديد لمركز دبي المالي العالمي.

يتمتع فريق حماية البيانات في بيكر مكنزي بخبرة بعيدة المدى وبصيرة متعمقة فيما يتعلق بقضايا الامتثال لحماية البيانات الإقليمية والدولية،

بما في ذلك توفير التوجيه التشغيلي والمشورة فيما يتعلق بحماية البيانات والقوانين ذات الصلة المطبقة في مركز دبي المالي العالمي وسوق أبوظبي العالمي ودولة الإمارات العربية المتحدة وبموجب اللائحة العامة لحماية البيانات.

إذا كنت ترغب في الاتصال بفريقنا لمناقشة التغييرات التي طرأت على القانون الجديد لمركز دبي المالي العالمي، فلا تتردد في التواصل مع

أحد المحامين الواردة بياناتهم أدناه أو الاتصال بمكتب بيكر مكنزي بالطرق المعتادة.