عرض عام لأهم الالتزامات المنصوص عليها في قانون حماية البيانات الجديد في دولة الإمارات وآثاره على بيئة الأعمال.
تواصل دولة الإمارات العربية المتحدة تعزيز إطارها التشريعي لحماية البيانات بما ينسجم مع المعايير الدولية للخصوصية ويدعم نمو اقتصادها الرقمي. وقد دخل المرسوم بقانون اتحادي رقم 45 لسنة 2021 بشأن حماية البيانات الشخصية (PDPL) حيز التنفيذ في يناير 2022 وأصبح نافذًا بالكامل في عام 2023. وبحلول عام 2025، يكون كلٌّ من قانون حماية البيانات الاتحادي وأنظمة حماية البيانات في المناطق الحرة، ولا سيما في مركز دبي المالي العالمي (DIFC) وسوق أبوظبي العالمي (ADGM)، قد تطورا من خلال تعديلات وتوجيهات محدثة تهدف إلى ضمان الاتساق مع أفضل الممارسات العالمية.
يسلط هذا المقال الضوء على أبرز تطورات الامتثال المتوقعة لعام 2025، ويشرح الفروق العملية بين قوانين حماية البيانات الاتحادية وتلك المعمول بها في المناطق الحرة في دولة الإمارات، كما يحدد الإجراءات الأساسية التي يتعين على المؤسسات اتخاذها لضمان استمرار امتثالها التنظيمي.
1. نطاق وقابلية التطبيق
1.1 القانون الاتحادي (قانون حماية البيانات الشخصية PDPL)
ينطبق قانون حماية البيانات الشخصية (PDPL) على الجهات المتحكمة والمُعالِجة التي تتعامل مع البيانات الشخصية للأفراد داخل دولة الإمارات، بغض النظر عمّا إذا كانت عملية المعالجة تتم داخل الدولة أو خارجها. ويتمتع القانون بنطاق تطبيق خارج الإقليم عندما تتعلق المعالجة بأشخاص مقيمين في الإمارات. وتُستثنى من نطاق تطبيقه بعض الأنشطة، مثل المعالجة لأغراض قضائية أو أمنية أو صحية أو مصرفية، والتي تخضع لتشريعات قطاعية خاصة.
ويشرف مكتب حماية البيانات الإماراتي، المنشأ بموجب قرار مجلس الوزراء رقم 21 لسنة 2022، على تنفيذ القانون، ويتمتع بصلاحية إصدار قرارات تنظيمية إضافية، تشمل آليات نقل البيانات عبر الحدود وإجراءات الإخطار عن حالات خرق البيانات.
1.2 الأنظمة المعمول بها في المناطق الحرة (مركز دبي المالي العالمي وسوق أبوظبي العالمي)
تحتفظ المناطق الحرة ذات الأنظمة القانونية المستقلة، مثل مركز دبي المالي العالمي (DIFC) وسوق أبوظبي العالمي (ADGM)، بأنظمتها الخاصة بحماية البيانات. ويعزز قانون حماية البيانات في مركز دبي المالي العالمي رقم 5 لسنة 2020، الذي تم تعديله مؤخرًا في يوليو 2025، التزامات الشفافية ويستحدث متطلبات جديدة لتقييم تأثير عمليات نقل البيانات. أما لوائح حماية البيانات الصادرة عن سوق أبوظبي العالمي لعام 2021، فتبقى متوافقة بدرجة كبيرة مع اللائحة العامة لحماية البيانات الأوروبية (GDPR)، ولا سيما فيما يتعلق بأسس المعالجة المشروعة والتزامات المساءلة.
وبناءً على ذلك، قد تخضع المؤسسة الواحدة لكلٍّ من قانون حماية البيانات الاتحادي (PDPL) ونظام حماية البيانات في المنطقة الحرة إذا كانت تمارس أنشطتها عبر نطاقات اختصاص متعددة، مما يستلزم اعتماد استراتيجية امتثال مزدوجة.
2. المبادئ الأساسية لمعالجة البيانات
يشترك كلٌّ من قانون حماية البيانات الشخصية (PDPL) والأطر التنظيمية المعمول بها في المناطق الحرة في مجموعة من المبادئ الأساسية المشابهة لتلك المنصوص عليها في اللائحة العامة لحماية البيانات الأوروبية (GDPR).
تقتضي مبادئ المشروعية والإنصاف والشفافية أن تستند عملية المعالجة إلى أساس قانوني صحيح وأن تُفصح بوضوح لأصحاب البيانات عن طبيعتها وأغراضها. ويضمن مبدأ تحديد الغرض أن تُعالج البيانات فقط لتحقيق أهداف محددة ومشروعة. أما مبدأ تقليل البيانات فيُلزم المؤسسات بجمع الحد الأدنى من البيانات اللازمة لتحقيق الغرض المعلن. ويُحتّم مبدأ الدقة أن تكون البيانات الشخصية صحيحة ومحدثة كلما دعت الحاجة. كما يفرض مبدأ تقييد التخزين عدم الاحتفاظ بالبيانات لمدة أطول من اللازم إلا في الحالات التي يوجب فيها القانون ذلك. ويتطلب مبدآ السلامة والسرية اتخاذ تدابير تقنية وتنظيمية مناسبة لحماية البيانات من الوصول غير المصرح به أو الفقدان. وأخيرًا، يُلزم مبدأ المساءلة الجهات المتحكمة بإثبات امتثالها من خلال التوثيق والمراجعات الداخلية والسياسات المؤسسية.
3. حقوق أصحاب البيانات
يتمتع الأفراد بعدة حقوق قابلة للإنفاذ بموجب القانون الإماراتي، من بينها حق الوصول لمعرفة طبيعة البيانات المحتفظ بها وكيفية معالجتها، وحق التصحيح لتعديل البيانات غير الدقيقة أو غير المكتملة، وحق المحو المعروف أيضًا بـ “الحق في النسيان” عندما تصبح المعالجة غير ضرورية. كما يملك أصحاب البيانات حق تقييد المعالجة مؤقتًا، وحق الاعتراض على أنواع معينة من المعالجة مثل التسويق المباشر أو القرارات الآلية، إضافة إلى حق نقل البيانات الذي يتيح لهم الحصول على بياناتهم الشخصية بصيغة منظمة وقابلة للقراءة آليًا متى كان ذلك ممكنًا من الناحية التقنية.
و يتعين على الجهات المتحكمة الاستجابة لمثل هذه الطلبات دون تأخير غير مبرر، ووضع إجراءات داخلية تضمن التعامل معها بكفاءة وفعالية.
4. نقل البيانات عبر الحدود
يشرف مكتب حماية البيانات في دولة الإمارات على تنظيم عمليات نقل البيانات الدولية بموجب قانون حماية البيانات الشخصية (PDPL). ويُسمح بنقل البيانات إلى خارج الدولة إذا كانت الدولة المستقبلة توفر مستوى كافيًا من الحماية، أو إذا قدّمت الجهة المتحكمة ضمانات مناسبة، مثل البنود التعاقدية أو القواعد المؤسسية الملزمة.
كما وتلزم تعديلات مركز دبي المالي العالمي لعام 2025 الجهات المتحكمة بإجراء تقييمات لتأثير عمليات النقل قبل تصدير البيانات إلى مناطق اختصاص لا تتمتع بمستوى حماية كافٍ، بما يتماشى مع المبادئ التي أرستها قضية Schrems II في الاتحاد الأوروبي.
5. تطبيق القانون والعقوبات
قد يؤدي عدم الامتثال لأحكام قانون حماية البيانات الشخصية (PDPL) أو لأنظمة حماية البيانات في المناطق الحرة إلى فرض غرامات إدارية تُحدد من قبل مكتب حماية البيانات الإماراتي وفقًا لطبيعة المخالفة وجسامتها. وتشمل العقوبات الإدارية الإنذار الكتابي، وفرض جزاءات مالية، ووقف أو تقييد أنشطة المعالجة مؤقتًا أو دائمًا. أما في مركز دبي المالي العالمي (DIFC) وسوق أبوظبي العالمي (ADGM)، فقد تصل الغرامات في حالات الإخلال الجسيم إلى 500,000 درهم أو أكثر بحسب لائحة المخالفات. كما يجوز للجهات الرقابية نشر قرارات العقوبة لتعزيز الشفافية وردع الانتهاكات المستقبلية.
ويجب التنويه الى انه عام 2025 أصبحت الجهات الرقابية أكثر نشاطاً واستباقية، حيث تصدر إرشادات وتُجري تحقيقات مستهدفة، لا سيما فيما يتعلق بحوادث الأمن السيبراني وممارسات الحصول على موافقة التسويق.
6. الخطوات العملية للامتثال في عام 2025
لضمان الامتثال، ينبغي على المؤسسات تعيين مسؤول لحماية البيانات عند الاقتضاء، ولا سيما في حالات المعالجة واسعة النطاق أو عالية المخاطر. كما يجب عليها رسم خريطة لتدفقات البيانات عبر الكيانات التابعة لها داخل دولة الإمارات والمناطق الحرة، ومراجعة آليات الحصول على الموافقة لضمان وضوحها وشفافيتها، واعتماد سياسات موثقة تنظم الاحتفاظ بالبيانات، والاستجابة لحالات الخرق، ونقل البيانات الدولية. ويُعد تدريب الموظفين على التزامات الخصوصية وإجراءات الإبلاغ عن الحوادث أمرًا ضروريًا، إضافة إلى إجراء عمليات تدقيق منتظمة وتقييمات جاهزية متوافقة مع معايير قانون حماية البيانات الشخصية (PDPL) ومعايير مركز دبي المالي العالمي (DIFC)، بهدف تحقيق امتثال مستمر ومستدام.
الرؤية الختامية
يعكس إطار حماية البيانات في دولة الإمارات لعام 2025 تحولًا حاسمًا نحو التكامل العالمي والنضج التنظيمي. ويتعين على المؤسسات العاملة داخل الدولة، ولا سيما تلك التي تمارس أنشطتها عبر نطاقي الاختصاص الاتحادي والمناطق الحرة، اعتماد نظام امتثال شامل يوازن بين متطلبات الابتكار والمسؤولية المؤسسية.
ومع تشديد آليات تطبيق القانون، أصبح الامتثال الاستباقي ضرورة استراتيجية لتعزيز الثقة والمنافسة والاستدامة القانونية على المدى الطويل.
الردود