مقدمة
أصدرت سوق أبو ظبي العالمي (ADGM) مؤخرًا لوائح حماية بيانات ADGM 2021 ، “اللوائح” ، والتي ستحل محل لوائح حماية بيانات ADGM السائدة 2015 (بصيغته المعدلة في عام 2018) (“ القانون السابق ” ). توفر التعديلات الجديدة مقاربة صديقة للأعمال للكيانات مع تقديم معيار رفيع المستوى للأمان نحو البيانات الشخصية بما يتماشى مع أفضل ممارسة دولية.
من الضروري أن نلاحظ أن اللوائح تستدعي فترة انتقالية مدتها 12 شهرًا للمؤسسات الموجودة قبل 14 فبراير 2021 وفترة انتقالية من 6 أشهر للكيانات المسجلة في أو بعد 14 فبراير 2021 لتكون وفقًا للقانون الجديد. هذه الفترة الانتقالية هي تحفيز التحويل والاستيعاب القابل للتطبيق للمؤسسات. بالإضافة إلى ذلك ، خلال هذه الفترة الانتقالية ، يتم حث المؤسسات على إعادة تقييم هياكلها الحالية للتأكد من أن الخطوات الكافية يُفترض أن تتوافق مع اللوائح الجديدة.
تقدم اللائحة المنقحة عناصر تحكم تشير إلى تقدير أهمية البيانات الشخصية وحماية أساسية لاقتحامات موضوعات البيانات. إن التعديلات على لوائح حماية بيانات ADGM 2021 تجلب تنظيم البيانات في ADGM أقرب إلى لائحة حماية البيانات العامة (GDPR) المعتمدة في أوروبا. وهذا ، بدوره ، يضمن أن العملاء والمؤسسات الأجانب التي تنشئ أنفسهم في ADGM يمكن أن تتأقلم بسهولة ، مما يدل على مستوى عال من الحماية عند معالجة البيانات.
التعديلات الرئيسية لقانون حماية البيانات:
Scope
لم يكن القانون السابق قابلاً للتطبيق فقط على المؤسسات المسجلة في ADGM ، ولكن حسب المادة 3 من اللوائح الجديدة ، يذكر أن النطاق لا ينطبق فقط على المؤسسات المسجلة داخل ADGM ، ولكن أيضًا الكيانات المسجلة في ADGM ، ولكن معالجة البيانات سواء كليًا أو جزئيًا من خلال كيان يعمل خارج ADGM. عندما يكون المعالج (يعني الشخص الطبيعي أو القانوني أو السلطة العامة أو وكالة أو هيئة أخرى يعالج البيانات الشخصية نيابة عن وحدة التحكم) معالجة البيانات الشخصية لمراقب (يعني الشخص الطبيعي أو القانوني أو السلطة العامة أو الوكالة أو غيرها والتي ، وحدها أو المشتركة مع الآخرين ، تحدد أغراض ووسائل معالجة البيانات الشخصية) خارج ADGM ، يجب على المعالج الامتثال لشروط هذه اللوائح إلى المبلغ المحتمل ، مع الأخذ في الاعتبار أن وحدة التحكم تخضع لمتطلبات موازية بموجب قوانين اختصاصها.
طرائق لممارسة حقوق موضوع البيانات
وفقًا للمادة 13 ، يحق لموضوع البيانات (الشخص المعيشي المحدد الذي تتعلق به البيانات الشخصية) أن يتم توفير المعلومات من قبل وحدة التحكم فيما يتعلق بما إذا كانت وحدة التحكم تقوم بمعالجة البيانات والوصول إلى تلك البيانات. لم يحدد القانون السابق إطارًا زمنيًا محددًا للرد على طلب موضوعات البيانات ، ومع ذلك ، وفقًا للمادة 10 (5) من اللائحة الجديدة ، فإن الموعد النهائي الجديد للرد على طلبات توفير المعلومات هو شهرين . قد يتم تمديد الموعد النهائي لمدة شهرين بمقدار شهر واحد إذا كانت البيانات معقدة أو إذا كان حجم الطلبات حسب موضوع البيانات مرتفعًا. يجب أن تجعل وحدة التحكم موضوع البيانات على علم بهذا الامتداد وتزويد موضوع البيانات بأسباب للتأخير في غضون شهرين من تلقي الطلب.
رسوم حماية البيانات
تطلب القانون السابق دفع رسوم حماية البيانات عند التسجيل وتجديد هذا التسجيل لبيانات المعالجة. ومع ذلك ، فإن اللوائح الجديدة أكثر صرامة في تنفيذ دفع الرسوم هذا من خلال إصدار الغرامات الضخمة لعدم الدفع. تشمل المادة 24 دفع رسوم (يتم تحديدها) من قبل وحدة التحكم “قبل ، أو في أقرب وقت ممكن عمليًا بعد ذلك ، يبدأ في معالجة البيانات الشخصية”. من المهم أن نلاحظ أن دفع هذه الرسوم ينطبق فقط على وحدات التحكم التي تعين DPO. يجب على وحدات التحكم في البيانات أيضًا دفع رسوم تجديد كل عام “خلال شهر واحد من انتهاء الذكرى السنوية” من التاريخ الذي بدأت فيه معالجة البيانات.
تعيين موظف حماية البيانات (DPO)
يعد تعيين DPO إضافة جديدة إلى اللوائح التي لم تكن موجودة من قبل. وفقًا للمادة 35 من اللوائح ، ذكر أنه ، يجب على وحدة التحكم والمعالج تعيين موظف حماية البيانات (DPO) المسؤول عن ملاءمة سياسة حماية البيانات الخاصة بالمؤسسة وتنفيذها لضمان الامتثال للمتطلبات التنظيمية ، بما في ذلك إجراء حماية البيانات تقييم التأثير ، وهو إجراء لمساعدة DPO لتحديد وتقليص مخاطر حماية البيانات للمشروع كما ورد في المادة 34 من اللوائح الجديدة.
لا يلزم أن يكون DPO موظفًا في وحدة التحكم ولا يكون موجودًا في ADGM عند إجراء الأعمال التجارية. ومع ذلك ، يجب أن يكون لدى DPO الوعي الصريح لقانون حماية البيانات وممارساته ، وبالتالي القدرة على إكمال مسؤولياتها وفقًا للوائح. لذلك ، عندما تقوم المؤسسة بتعيين DPO ، يجب عليهم التأكد من اختيار الشخص ذي الصلة لتلبية المؤسسات الأساسية. علاوة على ذلك ، فإن بعض المؤسسات مثل أولئك الذين لا يحتاجون إلى أقل من خمسة موظفين لا تحتاج إلى تعيين DPO ما لم تكن المؤسسة تنفذ أنشطة معالجة عالية الخطورة.
تقييم تأثير حماية البيانات
لم يقدم القانون السابق متطلبات للكيان للخضوع لتقييم تأثير حماية البيانات لتنظيم المخاطر المرتبطة بمعالجة البيانات عالية الخطورة. ومع ذلك ، فإن القانون الجديد ، المادة 34 ، ينص على أنه يجب تنفيذ تقييم تأثير حماية البيانات (DPIA) قبل معالجة البيانات التي تثير إمكانية المخاطر العالية للأشخاص الطبيعيين من قبل وحدة التحكم. مفوض حماية البيانات “يجب أن ينشر قائمة بنوع عمليات المعالجة” والتي تتطلب DPIA. والغرض من ذلك هو أن المؤسسات تحتفظ بسجل لكيفية معالجة بياناتها فيما يتعلق بأمن البيانات وحمايتها. سوف تسعى وحدة التحكم إلى مساعدة DPO لتنفيذ DPIA. هذا مهم للغاية فيما يتعلق بالكيانات التي تنقل البيانات الشخصية إلى ولايات قضائية أخرى من ADGM.
سلطة إشرافية مستقلة
قبل اللوائح الأخيرة ، قام القانون السابق بتفويض مكتب حماية البيانات ADGM بمهمة الإشراف على حماية البيانات. تنص التعديلات على أن مجلس الإدارة سيوظف الآن مفوضًا لحماية البيانات وفقًا للمادة 47. قد يتم إعادة تعيين المفوض من قبل مجلس الإدارة كل أربع سنوات ، والتي يجب ألا تتجاوز فترة متتالية تبلغ 12 عامًا. سيضمن المفوض أن يقوم وحدات التحكم ومعالجات البيانات بأداء واجباتهم ووظائفهم ويعملون كسلطة إشرافية مستقلة لحماية البيانات وفقًا للمادة 48.
غرامات/عقوبة
اللوائح الجديدة تفرض غرامات ثقيلة على انتهاكات البيانات ؛ وفقًا للمادة 55 ، يجوز لمفوض حماية البيانات ، من خلال إشعار خطي يعرف باسم إشعار العقوبة ، إصدار غرامة أقصى قدرها 28 مليون دولار للانتهاكات الإدارية. قد تتجاوز الغرامة هذا المبلغ في حالات الانتهاكات الخطيرة.
وفقًا للمادة 56 ، إذا فشل وحدة التحكم في دفع رسوم حماية البيانات أو رسوم التجديد وفقًا للمادة 24 ، فقد يتم فرض غرامة على وحدة التحكم حتى 150 ٪ من رسوم حماية البيانات ، أو رسوم التجديد. يعد تنفيذ عقوبات عدم دفع رسوم حماية البيانات المذكورة إضافة جديدة إلى اللوائح.
الخلاصة
تضع اللوائح مسؤولية أكثر صلابة على وحدات التحكم والمعالجات. يتم الاحتفاظ بالمراقفات وفقًا لمعايير المسؤولية والسلطة. يتم زيادة الشدة بشكل أكبر من خلال إنشاء سلطة إشرافية مستقلة. مع التنفيذ الجديد ، يمكن اعتبار ذلك مشروعًا جذابًا للمؤسسات التي يجب إعدادها في ADGM ، بما في ذلك توفير المزيد من الأمان للكيانات الحالية. تقدم اللوائح الجديدة المعالجة القانونية والعادلة والمرئية بما يتماشى مع حقوق الموضوعات فيما يتعلق بسلامة البيانات وصحتها ، وهذا يوفر أساسًا شرعيًا لمعالجة البيانات.
