في 18 يونيو 2019 ، أصدر مركز دبي الدولي المالي (DIFC) ورقة استشارة رقم 6 لعام 2019 (“ ورقة استشارة “) البحث عن تعليقات عامة على اقتراح هيئة مركز دبي المالي الدولي (DIFCA) لإصدار قانون جديد للحماية من البيانات يهدف إلى تعزيز الإطار القانوني الحالي لحماية البيانات في DIFC (“ القانون المقترح “). الموعد النهائي لتقديم التعليقات على المقترحات في ورقة الاستشارة هو 18 أغسطس 2019.
توفر هذه الملاحظة نظرة عامة على الأهداف والميزات الرئيسية للقانون المقترح.
أهداف قانون حماية البيانات الجديد
يُطلب من القانون المقترح استبدال قانون حماية البيانات الحالي رقم 1 لعام 2007 ويهدف إلى:
(ط) دمج أفضل الممارسات الدولية وكذلك عناصر الناتج المحلي الإجمالي (لائحة حماية البيانات العامة (EU)) وقانون خصوصية المستهلك في كاليفورنيا (الولايات المتحدة الأمريكية) ؛
(2) توسيع إطار الامتثال بما في ذلك فيما يتعلق بإخطار خرق البيانات والتشاور المسبق ومواعيد مسؤول حماية البيانات ؛
(3) توفير الوضوح بشأن حقوق موافقة وبيانات ؛ و
(4) تعديل صلاحيات مفوض حماية البيانات والمتطلبات الإدارية والعقوبات / التنفيذ.
الأحكام الرئيسية لقانون حماية البيانات الجديد
تطبيق القانون المقترح : ينطبق القانون المقترح في DIFC وعلى معالجة البيانات الشخصية في سياق أنشطة وحدة تحكم أو معالج يعمل أو إجراء أو محاولة إجراء أعمال في أو من DIFC ، بغض النظر عما إذا كانت المعالجة تحدث في DICC أم لا.
معالجة البيانات الشخصية : يتم تحديد المبادئ التي يمكن بموجبها معالجة البيانات الشخصية ؛ أيضًا ، هناك متطلبات منفصلة للقواعد القانونية لمعالجة البيانات الشخصية ومعالجة فئات خاصة من البيانات الشخصية (البيانات المتعلقة بالصحة والأصل وما إلى ذلك).
التزامات المعالجات أو وحدات التحكم : بموجب القانون المقترح ، يجب على وحدات التحكم تنفيذ البيانات المكتوبة والحفاظ عليها بشكل مثالي سياسة الحماية (تتناسب مع أنشطة المعالجة) ، وكذلك السجلات المكتوبة فيما يتعلق بأنشطة المعالجة. يجب أن تعين وحدات التحكم والمعالجات التي تتولى أنشطة المعالجة عالية الخطورة على أساس منتظم DPO (موظف حماية البيانات)-القانون المقترح ينظم المتطلبات والوضع القانوني لـ DPO. أيضًا ، تُلزم وحدات التحكم ذات أنشطة المعالجة عالية الخطورة بإجراء تقييمات تأثير حماية البيانات ويجب أن تتشاور مع مفوض حماية البيانات في بعض الحالات.
وحدات تحكم المفصل : يجب على وحدات التحكم المشتركة ، بالاتفاق المكتوب ، تفصيل كيفية ضمان الامتثال للما المقترح المقترح القانون ، ولا سيما كيفية تفاعلهم مع مواضيع البيانات (من حيث متطلبات المعلومات ومعالجة طلبات البيانات لممارسة الحقوق). التزامات وحدات التحكم المشتركة هي مفصل وعدة. ومع ذلك ، يمكن أن تتفق وحدات التحكم المشتركة والمعالجات على التعويضات وإعادة تخصيص المخاطر بين أنفسهم.
تصدير البيانات خارج DIFC : الأحكام المتعلقة بنقل البيانات الشخصية إلى البلدان التي توفر مستويات كافية من حماية البيانات لا تزال كما هي. ومع ذلك ، عندما تهدف البيانات الشخصية إلى نقلها إلى طرف ثالث (بلد لا يمتلك مستويات كافية من حماية البيانات) ، يجب أن توفر وحدة التحكم أو المعالج ضمانات مناسبة. يصف القانون المقترح أيضًا الظروف المحدودة لهذا النقل والبعثات التي لا يجوز لها وحدة التحكم أو المعالج تطبيق المعايير المناسبة. بالإضافة إلى ذلك ، هناك أحكام حول إدارة وحدة التحكم لطلبات الكشف عن البيانات الشخصية خارج DIFC من السلطات الرسمية.
توسيع حقوق موضوع البيانات : يقدم القانون المقترح مجموعة واسعة من الحقوق الممنوحة ل موضوع البيانات ، والذي يتضمن:
(أ) الحق في سحب الموافقة ؛
(ب) الحق في الوصول إلى وتصحيح ومحو البيانات الشخصية ؛
(ج) الحق في الاعتراض على المعالجة ؛
(د) الحق في تقييد المعالجة ؛
(هـ) الحق في قابلية نقل البيانات ؛
(و) الحق في عدم الخضوع لقرار يعتمد فقط على المعالجة الآلية ؛
(ز) الحق في عدم التمييز.
يشير القانون المقترح إلى أي من هذه الحقوق مطلقة (مع مراعاة بعض الاستثناءات) وتلك التي تنطبق فقط في ظروف معينة.
إشعار بالانتهاكات : التزام وحدة التحكم بإخطار مفوض حماية البيانات ومواضيع البيانات المعنية حول خرق البيانات ليس تلقائيًا ولا ينطبق إلا عندما يتجاوز خرق البيانات بعض العتبات النوعية مثل عندما يكون من المحتمل أن يؤدي الخرق إلى خطر كبير على السرية أو الأمان أو خصوصية موضوع البيانات. يجب توفير مثل هذا التواصل في أقرب وقت ممكن بلغة واضحة وواضحة.
مخططات قواعد السلوك وإصدار الشهادات : يتم تشجيع وحدات التحكم والمعالجات على وضع رموز السلوك التي تشير إلى جمع البيانات الشخصية التي تمت معالجتها ، وتأكيد المعالجة العادلة والشفافة بناءً على الهدف الشرعي ، والمعلومات المقدمة لمواضيع البيانات وتنفيذ حقوقها وإخطار خرق البيانات وآليات أخرى لحماية البيانات الشخصية. أيضا ، يشجع القانون المقترح إنشاء مخططات التصديق على المراقبين والمعالجات لإظهار الامتثال للقانون المقترح. يمكن إصدار مثل هذه المخططات عن طريق هيئات التصديق على أساس طوعي.
باختصار ، يقوم القانون المقترح بتحديث نظام حماية البيانات الشخصي الحالي بشكل كبير. كما هو مذكور أعلاه ، فهي مفتوحة حاليًا لمناقشة عامة ، وهناك إمكانية لكل شخص مهتم بتقديم تعليقاتهم على consultation@difc.ae خلال فترة عامة مدتها 60 يومًا (تنتهي في 18 أغسطس 2019).
