في ضوء التطورات العالمية حول حماية البيانات ، وتحديداً حول النقل عبر الحدود للبيانات ، يسعى مركز دبي الدولي المالي (‘DIFC’) إلى توفير أدوات محسّنة لتجهيز الشركات وضمان الامتثال لكل من DIFC ، وكذلك الدولية المعايير. نظرًا لكونه مركزًا تجاريًا عالميًا ، فإن DIFC هي موطن للاعبين الدوليين الذين يقومون بتدفق البيانات الداخلي والخارجية ، حيث تكون هذه الشركات على مفترق طرق سلطات قضائية متعددة عندما يتعلق الأمر بالامتثال للبيانات.
اقترحت DIFC مؤخرًا تحديثات لمواد توجيه نقل البيانات ، وهي الجمل التعاقدية القياسية (‘SCCS’) ، ومؤشر مخاطر إدارة البيانات الأخلاقية (‘Edmri’) ، ودليل تصدير البيانات ومشاركتها (‘DES Guide’). الدكتورة لورا فودا وموكيلين بيريرا ، من Fichte & amp ؛ يقدم المستشارون القانونيون المشتركون ، نظرة عامة على التحديثات المقترحة ويقيم تأثيرها في تحقيق أهداف قانون حماية البيانات ، قانون DIFC رقم 5 لعام 2020 (“القانون”).
يمكن إجراء نقل البيانات الشخصية خارج DIFC وفقًا للمادة 26 من القانون ، حيث يكون النقل إلى بلد ثالث أو منظمة دولية ذات مستوى مناسب من الحماية ، ووفقًا للمادة 27 ، حيث مستوى مناسب الحماية غائبة. إذا لم يتم استيفاء الشروط الموصوفة بموجب هذه المقالات ، فسيكون النقل “مقيدًا” أو في انتهاك للقانون.
يعد التعرف على مدى كفايته قرارًا من قبل مفوض حماية البيانات (“المفوض”) بأن الإطار القانوني في البلد الثالث أو المنظمة الدولية يوفر مستوى مماثلًا أو مكافئًا من الحماية فيما يتعلق بالبيانات الشخصية. تتوفر قائمة بالولايات القضائية التي تعتبر كافية على موقع DIFC. Prima Facie ، يتيح هذا التصدير المصدر داخل DIFC إجراء نقل مقيد إلى كيان ضمن ولاية قضائية تعتبر كافية ، شريطة استيفاء متطلبات أخرى للقانون.
في حالة نقل البيانات إلى السلطات القضائية التي لا تعتبر “كافية” ، فإن DIFC يوجه الشركات إلى استخدام ضمانات أخرى مناسبة الموضوعة في القانون ، والتي تخلق بشكل أساسي شروط مماثلة لتلك الموجودة في DICC. أحد هذه الضمانات هو عقد بين مصدر البيانات في DIFC ومستلم البيانات الذي يتضمن SCCs DIFC لضمان حماية البيانات المنقولة.
SCCS New
تم تحديث SCCs بما يتماشى مع مراجعة بنود نموذج الاتحاد الأوروبي في عام 2021 ، والذي كان يستلزمه قرار محكمة العدل في الاتحاد الأوروبي (CJEU) في مفوض حماية البيانات ضد Facebook Ireland Limited ، Maximillian Schrems (C-311/18) (“حالة Schrems II”). في هذه الحالة ، أطلقت CJEU مشاركة البيانات من الاتحاد الأوروبي إلى الولايات المتحدة بموجب ترتيب يسمى درع الخصوصية ، وبالتالي كانت جميع عمليات النقل من الاتحاد الأوروبي إلى الولايات المتحدة تعتبر غير قانونية ، وبالتالي تؤثر على أي عمليات نقل إلى الاتحاد إلى المؤتمر الوطني الأفريقي أيضًا. نظرًا لإمكانات تبادل البيانات عبر الحدود التي تؤثر على السلطات القضائية المتعددة ، من الضروري أن يتم تنفيذ جميع الضمانات بموجب القانون من قبل كيان DICC. يتم استخدام SCCs ، كونها تدبيرًا تعاقديًا ، بشكل أكثر شيوعًا لتطبيق مبادئ حماية البيانات المناسبة على ما يمكن اعتباره عملية نقل مقيدة.
لقد تخلصت SCCs الحالية مع المتطلبات المتميزة التي تم تطبيقها مسبقًا للمعالجات ووحدات التحكم واعتمدت الآن وثيقة موحدة تنطبق على جميع كيانات تصدير البيانات. هذا يتوافق مع وجهة نظر المفوض بأن القانون ، باستثناء الاختلافات الطفيفة ، يخلق إلى حد كبير التزامات مماثلة على وحدة التحكم والمعالج. عندما يمكن إظهار شرط معين أنه غير قابل للتطبيق ، فلن تتحمل الأطراف مسؤولية.
إن DIFC ، بعد أن اعتمدت على بنود نموذج الاتحاد الأوروبي واتفاقية نقل البيانات الدولية في المملكة المتحدة ، أنشأت DIFC SCCs تنحرف قليلاً عن الاتحاد الأوروبي بتنسيق العقد. استندت DIFC إلى العقد على مفهوم “وحدة واحدة ، لا تختار” متميزة إلى وحدة الخيارات الأربعة التي يوفرها الاتحاد الأوروبي. على عكس نظيره في الاتحاد الأوروبي ، تمنح DIFC SCC حقوقًا لمواضيع البيانات لفرض هذه البنود ، حتى لو لم يكن طرفًا في العقد لنقل البيانات. لا يمكن تعديل SCCs من قبل الأطراف على العقد ويجب تبنيها ككل ، مما يجلب التوحيد في تطبيق هذه العقود. لا يضمن DIFC SCCS الامتثال للقانون فحسب ، بل يهدف أيضًا إلى الامتثال لقوانين مثل لائحة حماية البيانات العامة (اللائحة (EU) 2016/679) (“GDPR”).
edmri
EDMRI هو مؤشر المخاطر المقترح لتقييم مخاطر أنظمة حماية البيانات الأخرى بطريقة شاملة ، بما في ذلك المخاطر مثل تلك التي تؤثر سلبًا على حقوق موضوعات البيانات ، وخرق البيانات أو فقدانها ، ومخالفة قانون حماية البيانات المحلي. تهدف الأداة المقترحة إلى توجيه الشركات فيما يتعلق بمتطلبات معالجة البيانات في تلك الولاية القضائية. تتمثل إحدى السمات المميزة لـ EDMRI في قيامها أيضًا بتقييم المخاطر في الولايات القضائية التي تعتبر بالفعل قوانين “كافية” لحماية البيانات. يتم قياس المخاطر على مقياس يتراوح من “مخاطر منخفضة” إلى ولايات قضائية “عالية المخاطر للغاية”.
تُلزم متطلبات تقييم المخاطر في الاتحاد الأوروبي أيضًا الشركات بإجراء تقييمات تأثير النقل (‘tias’) عند استخدام SCCs للاتحاد الأوروبي ، وتوجيه الشركات إلى التقييم على أساس كل حالة على حدة ، كفاية حماية البيانات الشخصية في ولاية قضائية أخرى ، والتي يتفق مع نهج DIFC كذلك. ومع ذلك ، إذا كانت المفوضية الأوروبية قد أعلنت بالفعل أن الولاية القضائية كافية ، فإن كيان العمل لا يحتاج إلى اتخاذ أي خطوات أخرى. في هذا الجانب ، يكون DIFC أكثر صرامة ، مما يسمح للشركات بالإصرار على ضمانات إضافية حتى لو اعتبرت الولاية القضائية كافية من قبل أي سلطة إشرافية. الأساس المنطقي هو أن قرار كفاية لا يضمن أن كيان العمل يتوافق مع القوانين في الولاية القضائية.
تتيح نسخة معدلة من EDMRI ، والتي تسمى EDMRI+، مصدرا لمصدري DIFC من إجراء العناية الواجبة على مستوردي البيانات في الولايات القضائية الأخرى. إنها أداة لتقييم الكيان المستورد بدلاً من الولاية القضائية المضيفة التي سيتم تقييمها بموجب EDMRI. تمكن الأداة الكيانات التي تصدير DIFC من إجراء العناية الواجبة على مستوردي البيانات في البلدان الثالثة ، وحتى تحدي تصنيف المفوض بناءً على نتائج المسح الخاصة بهم. يضع الاقتراح أسئلة بسيطة بنعم/لا أسئلة ستؤدي إلى تحديد كفاية الحماية داخل هذا الكيان المستورد. يطلب مكتب المفوض وجهات نظر حول استخدام هذه الأداة ، وتحديداً إذا كان هذا التقييم يجب أن يكون إلزاميًا خاصة في الولايات القضائية عالية الخطورة.
DES Guide
تم إصدار دليل DES من قبل المفوض كإرشادات لنقل البيانات للكيانات التجارية ويقدم شرحًا عمليًا للمبادئ ذات الصلة ، على وجه التحديد تقديم تعليق على المادتين 26 و 27 و 28 من القانون. لا يجب اعتبار دليل DES بمثابة مشورة قانونية ويستهدف لضمان فهم الشركات الالتزامات فيما يتعلق بمشاركة البيانات.
يناقش دليل DES أيضًا التزامات وحدات التحكم والمعالجات بموجب المادة 28 من القانون في توفير البيانات الشخصية لأي سلطة حكومية. إن جوهر المتطلبات بموجب المادة 28 هو أن الكيان يعطى ثلاثة خيارات لضمان التحكم في البيانات المقدمة للسلطات الحكومية. إن الأساليب إما من جانب واحد ، ثنائي ، أو مع تدخل طرف ثالث ، من أجل التأكد في النهاية من وجود تبادل بيانات آمن ومؤكد بعد تقييم المخاطر المعنية.
الاستنتاج
الموضوع الأساسي عبر جميع التطورات فيما يتعلق بنقل البيانات من DIFC هو تقييم شامل وفهم للولاية القضائية للمستلم وكذلك الكيان الذي يستورد البيانات الشخصية. وبالتالي ، يتعين على الشركات استخدام الأدوات المختلفة التي توفرها DIFC في اتخاذ قرار إذا كانت البيانات التي تم تصديرها إلى الولاية القضائية للبلد الثالث يمكن منحها نفس المستوى من الحماية التي يتم منحها لها داخل DICC.
من المتوقع أن يتم استخدام الأدوات والتوجيه معًا من أجل تحقيق هدف حماية البيانات الشخصية. قد يعني هذا أن كيان DIFC يعتبر EDMRI ، و Edmri+، و SCCs ، وقرارات مدى ملاءمة اللجنة ، وقوانين حماية البيانات في الولاية القضائية المضيفة ، ومجموعة من العوامل الأخرى قبل أن تؤثر أخيرًا على نقل البيانات.
إن الوجبات الرئيسية لكيانات الأعمال في DIFC هي إحساس أعلى بالمسؤولية الموضوعة على مصدر البيانات من DICC للتأكد من أن مستورد البيانات في ولاية بلد ثالث يمكن أن يحمل مستوى الحماية المنصوص عليها في DICC. تسعى جميع الأدوات والتحديثات التي قدمها المفوض إلى تحقيق المزيد من الامتثال للقانون وتمكين الشركات من اتخاذ قرار مستنير فيما يتعلق بمشاركة البيانات مع أطراف ثالثة. اعتبارا من الآن ، لا يوجد جدول زمني مُعطى للأدوات الجديدة التي يجب إدخالها. لا يمكن تحديد فعالية الأدوات في الممارسة إلا مع مرور الوقت.
الائتمان إلى: إرشادات بيانات onetrust