حماية البيانات الشخصية في الإمارات (PDPL)
دليلك الكامل لـ المرسوم بقانون اتحادي رقم 45 لسنة 2021 — أول قانون شامل لحماية البيانات في المنطقة.
من يخضع للقانون؟
- كل شركة أو جهة تعالج بيانات أشخاص داخل الإمارات، بغضّ النظر عن مقرها.
- الجهات الإماراتية التي تعالج بيانات خارج الدولة.
- تستثنى: البيانات الحكومية، الأمنية، الصحية الخاضعة لقوانين خاصة، وبيانات DIFC و ADGM التي لها أنظمتها.
المبادئ الأساسية للمعالجة
الشفافية — إخطار واضح لصاحب البيانات بكيفية المعالجة.
تحديد الغرض — جمع للغرض المعلن فقط.
تقليل البيانات — جمع الحدّ الأدنى الضروري.
الدقة — تحديث البيانات وتصحيحها.
تحديد المدة — حذف البيانات بعد انتهاء الحاجة.
السرّية والأمان — حماية تقنية وتنظيمية.
حقوق صاحب البيانات
- الوصول إلى بياناته ومعرفة من يعالجها.
- تصحيح البيانات غير الدقيقة.
- حذف البيانات (الحق في النسيان).
- تقييد المعالجة أو الاعتراض عليها.
- نقل البيانات إلى مزوّد آخر.
- سحب الموافقة في أي وقت.
- الاعتراض على القرارات الآلية (AI).
التزامات الشركات
- الحصول على موافقة صريحة قبل الجمع (إلا عند توافر أساس قانوني آخر).
- إعداد سجل أنشطة المعالجة.
- تطبيق ضوابط أمنية تقنية وتنظيمية مناسبة.
- تعيين مسؤول حماية البيانات (DPO) عند الحاجة.
- إجراء تقييم أثر للعمليات عالية الخطورة.
- إخطار مكتب البيانات وأصحاب البيانات بأي اختراق.
- إبرام عقود معالجة مع المقاولين من الباطن.
نقل البيانات خارج الإمارات
مسموح في الحالات التالية:
- دولة معتمدة من مكتب الإمارات لحماية البيانات ذات حماية كافية.
- عقود قياسية معتمدة (SCCs).
- قواعد ملزمة داخل المجموعة (BCR).
- موافقة صريحة من صاحب البيانات.
- ضرورة التعاقد، حماية المصلحة الحيوية، أو المصلحة العامة.
العقوبات
اللائحة التنفيذية تحدد العقوبات وقد تشمل غرامات مالية كبيرة. الالتزام المبكر يحمي شركتك من مخاطر مالية وسمعة.