على غرار البحرين والمملكة العربية السعودية، أصدرت الإمارات العربية المتّحدة مؤخّراً قانوناً اتّحادياً شاملاً لحماية البيانات الشخصية، ودخلَ حيّز التنفيذ في 2 كانون الثاني/يناير 2022.
تُسلِّط هذه الخطوة الضوء على الوعي المتزايد حول قضايا الخصوصية في المنطقة والحاجة إلى أُطُر شاملة لتنظيمها، ولكنْ ما زالت هناك بعض نقاط الضعف. تُظهِر الاستثناءات الكثيرة أنَّ السلطات المحلّية ما زالت تمتنع عن توسيع نطاق حماية البيانات الشخصية ومواءمتها تماماً مع المعايير الدولية. ومن أبرز الثغرات: إعفاء هيئات القطاع العام والبيانات الحكومية من نطاق القانون.
في غياب الإشارة الصريحة إلى الحقّ الأساسي في الخصوصية، أو إدراج الإعلانات الدولية التي تنصّ على هذا الحقّ في الدستور، كانَ لا بدّ من وضع إطار لحماية البيانات الشخصية في الإمارات العربية المتّحدة. إنَّما للأسف، وكما هو مُوضَّحٌ أدناه، لا يوفّر هذا الأخير حمايةً فعّالة ضدّ إساءة استخدام المعلومات الشخصية واستغلالها من قِبَل السلطات الحكومية.
إنَّ عدم وجود إطار آمن وموثوق لحماية البيانات هو أمرٌ مثيرٌ للقلق بشكل خاصّ في دولةٍ مثل الإمارات العربية المتّحدة التي تُركِّز منذ السنوات الماضية على رقمنة مختلف القطاعات. في الواقع، استثمرت بعض الإمارات بشكلٍ واسع في قطاع التكنولوجيا المالية، مثل إمارة دبي وإمارة أبوظبي. وفي أبوظبي وحدها، تمّ تسجيل 8 ملايين معاملة عبر الإنترنت خلال العام 2020. وعموماً، تُصنَّف الإمارات العربية المتّحدة بين أفضل بلدان العالم لناحية التحوُّل الرقمي الحكومي. وبالرغم من أنَّ تمكين الرقمنة هي خطوةٌ جديرة بالثناء، إلّا أنَّ ضمان حماية الفضاء الإلكتروني وتأمين الحماية اللازمة للأفراد هو أمرٌ أكثر أهميةً.
المفاهيم والتعريفات
للوهلة الأولى، يبدو أنَّ القانون الجديد تبنّى مصطلحات مشابهة جداً لتلك المُستخدَمة في اللائحة الأوروبية العامّة لحماية البيانات 2016/679 (مثلاً: صاحب البيانات، المعالَجة، المتحكّم والمُعالِج) وأعطاها تعريفات مشابهة بالإجمال.
بموجب قانون الإمارات العربية المتّحدة، تتضمّن “البيانات الشخصية” صراحةً اسم الفرد وصوته وصورته ورقمه التعريفي أو المُعرِّف الإلكتروني الخاصّ به وموقعه الجغرافي، بالإضافة إلى تعريف البيانات الشخصية البيومترية والحسّاسة. تمّ أيضاً تسليط الضوء على بعض المبادئ العامّة في قانون حماية البيانات الشخصية، بما في ذلك: مبادئ الشرعية والعدالة والشفافية (على النحو الوارد في المادّة 5)، وكذلك مبادئ الدقّة (التي ينبثق عنها الحقّ في محو وتصحيح البيانات غير الدقيقة، المذكور في المادّة 16) والسرّية (المادّة 7) والأمن (المادّة 9).
تتشابه هذه المبادئ الرئيسية إلى حدّ كبير مع تلك المنصوص عليها في اللائحة العامّة لحماية البيانات، وكذلك النصوص الدولية الأخرى مثل اتّفاقية حماية الأفراد فيما يتعلّق بالمعالجة الآلية للبيانات الشخصية (المعروفة بـالاتّفاقية 108، بالإضافة إلى نسختها المُحدَّثة الاتّفاقية 108+).
الحصانة من الاختصاص المحلّي
يبدو أنَّ قانون حماية البيانات الشخصية قد اعتمدَ نهج الحصانة من الاختصاص المحلّي في تطبيقه. فكما يوحي المصطلح، يُقصَد بذلك أنَّ الإمارات العربية المتّحدة تستطيع توسيع نطاق صلاحياتها القانونية خارج حدودها الإقليمية. ولكنْ، بالمقارنة، تنطبق “اللائحة العامّة لحماية البيانات الخاصّة بالاتّحاد الأوروبي” على الكيانات غير التابعة للاتّحاد الأوروبي، إنّما هناك شروط أساسية يجب أن تتوفَّر لكي تنطبق الأحكام القانونية خارج الحدود الإقليمية، مثل استهداف أو رصد أصحاب البيانات المقيمين في الاتّحاد الأوروبي.
بموجب قانون حماية البيانات الشخصية الخاصّ بدولة الإمارات العربية المتّحدة، وتحديداً المادّة 2، يبدو النطاق الإقليمي للتطبيق أوسع لأنَّ القانون يمكن أن يسري على المتحكّمين بالبيانات أو مُعالِجي البيانات المتواجدين خارج الدولة إذا قاموا بمعالجة البيانات الشخصية لأشخاص موجودين في الإمارات العربية المتّحدة. في الواقع، تسري أحكام حماية البيانات، بموجب قانون حماية البيانات الشخصية، في الحالات التالية:
- كلّ صاحب بيانات يُقيم في الإمارات العربية المتّحدة أو له مقرّ عمل فيها؛
- كلّ متحكِّم أو مُعالِج متواجد في الدولة، بصرف النظر عمّا إذا كانت معالجة البيانات الشخصية تتمّ داخل دولة الإمارات العربية المتّحدة أو خارجها؛ أو
- كلّ متحكِّم أو مُعالِج متواجد خارج الدولة ويقوم بمزاولة أنشطة معالجة البيانات الشخصية لأصحاب البيانات في الدولة.
الاستثناءات والإعفاءات
إنَّ إحدى المشاكل الرئيسية في قانون حماية البيانات الشخصية في دولة الإمارات العربية المتّحدة تتمثّل في وجود عدد مهمّ من الإعفاءات والاستثناءات التي تُضعف نطاق الحماية وتخلق مجالاً لخرق البيانات الشخصية وتزيد من مخاطر المراقبة غير الخاضعة للرقابة.
البيانات الحكومية
من بين أبرز الاستثناءات، يستثني القانون البيانات الحكومية ولا ينطبق على الهيئات الحكومية التي تتحكّم بالبيانات الشخصية أو تُعالجها. فتنصّ المادّة 2 على أنَّ أحكام القانون “لا تسري” على ما يلي:
- البيانات الحكومية
- الجهات الحكومية المتحكِّمة بالبيانات الشخصية أو تلك التي تقوم بمعالجتها
- البيانات الشخصية لدى الجهات الأمنية والقضائية
- صاحب البيانات الذي يقوم بمعالجة بياناته لأغراض شخصية
- البيانات الشخصية الصحّية التي لديها تشريع يُنظِّم حماية ومعالجة تلك البيانات
- البيانات والمعلومات الشخصية المصرفية والائتمانية التي لديها تشريع يُنظِّم حماية ومعالجة تلك البيانات، مثل الشركات والمؤسّسات الواقعة في المناطق الحرّة في الدولة ولديها تشريعات خاصّة بحماية البيانات الشخصية
بالتالي، هذا يعني أنَّ جزءاً كبيراً من معالجة البيانات الشخصية لن يخضع لمبدأ احترام الخصوصية. بالإضافة إلى ذلك، من خلال استثناء هيئات القطاع العام من أحكام هذا القانون، يُترَك المجال لجمع البيانات الشخصية ومعالجتها بشكل غير خاضع للرقابة من قِبَل هيئات الدولة من دون أيّ قيود حول طبيعة أو مقدار أو وسائل المعالجة. والأهمّ من ذلك أنَّ هذا يعني أنَّ القطاع العام بأكمله لن يُحاسَب على أيّ خرق للبيانات الشخصية للمواطنين. وفي نهاية المطاف، قد يؤدّي ذلك إلى زعزعة الثقة بالحكومة والخدمات الرقمية ذات الصلة.
استثناءات أخرى مهمّة
– البيانات الصحّية الشخصية التي لديها تشريع يُنظِّم حماية هذه البيانات ومعالجتها: تخضع المعلومات الصحّية، ولا سيّما نقل المعلومات الصحّية خارج الإمارات العربية المتّحدة، للتنظيم المُكثَّف في دولة الإمارات بموجب “قانون استخدام تقنية المعلومات والاتّصالات في المجالات الصحّية”، والقوانين والسياسات والإجراءات المختلفة على مستوى الإمارات (بما فيها تلك المتعلّقة بالتطبيب عن بُعد)؛
- البيانات والمعلومات المصرفية والائتمانية التي لديها تشريع يُنظِّم حماية ومعالجة تلك البيانات؛
- الهيئات الواقعة في المناطق الحرّة حيث تُعتمَد قوانين قطاعية (أي القوانين الخاصّة بالقطاعات) فيما يتعلّق بالبيانات الشخصية (أي مركز دبي المالي العالمي، وسوق أبوظبي العالمي، وربّما مدينة دبي الطبّية).
سيؤدّي ذلك على الأرجح إلى زيادة صعوبة الامتثال بالنسبة إلى المؤسّسات حيث سيتوجّب عليها التوفيق بين أحكام قانون حماية البيانات الشخصية والقانون القطاعي المعمول به والقوانين الخاصّة بالمناطق الحرّة.
ختاماً، هناك إعفاء آخر مُقلق، وهو أنَّ قانون حماية البيانات الشخصية يمنح مكتب الإمارات للبيانات، (المُنشأ بموجب المرسوم بقانون اتّحادي رقم 44/2021)، بصفته هيئةً معنيّة بحماية البيانات، صلاحية إعفاء المؤسّسات التي لا تُعالِج كمّية “كبيرة” من البيانات الشخصية.
يشمل ذلك، على الأرجح، المؤسّسات الصغيرة والمتوسّطة، إلّا أنَّ القانون لا يُحدِّد بوضوح ما المقصود فعلياً بعبارة الكمّيات “الكبيرة”. يجب توضيح هذا الغموض في اللوائح التنفيذية. وصحيحٌ أنَّ اللائحة العامّة لحماية البيانات في الاتّحاد الأوروبي، على سبيل المثال، تُعفي المؤسّسات الصغيرة من بعض الالتزامات، مثل تعيين مسؤول عن حماية البيانات، غير أنَّ هذا البند في القانون الإماراتي قد يُعفي هيئات معيّنة من الامتثال لأيّ من تلك الالتزامات.
وهنا أيضاً، يخلق شكلاً آخر من عدم التوازن بين الهيئات التي تنطبق عليها التزامات الخصوصية، ويزيد من تضييق نطاق الحماية المقصود.
حقوق أصحاب البيانات
انسجاماً مع أفضل الممارسات الدولية، ينصّ القانون الإماراتي في المواد 13 إلى 18 على مجموعة واسعة من حقوق أصحاب البيانات الأفراد، بما في ذلك: الحقّ في الوصول إلى البيانات الشخصية (“الحقّ في الحصول على المعلومات”)، والحقّ في إمكانية نقل البيانات الشخصية (“الحقّ في نقل البيانات الشخصية”)، والحقّ في التصحيح، وحقّ الإسقاط (“الحقّ في المحو”)، والحق في تقييد المعالجة، بالإضافة إلى حقّ الاعتراض على المعالجة الآلية وغير الآلية.
ولعلّ إحدى الثغرات المهمّة التي تمّ تحديدها في هذه الأحكام هي أنَّ قانون حماية البيانات الشخصية لا ينصّ على مهلة زمنية محدّدة لردّ المتحكِّم على طلب الوصول إلى المعلومات من قِبَل صاحب البيانات. يجب إدراج ذلك أيضاً في اللائحة التنفيذية المرتقبة، من أجل ضمان التنفيذ العادل للقانون.
الأساس القانوني
يطرح القانون مبدأ الموافقة باعتباره الأساس القانوني الرئيسي الواجب استخدامه، في حين أنَّ الموافقة لا تكون مناسبة دائماً ويجب اعتبارها كقاعدة من بين قواعد أخرى لمعالجة البيانات الشخصية. يتعارض هذا التصنيف مع مندرجات اللائحة العامّة لحماية البيانات في الاتّحاد الأوروبي التي تعتبِر أنَّ الموافقة هي واحدة من بين ستّ قواعد قانونية لمعالجة البيانات الشخصية.
يجب أن تكون الموافقة خياراً من بين عدّة خيارات أخرى كقواعد لمعالجة البيانات الشخصية؛ ويجب ألّا تكون الخيار الوحيد. في الواقع، الموافقة ليست دائماً مناسبة. بموجب اللائحة العامّة لحماية البيانات، هناك ستّ قواعد قانونية متاحة لمعالجة البيانات الشخصية. ولا توجد قاعدة واحدة أفضل أو أكثر أهميةً من القواعد الأخرى. فالأُسُس الأنسب تعتمد على الغرض من المعالجة. إذاً، الموافقة هي إحدى الأُسُس القانونية للمعالجة، ولكنَّها ليست دائماً القاعدة الأنسب، خصوصاً أنَّه يمكن سحبها.
فعلياً، يحظر القانون معالجة البيانات الشخصية من دون موافقة الفرد ما لم ينطبق أحد الاستثناءات. بالإضافة إلى ذلك، بينما تتضمّن بدائل الموافقة قواعد معيّنة مثل تنفيذ عقد وأداء التزام قانوني، لا ينصّ قانون حماية البيانات الشخصية على مبدأ “المصلحة المشروعة” كأساس قانوني لمعالجة البيانات الشخصية.
على سبيل المثال، تنصّ اللائحة العامّة لحماية البيانات على إمكانية معالجة البيانات الشخصية عند الضرورة بناءً على المصالح المشروعة للجهة المتحكِّمة بالبيانات، أو مصالح صاحب البيانات، أو حتّى مصالح الأطراف الثالثة. وقد تكون هذه المصالح تجارية أو فردية أو فوائد مجتمعية على نطاقٍ أوسع. وقد يؤدّي عدم وجود مبدأ “المصلحة المشروعة” في القانون إلى جعل الامتثال أكثر تعقيداً بالنسبة إلى العديد من هيئات القطاع الخاصّ التي تلجأ غالباً إلى “المصلحة المشروعة” كفئة شاملة.
عمليات نقل البيانات عبر الحدود
يسمح القانون بنقل البيانات الشخصية عبر الحدود بموافقة مكتب البيانات مع استيفاء شروط معّينة. بموجب المادّة 22، تتمّ الموافقة على عمليات النقل الدولية بالدرجة الأولى بناءً على مستوى الحماية المناسب في الدولة المُستقبِلة أو أيّ وسيلة أخرى تُبرِّر النقل (كما وردَت في المادّة 23).
تنصّ المادّة 22 على أنَّ كفاية مستوى الحماية تُحدَّد إمّا من خلال (1) وجود تشريع لحماية البيانات يحتوي على أهمّ الأحكام المتعلّقة بحماية البيانات الشخصية أو (2) من خلال الاتّفاقات الثنائية/المتعدّدة الأطراف. وفي حين أنَّ الحالة الثانية واضحة، غير أنَّ معايير تقييم تشريعات حماية البيانات في البلدان الثالثة للموافقة على عمليات النقل الدولية لا تزال غامضة. ولا يزال يتعيّن وضع قائمة بالشروط “الملائمة”.
علاوةً على ذلك، قد يكون من الأصعب إثبات المعاملة بالمثل ومبدأ الملاءمة الثنائية إذا كانَ القانون الإماراتي نفسه ينصّ على كلّ هذه الاستثناءات العديدة. إلى جانب الملاءمة، يسمح القانون أيضاً بعمليات النقل عبر الحدود لأسباب مختلفة، مثل الموافقة الصريحة لصاحب البيانات أو المصلحة العامّة أو ضرورة تنفيذ التزام تعاقدي مُلزِم بالنسبة إلى صاحب البيانات والمتحكِّم بالبيانات.
الإشراف والإنفاذ
يُشير القانون إلى إنشاء مكتب بيانات (مُنشأ بموجب المرسوم بقانون اتّحادي رقم 44/2021) ليكون بمثابة هيئة وطنية لحماية البيانات من أجل التعامل مع عمليات خرق البيانات المُبلَّغ عنها، والشكاوى الواردة من أصحاب البيانات، والموافقة على عمليات النقل عبر الحدود، والملاءمة، واقتراح السياسات والاستراتيجيات لتعزيز حماية البيانات الشخصية وإصدار الإرشادات والتعليمات.
ونتوقّف أيضاً عند المادّة 27 التي تمنح إمكانية تفويض بعض صلاحيات المكتب إلى سلطات الحكومات المحلّية. وفي حين أنَّ إشراك الهيئات الحكومية قد لا يكون مُستغرَباً بما أنَّ القانون يستثني القطاع العام من نطاق تطبيقه، إلَّا أنَّ تفويض الرقابة في مجال حماية البيانات ليسَ بالتأكيد حُكماً قانونياً شائعاً على وجه الخصوص، لأنَّ ضمان الرقابة المستقلّة هي مسألة أساسية.
أخيراً، تُلحَظ العقوبات الإدارية – وليس الجنائية – التي قد يفرضها المكتب، غير أنَّ القانون لا يُحدِّد طبيعتها ولا يُحدِّد أيّ مبالغ. وهنا أيضاً، يبدو أنَّ هذه الأحكام تحتاج إلى التوضيح من خلال اللائحة التنفيذية.
الخلاصة
في الختام، إنَّ إصدار قانون حماية البيانات في الإمارات العربية المتّحدة هو خطوة جديرة بالثناء نحو توفير ضمانات للأفراد في الفضاء الرقمي، إنَّما هناك بعض الفجوات الحرجة التي لا تزال قائمة. فالاستثناءات الواسعة التي يلحظها القانون، ولا سيّما استبعاد سلطات القطاع العام وكذلك البيانات الحكومية من نطاق تطبيق القانون، تحدّ من فعّاليته وتترك مجالاً واسعاً لاستخدام المعلومات خارج غرضها الأساسي المقصود.
إذا كانَ القصد من اعتماد هذا النصّ هو مواءمة الإطار القانوني لحماية البيانات في الإمارات العربية المتّحدة مع المعايير الدولية وتسهيل تدفُّق البيانات داخل الدولة وخارجها، فيجب إدخال تعديلات جوهرية لتقليص نطاق الاستثناءات في القانون وتوفير هامش كافٍ من الاستقلالية والقدرة لمكتب البيانات من أجل تحقيق مهمّته المتمثّلة بالإشراف على الامتثال للالتزامات المتعلّقة بحماية البيانات ومعاقبة الانتهاكات.
في بلدٍ اخترقت فيه الرقمنة القطاعَيْن العام والخاصّ حيث تتمّ المعاملات الرقمية بشكلٍ يومي، لا بدّ من وجود حماية فعّالة للبيانات الشخصية ويجب أن تنطبق هذه الحماية على الجميع بالتساوي.
