على مدى العامين الماضيين ، اتخذت قطر والمملكة العربية السعودية والإمارات العربية المتحدة خطوات مهمة باستمرار نحو نهج عالمي ومتوافق لأمن البيانات. قد تكون الشركات الدولية التي تركز على التكنولوجيا والعاملة في هذه البلدان قد فُرضت بموجب القواعد الإقليمية و / أو القطاعية ، وقد سعت الجهود الأخيرة إلى التخفيف من تدفق البيانات.
هذه لمحة موجزة عن الوضع الذي يحدث في هذه الولايات القضائية الرئيسية في الشرق الأوسط.
دولة قطر
الرقم القانوني لسنة 2016. 13 الخصوصية وحماية البيانات الشخصية (PDPPL) في قطر توفر إطارًا شاملاً لأمن البيانات على المستوى الاتحادي ، حيث تعمل وزارة النقل والاتصالات (MOTC) بصفتها الجهة الرقابية الفيدرالية.
يعمل مركز قطر للمال (QFC) ، مركز الأعمال العالمي في قطر ، بموجب نظام منفصل تحدده لوائح حماية البيانات الخاصة بمركز قطر للمال لعام 2005 (التي تم سنها الآن لتعكس أمر حماية البيانات القديم للاتحاد الأوروبي) وقواعد حماية البيانات لعام 2005. تنظمها هيئة قطر للمال (QFCA).
أصدرت وزارة المواصلات والاتصالات إرشادات بشأن PDPPL لدولة قطر في 31 يناير 2021. تنطبق هذه على كل من الشركات والأفراد الخاضعين للتنظيم ، بهدف مساعدة المساهمين على فهم مسؤولياتهم وحقوقهم بموجب PDPPL.
أعلنت إدارة الامتثال وحماية البيانات (CDP) أنها ستتخذ خطوات لضمان تنفيذ PDPL وتوافقه معها (راجع مركز إرشادات CDP. هنا)
في 25 مايو 2021 ، أعلنت CDP أن قطر تشارك في المنتدى الإقليمي العربي الأول لحماية البيانات الشخصية ، الذي نظمته المنظمة العربية لتكنولوجيا المعلومات والاتصالات على الإنترنت. ناقش المنتدى مقارنة قانون الخصوصية والقانون الدولي المعمول به في دول جامعة الدول العربية. واستشهد ممثل CDP في المنتدى بالقرار الأميري رقم (1) لسنة 2021 بإنشاء الجهاز الوطني للأمن السيبراني. تتمثل مهمة الوكالة الوطنية للأمن السيبراني في الحفاظ على الأمن السيبراني وتنظيمه على المستوى الوطني وحماية المصالح الرئيسية لحكومة قطر في مواجهة تهديدات الأمن السيبراني.
في 18 أغسطس 2021 ، بدأت هيئة مركز قطر للمال التشاور بشأن التعديلات المقترحة على نظام حماية البيانات الخاص بمركز قطر للمال. والغرض منه هو تقليل أعباء الامتثال وتكاليف الأعمال الدولية العاملة في مركز قطر للمال وفقًا للائحة العامة لحماية البيانات وغيرها من قوانين حماية البيانات الدولية.
تشمل التغييرات المهمة المقترحة الوضوح بشأن قابلية تطبيق القاعدة ومعنى “الموافقة” ، والنطاق الواسع للمسؤوليات والمتطلبات لمراقبي البيانات ، وإدخال حقوق كائن بيانات جديدة وصلاحيات جديدة لمكتب حماية البيانات بمركز قطر للمال لفرض عقوبات مالية . عن الانتهاكات.
المملكة العربية السعودية
تم سن قانون حماية البيانات الشخصية (PDPL) في 24 سبتمبر 2021 ، بعد موافقة مجلس الوزراء في المملكة العربية السعودية. உம்முல் குரா (الجريدة الرسمية) ، التي أسست أول قانون لحماية البيانات في المملكة العربية السعودية وتوسعت لتتجاوز المبادئ العامة للخصوصية والبيانات الشخصية المنصوص عليها في الشريعة الإسلامية.
يهدف القانون الجديد إلى تنظيم تبادل البيانات وضمان خصوصية البيانات الشخصية ، وبموجب القسم 2 (1) من PDPL ، ينطبق على معالجة البيانات الشخصية من قبل الشركات أو الكيانات العامة العاملة داخل المملكة العربية السعودية. معالجة البيانات الشخصية الخاصة بالمقيمين السعوديين من قبل الشركات الموجودة خارج الدولة.
على عكس اللائحة العامة لحماية البيانات في الاتحاد الأوروبي ، والتي تعد تحديثًا لإطار حماية البيانات ومتماسكًا ، تمثل PDPL نهجًا جديدًا تمامًا وتتحدى الشركات العاملة في المملكة العربية السعودية.
للعرض PDPL هنا (باللغة العربية فقط) ، يمنح حقوقًا جديدة لموضوعات البيانات بما في ذلك الخسارة المادية وغير المادية وحقوق الوصول والتصحيح والحذف.
قد تصدر PDPL لوائح إدارية فرعية بعد فترة انتقالية مدتها 180 يومًا في 23 مارس 2022. يمكن أن تتأخر هذه الفترة حتى خمس سنوات لمعالجة البيانات الشخصية من قبل الشركات الموجودة خارج المملكة العربية السعودية.
أصدرت الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) ، وحدة التحكم الوطنية في حماية البيانات المسؤولة عن الإشراف على تنفيذ PDPL وإنفاذها على مدار العامين المقبلين ، مجموعة من الأسئلة المتداولة (اطلع عليها). هنا (باللغة العربية فقط)) ، يقدم إرشادات حول الجوانب الرئيسية مثل كيفية تعريف “البيانات الشخصية” والأنواع الرئيسية للبيانات الشخصية والحاجة إلى الموافقة وكيفية الاحتفاظ بالبيانات الشخصية. بالنسبة للبيانات الشخصية الحساسة ، بموجب المادة 35 (1) (أ) ، يُعاقب بالسجن لمدة تصل إلى عامين و / أو بحد أقصى 3،000،000 ريال سعودي (حوالي 587،000 جنيه إسترليني في وقت كتابة هذا التقرير) بالسجن بسبب الكشف أو الإفراج غير القانوني.
بالإضافة إلى ذلك ، في سبتمبر 2021 ، وقعت SDAIA “مذكرة تفاهم” مع حرم الملك سلمان الدولي للغة العربية ، والتي تشكل إطارًا تعاونيًا لدعم التطبيقات والمهارات والأبحاث الخاصة باستخدام اللغة العربية في الذكاء الاصطناعي.
فيما يتعلق بالأمن السيبراني ، أعلنت هيئة الاتصالات وتكنولوجيا المعلومات (CITC) في 29 مايو 2021 أن الإطار التنظيمي للأمن السيبراني قد تم وضعه الآن. يوفر إطار العمل لمقدمي الخدمات في قطاعات الاتصالات وتكنولوجيا المعلومات والبريد متطلبات لتحسين إدارة مخاطر الأمن السيبراني بما يتماشى مع الإرشادات الدولية لأمن البيانات (على سبيل المثال من خلال دعم اعتماد ممارسات معينة لإدارة المخاطر لمقدمي الخدمات). .
بعد ذلك ، بدأت اللجنة الوطنية السعودية للأمن السيبراني مشاورات عامة حول مسودة وثيقة تحدد قيود الأمن السيبراني لأنظمة التشغيل. تهدف ضوابط أمان الإنترنت – المصنفة ضمن الحوكمة والأمن والتراجع والأمن السيبراني للحوسبة السحابية والطرف الثالث – إلى تقليل المخاطر التي تواجهها أنظمة التشغيل وتنفيذ الأنظمة التنظيمية المتعلقة بفرض متطلبات أمان البيانات لهذه الأنظمة. نصائح عامة في مسودة الوثيقة ، والتي يمكن العثور عليها هنا هنا (باللغة العربية فقط) ، اكتمل في 26 سبتمبر 2021.
الإمارات العربية المتحدة
شاطئ
في الوقت الحالي ، لا يوجد في دولة الإمارات العربية المتحدة قانون شامل ومتكامل لحماية البيانات على المستوى الاتحادي وليس لديها جهة تنظيمية وطنية لقضايا خصوصية البيانات. بالإضافة إلى الحقوق العامة للخصوصية المنصوص عليها في دستور دولة الإمارات العربية المتحدة وقانون العقوبات ، هناك العديد من القوانين القطاعية التي تغطي حماية البيانات والترتيبات الأمنية. القانون الاتحادي رقم 2 لسنة 2019 بشأن استخدام تكنولوجيا المعلومات والاتصالات في القطاع الصحي في دولة الإمارات العربية المتحدة ، والأمر رقم 2003 المتعلق بتنظيم دائرة الاتصالات. وهذا يشمل القانون الاتحادي رقم 3. الأمر رقم 2012 لمكافحة الجريمة السيبرانية. 5 من القانون الاتحادي (13 أغسطس 2012) أوصى أيضًا بحظر التعدي على الخصوصية بطرق تقنية دون موافقة شخص آخر.
في أوائل سبتمبر 2021 ، “مبادئ الخمسينيات” (التي تضمنت سلسلة من المبادرات لتوفير خارطة طريق للتنمية الاقتصادية والسياسية والاجتماعية لدولة الإمارات العربية المتحدة على مدى نصف القرن المقبل) وزير الدولة للذكاء الاصطناعي وسنت حكومة الإمارات العربية المتحدة والاقتصاد الرقمي “القانون العالمي” بهدف إنشاء ، أعلنت أنها ستقدم أول قانون اتحادي لحماية البيانات. [ensuring] سيصدر القانون المقترح بحلول نهاية نوفمبر 2021 ، بمناسبة الذكرى الخمسين لتخفيض دولة الإمارات العربية المتحدة العبء على الشركات العالمية الغنية بالبيانات العاملة في الإمارات العربية المتحدة والتي تعتمد حاليًا على القواعد المحلية “، من أجل نقل مجاني وسلس عبر الحدود”.
في وقت لاحق من ذلك الشهر ، أعلن المصرف المركزي لدولة الإمارات العربية المتحدة عن إرشادات جديدة بشأن مراقبة المعاملات وحظر “المؤسسات المالية المرخصة” (LFIs) ، الأمر الذي يتطلب من المؤسسات المالية الأجنبية تثبيت وصيانة أنظمة مراقبة / فحص فعالة تغطي المخاطر. يتم تنفيذ الهياكل الأساسية وتدريب الموظفين وتوعيتهم والإشراف النشط من قبل المجالس المعنية. انظر توجيهات البنك المركزي هنا.
المناطق الحرة
تضم دولة الإمارات العربية المتحدة العديد من المناطق الحرة الاقتصادية الخاصة ، والتي تسمح بملكية أجنبية بنسبة 100 ٪ مع أنظمة ضريبية وجمركية خاصة مستقلة عن القوانين الفيدرالية المدنية والتجارية. كل من مركز دبي المالي العالمي (DIFC) وسوق أبوظبي العالمي (ADGM) ومدينة دبي الطبية (DHCC) لديها قوانين حماية البيانات الفريدة الخاصة بها ، حيث تركز الأخيرة على الضوابط وموقع بيانات مساحة المرضى. .
صدر العام الماضي قانون حماية البيانات رقم 2020 في مركز دبي المالي العالمي. تم سن 5 وتنفيذه ، مما جعل نظام حماية البيانات في مركز دبي المالي العالمي أقرب إلى الاتحاد الأوروبي المذكور في اللائحة العامة لحماية البيانات (GDPR) ، واستيفاء البيانات ، مع التزامات جديدة بتعيين مسؤولي حماية البيانات. تقديم الحق في تقييمات الأثر الأمني وإمكانية نقل البيانات.
خلال الربع الثالث من عام 2021 ، اعتمد ADGM بنود تعاقدية قياسية جديدة لتصدير البيانات (انظر هنا) يعكس تعديل البيانات هذا المتطلبات المعززة الموضحة في لوائح حماية البيانات 2021 ، والتي عدلت متطلبات معالجة البيانات الشخصية في ADGM الموجودة في عام 2015. وحدات تحكم مركز دبي المالي العالمي ومعالجات غير تابعة لمركز دبي المالي العالمي.
في 26 أغسطس 2021 ، أعلن مركز دبي المالي العالمي ذلك أعلن في بيان صحفي تشارك بشكل منهجي مع وزارة المملكة المتحدة للرقمية والثقافة والإعلام والرياضة لبدء عملية مناسبة تهدف إلى تمكين تدفق البيانات بين السلطتين القضائيتين وتقليل الحواجز التجارية.
الحد من هيكل معقد
تعمل العديد من الشركات الدولية في أكثر من واحدة من هذه الولايات القضائية. (المملكة المتحدة) على الرغم من وجود العديد من أوجه التشابه مع اللائحة العامة لحماية البيانات ، إلا أن هناك اختلافات وينبغي التماس مشورة الخبراء.