جدول المحتويات
جميع المدونات

قوانين خصوصية البيانات في دولة الإمارات العربية المتحدة وتكنولوجيا التعرف على الوجه: نهج مقارن مع اللائحة العامة لحماية البيانات في الاتحاد الأوروبي

جدول المحتويات

مع الزيادة في عدد تقنيات التعرف على الوجوه في الإمارات العربية المتحدة، يجب على المنظمات - أو على الأقل - أن تلتزم بشكل متزايد ببعض قوانين خصوصية البيانات الصارمة للغاية. تناقش هذه الأسئلة والأجوبة بعض القضايا الرئيسية ذات الصلة باستخدام تقنيات التعرف على الوجوه - أي الموافقة ونقل البيانات والتخفيف من المخاطر - بموجب قانون حماية البيانات الشخصية لدولة الإمارات العربية المتحدة (PDPL) ضد اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR).

Q1: أصدرت دولة الإمارات العربية المتحدة تشريعات بشأن حماية البيانات التي تنظم تقنيات التعرف على الوجه. كيف يختلف هذا عن اللائحة العامة لحماية البيانات في الاتحاد الأوروبي؟

ال المرسوم بقانون اتحادي رقم 45 لسنة 2021، والتي يشار إليها بعد قليل هنا باسم بي دي بي إل وتم تطبيق القانون الذي يحكم معالجة البيانات الشخصية في دولة الإمارات العربية المتحدة، بما في ذلك - على سبيل المثال لا الحصر - البيانات البيومترية مثل التعرف على الوجه. يجب الحصول على هذه الموافقة على معالجة البيانات البيومترية للفرد بشكل صريح قبل أن يتم جمعها أو معالجتها بطريقة أخرى بموجب PDPL، على الرغم من الإرشادات التي تشتد الحاجة إليها والتي تقدمها اللوائح التنفيذية لم يتم نشره بعد. وعلى النقيض من ذلك، فإن GDPR داخل الاتحاد الأوروبي يتطلب موافقة صريحة وحتى لديه أحكام جوهرية بشأن معالجة البيانات في فئة خاصة، مثل المعلومات البيومترية. في حين أن المبادئ الأساسية متشابهة، يبدو أنه من الأفضل تحديد اللائحة العامة لحماية البيانات فيما يتعلق بالنص بوضوح على طريقة الموافقة، ناهيك عن ما يشكل الموافقة في المقام الأول.

Q2: هل الموافقة الصريحة المقدمة إلى PDPL في الإمارات العربية المتحدة واللائحة العامة لحماية البيانات في الاتحاد الأوروبي تشكل موافقة على استخدام بيانات التعرف على الوجه؟

موافقة كل من بي دي بي إل و GDPR يجب أن تكون صريحة ومستنيرة وإيجابية قبل معالجة أي معلومات شخصية. ما يعنيه هذا ببساطة هو أن مواطني دولة الإمارات العربية المتحدة بحاجة إلى معرفة المعلومات المتعلقة بالتعرف على الوجه والموافقة على ذلك بمحض إرادتهم. ومع ذلك، فإن GDPR قد شرح بالتفصيل ما يشكل»الموافقة الممنوحة بحرية«بشروط صارمة بحيث لا يتم دمج الموافقة مع أنواع أخرى من شروط الخدمة. يمنح كلا القانونين الأفراد أيضًا الحق في سحب الموافقة في أي وقت، ويجب على الشركات الامتثال لهذا الطلب.

Q3: وفقًا لـ PDPL و GDPR، يتعين على الشركة تخزين البيانات البيومترية بأي طريقة سيتم اعتبارها آمنة؟

وبالتالي، فإن الحماية بموجب الولايات القضائية المعنية بي دي بي إل و GDPR يكرس الأهمية المرتبطة بالتخزين الآمن الخاص به. وفي الوقت نفسه، تتطلب حماية البيانات الشخصية اتخاذ التدابير الفنية والتنظيمية من خلال كل من PDPL و GDPR، بما في ذلك تشفير البيانات بهدف تأمينها من التعرض للخطر، و تسمية مستعارة في حالة اختراق البيانات بهدف تقليل إمكانية تحديد المعلومات. تحت GDPR، تم إجراء تعداد صريح لـ تصغير البيانات للتأكد من عدم جمع وتخزين أكثر من الحد الأدنى من البيانات. بي دي بي إل نسخت هذه المبادئ أيضًا، ولكن هناك انتظار مزيد من التوضيح من المستقبل اللوائح التنفيذية فيما يتعلق بحل التخزين المحلي/السحابي.

Q4: كيف يتم النقل عبر الحدود في الإمارات العربية المتحدة والاتحاد الأوروبي فيما يتعلق ببيانات التعرف على الوجه؟

تحت كل من بي دي بي إل و ال GDPR، يتم تنظيم نقل البيانات عبر الحدود بدرجة عالية. وفقًا للمادة 22 من بي دي بي إل، لا يُسمح بنقل البيانات الشخصية وبالتالي بيانات التعرف على الوجه خارج دولة الإمارات العربية المتحدة، إلا في الحالات التي توفر فيها الدولة التي سيتم النقل إليها مستوى مناسبًا من الحماية. ومع ذلك، GDPR يحظر أيضًا عمليات النقل إلى بلدان ثالثة لا توفر حماية كافية، على الرغم من أنه يوفر آليات لعمليات النقل في شكل البنود التعاقدية القياسية (SCCs) و قواعد الشركات الملزمة (BCRs). وبالمثل، بي دي بي إل هل تفكر في التحويلات على أساس اتفاقيات تعاقدية، ولكن التفاصيل المتعلقة بذلك سيتم تقديمها في اللوائح التنفيذية.

س 5: ما هي الموافقة الصالحة بموجب PDPL لدولة الإمارات العربية المتحدة، وما هو الموقف بموجب اللائحة العامة لحماية البيانات؟

كلا من بي دي بي إل و ال GDPR لديك المتطلبات التالية للحصول على موافقة صالحة:

  •  مُعطى مجانًا، محددة ومستنيرة ولا لبس فيها.
  • قابل للإلغاء بسهولة: يجب توفير فرصة في أي وقت لسحب الموافقة.

موافقة صريحة تحت GDPR له حدود واضحة جدًا، لا سيما استبعاد المربعات المحددة مسبقًا أو الموافقة الضمنية. ال بي دي بي إل يتخذ مسارًا مشابهًا إلى حد كبير ولكنه لا يزال ينتظر تفسيرًا أكثر تفصيلاً حول كيفية ضمان الشركات لها موافقة صالحة.

س 6: ما هي المخاطر القانونية المرتبطة باستخدام تقنية التعرف على الوجه وكيف يمكن للشركات في الإمارات العربية المتحدة والاتحاد الأوروبي التخفيف من هذه المخاطر؟

يمثل خرق البيانات وعدم الالتزام بالقانون أخطر المخاطر القانونية في كل من الإمارات العربية المتحدة والاتحاد الأوروبي. للتغلب على هذه المخاطر، يجب على الشركات:

  • يجب أن تخضع المعالجة لـ تقييم تأثير حماية البيانات (DPIA). إنها معبرة جدًا من جانب كليهما بي دي بي إل و GDPR أن هذه المعالجة يجب أن تخضع لـ DPIA باعتبارها نشاطًا عالي المخاطر يشبه استخدام تقنية التعرف على الوجوه.
  • عندما تتم معالجة كميات كبيرة من المعلومات الشخصية الحساسة، يجب على الشركة تعيين مسؤول حماية البيانات (DPO) - مطلب أساسي آخر مماثل بموجب بي دي بي إل و GDPR.
  • ومن شأن هذه التدابير أن تجلب ضرورة وجود قوة الضوابط الفنية والتنظيمية، بما في ذلك تشفير البيانات وعمليات التدقيق الدورية لإثبات الامتثال.

س 7: ما هي الاعتبارات القانونية الأخرى التي يجب على الشركات مراعاتها فيما يتعلق باستخدام FRT داخل الإمارات العربية المتحدة؟

بالإضافة إلى بي دي بي إل، من المهم ملاحظة ذلك المرسوم بقانون اتحادي رقم 38 لسنة 2021 بشأن حق المؤلف والحقوق المجاورة ينص على حظر تصوير شخص أو التقاط صور له دون موافقته الحرة. إنه يضيف فقط بعدًا آخر لضمان عدم تصوير صورة الشخص أو توزيعها دون إذن. هذا، إلى حد كبير، يتماشى مع أيديولوجية اللائحة العامة لحماية البيانات - إنه يحمي حقوق الخصوصية القائمة على الأذونات، إلى جانب التحكم في صورة/صورة الشخص.

الاستنتاج:

من ناحية أخرى، في حين أن الإمارات بي دي بي إل والاتحاد الأوروبي GDPR توفر بالفعل إطارًا قويًا للحماية من البيانات البيومترية وتحديد الوجه، وهناك توقع لإصدار اللوائح التنفيذية في الإمارات العربية المتحدة. من الناحية العملية، ستهتم الشركات بآليات الحماية الفعالة للبيانات التي من شأنها ضمان الامتثال.

مقالات أخرى