تصفح قوانين خصوصية البيانات في الإمارات العربية المتحدة: تقنية التعرف على الوجه مع مقارنات مع اللائحة العامة لحماية البيانات في الاتحاد الأوروبي

تيم إليوت
مرحبًا بك في جراحي، أول بودكاست منتظم يتصفح آخر التحديثات القانونية هنا في الإمارات العربية المتحدة. أنا تيم إليوت، وكما هو الحال دائمًا، أعمل مع لودميلا يامالوفا، الشريك الإداري لشركة Yamalova & Plewka القانونية التي تتخذ من دبي مقراً لها. من الجيد دائمًا أن أكون قادرًا على التحدث معك، لودميلا.

لودميلا يامالوفا
من الجيد جدًا أن أتحدث معك أيضًا، تيم، كما هو الحال دائمًا.

تيم إليوت
حسنًا، سأحاول مواكبتك هنا وفهم جميع الاختصارات والمصطلحات، لكن قوانين خصوصية البيانات في الإمارات العربية المتحدة واستخدام تقنية التعرف على الوجه - إنه موضوع أعتقد دائمًا أننا على دراية به، لكن معظمنا ربما لا يفكر فيه كثيرًا.

لودميلا يامالوفا
في الواقع. وهو موضوع مهم للغاية، خاصة مع الاستخدام المتزايد للتقنيات البيومترية، خاصة في الإمارات العربية المتحدة، مثل التعرف على الوجه. لذلك، نرى أوجه تشابه وتناقضات بين نهج دولة الإمارات العربية المتحدة وما تم وضعه بموجب اللائحة العامة لحماية البيانات في الاتحاد الأوروبي، والتي يشار إليها عادة باسم GDPR.

تيم إليوت
حسنا، لذلك دعونا ندخل في الأمر. ما هي قوانين خصوصية البيانات الرئيسية في دولة الإمارات العربية المتحدة التي تحكم استخدام تقنية التعرف على الوجه، وكيف يمكن مقارنتها مع اللائحة العامة لحماية البيانات في الاتحاد الأوروبي؟

لودميلا يامالوفا
اللوائح الرئيسية هنا في الإمارات العربية المتحدة هي: أولاً، المرسوم الاتحادي رقم 45 لعام 2021، والمعروف أيضًا باسم قانون حماية البيانات الشخصية، أو PDPL. القليل من الفم! دخل هذا القانون حيز التنفيذ في 2 يناير 2022، لكن لائحته التنفيذية لا تزال معلقة، مما يؤخر التطبيق الكامل أو التنفيذ الكامل لهذا القانون.

يحدد قانون حماية البيانات الشخصية هذا مبادئ عامة لجمع ومعالجة البيانات البيومترية مثل التعرف على الوجه. لذلك، من نواح كثيرة، في شكلها الحالي، تشبه إلى حد كبير اللائحة العامة لحماية البيانات في الاتحاد الأوروبي، والتي تركز أيضًا بشدة على حماية البيانات الشخصية، بما في ذلك القياسات الحيوية.

أحد أوجه التشابه الرئيسية بين PDPL، وهي نسخة الإمارات العربية المتحدة، واللائحة العامة لحماية البيانات هو شرط الموافقة الصريحة قبل معالجة البيانات الشخصية. بعبارة أخرى، يجب أن تكون هناك موافقة صريحة لجمع ومعالجة بيانات التعرف على الوجه في نهاية المطاف. ينص كلا القانونين على أنه يجب إبلاغ الأفراد بكيفية استخدام بياناتهم ويجب إعطاء موافقة واضحة وإيجابية.

تيم إليوت
تحتاج الشركات في كل من الإمارات العربية المتحدة والاتحاد الأوروبي إلى موافقة صريحة لاستخدام بيانات التعرف على الوجه. ولكن هل هناك أي اختلافات كبيرة بين القانون هنا في الإمارات واللائحة العامة لحماية البيانات في الاتحاد الأوروبي في هذا الصدد؟

لودميلا يامالوفا
نعم. بينما يؤكد كل من PDPL و GDPR على الموافقة الصريحة، توفر اللائحة العامة لحماية البيانات إرشادات أكثر تفصيلاً حول شروط الموافقة، خاصة عندما يتعلق الأمر بفئات محددة من البيانات الشخصية مثل القياسات الحيوية.

بموجب اللائحة العامة لحماية البيانات (GDPR)، يكون تعريف الموافقة «الممنوحة بحرية» صارمًا بشكل خاص. يجب أن يكون هناك تمييز واضح بين الموافقة وشروط الخدمة الأخرى. في الإمارات العربية المتحدة، من ناحية أخرى، يتطلب القانون أيضًا أن تكون الموافقة واضحة ولا لبس فيها، لكننا ما زلنا ننتظر أن توضح اللوائح التنفيذية بعض التفاصيل الدقيقة، مثل ما يشكل الموافقة الحرة في الممارسة العملية.

تيم إليوت
صحيح، ما زلت معك. لذا السؤال التالي - هل هناك متطلبات محددة لكيفية تخزين البيانات البيومترية هنا في الإمارات العربية المتحدة؟ كيف يمكن مقارنة ذلك مع الاتحاد الأوروبي بموجب لوائح GDPR؟

لودميلا يامالوفا
يتطلب كلا القانونين تخزين البيانات الشخصية بشكل آمن. ولكن في أوروبا، توفر اللائحة العامة لحماية البيانات (GDPR)، على سبيل المثال، إرشادات أكثر تحديدًا بشأن التدابير الفنية والتنظيمية مثل التشفير والتسمية المستعارة.

في دولة الإمارات العربية المتحدة، يعكس PDPL بعض هذه المبادئ العامة، مع التأكيد على أهمية أمن البيانات والسرية. ومع ذلك، ما زلنا ننتظر المزيد من المتطلبات التفصيلية في الإمارات العربية المتحدة من خلال اللوائح التنفيذية القادمة.

لذلك، هناك نوع من القواعد الشعبية المتشابهة، لكن الآليات المحددة لم تظهر بعد في الإمارات العربية المتحدة. تخطو اللائحة العامة لحماية البيانات (GDPR) خطوة أخرى في هذه المرحلة بمفهوم تقليل البيانات. على سبيل المثال، فإنه يضمن جمع وتخزين الحد الأدنى فقط من البيانات الشخصية اللازمة لهذا الغرض.

في حين أن PDPL في الإمارات العربية المتحدة لديها مبادئ مماثلة، فإن النسخة الأوروبية من القانون تحتوي على إرشادات إنفاذ أكثر تفصيلاً، مما يجعل من الواضح جدًا كيف سيتم تنفيذها ومدى صرامة العقوبة على الانتهاكات. في دولة الإمارات العربية المتحدة، توجد المبادئ العامة، ولكن من حيث الإنفاذ والعقوبات، هذا أمر يجب تناوله في اللوائح التنفيذية.

تيم إليوت
ماذا يحدث إذا احتاجت الشركة إلى نقل بيانات التعرف على الوجه خارج الإمارات العربية المتحدة؟ هل القواعد مشابهة لما نراه في الاتحاد الأوروبي؟

لودميلا يامالوفا
في الواقع، هم كذلك. هناك أوجه تشابه وثيقة بين PDPL و GDPR في هذا المجال. بموجب اللائحة العامة لحماية البيانات (GDPR)، لا يمكن نقل البيانات الشخصية خارج الاتحاد الأوروبي إلا إذا كانت دولة المقصد توفر مستوى مناسبًا من الحماية - لذلك يجب أن تكون مماثلة في صرامتها.

وبالمثل، بموجب المادة 22 من PDPL لدولة الإمارات العربية المتحدة، فإنها تحظر نقل البيانات الشخصية خارج الإمارات العربية المتحدة ما لم يكن لدى بلد المقصد قوانين حماية البيانات التي توفر الحماية الكافية. لذا، أود أن أؤكد أن الأمر لا يتعلق فقط بما هو مكتوب في القانون ولكن بكيفية تطبيقه.

لكي تسمح دولة الإمارات بمثل هذا النقل، يجب أن تكون هناك ثقة في أن البيانات ستتم حمايتها وأن الانتهاكات سيتم فرضها بطريقة مماثلة لدولة الإمارات العربية المتحدة. تسمح اللائحة العامة لحماية البيانات (GDPR) أيضًا بآليات مثل البنود التعاقدية القياسية وقواعد الشركة الملزمة لتسهيل عمليات النقل هذه.

يشير قانون دولة الإمارات العربية المتحدة إلى الترتيبات التعاقدية في المادة 23، ولكن ليس لدينا حتى الآن تفاصيل حول الشكل الذي ستبدو عليه هذه الاتفاقيات. مرة أخرى، يجب معالجة التفاصيل في اللوائح التنفيذية.

تيم إليوت
ما الذي يشكل موافقة العميل الصالحة بموجب قانون دولة الإمارات العربية المتحدة مقارنة بالاتحاد الأوروبي؟

لودميلا يامالوفا
هذا سؤال رائع، ولدينا بالفعل عدد قليل من العملاء مؤخرًا الذين كانوا فضوليين بشأن هذا الأمر. هذا هو مصدر إلهام حلقة البودكاست هذه.

على مستوى عالٍ، يتطلب كل من قانون حماية البيانات في دولة الإمارات العربية المتحدة وقانون حماية البيانات في الاتحاد الأوروبي أن تكون الموافقة حرة ومحددة ومستنيرة ولا لبس فيها. بموجب اللائحة العامة لحماية البيانات (GDPR)، يجب أن تكون الموافقة إيجابية بشكل صريح، مما يعني أن المربعات المحددة مسبقًا غير صالحة.

وبالمثل، في الإمارات العربية المتحدة، يتطلب القانون موافقة واضحة يمكن سحبها في أي وقت. نتوقع أن توفر اللوائح التنفيذية مزيدًا من التفاصيل الدقيقة حول كيفية حصول الشركات على الموافقة وإدارتها.

كما يمكّن كلا القانونين الأفراد من سحب الموافقة بسهولة. على سبيل المثال، يمكنك إلغاء الاشتراك من الرسائل الإخبارية أو رسائل البريد الإلكتروني التسويقية بشكل أكثر كفاءة الآن مقارنة بالماضي. تتطلب كل من اللائحة العامة لحماية البيانات (GDPR) و PDPL في الإمارات العربية المتحدة من الشركات احترام مثل هذه الطلبات.

تيم إليوت
يبدو لي أن كلا القانونين يمنحان الأفراد السيطرة على بياناتهم. هذه أخبار جيدة. ولكن ماذا عن المخاطر القانونية؟ هل هناك أي اختلافات في كيفية إدارة المخاطر في ظل الإطارين؟

لودميلا يامالوفا
بالطبع. إدارة المخاطر القانونية أمر بالغ الأهمية في كلا الإطارين. يفرض كلا القانونين إجراء تقييمات تأثير حماية البيانات (DPIAs) لأنشطة المعالجة عالية المخاطر، مثل تقنية التعرف على الوجه.

توفر اللائحة العامة لحماية البيانات (GDPR) معايير أكثر تفصيلاً عندما تكون DPIA مطلوبة ولديها جهات تنظيمية نشطة تضمن الامتثال. في دولة الإمارات العربية المتحدة، بموجب المادة 21 من PDPL، يجب على الشركات أيضًا تقييم المخاطر عند معالجة البيانات الحساسة وتنفيذ تدابير للتخفيف من تلك المخاطر.

في حين أن PDPL يتبع عن كثب اللائحة العامة لحماية البيانات، فإن آليات الإنفاذ في أوروبا، بما في ذلك الغرامات الباهظة لعدم الامتثال، أكثر رسوخًا. في دولة الإمارات العربية المتحدة، نتوقع المزيد من الوضوح بشأن الإنفاذ عند إصدار اللوائح التنفيذية.

تيم إليوت
كيف يمكن للشركات التي تستخدم التعرف على الوجه في الإمارات العربية المتحدة - والاتحاد الأوروبي، في هذا الصدد - التخفيف من هذه المخاطر بشكل أفضل؟

لودميلا يامالوفا
يجب أن تبدأ الشركات في كلتا الولايتين بإجراء تقييمات تأثير حماية البيانات لتقييم المخاطر والتخفيف من حدتها، لا سيما عند التعامل مع البيانات البيومترية.

يعد تعيين مسؤول حماية البيانات (DPO) أمرًا بالغ الأهمية للشركات التي تتعامل مع كميات كبيرة من البيانات الشخصية الحساسة. هذا الشرط موجود بموجب كلا القانونين.

بالإضافة إلى ذلك، يجب على الشركات تدريب موظفيها وتوثيق جهود الامتثال وتنفيذ تدابير أمنية قوية مثل التشفير. التوثيق هو المفتاح - سجل كل شيء لإثبات الامتثال.

أخيرًا، يجب أن تظل الشركات على اطلاع دائم بالتغييرات القانونية، خاصة في دولة الإمارات العربية المتحدة، حيث من المتوقع أن تضفي اللوائح التنفيذية مزيدًا من الوضوح على التزامات حماية البيانات.

تيم إليوت
هل هناك أي اعتبارات قانونية أخرى يجب على الشركات وضعها في الاعتبار؟

لودميلا يامالوفا
نعم. بالإضافة إلى PDPL، يجب على الشركات في الإمارات العربية المتحدة أيضًا النظر في قوانين أخرى، مثل المرسوم الاتحادي رقم 38 لعام 2021 بشأن حق المؤلف والحقوق المجاورة، أو قانون حقوق النشر في الإمارات العربية المتحدة.

يحظر هذا القانون تصوير الأفراد أو تسجيلهم دون موافقتهم الصريحة. إنه مهم بشكل خاص للشركات التي تستخدم التعرف على الوجه أو توفير التقنيات التي تلتقط بيانات الوجه.

بالإضافة إلى قوانين حماية البيانات، يجب على الشركات النظر في لوائح حقوق النشر للتأكد من أنها لا تنتهك حقوق الأفراد على بياناتهم الشخصية أو صورهم.

يتماشى الإطار القانوني لدولة الإمارات العربية المتحدة مع مبادئ GDPR بعدة طرق. ومع ذلك، يتمتع الاتحاد الأوروبي بإطار إنفاذ أكثر تقدمًا، بينما لا تزال الإمارات العربية المتحدة تبني نهجها وتنقحه.

تيم إليوت
لذا، إذا كان شخص ما يدير أو يخطط لبدء عمل تجاري باستخدام تقنية التعرف على الوجه في الإمارات العربية المتحدة أو الاتحاد الأوروبي، فما هي الفائدة الرئيسية؟

لودميلا يامالوفا
الخلاصة الرئيسية هي اليقظة. تحتاج الشركات إلى البقاء على اطلاع بالتزاماتها القانونية ومراقبة اللوائح الإماراتية القادمة عن كثب.

يوفر PDPL أساسًا متينًا لحماية البيانات الشخصية في الإمارات العربية المتحدة. ومع ذلك، نظرًا لأن هذا المجال لا يزال يتطور، يجب على الشركات أن تكون استباقية في فهم المشهد التنظيمي وتنفيذ تدابير الامتثال.

على سبيل المثال، لدينا العديد من العملاء المهتمين ببدء الأعمال التجارية القائمة على التكنولوجيا في الإمارات العربية المتحدة، بما في ذلك تلك التي تنطوي على التعرف على الوجه. إنهم بحاجة إلى معرفة اللوائح المطبقة وكيفية تلبية متطلبات الترخيص.

في الإمارات العربية المتحدة، لا يمكن للشركات ببساطة إعداد العمليات دون ترخيص محدد يتماشى مع نشاطها. تتمتع دولة الإمارات العربية المتحدة بتنظيم كبير في هذا المجال، خاصة عندما يتعلق الأمر بجمع البيانات الحساسة مثل التعرف على الوجه.

تيم إليوت
هذا يضيف طبقة أخرى من التعقيد لممارسة الأعمال التجارية في الإمارات العربية المتحدة، أليس كذلك؟

لودميلا يامالوفا
بالتأكيد. في الإمارات العربية المتحدة، يجب أن يكون لدى الشركات ترخيص محدد للنشاط المحدد الذي تخطط للقيام به. على سبيل المثال، إذا كنت ترغب في العمل في مساحة التعرف على الوجه، فأنت بحاجة إلى العثور على المنطقة الاقتصادية المناسبة التي تقدم ترخيصًا لهذا النشاط المحدد.

يمكن أن يكون هذا مفهومًا جديدًا للعديد من الشركات الأجنبية غير المألوفة بالإطار القانوني لدولة الإمارات العربية المتحدة. الأمر ليس بهذه البساطة مثل إعداد متجر وبدء العمليات. تحتاج إلى التأكد من تغطية نشاطك التجاري من خلال الترخيص الخاص بك وفهم قيود العمل في تلك المساحة.

تعتبر عملية الترخيص والالتزامات القانونية أكثر صرامة للشركات التي تتعامل مع البيانات الحساسة للغاية، مثل التعرف على الوجه.

تيم إليوت
هذا يقودنا إلى نهاية حلقة أخرى من جراحي. لقد استكشفنا قوانين خصوصية البيانات في دولة الإمارات العربية المتحدة، واستخدام تقنية التعرف على الوجه، وقارننا PDPL في الإمارات العربية المتحدة مع اللائحة العامة لحماية البيانات في الاتحاد الأوروبي بالتفصيل. شكرًا، كما هو الحال دائمًا، لخبيرتنا القانونية والشريك الإداري لشركة Yamalova & Plewka، لودميلا يامالوفا.

لودميلا يامالوفا
شكرا لك، تيم. رائع للدردشة كما هو الحال دائمًا.

تيم إليوت
يمكنك العثور علينا على إنستغرام وفيسبوك ولينكد إن وتيك توك ويوتيوب وفي أي مكان تحصل فيه على ملفات البودكاست الخاصة بك. للحصول على رؤى قانونية تتمحور حول الإمارات العربية المتحدة ومئات حلقات البودكاست، تفضل بزيارة lylawyers.com. إذا كان لديك سؤال قانوني، فيمكنك التواصل مع أحد المتخصصين القانونيين الإماراتيين ذوي الخبرة أو اقتراح موضوع لحلقة مستقبلية من جراحي.