قانون حماية البيانات الشخصية الإماراتي (PDPL — المرسوم بقانون اتحادي رقم 45/2021) سري المفعول منذ يناير 2022، ويطبَّق بشكل كامل على شركات تأجير السيارات. كل بطاقة هوية، كل رخصة قيادة، كل صورة جواز سفر تجمعها = بيانات شخصية تخضع للقانون. الغرامات تصل إلى 5,000,000 درهم لكل انتهاك. هذا الدليل يحدّد ما تحتاج لفعله.
ما الذي يعتبره القانون "بيانات شخصية"
- Emirates ID (الرقم والصورة).
- رخصة القيادة (الرقم والصورة).
- جواز السفر (الرقم والصورة).
- الاسم الكامل.
- رقم الهاتف وعنوان البريد الإلكتروني.
- عنوان السكن.
- بيانات بطاقة الائتمان.
- الصور الشخصية.
- سجلّ مخالفات المرور (الموقع، الزمن).
- سجلّ الـ GPS (إذا كان مفعَّلًا).
إذا كنت تجمعها، تخزّنها، تعالجها، أو تشاركها — أنت "Data Controller" بمسؤولية قانونية.
المبادئ الـ 6 الأساسية للـ PDPL
1. المعالجة المشروعة والعادلة
كل جمع بيانات يجب أن يكون له أساس قانوني واضح:
- تنفيذ العقد (تأجير السيارة).
- الالتزام القانوني (FTA، RTA).
- المصلحة المشروعة (منع الاحتيال).
- موافقة العميل الصريحة.
2. تحديد الغرض
لا تجمع بيانات بدون غرض محدّد. مثال خاطئ: جمع جواز السفر "لكي يكون لدينا"، استخدامه لاحقًا للتسويق.
3. تقليل البيانات
اجمع فقط ما تحتاج. لا تطلب صورة بطاقة الائتمان كاملة إذا كانت الـ Pre-auth كافية.
4. الدقة
البيانات المُجَمَّعة يجب أن تكون صحيحة ومحدَّثة. صحّح الأخطاء فورًا عند الإبلاغ.
5. تقييد التخزين
احتفظ بالبيانات لفترة محدَّدة فقط:
- سجلّ التأجير (للـ VAT/CT): 7 سنوات.
- صور التسليم/الإرجاع: 24 شهرًا (أو حتى انتهاء أي نزاع).
- بيانات العميل غير النشط: 24 شهرًا، ثم الحذف.
6. الأمان والسرّية
التشفير + التحكّم في الوصول + النسخ الاحتياطية الآمنة.
متطلّبات تنفيذية محدّدة
1. الموافقة الصريحة (Opt-in)
- نموذج الحجز يحتوي على صندوق غير محدَّد افتراضيًا.
- وصف واضح لما ستفعله بالبيانات.
- توقيع العميل على نموذج موافقة منفصل عند التسليم.
- يمكن للعميل سحب الموافقة في أي وقت.
2. حقّ الوصول (Right of Access)
العميل يستطيع طلب نسخة كاملة من بياناته. يجب الردّ خلال 30 يومًا. الرفض = غرامة.
3. حقّ الحذف (Right to Erasure)
العميل يستطيع طلب حذف بياناته (بعد انتهاء العلاقة وانتهاء فترات الاحتفاظ القانونية).
4. التشفير الإلزامي
- كل صور Emirates ID وجوازات السفر تُخزَّن مشفّرة على السيرفر.
- قاعدة البيانات نفسها مشفّرة (Encrypted at Rest).
- الاتصال بالسيرفر عبر HTTPS فقط.
- النسخ الاحتياطية مشفّرة.
5. سجلّ التدقيق
- تسجيل كل وصول إلى بيانات العميل.
- من قام بالوصول، متى، لأي غرض.
- الاحتفاظ بالسجلّ لـ 3 سنوات على الأقلّ.
6. الإبلاغ عن الخروقات
إذا تسرّبت بيانات (سرقة، اختراق):
- إبلاغ مكتب البيانات الإماراتي خلال 72 ساعة.
- إبلاغ العملاء المتأثّرين خلال أسبوع.
- توثيق الحادث وإجراءات المعالجة.
الموظفون والوصول
- كل موظّف يجد بإمكانية وصول للبيانات يوقّع NDA.
- الوصول حسب الدور (موظّف الاستلام يرى Emirates ID، ليس بيانات البطاقة الائتمانية).
- تدريب سنوي على PDPL.
- إنهاء الخدمة = إلغاء الوصول فورًا.
الغرامات والعقوبات
| الانتهاك | الغرامة |
|---|---|
| عدم تسجيل المعالجة | 50,000–250,000 درهم |
| عدم الحصول على الموافقة | 100,000–500,000 درهم |
| الاحتفاظ بالبيانات بعد انتهاء الغرض | 50,000–500,000 درهم |
| عدم الإبلاغ عن خرق | 200,000–1,000,000 درهم |
| الكشف غير المُصرَّح | 500,000–5,000,000 درهم |
التحقّق من امتثالك — قائمة الـ 12 نقطة
- هل لديك سياسة خصوصية مكتوبة منشورة على الموقع؟
- هل العميل يوقّع على موافقة صريحة قبل جمع البيانات؟
- هل البيانات مشفّرة على السيرفر؟
- هل لديك سياسة احتفاظ مكتوبة؟
- هل تحذف بيانات العملاء غير النشطين تلقائيًا؟
- هل الوصول للبيانات مقيَّد بالدور؟
- هل لديك سجلّ تدقيق لكلّ وصول؟
- هل الموظفون مدرَّبون على PDPL؟
- هل لديك خطّة استجابة للخروقات؟
- هل لديك Data Protection Officer مُعَيَّن (للشركات الكبيرة)؟
- هل العقود مع المعالِجين (مثل ERP، السحابة) تتضمّن بنود PDPL؟
- هل قمت بـ Data Protection Impact Assessment للعمليات الحساسة؟
كيف يساعد ERP المتوافق
- التشفير التلقائي للبيانات الحساسة.
- الوصول حسب الدور المدمج.
- سجلّ تدقيق آلي.
- قوالب الموافقة والسياسات.
- تنبيهات انتهاء فترة الاحتفاظ.
محاولة الامتثال يدويًا على Excel = خطأ كبير.
الأسئلة الشائعة
هل أحتاج DPO (Data Protection Officer)؟
إلزامي للشركات التي تعالج بيانات حساسة على نطاق واسع. للشركات الصغيرة (تحت 25 موظف، تحت 10,000 عميل سنويًا): اختياري لكن منصوح به.
هل أستطيع نقل البيانات إلى السيرفر خارج الإمارات؟
نعم للدول المعتمَدة (الاتحاد الأوروبي، المملكة المتحدة، سويسرا، وغيرها). للدول الأخرى، تحتاج Standard Contractual Clauses (SCCs).
كم يستغرق الامتثال الكامل؟
3–6 أشهر للشركات الصغيرة، 12+ شهرًا للأكبر. ابدأ بالأساسيات (التشفير، الموافقة، السياسات) ثمّ توسّع.
هل يطبَّق القانون على بيانات الموظفين أيضًا؟
نعم. كل البيانات الشخصية (موظفين، عملاء، مالكي السيارات، الشركاء) تخضع للقانون.