مشاركة:

قانون حماية البيانات الشخصية الإماراتي (PDPL — المرسوم بقانون اتحادي رقم 45/2021) سري المفعول منذ يناير 2022، ويطبَّق بشكل كامل على شركات تأجير السيارات. كل بطاقة هوية، كل رخصة قيادة، كل صورة جواز سفر تجمعها = بيانات شخصية تخضع للقانون. الغرامات تصل إلى 5,000,000 درهم لكل انتهاك. هذا الدليل يحدّد ما تحتاج لفعله.

ما الذي يعتبره القانون "بيانات شخصية"

  • Emirates ID (الرقم والصورة).
  • رخصة القيادة (الرقم والصورة).
  • جواز السفر (الرقم والصورة).
  • الاسم الكامل.
  • رقم الهاتف وعنوان البريد الإلكتروني.
  • عنوان السكن.
  • بيانات بطاقة الائتمان.
  • الصور الشخصية.
  • سجلّ مخالفات المرور (الموقع، الزمن).
  • سجلّ الـ GPS (إذا كان مفعَّلًا).

إذا كنت تجمعها، تخزّنها، تعالجها، أو تشاركها — أنت "Data Controller" بمسؤولية قانونية.

المبادئ الـ 6 الأساسية للـ PDPL

1. المعالجة المشروعة والعادلة

كل جمع بيانات يجب أن يكون له أساس قانوني واضح:

  • تنفيذ العقد (تأجير السيارة).
  • الالتزام القانوني (FTA، RTA).
  • المصلحة المشروعة (منع الاحتيال).
  • موافقة العميل الصريحة.

2. تحديد الغرض

لا تجمع بيانات بدون غرض محدّد. مثال خاطئ: جمع جواز السفر "لكي يكون لدينا"، استخدامه لاحقًا للتسويق.

3. تقليل البيانات

اجمع فقط ما تحتاج. لا تطلب صورة بطاقة الائتمان كاملة إذا كانت الـ Pre-auth كافية.

4. الدقة

البيانات المُجَمَّعة يجب أن تكون صحيحة ومحدَّثة. صحّح الأخطاء فورًا عند الإبلاغ.

5. تقييد التخزين

احتفظ بالبيانات لفترة محدَّدة فقط:

  • سجلّ التأجير (للـ VAT/CT): 7 سنوات.
  • صور التسليم/الإرجاع: 24 شهرًا (أو حتى انتهاء أي نزاع).
  • بيانات العميل غير النشط: 24 شهرًا، ثم الحذف.

6. الأمان والسرّية

التشفير + التحكّم في الوصول + النسخ الاحتياطية الآمنة.

متطلّبات تنفيذية محدّدة

1. الموافقة الصريحة (Opt-in)

  • نموذج الحجز يحتوي على صندوق غير محدَّد افتراضيًا.
  • وصف واضح لما ستفعله بالبيانات.
  • توقيع العميل على نموذج موافقة منفصل عند التسليم.
  • يمكن للعميل سحب الموافقة في أي وقت.

2. حقّ الوصول (Right of Access)

العميل يستطيع طلب نسخة كاملة من بياناته. يجب الردّ خلال 30 يومًا. الرفض = غرامة.

3. حقّ الحذف (Right to Erasure)

العميل يستطيع طلب حذف بياناته (بعد انتهاء العلاقة وانتهاء فترات الاحتفاظ القانونية).

4. التشفير الإلزامي

  • كل صور Emirates ID وجوازات السفر تُخزَّن مشفّرة على السيرفر.
  • قاعدة البيانات نفسها مشفّرة (Encrypted at Rest).
  • الاتصال بالسيرفر عبر HTTPS فقط.
  • النسخ الاحتياطية مشفّرة.

5. سجلّ التدقيق

  • تسجيل كل وصول إلى بيانات العميل.
  • من قام بالوصول، متى، لأي غرض.
  • الاحتفاظ بالسجلّ لـ 3 سنوات على الأقلّ.

6. الإبلاغ عن الخروقات

إذا تسرّبت بيانات (سرقة، اختراق):

  • إبلاغ مكتب البيانات الإماراتي خلال 72 ساعة.
  • إبلاغ العملاء المتأثّرين خلال أسبوع.
  • توثيق الحادث وإجراءات المعالجة.

الموظفون والوصول

  • كل موظّف يجد بإمكانية وصول للبيانات يوقّع NDA.
  • الوصول حسب الدور (موظّف الاستلام يرى Emirates ID، ليس بيانات البطاقة الائتمانية).
  • تدريب سنوي على PDPL.
  • إنهاء الخدمة = إلغاء الوصول فورًا.

الغرامات والعقوبات

الانتهاكالغرامة
عدم تسجيل المعالجة50,000–250,000 درهم
عدم الحصول على الموافقة100,000–500,000 درهم
الاحتفاظ بالبيانات بعد انتهاء الغرض50,000–500,000 درهم
عدم الإبلاغ عن خرق200,000–1,000,000 درهم
الكشف غير المُصرَّح500,000–5,000,000 درهم

التحقّق من امتثالك — قائمة الـ 12 نقطة

  1. هل لديك سياسة خصوصية مكتوبة منشورة على الموقع؟
  2. هل العميل يوقّع على موافقة صريحة قبل جمع البيانات؟
  3. هل البيانات مشفّرة على السيرفر؟
  4. هل لديك سياسة احتفاظ مكتوبة؟
  5. هل تحذف بيانات العملاء غير النشطين تلقائيًا؟
  6. هل الوصول للبيانات مقيَّد بالدور؟
  7. هل لديك سجلّ تدقيق لكلّ وصول؟
  8. هل الموظفون مدرَّبون على PDPL؟
  9. هل لديك خطّة استجابة للخروقات؟
  10. هل لديك Data Protection Officer مُعَيَّن (للشركات الكبيرة)؟
  11. هل العقود مع المعالِجين (مثل ERP، السحابة) تتضمّن بنود PDPL؟
  12. هل قمت بـ Data Protection Impact Assessment للعمليات الحساسة؟

كيف يساعد ERP المتوافق

  • التشفير التلقائي للبيانات الحساسة.
  • الوصول حسب الدور المدمج.
  • سجلّ تدقيق آلي.
  • قوالب الموافقة والسياسات.
  • تنبيهات انتهاء فترة الاحتفاظ.

محاولة الامتثال يدويًا على Excel = خطأ كبير.

الأسئلة الشائعة

هل أحتاج DPO (Data Protection Officer)؟

إلزامي للشركات التي تعالج بيانات حساسة على نطاق واسع. للشركات الصغيرة (تحت 25 موظف، تحت 10,000 عميل سنويًا): اختياري لكن منصوح به.

هل أستطيع نقل البيانات إلى السيرفر خارج الإمارات؟

نعم للدول المعتمَدة (الاتحاد الأوروبي، المملكة المتحدة، سويسرا، وغيرها). للدول الأخرى، تحتاج Standard Contractual Clauses (SCCs).

كم يستغرق الامتثال الكامل؟

3–6 أشهر للشركات الصغيرة، 12+ شهرًا للأكبر. ابدأ بالأساسيات (التشفير، الموافقة، السياسات) ثمّ توسّع.

هل يطبَّق القانون على بيانات الموظفين أيضًا؟

نعم. كل البيانات الشخصية (موظفين، عملاء، مالكي السيارات، الشركاء) تخضع للقانون.

هل أفادتك هذه المقالة؟ شاركها مع مشغّل آخر في الإمارات: