قوانين خصوصية البيانات في قطر: دليل PDPPL القانون رقم 13 لسنة 2016 ولوائح QFC (2026)

القانون الأساسي لـخصوصية البيانات في قطر هو القانون رقم 13 لسنة 2016 (PDPPL)، الذي دخل حيز التنفيذ في فبراير 2017 وجعل قطر أول دولة خليجية تعتمد قانوناً مستقلاً وشاملاً لحماية البيانات. وتتولى NCGAA ضمن NCSA إنفاذ PDPPL، مع عقوبات مدنية تتراوح بين 1 مليون ريال قطري و5 ملايين ريال قطري.
إجابة سريعة: لمحة عامة عن إطار حماية البيانات في قطر
تعمل قطر بموجب نظامين متوازيين لحماية البيانات. يحكم PDPPL (القانون رقم 13 لسنة 2016) جميع عمليات معالجة البيانات الشخصية داخل قطر، وينطبق على الشركات الخاصة والجهات الحكومية والجهات الأجنبية التي تستهدف المقيمين في قطر. أما لوائح QFC لحماية البيانات 2021 فتنطبق بشكل منفصل على الكيانات المؤسسة أو المسجلة في مركز قطر للمال. ويفرض النظامان معاً متطلبات الموافقة، وحقوق أصحاب البيانات، والتزامات الأمان، والعقوبات المالية، إلا أنهما يختلفان من حيث البنية والأسس القانونية وسلطة الإنفاذ.
بالنسبة لمعظم الشركات، يمثل PDPPL التزام الامتثال الأساسي. أما المؤسسات العاملة ضمن QFC فينبغي أن تتعامل مع كلا النظامين باعتبارهما قابلين للتطبيق المحتمل، وأن تحل أي تعارض بينهما بالاستعانة بمشورة قانونية.

Law No. 13 of 2016: شرح قانون PDPPL
الخلفية والأهمية
سنّت قطر قانون حماية خصوصية البيانات الشخصية في 16 نوفمبر 2016. ودخل حيز التنفيذ في 13 فبراير 2017، عقب نشره في الجريدة الرسمية. وبذلك أصبحت قطر أول دولة عضو في مجلس التعاون الخليجي تعتمد قانوناً مستقلاً وشاملاً لحماية البيانات ينطبق على القطاعين العام والخاص معاً.
قبل صدور PDPPL، لم يكن لدى قطر تشريع مخصص لحماية البيانات. وكانت قواعد حماية البيانات موجودة فقط ضمن أطر قطاعية محددة، مثل لوائح مصرف قطر المركزي الخاصة بالقطاع المصرفي، أو كأحكام عرضية ضمن قوانين أوسع للأمن السيبراني. وقد غيّر PDPPL هذا الواقع من خلال إنشاء إطار قانوني عام مستوحى جزئياً من المعايير الدولية، مع تكييفه ليتناسب مع السياق القانوني والثقافي القطري.
واستُكمل القانون في عام 2021 بإرشادات أصدرتها NCGAA تناولت، من بين موضوعات أخرى، إجراءات الإخطار بخروقات البيانات، وتقييمات أثر معالجة البيانات، ومعايير الأمان.
النطاق الإقليمي والموضوعي
ينطبق PDPPL على معالجة البيانات الشخصية عندما تتم هذه المعالجة إلكترونياً داخل قطر، أو عندما يتم الحصول على البيانات أو جمعها أو استخراجها تمهيداً للمعالجة الإلكترونية. ويشمل ذلك أي شخص طبيعي أو اعتباري يقوم بهذه المعالجة، سواء في القطاع العام أو الخاص.
كما يمتد القانون ليشمل أنشطة المعالجة التي تتم خارج قطر متى كانت هذه الأنشطة تتعلق بتقديم سلع أو خدمات لأفراد في قطر أو بمراقبة سلوك أفراد في قطر. وهذا العنصر خارج الإقليم يقرّب القانون من حيث المفهوم من نطاق تطبيق GDPR، وإن كانت آلية التنفيذ في قطر مختلفة.
تعريف البيانات الشخصية
تعني البيانات الشخصية بموجب PDPPL أي معلومات تتعلق بشخص طبيعي محدد الهوية أو قابل للتحديد، سواء كان هذا التحديد مباشراً أو غير مباشر. ويشمل التعريف الأسماء وأرقام الهوية وبيانات الموقع والمعرّفات الإلكترونية، فضلاً عن السمات المتعلقة بالهوية الجسدية أو الفسيولوجية أو الجينية أو الذهنية أو الاقتصادية أو الثقافية أو الاجتماعية للشخص.
ويصنّف القانون بشكل منفصل فئة فرعية تسمى «البيانات الشخصية ذات الطبيعة الخاصة»، والتي تحظى بحماية معززة. وتشمل هذه الفئة البيانات المتعلقة بالأصل العرقي أو الإثني، والحالة الصحية، والبيانات الجينية والبيومترية، والسجلات الجنائية، والمعتقدات الدينية، والآراء السياسية، والعضوية النقابية، والبيانات المتعلقة بالأطفال. ولا يُسمح بمعالجة البيانات ذات الطبيعة الخاصة إلا بموافقة صريحة من صاحب البيانات أو بإذن مسبق من الإدارة المختصة (NCGAA/CDP).

الأسس القانونية للمعالجة
تُعد الموافقة الأساس القانوني الرئيسي والافتراضي للمعالجة بموجب PDPPL. وقبل بدء المعالجة، يجب على المتحكم إبلاغ صاحب البيانات بهوية المتحكم، والغرض من المعالجة، وفئات البيانات المراد جمعها، وحقوق صاحب البيانات بموجب القانون. ويجب أن تكون الموافقة حرة ومحددة ومستنيرة.
ويقر القانون بمجموعة محدودة من الحالات التي يمكن فيها المضي في المعالجة دون موافقة مسبقة:
- تنفيذ عقد يكون صاحب البيانات طرفاً فيه، أو اتخاذ خطوات بناءً على طلب صاحب البيانات قبل إبرام عقد.
- الامتثال لالتزام قانوني ملزم للمتحكم.
- حماية المصالح الحيوية لصاحب البيانات حيث يتعذر الحصول على موافقته.
- المصالح المشروعة للمتحكم، شريطة ألا تطغى عليها الحقوق والحريات الأساسية لصاحب البيانات.
- البحث العلمي الذي يُجرى تحقيقاً للمصلحة العامة، وفقاً للشروط المعمول بها.
- الأمن الوطني، أو العلاقات الدولية، أو المصالح الاقتصادية أو المالية للدولة، أو منع الجرائم الجنائية أو التحقيق فيها (الإعفاءات الحكومية بموجب Article 18).
وخلافاً لـ GDPR، يعامل PDPPL الموافقة باعتبارها الآلية الرئيسية، ويضع الأسس الأخرى في مرتبة استثناءات أضيق نطاقاً بدلاً من كونها بدائل متكافئة. وينبغي للممارسين الذين يقدمون المشورة بشأن الامتثال لـ PDPPL ألا يفترضوا أن اختبارات موازنة المصالح المشروعة على طريقة GDPR تعمل بالطريقة ذاتها في قطر.
تقليل البيانات والاحتفاظ بها
يُلزم PDPPL المتحكمين بعدم جمع سوى البيانات الشخصية اللازمة للغرض المحدد من المعالجة. ولا يجوز الاحتفاظ بالبيانات لمدة تتجاوز الفترة اللازمة لتحقيق الغرض الذي جُمعت من أجله. ويجب على المتحكمين وضع جداول زمنية داخلية للاحتفاظ بالبيانات، وحذفها أو إخفاء هويتها فور انتهاء فترة الاحتفاظ.
كما يجب على المتحكمين ضمان دقة البيانات. وحيثما تبيّن أن البيانات الشخصية غير دقيقة أو غير مكتملة، يجب على المتحكم اتخاذ خطوات لتصحيحها أو تحديثها دون تأخير لا مبرر له.
حقوق أصحاب البيانات
يمنح PDPPL الأفراد مجموعة من الحقوق فيما يتعلق ببياناتهم الشخصية:
الحق في العلم. قبل جمع البيانات أو عند جمعها، يجب أن يحصل الأفراد على معلومات واضحة حول الجهة التي تجمع بياناتهم، وسبب ذلك، والحقوق التي يتمتعون بها.
الحق في الوصول. يجوز للأفراد طلب التأكد مما إذا كانت بياناتهم قيد المعالجة والحصول على نسخة من تلك البيانات.
الحق في التصحيح. يجوز للأفراد طلب تصحيح البيانات غير الدقيقة أو غير المكتملة.
الحق في الاعتراض. يجوز للأفراد الاعتراض على معالجة بياناتهم الشخصية، بما في ذلك المعالجة القائمة على المصالح المشروعة، أو التسويق المباشر، أو التنميط.
الحق في طلب وقف المعالجة. يجوز للأفراد طلب وقف المعالجة، خصوصاً عندما لم تعد البيانات ضرورية للغرض الأصلي.
الحق في المحو. يجوز للأفراد طلب حذف بياناتهم عندما لم تعد مطلوبة، أو عند سحب الموافقة، أو عندما يتبين أن المعالجة غير مشروعة.
ويجب على المتحكمين إنشاء آليات ميسّرة تمكّن أصحاب البيانات من ممارسة هذه الحقوق، والرد ضمن مهلة زمنية معقولة. وتشير إرشادات NCGAA إلى ضرورة تقديم الردود بسرعة؛ ورغم أن PDPPL لا يحدد عدداً ثابتاً من الأيام، فإن الإرشادات توفر معايير تشغيلية يُتوقع من الجهات الخاضعة للرقابة الالتزام بها.
NCSA وإدارة الامتثال وحماية البيانات
الهيكل الإشرافي
تُعد الوكالة الوطنية للأمن السيبراني (NCSA) الجهة العليا المسؤولة عن حوكمة الأمن السيبراني وحماية البيانات في قطر. وتضم NCSA ضمن هيكلها إدارة الشؤون الحكومية للأمن السيبراني والضمان (NCGAA)، التي تحتضن إدارة الامتثال وحماية البيانات (CDP)، والتي تعمل بوصفها سلطة الإشراف والإنفاذ على PDPPL.
وتشمل مسؤوليات CDP مراقبة الامتثال لـ PDPPL، وتلقي شكاوى أصحاب البيانات والتحقيق فيها، وإجراء عمليات تدقيق للجهات الخاضعة للرقابة، وإصدار الإرشادات والقرارات الملزمة، وفرض العقوبات المالية. كما تُعد CDP الجهة التي يجب على المتحكمين توجيه إخطارات الخروقات وطلبات الموافقة على النقل عبر الحدود إليها.
وداخلياً، يُشار أحياناً إلى وحدة الإنفاذ باسم مكتب خصوصية البيانات الوطني (NDPO) في مراسلات الإنفاذ، رغم أنها تعمل كجزء من هيكل CDP ضمن NCGAA/NCSA.
استراتيجية NCSA للأمن السيبراني 2024-2030
في سبتمبر 2024، أطلقت NCSA استراتيجية قطر الوطنية للأمن السيبراني 2024-2030. وتقوم الاستراتيجية على خمس ركائز: سلامة ومرونة المنظومة السيبرانية؛ والتشريعات اللازمة لفضاء سيبراني آمن؛ واقتصاد رقمي قائم على البيانات؛ والبحث والتطوير والابتكار في مجال الأمن السيبراني؛ وتنمية الكوادر البشرية والتعاون الدولي.
وتضع الاستراتيجية أهدافاً طموحة، من بينها خلق 26,000 وظيفة في قطاع تقنية المعلومات والاتصالات، وتوليد ناتج اقتصادي إضافي قدره 40 مليار ريال قطري بحلول عام 2030. كما تلتزم الاستراتيجية بمواصلة تطوير الإطار التشريعي الذي يحكم حماية البيانات، مما يشير إلى احتمال صدور تحديثات على PDPPL أو لوائح تكميلية في الأجل المتوسط.
وقد حققت قطر تصنيف الفئة الأولى «نموذج يحتذى به» في مؤشر الأمن السيبراني العالمي 2024 الصادر عن الاتحاد الدولي للاتصالات، وهو تصنيف يعكس نضج الإطار المؤسسي والتنظيمي للدولة.
نشاط الإنفاذ من 2024 إلى 2026
أصبحت CDP/NDPO أكثر نشاطاً بشكل ملحوظ في مجال الإنفاذ منذ عام 2024. وفيما يلي الإجراءات الموثقة علناً:
ديسمبر 2024: أصدر NDPO قراراً بشأن الامتثال ضد شركة تعمل في قطاع تقنية المعلومات والاتصالات. وخلص تحقيق، أُطلق إثر شكوى رسمية قُدمت في عام 2023، إلى أن الشركة عالجت بيانات شخصية دون موافقة صحيحة، وأخفقت في تطبيق ضمانات إدارية وتقنية مناسبة، وسمحت بوجود مشكلات في دقة البيانات، وأخفقت في الإشراف بشكل كافٍ على معالجي البيانات من الأطراف الثالثة. وألزم القرار الشركة بتعزيز وضعها العام في الامتثال.
مارس 2025: تلقت شركة تجارة إلكترونية أمراً بتعزيز الامتثال إثر تحقيق أجراه NDPO في حادثة خرق بيانات. وخلص NDPO إلى وجود مخالفات تتعلق بالموافقة، والضمانات المناسبة، ودقة البيانات، والإشراف على المعالجين.
أبريل 2025: طُلب من شركة مقاولات محلية تعزيز ضوابط حماية البيانات بعد أن خلص NDPO إلى أنها خالفت أحكاماً متعددة من PDPPL.
وتؤكد إجراءات الإنفاذ الثلاثة هذه، التي شملت قطاعات تقنية المعلومات والاتصالات والتجارة الإلكترونية والمقاولات، أن CDP تطبق PDPPL عبر قطاعات متنوعة ولا تقصر الإنفاذ على شركات التقنية. وينبغي للمؤسسات في جميع القطاعات التي تتعامل مع البيانات الشخصية أن تتعامل مع الامتثال باعتباره مخاطرة تشغيلية حقيقية.
الإرشادات التنظيمية
أصدرت NCGAA إرشادات لاستكمال PDPPL. وتشمل أبرز هذه الإرشادات:
- إرشادات الإخطار بالخروقات. صدرت تحت المرجع PDPPL-02050217E، وتحدد مهلة الإخطار البالغة 72 ساعة، والمحتوى المطلوب في إخطارات الخروقات، وتعريف «الضرر الجسيم» الذي يستوجب الالتزام بالإخطار.
- متطلبات الأمان. إرشادات بشأن التدابير الإدارية والتقنية والمالية التي يجب على المتحكمين والمعالجين تطبيقها، بما يتناسب مع حساسية البيانات وحجم المعالجة.
- تقييمات أثر حماية البيانات. إرشادات بشأن الحالات التي تستوجب إجراء تقييمات أثر حماية البيانات (DPIA) وكيفية إجرائها.
- إرشادات استخدام الذكاء الاصطناعي. في عام 2024، نشرت NCSA إرشادات بشأن التبني والاستخدام الآمن للذكاء الاصطناعي، تتناول مخاطر حماية البيانات الكامنة في عمليات نشر أنظمة الذكاء الاصطناعي.
البيانات الشخصية ذات الطبيعة الخاصة
الفئات والحماية المعززة
يخص PDPPL البيانات الشخصية ذات الطبيعة الخاصة بمعاملة أكثر صرامة. وتشمل هذه الفئة: البيانات المتعلقة بالأطفال، والبيانات المتعلقة بالأنشطة الجنائية أو الإدانات، والبيانات الصحية والطبية، والأصل العرقي أو الإثني، والمعتقدات الدينية، والآراء السياسية، والعضوية النقابية، والبيانات الجينية، والبيانات البيومترية، والبيانات المتعلقة بالعلاقات الزوجية.
وتتطلب معالجة البيانات ذات الطبيعة الخاصة إما موافقة صريحة من صاحب البيانات أو إذناً مسبقاً من CDP. وحيثما تكون البيانات ذات طبيعة خاصة، يجب على المتحكم أيضاً تطبيق ضمانات إضافية، تشمل ضوابط الوصول، والتشفير، وتدريباً معززاً للموظفين.
بيانات الأطفال
تحظى بيانات الأطفال باهتمام خاص ضمن إطار PDPPL. وتتطلب معالجة البيانات الشخصية للأطفال موافقة أحد الوالدين أو الوصي القانوني. ويجب على المتحكمين الذين يشغّلون خدمات موجهة للأطفال أو يجمعون بياناتهم عن علم أن يُدرجوا آليات للتحقق من العمر وموافقة الوالدين ضمن عملياتهم.
أمن البيانات والإخطار بالخروقات
التزامات الأمان
يجب على المتحكمين والمعالجين تطبيق تدابير إدارية وتقنية ومالية تتناسب مع طبيعة وحساسية البيانات الشخصية التي يعالجونها. ويجب أن تحمي هذه التدابير من الوصول غير المصرح به، أو التعديل، أو الإفصاح، أو الفقدان، أو الإتلاف. وتوفر إرشادات NCGAA الأمنية معايير تفصيلية، تشمل متطلبات إدارة الوصول، ومعايير التشفير، والإشراف على معالجي البيانات من الأطراف الثالثة.
ويُطلب من المتحكمين إبرام اتفاقيات مكتوبة مع أي معالجين يستعينون بهم، تحدد نطاق المعالجة، والتدابير الأمنية المطلوبة، والتزام المعالج بإخطار المتحكم فور علمه بأي خرق.
الإخطار بالخروقات: قاعدة الـ72 ساعة
عند وقوع خرق للبيانات الشخصية يمكن أن يتسبب في ضرر جسيم لخصوصية الأفراد أو حقوقهم، يجب على المتحكم إخطار NCGAA خلال 72 ساعة من علمه بالخرق. وتُستمد مهلة الـ72 ساعة هذه من إرشادات NCSA للإخطار بالخروقات (PDPPL-02050217E)، وهي تجعل الممارسة القطرية متسقة مع المعايير العالمية.
ويجب أن يصف الإخطار طبيعة الخرق، وفئات سجلات البيانات المتأثرة وعددها التقريبي، والعواقب المحتملة للخرق، والتدابير المتخذة بالفعل أو المقترحة لمعالجته، وهوية الشخص المسؤول داخل مؤسسة المتحكم وبيانات التواصل معه.
وحيثما يُرجح أن يؤدي الخرق إلى مخاطر عالية على حقوق الأفراد المتضررين، يجب على المتحكم أيضاً إخطار هؤلاء الأفراد مباشرة ودون تأخير لا مبرر له.
وتحدد الإرشادات أن الحالات التالية يُرجح أن تشكل «ضرراً جسيماً» يستوجب الالتزام بالإخطار: الخروقات التي تشمل بيانات ذات طبيعة خاصة، والخروقات التي تؤثر على أعداد كبيرة من الأفراد، والخروقات التي تشمل بيانات اتخاذ القرار الآلي، وخروقات البيانات الشخصية للموظفين، وخروقات البيانات المجمعة عبر أطراف ثالثة.

نقل البيانات عبر الحدود
متطلب الموافقة المسبقة
تقيّد Article 15 من PDPPL نقل البيانات الشخصية إلى خارج قطر. وقبل نقل البيانات الشخصية إلى دولة أجنبية أو منظمة دولية، يجب على المتحكم الحصول على موافقة مسبقة من CDP. وتقيّم CDP ما إذا كانت الجهة أو المنظمة المستقبلة توفر مستوى كافياً من الحماية للبيانات الشخصية.
ولا تنشر قطر قائمة رسمية بالدول ذات الحماية الكافية مماثلة لقرارات الكفاية الصادرة عن المفوضية الأوروبية بموجب GDPR. وبدلاً من ذلك، تنظر CDP في كل طلب نقل على حدة، من خلال دراسة قوانين حماية البيانات وقدرة الإنفاذ في الدولة المستقبلة، وطبيعة وحساسية البيانات المراد نقلها، والغرض من النقل، والضمانات التعاقدية والتقنية التي يقترح المتحكم وضعها.
الشروط المفروضة على عمليات النقل المعتمدة
عندما توافق CDP على نقل عبر الحدود، يجوز لها إرفاق شروط بذلك. وقد تشمل هذه الشروط إلزام المتحكم بإبرام اتفاقيات نقل بيانات تُلزم الجهة المستقبلة بحماية معادلة لتلك المنصوص عليها في PDPPL، وتقييد الأغراض التي يجوز استخدام البيانات المنقولة من أجلها، ومتطلبات تدابير أمنية محددة، وحقوق تدقيق تتيح للمتحكم التحقق من امتثال الجهة المستقبلة.
إعفاءات النقل
يوفر القانون مجموعة ضيقة من الإعفاءات التي قد تسمح بالنقل دون موافقة مسبقة:
- أن يكون النقل ضرورياً لتنفيذ عقد بين صاحب البيانات والمتحكم، أو لاتخاذ خطوات سابقة للتعاقد بناءً على طلب صاحب البيانات.
- أن يكون النقل ضرورياً لحماية المصالح الحيوية لصاحب البيانات حيث يتعذر عليه إبداء موافقته.
- أن يكون النقل مطلوباً بموجب اتفاقية دولية تكون قطر طرفاً فيها.
- أن يوافق صاحب البيانات صراحة على النقل بعد إبلاغه بالمخاطر.
وينبغي للشركات ألا تعتمد بشكل مفرط على هذه الإعفاءات. إذ تتوقع CDP من المتحكمين السعي للحصول على موافقة رسمية على عمليات النقل الروتينية أو واسعة النطاق أو الحساسة عبر الحدود، بدلاً من الاعتماد على إعفاءات الموافقة الضيقة أو إعفاءات تنفيذ العقد.
العقوبات والإنفاذ
العقوبات المالية بموجب PDPPL
تستوجب مخالفات PDPPL عقوبات مالية مدنية. ويحدد القانون نطاق العقوبة بين 1 مليون ريال قطري و5 ملايين ريال قطري، أي ما يعادل تقريباً 275,000 دولار أمريكي إلى 1.375 مليون دولار أمريكي وفق أسعار الصرف الحالية. ومن اللافت أن PDPPL لا يتضمن أي أحكام بالسجن الجنائي. إذ يعامل النهج القطري مخالفات حماية البيانات باعتبارها مخالفات تنظيمية تخضع لعواقب مالية بدلاً من كونها جرائم جنائية.
وتراعي CDP عدة عوامل عند تحديد العقوبة ضمن هذا النطاق: طبيعة المخالفة وجسامتها، وعدد أصحاب البيانات المتضررين، وما إذا كانت المخالفة متعمدة أم ناتجة عن إهمال، والخطوات التي اتخذها المتحكم للتخفيف من الضرر الواقع على أصحاب البيانات، وسجل الامتثال السابق للمتحكم.
الأوامر التصحيحية
بالإضافة إلى العقوبات المالية، يجوز لـ CDP إصدار أوامر تصحيحية تلزم المتحكم باتخاذ خطوات محددة لمعالجة المخالفات. وقد ألزمت الأوامر التصحيحية الملاحظة في الممارسة العملية المتحكمين بتطبيق تدابير أمنية محددة، ومراجعة إجراءات جمع الموافقة، وإنشاء آليات رسمية للإشراف على المعالجين، وتوفير التدريب للموظفين، وتقديم تقارير عن تقدم الامتثال إلى CDP وفق جدول زمني محدد.
العلاقة بالقانون الجنائي
ورغم أن PDPPL نفسه لا يتضمن عقوبات جنائية، فقد يستدعي السلوك المتعلق بالبيانات الشخصية بشكل منفصل تطبيق قانون قطر لمكافحة الجرائم الإلكترونية (Law No. 14 of 2014) أو قوانين جنائية أخرى عندما ينطوي ذلك السلوك على وصول غير مصرح به لأنظمة الحاسوب، أو احتيال، أو عناصر جنائية أخرى. وينبغي للمؤسسات مراعاة كلا النظامين عند تقييم المخاطر القانونية الكاملة لأي حادثة تتعلق بالبيانات.
لوائح مركز قطر للمال لحماية البيانات 2021
نظام منفصل
مركز قطر للمال هو مركز مالي وتجاري تأسس داخل قطر لكنه يعمل بموجب إطاره القانوني والتنظيمي الخاص. وتشكل لوائح QFC لحماية البيانات 2021 (QFC DPR 2021) نظاماً قائماً بذاته لحماية البيانات للكيانات المؤسسة أو المسجلة في QFC، لتحل محل لوائح QFC لحماية البيانات لعام 2005 السابقة.
ودخلت QFC DPR 2021 حيز التنفيذ في 19 يونيو 2022. وهي مستوحاة من GDPR وتمثل إطاراً أكثر تفصيلاً بشكل ملحوظ من PDPPL. وينبغي للمؤسسات العاملة ضمن QFC ضمان الامتثال لـ QFC DPR 2021 باعتباره التزامها الأساسي في مجال حماية البيانات، مع الانتباه أيضاً لأي تداخل مع PDPPL فيما يخص العمليات خارج نطاق QFC.
مكتب حماية البيانات التابع لـ QFC
مكتب حماية البيانات (DPO) التابع لـ QFC هو مؤسسة مستقلة ضمن QFC. ويتولى إدارة QFC DPR 2021 وجميع مسائل حماية البيانات داخل QFC. ويقدم DPO المشورة والإرشاد للكيانات المسجلة في QFC، ويفصل في شكاوى أصحاب البيانات، ويحقق في المخالفات المزعومة، ويجري عمليات تدقيق، ويصدر قرارات الإنفاذ.
ويتمتع DPO بصلاحيات الوصول إلى أنظمة وسجلات معالجة البيانات الخاصة بالمتحكمين والمعالجين، وإصدار الإنذارات، وفرض قيود مؤقتة أو دائمة على المعالجة، وإلزام الجهات بمعالجة أوجه القصور في الامتثال.
نطاق تطبيق QFC DPR 2021
تنطبق QFC DPR 2021 على معالجة البيانات الشخصية من قبل أي متحكم أو معالج بيانات مؤسس أو مسجل في QFC. كما تنطبق على المتحكمين والمعالجين خارج QFC الذين يعالجون بيانات شخصية عبر متحكم أو معالج مسجل في QFC.
السمات الرئيسية لـ QFC DPR 2021
الأسس القانونية. تقر QFC DPR 2021 بعدة أسس قانونية للمعالجة، تشمل الموافقة، والضرورة التعاقدية، والالتزام القانوني، والمصالح الحيوية، والمهمة العامة، والمصالح المشروعة. ويجب أن تكون الموافقة حرة ومحددة ومستنيرة وغير لبسية. ويجوز لأصحاب البيانات سحب موافقتهم في أي وقت وبالسهولة ذاتها التي منحوها بها.
حقوق معززة لأصحاب البيانات. بالإضافة إلى حقوق تماثل إلى حد كبير تلك الواردة في PDPPL، تستحدث QFC DPR 2021 الحق في نقل البيانات، الذي يمكّن أصحاب البيانات من الحصول على بياناتهم الشخصية بصيغة منظمة وشائعة الاستخدام وقابلة للقراءة آلياً. كما تمنح الحق في عدم الخضوع لقرار يُتخذ حصراً بناءً على معالجة آلية تنتج آثاراً قانونية أو آثاراً مماثلة في الأهمية.
المهل الزمنية للرد. يجب على المتحكمين الرد على طلبات ممارسة الحقوق المقدمة من أصحاب البيانات خلال 30 يوماً، قابلة للتمديد لمدة 60 يوماً إضافية في حال الطلبات المعقدة أو الكثيرة.
تعيين مسؤول حماية البيانات. يجب على المؤسسات التي تشمل أنشطتها الأساسية مراقبة منهجية واسعة النطاق لأصحاب البيانات، أو معالجة واسعة النطاق لفئات خاصة من البيانات، تعيين مسؤول حماية بيانات (DPO).
الإخطار بالخروقات. يجب على المتحكمين إخطار DPO التابع لـ QFC بخروقات البيانات الشخصية دون تأخير لا مبرر له، وفي غضون 72 ساعة من العلم بها متى أمكن ذلك.
سجلات المعالجة. يجب على المتحكمين والمعالجين الاحتفاظ بسجلات تفصيلية لأنشطة المعالجة تغطي فئات البيانات، والأغراض، والأسس القانونية، وفترات الاحتفاظ، وترتيبات النقل عبر الحدود.
عقوبات QFC DPR 2021
تبلغ العقوبة القصوى بموجب QFC DPR 2021 مبلغ 1.5 مليون دولار أمريكي عن كل مخالفة. ويمثل هذا سقفاً أعلى بشكل ملحوظ مما يعادله بموجب PDPPL البالغ 5 ملايين ريال قطري، ويتمتع DPO التابع لـ QFC بصلاحيات إنفاذ تتناسب مع ذلك. وينبغي للمؤسسات المسجلة في QFC أن تدرج المتطلبات الأكثر صرامة الواردة في QFC DPR 2021 ضمن برامج الامتثال الخاصة بها.
التطورات الأخيرة (2024 إلى 2026)
إنجاز قطر في مؤشر الأمن السيبراني العالمي
في عام 2024، حصلت قطر على تصنيف الفئة الأولى «نموذج يحتذى به» في مؤشر الأمن السيبراني العالمي الصادر عن الاتحاد الدولي للاتصالات (ITU)، بما يعكس قوة إطارها القانوني وقدرتها المؤسسية وسجل إنفاذها. ويؤكد هذا الاعتراف التزام الحكومة بحماية البيانات والامتثال في مجال الأمن السيبراني.
الاستراتيجية الوطنية للأمن السيبراني 2024-2030
تحدد الاستراتيجية الوطنية للأمن السيبراني 2024-2030 التي أطلقتها NCSA في سبتمبر 2024 بشكل صريح تطوير وإنفاذ تشريعات حماية البيانات باعتبارها ركيزة استراتيجية. وتشير الاستراتيجية إلى نية قطر مواصلة البناء على إطار PDPPL، ربما من خلال تعديلات أو لوائح تكميلية في السنوات القادمة. وقد بدأت دول مجاورة في مجلس التعاون الخليجي بتعديل قوانينها لحماية البيانات؛ ومن المتوقع أن تحذو قطر حذوها.
إرشادات الذكاء الاصطناعي والتزامات حماية البيانات
نشرت NCSA في عام 2024 إرشادات بشأن التبني والاستخدام الآمن للذكاء الاصطناعي. وتتناول هذه الإرشادات مخاطر حماية البيانات الخاصة بعمليات نشر الذكاء الاصطناعي، بما في ذلك متطلبات الشفافية للمعالجة الآلية، والتزامات إجراء تقييمات أثر حماية البيانات قبل نشر أنظمة الذكاء الاصطناعي التي تعالج بيانات شخصية، ومتطلبات تطبيق ضوابط لمواجهة التحيز والاستدلال غير المصرح به من البيانات الشخصية.
مسار الإنفاذ
شملت ثلاثة إجراءات إنفاذ منفصلة بين ديسمبر 2024 وأبريل 2025 قطاعات تقنية المعلومات والاتصالات والتجارة الإلكترونية والمقاولات. ويشير هذا الاتساع إلى أن CDP تجري إنفاذاً قائماً على الشكاوى وإنفاذاً استباقياً في آن واحد عبر مختلف قطاعات الاقتصاد. ويعني نطاق العقوبة الممتد من 1 مليون ريال قطري إلى 5 ملايين ريال قطري أن إجراء إنفاذ واحداً يحمل عواقب مالية جوهرية لأي شركة تعمل في قطر.
الامتثال للشركات: خطوات عملية
ينبغي للمؤسسات العاملة في قطر أو التي تعالج بيانات عن المقيمين في قطر أن تبني برامج امتثالها لـ PDPPL حول الخطوات التشغيلية التالية.
حدد خريطة بياناتك. حدد جميع البيانات الشخصية التي تجمعها مؤسستك، والأغراض التي تُعالج من أجلها، والأساس القانوني المعتمد لكل نشاط معالجة، والأطراف الثالثة التي يُفصح لها عنها، والمكان الذي تُخزن وتُنقل فيه. وتُعد خريطة البيانات هذه أساس كل أعمال الامتثال الأخرى.
راجع آليات الموافقة وحدّثها. يجب أن تكون الموافقة بموجب PDPPL حرة ومحددة ومستنيرة. ولن تفي المربعات المعلّمة مسبقاً، أو الموافقة المجمّعة، أو أوصاف الغرض الغامضة بهذا المعيار. وينبغي للمتحكمين الذين يعتمدون على الموافقة تدقيق جميع نقاط جمع الموافقة وتحديثها حسب الحاجة.
ضع إجراءات لحقوق أصحاب البيانات. أنشئ عمليات داخلية واضحة لتلقي طلبات أصحاب البيانات المتعلقة بالوصول والتصحيح والاعتراض ووقف المعالجة والمحو، وتوجيهها والرد عليها. ويحتاج الموظفون المسؤولون عن معالجة هذه الطلبات إلى فهم القانون وخريطة بيانات المؤسسة كي يتمكنوا من الرد بدقة وفي الوقت المحدد.
دقق عمليات النقل عبر الحدود. أعدّ قائمة بجميع الجهات التي تُنقل إليها البيانات الشخصية، سواء بشكل مباشر أو عبر معالجين من أطراف ثالثة أو مزودي خدمات سحابية. وحدد عمليات النقل التي تفتقر حالياً إلى موافقة CDP، وأعطِ الأولوية للحصول على الموافقات أو إعادة هيكلة تلك العمليات.
اعتمد عقوداً مع المعالجين. يجب أن يعمل كل معالج من طرف ثالث بموجب اتفاقية مكتوبة تحدد نطاق المعالجة، والتدابير الأمنية المطلوبة، والتزام إخطار المتحكم فوراً عند وقوع خرق.
أعدّ خطة للاستجابة للخروقات. لا تترك مهلة الإخطار البالغة 72 ساعة وقتاً يُذكر للارتجال. وينبغي للمؤسسات وضع إجراءات للاستجابة للحوادث، تشمل مسارات تصعيد واضحة، ونموذجاً جاهزاً للإخطار بالخروقات، ومسؤوليات محددة لاتخاذ قرار بشأن ما إذا كان الخرق يستوجب الالتزام بالإخطار.
أجرِ تدقيقاً للبيانات ذات الطبيعة الخاصة. إذا كانت مؤسستك تعالج بيانات صحية، أو بيانات أطفال، أو بيانات بيومترية، أو أي فئات أخرى ذات طبيعة خاصة، فتأكد من وجود موافقة صريحة أو إذن من CDP، ومن تطبيق ضوابط أمنية إضافية.
فكر في إجراء تقييم أثر لحماية البيانات. بالنسبة لأنشطة المعالجة التي تحمل مخاطر عالية، بما في ذلك المعالجة واسعة النطاق للبيانات ذات الطبيعة الخاصة، والمراقبة المنهجية، واتخاذ القرارات المعتمدة على الذكاء الاصطناعي، يُتوقع إجراء تقييم أثر لحماية البيانات (DPIA) بموجب إرشادات NCGAA. وإجراء تقييمات الأثر بشكل استباقي يُظهر حسن النية تجاه الجهة الرقابية.
راجع التزامات QFC إن انطبقت. إذا كانت مؤسستك مؤسسة أو مسجلة في QFC، فتأكد من أن برنامج الامتثال لديك يستوفي المعايير الأعلى الواردة في QFC DPR 2021، بما في ذلك الحق في نقل البيانات، والمهلة الزمنية للرد البالغة 30 يوماً، والتعرض لعقوبة تصل إلى 1.5 مليون دولار أمريكي.
لمزيد من المعلومات حول قوانين قطر بشأن الموافقة على التسجيل، راجع قوانين التسجيل في قطر.
هذا المقال لأغراض إعلامية فقط ولا يشكل استشارة قانونية. وتخضع قوانين حماية البيانات للتغيير. وينبغي للمؤسسات استشارة محامٍ مؤهل للحصول على مشورة تخص وضعها الخاص.
Frequently Asked Questions
ما هو القانون الرئيسي لحماية البيانات في قطر؟
القانون رقم 13 لسنة 2016 بشأن حماية خصوصية البيانات الشخصية (PDPPL) هو القانون الوطني الشامل لحماية البيانات في قطر. ودخل حيز التنفيذ في فبراير 2017، وكان أول قانون شامل وواجب التطبيق عموماً لحماية البيانات تعتمده دولة عضو في مجلس التعاون الخليجي. ويغطي معالجة البيانات الشخصية من قبل جهات القطاعين العام والخاص داخل قطر، ويمتد ليشمل الجهات الأجنبية التي تستهدف المقيمين في قطر.
من الجهة المسؤولة عن إنفاذ قانون حماية البيانات في قطر؟
إدارة الامتثال وحماية البيانات (CDP) ضمن إدارة الشؤون الحكومية للأمن السيبراني والضمان (NCGAA) التابعة للوكالة الوطنية للأمن السيبراني (NCSA) هي سلطة الإشراف على PDPPL. وتراقب CDP الامتثال، وتتلقى الشكاوى وتحقق فيها، وتجري عمليات تدقيق، وتصدر الإرشادات، وتفرض العقوبات المالية. وقد أصدرت قرارات إنفاذ ملزمة ضد شركات في قطاعات تقنية المعلومات والاتصالات والتجارة الإلكترونية والمقاولات بين ديسمبر 2024 وأبريل 2025.
ما هي عقوبات مخالفة PDPPL في قطر؟
تتراوح العقوبات المالية بين 1 مليون ريال قطري و5 ملايين ريال قطري (ما يعادل تقريباً 275,000 دولار أمريكي إلى 1.375 مليون دولار أمريكي). وإطار العقوبات في قطر مدني بحت: إذ لا يتضمن PDPPL أي أحكام بالسجن. ويجوز لـ CDP أيضاً إصدار أوامر تصحيحية تلزم باتخاذ خطوات علاجية محددة. وبشكل منفصل، يفرض نظام مركز قطر للمال عقوبات تصل إلى 1.5 مليون دولار أمريكي عن كل مخالفة.
ما هو متطلب الإخطار بخرق البيانات في قطر؟
بموجب إرشادات NCSA للإخطار بالخروقات (PDPPL-02050217E)، يجب على المتحكمين إخطار NCGAA خلال 72 ساعة من علمهم بوقوع خرق للبيانات الشخصية قد يتسبب في ضرر جسيم للأفراد. وحيثما يشكل الخرق مخاطر عالية على حقوق الأفراد المتضررين، يجب على المتحكم أيضاً إخطار هؤلاء الأفراد مباشرة. وتشمل الحالات التي يُرجح أن تشكل ضرراً جسيماً خروقات البيانات ذات الطبيعة الخاصة، والخروقات واسعة النطاق، والخروقات التي تشمل بيانات اتخاذ القرار الآلي.
هل يمكن نقل البيانات الشخصية إلى خارج قطر؟
يتطلب النقل عبر الحدود موافقة مسبقة من CDP (NCGAA/NCSA). ولا تحتفظ قطر بقائمة رسمية بالدول ذات الحماية الكافية؛ إذ يُقيَّم كل نقل على حدة. ويجوز لـ CDP إرفاق شروط بعمليات النقل المعتمدة، مثل اشتراط إبرام اتفاقيات نقل البيانات. وتوجد إعفاءات محدودة لعمليات النقل الضرورية لتنفيذ عقد مع صاحب البيانات، أو لحماية المصالح الحيوية، أو بموجب اتفاقيات دولية، أو بموافقة مستنيرة من صاحب البيانات.
ما هو نظام حماية البيانات الخاص بمركز قطر للمال؟
تشكل لوائح QFC لحماية البيانات 2021 (QFC DPR 2021) نظاماً منفصلاً لحماية البيانات متوافقاً مع GDPR للكيانات المؤسسة أو المسجلة في مركز قطر للمال. ودخلت حيز التنفيذ في 19 يونيو 2022، ويديرها مكتب حماية البيانات المستقل التابع لـ QFC. وتشمل أبرز سماتها تعدد الأسس القانونية، والحق في نقل البيانات، ووجوب تعيين مسؤول حماية بيانات (DPO) لبعض المؤسسات، ومهلة رد مدتها 30 يوماً لطلبات أصحاب البيانات، وعقوبات تصل إلى 1.5 مليون دولار أمريكي عن كل مخالفة.
ما هي البيانات الشخصية ذات الطبيعة الخاصة بموجب القانون القطري؟
يحدد PDPPL فئة ذات حماية معززة تسمى البيانات الشخصية ذات الطبيعة الخاصة، وتشمل البيانات المتعلقة بالأطفال، والأنشطة الجنائية، والحالة الصحية، والأصل العرقي أو الإثني، والمعتقدات الدينية، والآراء السياسية، والعضوية النقابية، والبيانات الجينية، والبيانات البيومترية، والعلاقات الزوجية. وتتطلب معالجة هذه الفئة إما موافقة صريحة من صاحب البيانات أو إذناً مسبقاً من CDP، إلى جانب ضمانات أمنية إضافية.
هل تشترط قطر تعيين مسؤول حماية بيانات؟
لا يشترط PDPPL صراحة تعيين مسؤول حماية بيانات (DPO)، رغم أنه يُنصح بأن تعيّن المؤسسات التي تواجه مخاطر كبيرة في حماية البيانات مسؤولاً من هذا النوع أو منسق حماية بيانات. وبموجب QFC DPR 2021، يُشترط تعيين DPO للمؤسسات التي تشمل أنشطتها الأساسية مراقبة منهجية واسعة النطاق لأصحاب البيانات أو معالجة واسعة النطاق لفئات خاصة من البيانات.
Updates
تحديث شامل بالمراجعة والتطوير: توسيع المقال ليشمل استراتيجية NCSA للأمن السيبراني 2024-2030، وإجراء الإنفاذ الصادر في أبريل 2025 ضد شركة مقاولات، وتفاصيل النظام الموازي بموجب لوائح QFC لحماية البيانات 2021، وقاعدة الإخطار بخرق البيانات خلال 72 ساعة، وفئات البيانات ذات الطبيعة الخاصة، والتزامات تقليل البيانات والاحتفاظ بها، وقائمة تحقق الامتثال للشركات.
النشر الأولي. تناول الأحكام الأساسية لقانون PDPPL رقم 13/2016، ونشاط إنفاذ NDPO، وقواعد النقل عبر الحدود، وملخص إطار عمل QFC.
Sources and References
- القانون رقم 13 لسنة 2016 بشأن حماية خصوصية البيانات الشخصية (PDPPL) - بوابة الميزان القانونية القطرية(almeezan.qa).gov
- الوكالة الوطنية للأمن السيبراني (NCSA) - الموقع الرسمي(ncsa.gov.qa).gov
- إدارة الشؤون الحكومية للأمن السيبراني والضمان (NCGAA) - NCSA(assurance.ncsa.gov.qa).gov
- NCSA - إرشادات الإخطار بخروقات البيانات الشخصية للجهات الخاضعة للرقابة(ncsa.gov.qa).gov
- مكتب حماية البيانات التابع لـ QFC - مركز قطر للمال(qfc.qa).gov
- لوائح QFC لحماية البيانات 2021 - النص الكامل(qfc.qa).gov
- لوائح QFC لحماية البيانات 2021 - صحيفة وقائع(qfc.qa).gov
- إطلاق استراتيجية قطر الوطنية للأمن السيبراني 2024-2030 - مكتب الاتصال الحكومي(gco.gov.qa).gov
- تحديث إنفاذ حماية البيانات في قطر 2024-2025 - بيكر ماكنزي(connectontech.bakermckenzie.com)
- لمحة عامة عن قانون حماية البيانات في قطر - PwC الشرق الأوسط(pwc.com)
- QFC يحدّث قانون حماية البيانات الخاص به - كلايد آند كو(clydeco.com)
- دليل قانون حماية البيانات في قطر للشركات العالمية - InCountry(incountry.com)