قوانين خصوصية البيانات في الإمارات: دليل PDPL الاتحادي وDIFC وADGM (2026)

تحكم دولة الإمارات العربية المتحدة البيانات الشخصية من خلال ثلاثة أطر قانونية متمايزة: Federal Decree-Law No. 45 of 2021 (المعروف بـ PDPL) للكيانات العاملة في البر الرئيسي، وقانون حماية البيانات DIFC Data Protection Law No. 5 of 2020 للمؤسسات المسجلة لدى مركز دبي المالي العالمي (DIFC)، وADGM Data Protection Regulations 2021 للكيانات المسجلة لدى سوق أبوظبي العالمي (ADGM). ويتوقف القانون المنطبق على مكان تسجيل كيانك.
أنشأت دولة الإمارات العربية المتحدة واحدا من أكثر أطر حماية البيانات تعقيدا وتعدد طبقات في الشرق الأوسط. وخلافا للولايات القضائية التي تعتمد على قانون واحد، تُطبّق الإمارات ثلاثة أنظمة قانونية متمايزة تسري على فئات مختلفة من المؤسسات، إلى جانب قانونين اتحاديين رئيسيين يعالجان قطاعين متخصصين. ويُعد الخطأ في تحديد النظام القانوني المنطبق أكثر أخطاء الامتثال شيوعا لدى المؤسسات الداخلة إلى السوق الإماراتية.
يتناول هذا الدليل الأنظمة الثلاثة لحماية البيانات بالتفصيل، والقوانين القطاعية المرافقة لها، والتطورات التي شهدتها الفترة 2024-2026 والتي غيّرت بشكل جوهري التزامات الامتثال، إضافة إلى جداول مقارنة تساعد المؤسسات على تحديد الإطار القانوني المنطبق على عملياتها بسرعة.
تم التحقق من هذه المعلومات آخر مرة بتاريخ 2026-05-19. يقدم هذا المقال معلومات قانونية عامة حول قانون حماية البيانات في دولة الإمارات العربية المتحدة، ولا يشكل استشارة قانونية. تعكس النصوص القانونية المذكورة صيغتها النافذة حتى May 19, 2026.
نطاق الولاية القضائية: يتناول هذا المقال (1) القانون الاتحادي لحماية البيانات الشخصية في الإمارات، Federal Decree-Law No. 45 of 2021؛ (2) DIFC Data Protection Law No. 5 of 2020 وتعديلاته لعام 2025؛ (3) ADGM Data Protection Regulations 2021 وSubstantial Public Interest Conditions Rules لعام 2025؛ (4) Federal Law No. 2 of 2019 بشأن تقنية المعلومات والاتصالات في قطاع الرعاية الصحية؛ (5) Federal Decree-Law No. 26 of 2025 بشأن السلامة الرقمية للأطفال. ولا يتناول هذا المقال قانون حماية البيانات في دول مجلس التعاون الخليجي الأخرى أو في المناطق الحرة الإماراتية غير DIFC وADGM.
للاطلاع على كيفية تفاعل قواعد الموافقة على التسجيل في الإمارات مع البيانات الشخصية، راجع مقال قوانين التسجيل في الإمارات.
إجابة سريعة: تطبّق الإمارات ثلاثة أنظمة متمايزة لحماية البيانات
يتكون هيكل حماية البيانات في الإمارات من ثلاث طبقات قانونية منفصلة، وتحديد الطبقة الصحيحة هو أول خطوة أساسية للامتثال قبل أي إجراء آخر.
يحكم PDPL الاتحادي (Federal Decree-Law No. 45 of 2021) الكيانات العاملة في البر الرئيسي للإمارات، ويمتد نطاقه خارج الإقليم ليشمل المؤسسات الأجنبية التي تعالج البيانات الشخصية للمقيمين في الإمارات. ويتولى إدارته مكتب بيانات الإمارات (UAE Data Office)، الذي أُنشئ بموجب Federal Decree-Law No. 44 of 2021. ودخل PDPL حيز النفاذ في January 2, 2022. ولم تُنشر بعد لوائحه التنفيذية الرسمية، التي ستوفر قواعد إجرائية تفصيلية، حتى منتصف عام 2026. ويعمل مكتب بيانات الإمارات فعليا ويصدر إرشادات تنظيمية، والقانون الأصلي نافذ وقابل للتطبيق الآن.
يحكم DIFC Data Protection Law No. 5 of 2020 الكيانات المؤسسة أو المسجلة في مركز دبي المالي العالمي (DIFC)، وهو إحدى أبرز المناطق الحرة المالية في الإمارات. ويحتفظ DIFC بنظامه القانوني المستقل، ومحاكمه الخاصة، وجهته التنظيمية الخاصة، وهي مفوض حماية البيانات. ويتسق قانون DIFC بشكل وثيق مع اللائحة العامة الأوروبية لحماية البيانات (GDPR)، وقد خضع لتعديل جوهري في July 2025. كما يتضمن إطارا مخصصا لتنظيم الذكاء الاصطناعي بموجب Regulation 10 الصادرة في September 2023.
تحكم ADGM Data Protection Regulations 2021 الكيانات العاملة في سوق أبوظبي العالمي (ADGM)، المنطقة الحرة المالية الدولية في أبوظبي. ويحتفظ ADGM بمكتب حماية البيانات الخاص به برئاسة مفوض حماية البيانات. ويتسق إطار ADGM كذلك مع اللائحة العامة الأوروبية لحماية البيانات (GDPR)، وقد جرى تحديثه في September 2025 بقواعد جديدة تتعلق بالمصلحة العامة الجوهرية بالنسبة للبيانات ذات الفئة الخاصة.
لا تتداخل هذه الأنظمة الثلاثة بالنسبة للكيان الواحد: فالبر الرئيسي يخضع لـ PDPL الاتحادي، وDIFC يخضع لقانون DIFC، وADGM يخضع للوائح ADGM. أما المجموعات التي تضم كيانات متعددة تعمل عبر أكثر من منطقة، فقد تحتاج إلى الامتثال لأكثر من إطار قانوني واحد في آن واحد.
PDPL الاتحادي: Decree-Law No. 45 of 2021

النطاق والتعريفات الأساسية
يُعد Federal Decree-Law No. 45 of 2021 أول قانون وطني شامل لحماية البيانات في الإمارات. ودخل حيز النفاذ في January 2, 2022، عقب نشره في الجريدة الرسمية في September 27, 2021. ويسري هذا القانون على معالجة البيانات الشخصية بوسائل آلية أو شبه آلية، وكذلك على المعالجة غير الآلية التي تشكل جزءا من نظام حفظ ملفات.
تعني البيانات الشخصية أي معلومة تتعلق بشخص طبيعي محدد الهوية أو قابل للتحديد، بما في ذلك الأسماء، وأرقام الهوية، وبيانات الموقع الجغرافي، والمعرفات الرقمية، وأي عامل يخص الهوية الجسدية أو النفسية أو الاقتصادية أو الثقافية أو الاجتماعية للشخص.
وتشمل البيانات الشخصية الحساسة المعلومات التي تكشف عن الخلفية العائلية، والانتماء العرقي، والآراء السياسية، والمعتقدات الدينية أو الفلسفية، والسجلات الجنائية، والبيانات الحيوية، والبيانات الجينية، والمعلومات الصحية، والحياة الجنسية. ولا يفرض PDPL معيارا منفصلا أو أعلى لمعالجة البيانات الحساسة يتجاوز شرط الأساس القانوني العام، وإن كانت هذه المعالجة أكثر عرضة لاستوجاب إجراء تقييم أثر حماية البيانات (DPIA) وتعيين مسؤول حماية بيانات (DPO) عند القيام بها على نطاق واسع.
ويحمل هذا القانون نطاقا صريحا خارج الإقليم. إذ يجب على أي مؤسسة خارج الإمارات تعالج البيانات الشخصية لأفراد داخل الدولة الالتزام بأحكامه، على نحو مماثل لـ GDPR Article 3.
استثناءات بارزة من نطاق PDPL:
- البيانات الشخصية التي تعالجها الجهات الحكومية لأغراض الأمن الوطني أو القضاء أو إنفاذ القانون
- البيانات الشخصية المعالجة للاستخدام الشخصي البحت
- البيانات الصحية الخاضعة أصلا لـ Federal Law No. 2 of 2019 بشأن تقنية المعلومات والاتصالات في الرعاية الصحية
- بيانات المصارف والائتمان الخاضعة لتشريعات منفصلة خاصة بالقطاع المالي
- الكيانات المؤسسة في DIFC وADGM، التي تحتفظ بأنظمة مستقلة خاصة بها
الأسس القانونية للمعالجة
يشترط PDPL وجود أساس قانوني لكل نشاط معالجة. وتُعد الموافقة الأساس الافتراضي الرئيسي. ويجب أن تكون الموافقة الصحيحة صادرة بحرية، ومحددة للغرض المعلن، ومبنية على إفصاح واضح، ومعبَّرا عنها من خلال فعل إيجابي لا لبس فيه. ولا يشكل الصمت، أو المربعات المعلَّمة مسبقا، أو عدم اتخاذ أي إجراء، موافقة صحيحة. ويجوز لصاحب البيانات سحب موافقته في أي وقت؛ ولا يؤثر السحب على مشروعية المعالجة التي تمت قبله.
وتكون المعالجة دون موافقة مشروعة في الحالات التالية، التي تعكس إلى حد كبير GDPR Article 6:
- حماية المصلحة العامة أو الصحة العامة
- الدعاوى القانونية أو الإجراءات القضائية أو الإجراءات الأمنية
- التزامات التوظيف أو الضمان الاجتماعي أو الحماية الاجتماعية
- أغراض التشخيص الطبي أو العلاج أو التأمين الصحي
- تنفيذ أو التفاوض على عقد مع صاحب البيانات
- الامتثال للقوانين الإماراتية السارية
- حماية المصالح الحيوية لصاحب البيانات
- أغراض البحث العلمي أو التاريخي أو الإحصائي
- معالجة بيانات سبق لصاحبها أن أتاحها للعموم
حقوق أصحاب البيانات بموجب PDPL
يمنح PDPL الأفراد تسعة حقوق متمايزة. ويجب على جهات التحكم في البيانات توفير قنوات ميسّرة لممارسة هذه الحقوق، والرد عليها خلال مدة زمنية معقولة. وستحدد اللوائح التنفيذية، عند نشرها، المدد الزمنية الإلزامية للرد.
- الحق في الوصول: يجوز لصاحب البيانات طلب تأكيد ما إذا كانت بياناته الشخصية قيد المعالجة والحصول على نسخ منها.
- الحق في التصحيح: يمكن للأفراد طلب تصحيح البيانات الشخصية غير الدقيقة أو الناقصة أو القديمة.
- الحق في المحو: يجوز لصاحب البيانات طلب حذف بياناته عندما لا تعود ضرورية للغرض الذي جُمعت من أجله.
- الحق في نقل البيانات: يمكن للأفراد الحصول على بياناتهم بصيغة منظمة وقابلة للقراءة الآلية لنقلها إلى جهة تحكم أخرى.
- الحق في تقييد المعالجة: يمكن لصاحب البيانات الحد من كيفية استخدام بياناته، مثلا أثناء وجود نزاع حول دقتها.
- الحق في الاعتراض: يمكن للأفراد الاعتراض على المعالجة، بما في ذلك لأغراض التسويق المباشر.
- الحق في عدم الخضوع لقرارات آلية: يجوز لصاحب البيانات رفض الخضوع لقرارات تُتخذ استنادا فقط إلى معالجة آلية، بما في ذلك التنميط، إذا كانت تنتج آثارا قانونية أو آثارا مماثلة في الأهمية.
- الحق في سحب الموافقة: يمكن للأفراد سحب موافقتهم في أي وقت دون إبداء سبب.
- الحق في تقديم شكوى: يمكن لصاحب البيانات رفع المخالفات مباشرة إلى مكتب بيانات الإمارات.
تعيين مسؤول حماية البيانات
يكون تعيين مسؤول حماية البيانات (DPO) إلزاميا في الحالات التالية:
- عندما تنطوي المعالجة على مخاطر عالية لاختراق أمن البيانات مع عواقب محتملة جسيمة على أصحاب البيانات
- عندما تشمل المعالجة تقييما منهجيا وشاملا للبيانات الشخصية الحساسة، بما في ذلك التنميط واتخاذ القرارات الآلية
- عندما تجري معالجة واسعة النطاق لفئات البيانات الحساسة
ويجب أن يمتلك مسؤول حماية البيانات معرفة كافية بقانون وممارسات حماية البيانات الشخصية. ويمكن أن يشغل هذا الدور موظف داخلي أو معيَّن خارجي، ويجوز أن يكون مقره داخل الإمارات أو خارجها.
تقييمات أثر حماية البيانات
يُشترط إجراء تقييم أثر حماية البيانات (DPIA) قبل بدء أي نشاط معالجة عالي المخاطر. وتشمل المعالجة عالية المخاطر ما يلي:
- المعالجة أو التنميط الآلي الذي ينتج آثارا قانونية أو يؤثر تأثيرا كبيرا على الأفراد
- معالجة كميات كبيرة من البيانات الشخصية الحساسة
- المراقبة المنهجية للأماكن المتاحة للعموم
ويجب أن يوثّق كل تقييم أثر حماية البيانات الغرض من المعالجة، ويقيّم مدى ضرورتها وتناسبها، ويحدد المخاطر، ويقترح تدابير للتخفيف منها. ويجب إشراك مسؤول حماية البيانات في كل تقييم من هذا النوع.
اللوائح التنفيذية لـ PDPL: الوضع الفعلي حتى منتصف عام 2026
نصت Article 44 من PDPL على إصدار اللوائح التنفيذية خلال ستة أشهر من تاريخ نشر القانون. وكان هذا الموعد النهائي يقع تقريبا في March 2022. وحتى May 2026، لم تُنشر اللوائح التنفيذية الرسمية كأداة قانونية منفصلة في الجريدة الرسمية للإمارات.
ولا تُعد هذه الفجوة أمرا هامشيا. فاللوائح التنفيذية هي الأداة المقصودة لتحديد المهل الزمنية للإبلاغ عن الاختراقات، وإجراءات الموافقة على النقل العابر للحدود، ومعايير تأهيل مسؤول حماية البيانات، وإجراءات الإنفاذ التفصيلية.
وفي الممارسة العملية، أصدر مكتب بيانات الإمارات إرشادات تشغيلية وأوضح توقعات الامتثال. وقد نشأ عرف فعلي يقضي بالإبلاغ عن الاختراقات خلال 72 ساعة، بما يتسق مع معياري DIFC وADGM. ويؤكد دليل Chambers Data Protection and Privacy 2026 الخاص بالإمارات أنه يتعين على المؤسسات تطبيق الالتزامات الموضوعية لـ PDPL الآن. وعند نشر اللوائح التنفيذية، ستُمنح المؤسسات مهلة إضافية مدتها ستة أشهر لتحقيق الامتثال الإجرائي الكامل.
الإبلاغ عن الاختراقات بموجب PDPL الاتحادي
تُلزم Article 33 من PDPL جهات التحكم في البيانات بإخطار مكتب بيانات الإمارات وأصحاب البيانات المتضررين عندما يشكل اختراق البيانات الشخصية خطرا على حقوق أصحابها. ويجب أن يتضمن إخطار الاختراق ما يلي:
- طبيعة الاختراق ونطاقه
- فئات أصحاب البيانات المتضررين وعددهم التقريبي
- العواقب المحتملة للاختراق
- التدابير المتخذة أو المقترحة لمعالجة الضرر والتخفيف منه
وقد أوضح مكتب بيانات الإمارات أن عبارة «دون تأخير لا مبرر له» تُفسَّر على أنها 72 ساعة من لحظة اكتشاف الاختراق، بما يتسق مع المعايير الدولية. وينبغي للمؤسسات التعامل مع مدة 72 ساعة باعتبارها المعيار المعمول به إلى حين نشر اللوائح التنفيذية.
العقوبات بموجب PDPL الاتحادي
تترتب على مخالفة PDPL عقوبات مالية تتراوح بين AED 50,000 وAED 5 million (نحو USD 13,600 إلى USD 1.36 million وفق أسعار الصرف الحالية). ويحدد مكتب بيانات الإمارات قيمة العقوبة استنادا إلى طبيعة المخالفة وجسامتها، وما إذا كانت تتعلق ببيانات حساسة أو بكميات كبيرة من البيانات، ومدى توافر القصد أو الإهمال، والسجل السابق للامتثال.
ويجوز لمكتب بيانات الإمارات أيضا الأمر بوقف أنشطة المعالجة أو تقييدها. وتنطبق عقوبات جنائية إضافية بموجب Federal Decree-Law No. 34 of 2021 بشأن مكافحة الشائعات والجرائم الإلكترونية على المخالفات الجسيمة المتعلقة بالبيانات؛ إذ يمكن أن يترتب على الإفصاح غير المشروع عن البيانات الشخصية غرامة لا تقل عن AED 20,000 والحبس لمدة تصل إلى سنة واحدة.
مكتب بيانات الإمارات
أُنشئ مكتب بيانات الإمارات بموجب Federal Decree-Law No. 44 of 2021 بوصفه الجهة الرقابية الوطنية. ويعمل المكتب تحت سلطة مجلس الوزراء الإماراتي، وهو تابع لوزارة شؤون مجلس الوزراء.
ويتولى مكتب بيانات الإمارات المهام التالية:
- إعداد سياسات حماية البيانات والتشريعات الفرعية
- اقتراح واعتماد معايير الامتثال لـ PDPL
- معالجة الشكاوى والتظلمات المقدمة من أصحاب البيانات
- إصدار الإرشادات وتعليمات التنفيذ الخاصة بـ PDPL
- إجراء عمليات تدقيق على جهات التحكم في البيانات والمعالِجين
- الموافقة على ترتيبات نقل البيانات عبر الحدود أو رفضها
- فرض العقوبات المالية على المخالفات
وقدمت هيئة تنظيم الاتصالات والحكومة الرقمية (TDRA) دعما إداريا لمكتب البيانات خلال مرحلة تأسيسه بموجب Article 9 من Law No. 44/2021. وحتى منتصف عام 2026، انتقل مكتب البيانات من مرحلة التوعية والتواصل إلى مرحلة الإنفاذ الفعلي. ويصف دليل Chambers لعام 2026 هذه المرحلة بأنها انتقال نحو إنفاذ أكثر صرامة مع حسم الجدول الزمني للوائح التنفيذية.
قانون حماية البيانات في DIFC: DIFC Data Protection Law No. 5 of 2020

نظرة عامة والنطاق
أصدر مركز دبي المالي العالمي DIFC Data Protection Law No. 5 of 2020، الذي دخل حيز النفاذ في July 1, 2020، وبدأ تطبيقه الفعلي في October 1, 2020. وحلّ هذا القانون محل DIFC Data Protection Law No. 1 of 2007. ويُعد قانون DIFC من أكثر أطر حماية البيانات اتساقا مع GDPR خارج الاتحاد الأوروبي.
ويسري قانون DIFC على:
- أي جهة تحكم أو معالج مؤسس أو مسجل في DIFC
- أي كيان يعالج البيانات الشخصية داخل DIFC بصفة منتظمة، بغض النظر عن مكان تأسيسه
ويُعد مفوض حماية البيانات في DIFC الجهة التنظيمية المستقلة التي تتمتع بصلاحيات إنفاذ كاملة داخل المركز المالي.
Regulation 10 الصادرة عن DIFC: الذكاء الاصطناعي والأنظمة الذاتية
من أبرز سمات إطار DIFC هي Regulation 10، التي صدرت في September 1, 2023 كجزء من DIFC Data Protection Regulations. وتتناول Regulation 10 معالجة البيانات الشخصية من خلال الأنظمة الذاتية وشبه الذاتية، ما يجعل DIFC واحدا من أوائل الولايات القضائية الخليجية التي تصدر قواعد مخصصة لحماية البيانات في سياق الذكاء الاصطناعي.
التعريف. يُقصد بـ «النظام الذاتي» أي نظام قائم على الآلة يعمل بصورة ذاتية أو شبه ذاتية، ويستطيع معالجة البيانات الشخصية لأغراض يحددها الإنسان أو لأغراض يحددها النظام نفسه ضمن معايير يضعها الإنسان، وينتج مخرجات بناء على ذلك. ويشمل هذا التعريف أنظمة الذكاء الاصطناعي والتعلم الآلي المعاصرة المستخدمة في اتخاذ القرارات الآلية والتنميط والخدمات القائمة على الذكاء الاصطناعي.
الأدوار. يحدد هذا الإطار دورين متمايزين:
- الجهة الناشرة (Deployer): هي الشخص الذي يعمل النظام تحت سلطته أو لمصلحته، أو الذي يستفيد من مخرجاته؛ وتُعامل الجهة الناشرة باعتبارها جهة التحكم لأغراض تنظيمية.
- المُشغِّل (Operator): هو الشخص الذي يشغّل النظام أو يتولى صيانته نيابة عن الجهة الناشرة.
مسؤول الأنظمة الذاتية. بالنسبة إلى أنظمة الذكاء الاصطناعي المستخدمة تجاريا في سياقات المعالجة عالية المخاطر، يجب على الجهة الناشرة أو المُشغِّل تعيين مسؤول أنظمة ذاتية (ASO). ويجب أن يتمتع هذا المسؤول بمكانة وكفاءات ومهام مماثلة إلى حد كبير لمسؤول حماية البيانات: الإشراف على الحوكمة، وإجراء تقييمات أثر حماية البيانات لأنظمة الذكاء الاصطناعي، ومراجعة المخاطر مع الإدارة العليا، وتقديم توصيات المساءلة.
شرط الاعتماد. يُحظر الاستخدام التجاري للأنظمة الذاتية في المعالجة عالية المخاطر ما لم يتحقق ما يلي:
- أن يكون مفوض DIFC قد وضع متطلبات تدقيق واعتماد لفئة النظام المعنية
- أن يكون النظام ملتزما بجميع هذه المتطلبات
- أن يعالج النظام البيانات الشخصية حصرا لأغراض يحددها الإنسان أو يوافق عليها
- أن يكون قد تم تعيين مسؤول أنظمة ذاتية (ASO)
وأطلق DIFC برنامج Regulation 10 Accelerator كبيئة تجريبية يمكن من خلالها اختبار أنظمة الذكاء الاصطناعي في ضوء مبادئ الخصوصية بالتصميم قبل نشرها تجاريا.
تعديلات عام 2025: Amendment Law No. 1 of 2025
دخل Amendment Law No. 1 of 2025 حيز النفاذ في July 15, 2025. وأدخل أربعة تغييرات جوهرية:
الحق الشخصي في التقاضي. لأول مرة، بات بإمكان أصحاب البيانات الذين يتعرضون لضرر جراء مخالفة قانون DIFC لحماية البيانات رفع دعاوى مباشرة أمام محاكم DIFC دون المرور أولا عبر المفوض. ويحق لأصحاب البيانات الحصول على تعويض عن الخسائر المالية وغير المالية على حد سواء، بما في ذلك الضرر المعنوي. ويزيد هذا التغيير بشكل كبير من التعرض لمخاطر التقاضي بالنسبة للمؤسسات العاملة في DIFC.
توسيع النطاق خارج الإقليمي. تُطبِّق التعديلات قانون DIFC على جميع عمليات معالجة البيانات داخل DIFC، بصرف النظر عما إذا كانت جهات التحكم أو المعالِجون أو المعالِجون الفرعيون مؤسسين أو حاضرين فعليا هناك. وقبل هذا التعديل، كان بإمكان الكيانات التي لا تملك حضورا رسميا في DIFC الدفع بعدم انطباق القانون حتى وإن جرت المعالجة داخل المنطقة.
عكس عبء الإثبات. بات يتعين الآن على جهات التحكم والمعالِجين إثبات عدم مسؤوليتهم عن الحوادث المسببة للضرر. ولم يعد عبء إثبات خطأ المؤسسة يقع على عاتق صاحب البيانات. ويتبع هذا النهج ما ورد في GDPR Article 82.
تحديث متطلبات تقييم النقل. يجب على المؤسسات إجراء وتوثيق تقييم يؤكد استفادة أصحاب البيانات من حماية قانونية كافية وسبل انتصاف فعالة في الولاية القضائية المستقبِلة. ويحتفظ المفوض بصلاحية مراجعة قرارات كفاية الحماية وسحبها.
عقوبات DIFC (بعد تعديلات 2025)
| المخالفة | الحد الأقصى للغرامة |
|---|---|
| مخالفة الحقوق القانونية لصاحب البيانات | USD 100,000 |
| عدم إجراء تقييم أثر حماية البيانات المطلوب | USD 50,000 |
| مخالفة قواعد مشاركة البيانات مع الجهات الحكومية | USD 50,000 |
| عدم إخطار المفوض بتقييم مسؤول حماية البيانات | USD 25,000 |
| المخالفات الإدارية العامة | من USD 25,000 إلى USD 50,000 |
وارتفعت غرامة مخالفة تقييم أثر حماية البيانات من USD 20,000 إلى USD 50,000 عقب تعديلات 2025، ما يعكس نظرة المفوض إلى هذه التقييمات باعتبارها آلية مساءلة أساسية.
الإبلاغ عن الاختراقات في DIFC
يجب على جهات التحكم في البيانات داخل DIFC إخطار مفوض حماية البيانات خلال 72 ساعة من علمها بوقوع اختراق للبيانات الشخصية. ويجب إخطار أصحاب البيانات المتضررين عندما يشكل الاختراق خطرا كبيرا على حقوقهم. ويجب أن تتضمن تقارير الاختراق طبيعته، وفئات أصحاب البيانات المتضررين وأعدادهم، والعواقب المحتملة، وتدابير العلاج.
النقل العابر للحدود في DIFC
يحتفظ DIFC بقائمة كفاية الحماية (Appendix 3 من Data Protection Regulations) التي تحدد الولايات القضائية التي يمكن نقل البيانات إليها دون ضمانات إضافية. وتشمل القائمة الحالية دول الاتحاد الأوروبي والمنطقة الاقتصادية الأوروبية، والمملكة المتحدة، وسويسرا، واليابان، وكوريا الجنوبية، وولاية كاليفورنيا (الولايات المتحدة الأمريكية، التي أُضيفت عقب قرار كفاية صادر بشأن CCPA في August 2023).
وبالنسبة للنقل إلى ولايات قضائية غير مصنّفة ضمن قائمة الكفاية، نشر مفوض DIFC بنودا تعاقدية معيارية (SCCs)، تشمل نسخا مختصرة للنقل محدود النطاق. كما تُقبل القواعد المؤسسية الملزمة (BCRs) في عمليات النقل داخل المجموعة الواحدة. وعقب تعديلات 2025، يجب على المؤسسات توثيق تقييم كفاية رسمي قبل الاعتماد على SCCs أو أي آلية نقل أخرى.
وثمة نقطة بالغة الأهمية: لا يُدرج البر الرئيسي للإمارات ضمن قائمة كفاية DIFC. فأي كيان في DIFC يرسل بيانات شخصية إلى كيان في البر الرئيسي للإمارات يجب أن يطبق SCCs أو BCRs، تماما كما لو كان النقل موجَّها إلى دولة ثالثة غير مصنّفة ضمن قائمة الكفاية.
ADGM Data Protection Regulations 2021

نظرة عامة والنطاق
أصدر سوق أبوظبي العالمي لوائحه Data Protection Regulations 2021 في February 14, 2021، لتحل محل Data Protection Regulations 2015 السابقة. وتتسق لوائح 2021 بشكل وثيق مع GDPR، وتُعد من أكثر أطر حماية البيانات شمولا في منطقة الخليج.
وبالنسبة للكيانات المؤسسة في ADGM في February 14, 2021 أو بعده، سرت اللوائح اعتبارا من August 14, 2021. أما الكيانات القائمة مسبقا فقد مُنحت فترة انتقالية انتهت في February 14, 2022.
مكتب حماية البيانات في ADGM
يرأس مكتب حماية البيانات في ADGM مفوض مستقل. وتشمل صلاحيات الإنفاذ المخولة للمفوض ما يلي:
- مراجعة البيانات الشخصية التي يعالجها متعاملو البيانات والمعالِجون
- جمع المعلومات أثناء التحقيقات
- إصدار التوجيهات والإنذارات وأوامر الامتثال
- فرض العقوبات المالية
- سحب شهادات الامتثال
ويحقق المفوض في كل حالة ومخالفة على حدة، بما يدعم إنفاذا فرديا ومتناسبا.
حقوق أصحاب البيانات بموجب لوائح ADGM
توفر لوائح ADGM إطارا للحقوق يعكس إلى حد كبير GDPR:
- الحق في الوصول (التأكيد والحصول على نسخ)
- الحق في تصحيح البيانات غير الدقيقة أو الناقصة
- الحق في المحو وفق شروط محددة
- الحق في نقل البيانات
- الحق في الاعتراض على المعالجة، بما في ذلك التسويق المباشر
- الحق في تقييد المعالجة أثناء النزاعات
- الحق في عدم الخضوع لاتخاذ القرارات الآلية والتنميط
- الحق في الحصول على معلومات مسبقة قبل الإفصاح عن البيانات لأطراف ثالثة
ويجب على جهات التحكم في البيانات الرد على طلبات ممارسة الحقوق خلال شهرين ميلاديين، مع إمكانية تمديد المدة شهرا إضافيا في الحالات المعقدة.
ADGM Substantial Public Interest Conditions Rules 2025
في September 9, 2025، أصدرت هيئة التسجيل في ADGM لائحة Data Protection Regulations (Substantial Public Interest Conditions) Rules 2025، عقب Consultation Paper No. 6 of 2025 التي نُشرت في June 2025. وحددت هذه اللائحة ثغرتين في أسس المصلحة العامة الجوهرية القائمة بموجب Schedule 1 من اللوائح.
معالجة بيانات التأمين. يسمح شرط جديد بمعالجة البيانات الشخصية ذات الفئة الخاصة دون موافقة عندما تكون المعالجة ضرورية لتحقيق «غرض تأميني» (يُعرَّف على نطاق واسع ليشمل تقديم المشورة، والاكتتاب، ومعالجة المطالبات، والتحقيق في الاحتيال، وإعادة التأمين) وضرورية لأسباب تتعلق بالمصلحة العامة الجوهرية.
حماية الأطفال والأشخاص المستضعفين. يُسمح كذلك بمعالجة البيانات ذات الفئة الخاصة دون موافقة لأغراض الحماية عندما يكون الشخص دون سن 18 عاما، أو بالغا لدى جهة التحكم سبب معقول للاشتباه في تعرضه للإهمال أو لضرر جسدي أو نفسي أو عاطفي أو في خطر التعرض له، وغير قادر على حماية نفسه نتيجة لذلك.
ويشترط كلا الشرطين أن تكون المعالجة متعلقة ببيانات شخصية ذات فئة خاصة وأن تكون ضرورية لأسباب تتعلق بالمصلحة العامة الجوهرية. وتُقرِّب هذه التغييرات إطار ADGM من الأحكام المماثلة الواردة في شروط Schedule 1 الخاصة بـ اللائحة العامة البريطانية لحماية البيانات (UK GDPR).
الإبلاغ عن الاختراقات في ADGM
يجب على جهات التحكم في البيانات إخطار مفوض ADGM خلال 72 ساعة من علمها بوقوع اختراق للبيانات. ويجب إخطار أصحاب البيانات فورا عندما يشكل الاختراق خطرا كبيرا على حقوقهم.
عقوبات ADGM
تفرض لوائح ADGM أثقل العقوبات بين جميع أنظمة حماية البيانات في الإمارات. ويبلغ الحد الأقصى للغرامة USD 28 million عن كل مخالفة. ويحدد المفوض قيمة الغرامة استنادا إلى: طبيعة المخالفة وجسامتها؛ وعدد أصحاب البيانات المتضررين؛ ومستوى التعاون المُبدى؛ والسجل السابق للإنفاذ.
النقل العابر للحدود في ADGM
يعترف ADGM بقرارات كفاية الحماية الصادرة عن المفوضية الأوروبية، وكذلك بـ DIFC، بوصفهما ولايات قضائية ذات حماية كافية. أما النقل إلى ولايات قضائية غير مصنّفة ضمن قائمة الكفاية فيتطلب ضمانات مناسبة تشمل BCRs أو SCCs أو أي آلية أخرى يعتمدها المفوض. وعلى غرار DIFC، لا يعترف ADGM بالبر الرئيسي للإمارات بوصفه ولاية قضائية ذات حماية كافية؛ لذا يتطلب النقل من ADGM إلى البر الرئيسي ضمانات تعاقدية.
قوانين حماية البيانات القطاعية
البيانات الصحية: Federal Law No. 2 of 2019 بشأن تقنية المعلومات والاتصالات في المجالات الصحية
يفرض Federal Law No. 2 of 2019 بشأن استخدام تقنية المعلومات والاتصالات في المجالات الصحية التزاما صارما بتوطين البيانات الصحية الإلكترونية. وتحظر Article 13 كقاعدة عامة نقل المعلومات الصحية أو تخزينها أو توليدها أو معالجتها خارج الإمارات. ويجب تخزين السجلات الصحية الإلكترونية على خوادم موجودة فعليا داخل الدولة.
وأدخلت Ministerial Resolution No. 51 of 2021 عشرة استثناءات تسمح بنقل البيانات الصحية عبر الحدود في حالات تشمل:
- تلقي مريض إماراتي العلاج الطبي في الخارج
- الإبلاغ عن اليقظة الدوائية
- البحث العلمي والسريري
- إدارة مطالبات التأمين الدولية
- المعالجة المرتبطة بالأجهزة القابلة للارتداء وأجهزة مراقبة الرعاية الصحية
وتترتب على عدم الامتثال لمتطلب التوطين غرامات تتراوح بين AED 500,000 وAED 700,000 (نحو USD 136,000 إلى USD 190,500).
ويستثني PDPL صراحة البيانات الصحية الخاضعة لـ Federal Law No. 2 of 2019، ما يعني أن أي مستشفى في الإمارات يعالج سجلات صحية إلكترونية يخضع للقانون القطاعي المتخصص بدلا من PDPL فيما يتعلق بتلك السجلات.
السلامة الرقمية للأطفال: Federal Decree-Law No. 26 of 2025
صدر Federal Decree-Law No. 26 of 2025 بشأن السلامة الرقمية للأطفال في October 1, 2025، ودخل حيز النفاذ في January 1, 2026. ويبدأ التطبيق الكامل في January 1, 2027، ما يمنح الكيانات المشمولة مهلة سماح مدتها سنة واحدة للامتثال.
ويسري قانون CDS على المنصات الرقمية ومزودي خدمات الإنترنت العاملين داخل الإمارات أو الموجَّهين إلى مستخدمين في الدولة، بما يشمل المواقع الإلكترونية، ومحركات البحث، ومنصات التواصل الاجتماعي، ومنصات المراسلة، وخدمات الألعاب عبر الإنترنت، وخدمات بث الفيديو، ومنصات التجارة الإلكترونية. وتدخل ضمن نطاق القانون المنصات الأجنبية الموجَّهة إلى مستخدمين مقيمين في الإمارات.
أبرز التزامات حماية البيانات بموجب قانون CDS:
- يُحظر على المنصات الرقمية جمع البيانات الشخصية للأطفال دون سن 13 عاما أو معالجتها أو نشرها أو مشاركتها دون موافقة صريحة وموثقة وقابلة للتحقق من الوالدين.
- يجب على المنصات توفير آليات ميسّرة لسحب موافقة الوالدين.
- يجب قصر الوصول إلى البيانات الشخصية للأطفال على الموظفين المخوَّلين وفق مبدأ تقليل البيانات.
- يُحظر صراحة التنميط السلوكي والإعلانات الموجَّهة للأطفال دون سن 13 عاما.
- يجب تطبيق إعدادات خصوصية عالية بشكل افتراضي لمستخدمي الخدمة من الأطفال.
- يجب تطبيق آليات للتحقق من العمر تتناسب مع درجة مخاطر الخدمة.
وينشئ القانون مجلس السلامة الرقمية للأطفال، برئاسة وزير الأسرة، بوصفه الجهة المنسقة للسياسات والاستراتيجيات.
كيفية تحديد النظام المنطبق
| نوع المؤسسة | النظام المنطبق |
|---|---|
| مؤسسة في البر الرئيسي للإمارات | PDPL الاتحادي (Decree-Law No. 45/2021) |
| مؤسسة في DIFC | DIFC Data Protection Law No. 5/2020 (بصيغته المعدلة لعام 2025) |
| مؤسسة في ADGM | ADGM Data Protection Regulations 2021 |
| كيان أجنبي يعالج بيانات مقيمين في الإمارات | PDPL الاتحادي (النطاق خارج الإقليمي) |
| مجموعة متعددة الكيانات تعمل في البر الرئيسي وDIFC | ينطبق PDPL الاتحادي وقانون DIFC على كل كيان بحسب موقعه |
| مزود رعاية صحية في البر الرئيسي للإمارات | Federal Law No. 2/2019 للبيانات الصحية؛ وPDPL لبقية البيانات الشخصية |
| منصة رقمية لديها مستخدمون أطفال في الإمارات | Federal Decree-Law No. 26/2025 بشأن السلامة الرقمية للأطفال (اعتبارا من January 2026) |
تنبيه: يجب على أي شركة مؤسسة في DIFC ترسل بيانات عملائها إلى شركتها الأم في البر الرئيسي للإمارات أن تعامل ذلك على أنه نقل عابر للحدود يستوجب SCCs أو BCRs. فالبر الرئيسي للإمارات غير مُدرج ضمن قائمة كفاية الحماية الخاصة بـ DIFC. وتنطبق القاعدة نفسها على النقل من ADGM إلى البر الرئيسي.
قواعد النقل العابر للحدود: مقارنة شاملة
يُعد النقل العابر للحدود للبيانات الجانب الأكثر تعقيدا من الناحية التشغيلية في الامتثال لحماية البيانات في الإمارات، لأن كل نظام يتعامل معه بطريقة مختلفة، وتزيد مشكلة النقل الداخلي بين مناطق الإمارات من صعوبة هذا التحدي.
PDPL الاتحادي
تسمح Article 22 بالنقل إلى الدول التي يقرر مكتب بيانات الإمارات أنها توفر حماية كافية. وتسمح Article 23 بالنقل إلى الدول غير المصنّفة ضمن قائمة الكفاية من خلال عقود ملزمة تفرض حماية مماثلة لـ PDPL، أو موافقة صريحة من صاحب البيانات، أو ضرورة قضائية، أو تنفيذ عقد، أو تعاون قضائي دولي، أو أسباب متعلقة بالمصلحة العامة.
وحتى منتصف عام 2026، لم يُنشر مكتب بيانات الإمارات أي قائمة اتحادية لكفاية الحماية ولا أي بنود تعاقدية معيارية رسمية. وينبغي للمؤسسات التي تنقل بيانات من البر الرئيسي للإمارات استخدام ضمانات تعاقدية تحاكي المعايير الدولية، مع توثيق الأساس القانوني لكل فئة من فئات النقل.
DIFC
يحتفظ DIFC بقائمة كفاية منشورة تشمل دول الاتحاد الأوروبي والمنطقة الاقتصادية الأوروبية، والمملكة المتحدة، وسويسرا، واليابان، وكوريا الجنوبية، وكاليفورنيا. وينشر المفوض بنودا تعاقدية معيارية، بما في ذلك نسخ مختصرة للنقل محدود النطاق. وعقب تعديلات July 2025، يجب على المؤسسات توثيق تقييم كفاية رسمي قبل الاعتماد على هذه الآليات.
ADGM
يعترف ADGM بقرارات كفاية الحماية الصادرة عن المفوضية الأوروبية، وكذلك بـ DIFC، باعتبارهما جهتين ذواتي حماية كافية. وتتوفر BCRs وSCCs وآليات أخرى يعتمدها المفوض للنقل إلى الولايات القضائية غير المصنّفة ضمن قائمة الكفاية.
مشكلة النقل الداخلي بين مناطق الإمارات
تُعامَل عمليات النقل بين مناطق الإمارات المختلفة باعتبارها نقلا عابرا للحدود لأغراض DIFC وADGM، لأن البر الرئيسي للإمارات غير مُدرج ضمن أي من قائمتي الكفاية. فالكيان في DIFC الذي يرسل بيانات شخصية إلى كيان في البر الرئيسي يحتاج إلى SCCs أو BCRs. أما الكيان في ADGM الذي يرسل بيانات إلى كيان في DIFC فيعتمد على وضع DIFC كجهة ذات حماية كافية. والكيان في ADGM الذي يرسل بيانات إلى كيان في البر الرئيسي يحتاج إلى SCCs أو BCRs.
وينبغي للمؤسسات رسم خريطة لجميع تدفقات البيانات الداخلية بين مناطق الإمارات كما لو كانت عمليات نقل دولية، وتطبيق الضمانات المناسبة لكل تدفق منها.
مقارنة بين الأنظمة الثلاثة لحماية البيانات في الإمارات
| الخاصية | PDPL الاتحادي | DIFC Law No. 5/2020 | ADGM DPR 2021 |
|---|---|---|---|
| ساري المفعول منذ | January 2, 2022 | July 1, 2020 | August 14, 2021 |
| الجهة التنظيمية | مكتب بيانات الإمارات | مفوض حماية البيانات في DIFC | مفوض حماية البيانات في ADGM |
| مدى الاتساق مع GDPR | متوسط | مرتفع | مرتفع |
| اللوائح التنفيذية | قيد الإصدار (حتى منتصف 2026) | صادرة | صادرة |
| الحد الأقصى للغرامة الإدارية | AED 5M (نحو USD 1.36M) | USD 100,000 لكل مخالفة | USD 28M لكل مخالفة |
| مهلة الإبلاغ عن الاختراقات | 72 ساعة (إرشادات مكتب البيانات) | 72 ساعة (نص قانوني) | 72 ساعة (نص قانوني) |
| الحق الشخصي في التقاضي | غير مُقرر | نعم (منذ July 2025) | غير مُقرر |
| النطاق خارج الإقليمي | نعم | نعم (تم توسيعه في July 2025) | نعم |
| لائحة خاصة بالذكاء الاصطناعي | لا توجد حاليا | Regulation 10 (منذ Sept 2023) | لا توجد حاليا |
| مهلة الرد على طلبات الحقوق | معقولة (غير محددة) | شهر واحد (قابل للتمديد) | شهران (قابل للتمديد) |
أحدث التطورات (2023-2026)
September 2023 (DIFC): صدور Regulation 10 التي أنشأت دور مسؤول الأنظمة الذاتية وإطار اعتماد لأنظمة الذكاء الاصطناعي التجارية التي تعالج بيانات شخصية. كما أُطلق برنامج Regulation 10 Accelerator كبيئة تجريبية للامتثال.
July 2025 (DIFC): دخول Amendment Law No. 1 of 2025 حيز النفاذ، وقد أدخل الحق الشخصي في التقاضي أمام محاكم DIFC، وعكس عبء الإثبات في دعاوى الاختراق، ووسّع النطاق خارج الإقليمي، وفرض إجراء تقييمات كفاية موثقة إلزامية للنقل العابر للحدود.
September 2025 (ADGM): إصدار ADGM لائحة Data Protection Regulations (Substantial Public Interest Conditions) Rules 2025، التي أدخلت أسسا محددة لمعالجة البيانات ذات الفئة الخاصة دون موافقة في سياقات التأمين وحماية الأطفال.
January 2026 (اتحادي): دخول Federal Decree-Law No. 26 of 2025 بشأن السلامة الرقمية للأطفال حيز النفاذ، على أن يبدأ التطبيق الكامل في January 2027. ويتعين على المنصات الرقمية تطبيق التحقق من العمر، وآليات الحصول على موافقة الوالدين للمستخدمين دون سن 13 عاما، وحظر الإعلانات السلوكية الموجَّهة للأطفال.
Mid-2026 (اتحادي): يواصل مكتب بيانات الإمارات إصدار الإرشادات التشغيلية وبناء قدراته على الإنفاذ. ولا تزال اللوائح التنفيذية الرسمية لـ PDPL غير منشورة. والمعيار المعمول به للإبلاغ عن الاختراقات هو 72 ساعة. ويصف دليل Chambers & Partners Data Protection and Privacy 2026 الخاص بالإمارات هذه المرحلة بأنها انتقال نحو إنفاذ أكثر صرامة عبر الأنظمة الثلاثة جميعها.
خارطة طريق الامتثال للمؤسسات: تسع خطوات
الخطوة 1: تحديد الولايات القضائية. حدد النظام المنطبق على كل كيان قانوني. ووثّق ما إذا كان أي كيان يعمل عبر أكثر من منطقة، وبالتالي يواجه التزامات متداخلة.
الخطوة 2: إجراء جرد للبيانات. ارسم خريطة لجميع البيانات الشخصية المعالَجة، بما في ذلك البيانات الصحية (التي تستوجب تطبيق قانون تقنية المعلومات والاتصالات الصحي) وبيانات الأطفال (التي تستوجب تطبيق قانون السلامة الرقمية للأطفال اعتبارا من 2026).
الخطوة 3: تعيين مسؤول حماية بيانات. يُشترط في الأنظمة الثلاثة جميعها تعيين مسؤول حماية بيانات عند إجراء معالجة واسعة النطاق أو عالية المخاطر. ويجب على كيانات DIFC التي تشغّل أنظمة ذكاء اصطناعي تجاريا في معالجة عالية المخاطر تعيين مسؤول أنظمة ذاتية أيضا بموجب Regulation 10.
الخطوة 4: إتمام تقييمات أثر حماية البيانات للمعالجة عالية المخاطر. يتطلب كل نشاط معالجة عالي المخاطر إتمام تقييم أثر موثق قبل البدء فيه. ويشمل ذلك معالجة البيانات الحساسة واسعة النطاق، والتنميط المنهجي، والمراقبة المنهجية.
الخطوة 5: رسم خريطة تدفقات البيانات العابرة للحدود والداخلية بين مناطق الإمارات. حدد كل عملية نقل خارج المنطقة الأصلية لكيانك. وطبِّق SCCs أو BCRs أو ضمانات قائمة على الكفاية لكل عملية نقل. ووثِّق الأساس القانوني المستخدم. علما بأن النقل من DIFC إلى البر الرئيسي ومن ADGM إلى البر الرئيسي لا يُعد نقلا إلى جهة ذات حماية كافية.
الخطوة 6: بناء قدرة على الإبلاغ عن الاختراقات خلال 72 ساعة. أنشئ أنظمة قادرة على اكتشاف الاختراق واحتوائه والإبلاغ عنه خلال 72 ساعة عبر عمليات DIFC وADGM. وطبِّق المعيار نفسه على عمليات PDPL الاتحادي استنادا إلى إرشادات مكتب البيانات الحالية.
الخطوة 7: إنشاء قنوات لممارسة حقوق أصحاب البيانات. وفِّر قنوات ميسّرة للوصول والتصحيح والمحو ونقل البيانات والاعتراض وتقديم الشكاوى. والتزم بالمهل الزمنية المحددة للرد بموجب كل نظام منطبق.
الخطوة 8: الاستعداد لقانون السلامة الرقمية للأطفال. ينبغي للمنصات الرقمية المتاحة لمستخدمين في الإمارات، سواء كانت مؤسسة في الدولة أم لا، تطبيق التحقق من العمر، وآليات موافقة الوالدين، وحظر الإعلانات السلوكية الموجَّهة للمستخدمين دون سن 13 عاما، قبل موعد الإنفاذ الكامل في January 2027.
الخطوة 9: متابعة التطورات التنظيمية. ستُعيد اللوائح التنفيذية الاتحادية، عند نشرها، ضبط مهلة الامتثال البالغة ستة أشهر. تابع التحديثات الصادرة عن مكتب بيانات الإمارات (u.ae)، ومفوض حماية البيانات في DIFC (difc.com)، ومكتب حماية البيانات في ADGM (adgm.com).
إخلاء مسؤولية
يقدم هذا المقال معلومات قانونية عامة حول قانون حماية البيانات في دولة الإمارات العربية المتحدة، ويغطي القانون الاتحادي لحماية البيانات الشخصية (Federal Decree-Law No. 45 of 2021)، وDIFC Data Protection Law No. 5 of 2020 وتعديلاته لعام 2025، وADGM Data Protection Regulations 2021 وSubstantial Public Interest Conditions Rules لعام 2025، وFederal Law No. 2 of 2019 بشأن تقنية المعلومات والاتصالات في المجالات الصحية، وFederal Decree-Law No. 26 of 2025 بشأن السلامة الرقمية للأطفال. وقد تم التحقق من هذه المعلومات بتاريخ May 19, 2026. وتخضع القوانين واللوائح للتغيير؛ يُرجى التأكد من حداثة المعلومات قبل اتخاذ أي إجراء. لا يشكل هذا المقال استشارة قانونية. وينبغي للقراء استشارة محام مرخص ومؤهل لممارسة المهنة في الولاية القضائية الإماراتية ذات الصلة للحصول على مشورة خاصة بحالتهم.
Frequently Asked Questions
ما هو قانون حماية البيانات الإماراتي المنطبق على شركتي؟
تتوقف الإجابة على مكان تسجيل كيانك. فالشركات المؤسسة في البر الرئيسي للإمارات تخضع لـ PDPL الاتحادي (Federal Decree-Law No. 45 of 2021). والشركات المسجلة في مركز دبي المالي العالمي تخضع لـ DIFC Data Protection Law No. 5 of 2020. أما الشركات في سوق أبوظبي العالمي فتخضع لـ ADGM Data Protection Regulations 2021. ويجب على المؤسسات الأجنبية التي تعالج البيانات الشخصية لأفراد داخل الإمارات الامتثال لـ PDPL الاتحادي بصرف النظر عن موقعها.
هل صدرت اللوائح التنفيذية لـ PDPL الإماراتي؟
لا. فحتى منتصف عام 2026، لم تُنشر اللوائح التنفيذية الرسمية لـ Federal Decree-Law No. 45 of 2021 في الجريدة الرسمية للإمارات كأداة قانونية منفصلة، رغم أن موعدها الأصلي كان يفترض أن يكون بعد نحو ستة أشهر من صدور القانون في 2021. ويبقى PDPL نفسه ساري المفعول وقابلا للتطبيق بشكل كامل. وقد أصدر مكتب بيانات الإمارات إرشادات تشغيلية في غياب اللوائح، تشمل معيارا فعليا للإبلاغ عن الاختراقات خلال 72 ساعة. وعند نشر اللوائح، ستُمنح المؤسسات مهلة إضافية مدتها ستة أشهر لتحقيق الامتثال الإجرائي الكامل.
ما هي عقوبات مخالفة قوانين حماية البيانات في الإمارات؟
تختلف العقوبات باختلاف الأنظمة الثلاثة. إذ يفرض PDPL الاتحادي غرامات إدارية تتراوح بين AED 50,000 وAED 5 million (نحو USD 13,600 إلى USD 1.36 million). ويفرض قانون DIFC لحماية البيانات غرامات محددة حسب نوع المخالفة تصل إلى USD 100,000 عن كل مخالفة، وأصبح بإمكان أصحاب البيانات الآن رفع دعاوى مباشرة أمام محاكم DIFC بموجب تعديلات 2025. أما لوائح ADGM لحماية البيانات فتفرض أثقل غرامات في المنطقة، إذ تصل إلى USD 28 million عن كل مخالفة. وقد تنطبق أيضا عقوبات جنائية بموجب Federal Decree-Law No. 34 of 2021 بشأن الجرائم الإلكترونية على الإفصاح غير المشروع عن البيانات.
هل يمكنني نقل بيانات شخصية من كيان في DIFC إلى مكتبي في البر الرئيسي للإمارات؟
ليس دون ضمانات. فالبر الرئيسي للإمارات غير مُدرج ضمن قائمة كفاية الحماية الخاصة بـ DIFC. ويتطلب نقل البيانات الشخصية من كيان في DIFC إلى كيان في البر الرئيسي استخدام البنود التعاقدية المعيارية (SCCs) التي ينشرها مفوض DIFC، أو القواعد المؤسسية الملزمة (BCRs) للنقل داخل المجموعة الواحدة، أو أي آلية أخرى يعتمدها المفوض. ومنذ تعديلات July 2025، يجب على المؤسسات أيضا توثيق تقييم كفاية رسمي قبل الاعتماد على هذه الضمانات. وينطبق الأمر نفسه على النقل من ADGM إلى البر الرئيسي.
ما الذي تشترطه Regulation 10 الصادرة عن DIFC بشأن أنظمة الذكاء الاصطناعي؟
تُلزم Regulation 10، الصادرة في September 2023، المؤسسات التي تستخدم أنظمة ذكاء اصطناعي ذاتية أو شبه ذاتية تجاريا في معالجة عالية المخاطر داخل DIFC بما يلي: تعيين مسؤول أنظمة ذاتية (ASO) يتمتع بكفاءات مماثلة لمسؤول حماية البيانات؛ والحصول على اعتماد بموجب نظام وضعه مفوض حماية البيانات في DIFC؛ وضمان أن يعالج النظام البيانات الشخصية حصرا لأغراض يحددها الإنسان أو يوافق عليها؛ وإجراء تقييمات أثر حماية بيانات دورية لأنشطة معالجة الذكاء الاصطناعي. وقد أطلق DIFC برنامج Regulation 10 Accelerator كبيئة تنظيمية تجريبية لاختبار أنظمة الذكاء الاصطناعي قبل نشرها تجاريا.
ما الذي يشترطه قانون السلامة الرقمية للأطفال الإماراتي بخصوص حماية البيانات؟
يحظر Federal Decree-Law No. 26 of 2025، الذي دخل حيز النفاذ في January 1, 2026 على أن يبدأ التطبيق الكامل في January 2027، على المنصات الرقمية جمع البيانات الشخصية للأطفال دون سن 13 عاما أو معالجتها أو نشرها أو مشاركتها دون موافقة صريحة وموثقة وقابلة للتحقق من الوالدين. ويجب على المنصات تطبيق إعدادات خصوصية عالية بشكل افتراضي لمستخدميها من الأطفال، وتطبيق آليات تحقق من العمر متناسبة، وقصر الوصول إلى بيانات الأطفال على الموظفين المخوَّلين، وحظر التنميط السلوكي والإعلانات الموجَّهة للأطفال. ويسري القانون على المنصات العاملة في الإمارات والمنصات الأجنبية الموجَّهة إلى مستخدمين في الدولة على حد سواء.
هل تخضع البيانات الصحية في الإمارات لـ PDPL أم لقانون منفصل؟
يسري قانون قطاعي منفصل على البيانات الصحية الإلكترونية في البر الرئيسي. إذ يشترط Federal Law No. 2 of 2019 بشأن استخدام تقنية المعلومات والاتصالات في المجالات الصحية تخزين المعلومات الصحية على خوادم موجودة فعليا داخل الإمارات. ويُحظر النقل العابر للحدود إلا في عشر فئات محددة بموجب Ministerial Resolution No. 51 of 2021، تشمل العلاج في الخارج، واليقظة الدوائية، والبحث السريري. وتترتب على عدم الامتثال غرامات تتراوح بين AED 500,000 وAED 700,000. ويستثني PDPL صراحة البيانات الصحية الخاضعة أصلا لـ Federal Law No. 2 of 2019.
ما الذي غيّرته Substantial Public Interest Conditions Rules 2025 الصادرة عن ADGM؟
تُدخل هذه اللائحة، الصادرة في September 9, 2025، شرطين جديدين لمعالجة البيانات الشخصية ذات الفئة الخاصة دون موافقة استنادا إلى أساس المصلحة العامة الجوهرية في ADGM. الأول، المعالجة لأغراض التأمين وإعادة التأمين، بما في ذلك تقديم المشورة والاكتتاب ومعالجة المطالبات والتحقيق في الاحتيال. والثاني، المعالجة لأغراض حماية الأطفال دون سن 18 عاما والبالغين المستضعفين المعرضين لخطر الضرر وغير القادرين على حماية أنفسهم. ويشترط كلا الشرطين أن تكون المعالجة متعلقة ببيانات شخصية ذات فئة خاصة وأن تكون ضرورية لأسباب تتعلق بالمصلحة العامة الجوهرية.
ما هي مهلة الإبلاغ عن اختراق البيانات في الإمارات؟
يشترط كل من قانون DIFC لحماية البيانات ولوائح ADGM لحماية البيانات إخطار الجهة التنظيمية المعنية خلال 72 ساعة من العلم بوقوع اختراق للبيانات الشخصية. ويشترط PDPL الاتحادي الإبلاغ دون تأخير لا مبرر له؛ وقد أوضح مكتب بيانات الإمارات أن مدة 72 ساعة هي المعيار المعمول به، وإن كانت اللوائح التنفيذية الرسمية التي تحدد هذه المهلة لم تُنشر بعد. وينبغي للمؤسسات تطبيق مدة 72 ساعة باعتبارها المعيار العملي عبر الأنظمة الثلاثة جميعها.
Updates
توسيع وتحديث شامل: إضافة Regulation 10 الخاص بـ DIFC (الأنظمة الذاتية/الذكاء الاصطناعي)، وADGM Substantial Public Interest Conditions Rules 2025، وFederal Decree-Law No. 26/2025 بشأن السلامة الرقمية للأطفال، وتحديث حالة اللوائح التنفيذية لـ PDPL، وتوسيع تحليل النقل عبر الحدود، وتوطين البيانات الصحية، وإضافة قسم التطورات الأخيرة.
النشر الأولي، ويغطي القانون الاتحادي PDPL، وDIFC Law No. 5/2020، وADGM Data Protection Regulations 2021.
Sources and References
- Federal Decree-Law No. 45 of 2021 بشأن حماية البيانات الشخصية، بوابة التشريعات الإماراتية(uaelegislation.gov.ae).gov
- قوانين حماية البيانات، البوابة الرسمية لحكومة الإمارات(u.ae).gov
- DIFC Data Protection Law No. 5 of 2020، مركز دبي المالي العالمي(difc.com).gov
- Regulation 10، معالجة البيانات الشخصية من خلال الأنظمة الذاتية وشبه الذاتية، DIFC(difc.com).gov
- تصدير البيانات ومشاركتها، مفوض حماية البيانات في DIFC(difc.com).gov
- مكتب حماية البيانات في ADGM، الإرشادات واللوائح(adgm.com).gov
- ADGM Data Protection Regulations 2021، النص الكامل(assets.adgm.com).gov
- ADGM Consultation Paper No. 6 of 2025، لائحة Substantial Public Interest Conditions Rules(assets.adgm.com).gov
- Federal Law No. 2 of 2019 بشأن استخدام تقنية المعلومات والاتصالات في المجالات الصحية، بوابة التشريعات الإماراتية(uaelegislation.gov.ae).gov
- Federal Decree-Law No. 26 of 2025 بشأن السلامة الرقمية للأطفال، بوابة التشريعات الإماراتية(uaelegislation.gov.ae).gov
- تدفقات البيانات العابرة للحدود في الإمارات العربية المتحدة، إدارة التجارة الدولية الأمريكية(trade.gov).gov
- DIFC يصدر تعديلات على قانون حماية البيانات، Bird & Bird(twobirds.com)
- الإمارات تصدر قانونا بارزا للسلامة الرقمية للأطفال، Clyde & Co(clydeco.com)
- ADGM يطبق قواعد جديدة للمصلحة العامة الجوهرية لعام 2025، Clyde & Co(clydeco.com)
- تنظيم الذكاء الاصطناعي في DIFC: الأنظمة الذاتية وشبه الذاتية، Mayer Brown(mayerbrown.com)
- حماية البيانات والخصوصية 2026: الإمارات، Chambers Global Practice Guides(practiceguides.chambers.com)
- تحديث قانون حماية البيانات في DIFC يزيد من مخاطر الدعاوى، Pinsent Masons(pinsentmasons.com)
- المشهد التنظيمي لحماية البيانات والخصوصية في الشرق الأوسط، Clyde & Co(clydeco.com)