الانتقال إلى المحتوى الرئيسي
HubSecure
القائمة

المدونة

سيادة البيانات في الإمارات: لماذا يُشكّل تخزين بيانات الأعمال على السحابات الأمريكية مخاطرة قانونية في 2026

يُفرز قانون حماية البيانات الشخصية الاتحادي الإماراتي وقانون مركز دبي المالي العالمي للبيانات وإطار سوق أبوظبي العالمي التزامات متداخلة تنتهكها كثير من المنشآت المستخدِمة للسحابات الأمريكية والأوروبية دون أن تدرك ذلك.

· بواسطة HubSecure Compliance

أمضت دبي وأبوظبي عقداً كاملاً في التنافس لتصبح الوجهة الأكثر جاذبية للأعمال الدولية. والبنية التنظيمية التي أُنشئت لدعم هذا الطموح باتت ناضجة بما يكفي لإيجاد تعرض قانوني حقيقي للمنشآت التي لم تُحدّث استراتيجياتها في السحابة والبيانات منذ مطلع العشرينيات.

لا تُمثّل الإمارات ولاية قضائية واحدة لحماية البيانات، بل ثلاثة أطر متوازية: قانون حماية البيانات الشخصية الاتحادي، وقانون حماية البيانات في مركز دبي المالي العالمي (المُحدَّث 2023)، ولوائح حماية البيانات في سوق أبوظبي العالمي. يسري كل إطار على فئة مختلفة من المنشآت، وكثير من الشركات متعددة الجنسيات العاملة في دبي أو أبوظبي تخضع لأكثر من إطار واحد.

الأطر الثلاثة وآليات التطبيق

قانون حماية البيانات الشخصية الاتحادي يسري على جميع المنشآت التي تعالج بيانات شخصية لمقيمين في الإمارات. يتبنى هيكل اللائحة الأوروبية العامة لحماية البيانات — الأساس القانوني وحقوق أصحاب البيانات وإخطار الاختراقات — مع استثناءات وآلية نقل عابر للحدود تختلف عن اللائحة الأوروبية.

قانون مركز دبي المالي العالمي لحماية البيانات 2020 يسري على المنشآت المُسجَّلة في المركز أو التي تُجري أنشطة معالجة البيانات منه. للمركز جهة رقابية مستقلة ومسار تنفيذي خاص. والغرامة الصادرة عن مفوض حماية البيانات في المركز لا تُعفي من التعرض بموجب القانون الاتحادي إذا كلاهما ينطبق.

لوائح سوق أبوظبي العالمي لحماية البيانات تُغطي منشآت السوق وتُعرِّف على نحو وثيق باللائحة الأوروبية بعد خروج المملكة المتحدة من الاتحاد الأوروبي.

إذا كانت شركتك مؤسسة مالية مُسجَّلة في مركز دبي المالي العالمي مع عمليات في البر الرئيسي للإمارات، فأنت على الأرجح خاضع للأطر الثلاثة. لم تُرسِم أغلب المنشآت هذا التقاطع بعد.

أين تُنشئ السحابات الأمريكية مخاطرة هيكلية

المشكلة ليست في AWS أو Microsoft Azure أو Google Cloud كمنتجات، بل في أن تهيئاتها الافتراضية مبنية لتوقعات تنظيمية أمريكية وأوروبية، لا لقانون الإمارات.

قيود نقل البيانات عبر الحدود: لم تنشر مجلس الوزراء الإماراتي قائمة شاملة بالدول المعترف بكفاية حمايتها. في غياب قرارات الكفاءة، يجب على المنشآت الاعتماد على البنود التعاقدية المعيارية أو الموافقة الصريحة، مع القدرة على إثبات تطبيق الآلية فعلياً.

اشتراطات الإقامة: تُلزم قطاعات بعينها في الإمارات — الرعاية الصحية والخدمات المالية والجهات الحكومية — ببقاء البيانات داخل الحدود الإماراتية. استخدام مزود SaaS عالمي لا تملك السيطرة على توزيع مراكز بياناته لا يستوفي هذا الاشتراط.

إمكانية الوصول الحكومي: أثبتت قضية شريمز II أن قوانين المراقبة الأمريكية — قانون CLOUD Act والمادة 702 من قانون FISA — تُفرز مخاطرة هيكلية للبيانات المحفوظة لدى مزودي السحابة الأمريكيين، إذ يُلزَم هؤلاء قانوناً بتقديم البيانات للجهات الحكومية الأمريكية بصرف النظر عن موقعها الجغرافي.

توفر مسار التدقيق: تطلب جهات الإشراف في مركز دبي المالي العالمي وسوق أبوظبي العالمي بشكل متزايد أدلة تقنية خلال عمليات الفحص، لا مجرد وثائق سياسات. إذا كانت أدلة التعامل مع البيانات موجودة داخل لوحة تحكم مزود أمريكي وتستلزم تذكرة دعم لتصديرها، فأنت تواجه إشكالية تدقيق عملية.

ما تفعله المنشآت المنظَّمة بشكل مختلف

تشترك المنشآت التي تُدير هذا الوضع باتجاه واحد: فصل طبقة البيانات عن طبقة الإنتاجية.

قد تبقى أدوات الإنتاجية — التقويم والبريد الإلكتروني والتعاون — بشكل معقول في منتجات سحابية ذات مقرات أمريكية. أما البيانات المنظَّمة — ملفات العناية الواجبة بالعملاء وسجلات قضايا مكافحة غسل الأموال والوثائق التعاقدية وملفات الموارد البشرية — فتقطن في منصة ذات إقامة بيانات محددة وضوابط نقل موثقة ومسار أدلة مستقل عن لوحة تحكم المزود.

قائمة التحقق العملية للعمليات الإماراتية

رسم خريطة الولايات القضائية

  • تحديد أي أطر إماراتية تسري على هيكل كيانك (اتحادي، مركز دبي، سوق أبوظبي، أو مجموعات منها)
  • ربط كل فئة من فئات البيانات بالإطار المنطبق ومتطلباته
  • توثيق اشتراطات الإقامة الخاصة بالقطاع (هيئة الأوراق المالية، المصرف المركزي، هيئة الصحة بدبي…)

تقييم السحابة والموردين

  • تحديد جميع منتجات SaaS وIaaS التي تعالج بيانات شخصية إماراتية
  • لكل منها: التحقق من موقع مركز البيانات وسياسة الوصول الحكومي وإمكانية تصدير سجلات التدقيق
  • مراجعة اتفاقيات معالجة البيانات وفق اشتراطات المادة التاسعة من القانون الاتحادي
  • تحديد عمليات النقل عبر الحدود وتوثيق الآلية القانونية لكل منها

الضوابط التشغيلية

  • اختبار عملية حقوق أصحاب البيانات من البداية للنهاية لكل إطار
  • إجراء الإخطار بالاختراق يشمل نافذة 72 ساعة بموجب القانون الاتحادي
  • جداول الاحتفاظ تُنفَّذ آلياً — لا بطلبات الحذف اليدوية

الخلاصة

لم تنته محادثة السيادة الرقمية، والمنشآت التي تُعامل سيادة البيانات الإماراتية كتمرين لوضع علامة اختيار ستجد أن العلامات باتت أصعب. أما تلك التي تبني ممارسات معالجة البيانات على بنية تحتية ذات سيادة وأدلة موثقة، فستجد عمليات الفحص أسرع وأقل تكلفة وأقل تعطيلاً.