المقدمة
أرسى قانون حماية البيانات الشخصية الأردني لسنة 2023 إطار حوكمة جديدًا للبيانات الشخصية، من خلال إنشاء كلٍّ من مجلس حماية البيانات ووحدة تنظيمية متخصصة داخل الحكومة. وبالنسبة للشركات المحلية والدولية العاملة في الأردن، يُعدّ هذا تحولًا جوهريًا: إذ لم يعد الامتثال لحماية البيانات أمرًا اختياريًا أو قائمًا على أفضل الممارسات، بل أصبح مسألة قانون ورقابة وإنفاذ.
دور مجلس حماية البيانات
يعمل مجلس حماية البيانات المُنشأ حديثًا بوصفه الجهة المعنية بالسياسات والإشراف والمسؤولة عن:
- وضع المعايير الوطنية لمعالجة البيانات الشخصية
- اعتماد وإصدار التعليمات ومدونات السلوك للجهات العامة والخاصة
- الإشراف على وحدة حماية البيانات التي تتولى الترخيص والتحقيقات والمراقبة
- مراجعة الشكاوى المقدمة من الأفراد الذين قد تكون حقوقهم قد انتُهِكت
- ضمان المواءمة مع استراتيجية التحول الرقمي الأوسع في الأردن ومعايير الخصوصية العالمية
يضمن عمل المجلس حماية حقوق الأفراد، ويوفر للشركات إطار امتثال واضحًا وشفافًا يمكن اتباعه.
التزامات الامتثال على الشركات الدولية
1. حوكمة البيانات والمساءلة
يتعين على الشركات الدولية إنشاء أنظمة داخلية لإدارة البيانات الشخصية التي يتم جمعها في الأردن، مدعومة بسياسات تتعلق بجمع البيانات واستخدامها والاحتفاظ بها وإتلافها. وتتطلب المساءلة الآن وجود أدلة موثقة على الامتثال.
2. الموافقة والشفافية
يشترط القانون حصول الأفراد على موافقة صريحة ومستنيرة قبل معالجة بياناتهم. كما يجب على الشركات تقديم إشعارات خصوصية واضحة تشرح:
-
ما هي البيانات التي يتم جمعها
-
غرض ومدة المعالجة
-
كيفية ممارسة الأفراد لحقوقهم
3. مسؤول حماية البيانات (DPO)
سيُتوقع من بعض المؤسسات، لا سيما تلك التي تتعامل مع بيانات حساسة أو تعمل على نطاق واسع، تعيين مسؤول لحماية البيانات في الأردن. ويعمل مسؤول حماية البيانات كحلقة وصل بين الشركة ومجلس ووحدة حماية البيانات، ويتولى الإشراف على الامتثال الداخلي.
4. نقل البيانات عبر الحدود
يتطلب نقل البيانات الشخصية خارج الأردن عناية خاصة. ويجب على الشركات إثبات أن الدولة المقصودة أو الجهة المتلقية توفر ضمانات كافية، أو الحصول على موافقة صريحة من صاحب البيانات.
5. الأمن وإدارة حوادث الاختراق
يتعين على المؤسسات تطبيق تدابير تقنية وتنظيمية لحماية البيانات الشخصية. وفي حال وقوع خرق أمني، تكون ملزمة بإخطار الجهة التنظيمية والأفراد المتأثرين خلال أطر زمنية محددة.
6. التدريب والثقافة المؤسسية
الامتثال لا يقتصر على السياسات فحسب، بل يتعلق بالأفراد أيضًا. ويتعين على الشركات الدولية تدريب موظفيها في الأردن على ممارسات حماية البيانات لبناء ثقافة امتثال واحترام للخصوصية.
الآثار الاستراتيجية على الشركات متعددة الجنسيات
يعني إنشاء مجلس حماية البيانات أن الأردن يتجه نحو نموذج خصوصية أقرب إلى النموذج الأوروبي، المشابه من حيث الروح للائحة العامة لحماية البيانات (GDPR). وبالنسبة للشركات متعددة الجنسيات، يخلق ذلك تحديات وفرصًا في آن واحد:
التحديات: تكاليف امتثال جديدة، رقابة أشد، وغرامات محتملة في حال عدم الامتثال.
الفرص: تعزيز ثقة المستهلك، وتيسير المعاملات الرقمية، وبيئة تنظيمية أكثر قابلية للتنبؤ.
وبالنسبة للشركات المتوافقة أصلًا مع اللائحة العامة لحماية البيانات (GDPR)، سيبدو إطار الأردن مألوفًا، إلا أنه لا يزال يتطلب تكييفًا محليًا، لا سيما فيما يتعلق بالموافقات، وتعيين مسؤول حماية البيانات، ونقل البيانات عبر الحدود.
دور مكتب جرادات للمحاماة
في مكتب جرادات للمحاماة، نساعد العملاء الدوليين والمحليين في:
- إجراء تقييمات فجوات الامتثال بموجب قانون حماية البيانات الشخصية الأردني
- صياغة وتحديث إشعارات الخصوصية ونماذج الموافقة واتفاقيات معالجة البيانات
- تقديم المشورة بشأن نقل البيانات عبر الحدود والأسس القانونية للمعالجة
- دعم تعيين وتدريب مسؤولي حماية البيانات
- تمثيل الشركات أمام مجلس ووحدة حماية البيانات في حال التدقيق أو التحقيقات
الخلاصة
يشير إنشاء مجلس حماية البيانات في الأردن إلى مرحلة جديدة من الرقابة التنظيمية على البيانات الشخصية. ويتعين على الشركات الدولية العاملة في الأردن اتخاذ خطوات فعالة لتحقيق الامتثال، ليس فقط لتجنب العقوبات، بل أيضًا لبناء الثقة مع العملاء والموظفين والجهات التنظيمية.
وبخبرة قانونية تمتد لما يقارب خمسة عقود، يتمتع مكتب جرادات للمحاماة بموقع مثالي لمرافقة الشركات خلال هذه المرحلة الانتقالية، وضمان أن تصبح حماية البيانات مصدر قوة لا عبئًا تنظيميًا.