مصرف الإمارات المركزي ينشئ نظاما جديدا لحماية البيانات للمؤسسات المالية

أنشأ المصرف المركزي لدولة الإمارات العربية المتحدة إطارًا تنظيميًا لحماية المستهلك المالي يقدم متطلبات جديدة لحماية البيانات الشخصية للعملاء. في هذه المقالة ، ننظر في الإطار الجديد ونطاقه وجدوله الزمني للامتثال وما يعنيه هذا بالنسبة للمؤسسات المالية.

ووفقًا لأهدافه المنصوص عليها في المادة 121 من القانون الاتحادي رقم 14 لسنة 2018 بشأن حماية عملاء المؤسسات المالية المرخصة (LFIs) ، أصدر المصرف المركزي لدولة الإمارات العربية المتحدة (CBUAE) لائحة حماية المستهلك (CPR) في ديسمبر 2020 ، تليها معايير حماية المستهلك (CPS) في يناير 2021 ، مما أدى بشكل فعال إلى إنشاء "الإطار التنظيمي لحماية المستهلك المالي" الجديد للمصرف المركزي الإماراتي (الإطار). يقدم إطار العمل ، من بين أشياء أخرى ، متطلبات المؤسسات المالية الأجنبية التي تتعلق بحماية البيانات الشخصية للعملاء ، والتي تعكس تلك الموجودة في اللائحة الأوروبية العامة لحماية البيانات (GDPR).

ويعتمد الإطار على مجموعة واسعة من المبادئ القائمة على المعايير الدولية التي تعزز القدرة التنافسية والنزاهة والاستقرار للقطاع المصرفي في دولة الإمارات العربية المتحدة. والجدير بالذكر أن CPR تقدم المتطلبات المتعلقة بحماية البيانات ، في ما يمكن اعتباره أولًا لـ "داخل الإمارات العربية المتحدة" (أي خارج المناطق المالية الحرة).

ونلاحظ أن حماية البيانات الشخصية للمستهلكين وخصوصيتهم هي إحدى وسائل الحماية العديدة التي يوفرها الإطار فيما يتعلق بالإفصاح والشفافية والإشراف المؤسسي وسلوك السوق وتسيير الأعمال التي تهدف إلى ضمان ممارسات التمويل المسؤولة وإدارة الشكاوى. وحل النزاعات ، وتثقيف المستهلك وتوعيته ، والشمول المالي.

وينطبق الإطار على جميع المؤسسات المالية الأجنبية (سواء كانت مدمجة في دولة الإمارات العربية المتحدة أو في ولايات قضائية أخرى ، أو لديها فرع أو فرع أو مكتب تمثيلي في الإمارات العربية المتحدة) المرخصة من قبل المصرف المركزي لممارسة "نشاط مالي مرخص" في دولة الإمارات العربية المتحدة والتي تقديم منتجاتهم وخدماتهم إلى "المستهلكين". تشمل الأنشطة المالية المرخصة ، من بين أمور أخرى ، تقديم التسهيلات الائتمانية أو الصناديق من جميع الأنواع ؛ تقديم خدمات صرف العملات وتحويل الأموال ؛ تقديم خدمات الوساطة النقدية ؛ أو الترتيب و / أو التسويق للأنشطة المالية المرخصة.

وأمام المؤسسات المالية الأجنبية حتى 31 ديسمبر 2021 لتحديث ممارساتها لتتوافق مع CPR.

ويُعرَّف "المستهلكون" على أنهم أي شخص طبيعي (أو مالك وحيد) يتلقى منتجات وخدمات من LFIs ، بغض النظر عما إذا كانت هذه المنتجات والخدمات مدفوعة أم لا.

وتُعرَّف "البيانات الشخصية" في تقرير الإنعاش القلبي على أنها تعني أي معلومات تتعلق بشخص طبيعي محدد أو يمكن التعرف عليه ، بما في ذلك العوامل الخاصة بالهوية البيولوجية أو الجسدية أو البيومترية أو الفسيولوجية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية لذلك الشخص الطبيعي. يتماشى هذا التعريف بشكل عام مع تعريف اللائحة العامة لحماية البيانات (GDPR).

مبادئ حماية البيانات

وحددت CPS عددًا من مبادئ حماية البيانات التي تشبه تشريعات حماية البيانات الدولية ، مثل:

الشرعية: يجب أن تحصل المؤسسات المالية الأجنبية على موافقة "صريحة" من المستهلكين قبل جمع بياناتهم الشخصية و / أو استخدامها و / أو مشاركتها.

الإنصاف: يجب أن يكون للمؤسسات المالية الأجنبية غرض قانوني لجمع البيانات الشخصية ، والتي يجب أن تكون مرتبطة بشكل مباشر بالأنشطة المالية المرخصة للمؤسسة المالية الأجنبية.

الشفافية: قبل طلب موافقة المستهلكين ، يجب على LFIs إبلاغ المستهلكين كتابيًا فيما يتعلق بكيفية معالجة بياناتهم الشخصية.

تحديد الغرض: يجب أن تكون البيانات الشخصية كافية وغير مفرطة فيما يتعلق بالغرض الذي تم جمعها من أجله بواسطة LFI.

قيود التخزين: يجب على LFIs عدم معالجة أو استخدام البيانات الشخصية لأي فترة أطول مما هو ضروري للغرض الذي تم جمع البيانات الشخصية من أجله. ومع ذلك ، تفرض CPS فترة احتفاظ بحد أدنى 5 سنوات لجميع البيانات الشخصية والوثائق والسجلات والملفات.

الأمان: يجب أن تضمن LFIs أن البيانات الشخصية يتم جمعها مع تدابير الأمان والحماية المناسبة ضد انتهاكات البيانات.

اقرأ أيضا: صندوق النقد: ينبغي للسياسة النقدية أن تظل تيسيرية واعتماد منهج استباقي في معالجة المخاطر