- رئيس التحرير المسؤول .. فايز الأجراشي
- نتقبل شكواكم و ملاحظاتكم على واتس أب و تلفون 0799545577
مسودة قانون حماية البيانات الشخصية
نشر ديوان التشريع والرأي، مسودة قانون حماية البيانات الشخصية، والذي سيبدأ العمل به بعد سنة من صدوره في الجريدة الرسمية.
وتنشر عمون مسودة قانون حماية البيانات الشخصية كما يلي:
اسم المسودة : قانون حماية البيانات الشخصية
محتوى المسودة :
مشروع
قانون رقم ( ) لسنة 2020
قانون حماية البيانات الشخصية
ـــــــــــــــــــــــــــــــــــــــ
المادة1- يسمى هذا القانون قانون حماية البيانات الشخصية لسنة (2020) ويعمل به بعد سنة من تاريخ نشره في الجريدة الرسمية.
الفصل الأول: تعريفات وأحكام عامة
المادة2- تعريفات:-
يكون للكلمات والعبارات الآتية، حيثما وردت في هذا القانون، المعاني المبينة إزاءها، ما لم تدل القرينة على خلاف ذلك:-
الوزارة : وزارة الاقتصاد الرقمي والريادة.
الوزير : وزير الاقتصاد الرقمي والريادة.
المجلس : مجلس حماية البيانات الشخصية المشكل بموجب أحكام هذا القانون.
البيانات الشخصية: أي بيانات أو معلومات تتعلق بشخص طبيعي مهما كان مصدرها أو شكلها والتي من شأنها التعريف به بطريقة مباشرة أو غير مباشرة، من خلال العديد من المعلومات أو الرموز، بما في ذلك البيانات المتعلقة بالحالة الشخصية أو وضعه العائلي أو بيانات تحديد الموقع الجغرافي أو بيانات تعريف الإنترنت الخاضعة لقواعد الحماية المقررة بموجب أحكام هذا القانون.
البيانات الشخصية الحساسة : البيانات الشخصية التي تشكل معالجتها مخاطر أو تمييزا بالنسبة إلى حماية الحياة الخاصة للشخص كأن تبين الأصل العرقي أو الآراء والانتماءات السياسية أو المعتقدات الدينية أو أي بيانات تتعلق بحالته الصحية أو الجسدية أو العقلية أو الاقتصادية أو انتماءاته الحزبية أو سجله الجرمي.
قواعد البيانات الشخصية : الملفات أو السجلات الإلكترونية أو غير الإلكترونية أو بنوك البيانات أو المعلومات المؤتمتة وأية وسيلة جمع أو حفظ أو تبويب إلكترونية أو غير إلكترونية تشتمل على البيانات الشخصية.
معالجة البيانات الشخصية : القيام بأية عملية أو عمليات منطقية أو حسابية على البيانات الشخصية، سواء كانت إلكترونية أو غير ذلك، والتي تهدف بشكل خاص إلى جمع البيانات الشخصية أو الاطلاع عليها أو تسجيلها أو نسخها أو حفظها أو تخزينها أو تنظيمها أو تنقيحها أو استغلالها أو استعمالها أو إرسالها أو توزيعها أو نشرها أو ربطها ببيانات أخرى أو إحالتها أو تحويلها أو نقلها أو عرضها بأي شكل من الأشكال، أو إخفاء هويتها، أو ترميزها أو إتلافها.
المسؤول عن المعالجة : أي شخص طبيعي أو حكمي سواء أكان داخل المملكة أو خارجها، تكون البيانات الشخصية في عهدته والذي يقرر الغاية من معالجة البيانات الشخصية وشروطها وطرق القيام بها.
الشخص المعني بالمعالجة : الشخص الطبيعي الذي تتم معالجة البيانات الشخصية الخاصة به.
معالج البيانات الشخصية : الشخص الطبيعي أو الحكمي الذي يكون بحكم عمله مختصًا بمعالجة البيانات الشخصية ويقوم بمعالجة البيانات الشخصية لحساب المسؤول عن المعالجة وتحت رقابته.
مراقب حماية البيانات الشخصية : الشخص الطبيعي المعين للأشراف على قواعد البيانات الشخصية وعلى معالجة البيانات الشخصية وتنفيذ المهام المنصوص عليها في هذا القانون والنظام والتعليمات الصادرة بموجبه.
الإخلال بأمن وسلامة البيانات الشخصية : أي وصول غير مشروع أو أية عملية أو نقل أو إجراء غير مصرح به على البيانات الشخصية.
متلقي البيانات الشخصية: أي شخص طبيعي أو حكمي سواء أكان داخل المملكة أو خارجها يصار نقل البيانات الشخصية إليه أو تبادل هذه البيانات معه من قبل المسؤول عن المعالجة، وفقًا لأحكام هذا القانون.
الموافقة المسبقة: إرادة الشخص المعني بالمعالجة التي تصدر قبل القيام بأي إجراء لمعالجة بياناته الشخصية، والتي تقضي بقبول معالجة بياناته الشخصية.
التشخيص: كل شكل من أشكال المعالجة الآلية للبيانات الشخصية يهدف إلى تقييم بعض الجوانب الخاصة لشخص طبيعي تكون الغاية منه التعرف على خصوصياته أو ميوله أو خياراته أو سلوكياته.
حق النسيان : تمكين الشخص المعني بالمعالجة من محو بياناته الشخصية أو إخفائها.
إخفاء الهوية : معالجة البيانات الشخصية بطريقة لا تسمح قطعًا بالتعرف على الشخص المعني بالمعالجة.
وحدة حماية البيانات الشخصية (الوحدة) : وحدة تنشأ في الوزارة، وتكلف بإنجاز المهام الواردة في هذا القانون.
مفوض حماية البيانات الشخصية (مفوض الحماية) : الشخص المسمى من قبل الوزير ويصدر قرار بتعيينه من قبل مجلس الوزراء وترتبط مهامه وصلاحياته بالوحدة.
المحكمة : محكمة البداية التي يقع المركز الرئيسي للمسؤول عن المعالجة ضمن اختصاصها المكاني وفي الأحوال التي يقع المركز الرئيسي للمسؤول عن المعالجة خارج المملكة تكون محكمة بداية عمان هي المحكمة المختصة.
نطاق التطبيق
المادة3- أ- تسري أحكام هذا القانون على كل مما يأتي:
1- على أي مسؤول عن المعالجة يقوم بمباشرة أي معالجة للبيانات الشخصية بأية وسيلة كانت، حتى وإن تم جمع هذه البيانات قبل تاريخ نفاذ هذا القانون.
2- على أي معالجة للبيانات الشخصية للأشخاص الطبيعيين المتواجدين داخل المملكة حتى وإن كان المسؤول عن المعالجة متواجدا خارج المملكة.
ب- لا تطبق احكام هذا القانون على معالجة البيانات الشخصية التي يقوم الأفراد بها في نطاق شخصي أو عائلي وللمجلس استثناء بعض الشركات الناشئة والصغيرة من تطبيق بعض الالتزامات الواردة في هذا القانون وفقًا للتعليمات التي تصدر لهذه الغاية.
الفصل الثاني: مجلس حماية البيانات الشخصية
المادة 4- تشكيلة المجلس
أ- يشكل بقرار من مجلس الوزراء، مجلس يسمى (مجلس حماية البيانات الشخصية) على النحو التالي:
1- الوزير رئيسًا
2- مفوض الحماية نائباً للرئيس
3- رئيس اللجنة القانونية في مجلس النواب عضوًا
4- رئيس مجلس الأمناء للمركز الوطني لحقوق الإنسان عضوًا
5- المفوض العام لحقوق الإنسان عضوًا
6- مفوض المعلومات المعين بموجب قانون ضمان حق الحصول على المعلومات عضوًا
7- الأجهزة الأمنية عضوان
8- ذوو الخبرة والاختصاص في مجال البيانات الشخصية ثلاثة أعضاء
ب- تنظم آلية انعقاد المجلس والتفاصيل الخاصة بذلك وفقًا للنظام الذي يصدر تطبيقا لأحكام هذا القانون.
المادة 5- صلاحيات المجلس
يمارس المجلس جميع الصلاحيات اللازمة لقيامه بمهامه وفقًا لأحكام هذا القانون بما في ذلك:
أ- رسم وإقرار السياسات والاستراتيجيات المتعلقة بحماية البيانات الشخصية.
ب- إقرار الخطط والبرامج اللازمة لحماية البيانات الشخصية.
ج- تحديد أفضل الوسائل الواجب اتباعها لضمان حسن أداء المسؤول عن المعالجة لأعماله وفقًا للنظام الذي يصدر تطبيقا لأحكام هذا القانون.
د- وضع تعليمات تبين آلية البت في الشكاوى والطلبات المقدمة من الأشخاص المعنيين بالمعالجة بحق المسؤول عن المعالجة أو المقدمة من أي مسؤول عن المعالجة بحق أي مسؤول آخر واتخاذ الإجراءات اللازمة بشأنها.
هـ- إصدار التوصيات بشأن المعاهدات والاتفاقيات والتشريعات والأنظمة والتعليمات المتعلقة بحماية البيانات الشخصية.
و- إقرار التعليمات الداخلية المتعلقة بمهام مراقب حماية البيانات الشخصية.
ز- إصدار التعليمات التي تبين شروط وإجراءات الحصول على الموافقة وسحب الموافقة والنماذج الخاصة بالموافقة وسحب الموافقة وتصاريح نقل أو تبادل البيانات الشخصية داخل وخارج المملكة وفقاً لأحكام هذا القانون.
ح- إصدار المجلس قائمة محدثة بشكل دوري للدول أو الهيئات أو المنظمات الدولية أو الإقليمية المعتمدة لدى المملكة والتي يتوافر لديها مستوى الحماية الكافي وفقاً لأحكام هذا القانون.
ط- إقرار التقرير السنوي الخاص بحماية البيانات الشخصية الصادر عن مفوض الحماية ورفعه إلى مجلس الوزراء.
ي- أي مهام أخرى تناط بالمجلس بمقتضى التشريعات النافذة.
المادة 6- وحدة حماية البيانات الشخصية
أ- تنشأ بموجب أحكام هذا القانون وحدة في الوزارة تتولى مباشرة كافة المهام والصلاحيات اللازمة لحماية البيانات الشخصية من خلال مفوض الحماية ولها في سبيل ذلك القيام بوجه خاص بما يلي:
1. رفع المقترحات والتوصيات المتعلقة بالتشريعات ذات الصلة بحماية البيانات الشخصية إلى المجلس لاعتمادها.
2. اقتراح السياسات أو الاستراتيجيات أو الخطط أو البرامج بشأن تطبيق أحكام هذا القانون ورفعها إلى المجلس لاعتمادها.
3. إعداد نظام يتعلق بآلية تلقي الإخطارات والشكاوى أو الطلبات والتصاريح وآلية النظر بها ورفعه إلى المجلس لاعتماده.
4. تلقي البلاغات والشكاوى المتعلقة بمخالفة أحكام هذا القانون والتحقيق فيها واتخاذ القرار المناسب حيالها وفقًا لأحكام هذا القانون.
5. مراقبة التزام أي مسؤول عن المعالجة بأحكام هذا القانون والنظام والتعليمات الصادرة بمقتضاه ومدى تقيدها بالإجراءات الفنية والإدارية المحددة بمقتضى نظام يصدر لهذه الغاية.
6. السير في الإجراءات القانونية بحق المخالفين لأحكام هذا القانون حسب مقتضى الحال.
7. تمثيل المملكة في المحافل المحلية والإقليمية والدولية المتعلقة بحماية البيانات الشخصية.
8. الرقابة على أعمال مراقبي حماية البيانات الشخصية للتحقق من التزامهم بأحكام هذا القانون وفقًا للنظام الذي يصدر تطبيقا لأحكام هذا القانون بعد إقراره من المجلس.
9. إعداد التعليمات التي تبين شروط وإجراءات الحصول على الموافقة وسحب الموافقة وتصاريح نقل أو تبادل البيانات الشخصية داخل وخارج المملكة ورفعها إلى المجلس لاعتمادها.
10. إعداد النماذج للحصول على الموافقة وسحب الموافقة وتصاريح نقل أو تبادل البيانات الشخصية الخاصة بالموافقة وسحب الموافقة على معالجة البيانات الشخصية إلى خارج المملكة وفقا لأحكام هذا القانون ورفعها إلى المجلس لاعتمادها.
11. إعداد التقرير السنوي ورفعه إلى المجلس لاعتماده.
ب- لمفوض الحماية تفويض أي من صلاحياته المنصوص عليها في هذا القانون إلى أي من موظفي الوحدة على أن يكون التفويض خطيًا ومحددًا.
الفصل الثالث: الاشتراطات المتعلقة بمعالجة البيانات الشخصية
المادة 7- الاشتراطات العامة
يشترط لمعالجة البيانات الشخصية ما يأتي:
أ- أن يكون الغرض من هذه المعالجة مشروعًا ومحددًا وواضحًا، وأن لا يتم أي إجراء لاحق لها على نحو لا يتوافق مع الغرض من هذه المعالجة.
ب- أن تكون المعالجة كافية وذات صلة من الغرض منها.
ج- يجب أن تتم معالجة البيانات الشخصية وفقًا لأحكام هذا القانون ولا يجوز استخدام أي وسيلة غير قانونية أو إيهاميه أو غير صحيحة لهذا الغرض.
د- أن تكون البيانات الشخصية صحيحة ودقيقة وتخضع للتحديث عندما يكون لذلك مقتضى.
هـ- أن لا تكون المعالجة بصورة تسمح بتحديد الشخص المعني بالمعالجة بعد استنفاذ الغرض منها.
و- أن لا تؤدي إلى التسبب بضرر للأشخاص الذين جمعت عنهم البيانات أو تنال من حقوقهم أو حرياتهم وفقًا لما يحدده النظام الذي يصدر تطبيقًا لأحكام هذا القانون.
المادة 8- الاشتراطات الخاصة بمعالجة البيانات الشخصية
أ- يحظر القيام بمعالجة البيانات الشخصية دون موافقة صاحبها، ما لم تكن المعالجة ضرورية لأي مما يأتي:
1- تنفيذ عقد يكون الشخص المعني بالمعالجة طرفا فيه.
2- اتخاذ خطوات بناء على طلب الشخص المعني بالمعالجة بهدف إبرام عقد.
3- تنفيذ التزام يرتبه القانون خلافا لالتزام عقدي أو صدور أمر من محكمة مختصة.
4- حماية المصالح الحيوية للشخص المعني بالمعالجة.
ب- لا يجوز أن تتجاوز معالجة البيانات الشخصية الغرض الذي جمعت من أجله والمحدد عند أخذ موافقة الشخص المعني بالمعالجة على النحو المبين في هذا القانون.
ج- مع عدم الإخلال بالأحكام الواردة في القوانين التي تلزم المسؤول عن المعالجة بالاحتفاظ بالبيانات الشخصية التي في عهدته لمدة زمنية محددة، لا يجوز الاحتفاظ بالبيانات في عهدة المسؤول عن المعالجة لمدة تتجاوز تاريخ انتهاء إجراء أي معالجة عليها.
د- لا يجوز إجراء أي معالجة للبيانات الشخصية لمن لا يتمتع بالأهلية الكاملة دون الحصول على موافقة أحد الوالدين الخطية أو الإلكترونية، وفي حال غياب الوالدين لأي سبب من الأسباب فيتم أخد موافقة الولي المعين قانوناً لمتابعة شؤونه.
المادة 9- البيانات الشخصية الحساسة.
يجوز للمجلس أن يضيف أصنافًا أخرى من البيانات الشخصية الحساسة غير الواردة في هذا القانون إذا كان من شأن سوء استخدامها أو إفشائها إلحاق ضرر بالشخص المعني بالمعالجة.
المادة 10- الاشتراطات الخاصة بمعالجة البيانات الشخصية الحساسة.
يحظر معالجة البيانات الشخصية الحساسة دون موافقة الشخص المعني بمعالجة بياناته الشخصية، ويستثنى من ذلك ما يلي:
أ- المعالجة الضرورية لحماية أي إنسان إذا كان الشخص المعني بالبيانات الشخصية أو الوصي أو الولي أو القيم عليه غير قادر قانونًا على إعطاء موافقته على ذلك وبشرط الحصول على تصريح مسبق من الوحدة بذلك.
ب- معالجة البيانات المتاحة للجمهور.
ج- المعالجة الضرورية لأغراض الطب الوقائي أو التشخيص الطبي أو إدارة خدمات الرعاية الصحية من قبل مرخص له بمزاولة أي من المهن الطبية أو أي شخص ملزم بحكم القانون بالمحافظة على السرية.
د- المعالجة التي تتم من قبل مؤسسة رسمية عامة بالقدر الذي يقتضيه تنفيذ المهام المنوطة بها قانونًا.
المادة 11- التزامات المسؤول عن المعالجة.
أ- يكون المسؤول عن المعالجة ملزما بحماية البيانات الشخصية التي في عهدته، وعن تلك التي سلمت إليه من قبل أي شخص آخر وفقًا لأحكام هذا القانون.
ب- يلتزم المسؤول عن المعالجة بوضع سياسات وإجراءات خاصة تتعلق بمعالجة البيانات الشخصية وآلية تلقي الشكاوى بخصوصها والرد عليها وفقًا لأحكام هذا القانون، على أن يقوم بنشرها في وسائل الإعلام المتاحة، بما في ذلك الموقع الإلكتروني الخاص به.
ج- يلتزم المسؤول عن المعالجة بتوفير وسائل المساعدة البصرية والسمعية والحسية وأي وسيلة أخرى مناسبة، تضمن تلبية احتياجات الشخص المعني بمعالجة بياناته الشخصية من ذوي الإعاقة في ممارسة حقوقهم.
د- يلتزم المسؤول عن المعالجة بتسمية مراقب حماية البيانات الشخصية.
المادة 12- مراقب حماية البيانات الشخصية .
أ- يجب أن يكون مراقب حماية البيانات الشخصية ممن لديه القدرة على القيام بالمهام الموكلة له بموجب أحكام هذا القانون والنظام والتعليمات الصادرة تنفيذا له.
ب- على مراقب حماية البيانات الشخصية اتخاذ الإجراءات التالية:
1- مراقبة الإجراءات التي يقوم بها المسؤول عن المعالجة فيما يتعلق بحماية البيانات الشخصية وتوثيق مدى توافقها مع أحكام هذا القانون والقوانين الأخرى ذات العلاقة.
2- الإشراف على معالجة البيانات الشخصية وتوثيق مدى توافقها مع أحكام هذا القانون.
3- الإشراف على إجراء التقييم والفحص الدوري لأنظمة قواعد البيانات الشخصية، وأنظمة معالجة البيانات الشخصية، وأنظمة المحافظة على أمن وحماية البيانات الشخصية بشكل دوري، على أن يقوم بتوثيق نتائج التقييم وإصدار التوصيات اللازمة لحماية البيانات الشخصية ومتابعة تنفيذ هذه التوصيات.
4- العمل كضابط ارتباط مباشر مع مفوض الحماية والجهات الأمنية والقضائية فيما يخص الالتزام بأحكام هذا القانون.
5- وضع تعليمات داخلية لتلقي ودراسة الشكاوى، وطلبات الوصول للبيانات، وطلبات تصحيحها أو حذفها ونقلها، وإتاحة ذلك للشخص المعني بالمعالجة وفق أحكام القانون.
6- مراقبة مدى ملاءمة الوسائل التكنولوجية المستخدمة في تمكين الشخص المعني بالمعالجة من ممارسة حقه في الوصول إلى البيانات الشخصية ومراجعتها وتصحيحها بشكل مباشر، إن أمكن ذلك.
7- تنظيم البرامج التدريبية اللازمة لموظفي المسؤول عن المعالجة ومعالج البيانات الشخصية لديه لتأهيلهم للتعامل مع البيانات الشخصية بما يتناسب ومتطلبات هذا القانون.
المادة 13- سرية وأمان البيانات الشخصية.
أ. يلتزم المسؤول عن المعالجة ومعالج البيانات الشخصية ومتلقي البيانات الشخصية بضمان سلامة وأمن البيانات الشخصية وتهيئة الوسائل المناسبة التي تساعد في اكتشاف وتعقب حالات الاعتداء على أمن البيانات الشخصية.
ب. مع مراعاة الاستثناءات الواردة في المادة (15) من هذا القانون، تعتبر البيانات الشخصية التي تجري عليها أي معالجة بيانات سرية ويقع على عاتق المسؤول عن المعالجة والمعالج المحافظة على سريتها.
ج. يجب أن تتم معالجة البيانات الشخصية بطريقة تضمن سرية المعلومات وسلامتها وعدم حدوث أي تغيير عليها.
د. تحدد شروط الإفصاح عن البيانات الشخصية، والأشخاص الذين يجوز الإفصاح لهم، والبيانات الشخصية المسموح بالإفصاح عنها، وفقًا للنظام الذي يصدر تطبيقًا لأحكام هذا القانون.
هـ.على المسؤول عن المعالجة اتخاذ التدابير الأمنية والتقنية والتنظيمية ووسائل أمن وحماية البيانات الشخصية، التي تكفل حماية البيانات من أي إخلال بأمن وسلامة البيانات الشخصية أو أي كشف أو تغيير أو إضافة أو إتلاف أو إجراء غير مصرح به بموجب تعليمات تصدر لهذه الغاية.
و.عند حدوث إخلال بأمن وسلامة البيانات الشخصية من شأنه إحداث ضرر جسيم بالبيانات الشخصية، يتوجب على المسؤول عن المعالجة، إبلاغ الأشخاص المعنيين بالمعالجة الذين قد تكون بياناتهم الشخصية تأثرت خلال 24 ساعة من اكتشاف عملية الإخلال، وتوفير النصح والإرشاد بالإجراءات اللازمة لتفادي أي عواقب قد تترتب على هذا الإخلال.
ز.في حال حدوث إخلال بأمن وسلامة البيانات الشخصية من شأنه إحداث ضرر جسيم بالبيانات الشخصية، يتوجب على المسؤول عن المعالجة إبلاغ مفوض الحماية خلال 72 ساعة من اكتشاف عملية الإخلال بما في ذلك مصدر الإخلال وآليته والأشخاص المعنيين بالمعالجة الذين تأثرت بياناتهم الشخصية بهذا الإخلال وأية معلومات أخرى متوافرة حول عملية الإخلال المذكورة. وفي جميع الأحوال، إذا لم تتوافر المعلومات المتعلقة بمصدر وآليات الإخلال بأمن وسلامة البيانات الشخصية، أو الأشخاص المعنيين بالمعالجة الذين تأثرت بياناتهم الشخصية بهذا الإخلال، يجب على المسؤول عن المعالجة تزويد مفوض الحماية بكل معلومة جديدة متعلقة بالإخلال فور الحصول عليها.
ح.في حالة الخطأ الجسيم أو التعدي من قبل المسؤول عن المعالجة، فإنه يكون ملتزمًا بتعويض الشخص المعني بالمعالجة عن أية تكاليف أو أضرار مادية أو معنوية وقعت عليه بسبب حدوث أي إخلال بأمن وسلامة بياناته الشخصية والتي تقع في عهدة المسؤول عن المعالجة وفقًا لأحكام المسؤولية والتعويض في القانون المدني.
الفصل الرابع: حقوق الشخص المعني بالمعالجة
المادة 14- الحق في الموافقة المسبقة.
أ. لكل شخص الحق في حماية خصوصية بياناته الشخصية ولا يجوز معالجة تلك البيانات إلا في إطار الشفافية والأمانة واحترام كرامة الإنسان ولا يجوز لأي مسؤول عن المعالجة القيام بمعالجة البيانات الشخصية دون الحصول على الموافقة المسبقة الصريحة والموثقة خطيًا أو إلكترونيًا للشخص المعني بالمعالجة، وتعتبر الشروط الواردة في هذه المادة هي المعتمدة لأغراض هذا القانون أينما وردت.
ب. يجب أن يكون طلب الموافقة على أي معالجة للبيانات الشخصية بلغة واضحة وبسيطة وغير مضللة ويمكن الوصول إليه بسهولة.
ج. يجب أن تحدد الموافقة من حيث المدة والغاية وأن يطلب المسؤول عن المعالجة موافقة الشخص المعني بمعالجة بياناته الشخصية في كل مرة تتغير طبيعة ونوع المعالجة التي تجرى على البيانات الشخصية أو أهدافها وفي حال لم يجدد الشخص المعني بمعالجة بياناته الشخصية موافقته صراحة تعتبر الموافقة ملغاة.
د.لا يعتد بأي موافقة صادرة عن الشخص المعني بمعالجة بياناته الشخصية إذا صدرت عنه استنادًا إلى معلومات غير صحيحة أو ممارسات خادعة أو مضللة وكانت هي السبب في قراره بمنح الموافقة المذكورة.
المادة15- الاستثناء من الموافقة المسبقة .
على الرغم مما ورد في المادة (14) يجوز مباشرة معالجة البيانات الشخصية دون الحصول على الموافقة الصريحة والموثقة للشخص المعني بالمعالجة، في الحالات التالية:
أ. إذا كانت ضرورية لغرض منع أو كشف جريمة بناء على قرار قضائي أو أمر من المدعي العام يهدف إلى منع أو كشف أو متابعة الجرائم المرتكبة خلافًا لأحكام القانون.
ب.إذا كانت مطلوبة أو مصرحًا بموجب أي من التشريعات السارية أو تنفيذا لها أو كان ذلك بقرار من المحكمة المختصة.
ج.إذا كانت ضرورية لحماية مصالح الشخص المعني بمعالجة بياناته الشخصية المرتبطة بالحياة أو الموت أو مصالحه الحيوية وبما لا يخالف أحكام هذا القانون.
د.إذا كانت البيانات الشخصية المراد الحصول عليها أو مباشرة أي معالجة عليها متاحا وصول الجمهور إليها.
هـ.إذا كانت ضرورية لأغراض البحث العلمي أو التاريخي أو أهداف إحصائية أو المتطلبات الأمنية لتحقيق المصلحة العامة.
و.إذا كانت ضرورية لإبرام أو تنفيذ عقد يكون الشخص المعني بمعالجة بياناته الشخصية طرفًا فيه.
المادة 16- الحق في الاعتراض وسحب الموافقة.
أ. يحق للشخص المعني بالمعالجة سحب موافقته التي سبق وأصدرها لغايات إجراء معالجة لبياناته الشخصية، وذلك بموجب إشعار خطي أو إلكتروني موجه إلى المسؤول عن المعالجة، وفي هذه الحالة يلتزم المسؤول عن المعالجة بتنفيذ ذلك خلال شهر من تاريخ التبليغ بالإشعار المشار إليه، ما لم يكن هناك حاجة للاحتفاظ بها بموجب أي متطلبات تعاقدية أو قانونية أو المتطلبات الواردة في هذا القانون، ودون أن يتحمل الشخص المعني بالمعالجة أي تبعات مالية أو تعاقدية نتيجة سحبه هذه الموافقة.
ب- للشخص المعني بالمعالجة الحق في الاعتراض على القرارات التي تتم بناء على التشخيص كالقرارات التي تقيم وضعه المالي أو أداءه الوظيفي أو مدى كفاءته للاقتراض أو أي قرار آخر له تأثير مالي أو معنوي على الشخص المعني بالمعالجة وعلى المسؤول عن المعالجة إجابة طلبه.
المادة 17- الحق في الإعلام.
يلتزم المسؤول عن المعالجة قبل البدء بمعالجة البيانات الشخصية بإعلام الشخص المعني بالمعالجة خطيًا أو إلكترونيًا بما يلي:
أ. الغرض الذي تجرى من أجله معالجة بياناته الشخصية.
ب.البيانات الشخصية التي سيتم جمعها.
ج.تاريخ البدء بجمع البيانات الشخصية.
د.الفترة الزمنية التي سيتم خلالها معالجة البيانات الشخصية، على أن لا يتم تمديد هذه الفترة إلا بموافقة الشخص المعني بمعالجة بياناته الشخصية على النحو المبين في المادة (14) من هذا القانون.
هـ.أي شخص سيشارك الشخص المسؤول عن المعالجة في تنفيذ أي معالجة للبيانات الشخصية.
و.ضوابط أمن وسلامة البيانات الشخصية التي يتبعها الشخص المسؤول عن المعالجة.
ز.معلومات عن التشخيص.
ح.حق الشخص المعني بالمعالجة في الاعتراض وسحب الموافقة والنفاذ إلى بياناته الشخصية.
المادة 18- الحق في المطالبة بالتصحيح والتحديث والنفاذ للبيانات الشخصية.
أ- يتعين أن تكون البيانات الشخصية محل أي معالجة صحيحة ودقيقة ويجري تحديثها بشكل دوري بما يضمن أن تبقى كذلك عند كل استخدام.
ب- باستثناء البيانات التي جمعت لمنع وقوع الجريمة أو اكتشافها أو ملاحقتها، يلتزم المسؤول عن المعالجة بتحديث وتصحيح البيانات الشخصية غير الكاملة أو غير الدقيقة إذا تبين عدم صحة هذه البيانات أو عدم مطابقتها مع الواقع، وذلك قبل إجراء معالجة للبيانات الشخصية على أن يلتزم الشخص المعني بالمعالجة بتزويد المسؤول عن المعالجة بجميع المعلومات اللازمة لغايات استكمال أو تحديث أو تصحيح بياناته الشخصية.
ج- يجب على المسؤول عن المعالجة بناءً على طلب الشخص المعني بالمعالجة، تمكينه من النفاذ إلى بياناته الشخصية وتحديثها، وعلى المسؤول عن المعالجة توفير الوسائل الإلكترونية أو غير الإلكترونية التي يراها مناسبة لتمكينه من ذلك بطريقة آمنة.
المادة 19-الحق في النقل.
للشخص المعني بالمعالجة الحق في نقل نسخة من بياناته الشخصية من مسؤول عن المعالجة إلى مسؤول آخر، وليس لأي مسؤول عن المعالجة أن يعارض ذلك النقل وذلك وفقًا للأحكام الواردة في المادة (21) من هذا القانون.
المادة 20- الحق في النسيان وإخفاء الهوية.
أ- يحق للمعني بالمعالجة طلب محو البيانات الشخصية المتعلقة به أو إخفاء هويته، ويكون المسؤول عن المعالجة ملزما بإنجاز ذلك بصفة فورية إذا توافرت أحد الأسباب التالية:
1- إذا تمت معالجة البيانات الشخصية بشكل أو لغرض غير الذي جمعت من أجله.
2- إذا سحب الشخص المعني بالمعالجة الموافقة التي كانت تستند إليها المعالجة.
3- إذا خضعت البيانات الشخصية لمعالجة غير مشروعة.
4- إذا كان من الضروري محو البيانات الشخصية لتنفيذ التزام قانوني أو تعاقدي محمول على المسؤول عن المعالجة أو لانقضائه.
ب- مع عدم الإخلال بالأحكام الواردة في هذه المادة، يلتزم المسؤول عن المعالجة عندما يتلقى طلب محو البيانات الشخصية أن يتخذ التدابير اللازمة، بما في ذلك التدابير الفنية لمحو البيانات الشخصية التي يعالجها أو إخفاء هوية أصحابها.
ج- لا يسري حق النسيان عندما تكون المعالجة ضرورية وفقًا لأحكام المادة (15) من هذا القانون.
الفصل الخامس: أحكام النقل والتبادل للبيانات
المادة 21- أحكام النقل والتبادل للبيانات الشخصية داخل المملكة
أ- لا يجوز نقل البيانات الشخصية بأي حال من الأحوال بين الشخص المسؤول عن المعالجة واي شخص آخر داخل المملكة إلا بموافقة الشخص المعني بالمعالجة على هذا النقل، مع مراعاة الشروط التالية:
1- أن يحقق نقل البيانات الشخصية مصالح مشروعة للجهة التي تتوافر لديها البيانات الشخصية ومتلقي البيانات الشخصية.
2- أن يتوافر العلم الكافي لدى الشخص المعني بالمعالجة بالجهة التي ستتلقى البيانات الشخصية والأغراض التي ستستخدم من أجلها.
ب- لايشترط توافر الشروط الواردة في الفقرة (أ) من هذه المادة، وذلك في حال تحقق أي من الحالات المنصوص عليها في المادة (15) من هذا القانون.
ج- يتوجب على الشخص المسؤول عن المعالجة أن يحتفظ بسجلات توثق فيها البيانات التي تم نقلها أو تبادلها مع أي جهة أخرى، والغاية من تبادلها وتوثيق موافقات الأشخاص المعنيين بالمعالجة على نقلها.ويحظر على المسؤول عن المعالجة نقل البيانات الشخصية أو تبادلها أو إتاحتها لأي شخص آخر إذا كان الغرض من ذلك التسويق لمنتجات أو خدمات، إلا بموافقة الشخص المعني بالمعالجة.
المادة 22- نقل البيانات الشخصية إلى خارج المملكة.
أ. لا يجوز نقل أي من البيانات الشخصية خارج المملكة إلى أي شخص لا يتوافر لديه مستويات كافية من حماية البيانات الشخصية، ولا يعتبر مستوى الحماية كافيًا إذا كان أقل مما يقرره هذا القانون من أحكام لحماية البيانات الشخصية.
ب.يستثنى مما ورد في الفقرة (أ) من هذه المادة الحالات التالية:
1. التعاون القضائي الإقليمي أو الدولي بموجب اتفاقيات أو معاهدات دولية نافذة في المملكة.
2. التعاون الدولي أو الإقليمي بين المملكة وبين هيئات أو منظمات أو وكالات دولية أو إقليمية عاملة في حقل مكافحة الجريمة بأنواعها أو ملاحقة مرتكبيها.
3. تبادل البيانات الشخصية الطبية الخاصة بالشخص المعني بالمعالجة عندما يكون ضروريًا لعلاجه وتبادل البيانات المتعلقة بالأوبئة أو الكوارث الصحية أو ما يمس الصحة العامة في المملكة.
4. إذا كان نقل أو تبادل البيانات من أجل تحقيق مصلحة وطنية بناءً على قرار صادر من مجلس الوزراء.
5. توافر موافقة الشخص المعني بالمعالجة على النقل بعد إعلامه بعدم توافر مستوى حماية كافٍ.
ج. تنطبق الأحكام ذاتها الواردة في المادة (21) من هذا القانون على عملية نقل البيانات الشخصية خارج المملكة.
د.على المسؤول عن المعالجة، التوثق وضمان حماية وأمن البيانات التي يتبعها متلقي البيانات الشخصية في الدول الأخرى قبل البدء بعملية نقل البيانات الشخصية.
الفصل السادس: الجزاءات والمسؤولية المشتركة والطعن
المادة 23- الجزاءات التي يجوز للوحدة اتخاذها عند ثبوت المخالفة
أ. تخطر الوحدة مراقب حماية البيانات المعني لدى الشخص المسؤول عن المعالجة بالمخالفة، ليقوم بتقديم رده خلال أسبوع من تاريخ الإخطار.
ب. للوحدة في حالة ثبوت مخالفة أحكام هذا القانون والنظام والقرارات الصادرة تنفيذًا له، أن تتخذ أحد الإجراءات الآتية أو كلها حسب ما يتناسب وحجم المخالفة:
1. سحب الموافقة المسبقة الصادرة من الوحدة، وذلك في حالة تعلق المخالفة بهذه الموافقة.
2. توجيه إنذار نهائي للمسؤول عن المعالجة.
3. توقيع غرامة مالية تحسب على أساس يومي لحمل المخالف على التوقف عن المخالفة وإزالة أسبابها أو آثارها وذلك بما لا يزيد على 500 دينار يوميا وشريطة أن لا يزيد مجموع مبلغ الغرامة على 5% من إجمالي الإيرادات السنوية للسنة المالية السابقة للمسؤول عن المعالجة المخالف.
ج. يجوز للوحدة نشر المخالفة بالوسيلة والكيفية التي تراها مناسبة.
المادة 24- المسؤولية المشتركة.
يخضع متلقي البيانات الشخصية جراء أية عملية تبادل أو نقل للبيانات الشخصية، للمسؤوليات والواجبات القانونية ذاتها المقررة على المسؤول عن المعالجة.
المادة 25- الطعن في قرارات الوحدة
لكل ذي مصلحة الطعن أمام محكمة القضاء الإداري في القرارات التي تصدر عن الوحدة تطبيقًا لأحكام هذا القانون والنظام الصادرة تطبيقا له في الحالات والمواعيد وباتباع الإجراءات المنصوص عليها في قانون المحكمة الإدارية.
المادة26-التعويض
لا تخل المسؤولية الإدارية أو الجزائية بحق المتضرر في إقامة دعوى التعويض المدنية عن الأضرار التي لحقت به من جراء أي مخالفة لأحكام هذا القانون.
الفصل السابع: العقوبات
المادة 27- يعاقب بغرامة لا تقل عن (1000) ألف دينار ولا تزيد على (10000) عشرة آلاف دينار كل من ارتكب أيا من الأفعال التالية:
أ- القيام بنقل أو تبادل البيانات الشخصية داخل أو خارج المملكة دون التقيد بالأحكام المقررة في هذا القانون أو النظام الصادر بمقتضاه.
ب- الحصول على موافقة الشخص المعني بالمعالجة على معالجة بياناته الشخصية بالاستناد إلى معلومات غير صحيحة أو ممارسات خادعة أو مضللة.
ج- إدراج أو إدخال أي بيانات غير صحيحة إلى قاعدة البيانات الشخصية وذلك بصورة متعمدة.
د-إفشاء البيانات الشخصية الموجودة لديه دون موافقة الشخص المعني بالمعالجة.
هـ-الوصول غير المشروع أو المراقبة أو الاطلاع أو الحصول على أو توقيف أو مصادرة البيانات الشخصية خلافًا لأحكام هذا القانون أو النظام أو التعليمات الصادرة بمقتضاه.
و-انتهاك أي من وسائل أمن المعلومات أو التدابير التقنية الموضوعة لحماية البيانات الشخصية المحددة بموجب أحكام هذا القانون أو النظام الصادر بمقتضاه.
ز- رفض طلب الشخص المعني بالمعالجة بسحب الموافقة وإتلاف البيانات الشخصية من قبل المسؤول عن المعالجة، والاستمرار بمباشرة معالجة البيانات الشخصية رغم ذلك، ما لم تكن هناك حاجة للاحتفاظ بها بموجب أي متطلبات أخرى.
المادة 28- يعاقب بغرامة لا تقل عن (1000) ألف دينار ولا تزيد على (10000) عشرة آلاف دينار كل من ارتكب أي مخالفة لأحكام المواد (12) و (13) و (14) من هذا القانون.
المادة29- اضافة إلى أي من العقوبات المقررة في المادتين (27) و (28) من هذا القانون يجوز للمحكمة المختصة بناء على طلب النيابة العامة أو المتضرر أو من تلقاء نفسها أن تقضي بإتلاف البيانات الشخصية أو إلغاء قاعدة البيانات الشخصية موضوع الدعوى التي صدر بها قرار قطعي بالإدانة.
المادة30- تضاعف العقوبة المقررة في المادتين (27) و (28) من هذا القانون في الحالات التالية:
أ- ارتكاب أي من الأفعال المحددة فيهما من قبل موظف عام.
ب- تكرار فعل الارتكاب من قبل الشخص نفسه.
المادة 31- يصدر مجلس الوزراء الأنظمة اللازمة لتنفيذ أحكام هذا القانون.
المادة 32- رئيس الوزراء والوزراء مكلفون بتنفيذ أحكام هذا القانون.
