“وزارة النقل والاتصالات وتقنية المعلومات” تصدر اللائحة التنفيذية لقانون حماية البيانات الشخصية
وهج الخليج-مسقط
أصدرت وزارة النقل والاتصالات وتقنية المعلومات اللائحة التنفيذية لقانون حماية البيانات الشخصية والتي تهدف إلى تأطير وتوضيح بعض نصوص المواد في القانون الصادر بالمرسوم السلطاني رقم (6/ 2022). تسعى الوزارة من خلال هذه اللائحة والتي جاءت في (9) فصول ضمت (45) مادة- إلى تحقيق الحماية الكافية للبيانات الشخصية بوضع جملة من الضوابط والإجراءات ومنها: وضع الضوابط والاجراءات المتعلقة بمعالجة البيانات الشخصية ومن أبرزها الحصول على موافقة صاحب البيانات الشخصية قبل معالجة بياناته، ووضع الضوابط والاجراءات المتعلقة بممارسة صاحب البيانات الشخصية لحقوقه المنصوص عليها في القانون، ووضع ضوابط واجراءات إصدار وإلغاء تصاريح معالجة البيانات الشخصية.
أهم بنود اللائحة
تضمنت اللائحة التنفيذية العديد من مسائل حماية البيانات الشخصية، من أبرزها متطلب الحصول على تصريح عند معالجة البيانات الشخصية في الفصل الثاني من اللائحة؛ حيث تقتضي طبيعة المجتمع البشري أن تجعل من صفات الانسان وتفاصيل حياته محل اهتمام واحترام؛ كما جاءت اللائحة التنفيذية بذكر إجراءات الحصول ذلك التصريح مع اشتراط ارفاق سياسة حماية البيانات الشخصية، والتدابير الاحترازية المعتمدة عند حدوث اختراق للبيانات الشخصية، كما أوضحت اللائحة مدة التصريح على ألا تزيد على خمسة أعوام مع بيان ضوابط تجديد وتعديل وإلغاء التصريح.
وتضمنت اللائحة فصلا خاصا بمعالجة البيانات الشخصية للطفل والذي جاء بجملة من النصوص القانونية التي أسبغت الحماية القانونية للبيانات الشخصية للأطفال ومن في حكمهم وذلكمن المخاطر المحتملة التي قد تتعرض لها بيانات هذه الفئة ومدى تأثيرها عليهم بحكم طبيعتهم، ويعتبر إلزام المتحكم أو المعالج بالحصول على الموافقة الصريحة لولي أمر الطفل (الوصي والقيم لعديم أو فاقد الأهلية) قبل معالجة بياناته الشخصية من أهم الضوابط الواردة في هذا الفصل.
كما تضمنت اللائحة فصلا خاصا بحقوق صاحب البيانات الشخصية، ومن أهمها : الحق في تقديم طلب كتابي للمتحكم بشأن ممارسة حقوقه الآتية: “إلغاء موافقته على معالجة بياناته الشخصية، وذلك مع عدم الإخلال بالمعالجات التي تمت قبل الإلغاء،طلب تعديل بياناته الشخصية أو تحديثها أو حجبها، الحصول على نسخة من بياناته الشخصية المعالجة (وضعت له ضوابط في اللائحة التنفيذية ، نقل بياناته الشخصية إلى متحكم آخر، طلب محو بياناته الشخصية ما لم تكن تلك المعالجة ضرورية لأغراض الحفظ والتوثيق الوطنية“، أما عن الحق الثاني فهو إخطاره بأي اختراق أو انتهاك لبياناته الشخصية، وما تم اتخاذه من إجراءات في هذا الشأن.
أما في الفصل الخامس من اللائحة فتضمن التزامات المتحكم والمعالج منها :الحصول على الموافقة الصريحة لصاحب البيانات الشخصية قبل معالجة بياناته الشخصية، الحصول على تصريح من الوزارة قبل معالجة أي من البيانات الشخصية الواردة في المادة (5) من القانون، والالتزام بضوابط معالجة البيانات الشخصية للطفل، وضع سياسة حماية البيانات الشخصية في مكان ظاهر يتيح لصاحب البيانات الشخصية الاطلاع عليها قبل معالجة بياناتهالشخصية، والالتزام بضوابط إرسال أي مادة إعلانية أو تسويقية أو ذات أغراض تجارية لصاحب البيانات الشخصية، وضع ضوابط لضمان سرية البيانات الشخصية، والالتزام بضوابط الاحتفاظ بمستندات عمليات المعالجة، انشاء سجل أنشطة معالجة البيانات الشخصية، الالتزام بالضوابط المتعلقة باختراق البيانات الشخصية، تحديد مسؤول حماية البيانات الشخصية، و الالتزام بضوابط نقل وتحويل البيانات الشخصية خارج الحدود.
ويشمل الفصل السادس من اللائحة اختراق البيانات الشخصية، حيث تلزم اللائحة التنفيذية “المتحكم“ عند حدوث أي اختراق للبيانات الشخصية لديه بأن يقوم بإبلاغ الوزارة خلال (72)ساعة من تاريخ علمه بالاختراق في حال كان ذلك الاختراق يهدد حقوق أصحاب البيانات الشخصية التي تعرضت للاختراق، ويأتي دور الوزارة بعدها بتقييم الإجراءات التي قام بها المتحكم ولها توجيه المتحكم باتخاذ الإجراءات المناسبة، بالإضافة إلى التزام المتحكم بإخطار صاحب البيانات الشخصية خلال ذات المدة إذا تسبب ذلك الاختراق في ضرر جسيم أو مخاطر عالية على صاحب البيانات الشخصية.
كما تضمنت اللائحة في الفصل السابع مسؤول حماية البيانات الشخصية، إذ يعتبر مسؤول حماية البيانات الشخصية هو الشخص المحدد من قبل “المتحكم“ ويكون معني بكل ما يتعلق بحماية البيانات الشخصية في تلك المؤسسة. وقد أوضحت اللائحة التنفيذية مهامه وهي تقديم الاستشارات والمقترحات للمتحكم، والتنسيق مع الوزارة في المسائل المتعلقة بمعالجة البيانات الشخصية.
وتضمن الفصل الثامن نقل وتحويل البيانات الشخصية خارج الحدود، حيث نظمت اللائحة التنفيذية نقل وتحويل البيانات الشخصية إلى خارج سلطنة عمان وذلك بالنص على جملة من الضوابط والشروط التي تحقق التوازن بين المخاطر المحتملة جراء النقل أو التحويل وبين الضرورة التي يفرضها الواقع لنقل البياناتإلى خارج حدود سلطنة عمان، وهذه الضوابط كالآتي: الحصول على موافقة صاحب البيانات الشخصية على النقل أو التحويل، وأن لا يمس نقل أو تحويل البيانات بالأمن الوطني أو المصالح العليا للدولة، و أن يكون للجهة المعالجة الخارجية قدرا كافيا من الحماية لا يقل عن مستوى الحماية وفق هذا القانون واللائحة، بالإضافة إلى إجراء تقييم لمستوى الحماية التي توفرها جهة المعالجة الخارجية.
أما الفصل التاسع فاشتمل على الشكاوى والجزاءات، حيثنصت اللائحة التنفيذية على الإجراءات التي يجب أن تتبع لتقديم الشكاوى والبلاغات، وأعطت للوزير أحقية توقيع جزاءات إدارية كالإنذار، ووقف التصريح، وغرامة إدارية لا تزيد على (2000) ريال عماني، وإلغاء التصريح.