3 محظورات في قانون حماية البيانات الشخصية: تفاصيل الالتزامات والعقوبات
3 محظورات في قانون حماية البيانات الشخصية

حدد قانون حماية البيانات الشخصية مجموعة من المحظورات والالتزامات التي يتعين على المتحكم والمعالج الالتزام بها، بهدف الحفاظ على خصوصية الأفراد وتأمين بياناتهم من أي استخدام غير مشروع. وتشمل هذه المحظورات ثلاثة بنود رئيسية وفقاً للمادة (12) من القانون.

المحظورات الرئيسية في قانون حماية البيانات

وفقاً للمادة (12)، يُحظر على المتحكم أو المعالج، سواء كان شخصاً طبيعياً أو اعتبارياً، جمع البيانات الشخصية الحساسة أو نقلها أو تخزينها أو حفظها أو معالجتها أو إتاحتها إلا بترخيص من المركز. وفيما عدا الأحوال المصرح بها قانوناً، يلزم الحصول على موافقة كتابية وصريحة من الشخص المعني. وفي حالة إجراء أي عملية تتعلق ببيانات الأطفال، يلزم موافقة ولي الأمر. كما يجب ألا تكون مشاركة الطفل في لعبة أو مسابقة أو أي نشاط آخر مشروطة بتقديم بيانات شخصية للطفل تزيد على ما هو ضروري للمشاركة في ذلك النشاط. وتحدد اللائحة التنفيذية المعايير والضوابط اللازمة لذلك.

التزامات مسؤول حماية البيانات الشخصية

تنص المادة (13) على أنه بالإضافة إلى الالتزامات الواردة في المادة (9)، يلتزم مسؤول حماية البيانات الشخصية وتابعوه لدى المتحكم أو المعالج باتباع واستيفاء السياسات والإجراءات التأمينية اللازمة لعدم خرق البيانات الشخصية الحساسة أو انتهاكها. وتتضمن المادة (9) التزامات محددة لمسؤول حماية البيانات، منها:

بانر عريض لتطبيق Pickt — قوائم تسوّق تعاونية عبر تيليجرام
  • إجراء التقييم والفحص الدوري لنظم حماية البيانات الشخصية ومنع اختراقها، وتوثيق نتائج التقييم وإصدار التوصيات اللازمة لحمايتها.
  • العمل كنقطة اتصال مباشرة مع المركز وتنفيذ قراراته فيما يخص تطبيق أحكام القانون.
  • تمكين الشخص المعني بالبيانات من ممارسة حقوقه المنصوص عليها في القانون.
  • إخطار المركز في حال وجود أي خرق أو انتهاك للبيانات الشخصية لديه.
  • الرد على الطلبات المقدمة من الشخص المعني بالبيانات أو كل ذي صفة، والرد على المركز في التظلمات المقدمة إليه.
  • متابعة القيد والتحديث لسجل البيانات الشخصية لدى المتحكم أو سجل عمليات المعالجة لدى المعالج، بما يكفل ضمان دقة البيانات والمعلومات المقيدة به.
  • إزالة أي مخالفات متعلقة بالبيانات الشخصية داخل كيانه، واتخاذ الإجراءات التصحيحية حيالها.
  • تنظيم البرامج التدريبية اللازمة لموظفي كيانه لتأهيلهم بما يتناسب مع متطلبات القانون.

إجراءات إتاحة البيانات الشخصية

وفقاً للمادة (10)، يلتزم كل من المتحكم والمعالج والحائز عند طلب إتاحة البيانات الشخصية بالإجراءات التالية:

بانر بعد المقال Pickt — تطبيق قوائم تسوّق تعاونية مع رسم توضيحي عائلي
  1. أن يكون الطلب بناءً على طلب كتابي يقدم إليه من ذي صفة أو وفقاً لسند قانوني.
  2. التحقق من توافر المستندات اللازمة لتنفيذ الإتاحة والاحتفاظ بها.
  3. البت في الطلب ومستنداته خلال ستة أيام عمل من تاريخ تقديمه إليه. وعند صدور قرار بالرفض، يجب أن يكون الرفض مسبباً، ويعتبر مضي المدة المشار إليها دون رد في حكم الرفض.

الإبلاغ عن خرق البيانات الشخصية

تنص المادة (7) على أنه يلتزم كل من المتحكم والمعالج، بحسب الأحوال، حال علمه بوجود خرق أو انتهاك للبيانات الشخصية لديه، بإبلاغ المركز خلال اثنتين وسبعين ساعة. وفي حال كان هذا الخرق أو الانتهاك متعلقاً باعتبارات حماية الأمن القومي، فيكون الإبلاغ فورياً. وعلى المركز في جميع الأحوال إخطار جهات الأمن القومي بالواقعة فوراً. كما يلتزم المتحكم أو المعالج بموافاة المركز خلال اثنتين وسبعين ساعة من تاريخ علمه بما يلي:

  • وصف طبيعة الخرق أو الانتهاك، وصورته وأسبابه والعدد التقريبي للبيانات الشخصية وسجلاتها.
  • بيانات مسؤول حماية البيانات الشخصية لديه.
  • الآثار المحتملة لحادث الخرق أو الانتهاك.
  • وصف الإجراءات المتخذة والمقترح تنفيذها لمواجهة هذا الخرق أو الانتهاك والتقليل من آثاره السلبية.
  • توثيق أي خرق أو انتهاك للبيانات الشخصية، والإجراءات التصحيحية المتخذة لمواجهته.
  • أي وثائق أو معلومات أو بيانات يطلبها المركز.

وفي جميع الأحوال، يجب على المتحكم والمعالج إخطار الشخص المعني بالبيانات خلال ثلاثة أيام عمل من تاريخ الإبلاغ وما تم اتخاذه من إجراءات. وتحدد اللائحة التنفيذية الإجراءات الخاصة بالإبلاغ والإخطار.