الأسئلة الشائعة

1)البيانات الشخصية:- مفهومها ومعالجتها والتصاريح المطلوبة وفقًا لقانون حماية البيانات الشخصية ولائحته التنفيذية

ما المقصود بالبيانات الشخصية؟

البيانات التي تجعل شخصا طبيعيا معرفا أو قابلا للتعريف بطريقة مباشرة أو غير مباشرة، كالاسم أو الرقم المدني أو بيانات المعرفات الإلكترونية أو البيانات المكانية، أو البيانات المتعلقة بالهوية الجينية أو الجسدية أو العقلية أو النفسية أو الاجتماعية أو الثقافية أو الاقتصادية .

 

ما المقصود بمعالجة البيانات الشخصية؟

هي العمليات التي يتم إجراؤها على البيانات الشخصية، تتضمن جمعها أو تسجيلها أو تحليلها أو تنظيمها أو تخزينها أو تعديلها أو تحويرها أو استرجاعها أو مراجعتها أو تنسيقها أو ضم بعضها لبعض أو حجبها أو محوها أو إلغاؤها أو الافصاح عنها، عن طريق ارسالها أو توزيعها أو نقلها أو تحويلها أو إتاحتها بوسائل أخرى.

 

ما الفئة المخاطبة بأحكام قانون حماية البيانات الشخصية ولائحته التنفيذية؟

تخضع لقانون حماية البيانات الشخصية ولائحته التنفيذية كل جهة (شركة /مؤسسة / أي كيان آخر)تتعامل مع بيانات شخصية وتقوم بمعالجتها ولم تستثن عمليات المعالجة التي تقوم بها بموجب المادة (3 )من القانون.

 

هل تسري أحكام قانون حماية البيانات الشخصية على الجهات الحكومية؟

استثنى قانون حماية البيانات الشخصية وحدات الجهاز الإداري للدولة وغيرها من الأشخاص الاعتبارية العامة من نطاق تطبيقه، إلا أنه ستطبق عليها سياسة حماية البيانات الشخصية الصادرة بالتعميم رقم ( 6 / 2024 ) الموجهة لوحدات الجهاز الإداري للدولة والتي ستنظم معالجة هذه الجهات للبيانات الشخصية.

 

ما هي البيانات التي تتطلب الحصول على تصريح من الوزارة لمعالجتها؟

البيانات الشخصية التي تستلزم الحصول على تصريح من الوزارة قبل معالجتها هي تلك التي تتعلق بالبيانات الجينية أو البيانات الحيوية أو البيانات الصحية أو الأصول العرقية أو الحياة الجنسية أو الآراء السياسية أو الدينية أو المعتقدات أو الإدانة الجزائية أو المتعلقة بتدابير أمنية. (ويمكن الاطلاع على الاستمارة من خلال رابط الاستمارات والنماذج الاسترشادية).

 

2) إرشادات وضوابط قانون حماية البيانات الشخصية:- التزامات المتحكم والمعالج وحقوق الأفراد

 

ما هي أهم التزامات المتحكم والمعالج الواردة في قانون حماية البيانات الشخصية ولائحته التنفيذية؟

 

1.الحصول على موافقة صاحب البيانات الشخصية قبل معالجة بياناته.

 

2. الحصول على تصريح من الوزارة قبل معالجة البيانات الشخصية الواردة في المادة ( 5 ) من القانون.

 

3.  توفير نافذة لصاحب البيانات الشخصية تمكنه من ممارسة حقوقه.

 

4. وضع سياسة حماية البيانات الشخصية.

 

5. الحصول على موافقة صاحب البيانات الشخصية قبل ارسال أي مادة إعلانية أو تجارية له، مع التوقف عن إرسال هذه المواد مباشرة متى ما طلب صاحب البيانات الشخصية ذلك.

 

6. وضع سجل معالجة البيانات الشخصية.

 

7. إبلاغ الوزارة وصاحب البيانات الشخصية في حال تم اختراق البيانات الشخصية، في الحالات التي تطلب القانون ولائحته ذلك.

 

8. عند نقل البيانات الشخصية خارج سلطنة عمان، يجب أن يتم اجراء تقييم لمستوى الحماية التي توفرها الدولة المستقبلة لهذه البيانات.

 

ما الضوابط التي يتوجب على المتحكم الالتزام بها قبل معالجة البيانات الشخصية؟

1 .أن تتم المعالجة في إطار الشفافية والأمانة واحترام كرامة الإنسان.

 

2.تقديم طلب لصاحب البيانات الشخصية للحصول على موافقته الصريحة بشأن معالجة بياناته، على أن يكون هذا الطلب مكتوب وواضح وصريح.

 

3 .اخطار صاحب البيانات بتفاصيل هذه المعالجة والتي أهمها إيضاح الغرض من المعالجة وإجراءاتها.

 

هل يمكن للمتحكم أن يعهد بعمليات معالجة البيانات الشخصية إلى جهة أخرى؟

نعم يمكن للمتحكم أن يتعاقد مع جهة أخرى لمعالجة البيانات الشخصية وتسمى تلك الجهة حينئذ بالمعالج، ويكون المعالج في علاقته بالغير فيما يقدمه من خدمات نائبا عن المتحكم فيما يتعلق بالمسؤولية المدنية والإدارية ودون الإخلال بالمسؤولية الجزائية للمعالج عما يقع منه بالمخالفة لأحكام القانون واللائحة.

 

هل يحق لصاحب البيانات الشخصية الحصول على تفاصيل الجهة التي تقوم بمعالجة البيانات الشخصية والغرض من المعالجة؟

أوجب قانون حماية البيانات الشخصية المتحكم -وقبل البدء في معالجة أي بيانات شخصية- إبلاغ صاحب البيانات الشخصية بكل المعلومات اللازمة والوافية عن الجهة التي ستعالج بياناته، والسبب الموجب لحصولها على تلك البيانات والغرض من معالجتها، وحقوق صاحب البيانات الشخصية بما في ذلك حق الوصول إلى البيانات وتصحيحها ونقلها وتحديثها، إضافة إلى كل معلومة أخرى تكون ضرورية لاستيفاء شروط المعالجة.

 

ما المقصود بالموافقة الصريحة التي يطلبها المتحكم قبل معالجة البيانات الشخصية؟ وما صيغتها؟

بينت اللائحة التنفيذية شروط محددة للاعتداد بالموافقة الصريحة، فلابد أن تصدر بطريقة واضحة ومن شخص كامل الأهلية دون اكراه، وأن تكون الموافقة كتابية أو الكترونية أو بأي وسيلة أخرى يحددها المتحكم، إلا أن الموافقة المطلوبة من صاحب البيانات الشخصية قبل إرسال أي مادة إعلانية أو تسويقية وذات أغراض تجارية إليه لابد أن تكون كتابية وبطريقة تمكن صاحب البيانات الشخصية من توثيقها .

 

إذا وافق صاحب البيانات الشخصية على إرسال مواد إعلانية وتسويقية؛ ثم لم يرغب في تلقيها بعد ذلك فهل يحق له ذلك؟

لصاحب البيانات الشخصية الحق في طلب إيقاف التسويق الذي يتم عن طريق توجيه مادة إعلانية أو دعاية إلى شخص محدَّد كالإعلانات التي ترسل عن طريق الرسائل النصية أو البريد الإلكتروني، وعلى المتحكم توفير وتوضيح آلية لإيقاف استقبال المواد الاعلانية او التسويقية أو التجارية، كما يجب على المتحكم التوقف عن إرسال المواد الاعلانية او التسويقية أو التجارية فور تلقي طلب الإيقاف من صاحب البيانات الشخصية ويكون إيقاف إرسال المواد الاعلانية او التسويقية بدون مقابل.

 

من هو مسؤول حماية البيانات الشخصية؟

هو الشخص المحدد من قبل المتحكم لتسهيل الامتثال لأحكام قانون حماية البيانات الشخصية ولائحته التنفيذية وتتمثل أهم مهامه في تقديم المقترحات والاستشارات للمتحكم أو المعالج فيما يتعلق بالتزاماتهم الواردة في القانون واللائحة، وأن يكون نقطة اتصال مع الوزارة بكل ما يتعلق بحماية البيانات الشخصية.(ويمكن الاطلاع على الاستمارة من خلال رابط الاستمارات والنماذج الاسترشادية).

 

هل يتوجب على المتحكم تحديد مسؤول حماية البيانات الشخصية وهل يتعين أن يكون موظف جديد؟

يتوجب على المتحكم تحديد مسؤول حماية البيانات الشخصية وفق الضوابط الواردة في اللائحة، وقد يكون موظفا جديدا معينا لغرض تولي مسؤولية حماية البيانات الشخصية أو موظفا موجودا بالفعل لدى الجهة ويعهد إليه مهام مسؤول حماية البيانات الشخصية.

 

هل يحق لصاحب البيانات الشخصية تقديم شكوى إلى الوزارة بأي مخالفة لأحكام القانون؟

أتاح القانون ولائحته التنفيذية لصاحب البيانات الشخصية أو لأي ذي مصلحة أن يتقدم إلى الوزارة بشكوى، إذا كان لديه ما يحمله على الاعتقاد بوقوع أية مخالفة لأحكام القانون أو اللائحة أو القرارات الصادرة أو بأن شخصًا ما يقوم بمعالجة بياناته الشخصية خلافًا لأحكام ما سبق ذكره.

 

ما هي اجراءات تقديم الشكوى؟

تقدم الشكوى أو البلاغ إلى الوزارة وفق الاستمارة المعدة لهذا الغرض (ويمكن الاطلاع على الاستمارة من خلال رابط الاستمارات والنماذج الاسترشادية). خلال مدة أقصاها (30) ثلاثين يوما من تاريخ العلم اليقيني بالمخالفة ويسقط الحق في تقديمها بعد مضي المدة المشار إليها. تقوم الوزارة بإخطار المتحكم بنسخة من الشكوى أو البلاغ، وله أن يرد على الشكوى أو البلاغ المقدم ضده خلال 14 يوم من تاريخ اخطاره. وبعد مضي هذه المدة يتم دراسة الشكوى من قبل الوزارة ويبت فيها خلال 60 يوم، ويعتبر عد الرد على الشكوى أو البلاغ المقدم رفضا له.

 

كم المدة التي يجب على المتحكم خلالها إبلاغ الوزارة وصاحب البيانات الشخصية بحدوث اختراق للبيانات الشخصية؟

على المتحكم عند حدوث أي اختراق للبيانات الشخصية لديه بإبلاغ الوزارة خلال 72 ساعة من تاريخ علمه بالاختراق في حال كان ذلك الاختراق يهدد حقوق أصحاب البيانات المخترقة، ويأتي دور الوزارة بعدها بتقييم الإجراءات التي قام بها المتحكم ولها توجيه المتحكم باتخاذ الإجراءات المناسبة . بالإضافة الى التزام المتحكم بإخطار صاحب البيانات الشخصية خلال نفس المدة 72 ساعة أذا كان ذلك الاختراق يسبب ضررا جسيما أو مخاطر عالية على صاحب البيانات الشخصية.

 

3) نقل أو تحويل البيانات الشخصية خارج الحدود

 

هل تتطلب موافقة مركز الدفاع الإلكتروني في جميع عمليات معالجة البيانات الشخصية؟

لا تتطلب موافقة مركز الدفاع الإلكتروني إلا في حالة كانت البيانات الشخصية المعالجة حساسة وأن المتحكم سيعمل على حفظها أو معالجتها خارج السلطنة.

 

هل يتطلب نقل أو تحويل البيانات الشخصية إلى خارج السلطنة وفقا لأحكام قانون حماية البيانات الشخصية ولائحته التنفيذية موافقة جهات أخرى؟

*إذا كانت البيانات الشخصية غير حساسة: لا يتطلب نقل أو تحويل البيانات الشخصية إلى خارج السلطنة موافقة أي جهات أخرى ويكتفى بموافقة صاحب البيانات الشخصية على أن يكون النقل أو التحويل إلى خارج السلطنة وفق الضوابط المنصوص عليها في اللائحة التنفيذية لقانون حماية البيانات الشخصية.

*إذا كانت البيانات الشخصية حساسة، فيتوجب عندها أخذ موافقة مركز الدفاع الإلكتروني قبل نقل أو تحويل البيانات الشخصية الحساسة إلى خارج السلطنة.

 

هل يجب على المتحكم الحصول على موافقة صاحب البيانات الشخصية في جميع عمليات نقل وتحويل بياناته الشخصية إلى خارج السلطنة؟

الأصل انه يجب على المتحكم أن يحصل على موافقة صاحب البيانات الشخصية عند نقل أو تحويل بياناته الشخصية إلى خارج السلطنة. ويستثنى من ذلك، إذا كان النقل أو التحويل إلى خارج السلطنة هو تنفيذ لالتزام دولي بموجب اتفاقية تكون السلطنة طرفا فيها، أو أن يكون النقل أو التحويل قد تم بصورة تضمن عدم تحديد هوية صاحب البيانات الشخصية.