نبذة عن حماية البيانات الشخصية
يعنى قسم حماية البيانات الشخصية بتفعيل أحكام قانون حماية البيانات الشخصية الصادر بموجب المرسوم السلطاني رقم(6/2022) ولائحته التنفيذية الصادرة بموجب القرار الوزاري رقم (34/2024) ؛حيث يتولى القسم اتخاذ كافة الإجراءات اللازمة لتنفيذ أحكام القانون ولائحته التنفيذية، بما في ذلك:
- استقبال الشكاوى والبلاغات بما فيها بلاغات اختراق البيانات الشخصية ومتابعتها وفق الإجراءات المعتمدة.
- البت في طلبات التصاريح المتعلقة بمعالجة البيانات الشخصية الواردة في المادة (5) من القانون.
- تنفيذ أعمال الضبطية القضائية بالتنسيق مع الجهات المعنية، لضبط أي مخالفات لأحكام القانون واللائحة التنفيذية.
- العمل على توعية المخاطبين بأحكام القانون واللائحة التنفيذية.
الاستمارات والنماذج الاسترشادية
- استمارة تصريح معالجة البيانات الشخصية حسب المادة (5) من قانون حماية البيانات الشخصية. العربية الإنجليزية
- استمارة تعديل التصريح. العربية الإنجليزية
- استمارة طلب تجديد التصريح. العربية الإنجليزية
- استمارة إلغاء التصريح بطلب من المتحكم. العربية الإنجليزية
- نموذج استمارة التظلم (رفض التصريح / الجزاءات الإدارية). العربية الإنجليزية
- نموذج سجل أنشطة معالجة البيانات الشخصية. العربية الإنجليزية
- نموذج بلاغ اختراق البيانات الشخصية. العربية الإنجليزية
- استمارة تعيين مسؤول حماية البيانات الشخصية. العربية الإنجليزية
- نموذج تقييم مستوى الحماية والمخاطر عند نقل البيانات الشخصية خارج الحدود. العربية الإنجليزية
- استمارة تقديم شكوى/ بلاغ. العربية الإنجليزية
الأسئلة الشائعة
1- البيانات الشخصية
مفهومها ومعالجتها والتصاريح المطلوبة وفقًا لقانون حماية البيانات الشخصية ولائحته التنفيذية
البيانات التي تجعل شخصا طبيعيا معرفا أو قابلا للتعريف بطريقة مباشرة أو غير مباشرة، كالاسم أو الرقم المدني أو بيانات المعرفات الإلكترونية أو البيانات المكانية، أو البيانات المتعلقة بالهوية الجينية أو الجسدية أو العقلية أو النفسية أو الاجتماعية أو الثقافية أو الاقتصادية .
هي العمليات التي يتم إجراؤها على البيانات الشخصية، تتضمن جمعها أو تسجيلها أو تحليلها أو تنظيمها أو تخزينها أو تعديلها أو تحويرها أو استرجاعها أو مراجعتها أو تنسيقها أو ضم بعضها لبعض أو حجبها أو محوها أو إلغاؤها أو الافصاح عنها، عن طريق ارسالها أو توزيعها أو نقلها أو تحويلها أو إتاحتها بوسائل أخرى.
تخضع لقانون حماية البيانات الشخصية ولائحته التنفيذية كل جهة (شركة /مؤسسة / أي كيان آخر)تتعامل مع بيانات شخصية وتقوم بمعالجتها ولم تستثن عمليات المعالجة التي تقوم بها بموجب المادة (3 )من القانون.
استثنى قانون حماية البيانات الشخصية وحدات الجهاز الإداري للدولة وغيرها من الأشخاص الاعتبارية العامة من نطاق تطبيقه، إلا أنه ستطبق عليها سياسة حماية البيانات الشخصية الصادرة بالتعميم رقم ( 6 / 2024 ) الموجهة لوحدات الجهاز الإداري للدولة والتي ستنظم معالجة هذه الجهات للبيانات الشخصية.
لبيانات الشخصية التي تستلزم الحصول على تصريح من الوزارة قبل معالجتها هي تلك التي تتعلق بالبيانات الجينية أو البيانات الحيوية أو البيانات الصحية أو الأصول العرقية أو الحياة الجنسية أو الآراء السياسية أو الدينية أو المعتقدات أو الإدانة الجزائية أو المتعلقة بتدابير أمنية.
2- إرشادات وضوابط قانون حماية البيانات الشخصية
التزامات المتحكم والمعالج وحقوق الأفراد
- الحصول على موافقة صاحب البيانات الشخصية قبل معالجة بياناته.
- الحصول على تصريح من الوزارة قبل معالجة البيانات الشخصية الواردة في المادة ( 5 ) من القانون.
- توفير نافذة لصاحب البيانات الشخصية تمكنه من ممارسة حقوقه.
- وضع سياسة حماية البيانات الشخصية.
- الحصول على موافقة صاحب البيانات الشخصية قبل ارسال أي مادة إعلانية أو تجارية له، مع التوقف عن إرسال هذه المواد مباشرة متى ما طلب صاحب البيانات الشخصية ذلك.
- وضع سجل معالجة البيانات الشخصية.
- إبلاغ الوزارة وصاحب البيانات الشخصية في حال تم اختراق البيانات الشخصية، في الحالات التي تطلب القانون ولائحته ذلك.
- عند نقل البيانات الشخصية خارج سلطنة عمان، يجب أن يتم اجراء تقييم لمستوى الحماية التي توفرها الدولة المستقبلة لهذه البيانات.
- أن تتم المعالجة في إطار الشفافية والأمانة واحترام كرامة الإنسان.
- تقديم طلب لصاحب البيانات الشخصية للحصول على موافقته الصريحة بشأن معالجة بياناته، على أن يكون هذا الطلب مكتوب وواضح وصريح.
- اخطار صاحب البيانات بتفاصيل هذه المعالجة والتي أهمها إيضاح الغرض من المعالجة وإجراءاتها.
نعم يمكن للمتحكم أن يتعاقد مع جهة أخرى لمعالجة البيانات الشخصية وتسمى تلك الجهة حينئذ بالمعالج، ويكون المعالج في علاقته بالغير فيما يقدمه من خدمات نائبا عن المتحكم فيما يتعلق بالمسؤولية المدنية والإدارية ودون الإخلال بالمسؤولية الجزائية للمعالج عما يقع منه بالمخالفة لأحكام القانون واللائحة.
أوجب قانون حماية البيانات الشخصية المتحكم -وقبل البدء في معالجة أي بيانات شخصية- إبلاغ صاحب البيانات الشخصية بكل المعلومات اللازمة والوافية عن الجهة التي ستعالج بياناته، والسبب الموجب لحصولها على تلك البيانات والغرض من معالجتها، وحقوق صاحب البيانات الشخصية بما في ذلك حق الوصول إلى البيانات وتصحيحها ونقلها وتحديثها، إضافة إلى كل معلومة أخرى تكون ضرورية لاستيفاء شروط المعالجة.
بينت اللائحة التنفيذية شروط محددة للاعتداد بالموافقة الصريحة، فلابد أن تصدر بطريقة واضحة ومن شخص كامل الأهلية دون اكراه، وأن تكون الموافقة كتابية أو الكترونية أو بأي وسيلة أخرى يحددها المتحكم، إلا أن الموافقة المطلوبة من صاحب البيانات الشخصية قبل إرسال أي مادة إعلانية أو تسويقية وذات أغراض تجارية إليه لابد أن تكون كتابية وبطريقة تمكن صاحب البيانات الشخصية من توثيقها .
لصاحب البيانات الشخصية الحق في طلب إيقاف التسويق الذي يتم عن طريق توجيه مادة إعلانية أو دعاية إلى شخص محدَّد كالإعلانات التي ترسل عن طريق الرسائل النصية أو البريد الإلكتروني، وعلى المتحكم توفير وتوضيح آلية لإيقاف استقبال المواد الاعلانية او التسويقية أو التجارية، كما يجب على المتحكم التوقف عن إرسال المواد الاعلانية او التسويقية أو التجارية فور تلقي طلب الإيقاف من صاحب البيانات الشخصية ويكون إيقاف إرسال المواد الاعلانية او التسويقية بدون مقابل.
هو الشخص المحدد من قبل المتحكم لتسهيل الامتثال لأحكام قانون حماية البيانات الشخصية ولائحته التنفيذية وتتمثل أهم مهامه في تقديم المقترحات والاستشارات للمتحكم أو المعالج فيما يتعلق بالتزاماتهم الواردة في القانون واللائحة، وأن يكون نقطة اتصال مع الوزارة بكل ما يتعلق بحماية البيانات الشخصية
يتوجب على المتحكم تحديد مسؤول حماية البيانات الشخصية وفق الضوابط الواردة في اللائحة، وقد يكون موظفا جديدا معينا لغرض تولي مسؤولية حماية البيانات الشخصية أو موظفا موجودا بالفعل لدى الجهة ويعهد إليه مهام مسؤول حماية البيانات الشخصية.
أتاح القانون ولائحته التنفيذية لصاحب البيانات الشخصية أو لأي ذي مصلحة أن يتقدم إلى الوزارة بشكوى، إذا كان لديه ما يحمله على الاعتقاد بوقوع أية مخالفة لأحكام القانون أو اللائحة أو القرارات الصادرة أو بأن شخصًا ما يقوم بمعالجة بياناته الشخصية خلافًا لأحكام ما سبق ذكره.
تقدم الشكوى أو البلاغ إلى الوزارة وفق الاستمارة المعدة لهذا الغرض (ويمكن الاطلاع على الاستمارة من خلال رابط الاستمارات والنماذج الاسترشادية). خلال مدة أقصاها (30) ثلاثين يوما من تاريخ العلم اليقيني بالمخالفة ويسقط الحق في تقديمها بعد مضي المدة المشار إليها. تقوم الوزارة بإخطار المتحكم بنسخة من الشكوى أو البلاغ، وله أن يرد على الشكوى أو البلاغ المقدم ضده خلال 14 يوم من تاريخ اخطاره. وبعد مضي هذه المدة يتم دراسة الشكوى من قبل الوزارة ويبت فيها خلال 60 يوم، ويعتبر عد الرد على الشكوى أو البلاغ المقدم رفضا له.
على المتحكم عند حدوث أي اختراق للبيانات الشخصية لديه بإبلاغ الوزارة خلال 72 ساعة من تاريخ علمه بالاختراق في حال كان ذلك الاختراق يهدد حقوق أصحاب البيانات المخترقة، ويأتي دور الوزارة بعدها بتقييم الإجراءات التي قام بها المتحكم ولها توجيه المتحكم باتخاذ الإجراءات المناسبة . بالإضافة الى التزام المتحكم بإخطار صاحب البيانات الشخصية خلال نفس المدة 72 ساعة أذا كان ذلك الاختراق يسبب ضررا جسيما أو مخاطر عالية على صاحب البيانات الشخصية.
3- نقل أو تحويل البيانات الشخصية خارج الحدود
لا تتطلب موافقة مركز الدفاع الإلكتروني إلا في حالة كانت البيانات الشخصية المعالجة حساسة وأن المتحكم سيعمل على حفظها أو معالجتها خارج السلطنة.
- إذا كانت البيانات الشخصية غير حساسة: لا يتطلب نقل أو تحويل البيانات الشخصية إلى خارج السلطنة موافقة أي جهات أخرى ويكتفى بموافقة صاحب البيانات الشخصية على أن يكون النقل أو التحويل إلى خارج السلطنة وفق الضوابط المنصوص عليها في اللائحة التنفيذية لقانون حماية البيانات الشخصية.
- إذا كانت البيانات الشخصية حساسة، فيتوجب عندها أخذ موافقة مركز الدفاع الإلكتروني قبل نقل أو تحويل البيانات الشخصية الحساسة إلى خارج السلطنة.
عم، كأصل عام يجب على المتحكم الحصول على موافقة صاحب البيانات الشخصية قبل نقل بياناته إلى خارج السلطنة. ويُستثنى من ذلك في حالتين:
- إذا كان النقل مطلوبًا لتنفيذ التزام دولي بموجب اتفاقية تكون السلطنة طرفًا فيها، أو
- إذا تم النقل بطريقة تضمن عدم إمكانية تحديد هوية صاحب البيانات الشخصية.
نموذج التقييم الذاتي
للاستفسارات، يرجى التواصل معنا عبر البريد الإلكتروني التالي
PDPC@mtcit.gov.om
