على وجه الخصوص:

• تحديد المخاطر التي قد تقع على صاحب البيانات الشخصية جراء المعالجة.

• إجراءات وضوابط نقل وتحويل البيانات الشخصية.

• التدابير الفنية والإجرائية لضمان تنفيذ المعالجة وفقا لأحكام قانون حماية البيانات الشخصية.

ويلتزم المتحكم بإخطار صاحب البيانات الشخصية كتابة قبل البدء بمعالجة البيانات الشخصية كما يلي:

• بيانات المتحكم والمعالج.

• بيانات التواصل مع مسؤول حماية البيانات الشخصية.

• الغرض من معالجة البيانات الشخصية والمصدر الذي جمعت منه.

• الوصف الشامل والدقيق للمعالجة وإجراءاتها ودرجات الإفصاح عن البيانات الشخصية.

• حقوق صاحب البيانات الشخصية بما في ذلك حق الوصول إلى البيانات وتصحيحها ونقلها وتحديثها.

• أي معلومات أخرى قد تكون ضرورية لاستيفاء شروط المعالجة.

(لا بد من وجود آلية واضحة لاستيفاء الموافقة الكتابية الصريحة لصاحب البيانات الشخصية وتمكينه من ممارسة حقوقه الآتية:

• إلغاء موافقته على معالجة بياناته الشخصية وذلك مع عدم الإخلال بالمعالجات التي تمت قبل الإلغاء وطلب تعديل بياناته الشخصية أو تحديثها أو حجبها.

• الحصول على نسخة من بياناته الشخصية المعالجة.

• نقل بياناته الشخصية إلى متحكم آخر.

• طلب محو بياناته الشخصية مالم تكن تلك المعالجة ضرورية لأغراض الحفظ والتوثيق الوطنية.

• إخطاره بأي اختراق أو انتهاك لبياناته الشخصية وما تم اتخاذه من إجراءات في هذا الشأن.

(لا بد من وجود آلية واضحة لاستيفاء الموافقة الكتابية الصريحة لصاحب البيانات الشخصية وتمكينه من ممارسة حقوقه الآتية:

• إلغاء موافقته على معالجة بياناته الشخصية وذلك مع عدم الإخلال بالمعالجات التي تمت قبل الإلغاء وطلب تعديل بياناته الشخصية أو تحديثها أو حجبها.

• الحصول على نسخة من بياناته الشخصية المعالجة.

• نقل بياناته الشخصية إلى متحكم آخر.

• طلب محو بياناته الشخصية مالم تكن تلك المعالجة ضرورية لأغراض الحفظ والتوثيق الوطنية.

• إخطاره بأي اختراق أو انتهاك لبياناته الشخصية وما تم اتخاذه من إجراءات في هذا الشأن.

(لا بد من وجود آلية واضحة لاستيفاء الموافقة الكتابية الصريحة لصاحب البيانات الشخصية وتمكينه من ممارسة حقوقه الآتية:

• إلغاء موافقته على معالجة بياناته الشخصية وذلك مع عدم الإخلال بالمعالجات التي تمت قبل الإلغاء وطلب تعديل بياناته الشخصية أو تحديثها أو حجبها.

• الحصول على نسخة من بياناته الشخصية المعالجة.

• نقل بياناته الشخصية إلى متحكم آخر.

• طلب محو بياناته الشخصية مالم تكن تلك المعالجة ضرورية لأغراض الحفظ والتوثيق الوطنية.

• إخطاره بأي اختراق أو انتهاك لبياناته الشخصية وما تم اتخاذه من إجراءات في هذا الشأن.

(يتطلب معالجة البيانات الشخصية الواردة في المادة (5) من قانون حماية البيانات الشخصية بالإضافة إلى الموافقة الصريحة لصاحب البيانات الشخصية الحصول على تصريح من الوزارة لمعالجتها.)

(يتطلب معالجة البيانات الشخصية الواردة في المادة (5) من قانون حماية البيانات الشخصية بالإضافة إلى الموافقة الصريحة لصاحب البيانات الشخصية الحصول على تصريح من الوزارة لمعالجتها.)

(يجب توفير وسائل تمكن ولي الأمر من الوصول إلى البيانات الشخصية لطفله ولا يجوز للمتحكم أو المعالج الإفصاح عن البيانات الشخصية للطفل أو مشاركتها مع الغير إلا بعد الحصول على الموافقة الصريحة لولي الأمر).

(يجب توفير وسائل تمكن ولي الأمر من الوصول إلى البيانات الشخصية لطفله ولا يجوز للمتحكم أو المعالج الإفصاح عن البيانات الشخصية للطفل أو مشاركتها مع الغير إلا بعد الحصول على الموافقة الصريحة لولي الأمر).

(يجب توفير وسائل تمكن ولي الأمر من الوصول إلى البيانات الشخصية لطفله ولا يجوز للمتحكم أو المعالج الإفصاح عن البيانات الشخصية للطفل أو مشاركتها مع الغير إلا بعد الحصول على الموافقة الصريحة لولي الأمر).

(يجب على المتحكم قبل إرسال أي مواد إعلانية، تسويقية، أو ذات أغراض تجارية لصاحب البيانات الشخصية أن يستوفي الضوابط الآتية:

الحصول على الموافقة الكتابية لصاحب البيانات الشخصية

إخطار صاحب البيانات الشخصية بوسيلة المواد الإعلانية أو التسويقية أو التجارية

تحديد آلية إيقاف استقبال المواد الإعلانية أو التسويقية أو التجارية

التوقف عن إرسال المواد الإعلانية أو التسويقية أو التجارية فور تلقي طلب الإيقاف من صاحب البيانات الشخصية وبدون مقابل)

(النشر أو المشاركة أو الإفصاح عن البيانات الشخصية المنصوص عليها في المادة (5) من قانون حماية البيانات الشخصية يجب أن يكون في الحدود والحالات المقررة قانونا أو إذا كان تنفيذا لحكم أو قرار قضائي).

(يجب على المتحكم وضع إجراءات داخلية للإبلاغ عن حوادث اختراق البيانات الشخصية، والتقيد بإجراءات إبلاغ الإدارة المختصة وإجراءات إخطار صاحب البيانات الشخصية بالإضافة إلى التزامه بتوثيق حالات الاختراق في سجل أنشطة معالجة البيانات الشخصية)

(يجب على المتحكم وضع إجراءات داخلية للإبلاغ عن حوادث اختراق البيانات الشخصية، والتقيد بإجراءات إبلاغ الإدارة المختصة وإجراءات إخطار صاحب البيانات الشخصية بالإضافة إلى التزامه بتوثيق حالات الاختراق في سجل أنشطة معالجة البيانات الشخصية)

(يجب على المتحكم وضع إجراءات داخلية للإبلاغ عن حوادث اختراق البيانات الشخصية، والتقيد بإجراءات إبلاغ الإدارة المختصة وإجراءات إخطار صاحب البيانات الشخصية بالإضافة إلى التزامه بتوثيق حالات الاختراق في سجل أنشطة معالجة البيانات الشخصية)

(يجب على المتحكم وضع إجراءات داخلية للإبلاغ عن حوادث اختراق البيانات الشخصية، والتقيد بإجراءات إبلاغ الإدارة المختصة وإجراءات إخطار صاحب البيانات الشخصية بالإضافة إلى التزامه بتوثيق حالات الاختراق في سجل أنشطة معالجة البيانات الشخصية)

(يجب على المتحكم وضع إجراءات داخلية للإبلاغ عن حوادث اختراق البيانات الشخصية، والتقيد بإجراءات إبلاغ الإدارة المختصة وإجراءات إخطار صاحب البيانات الشخصية بالإضافة إلى التزامه بتوثيق حالات الاختراق في سجل أنشطة معالجة البيانات الشخصية)

(يجب أن يكون تعيين مسؤول حماية البيانات الشخصية وفقا للضوابط الآتية:

أن يكون مؤهلا للقيام بالمهام الواردة في المادة (35) من اللائحة التنفيذية والتي تتمثل في:

• تقديم المقترحات والاستشارات للمتحكم أو المعالج فيما يتعلق بالتزاماتهما الواردة في القانون واللائحة

• متابعة تنفيذ سياسات المتحكم أو المعالج المتعلقة بحماية البيانات الشخصية.

• متابعة تنفيذ المتحكم أو المعالج لالتزاماته المنصوص عليها في القانون واللائحة.

• التنسيق مع الإدارة المختصة في المسائل المتعلقة بمعالجة البيانات الشخصية.

(يجب تمكين صاحب البيانات الشخصية من حقه في الاتصال بمسؤول حماية البيانات الشخصية في كل المسائل المتعلقة بمعالجة بياناته الشخصية)

(يلتزم المتحكم قبل نقل أو تحويل البيانات الشخصية إلى خارج حدود سلطنة عمان بالحصول على الموافقة الصريحة لصاحب البيانات الشخصية وألا يترتب على نقل البيانات أو تحويلها مساس بالأمن الوطني أو المصالح العليا للدولة ولا يشترط الحصول على موافقة صاحب البيانات الشخصية في إحدى الحالات الآتية:

إذا كان تنفيذا لالتزام دولي بموجب اتفاقية تكون سلطنة عمان طرفا فيها.

إذا كان النقل أو التحويل قد تم بطريقة تؤدي إلى إخفاء هوية صاحب البيانات الشخصية وعدم ربط هذه البيانات به وعدم إمكانية التعرف عليه بأي طريقة كانت.

كما يلتزم المتحكم بضمان أن لدى جهة المعالجة الخارجية قدر كافي من الحماية للبيانات الشخصية لا يقل عن مستوى الحماية المقررة في القانون واللائحة كما يجب عليه إجراء تقيم لمستوى الحماية التي توفرها جهة المعالجة الخارجية ومخاطر نقل أو تحويل البيانات الشخصية).