3 محظورات في قانون حماية البيانات الشخصية
حدد قانون حماية البيانات الشخصية عددا من المحظورات التي يتعين على المتحكم والمعالج الالتزام بها حفاظا على خصوصية الأفراد وتأمين بياناتهم من أي استخدام غير مشروع.
ووفقا للمادة ( ١٢ ) يحظر على المتحكم أو المعالج سواء كان شخصًا طبيعيا أو اعتباريًا جمع بيانات شخصية حســاسة أو نقلها أو تخــزينها أو حفظهـا أو معــالجتها أو إتاحتها إلا بترخيص مـن المـركـز.
وفيما عدا الأحــوال المصرح بها قانونًا، يلزم الحصول على موافقة كتــابية وصــريحة من الشخص المعني.
وفي حالة إجراء أي عملية ممـا ذكر تتعلق ببيانات الأطفال، يلزم موافقة ولي الأمر.
ويجب ألا تكون مشاركة الطفل في لعبة أو مسابقة أو أي نشاط آخر مشروطة بتقديم بيانات شخصية للطفل تزيد على ما هو ضروري للمشاركة في ذلك.
وذلك كله وفقًا للمعايير والضوابط التي تحددها اللائحة التنفيذية لهذا القانون.
والمادة ( ١٣ ) بالإضافة إلى الالتزامات الواردة بالمـادة (٩) من هذا القانون، يلتزم مسئول حماية البيانات الشخصية وتابعوه لدي المتحكم أو المعالج باتباع واستيفاء السياسات والإجراءات التأمينية اللازمة لعدم خرق البيانات الشخصية الحساسة أو انتهاكها.
قانون حماية البيانات الشخصية
وطبقا للمادة ( ١٠ )، يلتزم كل من المتحكم والمعالج والحائز عـند طـلـب إتاحــة البيانات الشخصية بالإجــراءات الآتيــة:
١ – أن يكون بناءً على طلب كتابي يقدم إليه من ذي صفة أو وفقًا لسند قانوني.
٢ – التحقق من توافر المستندات اللازمة لتنفيذ الإتاحة والاحتفاظ بها.
٣ – الــبت في الطـلـب ومستنداته خلال سـتة أيام عمل من تاريخ تقــديمه إليه، وعند صدور قرار بالرفض يجب أن يكون الرفض مسببًا، ويعتبر مضي المدة المشار إليها دون رد في حكم الرفض.
ووفقا للمادة (٩)، يكون مسئول حماية البيانات الشخصية مسئولًا عن تنفيذ أحكام القانون ولائحته التنفيذية وقرارات المركز، ومراقبة الإجراءات المعمول بها داخل كيانه الإشراف عليها، وتلقي الطلبات المتعلقة بالبيانات الشخصية وفقا لأحكام هذا القانون. ويلـتزم على الأخـص بالآتـي:
١ – إجراء التقييم والفحص الدوري لنظم حماية البيانات الشخصية ومنع اختراقها، وتوثيق نتائج التقييم وإصدار التوصيات اللازمة لحمايتها.
٢ – العمل كنقطة اتصال مباشرة مع المركز وتنفيذ قراراته، فيما يخص تطبيق أحكام هذا القانون.
٣ – تمكين الشخص المعني بالبيانات من ممارسة حقوقه المنصوص عليها في هذا القانون.
٤ – إخطار المركز في حال وجود أي خرق أو انتهاك للبيانات الشخصية لديه.
٥ – الرد على الطلبات المقدمة من الشخص المعني بالبيانات أو كل ذي صفة، والرد على المركز في التظلمات المقدمة إليه من أي منهما وفقا لأحكام هذا القانون.
٦ – متابعة القيد والتحديث لسجل البيانات الشخصية لدى المتحكم أو سجل عمليات المعالجة لدى المعالج، بمـا يكفل ضمان دقة البيانات والمعلومات المقيدة به.
٧ – إزالة أي مخالفات متعلقة بالبيانات الشخصية داخل كيانه، واتخاذ الإجراءات التصحيحية حيالها.
٨ – تنظيم البرامج التدريبية اللازمة لموظفي كيانه، لتأهيلهم بما يتناسب مع متطلبات هذا القانون.
وتحدد اللائحة التنفيذية لهذا القانون الالتزامات والإجراءات والمهام الأخرى التي يجب على مسئول حماية البيانات الشخصية القيام بها.
قانون حماية البيانات الشخصية
ووفقًا للمادة (٧)، يلتزم كل من المتحكم والمعالج، بحسب الأحوال، حال علمه بوجود خرق أو انتهاك للبيانات الشخصية لديه، بإبلاغ المركز خلال اثنتين وسبعين ساعة، وفي حال كان هذا الخرق أو الانتهاك متعلقًا باعتبارات حماية الأمن القومي فيكون الإبلاغ فوريًّا، وعلى المركز وفي جميع الأحوال إخطار جهات الأمن القومي بالواقعة فورًا، كما يلتزم بموافاة المركز خلال اثنتين وسبعين ساعة من تاريخ علمه بما يأتي:
١ – وصف طبيعة الخرق أو الانتهاك، وصورته وأسبابه والعدد التقريبي للبيانات الشخصية وسجلاتها.
٢ – بيانات مسئول حماية البيانات الشخصية لديه.
٣ – الآثار المحتملة لحادث الخرق أو الانتهاك.
٤ – وصف الإجراءات المتخذة والمقترح تنفيذها لمواجهة هذا الخرق أو الانتهاك والتقليل من آثاره السلبية.
٥ – توثيق أي خرق أو انتهاك للبيانات الشخصية، والإجراءات التصحيحية المتخـذة لمواجهتـه.
البيانات الشخصية، ٦ – أي وثائق أو معلومات أو بيانات يطلبها المركز.
وفي جميع الأحوال يجب على المتحكم والمعالج، بحسب الأحوال، إخطار الشخص المعني بالبيانات خلال ثلاثة أيام عمل من تاريخ الإبلاغ وما تم اتخاذه من إجراءات.
وتحدد اللائحة التنفيذية لهذا القانون الإجراءات الخاصة بالإبلاغ والإخطار.