عدد المواد : 31
تاريخ النشر : 2019-04-18

مسودات مشروعات القوانين والأنظمة

قانون حماية البيانات الشخصية

المادة (1)

يسمى هذا القانون قانون حماية البيانات الشخصية لسنة (2019) ويعمل به بعد سنة من تاريخ نشره في الجريدة الرسمية.


المادة (2)

الفصل الأول: تعاريف وأحكام عامة
تعاريف
تكون للكلمات والعبارات الآتية، حيثما وردت في هذا القانون، المعاني المبينة إزاءها، ما لم تدل القرينة على خلاف ذلك:
الوزارة: وزارة الاتصالات وتكنولوجيا المعلومات.
الوزير: وزير الاتصالات وتكنولوجيا المعلومات.
المجلس: مجلس حماية البيانات الشخصية المشكل بموجب أحكام هذا القانون.
الشخص الطبيعي القابل للتحديد: الشخص الذي يمكن تحديده بشكل مباشر أو غير مباشر من خلال الإشارة إلى رقم هويته أو موقعه أو معرف الإنترنت أو إلى عامل أو أكثر من العوامل المحددة لهويته البدنية والفسيولوجية والنفسية والاقتصادية والثقافية والاجتماعية والوراثية والعقلية.
البيانات الشخصية: أية بيانات شخصية أو معلومات خاصة بشخص طبيعي محدد أو قابل للتحديد والتي من شأنها التعريف به بشكل مباشر أو غير مباشر بما في ذلك البيانات المتعلقة بالحالة الشخصية أو الجسدية أو الشكلية أو
الذهنية أو الاقتصادية أو الدينية الخاضعة لقواعد الحماية المقررة بموجب
أحكام هذا القانون.
البيانات الشخصية الحساسة: أية بيانات شخصية تكشف على نحو مباشر أو غير مباشر عن أصل الشخص الطبيعي العرقي أو أرائه السياسية أو الحالة الجسدية أو النفسية أو الصحية أو العلاقة الزوجية أو معتقداته الدينية أو انتماءاته الحزبية أو النقابية أو أية بيانات تتعلق بصحته أو سجله الجرمي.
قواعد البيانات الشخصية: الملفات أو السجلات الإلكترونية أو غير الإلكترونية أو بنوك البيانات أو المعلومات المؤتمتة وأية وسيلة جمع أو حفظ أو تبويب إلكترونية أو غير إلكترونية تشتمل على البيانات الشخصية.
عمليات البيانات الشخصية: العمليات التي تكون البيانات الشخصية محلاً لها والمنظمة بموجب أحكام هذا القانون وتشمل:
أ. جمع البيانات الشخصية.
ب. معالجة البيانات الشخصية.
ج. نقل البيانات الشخصية.
د. الإفصاح عن البيانات الشخصية
ه- الاحتفاظ بالبيانات الشخصية
جمع البيانات الشخصية: الحصول على البيانات الشخصية بأي وسيلة.
معالجة البيانات الشخصية: القيام بأية عمليات منطقية أو حسابية على البيانات الشخصية، سواء كانت إلكترونية أو غير ذلك أو عن طريق وسائل تلقائية أو غيرها، وتشمل معالجة البيانات الشخصية على سبيل المثال: القيام بأي عملية أو مجموعة عمليات مثل تنظيمها أو تعديلها أو إرسالها أو توزيعها أو استرجاعها أو استعمالها أو تنسيقها أو ضم بعضها لبعض أو حجبها أو محوها أو إلغائها بأية وسيلة إلكترونية أو غير إلكترونية.
نقل البيانات الشخصية: إرسال أي من البيانات الشخصية أو توزيعها أو تبادلها بأي وسيلة.
الإفصاح عن البيانات الشخصية: إتاحة المجال للاطلاع على أي من البيانات الشخصية ضمن الأسس والشروط الواردة في هذا القانون.
الاحتفاظ بالبيانات الشخصية: تخزين البيانات الشخصية لدى الجهة المسيطرة بأي وسيلة.
الجهة: أي وزارة أو دائرة أو هيئة أو مجلس أو سلطة أو مؤسسة رسمية عامة أو مؤسسة عامة أو بلدية أو مؤسسة مجتمع مدني أو شركة أو مؤسسة منشأة وفقاً للتشريعات النافذة في المملكة.
الجهة المسيطرة: الجهة التي تكون البيانات الشخصية في عهدتها.
صاحب البيانات الشخصية: الشخص الطبيعي المعني أو التي تعود له البيانات الشخصية التي تكون محلا لعمليات البيانات الشخصية.
معالج البيانات الشخصية: الشخص الطبيعي أو الحكمي الذي يكون بحكم عمله مختصاً بمعالجة البيانات الشخصية سواء من داخل الجهة المسيطرة أو من خارجها.

مراقب حماية البيانات الشخصية: الشخص الطبيعي المعين للأشراف على قواعد البيانات الشخصية وعلى عمليات البيانات الشخصية وتنفيذ المهام المنصوص عليها في هذا القانون والأنظمة والتعليمات الصادرة بموجبه.

مستخدم البيانات الشخصية الشخص الطبيعي أو الحكمي الذي يستخدم البيانات الشخصية في العمليات التي تباشرها الجهة المسيطرة ومتلقي البيانات الشخصية على البيانات الشخصية.
اختراق البيانات الشخصية: أي وصول غير مشروع أو أية عملية أو نقل أو إجراء غير مصرح به على البيانات الشخصية.
متلقي البيانات الشخصية: أي شخص طبيعي أو اعتباري سواء أكان داخل المملكة أو خارجها يصار إلى نقل البيانات الشخصية إليه أو تبادل هذه البيانات معه من قبل الجهة المسيطرة، وفقاً لأحكام هذا القانون.
التشخيص: العمليات التي تتم على البيانات الشخصية وتستخدم لتقييم الجوانب الشخصية للشخص الطبيعي بما فيها التنبؤ وتحليل الجوانب المتعلقة بالأداء في العمل أو وضعه الاقتصادي أو الصحي أو التفضيلات الشخصية أو الاهتمامات أو السلوك أو الموقع أو تتبع التحركات.
وحدة حماية البيانات الشخصية الوحدة: وحدة تنشأ في الوزارة، وتكلف بإنجاز المهام الواردة في هذا القانون.
مفوض حماية البيانات الشخصية (مفوض الحماية): أي شخص يتم تسميته من قبل الوزير ويصدر قرار بتعيينه من قبل مجلس الوزراء وترتبط مهامه وصلاحياته بالوحدة.
المحكمة: محكمة البداية التي يقع المركز الرئيسي للجهة المسيطرة ضمن اختصاصها المكاني

المادة (3)

نطاق التطبيق
أ. تسري أحكام هذا القانون على كل مما يأتي:
1.على سائر الجهات التي تقوم بمباشرة أي من عمليات البيانات الشخصية سواء كانت إلكترونياً أو غير إلكترونياً كلياً أو جزئياً.
2.على سائر الجهات داخل المملكة حتى و إن تم جمع هذه البيانات قبل تاريخ نفاذ هذا القانون.
3.على عمليات البيانات الشخصية للأشخاص الطبيعيين المتواجدين داخل المملكة حتى و إن كانت الجهات المسيطرة متواجدة خارج المملكة.
ب- لا تطبق أحكام هذا القانون على عمليات البيانات الشخصية التي يقوم الأفراد بها في نطاق شخصي أو عائلي وللمجلس استثناء بعض الشركات الناشئة والصغيرة من الالتزام بتطبيق بعض أحكام هذا القانون وفقاً للتعليمات التي تصدر لهذه الغاية.

المادة (4)

الفصل الثاني: مجلس حماية البيانات الشخصية
تشكيلة المجلس
أ. يشكل بقرار من مجلس الوزراء، مجلس يسمى (مجلس حماية البيانات الشخصية) على النحو التالي:
1.الوزير. رئيساً
2. مفوض الحماية نائباً للرئيس
3. المجلس الوطني لحقوق الإنسان ممثلا بالمدير العام. عضواً
4.مفوض المعلومات المعين بموجب قانون ضمان حق الحصول على المعلومات. عضواً
5.ممثلين عن الأجهزة الأمنية عضوين
6. ممثلين من ذوي الخبرة والاختصاص في مجال البيانات الشخصية ثلاثة أعضاء
ب. تنظم آلية انعقاد المجلس والتفاصيل الخاصة بذلك وفقاً للنظام الذي يصدر تطبيقا لأحكام هذا القانون.

المادة (5)

صلاحيات المجلس
يمارس المجلس جميع الصلاحيات اللازمة لقيامه بمهامه وفقاً لأحكام هذا القانون بما في ذلك:
أ. رسم واقرار السياسات والاستراتيجيات المتعلقة بحماية البيانات الشخصية.
ب. إقرار الخطط والبرامج اللازمة لحماية البيانات الشخصية.
ج. تحديد أفضل الوسائل الواجب اتباعها لضمان حسن أداء الجهة المسيطرة في أعمالها وفقاً للنظام الذي يصدر تطبيقا لأحكام هذا القانون.
د. وضع تعليمات تبين الية البت في الشكاوى والطلبات المقدمة من أصحاب البيانات الشخصية بحق الجهات المسيطرة أو المقدمة من الجهات المسيطرة بحق أي جهة واتخاذ الإجراءات اللازمة بشأنها.
ه. إصدار التوصيات بشأن المعاهدات والاتفاقيات والتشريعات والأنظمة والتعليمات المتعلقة بحماية البيانات الشخصية.
و. إقرار التعليمات الداخلية المتعلقة بمهام مراقب حماية البيانات الشخصية.
ز. إصدار التعليمات التي تبين شروط وإجراءات الحصول على الموافقة وسحب الموافقة والنماذج الخاصة بالموافقة وسحب الموافقة وتصاريح نقل و/أو تبادل البيانات الشخصية داخل وخارج المملكة وفقاً لأحكام هذا القانون.
ح. إصدار المجلس قائمة محدثة بشكل دوري للدول أو الهيئات أو المنظمات الدولية أو الإقليمية المعتمدة لدى المملكة والتي يتوفر لديها مستوى الحماية الكافي وفقاً لأحكام هذا القانون.
ط. إقرار التقرير السنوي الخاص بحماية البيانات الشخصية الصادر عن مفوض الحماية ورفعه إلى مجلس الوزراء
ي. أي مهام أخرى تناط بالمجلس بمقتضى التشريعات النافذة.

المادة (6)

وحدة حماية البيانات الشخصية
أ- تنشأ بموجب أحكام هذا القانون وحدة في الوزارة تسمى بوحدة حماية البيانات الشخصية لتتولى من خلال المفوض مباشرة كافة المهام والصلاحيات اللازمة لحماية البيانات الشخصية ولها في سبيل ذلك القيام بوجه خاص بما يلي:
1. رفع المقترحات والتوصيات المتعلقة التشريعات ذات الصلة بحماية البيانات الشخصية إلى المجلس لاعتمادها.
2. اقتراح السياسات أو الاستراتيجيات أو الخطط أو البرامج بشأن تطبيق أحكام هذا القانون و رفعها إلى المجلس لإقرارها.
3. إعداد نظام يتعلق بالية تلقي الإخطارات والشكاوى أو الطلبات والتصاريح والية النظر بها .و رفعه إلى المجلس لإقراره.
4. تلقي البلاغات والشكاوي المتعلقة بمخالفة أحكام هذا القانون و التحقيق فيها واتخاذ القرار المناسب حيالها وفقاً لأحكام هذا القانون.
5. مراقبة التزام الجهة المسيطرة بأحكام هذا القانون و الأنظمة و التعليمات الصادرة بمقتضاه و مدى تقيدها بالإجراءات الفنية و الإدارية المحددة بمقتضى نظام يصدر لهذه الغاية.
6. السير في الإجراءات القانونية بحق المخالفين لأحكام هذا القانون حسب مقتضى الحال.
7. تمثيل المملكة في المحافل المحلية و الإقليمية و الدولية المتعلقة بحماية البيانات الشخصية.
8. الرقابة على أعمال مراقبي حماية البيانات الشخصية للتحقق من التزامهم بأحكام هذا القانون وفقا للنظام الذي يصدر تطبيقا لأحكام هذا القانون بعد إقراره من المجلس.
9. إعداد التعليمات التي تبين شروط و إجراءات الحصول على الموافقة و سحب الموافقة و تصاريح نقل أو تبادل البيانات الشخصية داخل و خارج المملكة و رفعها إلى المجلس لإقرارها،
10. إعداد النماذج للحصول على الموافقة وسحب الموافقة وتصاريح نقل أو تبادل البيانات الشخصية الخاصة بالموافقة و سحب الموافقة على عمليات البيانات الشخصية إلى خارج المملكة وفقا لأحكام هذا القانون و رفعها إلى المجلس لاعتمادها.
11. إعداد التقرير السنوي ورفعه إلى المجلس لإقراره.
ب- لمفوض الحماية تفويض أي من صلاحياته المنصوص عليها في هذا القانون إلى أي من موظفي الوحدة على أن يكون التفويض خطياً و محدداً .

المادة (7)

الفصل الرابع: الاشتراطات المتعلقة بعمليات البيانات الشخصية
الاشتراطات العامة
يراعى بشأن عمليات البيانات الشخصية ما يأتي:
أ- أن يكون الغرض من هذه العمليات مشروعا ومحددا وواضحا ، وأن لا يتم أي إجراء لاحق لها على نحو لا يتوافق مع الغرض من هذه العمليات .
ب- أن تكون كافية وذات صلة وغير مفرطة بالنظر للغرض منها .
ت- أن تكون صحيحة ودقيقه وتخضع للتحديث عندما يكون لذلك مقتضى .
ث- أن لا تبقى بصورة تسمح بمعرفة صاحب البيانات بعد استنفاذ الغرض من هذه العمليات .

المادة (8)

الاشتراطات الخاصة بعمليات البيانات الشخصية
يحظر القيام بعمليات البيانات الشخصية دون موافقة صاحبها، ما لم تكن المعالجة ضرورية لأي مما يأتي:
1- تنفيذ عقد يكون صاحب البيانات طرفا فيه.
2- اتخاذ خطوات بناء على طلب صاحب البيانات بهدف إبرام عقد.
3- تنفيذ التزام يرتبه القانون خلافا لالتزام عقدي أو صدور أمر من محكمة مختصة أو الجهات الأمنية.
4-حماية المصالح الحيوية لصاحب البيانات.

المادة (9)

البيانات الشخصية الحساسة
يجوز للمجلس أن يضيف أصنافاً أخرى من البيانات الشخصية الحساسة، إذا كان من شأن سوء استخدامها أو إفشائها إلحاق ضرر بالفرد.

المادة (10)

الإشتراطات الخاصة بمعالجة البيانات الشخصية الحساسة
يحظر معالجة البيانات الشخصية الحساسة دون موافقة صاحبها ويستثنى من ذلك ما يأتي:
1- المعالجة الضرورية لحماية أي إنسان إذا كان صاحب البيانات أو الوصي أو الولي أو القيم عليه غير قادر قانونا على إعطاء موافقته على ذلك وبشرط الحصول على تصريح مسبق من الوحدة بذلك.
2- معالجة البيانات التي أتاحها صاحبها للجمهور.
3- المعالجة الضرورية لأغراض الطب الوقائي أو التشخيص الطبي أو إدارة خدمات الرعاية الصحية من قبل مرخص له بمزاولة أي من المهن الطبية أو أي شخص ملزم بحكم القانون بالمحافظة على السرية .
4- المعالجة التي تتم من قبل جهة عامة مختصة بالقدر الذي يقتضيه تنفيذ المهام المنوطة بها قانونا.

المادة (11)

التزامات الجهة المسيطرة
أ- تكون الجهة المسيطرة مسؤولة عن البيانات الشخصية الخاضعة لسيطرتها، و عن تلك التي سلمت إليها من قبل أي جهة أخرى وفقاً لأحكام هذا القانون.
ب- تضع كل جهة مسيطرة إجراءات خاصة بعمليات البيانات الشخصية و آلية تلقي الشكاوى بخصوصها و الرد عليها وفقاً لأحكام هذا القانون، على أن تقوم بنشرها في وسائل الإعلام المتاحة بما في ذلك الموقع الإلكتروني الخاص بها.

المادة (12)

مراقب حماية البيانات الشخصية
1- تلتزم كل جهة مسيطر بتسمية مراقب حماية البيانات الشخصية، على أن يكون ممن لديه القدرة على القيام بالمهام الموكوله له بموجب أحكام هذا القانون والنظام والتعليمات الصادرة تنفيذا له.
2- على المراقب اتخاذ الإجراءات التالية:
أ. مراقبة الإجراءات المعمول بها داخل الجهة المسيطرة فيما يتعلق بحماية البيانات الشخصية وتوثيق مدى توافقها مع أحكام هذا القانون والأنظمة والتعليمات الصادرة بموجبه
ب. الإشراف على عمليات البيانات الشخصية وتوثيق مدى توافقها مع أحكام هذا القانون.
ج.الإشراف على إجراء التقييم والفحص الدوري لأنظمة قواعد البيانات الشخصية، وأنظمة عمليات البيانات الشخصية، وأنظمة تتبع ومنع اختراق البيانات الشخصية، وأنظمة توثيق عمليات البيانات الشخصية بشكل دوري، على أن يقوم بتوثيق نتائج التقييم وإصدار التوصيات اللازمة لحماية البيانات الشخصية ومتابعة تنفيذ هذه التوصيات.
د. العمل كضابط ارتباط مباشر مع مفوض الحماية والجهات الأمنية والقضائية فيما يخص الالتزام بأحكام هذا القانون.
ه. وضع تعليمات داخلية لتلقي ودراسة الشكاوى، وطلبات الوصول للبيانات، وطلبات تصحيحها أو حذفها، وإتاحة ذلك للأفراد
و. استخدام الوسائل التكنولوجية المناسبة لتمكين الأفراد من ممارسة حقهم في الوصول إلى البيانات الشخصية ومراجعتها وتصحيحها بشكل مباشر
ز. تنظيم البرامج التدريبية اللازمة لموظفي الجهة المسيطرة ومستخدمي البيانات الشخصية لدى تلك الجهة المسيطرة لتأهيلهم للتعامل مع البيانات الشخصية بما يتناسب ومتطلبات هذا القانون.

المادة (13)

سرية وأمان المعالجة
أ. مع مراعاة أحكام الفقرة (ب) من هذه المادة، تعتبر البيانات الشخصية التي يجري عليها أي من عمليات البيانات الشخصية بيانات سرية يقع على عاتق الجهة المسيطرة وكافة الجهات الأخرى ذات العلاقة بأي من البيانات الشخصية المحافظة على سريتها.
ب. تحدد شروط الإفصاح عن البيانات الشخصية، والجهات التي يجوز لها الإفصاح، والبيانات الشخصية المسموح بالإفصاح عنها، والتصاريح اللازمة، وفقا للنظام الذي يصدر تطبيقاً لأحكام هذا القانون.
ج. على الجهة المسيطرة اتخاذ التدابير الأمنية والتقنية والتنظيمية ووسائل أمن وحماية البيانات الشخصية الملائمة التي تكفل حماية البيانات من أي كشف أو تغيير أو إضافة أو إتلاف أو اختراق أو أية عملية أو إجراء غير مصرح به بموجب التعليمات الصادرة لهذه الغاية.
د. في حال حدوث أي اختراق للبيانات الشخصية يتوجب على الجهة المسيطرة إبلاغ مفوض الحماية خلال 72 ساعة من اكتشاف عملية الاختراق بما في ذلك مصدر الاختراق وآليته وأصحاب البيانات الشخصية الذين تأثرت بياناتهم الشخصية بهذا الاختراق وأية معلومات أخرى متوفرة حول عملية الاختراق المذكورة.
ه. إذا لم تتوفر المعلومات المتعلقة بمصدر وآليات اختراق البيانات الشخصية، أو أصحاب البيانات الشخصية الذين تأثرت بياناتهم الشخصية بهذا الاختراق يجب على الجهة المسيطرة تزويد مفوض الحماية بكل معلومة جديدة متعلقة بالاختراق فور الحصول عليها.
و.عند حدوث أي اختراق للبيانات الشخصية يتوجب على الجهة المسيطرة إبلاغ أصحاب البيانات الشخصية الذين قد تكون بياناتهم الشخصية تأثرت خلال 24 ساعة من اكتشاف عملية الاختراق، وتوفير النصح والإرشاد بالإجراءات اللازمة لتفادي أي عواقب قد تترتب على هذا الاختراق.
ز. تعتبر الجهة المسيطرة وحدها هي المسؤولة عن تعويض صاحب البيانات الشخصية عن أية تكاليف أو أضرار مادية أو معنوية وقعت عليه بسبب حدوث أي اختراق لبياناته الشخصية التي تقع تحت سيطرة أو في عهدة الجهة المسيطرة حيث يكون التعويض وفقاً لأحكام القانون المدني الأردني ذي العلاقة بهذا الموضوع.
ح. على الجهة المسيطرة توفير وسائل المساعدة البصرية والسمعية والحسية أو أي وسيلة مناسبة تضمن تلبية احتياجات أصحاب البيانات الشخصية من ذوي الإعاقة في ممارسة حقوقهم.

المادة (14)

الفصل الخامس: حقوق صاحب البيانات
الحق في الموافقة المسبقة
أ. لا يجوز لأي جهة مسيطرة القيام بمعالجة البيانات الشخصية دون الحصول على موافقة مسبقة صريحة وموثقة خطياُ أو إلكترونياً لصاحبها، وتعتبر شروط الموافقة المذكورة في هذه الفقرة هي المعتمدة لأغراض هذا القانون أينما وردت.
ب. يجب أن يكون طلب الموافقة على أي عملية من عمليات البيانات الشخصية بلغة واضحة وبسيطة وغير مضللة ويمكن الوصول إليه بسهولة.
ج . على الموافقة أن تكون محددة الغايات والمدة وأن تطلب الجهة المسيطرة وموافقة صاحب البيانات في كل مرة تتغير طبيعة العمليات التي تجربها الجهة المسيطرة على البيانات الشخصية أو أهدافها وفي حال لم يجدد صاحب البيانات الشخصية موافقته صراحة تعتبر الموافقة لاغية.

المادة (15)

الاستثناء من الموافقة المسبقة
على الرغم مما ورد في المادة (14) يجوز مباشرة أي عملية من عمليات البيانات الشخصية دون الحصول على الموافقة الصريحة والموثقة لصاحب البيانات الشخصية وذلك في الحالات التالية:
1. إذا كانت ضرورية لغرض منع أو كشف جريمة بناء على قرار قضائي او أمر من المدعي العام أو بناء على قرار إداري يهدف الى منع أو كشف أو متابعة الجرائم المرتكبة خلافاً أحكام القانون.
2. إذا كانت مطلوبة أو مصرحاً بها بموجب أي من القوانين النافذة أو كان ذلك بقرار من المحكمة المختصة.
3. إذا كانت ضرورية لحماية مصالح صاحب البيانات الشخصية المجموعة عنه البيانات المرتبطة بالحياة أو الموت وبما يخالف أحكام هذا القانون.
4. إذا كانت البيانات الشخصية المراد الحصول عليها أو مباشرة أي من عمليات البيانات الشخصية عليها جزء من مصدر متاح وصول الجمهور إليه بما لا يخالف أحكام هذا القانون.
5. إذا كانت ضرورية لأغراض البحث العلمي أو التاريخي أو أهداف إحصائية لتحقيق المصلحة العامة أو اعتبارات الأمن الوطني.
6. إذا كانت ضرورية لتنفيذ عقد يكون صاحب البيانات طرفا فيه.

المادة (16)

الحق في سحب الموافقة
أ. يحق لصاحب البيانات الشخصية سحب موافقته التي سبق وأصدرها لغايات إجراء أي من عمليات البيانات الشخصية على بياناته وذلك بموجب إشعار خطي أو إلكتروني موجه إلى الجهة المسيطرة، وفي هذه الحالة تلتزم الجهة المسيطرة بتنفيذ طلب صاحب البيانات الشخصية خلال شهر من تاريخ تبليغ الإشعار المشار إليه ما لم يكن هناك حاجة للاحتفاظ بها بموجب أي متطلبات تعاقدية أو رقابية أو المتطلبات الواردة في هذا القانون دون أن يتحمل صاحب البيانات الشخصية أي تبعات مالية أو تعاقدية نتيجة سحبه هذه الموافقة .
ب. لا يعتد بأي موافقة صادرة عن صاحب البيانات الشخصية إذا صدرت عنه استناداً إلى معلومات غير صحيحة أو ممارسات خادعة أو مضللة وكانت هي السبب في قراره بمنح الموافقة المذكورة.
ج . لا يجوز مباشرة أي من عمليات البيانات الشخصية بواسطة أي جهة مسيطرة إذا كانت تلك العمليات تسبب ضرراً للأشخاص الذين جمعت عنهم البيانات أو تنال من حقوقهم أو حرياتهم وفقا لما يحدده النظام الذي يصدر تطبيقاً لأحكام هذا القانون.

المادة (17)

الحق في إخطار صاحب البيانات بمعالجة بياناته الشخصية
أ. تلتزم الجهة المسيطرة قبل البدء بعملية جمع البيانات الشخصية بإعلام صاحب البيانات الشخصية خطياً أو إلكترونياً بما يلي:
1. الغرض الذي تجرى من أجله عملية الجمع وأية أغراض ثانوية.
2. البيانات الشخصية التي سيتم جمعها.
3. تاريخ البدء بجمع البيانات الشخصية.
4. الفترة الزمنية التي سيتم خلالها إجراء أي من عمليات البيانات الشخصية، على أن لا يتم تمديد هذه الفترة إلا بموافقة صاحب البيانات الشخصية على النحو المبين في المادة (14) من هذا القانون.
5. الجهات الأخرى التي ستشارك الجهة المسيطرة تنفيذ أي من عمليات البيانات الشخصية.
6. ضوابط أمن المعلومات التي تتبعها الجهة المسيطرة.
7. معلومات عن عمليات التشخيص.
8. حق صاحب البيانات الشخصية في الاعتراض وسحب الموافقة والنفاذ إلى بياناته الشخصية.
ب. لا يجوز أن تتجاوز عملية جمع البيانات الشخصية الغرض الذي جمعت من أجله والمحدد عند أخذ موافقة صاحب البيانات الشخصية على النحو المبين في هذا القانون.
ج. مع مراعاة التشريعات ذات العلاقة، لا يجوز الاحتفاظ بالبيانات في عهدة الجهة المسيطرة التي باشرت أي من عمليات معالجة البيانات الشخصية عليها لمدة تتجاوز تاريخ انتهاء العمليات عليها.
د. يجب أن تتم عملية جمع البيانات وفقاً لأحكام هذا القانون ولا يجوز استخدام أي وسيلة غير قانونية أو إيهاميه أو غير صحيحة لهذا الغرض.
ه. لا يجوز إجراء أي من عمليات البيانات الشخصية لمن لا يتمتع بالأهلية الكاملة دون الحصول على موافقة أحد الوالدين الخطية أو الإلكترونية، وفي حال غياب الوالدين لأي سبب من الأسباب فيتم أخذ موافقة الولي المعين قانوناً لمتابعة شؤون صاحب البيانات الشخصية المذكورة في هذه الفقرة
و. تلتزم الجهة المسيطرة التي تقوم بجمع البيانات الشخصية لحساب جهة مسيطرة أخرى التثبت من توافر كافة الشروط القانونية لصحة عملية الجمع لدى الجهة التي تعمل لحسابها.

المادة (18)

الحق في المطالبة بالتصحيح والحجب والمسح
أ. يتعين أن تكون البيانات الشخصية محل أي عملية من عمليات البيانات الشخصية صحيحة ودقيقة و ويجري تحديثها بشكل دوري بما يضمن أن تبقى كذلك عند كل استخدام.
ب. تلتزم الجهة المسيطرة باستكمال وتحديث وتصحيح أي بيانات شخصية تكون غير كاملة أو غير دقيقة وفقاً لما هو متاح ومتوافر لها من معلومات شخصية وذلك قبل إجراء أي عملية من عمليات البيانات الشخصية على أن يلتزم صاحب البيانات الشخصية بتزويد الجهة المسيطرة بجميع المعلومات اللازمة لغايات استكمال أو تحديث أو تصحيح بياناته الشخصية.
ج . تلتزم الجهة المسيطرة ومعالج البيانات الشخصية ومستخدم البيانات الشخصية بضمان أمن المعلومات الملائم الكفيل بمنع اختراق البيانات الشخصية والتي تساعد في اكتشاف وتعقب حالات اختراق البيانات الشخصية، كما تلتزم بتوفير سائر وسائل أمن المعلومات خلال عمليات البيانات الشخصية.
د. يجب أن تتم عمليات البيانات الشخصية بطريقة تضمن سرية المعلومات وسلامتها وعدم حدوث أي تغيير عليها.

المادة (19)

الحق في تعديل وتصحيح البيانات
باستثناء البيانات التي جمعت لمنع وقوع الجريمة أو اكتشافها أو ملاحقتها، يجب على الجهة المسيطرة بناءً على طلب صاحب البيانات الشخصية، تمكينه من النفاذ إلى بياناته الشخصية وتحديثها، وعلى الجهة المسيطرة توفير الوسائل الإلكترونية أو غير الإلكترونية التي تراها مناسبة لتمكينه من ذلك بطريقة آمنة وفقاً للمتطلبات القانونية والإجرائية للبيانات الشخصية.

المادة (20)

الفصل السادس: أحكام النقل والتبادل الإلكتروني للبيانات
أحكام النقل والتبادل الإلكتروني للبيانات داخل المملكة.
أ. لا يجوز نقل البيانات الشخصية بأي حال من الأحوال بين الجهة المسيطرة وأي جهة أخرى داخل المملكة إلا بتوافر الشروط التالية مجتمعة:
1. موافقة صاحب البيانات الشخصية على هذا النقل.
2. أن يحقق نقل البيانات الشخصية مصالح مشروعة للجهة التي تتوفر لديها البيانات الشخصية ومتلقي البيانات الشخصية.
3. أن يتوافر العلم الكافي لدى صاحب البيانات الشخصية بالجهة التي ستتلقى البيانات الشخصية والأغراض التي ستستخدم من أجلها.
ب . لا يشترط توفر الشروط الواردة في الفقرة (أ) من هذه المادة، وذلك في حال تحقق أي من الحالات المنصوص عليها في المادة (15) من هذا القانون.
ج. يتوجب على الجهة المسيطرة أن تحتفظ بسجلات توثق فيها البيانات التي تم نقلها أو تبادلها مع أي جهة أخرى، والغاية من تبادلها وتوثيق موافقات أصحاب البيانات الشخصية على نقلها، على أن يكون التوثيق على الأقل بوسائل إلكترونية غير قابلة للشطب أو التعديل.
د. يحظر على الجهة المسيطرة نقل البيانات الشخصية أو تبادلها أو إتاحتها لأي جهة أخرى إذا كان الغرض من ذلك التسويق لمنتجات أو خدمات أي من الجهة المسيطرة أو متلقي البيانات الشخصية، إلا بموافقة صاحب البيانات الشخصية.

المادة (21)

نقل البيانات الشخصية الى خارج المملكة
أ. لا يجوز نقل أي من البيانات الشخصية خارج المملكة إلى أي جهة لا يتوفر لديها مستويات كافية من حماية البيانات الشخصية، ولا يعتبر مستوى الحماية كافياُ إذا كان أقل مما يقرره هذا القانون من أحكام لحماية البيانات الشخصية.
ب. يستثنى مما ورد في الفقرة (أ) من هذه المادة الحالات التالية:
1. التعاون القضائي الإقليمي أو الدولي بموجب اتفاقيات أو معاهدات دولية نافذة في المملكة.
2. التعاون الدولي أو الإقليمي بين المملكة وبين هيئات أو منظمات أو وكالات دولية أو إقليمية عاملة في حقل مكافحة الجريمة بأنواعها و/ أو ملاحقة مرتكبيها.
3. تبادل البيانات الشخصية الطبية الخاصة بصاحبها عندما يكون ضرورياً لعلاجه وتبادل البيانات المتعلقة بالأوبئة أو الكوارث الصحية أو ما يمس الصحة العامة في المملكة.
4. إذا كان نقل أو تبادل البيانات من أجل تحقيق مصلحة وطنية بناءً على قرار صادر من مجلس الوزراء.
5. توافر موافقة صاحب البيانات الشخصية على النقل بعد إعلامه بعدم توافر مستوى حماية كافٍ.
ج. تنطبق ذات القيود والشروط الواردة في المادة (20) من هذا القانون على عمليات نقل البيانات الشخصية خارج المملكة.
د . على الجهة المسيطرة التوثق من وضمان حماية وأمن المعلومات التي يتبعها متلقي البيانات الشخصية في الدول الأخرى قبل البدء بعملية نقل البيانات الشخصية.

المادة (22)

الفصل السابع: الجزاءات والمسؤولية المشتركة والطعن
الجزاءات التي يجوز للوحدة اتخاذها عند ثبوت المخالفة
للوحدة في حالة ثبوت مخالفة أحكام هذا القانون والأنظمة والقرارات الصادرة تنفيذا له، أن تتخذ أحد الإجراءات الآتية أو كلها بحسب ما يتناسب وحجم المخالفة:
1. سحب الموافقة المسبقة الصادرة من الوحدة وذلك في حالة تعلق المخالفة بهذه الموافقة.
2. توقيع غرامة مالية تحسب على أساس يومي لحمل المخالف عن التوقف عن المخالفة وإزالة أسبابها أو أثارها وذلك بما لا يزيد عن 500 دينار يوميا وشريطة أن لا يزيد مجموع مبلغ الغرامة عن 5 % من إجمالي الإيرادات السنوية للمؤسسة أو الشركة المخالفة.
3. يجوز للوحدة نشر المخالفة بالوسيلة والكيفية التي تراها مناسبة.

المادة (23)

المسؤولية المشتركة
يخضع متلقي البيانات الشخصية جراء أية عملية تبادل أو نقل للبيانات الشخصية، لذات المسؤوليات و الواجبات القانونية المقررة على الجهة المسيطرة.

المادة (24)

الطعن في قرارات الوحدة
لكل ذي مصلحة الطعن في القرارات التي تصدر بالتطبيق لأحكام هذا القانون والانظمة الصادرة تطبيقا له أمام محكمة القضاء الإداري في الحالات والمواعيد باتباع الإجراءات المنصوص عليها في قانون محكمة القضاء الإداري.

المادة (25)

التعويض
لا تخل المسؤولية الإدارية أو الجزائية بحق المتضرر في إقامة دعوى التعويض المدنية عن الأضرار التي لحقت به من جراء أي مخالفة لأحكام هذا القانون.

المادة (26)

الفصل الثامن: العقوبات
يعاقب بالحبس مدة لا تقل عن شهر ولا تزيد عن ثلاثة أشهر أو بغرامة لا تقل عن (1000) ألف دينار ولا تزيد عن (10000) عشرة الاف دينار أو بكلتا هاتين العقوبتين كل من ارتكب أي من الافعال التالية:
أ. القيام بنقل أو تبادل البيانات الشخصية داخل أو خارج المملكة دون التقيد بالأحكام المقررة في هذا القانون أو الأنظمة الصادرة بمقتضاه.
ب. الحصول على موافقة صاحب البيانات الشخصية على أي من عمليات البيانات الشخصية بالاستناد إلى معلومات غير صحيحة أو ممارسات خادعة أو مضللة.
ج. إدراج أو ادخال أي بيانات غير صحيحة إلى قاعدة البيانات الشخصية وذلك بصورة متعمدة.
د. إفشاء البيانات الشخصية الموجودة تحت سيطرته أو في عهدته دون موافقة صاحب البيانات الشخصية.
ه . اختراق أو مراقبة أو الاطلاع أو الحصول على أو توقيف أو مصادرة البيانات الشخصية خلافا لأحكام هذا القانون أو الأنظمة أو التعليمات الصادرة بمقتضاه.
و. انتهاك أي من وسائل أمن المعلومات أو التدابير التقنية الموضوعة لحماية البيانات الشخصية المحددة بموجب أحكام هذا القانون أو الأنظمة الصادرة بمقتضاه.
ز. رفض طلب صاحب البيانات الشخصية بسحب الموافقة بإتلاف البيانات الشخصية أو إجراء آخر والاستمرار بمباشرة عمليات البيانات الشخصية رغم ذلك ما لم يكن هناك حاجة للاحتفاظ بها بموجب أي متطلبات أخرى.


المادة (27)

يعاقب بغرامة لا تقل عن (1000) ألف دينار ولا تزيد على (10000) عشرة آلاف دينار كل من ارتكب أي مخالفة لأحكام المواد 14و13و12 من هذا القانون .

المادة (28)

بالإضافة إلى أي من العقوبات المقررة في المادتين (26) و (27) من هذا القانون يجوز للمحكمة المختصة بناء على طلب النيابة العامة أو المتضرر او من تلقاء نفسها أن تقضي بإتلاف البيانات الشخصية و إلغاء قاعدة البيانات الشخصية موضوع الدعوى التي صدر بها قرار قطعي بالإدانة.

المادة (29)

أ. تضاعف العقوبة المقررة في المادتين (26) و(27) من هذا القانون في الحالات التالية:
1. ارتكاب أي من الأفعال المحددة فيهما من قبل موظف عام.
2. تكرار فعل الارتكاب من قبل نفس الشخص.

المادة (30)

يصدر مجلس الوزراء الأنظمة اللازمة لتنفيذ أحكام هذا القانون.


المادة (31)

رئيس الوزراء والوزراء مكلفون بتنفيذ أحكام هذا القانون.