حماية خصوصية البيانات الشخصية

قانون رقم (13) لسنة 2016 بشأن حماية خصوصية البيانات الشخصية 13 / 2016
عدد المواد: 32

فهرس الموضوعات

الفصل الأول: تعاريف وأحكام عامة (1-2)

الفصل الثاني: حقوق الأفراد (3-7)

الفصل الثالث: التزامات المراقب والمعالج (8-15)

الفصل الرابع: البيانات الشخصية ذات الطبيعة الخاصة (16-17)

الفصل الخامس: الإعفاءات (18-21)

الفصل السادس: الاتصالات الإلكترونية لغرض التسويق المباشر (22-22)

الفصل السابع: العقوبات (23-25)

الفصل الثامن: أحكام ختامية (26-32)

نحن تميم بن حمد آل ثاني أمير دولة قطر،
بعد الاطلاع على الدستور،
وعلى قانون الاتصالات الصادر بالمرسوم بقانون رقم (34) لسنة 2006،
وعلى قانون المعاملات والتجارة الإلكترونية الصادر بالمرسوم بقانون رقم (16) لسنة 2010،
وعلى القانون رقم (2) لسنة 2011 بشأن الإحصاءات الرسمية، المعدل بالقانون رقم (4) لسنة 2015،
وعلى قانون مكافحة الجرائم الإلكترونية الصادر بالقانون رقم (14) لسنة 2014،
وعلى القرار الأميري رقم (42) لسنة 2014 بإنشاء هيئة تنظيم الاتصالات،
وعلى القرار الأميري رقم (8) لسنة 2016 بالهيكل التنظيمي لوزارة المواصلات والاتصالات،
وعلى اقتراح وزير المواصلات والاتصالات،
وعلى مشروع القانون المقدم من مجلس الوزراء،
وبعد أخذ رأي مجلس الشورى،
قررنا القانون الآتي:
الفصل الأول: تعاريف وأحكام عامة
المادة 1

في تطبيق أحكام هذا القانون، تكون للكلمات والعبارات التالية، المعاني الموضحة قرين كل منها، ما لم يقتض السياق معنى آخر

الوزارة: وزارة المواصلات والاتصالات

الوزير: وزير المواصلات والاتصالات

الإدارة المختصة: الوحدة الإدارية المختصة بالوزارة

الجهة المختصة: أي جهة حكومية تختص قانوناً بتنظيم أعمال أو إجراءات ذات صلة بمعالجة البيانات الشخصية والإشراف عليها

الفرد: الشخص الطبيعي الذي تتم معالجة البيانات الشخصية الخاصة به

المراقب: الشخص الطبيعي أو المعنوي الذي يقوم منفرداً أو بالاشتراك مع آخرين بتحديد كيفية معالجة البيانات الشخصية والغرض منها

المعالج: الشخص الطبيعي أو المعنوي الذي يقوم بمعالجة البيانات الشخصية لصالح المراقب

البيانات الشخصية: بيانات عن الفرد الذي تكون هويته محددة، أو يمكن تحديدها بصورة معقولة، سواء من خلال هذه البيانات أو عن طريق الجمع بينها وبين أية بيانات أخرى

معالجة البيانات الشخصية: إجراء عملية أو مجموعة عمليات على البيانات الشخصية، كالجمع والاستلام والتسجيل والتنظيم والتخزين والتهيئة والتعديل والاسترجاع والاستخدام والإفشاء والنشر والنقل والحجب والتخلص والمحو والإلغاء

تدفق البيانات عبر الحدود: الوصول إلى البيانات الشخصية أو مشاهدتها أو استرجاعها أو استخدامها أو تخزينها دون التقيد بحدود الدولة

الغرض المشروع: الغرض الذي تتم لأجله معالجة البيانات الشخصية للفرد، طبقاً للقانون

الممارسات المقبولة: أنشطة معالجة تحددها أو تقرها الإدارة المختصة، تتعلق بأنواع مختلفة من الأغراض المشروعة

التسويق المباشر: إرسال أي مادة إعلانية أو تسويقية بأي وسيلة إلى أشخاص بعينهم

الاتصالات السلكية واللاسلكية: إرسال أو بث أو استقبال الإشارات أو الرموز أو الصور أو الأشكال أو الأصوات أو البيانات أو النصوص أو المعلومات، أياً كان نوعها أو طبيعتها، عن طريق الوسائل السلكية أو اللاسلكية أو الراديوية أو البصرية، أو غيرها من وسائل الاتصالات الكهرومغناطيسية، أو بأية وسائل اتصالات أخرى مشابهة

اتصال إلكتروني: اتصال يتم بواسطة أي من الاتصالات السلكية واللاسلكية

إنشاء اتصال إلكتروني: إنشاء أو إرسال أو نقل اتصال إلكتروني، أو المساعدة في ذلك، أو توجيه المعالِج بذلك

مشغل الموقع الإلكتروني: الشخص الذي يُشغِّل موقعاً على شبكة الإنترنت، أو يعرض منتجات أو خدمات من خلاله، ويقوم بجمع أو معالجة البيانات الشخصية لمستخدمي ذلك الموقع أو زواره.

المادة 2

تسري أحكام هذا القانون على البيانات الشخصية عندما تتم معالجتها على نحو إلكتروني، أو يتم الحصول عليها أو جمعها أو استخراجها على أي نحو آخر تمهيداً لمعالجتها إلكترونياً، أو تتم معالجتها عن طريق الجمع بين المعالجة الإلكترونية والمعالجة التقليدية

ولا تسري أحكام هذا القانون على البيانات الشخصية التي يقوم الأفراد بمعالجتها في نطاق شخصي أو عائلي، أو البيانات الشخصية التي تتم معالجتها بغرض الحصول على البيانات الإحصائية الرسمية وفقاً لأحكام القانون رقم (2) لسنة 2011 المشار إليه

الفصل الثاني: حقوق الأفراد
المادة 3

لكل فرد الحق في حماية خصوصية بياناته الشخصية، ولا يجوز معالجة تلك البيانات إلا في إطار الشفافية والأمانة واحترام كرامة الإنسان والممارسات المقبولة، وفقاً لأحكام هذا القانون.

المادة 4

لا يجوز للمراقب معالجة البيانات الشخصية، إلا بعد الحصول على موافقة الفرد، ما لم تكن المعالجة ضرورية لتحقيق غرض مشروع للمراقب أو الغير الذي تُرسل إليه البيانات.

المادة 5

يجوز للفرد، في أي وقت، ما يلي

1- سحب موافقته السابقة على معالجة بياناته الشخصية

2- الاعتراض على معالجة بياناته الشخصية إذا كانت غير ضرورية لتحقيق الأغراض التي جمعت من أجلها، أو كانت زائدة على متطلباتها، أو تمييزية أو مجحفة أو مخالفة للقانون

3- طلب حذف بياناته الشخصية أو محوها في الحالات المشار إليها في البندين السابقين، أو عند انتهاء الغرض الذي تمت من أجله معالجة تلك البيانات، أو إذا لم يكن هناك مبرر للاحتفاظ بها لدى المراقب

4- طلب تصحيح بياناته الشخصية، مرفقاً به ما يثبت صحة طلبه.

المادة 6

للفرد، في أي وقت، الوصول إلى بياناته الشخصية وطلب مراجعتها، في مواجهة أي مراقب، وله بوجه خاص الحق فيما يلي

1- إخطاره بمعالجة بياناته الشخصية وبالأغراض التي تجري من أجلها تلك المعالجة

2- إخطاره بأي إفشاء لبيانات شخصية غير دقيقة عنه

3- الحصول على نسخة من بياناته الشخصية بعد سداد مبلغ لا يجاوز مقابل الخدمة.

المادة 7

تُحدد، بقرار من الوزير، الضوابط والإجراءات المتعلقة بممارسة الأفراد للحقوق المنصوص عليها في المادتين السابقتين.

الفصل الثالث: التزامات المراقب والمعالج

المادة 8

يتعين على المراقب الالتزام بما يلي

1- معالجة البيانات الشخصية بأمانة ومشروعية

2- مراعاة الضوابط الخاصة بتصميم أو تغيير أو تطوير المنتجات والنظم والخدمات المتعلقة بمعالجة البيانات الشخصية

3- اتخاذ الاحتياطات الإدارية والفنية والمادية المناسبة لحماية البيانات الشخصية، وفقاً لما تحدده الإدارة المختصة

4- سياسات حماية الخصوصية، التي تضعها الإدارة المختصة، ويصدر بها قرار من الوزير.

المادة 9

على المراقب، قبل البدء في معالجة أية بيانات شخصية، أن يُعلم الفرد بما يلي

1- بيانات المراقب، أو أي طرف آخر يتولى معالجة البيانات لصالح المراقب أو لاستغلالها من قبله

2- الأغراض المشروعة التي يرغب المراقب أو أي طرف آخر في معالجة البيانات الشخصية من أجلها

3- الوصف الشامل والدقيق لأنشطة المعالجة ودرجات الإفصاح عن البيانات الشخصية للأغراض المشروعة، وإذا لم يتمكن المراقب من ذلك، فيتعين عليه تمكين الفرد من وصف عام لها

4- أية معلومات أخرى تكون ضرورية ولازمة لاستيفاء شروط معالجة البيانات الشخصية.

المادة 10

على المراقب التحقق من أن البيانات الشخصية التي يجمعها، أو التي يتم جمعها لصالحه، ذات صلة بالأغراض المشروعة وكافية لتحقيقها، وعليه التحقق من أن تلك البيانات دقيقة ومكتملة ومحدثة بما يفي بالأغراض المشروعة، وألا يحتفظ بها لمدة تزيد على المدة الضرورية لتحقيق تلك الأغراض.

المادة 11

على المراقب اتخاذ الإجراءات التالية

1- مراجعة إجراءات حماية الخصوصية قبل إدراج عمليات معالجة جديدة

2- تحديد المعالجين المسؤولين عن حماية البيانات الشخصية

3- تدريب وتوعية المعالجين على حماية البيانات الشخصية

4- وضع نظم داخلية لتلقي ودراسة الشكاوى، وطلبات الوصول للبيانات، وطلبات تصحيحها أو حذفها، وإتاحة ذلك للأفراد

5- وضع نظم داخلية للإدارة الفعالة للبيانات الشخصية، والإبلاغ عن أي تجاوز للإجراءات التي تهدف إلى حمايتها

6- استخدام الوسائل التكنولوجية المناسبة لتمكين الأفراد من ممارسة حقهم في الوصول إلى البيانات الشخصية ومراجعتها وتصحيحها بشكل مباشر

7- إجراء عمليات تدقيق ومراجعة شاملة عن مدى الالتزام بحماية البيانات الشخصية

8- التحقق من التزام المعالج بالتعليمات التي يوجهها إليه، واتخاذ الاحتياطات المناسبة لحماية البيانات الشخصية، ورصد ومتابعة ذلك بصفة مستمرة.

المادة 12

يجب على المراقب لدى إفصاحه عن البيانات الشخصية أو نقلها إلى المعالج، مراعاة أن تكون مطابقة للأغراض المشروعة، وأن تكون تلك البيانات معالجة وفقاً لأحكام هذا القانون.

المادة 13

يجب على كل من المراقب والمعالج اتخاذ الاحتياطات اللازمة لحماية البيانات الشخصية من الضياع أو التلف أو التعديل أو الإفشاء، أو الوصول إليها، أو استخدامها بشكل عارض أو غير مشروع

ويجب أن تكون تلك الاحتياطات متناسبة مع طبيعة وأهمية البيانات الشخصية المراد حمايتها

وعلى المعالج أن يخطر المراقب بوجود أي إخلال بالاحتياطات المشار إليها، أو عند حدوث أي خطر يهدد البيانات الشخصية للأفراد بأي وجه، فور علمه بذلك.

المادة 14

يجب على المراقب إعلام الفرد والإدارة المختصة، بحدوث أي إخلال بالاحتياطات المنصوص عليها في المادة السابقة، إذا كان من شأن ذلك إحداث ضرر جسيم بالبيانات الشخصية أو بخصوصية الفرد.

المادة 15

مع مراعاة الالتزامات المنصوص عليها في هذا القانون، يُحظر على المراقب اتخاذ أي قرار أو إجراء من شأنه الحد من تدفق البيانات الشخصية عبر الحدود، إلا إذا كانت معالجة تلك البيانات مخالفة لأحكام هذا القانون، أو كان من شأنها إلحاق ضرر جسيم بالبيانات الشخصية أو بخصوصية الفرد.

الفصل الرابع: البيانات الشخصية ذات الطبيعة الخاصة
المادة 16

تعد بيانات شخصية ذات طبيعة خاصة، البيانات المتعلقة بالأصل العرقي، والأطفال، والصحة أو الحالة الجسدية أو النفسية، والمعتقدات الدينية، والعلاقة الزوجية، والجرائم الجنائية

وللوزير أن يضيف أصنافاً أخرى من البيانات الشخصية ذات الطبيعة الخاصة، إذا كان من شأن سوء استخدامها أو إفشائها إلحاق ضرر جسيم بالفرد

ولا يجوز معالجة البيانات الشخصية ذات الطبيعة الخاصة، إلا بعد الحصول على تصريح بذلك من الإدارة المختصة، وفقاً للإجراءات والضوابط التي يصدر بتحديدها قرار من الوزير

وللوزير، بقرار منه، فرض احتياطات إضافية لغرض حماية البيانات الشخصية ذات الطبيعة الخاصة.

المادة 17

مع مراعاة الالتزامات المنصوص عليها في هذا القانون، يجب على مالك أو مشغل أي موقع إلكتروني موجه للأطفال، مراعاة ما يلي

1- وضع إخطار على الموقع حول ماهية بيانات الأطفال، وكيفية استخدامها، والسياسات التي يتبعها في الإفصاح عنها

2- الحصول على موافقة صريحة من ولي أمر الطفل الذي تتم معالجة بيانات شخصية عنه، وذلك عن طريق اتصال إلكتروني أو أي وسيلة أخرى مناسبة

3- تزويد ولي أمر الطفل، بناءً على طلبه، وبعد التحقق من هويته، بوصف لنوع البيانات الشخصية التي تتم معالجتها، مع بيان الغرض من المعالجة، ونسخة من البيانات التي تمت معالجتها أو جمعها عن الطفل

4- حذف أو محو أو وقف معالجة أية بيانات شخصية تم جمعها من الطفل أو عنه، إذا طلب ولي الأمر ذلك

5- ألا تكون مشاركة الطفل في لعبة، أو عرض جائزة، أو أي نشاط آخر، مشروطة بتقديم الطفل بيانات شخصية تزيد على ما هو ضروري للمشاركة في ذلك النشاط.

الفصل الخامس: الإعفاءات
المادة 18

للجهة المختصة أن تقرر معالجة بعض البيانات الشخصية دون التقيد بأحكام المواد (4)، (9)، (15)، (17) من هذا القانون، وذلك لتحقيق أي من الأغراض الآتية

1- حماية الأمن الوطني والأمن العام

2- حماية العلاقات الدولية للدولة

3- حماية المصالح الاقتصادية أو المالية للدولة

4- منع أي جريمة جنائية، أو جمع معلومات عنها، أو التحقيق فيها

وتحتفظ الجهة المختصة بسجل خاص تقيد به البيانات التي تحقق الأغراض المشار إليها، ويصدر بتحديد شروط وضوابط وأحوال القيد في هذا السجل قرار من الوزير.

المادة 19

يُعفى المراقب من الالتزام بأحكام المواد (4)، (5/البنود 1، 2، 3)، (6) من هذا القانون، في أي من الحالات الآتية

1- تنفيذ مهمة متعلقة بالمصلحة العامة وفقاً للقانون

2- تنفيذ التزام قانوني أو أمر من محكمة مختصة

3- حماية المصالح الحيوية للفرد

4- تحقيق أغراض البحث العلمي الذي يجرى للمصلحة العامة

5- جمع المعلومات اللازمة للتحقيق في إحدى الجرائم الجنائية، بناءً على طلب رسمي من جهات التحقيق.

المادة 20

يُعفى المراقب من الإفصاح عن أسباب رفضه الالتزام بحقوق الفرد، المنصوص عليها في المادة (6) من هذا القانون، إذا كان من شأن ذلك أن يحول دون تحقيق الأغراض المنصوص عليها في المادة (18) من هذا القانون.

المادة 21

مع مراعاة أحكام المادتين السابقتين، يُعفى المراقب من الالتزام بأحكام المادة (6) من هذا القانون، في أي من الحالتين الآتيتين

1- إذا كان من شأن الإفصاح الإضرار بالمصالح التجارية لشخص آخر

2- إذا كان من شأن تنفيذ هذا الالتزام الإفصاح عن بيانات شخصية تتعلق بفرد آخر لم يوافق على ذلك، وأن الإفصاح قد يترتب عليه ضرر مادي أو معنوي لهذا الفرد أو أي فرد آخر.

الفصل السادس: الاتصالات الإلكترونية لغرض التسويق المباشر
المادة 22

يُحظر إرسال أي اتصال إلكتروني بغرض التسويق المباشر إلى الفرد، إلا بعد الحصول على موافقته المسبقة

ويجب أن يتضمن الاتصال الإلكتروني هوية مُنشئه، وما يفيد بأنه مرسل لأغراض التسويق المباشر، كما يجب أن يتضمن عنواناً صحيحاً يسهل الوصول إليه، ويستطيع الفرد من خلاله أن يرسل طلباً إلى المنشئ بإيقاف تلك الاتصالات أو الرجوع في موافقته على إرسالها.

الفصل السابع: العقوبات
المادة 23

مع عدم الإخلال بأي عقوبة أشد ينص عليها قانون آخر، يعاقب بالغرامة التي لا تزيد على (1,000,000) مليون ريال، كل من خالف أياً من أحكام المواد (4)، (8)، (9)، (10)، (11)، (12)، (14)، (15)، (22) من هذا القانون.

المادة 24

مع عدم الإخلال بأي عقوبة أشد ينص عليها قانون آخر، يعاقب بالغرامة التي لا تزيد على (5,000,000) خمسة ملايين ريال، كل من خالف أياً من أحكام المواد (13)، (16/فقرة ثالثة)، (17) من هذا القانون.

المادة 25

يُعاقب الشخص المعنوي المخالف بالغرامة التي لا تزيد على (1,000,000) مليون ريال، إذا ارتكبت باسمه ولحسابه إحدى الجرائم المنصوص عليها في هذا القانون، وذلك مع عدم الإخلال بالمسؤولية الجنائية للشخص الطبيعي التابع له.

الفصل الثامن: أحكام ختامية
المادة 26

للفرد أن يتقدم بشكوى إلى الإدارة المختصة، في حالة مخالفة أحكام هذا القانون والقرارات الصادرة تنفيذاً له

وللإدارة المختصة، بعد التحقيق في الشكوى وثبوت جديتها، أن تصدر قراراً مسبباً بإلزام المراقب أو المعالج، بحسب الأحوال، بتدارك تلك المخالفة خلال مدة تحددها

ويجوز للمراقب أو المعالج التظلم من هذا القرار، إلى الوزير، خلال ستين يوماً من تاريخ إخطاره به

ويبت الوزير في التظلم خلال ستين يوماً من تاريخ تقديمه، ويُعتبر انقضاء هذه المدة دون رد رفضاً ضمنياً للتظلم، ويكون قرار الوزير بالبت في التظلم نهائياً.

المادة 27

للإدارة المختصة، في سبيل تطبيق وتنفيذ أحكام هذا القانون، أن تتخذ جميع الإجراءات اللازمة لذلك، وبوجه خاص ما يلي

1- التنسيق مع أي مجموعة أو رابطة مهنية وأي رابطة أخرى تمثل المراقبين أو مشغلي مواقع الإنترنت، وذلك بهدف تشجيع وتطوير التنظيم الذاتي، ونشر الوعي بهذا القانون، وتطوير برامج التدريب والتعليم

2- العمل مع المنظمات والجمعيات المعنية بشؤون الأسرة لتعزيز سلامة الأطفال على الإنترنت

3- إجراء البحوث، ورصد التطورات في مجالات التكنولوجيا المتصلة بالمسائل التي يشملها هذا القانون وإعداد التقارير أو التوصيات بشأنها.

المادة 28

يقع باطلاً كل عقد أو اتفاق يتم بالمخالفة لأحكام هذا القانون.

المادة 29

يكون لموظفي الوزارة، الذين يصدر بتخويلهم صفة مأموري الضبط القضائي، قرار من النائب العام بالاتفاق مع الوزير، ضبط وإثبات الجرائم التي تقع بالمخالفة لأحكام هذا القانون.

المادة 30

على المخاطبين بأحكام هذا القانون، توفيق أوضاعهم بما يتفق وأحكامه، وذلك خلال ستة أشهر من تاريخ العمل به

ويجوز بقرار من مجلس الوزراء، بناءً على اقتراح الوزير، مد هذه المهلة لمدة أو مدد أخرى مماثلة.

المادة 31

يصدر الوزير القرارات اللازمة لتنفيذ أحكام هذا القانون.

المادة 32

على جميع الجهات المختصة، كل فيما يخصه، تنفيذ هذا القانون. ويُنشر في الجريدة الرسمية.