أوضح قانون حماية البيانات الشخصية الصادر بالمرسوم السلطاني رقم 6/ 2022 بأن أحكامه تسري على البيانات الشخصية التي تتم معالجتها، وأشار المرسوم السلطاني إلى أن وزير النقل والاتصالات وتقنية المعلومات يصدر اللائحة التنفيذية للقانون، كما يصدر القرارات اللازمة لتنفيذ أحكامه، وإلى أن تصدر يستمر العمل باللوائح والقرارات القائمة، فيما لا يتعارض مع أحكامه، كما يلغى الفصل السابع من قانون المعاملات الإلكترونية، ويلغى كل ما يخالف القانون المرفق، أو يتعارض مع أحكامه، ويُعمل به بعد انقضاء سنة من تاريخ نشره. وبيّن القانون أن أحكامه لا تسري على معالجة البيانات الشخصية التي تتم في حماية الأمن الوطني أو المصلحة العامة، وتنفيذ وحدات الجهاز الإداري للدولة وغيرها من الأشخاص الاعتبارية العامة للاختصاصات المقررة لها قانونا، وتنفيذ التزام قانوني ملقى على عاتق المتحكم بموجب أي قانون أو حكم أو قرار من المحكمة، وحماية المصالح الاقتصادية والمالية للدولة، وحماية مصلحة حيوية لصاحب البيانات الشخصية، وكشف أو منع أي جريمة جزائية بناءً على طلب رسمي مكتوب من جهات التحقيق، وتنفيذ عقد يكون صاحب البيانات الشخصية طرفا فيه، وإذا كانت المعالجة في إطار شخصي أو أسري، وأغراض البحوث التاريخية أو الإحصائية أو العلمية أو الأدبية أو الاقتصادية وذلك من قِبل الجهات المصرح لها القيام بهذه الأعمال، شريطة عدم استخدام أي دلالة أو إشارة تتعلق بصاحب البيانات الشخصية فيما تنشره من بحوث وإحصاءات، لضمان عدم نسب البيانات الشخصية إلى شخص طبيعي معرف أو قابل للتعريف، وإذا كانت البيانات متاحة للجمهور وبما لا يخالف أحكام هذا القانون. مؤكدا أن البيانات الشخصية تعد محمية بموجب أحكام هذا القانون. وأشار إلى أنه تحظر معالجة البيانات الشخصية التي تتعلق بالبيانات الجينية أو البيانات الحيوية أو البيانات الصحية أو الأصول العرقية أو الحياة الجنسية أو الآراء السياسية أو الدينية أو المعتقدات أو الإدانة الجزائية أو المتعلقة بتدابير أمنية إلا بعد الحصول على تصريح بذلك من وزارة النقل والاتصالات وتقنية المعلومات، وفقا للضوابط والإجراءات التي تحددها اللائحة. كما يحظر معالجة البيانات الشخصية للطفل إلا بموافقة ولي أمره، ما لم تكن تلك المعالجة لمصلحة الطفل الفضلى، وذلك وفقا للضوابط والإجراءات التي تحددها اللائحة. مهمات وصلاحيات الوزارة:- وبيّن القانون أنه مع عدم الإخلال بالاختصاصات المقررة لمركز الدفاع الإلكتروني، تتولى وزارة النقل والاتصالات وتقنية المعلومات مسؤولية تطبيق أحكام هذا القانون. ولها على الأخص إعداد واعتماد الضوابط والإجراءات المتعلقة بحماية البيانات الشخصية بما في ذلك تحديد الضمانات الضرورية والتدابير اللازمة وقواعد السلوك المتعلقة بحماية البيانات الشخصية، وإصدار الضوابط والإجراءات اللازمة لمعالجة البيانات الشخصية والتحقق من التزام المتحكم والمعالج بها، وتلقي البلاغات والشكاوى التي يودعها أصحاب البيانات الشخصية، والبت فيها، خلال المدة التي تحددها اللائحة، والتعاون مع الجهات المختصة بحماية البيانات الشخصية في الدول الأخرى، وتقديم المشورة والدعم والتنسيق مع وحدات الجهاز الإداري للدولة وغيرها من الأشخاص الاعتبارية العامة في أي مسألة تتعلق بحماية البيانات الشخصية، وإصدار وإلغاء تراخيص مزودي الخدمة الذين تُعهد إليهم دراسة وتقييم التزام المتحكم والمعالج بأحكام هذا القانون، وفقا للضوابط والإجراءات التي تحددها اللائحة. إضافة إلى إعداد نماذج استرشادية لأغراض تطبيق أحكام هذا القانون كلما اقتضى الأمر ذلك، وإعداد تقارير دورية عن نشاطها في مجال حماية البيانات الشخصية، ونشرها في موقعها الإلكتروني، وإعداد سجل يقيد فيه المتحكمون والمعالجون المستوفون الشروط المقررة، وذلك على النحو الذي تحدده اللائحة. وتتخذ الوزارة في سبيل حماية حقوق أصحاب البيانات الشخصية عددا من الإجراءات، كإنذار المتحكم أو المعالج، بالمخالفة التي تقع منه لأحكام هذا القانون، والأمر بتصحيح ومحو البيانات الشخصية التي تمت معالجتها بالمخالفة لأحكام هذا القانون، ووقف معالجة البيانات الشخصية بشكل مؤقت، أو دائم، ووقف تحويل البيانات الشخصية إلى دولة أخرى، أو منظمة دولية، وأي إجراء آخر تراه الوزارة ضروريا لحماية البيانات الشخصية، وذلك على النحو الذي تحدده اللائحة. ويكون لموظفي الوزارة الذين يصدر بتحديدهم قرار من الجهة المختصة بالاتفاق مع الوزير، صفة الضبطية القضائية في تطبيق أحكام هذا القانون واللائحة والقرارات الصادرة تنفيذا له.
حقوق صاحب البيانات:- وبيّن القانون أنه لا يجوز معالجة البيانات الشخصية إلا في إطار الشفافية والأمانة، واحترام كرامة الإنسان، وبعد الموافقة الصريحة لصاحب البيانات الشخصية على ذلك، ويجب أن يكون طلب معالجة البيانات الشخصية مكتوبا وبصورة واضحة وصريحة ومفهومة، ويلتزم المتحكم بإثبات الموافقة الكتابية لصاحب البيانات الشخصية لمعالجة بياناته.
ويكون لصاحب البيانات الشخصية إلغاء موافقته على معالجة بياناته الشخصية وذلك مع عدم الإخلال بالمعالجات التي تمت قبل الإلغاء، وطلب تعديل بياناته الشخصية أو تحديثها أو حجبها، والحصول على نسخة من بياناته الشخصية المعالجة، ونقل بياناته الشخصية إلى متحكم آخر، وطلب محو بياناته الشخصية ما لم تكن تلك المعالجة ضرورية لأغراض الحفظ والتوثيق الوطنية، وإخطاره بأي اختراق أو انتهاك لبياناته الشخصية، وما تم اتخاذه من إجراءات في هذا الشأن. وتُبيّن اللائحة الضوابط والإجراءات اللازمة لممارسة هذه الحقوق.
ويجوز لصاحب البيانات الشخصية التقدم بشكوى إلى الوزارة إذا رأى أو اعتبر أن معالجة بياناته الشخصية لا تتوافق مع أحكام هذا القانون، وذلك طبقا للضوابط والإجراءات التي تحددها اللائحة.
