مرسوم سلطاني رقم ٦ / ٢٠٢٢ بإصدار قانون حماية البيانات الشخصية

تحميل English

نحن هيثم بن طارق سلطان عمان

بعد الاطلاع على النظام الأساسي للدولة،
وعلى قانون المعاملات الإلكترونية الصادر بالمرسوم السلطاني رقم ٦٩ / ٢٠٠٨،
وعلى المرسوم السلطاني رقم ٦٤ / ٢٠٢٠ بإنشاء مركز الدفاع الإلكتروني وإصدار نظامه،
وبعد العرض على مجلس عمان،
وبناء على ما تقتضيه المصلحة العامة.

رسمنا بما هو آت

المادة الأولى

يعمل بقانون حماية البيانات الشخصية، المرفق.

المادة الثانية

يصدر وزير النقل والاتصالات وتقنية المعلومات اللائحة التنفيذية للقانون المرفق، كما يصدر القرارات اللازمة لتنفيذ أحكامه، وإلى أن تصدر يستمر العمل باللوائح والقرارات القائمة، فيما لا يتعارض مع أحكامه.

المادة الثالثة

يلغى الفصل السابع من قانون المعاملات الإلكترونية المشار إليه، كما يلغى كل ما يخالف القانون المرفق، أو يتعارض مع أحكامه.

المادة الرابعة

ينشر هذا المرسوم في الجريدة الرسمية، ويعمل به بعد انقضاء سنة من تاريخ نشره.

صدر في: ٧ من رجب سنة ١٤٤٣هـ
الموافق: ٩ من فبراير سنة ٢٠٢٢م

هيثم بن طارق
سلطان عمان

نشر في عدد الجريدة الرسمية رقم (١٤٢٩) الصادر في ١٣ / ٢ / ٢٠٢٢م.

قانون حماية البيانات الشخصية

الفصل الأول
تعريفات وأحكام عامة

المادة (١)

في تطبيق أحكام هذا القانون، يكون للكلمات والعبارات الآتية المعنى المبين قرين كل منها، ما لم يقتض سياق النص معنى آخر:

الوزارة: وزارة النقل والاتصالات وتقنية المعلومات.

الوزير: وزير النقل والاتصالات وتقنية المعلومات.

البيانات الشخصية: البيانات التي تجعل شخصا طبيعيا معرفا، أو قابلا للتعريف بطريقة مباشرة، أو غير مباشرة، وذلك بالرجوع إلى معرف أو أكثر، كالاسم أو الرقم المدني أو بيانات المعرفات الإلكترونية أو البيانات المكانية، أو بالرجوع إلى عامل أو أكثر خاص بالهوية الجينية أو الجسدية أو العقلية أو النفسية أو الاجتماعية أو الثقافية أو الاقتصادية.

البيانات الجينية: البيانات الشخصية المتعلقة بالخصائص الموروثة، أو المكتسبة جينيا، والتي تنتج عن تحليل العينة البيولوجية.

البيانات الحيوية: البيانات الشخصية التي تنتج عن معالجة فنية محددة تتعلق بالخصائص الجسدية أو النفسية أو السلوكية كصورة الوجه، أو بيانات البصمة الوراثية.

البيانات الصحية: البيانات الشخصية المتعلقة بالصحة الجسدية، والعقلية، والنفسية.

المعالجة: عملية أو مجموعة عمليات يتم إجراؤها على البيانات الشخصية، تتضمن جمعها أو تسجيلها أو تحليلها أو تنظيمها أو تخزينها أو تعديلها أو تحويرها أو استرجاعها أو مراجعتها أو تنسيقها أو ضم بعضها لبعض أو حجبها أو محوها أو إلغاءها أو الإفصاح عنها، عن طريق إرسالها أو توزيعها أو نقلها أو تحويلها أو إتاحتها بوسائل أخرى.

صاحب البيانات الشخصية: الشخص الطبيعي الذي يمكن التعرف عليه من خلال بياناته الشخصية.

المتحكم: الشخص الذي يتولى تحديد أهداف ووسائل معالجة البيانات الشخصية، ويقوم بهذه المعالجة بنفسه، أو يعهد بها إلى غيره.

المعالج: الشخص الذي يقوم بمعالجة البيانات الشخصية نيابة عن المتحكم.

اللائحة: اللائحة التنفيذية لهذا القانون.

المادة (٢)

تسري أحكام هذا القانون على البيانات الشخصية التي تتم معالجتها.

المادة (٣)

لا تسري أحكام هذا القانون على معالجة البيانات الشخصية التي تتم في الأحوال الآتية:

أ – حماية الأمن الوطني، أو المصلحة العامة.

ب – تنفيذ وحدات الجهاز الإداري للدولة وغيرها من الأشخاص الاعتبارية العامة للاختصاصات المقررة لها قانونا.

ج – تنفيذ التزام قانوني ملقى على عاتق المتحكم بموجب أي قانون أو حكم أو قرار من المحكمة.

د – حماية المصالح الاقتصادية، والمالية للدولة.

هـ – حماية مصلحة حيوية لصاحب البيانات الشخصية.

و – كشف أو منع أي جريمة جزائية بناء على طلب رسمي مكتوب من جهات التحقيق.

ز – تنفيذ عقد يكون صاحب البيانات الشخصية طرفا فيه.

ح – إذا كانت المعالجة في إطار شخصي، أو أسري.

ط – أغراض البحوث التاريخية أو الإحصائية أو العلمية أو الأدبية أو الاقتصادية، وذلك من قبل الجهات المصرح لها القيام بهذه الأعمال، شريطة عدم استخدام أي دلالة أو إشارة تتعلق بصاحب البيانات الشخصية فيما تنشره من بحوث وإحصائيات، لضمان عدم نسب البيانات الشخصية إلى شخص طبيعي معرف، أو قابل للتعريف.

ي – إذا كانت البيانات متاحة للجمهور وبما لا يخالف أحكام هذا القانون.

المادة (٤)

تعد البيانات الشخصية محمية بموجب أحكام هذا القانون.

المادة (٥)

تحظر معالجة البيانات الشخصية التي تتعلق بالبيانات الجينية أو البيانات الحيوية أو البيانات الصحية أو الأصول العرقية أو الحياة الجنسية أو الآراء السياسية أو الدينية أو المعتقدات أو الإدانة الجزائية أو المتعلقة بتدابير أمنية إلا بعد الحصول على تصريح بذلك من الوزارة، وفقا للضوابط والإجراءات التي تحددها اللائحة.

المادة (٦)

يحظر معالجة البيانات الشخصية للطفل إلا بموافقة ولي أمره، ما لم تكن تلك المعالجة لمصلحة الطفل الفضلى، وذلك وفقا للضوابط والإجراءات التي تحددها اللائحة.

الفصل الثاني
مهام وصلاحيات الوزارة

المادة (٧)

مع عدم الإخلال بالاختصاصات المقررة لمركز الدفاع الإلكتروني، تتولى الوزارة مسؤولية تطبيق أحكام هذا القانون، ولها على الأخص الآتي:

أ – إعداد واعتماد الضوابط والإجراءات المتعلقة بحماية البيانات الشخصية بما في ذلك تحديد الضمانات الضرورية والتدابير اللازمة وقواعد السلوك المتعلقة بحماية البيانات الشخصية.

ب – إصدار الضوابط والإجراءات اللازمة لمعالجة البيانات الشخصية والتحقق من التزام المتحكم والمعالج بها.

ج – تلقي البلاغات والشكاوى التي يودعها أصحاب البيانات الشخصية، والبت فيها، خلال المدة التي تحددها اللائحة.

د – التعاون مع الجهات المختصة بحماية البيانات الشخصية في الدول الأخرى.

هـ – تقديم المشورة والدعم والتنسيق مع وحدات الجهاز الإداري للدولة وغيرها من الأشخاص الاعتبارية العامة في أي مسألة تتعلق بحماية البيانات الشخصية.

و – إصدار وإلغاء تراخيص مزودي الخدمة الذين يعهد إليهم دراسة وتقييم التزام المتحكم والمعالج بأحكام هذا القانون، وفقا للضوابط والإجراءات التي تحددها اللائحة.

ز – إعداد نماذج استرشادية لأغراض تطبيق أحكام هذا القانون، كلما اقتضى الأمر ذلك.

ح – إعداد تقارير دورية عن نشاطها في مجال حماية البيانات الشخصية، ونشرها في موقعها الإلكتروني.

ط – إعداد سجل يقيد فيه المتحكمون والمعالجون المستوفون الشروط المقررة، وذلك على النحو الذي تحدده اللائحة.

المادة (٨)

تتخذ الوزارة في سبيل حماية حقوق أصحاب البيانات الشخصية أيا من الإجراءات الآتية:

أ – إنذار المتحكم أو المعالج، بالمخالفة التي تقع منه لأحكام هذا القانون.

ب – الأمر بتصحيح ومحو البيانات الشخصية التي تمت معالجتها بالمخالفة لأحكام هذا القانون.

ج – وقف معالجة البيانات الشخصية بشكل مؤقت، أو دائم.

د – وقف تحويل البيانات الشخصية إلى دولة أخرى، أو منظمة دولية.

هـ – أي إجراء آخر تراه الوزارة ضروريا لحماية البيانات الشخصية، وذلك على النحو الذي تحدده اللائحة.

المادة (٩)

يكون لموظفي الوزارة الذين يصدر بتحديدهم قرار من الجهة المختصة بالاتفاق مع الوزير، صفة الضبطية القضائية في تطبيق أحكام هذا القانون واللائحة والقرارات الصادرة تنفيذا له.

الفصل الثالث
حقوق صاحب البيانات الشخصية

المادة (١٠)

لا يجوز معالجة البيانات الشخصية إلا في إطار الشفافية والأمانة، واحترام كرامة الإنسان، وبعد الموافقة الصريحة لصاحب البيانات الشخصية على ذلك.

ويجب أن يكون طلب معالجة البيانات الشخصية مكتوبا وبصورة واضحة وصريحة ومفهومة، ويلتزم المتحكم بإثبات الموافقة الكتابية لصاحب البيانات الشخصية لمعالجة بياناته.

المادة (١١)

يكون لصاحب البيانات الشخصية الحق في الآتي:

أ – إلغاء موافقته على معالجة بياناته الشخصية، وذلك مع عدم الإخلال بالمعالجات التي تمت قبل الإلغاء.

ب – طلب تعديل بياناته الشخصية أو تحديثها أو حجبها.

ج – الحصول على نسخة من بياناته الشخصية المعالجة.

د – نقل بياناته الشخصية إلى متحكم آخر.

هـ – طلب محو بياناته الشخصية ما لم تكن تلك المعالجة ضرورية لأغراض الحفظ والتوثيق الوطنية.

و – إخطاره بأي اختراق أو انتهاك لبياناته الشخصية، وما تم اتخاذه من إجراءات في هذا الشأن.

وتبين اللائحة الضوابط والإجراءات اللازمة لممارسة هذه الحقوق.

المادة (١٢)

يجوز لصاحب البيانات الشخصية التقدم بشكوى إلى الوزارة إذا رأى أو اعتبر أن معالجة بياناته الشخصية لا تتوافق مع أحكام هذا القانون، وذلك طبقا للضوابط والإجراءات التي تحددها اللائحة.

الفصل الرابع
التزامات المتحكم والمعالج

المادة (١٣)

يلتزم المتحكم بوضع الضوابط والإجراءات الواجب الالتزام بها عند معالجة البيانات الشخصية، ويجب أن تشتمل على وجه الخصوص الآتي:

أ – تحديد المخاطر التي قد تقع على صاحب البيانات الشخصية جراء المعالجة.

ب – إجراءات وضوابط نقل وتحويل البيانات الشخصية.

ج – التدابير الفنية والإجرائية لضمان تنفيذ المعالجة وفقا لأحكام هذا القانون.

د – أي ضوابط أو إجراءات أخرى تحددها اللائحة.

المادة (١٤)

يلتزم المتحكم قبل البدء في معالجة أي بيانات شخصية أن يخطر صاحب البيانات الشخصية كتابة بما يأتي:

أ – بيانات المتحكم، والمعالج.

ب – بيانات التواصل مع مسؤول حماية البيانات الشخصية.

ج – الغرض من معالجة البيانات الشخصية، والمصدر الذي جمعت منه.

د – الوصف الشامل والدقيق للمعالجة وإجراءاتها، ودرجات الإفصاح عن البيانات الشخصية.

هـ – حقوق صاحب البيانات الشخصية بما في ذلك حق الوصول إلى البيانات، وتصحيحها، ونقلها، وتحديثها.

و – أي معلومات أخرى قد تكون ضرورية لاستيفاء شروط المعالجة.

المادة (١٥)

يلتزم المتحكم والمعالج بالضوابط والإجراءات التي تقررها الوزارة، لضمان أن معالجة البيانات الشخصية تمت وفقا لأحكام هذا القانون.

المادة (١٦)

يلتزم المتحكم والمعالج – بناء على طلب الوزارة – بتعيين مدقق خارجي للتأكد من أن إجراءات معالجة البيانات الشخصية قد تمت وفقا لأحكام هذا القانون، ووفقا لإجراءات وضوابط المتحكم المنصوص عليها في المادة (١٣) من هذا القانون، وتحدد اللائحة ضوابط وإجراءات تعيين المدقق الخارجي.

كما يلتزم المتحكم والمعالج بموافاة الوزارة بنسخة من تقرير المدقق الخارجي.

المادة (١٧)

يلتزم المتحكم والمعالج بالاحتفاظ بمستندات عمليات المعالجة، وذلك وفقا للمدد والإجراءات التي تحددها اللائحة.

المادة (١٨)

يلتزم المتحكم والمعالج بالتعاون مع الوزارة، وتقديم ما تطلبه من بيانات ومستندات تراها لازمة لممارسة اختصاصها طبقا لأحكام هذا القانون، وذلك خلال المدة التي تحددها اللائحة.

المادة (١٩)

يلتزم المتحكم، عند حدوث اختراق للبيانات الشخصية، يؤدي إلى تدميرها أو تغييرها أو الإفصاح عنها أو الوصول إليها أو معالجتها بصورة غير قانونية، بإبلاغ الوزارة وصاحب البيانات الشخصية عن الاختراق وذلك وفقا للضوابط والإجراءات التي تحددها اللائحة.

المادة (٢٠)

يلتزم المتحكم بتحديد مسؤول حماية البيانات الشخصية، وتحدد اللائحة ضوابط اختيار هذا المسؤول ومهامه.

المادة (٢١)

يلتزم المتحكم بضمان سرية البيانات الشخصية، وعدم نشرها إلا بموافقة مسبقة من صاحب البيانات الشخصية، وذلك على النحو الذي تحدده اللائحة.

المادة (٢٢)

يلتزم المتحكم بالحصول على الموافقة الكتابية لصاحب البيانات الشخصية قبل إرسال أي مادة إعلانية أو تسويقية وذات أغراض تجارية إليه، وذلك على النحو الذي تحدده اللائحة.

المادة (٢٣)

مع عدم الإخلال بالاختصاصات المقررة لمركز الدفاع الإلكتروني، يجوز للمتحكم نقل البيانات الشخصية، والسماح بتحويلها خارج حدود سلطنة عمان وفقا للضوابط والإجراءات التي تحددها اللائحة.

ويحظر عليه نقل البيانات الشخصية إذا تمت معالجتها بالمخالفة لأحكام هذا القانون، أو كان من شأنها إلحاق ضرر بصاحب البيانات الشخصية.

الفصل الخامس
العقوبات

المادة (٢٤)

مع عدم الإخلال بأي عقوبة أشد ينص عليها قانون الجزاء أو أي قانون آخر، يعاقب على الجرائم المبينة في هذا القانون بالعقوبات المنصوص عليها فيه.

المادة (٢٥)

يعاقب بغرامة لا تقل عن (٥٠٠) خمسمائة ريال عماني، ولا تزيد على (٢٠٠٠) ألفي ريال عماني، كل من يخالف أحكام المادة (١٤) من هذا القانون.

المادة (٢٦)

يعاقب بغرامة لا تقل عن (١٠٠٠) ألف ريال عماني، ولا تزيد على (٥٠٠٠) خمسة آلاف ريال عماني، كل من يخالف أحكام المواد (١٥)، (١٦)، (١٧)، (١٨)، (٢٠)، (٢٢) من هذا القانون.

المادة (٢٧)

يعاقب بغرامة لا تقل عن (٥٠٠٠) خمسة آلاف ريال عماني، ولا تزيد على (١٠٠٠٠) عشرة آلاف ريال عماني، كل من يخالف أحكام المادة (١٣) من هذا القانون.

المادة (٢٨)

يعاقب بغرامة لا تقل عن (١٥٠٠٠) خمسة عشر ألف ريال عماني، ولا تزيد على (٢٠٠٠٠) عشرين ألف ريال عماني، كل من يخالف أحكام المواد (٥)، (٦)، (١٩)، (٢١) من هذا القانون.

المادة (٢٩)

يعاقب بغرامة لا تقل عن (١٠٠٠٠٠) مائة ألف ريال عماني، ولا تزيد على (٥٠٠٠٠٠) خمسمائة ألف ريال عماني، كل من يخالف أحكام المادة (٢٣) من هذا القانون.

المادة (٣٠)

مع عدم الإخلال بالمسؤولية الجزائية للأشخاص الطبيعيين، يعاقب الشخص الاعتباري بغرامة لا تقل عن (٥٠٠٠) خمسة آلاف ريال عماني، ولا تزيد على (١٠٠٠٠٠) مائة ألف ريال عماني، إذا كانت الجريمة قد ارتكبت باسمه، أو لحسابه من قبل رئيس، أو أحد أعضاء مجلس إدارته، أو مديره، أو أي مسؤول آخر، بموافقته، أو بتستر، أو إهمال جسيم منه.

المادة (٣١)

يجوز للمحكمة المختصة في نطاق تطبيق أحكام هذا القانون أن تحكم، بالإضافة إلى الغرامة، بمصادرة الأدوات التي استعملت لارتكاب الجريمة.

المادة (٣٢)

مع عدم الإخلال بالعقوبات المنصوص عليها في هذا القانون، يجوز للوزارة فرض جزاءات إدارية على المخالفات التي يتم ارتكابها بالمخالفة لأحكام هذا القانون أو اللائحة أو القرارات الصادرة تنفيذا له، على ألا تزيد الغرامة الإدارية على (٢٠٠٠) ألفي ريال عماني.

2022/6 6/2022 ٢٠٢٢/٦ ٦/٢٠٢٢