التصنيفات
قرار وزاري

وزارة النقل والاتصالات وتقنية المعلومات: تعميم رقم ٦ / ٢٠٢٤ بشأن سياسة حماية البيانات الشخصية لوحدت الجهاز الإداري للدولة

2024/6 6/2024 ٢٠٢٤/٦ ٦/٢٠٢٤

تحميل English

استنادا إلى اختصاصات وزارة النقل والاتصالات وتقنية المعلومات الصادرة بالمرسوم السلطاني رقم (٩٠ / ٢٠٢٠) المتعلقة بإعداد المعايير اللازمة لحفظ المعلومات إلكترونيا بما يكفل سهولة تداولها، وتدقيقها، والمحافظة على سريتها وما يرتبط بها من إجراءات، قامت هذه الوزارة بإعداد هذه الوثيقة بهدف وضع مجموعة من الضوابط لحماية البيانات الشخصية تتضمن معالجتها وتخزينها والإفصاح عنها والوصول إليها والتعديل والاطلاع عليها.

على وحدات الجهاز الإداري للدولة الالتزام بالأحكام التالية:

– حماية جميع ما بحوزتها من معلومات وبيانات شخصية بما فيها المعلومات والبيانات الواردة إليها من  وحدات أخرى، أو تلك التي تم الإفصاح عنها لوحدات أخرى.

– تطبيق التدابير الأمنية والتنظيمية الكفيلة بحماية البيانات من الإتلاف غير المقصود أو غير المصرح به، أو من الفقد العرضي، أو مما هو غير مصرح به من التغيير أو الإفصاح أو الاختراق أو أي من الصور الأخرى للمعالجة.

– معالجة البيانات الشخصية داخل الحدود الجغرافية لسلطنة عمان لضمان المحافظة على السيادة الوطنية لهذه البيانات وحماية خصوصية أصحابها.

– وضع احتياطات أمنية كافية لجميع الأنظمة ووسائط التخزين المعنية بالتعامل مع البيانات لمنع أي نوع من أنواع الاختراق.

– نشر بيان الخصوصية على مواقعها الإلكترونية.

ويرجى من جميع الجهات ذات العلاقة في سلطنة عمان الأخذ بكافة الأحكام الواردة في السياسة المرفقة، ولمزيد من المعلومات يمكن التواصل مع المختصين بهذه الوزارة عبر البريد الإلكتروني ([email protected]).

والله ولي التوفيق ،،،

م. سعيد بن حمود بن سعيد المعولي
وزير النقل والاتصالات وتقنية المعلومات

صدر في: ٢٠ رمضان ١٤٤٥هـ
الموافق: ٣١ مارس ٢٠٢٤م

سياسة حماية البيانات الشخصية لوحدات الجهاز الإداري للدولة (مارس ٢٠٢٤م)

مقدمة

تسعى الدول في جميع أنحاء العالم للاستفادة من قيمة البيانات باعتبارها موردا اقتصاديا يساعد على الابتكار ويسهم في دعم التحولات الاقتصادية وتعزيز المقومات التنافسية للدول، وعلى المستوى الوطني تقوم الوحدات الحكومية بجمع ومعالجة كميات هائلة من البيانات التي يمكن الاستفادة منها للإسهام في النمو الاقتصادي والارتقاء بسلطنة عمان إلى الريادة ضمن الموارد الاقتصادية القائمة على البيانات، وفي ظل رؤية ٢٠٤٠ تسعى سلطنة عمان إلى عصر جديد يعزز أداء الوحدات الحكومية ويرفع مستوى شفافيتها ومسؤوليتها، ويشجع على تنويع الاقتصاد والاستفادة من الخدمات المعتمدة على البيانات.

عليه يتعين على الوحدات الحكومية وهي تتولى معالجة البيانات الشخصية أن تتصرف بصفتها راعية لتلك البيانات وأن تديرها وتحفظ أمنها وفقا للتشريعات والسياسات ذات الصلة كما يتعين عليها تحديد قواعد لتداولها داخل تلك الوحدات وفيما بينها بطريقة آمنة.

التعاريف والمصطلحات

الوزارة: وزارة النقل والاتصالات وتقنية المعلومات.

وحدات الجهاز الإداري للدولة: لمعرفة وفقا للمرسوم السلطاني رقم ٧٥ / ٢٠٢٠ في شأن الجهاز الإداري للدولة، ويشار إليها في سياق هذه السياسة بوحدة التحكم ووحدة المعالجة.

وحدة التحكم: الوحدة التي تحدد الغرض من معالجة البيانات الشخصية وكيفية ذلك، سواء باشرت معالجة البيانات بوساطتها أم بوساطة وحدة المعالجة.

وحدة المعالجة: الوحدة التي تعالج البيانات الشخصية لمصلحة وحدة التحكم ونيابة عنها.

طرف ثالث: جهة تعمل تحت إشراف وحدة التحكم أو وحدة المعالجة ومصرح لها بمعالجة البيانات لحساب وحدة التحكم أو وحدة المعالجة، ويكون مقرها سلطنة عمان.

البيانات الشخصية: البيانات التي تجعل شخصا طبيعيا معرفا أو قابلا للتعريف بطريقة مباشرة أو غير مباشرة وذلك بالرجوع إلى معرف أو أكثر كالاسم أو الرقم المدني أو بيانات المعرفات الإلكترونية أو البيانات الامكانية أو بالرجوع إلى عامل أو أكثر خاص بالهوية الجينية أو الجسدية أو العقلية أو النفسية أو الاجتماعية أو الثقافية أو الاقتصادية.

صاحب البيانات الشخصية: الشخص الطبيعي الذي يمكن التعرف عليه من خلال بياناته الشخصية.

المعالجة: أي عملية تجرى على البيانات الشخصية بأي وسيلة كانت يدوية أو آلية كعمليات الجمع، والتسجيل، أو التحليل أو التنظيم أو التخزين أو التعديل أو التحوير أو الاسترجاع أو المراجعة أو التنسيق أو ضم بعضها لبعض أو حجبها أو محوها أو إلغاءها أو الإفصاح عنها، عن طريق إرسالها أو توزيعها أو نقلها أو تحويلها أو إتاحتها بوسائل أخرى.

اختراق البيانات الشخصية: الدخول غير المشروع إلى البيانات الشخصية بشكل يؤدي إلى تدميرها أو تغييرها أو الإفصاح عنها أو الوصول إليها أو معالجتها بصورة غير قانونية.

الإفصاح: تمكين أي شخص عدا وحدة التحكم” من الحصول على البيانات الشخصية أو استعمالها أو الاطلاع عليها بأي وسيلة ولأي غرض.

الإتلاف: كل عمل يؤدي إلى إزالة البيانات الشخصية ويجعل من المتعذر الاطلاع عليها أو استعادتها مرة أخرى.

نقل البيانات الشخصية خارج الحدود: إتاحة البيانات الشخصية أو عرضها أو استخدامها أو نشرها أو تداولها أو تخزينها أو تسجيلها أو استرجاعها أو استقبالها أو إرسالها من داخل حدود سلطنة عمان إلى خارجها.

الأهداف

تهدف هذه السياسة إلى تحقيق جملة من الأهداف منها:

– الاستفادة من قيمة البيانات باعتبارها موردا اقتصاديا يساعد على الابتكار ويسهم في  دعم التحولات الاقتصادية.

– تحسين ثقة صاحب البيانات في قدرة الوحدات الحكومية على التصرف والتعامل مع البيانات الشخصية من خلال المحافظة عليها وفقا لأحكام القوانين والسياسات ذات الصلة.

– تطبيق أفضل الممارسات العالمية لسياسات وضوابط حماية البيانات الشخصية وتعزيز القيمة المستفادة منها في تحسين الأداء والإنتاجية وسهولة تقديم الخدمات العامة.

– إيجاد إطار يوازن بين آليات حقوق الأفراد في حماية بياناتهم الشخصية، وبين السماح بمعالجة البيانات والاحتفاظ بها في ظل الفضاء الإلكتروني، وانتشار مفاهيم البيانات الضخمة والذكاء الاصطناعي.

الغرض

– تسعى هذه السياسة إلى وضع مجموعة من الضوابط لحماية البيانات الشخصية تتضمن معالجتها وتخزينها والإفصاح عنها والوصول إليها والتعديل عليها والاطلاع عليها.

نطاق التطبيق

تطبق هذه السياسة على وحدات الجهاز الإداري للدولة.

أحكام السياسة

١. التزامات وحدة التحكم

١.١ في سبيل تحقيق أهداف هذه السياسة تلتزم وحدة التحكم بحماية جميع ما بحوزتها من معلومات وبيانات شخصية بما فيها المعلومات والبيانات الواردة إليها من وحدات أخرى، أو تلك التي تم الإفصاح عنها لوحدات أخرى.

١.٢ على وحدة التحكم أن تراعي عند معالجتها للبيانات الشخصية الآتي:

– أن يتم جمع البيانات عبر الوسائل المشروعة والنزيهة وأن يقتصر الجمع على ما هو ضروري لتلبية متطلباتها القانونية أو المتصلة بنشاطها العملي المباشر.

– أن تكون معالجة البيانات منصفة ومشروعة.

– أن تكون هذه البيانات صحيحة ودقيقة، وتخضع لعمليات التحديث عندما تقتضي الحاجة ذلك.

– ألا تبقى في صورة تسمح بمعرفة صاحب البيانات بعد استنفاد الغرض من جمعها أو الذي تتم المعالجة اللاحقة لأجله.

١.٣ على وحدة التحكم -في سبيل ممارسة عملها- طلب الحصول على الحد الأدنى البيانات والمستندات من صاحب البيانات لاستكمال معاملات الخدمة، وذلك في حال عدم توفرها إلكترونيا أو عدم توفرها للتداول إلكترونيا لدى أية وحدة حكومية أخرى.

١.٤ على وحدة التحكم التأكد من أن الشخص المعني بالبيانات الشخصية لديه معرفة وأبدى موافقته على معالجة بياناته، وتكون الموافقة على شكل بيان مفاده أنه بتقديم طلب الحصول على الخدمة فإنه يوافق على معالجة بياناته أو الإفصاح عنها للوحدات الحكومية الأخرى في سلطنة عمان بغرض تلبية طلباته الحالية والمستقبلية من الخدمات الحكومية.

١.٥ على وحدة التحكم تطبيق التدابير الأمنية والتنظيمية الكفيلة بحماية البيانات من الإتلاف غير المقصود أو غير المصرح به، أو من الفقد العرضي، أو مما هو غير مصرح به من التغيير أو الإفصاح أو الاختراق أو أي من الصور الأخرى للمعالجة.

١.٦ على وحدة التحكم وضع احتيا طات أمنية كافية لجميع الأنظمة ووسائط التخزين المعنية بالتعامل مع البيانات لمنع أي نوع من أنواع الاختراق.

١.٧ على وحدة التحكم في الحالات التي تكلف وحدة المعالجة أو أي طرف ثالث بمعالجة البيانات الشخصية الالتزام بالآتي:

– التأكد من توفير وحدة المعالجة / الطرف الثالث الضمانات الكافية بشأن تطبيق التدابير الفنية والتنظيمية الواجب مراعاتها عند معالجة البيانات، واتخاذ الخطوات اللازمة للتحقق من الالتزام بها.

– أن تتم المعالجة وفق عقد مكتوب يبرم بين وحدة التحكم ووحدة المعالجة / الطرف الثالث يقوم بمعالجة البيانات بالنيابة عنها أو تحت إشرافها.

– تضمين العقد نصوصا واضحة بشروط فترات الاستبقاء والترتيبات اللازمة لحذف البيانات المرسلة أو المستلمة.

– تضمين العقد نصوصا واضحة بأحقية وحدة التحكم في التدقيق على الضوابط الأمنية لحماية البيانات الشخصية المتخذة من قبل وحدة المعالجة أو الطرف الثالث.

١.٨ على وحدة التحكم الإفصاح عن البيانات المكتسبة أو المستحدثة مع وحدة المعالجة / الطرف  الثالث – ما دام هناك غرض واضح وسليم للإفصاح وفقا للالتزامات القانونية واعتبارات الخصوصية.

١.٩ على وحدة التحكم نشر بيان الخصوصية على مواقعها الإلكترونية. (مرفق)

١.١٠ على وحدة التحكم وضع آليات تكفل إتلاف البيانات الشخصية بشكل آمن وذلك لمنع الأطراف غير المصرح لها من الوصول إلى البيانات.

١.١١ على وحدة التحكم إخطار مركز الدفاع الإلكتروني في حال حدوث أي تسرب أو تلف للبيانات الشخصية أو اختراقها.

١.١٢ على وحدة التحكم معالجة البيانات الشخصية داخل الحدود الجغرافية لسلطنة عمان لضمان المحافظة على السيادة الوطنية على هذه البيانات وحماية خصوصية أصحابها، ولا يجوز نقلها أو معالجتها في الخارج إلا في الحالات الآتية:

– تنفيذ عقد يكون صاحب البيانات طرفا فيه.

– مباشرة إجراءات المطالبة بالحقوق القانونية أو الدفاع عنها.

– حماية المصالح الحيوية لصاحب البيانات.

١.١٣ على وحدة التحكم الحصول على موافقة مركز الدفاع الإلكتروني قبل نقل البيانات الشخصية خارج الحدود الجغرافية لسلطنة عمان بهدف معالجتها.

٢- التزامات وحدة المعالجة / الطرف الثالث

في سبيل تحقيق أهداف هذه السياسة تلتزم وحدة المعالجة / الطرف الثالث بالآتي:

٢.١ حماية جميع ما بحوزتها من معلومات وبيانات شخصية بما فيها المعلومات والبيانات الواردة إليها من وحدات أخرى، أو تلك التي تم الإفصاح عنها لوحدات أخرى.

٢.٢ ألا تباشر وحدة المعالجة أو الطرف الثالث أية معالجة إلا وفق تعليمات وحدة التحكم.

إدارة الوثيقة

١. تعود ملكية هذه السياسة إلى وزارة النقل والاتصالات وتقذية المعلومات وستخضع للمراجعة كلما اقتضت الحاجة ذلك.

٢. تدخل السياسة حيز التطبيق بعد ٢٤ شهرا من تاريخ اعتمادها وتعميمها من وزارة النقل والاتصالات وتقنية المعلومات.

الالتزام بالسياسة

١. تتولى وزارة النقل والاتصالات وتقنية المعلومات مراقبة التزام وحدات الجهاز الإداري للدولة بالسياسة وعرض نتائج التقيد والالتزام على مجلس الوزراء.

مراجع ذات صلة

قانون حماية البيانات الشخصية العماني (٢٠٢٢).

-سياسة البيانات المفتوحة (٢٠٢٠).

(مرفق)
إشعار الخصوصية

يجب أن يتضمن إشعار الخصوصية الذي يهدف إلى إحاطة أصحاب البيانات الشخصية بالغرض من معالجة بياناتهم الشخصية (على سبيل المثال: يقوم قسم الموارد البشرية بجمع السير الذاتية للمرشحين المحتملين لأدوار وظيفية في الجهة، الغرض المحدد فحص ما إذا كان المرشحون الجدد مناسبين للأدوار الوظيفية المطلوبة في الجهة) بالإضافة إلى المعلومات الآتية:

١- الغرض من جمع بياناته الشخصية، وما إذا كان جمعها كلها أو بعضها إلزاميا أم اختياريا، وإحاطته كذلك بأن بياناته لن تعالج لاحقا بصورة تتنافى مع الغرض من جمعها.

٢- أنواع البيانات الشخصية التي سيتم جمعها.

٣- الوسائل المستخدمة في جمع البيانات الشخصية ومعالجتها وتخزينها وإتلافها.

٤- هوية من يجمع بياناته الشخصية.

٥- الوحدة أو الوحدات التي سيجري إفصاح البيانات الشخصية إليها، وصفتها، وما إذا كانت البيانات الشخصية ستنقل أو سيفصح عنها أو ستعالج خارج السلطنة.

٦- الآثار والمخاطر المحتملة التي تترتب على عدم إتمام إجراء جمع البيانات الشخصية.

٧- حقوق صاحب البيانات الشخصية، وهي على النحو الآتي:

– الحق في العلم، ويشمل ذلك إحاطته بالغرض من جمع بياناته.

– الحق في وصوله إلى بياناته الشخصية المتوفرة لدى وحدة التحكم وفق اللوائح والسياسات ذات الصلة.

– الحق في طلب الحصول على بياناته الشخصية المتوفرة لدى وحدة التحكم بصيغة مقروءة وواضحة.

– الحق في طلب تصحيح بياناته الشخصية المتوفرة لدى وحدة التحكم، أو إتمامها أو تحديثها.