وزارة النقل والاتصالات وتقنية المعلومات: قرار وزاري رقم ٣٤ / ٢٠٢٤ بإصدار اللائحة التنفيذية لقانون حماية البيانات الشخصية

تحميل English

استنادا إلى قانون حماية البيانات الشخصية الصادر بالمرسوم السلطاني رقم ٦ / ٢٠٢٢،

وبناء على ما تقتضيه المصلحة العامة.

تقرر

المادة الأولى

يعمل باللائحة التنفيذية لقانون حماية البيانات الشخصية المرفقة.

المادة الثانية

يجب على المخاطبين بأحكام اللائحة المرفقة توفيق أوضاعهم طبقا لأحكامها خلال مدة لا تزيد على عام من تاريخ العمل بها.

المادة الثالثة

يلغى كل ما يخالف اللائحة المرفقة، أو يتعارض مع أحكامها.

المادة الرابعة

ينشر هذا القرار في الجريدة الرسمية، ويعمل به من اليوم التالي لتاريخ نشره.

صدر في: ١٦ من رجب ١٤٤٥هـ
الموافق: ٢٨ من يناير ٢٠٢٤م

م. سعيد بن حمود بن سعيد المعولي
وزير النقل والاتصالات وتقنية المعلومات

نشر في عدد الجريدة الرسمية رقم (١٥٣١) الصادر في ٤ من فبراير ٢٠٢٤م.

اللائحة التنفيذية لقانون حماية البيانات الشخصية

الفصل الأول
تعريفات وأحكام عامة

المادة (١)

في تطبيق أحكام هذه اللائحة، يكون للكلمات والعبارات الواردة فيها المعنى ذاته المنصوص عليه في قانون حماية البيانات الشخصية المشار إليه، كما يكون للكلمات والعبارات الآتية المعنى المبين قرين كل منها، ما لم يقتض سياق النص معنى آخر:

١ – القانون:

قانون حماية البيانات الشخصية.

٢ – الإدارة المختصة:

التقسيم الإداري المختص في الوزارة لإدارة حماية البيانات الشخصية.

٣ – التصريح:

الموافقة الصادرة عن الوزارة للمتحكم لمعالجة البيانات الشخصية.

٤ – الإفصاح:

تمكين الغير بأي وسيلة ولأي غرض من الوصول إلى البيانات الشخصية للاطلاع عليها أو الحصول عليها أو استعمالها.

٥ – اختراق البيانات الشخصية:

الدخول غير المشروع إلى البيانات الشخصية بشكل يؤدي إلى تدميرها أو تغييرها أو الإفصاح عنها أو الوصول إليها أو معالجتها بصورة غير قانونية.

المادة (٢)

يلتزم المتحكم أو المعالج – بحسب الأحوال – بموافاة الإدارة المختصة بأي مستندات أو بيانات أو معلومات وغيرها خلال (٣٠) ثلاثين يوما من تاريخ طلبها.

المادة (٣)

يجوز للمتحكم في سبيل معالجته للبيانات الشخصية التعاقد مع المعالج، ويكون المعالج في علاقته بالغير فيما يقدمه من خدمات نائبا عن المتحكم، وذلك في نطاق تطبيق أحكام المسؤولية المدنية، والمسؤولية الإدارية أمام الوزارة، ودون الإخلال بالمسؤولية الجزائية للمعالج عما يقع منه بالمخالفة لأحكام القانون وهذه اللائحة.

المادة (٤)

يلتزم المتحكم قبل معالجة البيانات الشخصية بالحصول على الموافقة الصريحة لصاحب البيانات الشخصية، ويشترط للاعتداد بالموافقة الآتي:

١ – أن تصدر الموافقة من شخص كامل الأهلية.

٢ – أن تصدر الموافقة بطريقة واضحة ودون إكراه.

٣ – أن تكون الموافقة كتابية أو إلكترونية أو بأي وسيلة أخرى يحددها المتحكم.

الفصل الثاني
إجراءات الحصول على التصريح

المادة (٥)

في نطاق تطبيق حكم المادة (٥) من القانون، يلتزم المتحكم بالحصول على تصريح من الوزارة قبل معالجة أي من البيانات الشخصية وفقا للنموذج المعد لذلك، متضمنا البيانات الآتية:

١ – الاسم والعنوان والبريد الإلكتروني لمسؤول حماية البيانات الشخصية.

٢ – الغرض من معالجة البيانات الشخصية.

٣ – تحديد وتصنيف البيانات الشخصية التي ستتم معالجتها.

٤ – المعالج الذي سيتم التعاقد معه لمعالجة البيانات الشخصية (إن وجد).

٥ – تحديد أي جهة أو طرف ثالث يتم الإفصاح له عن البيانات الشخصية التي ستتم معالجتها.

٦ – الأماكن التي سيتم نقل أو حفظ البيانات الشخصية فيها.

٧ – تحديد نظم إدارة وحماية البيانات الشخصية.

٨ – أي بيانات أخرى تطلبها الوزارة.

المادة (٦)

يلتزم المتحكم عند تقديم طلب التصريح بإرفاق سياسة حماية البيانات الشخصية الخاصة به، والتدابير الاحترازية المعتمدة لديه عند حدوث اختراق للبيانات الشخصية.

المادة (٧)

تتولى الإدارة المختصة دراسة طلب التصريح والبت فيه خلال مدة لا تتجاوز (٤٥) خمسة وأربعين يوما من تاريخ استيفاء البيانات والمستندات المطلوبة، وفي حال رفض الطلب يجب أن يكون القرار مسببا، ويعتبر انقضاء تلك المدة دون رد رفضا للطلب.

ويجوز لطالب التصريح التظلم إلى الوزير من قرار الرفض خلال (٦٠) ستين يوما من تاريخ إخطاره بالقرار أو علمه به علما يقينيا، ويعتبر عدم الرد على التظلم خلال مدة (٣٠) ثلاثين يوما من تاريخ تقديمه رفضا له.

المادة (٨)

يصدر التصريح من الوزير لمدة لا تزيد على (٥) خمسة أعوام متضمنا بيانات المصرح له، وبعد سداد الرسوم المقررة، ويكون تجديد التصريح لمدة أو مدد مماثلة بذات الإجراءات المنصوص عليها في هذا الفصل.

المادة (٩)

يلتزم المتحكم بإخطار الإدارة المختصة – على النموذج المعد لذلك – بأي تعديلات في البيانات الواردة في التصريح الصادر له، وذلك خلال (١٥) خمسة عشر يوما من تاريخ إجراء تلك التعديلات.

المادة (١٠)

يلغى التصريح في إحدى الحالات الآتية:

١ – بناء على طلب المتحكم.

٢ – إذا ارتكب المتحكم مخالفة لأحكام القانون أو هذه اللائحة.

٣ – عدم إخطار الإدارة المختصة بالتعديلات على بيانات التصريح خلال المدة المحددة.

٤ – إذا ثبت حصول المتحكم على التصريح عن طريق الغش أو التدليس أو التزوير أو تقديم بيانات أو معلومات غير صحيحة.

الفصل الثالث
معالجة البيانات الشخصية للطفل

المادة (١١)

يجب على المتحكم أو المعالج – بحسب الأحوال – الحصول على الموافقة الصريحة لولي أمر الطفل قبل القيام بمعالجة بياناته الشخصية.

ويجوز للمتحكم أو المعالج – بحسب الأحوال – أن يطلب من الطفل الحد الأدنى من بيانات ولي أمره، وذلك بغرض التحقق من هويته والحصول على موافقته.

المادة (١٢)

يجب على المتحكم أو المعالج – بحسب الأحوال – عند معالجة البيانات الشخصية للطفل التقيد بالضوابط الآتية:

١ – أن يكون الهدف من المعالجة واضحا ومباشرا وآمنا وخاليا من التدليس والتضليل.

٢ – أن تكون المعالجة مقتصرة على الحد الأدنى من البيانات الشخصية لتحقيق الغرض المحدد منها.

المادة (١٣)

يجب على المتحكم أو المعالج – بحسب الأحوال – تحديد وتوفير الوسائل التي تمكن ولي أمر الطفل من الوصول إلى البيانات الشخصية لطفله، وذلك لتحديثها وتعديلها.

المادة (١٤)

لا يجوز للمتحكم أو المعالج – بحسب الأحوال – الإفصاح عن البيانات الشخصية للطفل أو مشاركتها مع الغير إلا بعد الحصول على الموافقة الصريحة لولي الأمر بذلك.

المادة (١٥)

ينوب عن الشخص عديم أو ناقص أو فاقد الأهلية وليه أو الوصي أو القيم عليه بحسب الأحوال، وتسري بشأن معالجة بياناته الشخصية الأحكام المنصوص عليها في هذا الفصل.

الفصل الرابع
حقوق صاحب البيانات الشخصية

المادة (١٦)

يجوز لصاحب البيانات الشخصية تقديم طلب كتابي للمتحكم لممارسة أي من حقوقه المنصوص عليها في البنود (أ، ب، ج، د، هـ) من المادة (١١) من القانون وذلك بدون مقابل، ويجب على المتحكم البت في الطلب خلال مدة لا تتجاوز (٤٥) خمسة وأربعين يوما من تاريخ تسلمه الطلب. ويجوز لصاحب البيانات الشخصية أن يطلب وقف معالجة بياناته الشخصية إلى حين البت في الطلب.

المادة (١٧)

يجوز للمتحكم رفض طلب صاحب البيانات الشخصية جزئيا أو كليا إذا كان الطلب متكررا بشكل غير مبرر، أو أن تنفيذه يتطلب جهدا غير عادي.

وفي جميع الأحوال، يلتزم المتحكم بإخطار صاحب البيانات الشخصية بقرار الرفض مسببا خلال المدة المنصوص عليها في المادة (١٦) من هذه اللائحة.

المادة (١٨)

لصاحب البيانات الشخصية الحق في طلب محو بياناته الشخصية لدى المتحكم في أي من الحالات الآتية:

١ – إذا انتهى الغرض من المعالجة.

٢ – إذا ألغى موافقته على معالجة بياناته، وذلك دون الإخلال بحكم المادة (١٧) من هذه اللائحة.

٣ – إذا كانت معالجة البيانات لا تتوافق مع أحكام القانون أو هذه اللائحة.

ويجوز للمتحكم – بحسب الأحوال – رفض طلب صاحب البيانات الشخصية في الحالات الآتية:

١ – تنفيذ التزام قانوني ملقى على عاتق المتحكم بموجب أي قانون أو حكم أو قرار قضائي.

٢ – وجود نزاع قائم بين المتحكم وصاحب البيانات الشخصية.

المادة (١٩)

يحق لصاحب البيانات الشخصية أن يطلب من المتحكم نسخة من بياناته الشخصية المعالجة بصيغة مقروءة وواضحة إلكترونية أو ورقية، شريطة التأكد من خلو النسخة التي قدمها من أي بيانات شخصية تحدد هوية شخص آخر.

المادة (٢٠)

يحق لصاحب البيانات الشخصية أن ينقل بياناته الشخصية إلى متحكم جديد، على أن يقوم المتحكم بنقل البيانات الشخصية للمتحكم الجديد إذا كان ملزما قانونا بذلك.

الفصل الخامس
التزامات المتحكم والمعالج

المادة (٢١)

يلتزم المتحكم أو المعالج – بحسب الأحوال – بوضع سياسة حماية البيانات الشخصية في مكان ظاهر يتيح لصاحب البيانات الشخصية الاطلاع عليها قبل معالجة بياناته، على أن تتضمن تلك السياسة – على الأقل – آلية وإجراءات ممارسة صاحب البيانات الشخصية لحقوقه المنصوص عليها في القانون وهذه اللائحة.

المادة (٢٢)

يجب على المتحكم قبل إرسال أي مادة إعلانية أو تسويقية أو ذات أغراض تجارية لصاحب البيانات الشخصية الالتزام بالآتي:

١ – الحصول على الموافقة الكتابية لصاحب البيانات الشخصية.

٢ – إخطار صاحب البيانات الشخصية بوسيلة إرسال المواد الإعلانية أو التسويقية أو التجارية.

٣ – تحديد آلية إيقاف استقبال المواد الإعلانية أو التسويقية أو التجارية.

٤ – التوقف عن إرسال المواد الإعلانية أو التسويقية أو التجارية فور تلقي طلب الإيقاف من صاحب البيانات الشخصية وبدون مقابل.

المادة (٢٣)

يلتزم المتحكم والمعالج بتعيين المدقق الخارجي، وذلك وفق الاشتراطات الآتية:

١ – أن يكون معتمدا ومرخصا له من قبل الوزارة.

٢ – أن يكون مستقلا وغير مرتبط بأي اتصال مباشر أو غير مباشر مع المتحكم أو المعالج.

وفي جميع الأحوال، يلتزم المتحكم والمعالج بتمكين المدقق الخارجي من الاطلاع وفحص السجلات وأنظمة المعالجة والبيانات اللازمة لأعمال التدقيق.

المادة (٢٤)

يجب على المتحكم والمعالج موافاة الإدارة المختصة بنسخة من تقرير المدقق الخارجي خلال مدة لا تتجاوز (٦٠) ستين يوما من تاريخ تعيين المدقق الخارجي.

المادة (٢٥)

يحظر على المتحكم والمعالج نشر أو مشاركة أو الإفصاح عن البيانات الشخصية المنصوص عليها في المادة (٥) من القانون إلا في الحدود والحالات المقررة قانونا، أو إذا كان تنفيذا لحكم أو قرار قضائي.

المادة (٢٦)

يلتزم المتحكم بضمان سرية البيانات الشخصية وفقا للضوابط والإجراءات الآتية:

١ – وضع واستخدام وتفعيل الأنظمة الإلكترونية من الوصول غير المشروع للبيانات الشخصية، أو تسريبها أو العبث بها أو إساءة استخدامها.

٢ – وضع أنظمة استعادة البيانات الشخصية عند وقوع حادث مادي أو تقني.

٣ – وجود عمليات اختبار لفعالية الإجراءات التقنية الموجودة لديه.

المادة (٢٧)

مع عدم الإخلال بحكم المادة (١٨) من هذه اللائحة، يلتزم المتحكم أو المعالج – بحسب الأحوال – بالاحتفاظ بمستندات عمليات المعالجة، مع مراعاة الضوابط الآتية:

١ – أن يكون سبب الاحتفاظ بمستندات عمليات المعالجة محددا ومشروعا.

٢ – أن يتم تحديد مدة زمنية للاحتفاظ تتناسب مع الغرض من المعالجة.

٣ – أن يوفر أنظمة الحماية الفنية للاحتفاظ الآمن بمستندات المعالجة.

المادة (٢٨)

يلتزم المتحكم أو المعالج – بحسب الأحوال – بإنشاء سجل خاص لأنشطة معالجة البيانات الشخصية، يتضمن على الأقل الآتي:

١ – بيانات مسؤول حماية البيانات الشخصية.

٢ – وصف فئات البيانات الشخصية لديه وبيانات الأشخاص المصرح لهم بالوصول إلى البيانات الشخصية.

٣ – المدد الزمنية للمعالجة وقيودها ونطاقها.

٤ – آلية محو البيانات الشخصية أو تعديلها أو معالجتها لديه.

٥ – الغرض من معالجة البيانات الشخصية.

٦ – الجهات التي يفصح لها عن البيانات الشخصية وأغراض الإفصاح.

٧ – بيانات أي جهة يتم نقل أو تحويل البيانات الشخصية لها.

٨ – أي بيانات متعلقة بحركة ومعالجة البيانات الشخصية عبر الحدود.

٩ – الإجراءات التقنية والتنظيمية الخاصة بأمن المعلومات وعمليات المعالجة.

١٠ – أي اختراقات للبيانات الشخصية بما في ذلك الوقائع المحيطة بالاختراق وآثاره، والإجراء العلاجي أو التصحيحي الذي تم اتخاذه.

المادة (٢٩)

يجب على المتحكم تحديث سجل أنشطة المعالجة بشكل مستمر، وتقديمها للإدارة المختصة متى ما طلبت ذلك.

الفصل السادس
اختراق البيانات الشخصية

المادة (٣٠)

يجب على المتحكم إبلاغ الإدارة المختصة خلال مدة لا تتجاوز (٧٢) اثنتين وسبعين ساعة من وقت علمه بالاختراق إذا كان من شأنه أن يؤدي إلى خطر يهدد حقوق أصحاب البيانات الشخصية.

ويجب أن يتضمن البلاغ – على الأقل – الآتي:

١ – وصف وتفاصيل طبيعة البيانات المخترقة والنتائج المترتبة على الاختراق.

٢ – بيانات ومعلومات الاتصال بالمتحكم أو أي نقطة اتصال أخرى من أجل الحصول على مزيد من المعلومات.

٣ – وصفا للآثار المحتملة للاختراق.

٤ – الإجراءات التصحيحية أو التدابير الفنية والتنظيمية التي سيتخذها المتحكم لمعالجة الاختراق بما في ذلك – عند الضرورة – التدابير المقترحة للتخفيف من الآثار السلبية المحتملة.

٥ – الإجراءات التصحيحية والتدابير الفنية والتنظيمية التي قام بها المتحكم فور علمه بالاختراق وقبل إبلاغ الإدارة المختصة.

المادة (٣١)

يجوز للإدارة المختصة بعد تلقي البلاغ المشار إليه في المادة (٣٠) من هذه اللائحة توثيقه في السجل المعد لذلك، ولها اتخاذ ما تراه مناسبا من الإجراءات الآتية:

١ – تقييم الإجراءات والتدابير التي قام بها المتحكم ومدى مواجهتها للضرر الناتج عن الاختراق.

٢ – التوجيه بإخطار صاحب البيانات الشخصية بالاختراق إذا ارتأت الإدارة المختصة، وذلك دون الإخلال بحكم المادة (٣٢) من هذه اللائحة.

٣ – تقديم التوجيه المناسب أو الدعم اللازم إلى المتحكم حسب الإمكانيات المتاحة.

المادة (٣٢)

يلتزم المتحكم في حالة اختراق البيانات الشخصية بإخطار صاحب البيانات الشخصية خلال مدة لا تتجاوز (٧٢) اثنتين وسبعين ساعة من علمه بالاختراق، إذا كان من شأن ذلك الاختراق أن يسبب ضررا جسيما أو مخاطر عالية على صاحب البيانات الشخصية، ويجب أن يتضمن الإخطار الآتي:

١ – نوع الاختراق وطبيعته.

٢ – تفاصيل البيانات الشخصية التي تعرضت للاختراق.

٣ – توصيات للحد أو التخفيف من آثار الاختراق إن تطلب ذلك.

المادة (٣٣)

يلتزم المتحكم بتوثيق حالات اختراق البيانات الشخصية وبيان أسبابها والنتائج المترتبة على وقوعها والإجراءات التصحيحية أو التدابير الفنية والتنظيمية التي تم اتخاذها، والاحتفاظ بها وفقا للمدة التي تحددها الإدارة المختصة، وذلك في السجل المنصوص عليه في المادة (٢٨) من هذه اللائحة.

الفصل السابع
مسؤول حماية البيانات الشخصية

المادة (٣٤)

يلتزم المتحكم بتحديد مسؤول حماية البيانات الشخصية، وفق الضوابط الآتية:

١ – أن يكون مؤهلا للقيام بالمهام المنصوص عليها في المادة (٣٥) من هذه اللائحة.

٢ – أن يكون ملما بالقانون وهذه اللائحة وممارسات حماية البيانات الشخصية المتبعة لدى المتحكم أو المعالج.

٣ – أن يكون ذا كفاءة مهنية ومقدرة على التعامل بصورة منتظمة وصحيحة مع كل المسائل المتعلقة بحماية البيانات الشخصية.

المادة (٣٥)

يتولى مسؤول حماية البيانات الشخصية المهام الآتية:

١ – تقديم المقترحات والاستشارات للمتحكم أو المعالج فيما يتعلق بالتزاماتهما الواردة في القانون وهذه اللائحة.

٢ – متابعة تنفيذ سياسات المتحكم أو المعالج المتعلقة بحماية البيانات الشخصية.

٣ – متابعة تنفيذ المتحكم أو المعالج لالتزاماته المنصوص عليها في القانون وهذه اللائحة.

٤ – التنسيق مع الإدارة المختصة في المسائل المتعلقة بمعالجة البيانات الشخصية.

المادة (٣٦)

يجب على المتحكم نشر البيانات المتعلقة بمسؤول حماية البيانات الشخصية، والتي تتضمن اسمه وبيانات التواصل معه بأي وسيلة، ولصاحب البيانات الشخصية الحق في الاتصال بمسؤول حماية البيانات الشخصية في كل المسائل المتعلقة بمعالجة بياناته الشخصية.

الفصل الثامن
نقل وتحويل البيانات الشخصية خارج الحدود

المادة (٣٧)

يلتزم المتحكم قبل نقل أو تحويل البيانات الشخصية إلى خارج حدود سلطنة عمان بالحصول على الموافقة الصريحة لصاحب البيانات الشخصية، وألا يترتب على نقل البيانات أو تحويلها مساس بالأمن الوطني أو المصالح العليا للدولة، ولا يشترط الحصول على موافقة صاحب البيانات الشخصية في إحدى الحالات الآتية:

١ – إذا كان تنفيذا لالتزام دولي بموجب اتفاقية تكون سلطنة عمان طرفا فيها.

٢ – إذا كان النقل أو التحويل قد تم بطريقة تؤدي إلى إخفاء هوية صاحب البيانات الشخصية وعدم ربط هذه البيانات به وعدم إمكانية التعرف عليه بأي طريقة كانت.

المادة (٣٨)

يلتزم المتحكم قبل نقل أو تحويل البيانات الشخصية خارج حدود سلطنة عمان بضمان أن لدى جهة المعالجة الخارجية قدرا كافيا من الحماية للبيانات الشخصية لا يقل عن مستوى الحماية المقررة وفقا للقانون وهذه اللائحة.

المادة (٣٩)

يجب على المتحكم إجراء تقييم لمستوى الحماية التي توفرها جهة المعالجة الخارجية ومخاطر نقل أو تحويل البيانات الشخصية، على أن يتضمن التقييم على الأخص الآتي:

١ – وصفا لطبيعة وحجم البيانات الشخصية المراد نقلها أو تحويلها، ودرجة حساسيتها.

٢ – الغرض من معالجة البيانات الشخصية ونطاق المعالجة والجهات التي سيتم مشاركة البيانات الشخصية معها.

٣ – المدة الزمنية لمعالجة البيانات الشخصية، وما إذا كانت ستتم بشكل مقيد أو عرضي لمرة واحدة فقط أو بشكل متكرر ومنتظم خلال مدة محدودة.

٤ – مراحل نقل أو تحويل البيانات الشخصية والدول التي قد تمر بها، وتحديد الوجهة النهائية للبيانات الشخصية.

٥ – الآثار والمخاطر التي قد تترتب على عملية النقل أو التحويل، ومدى تأثيرها على صاحب البيانات الشخصية.

المادة (٤٠)

يجوز للوزارة طلب الحصول على نسخة من تقرير التقييم الذي يعده المتحكم للتأكد من مدى توفر مستوى الحماية الكافي لدى جهة المعالجة الخارجية.

الفصل التاسع
الشكاوى والجزاءات

المادة (٤١)

يجوز لصاحب البيانات الشخصية أو لأي شخص آخر ذي مصلحة التقدم بشكوى أو بلاغ للإدارة المختصة عن أي مخالفة لأحكام القانون وهذه اللائحة، والقرارات الصادرة تنفيذا له، على النموذج المعد لذلك، خلال مدة أقصاها (٣٠) ثلاثون يوما من تاريخ العلم اليقيني بالمخالفة، على أن تتولى الإدارة المختصة إخطار المتحكم بنسخة من الشكوى أو البلاغ خلال (٧) سبعة أيام من تاريخ تقديمه.

المادة (٤٢)

يحق للمتحكم الرد على الشكوى أو البلاغ المقدم ضده خلال مدة لا تتجاوز (١٤) أربعة عشر يوما من تاريخ إخطاره بذلك.

المادة (٤٣)

تتولى الإدارة المختصة البت في الشكوى أو البلاغ خلال (٦٠) ستين يوما من اليوم التالي لانتهاء المدة المحددة في المادة (٤٢) من هذه اللائحة، ويعتبر عدم الرد خلال تلك المدة رفضا له.

المادة (٤٤)

يجوز للوزير توقيع أحد الجزاءات الإدارية الآتية في حالة مخالفة أحكام هذه اللائحة:

١ – الإنذار.

٢ – وقف التصريح لحين إزالة المخالفة.

٣ – غرامة إدارية لا تزيد على (٢٠٠٠) ألفي ريال عماني لكل مخالفة.

٤ – إلغاء التصريح.

المادة (٤٥)

يجوز لمن وقع عليه أي من الجزاءات الإدارية المنصوص عليها في هذه اللائحة، أن يتظلم إلى الوزير خلال (٦٠) ستين يوما من تاريخ إخطاره بقرار المخالفة أو علمه به علما يقينيا، ويجب على الوزير البت في التظلم خلال (٣٠) ثلاثين يوما من تاريخ تقديمه، ويعتبر مرور هذه المدة دون رد رفضا للتظلم.