قرار وزير العدل والشئون الإسلامية والأوقاف رقم (44) لسنة 2022 بشأن قواعد وإجراءات تقديم الإخطار لهيئة حماية البيانات الشخصية وطلب التصريح المسبق للمُعالجة والبت فيه

وزارة العدل والشئون الإسلامية والأوقاف

قرار رقم (44) لسنة 2022
بشأن قواعد وإجراءات تقديم الإخطار لهيئة حماية البيانات الشخصية
وطلب التصريح المسبق للمُعالجة والبت فيه

وزير العدل والشئون الإسلامية والأوقاف:

بعد الاطلاع على قانون حماية البيانات الشخصية الصادر بالقانون رقم (30) لسنة 2018، وعلى الأخص المادتين (14) و(15) منه،

وعلى المرسوم رقم (78) لسنة 2019 بتحديد الجهة الإدارية التي تتولى المهام والصلاحيات المقررة لهيئة حماية البيانات الشخصية،

وعلى القرار رقم (43) لسنة 2022 بتحديد الاشتراطات التي يتعين توافرها في التدابير الفنية والتنظيمية الكفيلة بحماية البيانات الشخصية،

وبناءً على عرض وكيل الوزارة للعدل والشئون الإسلامية،

قرر الآتي:

مادة (1)

التعريفات

في تطبيق أحكام هذا القرار، تكون للكلمات والعبارات الواردة فيه ذات المعانيَ المبيّنةَ في قانون حماية البيانات الشخصية الصادر بالقانون رقم (30) لسنة 2018، وتكون للكلمات والعبارات التالية المعانيَ المبيّنةَ قرينَ كُلٍّ منها، ما لم يقتض سياقُ النص خلاف ذلك:

القانون: قانون حماية البيانات الشخصية الصادر بالقانون رقم (30) لسنة 2018.

السجل: سجل الإخطارات والتصاريح المنصوص عليه في المادة (16) من القانون.

تقييم لأثر حماية البيانات (data protection impact assessment): تقييم لأثر حماية البيانات المشار إليه في القرار رقم (43) لسنة 2022 بتحديد الاشتراطات التي يتعين توافرها في التدابير الفنية والتنظيمية الكفيلة بحماية البيانات الشخصية.

مادة (2)

إخطار الهيئة

مع عدم الإخلال بالإعفاءات المنصوص عليها في البند (1) من المادة (14) من القانون، يجب على مدير البيانات إخطار الهيئة قبل البدء بعملية المعالَجة التي تتم آلياً كلياً أو جزئياً، أو لمجموعة عمليات من ذلك بقصْد تحقيق غرض واحد أو عدة أغراض ذات صلة ببعضها.

ويتم تقديم الإخطار على الأنموذج المُعد لذلك من خلال الموقع الإلكتروني للهيئة، متضمناً المعلومات المبينة في الفقرة (2) من المادة (14) من القانون.

وللهيئة خلال عشرة أيام عمل من تاريخ تسَلُّم الإخطار أنْ تطلُب من مدير البيانات استيفاء أيِّ نقص في بيانات الإخطار في غضون مدة لا تجاوز خمسة عشر يوماً من تاريخ الطلب، وعلى مقدِّم الطلب التوقُّف عن المعالَجة لحين استيفاء النقص بالإخطار.

ولا يُغني الإخطار عن التزام مدير البيانات بالحصول على موافقة صاحب البيانات حسب الأحوال المُقررة في القانون.

مادة (3)

طلب التصريح المسبق

يُحظَر إجراء أيٍّ من عمليات المعالَجة المنصوص عليها في البند (1) من المادة (15) من القانون دون الحصول على تصريح كتابي مسبق من الهيئة.

ويقدَّم مدير البيانات طلب التصريح المسبق على الأنموذج المُعد لذلك من خلال الموقع الإلكتروني للهيئة، متضمناً المعلومات المبينة في الفقرة (2) من المادة (14) من القانون.

وللهيئة خلال خمسة أيام عمل من تاريخ تسَلُّم الطلب أنْ تطلب من مدير البيانات استيفاء أيِّ نقص في بيانات الطلب، وعلى مدير البيانات استيفاء النقص خلال أيام العمل الخمسة التالية، وإلا تعَيَّن على الهيئة البتُّ في الطلب بناءً على ما تضمَّنه من معلومات.

مادة (4)

البت في طلب التصريح المسبق

تمنح الهيئة التصريح المسبق للمعالجة في حالة استيفاء الطلب للاشتراطات المقررة، وعلى الهيئة البتُّ في طلب التصريح وإخطار مدير البيانات بالنتيجة خلال ثلاثين يوماً من تاريخ تقديمه، وإذا لم يتسلَّم مدير البيانات رداً من الهيئة خلال الفترة المشار إليها عُدَّ ذلك رفضاً ضمنياً للطلب.

ولا يُغني الحصول على التصريح المسبق عن التزام مدير البيانات بالحصول على موافقة صاحب البيانات حسب الأحوال المُقررة في القانون.

مادة (5)

التزامات المصرح له بالمعالجة

يلتزم المصرح له بالمعالجة بمراعاة ما يأتي:

1- الشفافية أثناء المعالجة ويشمل ذلك إعلام أصحاب البيانات بكيفية مُعالجة البيانات.

2- بأن تكون المعالجة بالقدر الكافي للغرض من جمعها ومعالجتها ولا تتعداه.

3- قصر عمليات المُعالجة على الأشخاص المصرح لهم فقط.

4- تمكين أصحاب البيانات من الوصول إلى بياناتهم التي تمت معالجتها، بناءً على طلبهم، وبحسب الأحوال المُقررة في القانون.

مادة (6)

مُتطلبات إضافية للتصريح المسبق لبعض أنواع المعالجات

يتعين عند تقديم طلب للحصول على تصريح كتابي مسبق من الهيئة لمعالجة البيانات التي تجرى بواسطة تسجيل بصري أو لمعالجة آلية لبيانات القياسات الحيوية، أن يلتزم بإجراء تقييم لأثر حماية البيانات (data protection impact assessment).

كما يجب أن يتضمن طلب التصريح بيان بكيفية تنفيذ الأمور الآتية:

1- الشفافية أثناء المعالجة ويشمل ذلك إعلام أصحاب البيانات بمعالجة البيانات بواسطة التسجيل البصري.

2- أن تكون المعالجة بالقدر الكافي للغرض من جمعها ومعالجتها ولا تتعداه.

3- آليات قصر الوصول إلى صور ومقاطع التسجيل البصري أو بيانات القياسات الحيوية على الأشخاص المصرح لهم فقط.

4- وسائل تمكين أصحاب البيانات من الوصول إلى بياناتهم التي تمت معالجتها بواسطة التسجيل البصري بناءً على طلبهم.

مادة (7)

الإخطار بالتغييرات التي تطرأ على البيانات

على مدير البيانات إخطار الهيئة بأي تغيير يطرأ على البيانات الواردة في الإخطار أو طلب التصريح المسبق المقيدة في السجل، وذلك خلال ثلاثين يوماً من تاريخ حدوث التغيير.

ويقدَّم الإخطار بالتغييرات التي تطرأ على البيانات على الأنموذج المُعد لذلك من خلال الموقع الإلكتروني للهيئة، متضمناً بيان أوجه التغيير بوضوح.

مادة (8)

النفاذ

على وكيل الوزارة للعدل والشئون الإسلامية تنفيذ أحكام هذا القرار، ويُعمل به من اليوم التالي لتاريخ نشْرِه في الجريدة الرسمية.

وزير العدل

والشئون الإسلامية والأوقاف

خالد بن علي بن عبدالله آل خليفة

صدر بتاريخ: 14 شعبان 1443هـ

الموافق: 17 مارس 2022م