قانون
رقم (30) لسنة 2018
بإصدار قانون حماية البيانات الشخصية
نحن حمد بن عيسى آل خليفة ملك مملكة البحرين.
بعد الاطلاع على الدستور،
وعلى قانون المرافعات المدنية والتجارية الصادر بالمرسوم بقانون رقم (12) لسنة 1971 وتعديلاته،
وعلى المرسوم بقانون رقم (13) لسنة 1972 بشأن الرسوم القضائية وتعديلاته،
وعلى القانون رقم (13) لسنة 1975 بشأن تنظيم معاشات ومكافآت التقاعد لموظفي الحكومة وتعديلاته،
وعلى قانون العقوبات الصادر بالمرسوم بقانون رقم (15) لسنة 1976 وتعديلاته،
وعلى المرسوم بقانون رقم (7) لسنة 1977 في شأن الإحصاء والتِّعداد،
وعلى المرسوم بقانون رقم (9) لسنة 1984 في شأن السجل السكاني المركزي، المعدَّل بالقانون رقم (45) لسنة 2006،
وعلى قانون الإثبات في المواد المدنية والتجارية الصادر بالمرسوم بقانون رقم (14) لسنة 1996 وتعديلاته،
وعلى المرسوم بقانون رقم (28) لسنة 2002 بشأن المعاملات الإلكترونية وتعديلاته،
وعلى قانون السلطة القضائية الصادر بالمرسوم بقانون رقم (42) لسنة 2002 وتعديلاته،
وعلى قانون الإجراءات الجنائية الصادر بالمرسوم بقانون رقم (46) لسنة 2002 وتعديلاته،
وعلى المرسوم بقانون رقم (47) لسنة 2002 بشأن تنظيم الصحافة والطباعة والنشر،
وعلى قانون الاتصالات الصادر بالمرسوم بقانون رقم (48) لسنة 2002، المعدَّل بالمرسوم بقانون رقم (38) لسنة 2017،
وعلى القانون رقم (7) لسنة 2003 بشأن الأسرار التجارية وتعديلاته،
وعلى القانون رقم (7) لسنة 2006 بالتصديق على الميثاق العربي لحقوق الإنسان،
وعلى القانون رقم (46) لسنة 2006 بشأن بطاقة الهوية،
وعلى القانون رقم (56) لسنة 2006 بالموافقة على انضمام حكومة مملكة البحرين إلى العهد الدولي الخاص بالحقوق المدنية والسياسية،
وعلى قانون مصرف البحرين المركزي والمؤسسات المالية الصادر بالقانون رقم (64) لسنة 2006 وتعديلاته،
وعلى القانون رقم (10) لسنة 2007 بالموافقة على انضمام حكومة مملكة البحرين إلى العهد الدولي الخاص بالحقوق الاقتصادية والاجتماعية والثقافية،
وعلى قانون الخدمة المدنية الصادر بالمرسوم بقانون رقم (48) لسنة 2010، المعدَّل بالمرسوم بقانون رقم (69) لسنة 2014،
وعلى القانون رقم (60) لسنة 2014 بشأن جرائم تقنية المعلومات،
أقرَّ مجلس الشورى ومجلس النواب القانون الآتيَ نَصُّه، وقد صدَّقنا عليه وأصدرناه:
المادة الأولى
يُعمَل في شأن حماية البيانات الشخصية بأحكام القانون المرافق.
المادة الثانية
لا تُخِل أحكام هذا القانون بأية حقوق مقرَّرة بموجب الاتفاقيات والمعاهدات الدولية المعمول بها في المملكة.
المادة الثالثة
يُصدر مجلس إدارة هيئة حماية البيانات الشخصية القرارات اللازمة لتنفيذ أحكام هذا القانون، وذلك في ميعاد أقصاه أول الشهر التالي لمُضِيِّ ستة أشهر على تاريخ نشْرِه في الجريدة الرسمية.
المادة الرابعة
على رئيس مجلس الوزراء والوزراء – كل فيما يخصه – تنفيذ هذا القانون، ويُعمل به اعتباراً من أول الشهر التالي لمُضِيِّ سنة على تاريخ نشْرِه في الجريدة الرسمية.
ملك مملكة البحرين
حمد بن عيسى آل خليفة
صدر في قصر الرفاع:
بتاريخ: 82 شوال 9341هـ
الموافق: 21 يوليو 8102م
قانون حماية البيانات الشخصية
الباب الأول
أحكام المعالجة
الفصل الأول
أحكام تمهيدية
مادة (1)
تعاريف
في تطبيق أحكام هذا القانون، يكون للكلمات والعبارات التالية المعانيَ المبينةَ قرينَ كُلٍّ منها، ما لم يقتض سياقُ النص خلاف ذلك:
بيانات أو بيانات شخصية: أية معلومات في أية صورة تخصُّ فرداً مُعَّرفاً، أو قابلاً بطريق مباشر أو غير مباشر لأن يُعَرَّف، وذلك بوجه خاص من خلال رقم هويته الشخصية أو صفة أو أكثر من صفاته الشكلية أو الفسيولوجية أو الذهنية أو الثقافية أو الاقتصادية أو هويته الاجتماعية.
ولتقرير ما إذا كان الفرد قابلاً لأن يُعَرَّف، تراعى كافة الوسائل التي يستخدمها مدير البيانات أو أيُّ شخص آخر، أو التي قد تكون متاحة له.
بيانات شخصية حسَّاسة: أية معلومات شخصية تكشف على نحو مباشر أو غير مباشر عن أصل الفرد العِرْقي أو الإثْنِي أو آرائه السياسية أو الفلسفية أو معتقداته الدينية أو انتمائه النقابي أو سِجِل السوابق الجنائية الخاص به أو أية بيانات تتعلق بصحته أو حالته الجنسية.
المعالجة: أية عملية أو مجموعة عمليات يتم إجراؤها على بيانات شخصية بوسيلة آلية أو غير آلية، ومن ذلك جمْع تلك البيانات أو تسجيلها أو تنظيمها أو تصنيفها في مجموعات أو تخزينها، أو تحويرها أو تعديلها، أو استعادتها أو استخدامها أو الإفصاح عنها، من خلال بثِّها أو نشرها أو نقلها أو إتاحتها للغير، أو دمجها أو حجْبها أو مسْحها أو تدميرها.
منظومة ملفات: أية مجموعة بيانات شخصية لا تعالَج بواسطة جهاز يعمل آلياً بناءً على تعليمات تُعطَى له ولكنها مرتَّبة على نحو يتيح الحصول منها على معلومات عن الأفراد الذين تخٌصُّهم هذه البيانات.
الشخص: أيُّ شخص طبيعي أو اعتباري، بما في ذلك أية جهة عامة.
الفرد: أيُّ شخص طبيعي.
مدير البيانات: الشخص الذي يقرر، بمفرده أو بالاشتراك مع الآخرين، أغراض ووسائل معالجة بيانات شخصية معينة. وفي الحالات التي تكون فيها هذه الأغراض والوسائل مقرَّرة بموجب القانون، يُعَد مديراً للبيانات الشخص المنوط به الالتزام بالقيام بالمعالجة.
معالِج البيانات: الشخص الذي يتولى معالجة البيانات لحساب مدير البيانات ونيابة عنه، ولا يشمل ذلك كل مَن يعمل لدى مدير البيانات أو معالِج البيانات.
مراقب حماية البيانات: الشخص الذي يتم اعتماده من قِبَل الهيئة وِفْقاً لحكم المادة (10) من هذا القانون.
صاحب البيانات: الفرد أو الشخص موضوع البيانات.
طرف ثالث: أيُّ شخص خلافاً لأيٍّ مما يأتي:
1- صاحب البيانات.
2- مدير البيانات.
3- معالِج البيانات.
4- مراقب حماية البيانات.
5- أيُّ شخص يعمل تحت إشراف مدير البيانات أو معالِج البيانات ومصرَّح له بمعالجة البيانات لحساب مدير البيانات أو معالِج البيانات.
متسَلِّم البيانات: أيُّ شخص يُفصَح له عن بيانات شخصية، سواء كان طرفاً ثالثاً أو غيره، ولا يشمل ذلك الشخص الذي يُفصَح له عن بيانات لمباشرة اختصاص قانوني محدَّد أو للقيام بواجب عام محدد.
الحَجْب: التأشير بأية وسيلة على البيانات المخزَّنة تمنَع أية معالجة لاحقة لها، فيما عدا تخزينها.
التسويق المباشر: أيُّ اتصال، بأية وسيلة، يتم من خلاله توجيه مادة تسويق أو دعاية إلى شخص محدَّد.
الوزير: الوزير المختص بشئون العدل أو أيُّ وزير آخر يصدر بتسميته مرسوم.
الهيئة: هيئة حماية البيانات الشخصية المنشأة بموجب نص المادة (27) من هذا القانون.
المجلس أو مجلس الإدارة: مجلس إدارة الهيئة المشكَّل وِفْقاً لنص المادة (39) من هذا القانون.
رئيس المجلس أو الرئيس: رئيس مجلس إدارة الهيئة.
الرئيس التنفيذي: الرئيس التنفيذي للهيئة المعيَّن وِفْقاً لنص المادة (43) من هذا القانون.
لجنة الطعون: اللجنة المشار إليها في البند رقم (2) من المادة (34) من هذا القانون.
لجنة التحقيق: اللجنة التي تشكَّل وِفْقاً لحكم البند (5) من المادة (47) من هذا القانون.
مادة (2)
نطاق التطبيق
1) تسري أحكام هذا القانون على المعالجات الآتية:
أ) معالجة البيانات باستخدام الوسائل الآلية استخداماً كلياً أو جزئياً.
ب) معالجة البيانات التي تشكِّل جزءاً من منظومة ملفات أو يُقصَد بها أنْ تشكِّل جزءاً من هذه المنظومة، بوسيلة غير آلية.
2) تسري أحكام هذا القانون على الأشخاص الآتي ذكرهم:
أ) كل شخص طبيعي يقيم عادة في المملكة أو له مقر عمل فيها.
ب) كل شخص اعتباري له مقر عمل في المملكة.
ج) كل شخص طبيعي أو اعتباري، لا يقيم عادة في المملكة، وليس له مقر عمل فيها، يعالِج بيانات باستخدام وسائل موجودة في المملكة، ما لم يكن الغرض من استخدام هذه الوسائل مجرد مرور البيانات من خلال المملكة فحسب.
3) على كل شخص اعتباري من المشار إليهم في البند (2/ج) من هذه المادة أنْ يعيِّن ممثلاً مفوَّضاً عنه في المملكة لمباشرة التزاماته المقرَّرة بموجب أحكام هذا القانون، وأنْ يُخطِر الهيئة فور قيامه بهذا التعيين وبأيِّ تغيير يطرأ عليه. ولا يَحُول هذا التعيين دون حق الهيئة أو الغير في اتخاذ أيِّ إجراء قانوني حيال مدير البيانات في حالة إخلاله بأيٍّ من التزاماته المشار إليها.
4) استثناءً من أحكام البند (1) من هذه المادة، لا تسري أحكام هذا القانون على ما يأتي:
أ) معالجة البيانات التي تتم من قبل أيِّ فرد لأغراض لا تتجاوز الشئون الشخصية أو العائلية.
ب) عمليات المعالجة المتعلقة بالأمن الوطني التي تتولاها وزارة الدفاع، أو وزارة الداخلية، أو الحرس الوطني أو جهاز الأمن الوطني، أو غيرها من الأجهزة الأمنية للمملكة.
5) لا تُخِل أحكام هذا القانون بمتطلبات مراعاة السرِّية اللازمة في شئون قوة دفاع البحرين.
الفصل الثاني
القواعد العامة لمشروعية المعالجة
مادة (3)
الضوابط الخاصة بجودة البيانات
يراعَى بشأن البيانات الشخصية التي تتم معالجتها ما يأتي:
1- أنْ تكون معالجتها منصفة ومشروعة.
2- أنْ تكون قد جُمِعت لغرض مشروع ومحدَّد وواضح، وألا تتم معالجتها لاحقاً، وألا يتم إجراء معالجة لاحقة لها على نحو لا يتوافق مع الغرض الذي جُمِعت من أجله، ولا تُعَدُّ معالجة غير متوافقة مع الغرض الذي جُمِعت من أجله البيانات المعالَجة اللاحقة لها التي تتم حصراً لأغراض تاريخية أو إحصائية أو للبحث العلمي، وبشرط ألا تتم لدعم اتخاذ أيِّ قرار أو إجراء بشأن فرد محدد.
3- أنْ تكون كافية وذات صلة وغير مفرطة بالنظر للغرض من جمْعِها أو الذي تمت المعالَجة اللاحقة لأجله.
4- أنْ تكون صحيحة ودقيقة، وتخضع لعمليات التحديث عندما يكون لذلك مقتضىً.
5- ألا تبقى في صورة تسمح بمعرفة صاحب البيانات بعد استنفاد الغرض من جمْعِها أو الذي تتم المعالَجة اللاحقة لأجله. وتُحفَظ البيانات التي يتم تخزينها لفترات أطول لأغراض تاريخية أو إحصائية أو للبحث العلمي في صورة مجهولة بتحويرها، وذلك بوضْعها في صورة لا تُمكِّن مِنْ نسبة هذه البيانات إلى صاحبها. ويتعيَّن إنْ تعذَّر ذلك تشفير هوية أصحابها.
مادة (4)
الاشتراطات العامة للمعالَجة المشروعة
تُحظَر معالَجة البيانات الشخصية دون موافقة صاحبها، ما لم تكن هذه المعالَجة ضرورية لأيٍّ مما يأتي:
1- تنفيذ عقد يكون صاحب البيانات طرفاً فيه.
2- اتخاذ خطوات بناءً على طلب صاحب البيانات بهدف إبرام عقد.
3- تنفيذ التزام يرتِّبه القانون، خلافاً لالتزام عقدي، أو صدور أمر من محكمة مختصة أو النيابة العامة.
4- حماية المصالح الحيوية لصاحب البيانات.
5- مباشرة المصالح المشروعة لمدير البيانات أو أيِّ طرف ثالث يُفصَح له عن البيانات، ما لم يتعارض ذلك مع الحقوق والحريات الأساسية لصاحب البيانات.
مادة (5)
الاشتراطات الخاصة بمعالجة البيانات الشخصية الحساسة
تُحظَر معالَجة البيانات الشخصية الحساسة دون موافقة صاحبها، ويُستثنَى من هذا الحظْر ما يأتي:
1) المعالَجة التي يقتضيها قيام مدير البيانات بالتزاماته ومباشرة حقوقه المقرَّرة قانوناً في مجال علاقة العمل التي تربطه بالعاملين لديه.
2) المعالجة الضرورية لحماية أيِّ إنسان إذا كان صاحب البيانات –أو الوصي أو الولي أو القَيِّم عليه – غير قادر قانوناً على إعطاء موافقته على ذلك، وبشرط الحصول على تصريح مسبق من الهيئة طبقاً للمادة (15) من هذا القانون.
3) معالجة البيانات التي أتاحها صاحبها للجمهور.
4) المعالجة الضرورية لمباشرة أيٍّ من إجراءات المطالبة بالحقوق القانونية أو الدفاع عنها، بما في ذلك ما يقتضيه التجهيز لهذا الأمر والاستعداد له.
5) المعالجة الضرورية لأغراض الطب الوقائي أو التشخيص الطبي أو تقديم الرعاية الصحية أو العلاج أو إدارة خدمات الرعاية الصحية من قِبَل مرخَّص له بمزاولة أيٍّ من المهن الطبية، أو أيِّ شخص ملزَم بحكم القانون بالمحافظة على السرِّية.
6) المعالجة التي تتم في سياق أنشطة الجمعيات بأنواعها والنقابات وغيرها من الجهات التي لا تهدف إلى تحقيق ربح، وذلك بشرط الالتزام بما يأتي:
أ) أنْ تتم المعالجة في حدود ما هو ضروري للغرض الذي أنشئت الجمعية أو النقابة أو الجهة من أجله.
ب) أنْ ترد المعالجة على بيانات تخص أعضاء تلك الجمعية أو النقابة أو الجهة أو لأفراد لهم اتصال منتظم معها بحكم طبيعة نشاطها.
ج) ألا يتم الإفصاح عن البيانات لأيِّ شخص آخر ما لم يوافق صاحب البيانات على ذلك.
7) المعالَجة التي تتم من قِبَل جهة عامة مختصة بالقدر الذي يقتضيه تنفيذ المهام المنوطة بها قانوناً.
8) معالجة بيانات تتعلق بالأصل العِرْقي أو الإثْنِي أو الديني إذا كانت ضرورية للوقوف على مدى توافر المساواة في الفرص أو المعاملة لأفراد المجتمع الذين ينحدرون من أصول عِرْقية أو إثْنِية أو دينية مختلفة، وبشرط مراعاة الضمانات المناسبة لحقوق وحريات أصحاب البيانات المقرَّرة قانوناً.
وعلى مجلس الإدارة أنْ يُصدِر قراراً بتحديد القواعد والإجراءات التي يتعيَّن على مدراء البيانات الالتزام بها بشأن المعالجة المشار إليها.
مادة (6)
معالَجة البيانات لأغراض الصحافة أو الآداب أو الفنون
لا تسري أحكام المواد (3) و(4) و(5) من هذا القانون على معالَجة البيانات الشخصية التي تتم حصراً للأغراض الصحفية أو الفنية أو الأدبية، بشرط:
أ) أن تكون البيانات صحيحة ودقيقة وتخضع لعمليات التحديث والتصحيح.
ب) توافُر تدابير تكفل عدم استخدام البيانات لأية أغراض أخرى خلافاً للأغراض الصحفية أو الفنية أو الأدبية.
ج) عدم الإخلال بالتشريعات المعمول بها بشأن تنظيم الصحافة والطباعة والنشر.
مادة (7)
معالَجة البيانات المتعلقة برفْع الدعاوى الجنائية ومباشرتها
وبالأحكام الصادرة فيها
1) تُحظَر معالجة البيانات الشخصية المتعلقة برفْع الدعاوى الجنائية ومباشرتها وبالأحكام الصادرة فيها، ويُستثنَى من هذا الحظْر ما يأتي:
أ) المعالجة التي تتم من قِبَل أية جهة عامة مختصة بالقدر الذي يقتضيه تنفيذ المهام المنوطة بها قانوناً.
ب) المعالجة التي تتم من قبل أيِّ شخص اعتباري بالقَدر الذي يقتضيه تحقيق أهدافه المقرَّرة قانوناً.
ج) المعالجة التي تتم من قبل أي شخص بالقَدر الذي تقتضيه مباشرة إجراءات التقاضي في الدعاوى المرفوعة منه أو عليه.
د) المعالجة التي تتم من قِبَل المحامين بالقَدر الذي تقتضيه مباشرة مصالح موكليهم.
ه) المعالجة التي تتم لأغراض مباشرة مهنة الصحافة أو البحث العلمي.
2) لا تُخِل الاستثناءات المشار إليها في البند (1) من هذه المادة بالالتزام المقرَّر قانوناً بشأن المحافظة على سرِّية البيانات، ويُصدِر مجلس الإدارة قراراً بتحديد الضوابط والضمانات التي تتعيَّن مراعاتها للمحافظة على سرِّية البيانات المشار إليها.
3) يجوز للنيابة العامة، والقضاء العسكري، والنيابة العسكرية، والوزارة المعنية بشئون العدل، ووزارة الداخلية دون سواهم إنشاء سجلات كاملة لقيْد جميع الدعاوى الجنائية والأحكام الصادرة فيها، وإمساكها.
مادة (8)
أمان المعالَجة
1) على مدير البيانات تطبيق التدابير الفنية والتنظيمية الكفيلة بحماية البيانات من الإتلاف غير المقصود أو غير المصرَّح به، أو من الفقْد العَرَضي، أو مما هو غير مصرَّح به من التغيير أو الإفصاح أو النفاذ أو أيٍّ من الصور الأخرى للمعالَجة. ويجب أنْ تكفل هذه التدابير توفير مستوى مناسب من الأمان بمراعاة ما وصلت إليه أحدث أساليب الحماية التقنية، والتكلفة المترتبة على ذلك، وطبيعة البيانات موضوع المعالجة، والمخاطر التي قد تنشأ من هذه المعالجة. ويجب أنْ تكون التدابير الفنية والتنظيمية مدوَّنة ومتاحاً الاطلاع عليها من ذوي الشأن ومن الهيئة ومدير البيانات ومعالِج البيانات.
2) يُصدِر مجلس الإدارة قراراً بتحديد الاشتراطات التي يتعيَّن توافُرُها في التدابير الفنية والتنظيمية المشار إليها في البند (1) من هذه المادة، ويجوز أنْ يتضمن القرار إلزام أنشطة محدَّدة بتطبيق متطلَّبات أمان خاصة عند معالجة البيانات الشخصية.
3) في الحالات التي يُكلَّف فيها معالِج البيانات بمعالَجة البيانات، يلتزم مدير البيانات بمراعاة ما يأتي:
أ) اختيار معالِج بيانات يوفِّر ضمانات كافية بشأن تطبيق التدابير الفنية والتنظيمية الواجب مراعاتها في معالجة البيانات، وعلى مدير البيانات اتخاذ الخطوات المعقولة للتَّحَقُّق من الالتزام بهذه التدابير.
ب) أنْ تتم المعالَجة وِفْقاً لعقد مكتوب يبرَم بين مدير البيانات ومعالِج البيانات يتضمن ما يأتي:
(1) ألا يباشر معالِج البيانات أية معالجة إلا وِفْقاً لتعليمات من مدير البيانات.
(2) أنْ يلتزم معالِج البيانات فيما يخص الأمان والسرِّية بذات الالتزامات المقرَّرة في شأن مدير البيانات.
مادة (9)
سرِّية المعالجة
1) يُحظَر على مدير البيانات الإفصاح عن أية بيانات شخصية إلا بموافقة صاحب هذه البيانات، أو تنفيذاً لأمر قضائي صادر من محكمة مختصة أو النيابة العامة أو قاضي التحقيق أو النيابة العسكرية.
2) يُحظَر على مدير البيانات معالجة أية بيانات شخصية بالمخالفة لأحكام هذا القانون. وفي جميع الأحوال، يُحظَر على أيِّ فرد من المتاح لهم النفاذ إلى بيانات شخصية القيام بأية معالَجة لها إلا بموافقة مدير هذه البيانات أو تنفيذاً لأمر قضائي صادر من محكمة مختصة أو قاضي التحقيق أو النيابة العامة أو النيابة العسكرية، كما يُحظَر عليهم استخدامها لمنفعتهم الخاصة أو لمنفعة الغير، ويستمر هذا الحظْر بعد انتهاء علاقة العمل أو مدة العقد.
مادة (10)
مراقب حماية البيانات
1) يتولى مراقب حماية البيانات ما يأتي:
أ) مساعدة مدير البيانات في مباشرة حقوقه والالتزام بواجباته المقرَّرة بموجب أحكام هذا القانون.
ب) التنسيق بين الهيئة ومدير البيانات بشأن قيام الأخير بتطبيق الأحكام الخاصة بمعالَجة البيانات الشخصية.
ج) التَّحَقُّق من قيام مدير البيانات بمعالجة البيانات وِفْقاً لأحكام هذا القانون، ويتعيَّن عليه إذا قامت لديه دلائل على وقوع أية مخالفة في هذا الشأن إخطار مدير البيانات بذلك فوراً لإزالة أسباب المخالَفة أو إجراء التصحيح اللازم في أقرب وقت.
د) إخطار الهيئة بالمخالَفات التي قامت لديه دلائل جدية على وقوعها ولم يبادر مدير البيانات بإزالة أسبابها أو إجراء التصحيح اللازم لها رغم مُضِي فترة تجاوز عشرة أيام على إخطاره بذلك.
ه) مسْك سجل بعمليات المعالَجة التي يتعيَّن على مدير البيانات إخطار الهيئة بها وِفْقاً لأحكام المادة (14) من هذا القانون. ويلتزم مدير البيانات بمسْك هذا السجل في حالة عدم تعيين مراقب لحماية البيانات. ويجب أنْ يشتمل هذا السجل – كحد أدنى – على البيانات التي يتعيَّن تقديمها وِفْقاً لأحكام المادة المشار إليها، وعلى مراقب حماية البيانات إخطار الهيئة بنسخة محدَّثة من هذا السجل مرة واحدة كل شهر.
و) يتولى مراقب حماية البيانات مباشرة مهامه في استقلال و حَيْدة.
2) يُنشأ لدى الهيئة سجل يسمى (سجل مراقبي حماية البيانات)، ويُشترَط لاعتماد مراقب حماية البيانات أنْ يكون مقيَّداً في هذا السجل. ويُصدِر مجلس الإدارة قراراً بتنظيم أعمال مراقبي حماية البيانات وبتحديد الشروط اللازم توافُرُها فيمن يقيَّد في السجل المشار إليه وبإجراءات القيْد ومدة سريانه وتجديده.
3) يُفرَض رسم على تقديم طلب القيد في السجل المشار إليه في البند (2) من هذه المادة، كما يُفرَض رسم سنوي في حالة الموافقة على القيد وتجديد القيد في السجل المذكور، ويصدُر بتحديد فئات الرسوم وحالات الإعفاء منها وحالات ردِّها قرار من الوزير بعد موافقة مجلس الوزراء.
4) يجوز لمدير البيانات أنْ يعيِّن مراقباً لحماية البيانات، ومع ذلك يجوز لمجلس الإدارة أنْ يُصدِر قراراً يُلزِم بموجبه فئات معينة من مدراء البيانات بأن يُعيِّنوا مراقباً لحماية البيانات. وفي جميع الأحوال، يجب على مدير البيانات إخطار الهيئة بالتعيين المشار إليه خلال ثلاثة أيام عمل من قيامه بذلك.
مادة (11)
بيانات السجلات
1) يجب أنْ تكون البيانات الشخصية المدرجة في السجلات، المتاح للجمهور الاطلاع عليها، في حدود الضرورة وللأغراض التي تنشأ من أجلها هذه السجلات.
2) يُصدِر مجلس الإدارة قراراً يحدِّد بموجبه الشروط التي يجب مراعاتها في إنشاء السجلات المشار إليها في البند (1) من هذه المادة.
الفصل الثالث
نقْل البيانات الشخصية إلى خارج المملكة
مادة (12)
نقْل البيانات الشخصية إلى بلدان وأقاليم توفِّر مستوى كافٍياً من الحماية
يُحظَر على مدير البيانات نقْل البيانات الشخصية إلى خارج المملكة في غير الحالات التالية:
1) أنْ يكون النقل إلى بلد أو إقليم مدرج في كشف تتولى الهيئة إعداده وتحديثه يتضمن أسماء البلدان والأقاليم التي تقدِّر الهيئة أنَّ لديها تشريعات أو أنظمة معمولاً بها تكفل مستوى كافياً من الحماية للبيانات الشخصية، ويُنشَر هذا الكشف في الجريدة الرسمية.
2) أنْ يكون النقل بتصريح يصدر من الهيئة في كل حالة على حدة، وذلك إذا قدَّرت أنَّ البيانات سوف يتوافر لها مستوى كافٍ من الحماية، ويكون تقدير الهيئة بمراعاة كافة الظروف المحيطة بعملية نقل البيانات، وبوجه خاص ما يأتي:
أ) طبيعة البيانات المطلوب نقْلُها، والغرض من معالجتها ومدة المعالجة.
ب) البلد أو الإقليم مصدر هذه البيانات والوجهة النهائية لها، وما يتوافر في تلك البلدان أو الأقاليم من تدابير لحماية البيانات الشخصية.
ج) الاتفاقيات الدولية والتشريعات ذات العلاقة المعمول بها لدى البلد أو الإقليم الذي سوف تُنقَل إليه البيانات.
ويجوز أنْ يكون التصريح المشار إليه مشروطاً أو لفترة زمنية محدَّدة.
مادة (13)
الاستثناءات
1) استثناءً من أحكام المادة (12) من هذا القانون، يجوز لمدير البيانات نقْل بيانات شخصية خارج المملكة إلى بلد أو إقليم لا يوفر مستوى كافياً من الحماية للبيانات في أيٍّ من الحالات التالية:
أ) إذا وافق صاحب البيانات على هذا النقل.
ب) إذا كان هذا النقل لبيانات مستخرجة من سجل تم إنشاؤه وفقاً للقانون بغرض توفير معلومات للجمهور، سواءً كان الاطلاع على هذا السجل متاحاً للكافة أو مقصوراً على ذوي المصلحة وِفْقاً لشروط معينة. وفي هذه الحالة يتعيَّن للاطلاع على هذه المعلومات استيفاء الشروط المقرَّرة للاطلاع على السجل.
ج) إذا كان هذا النقل ضرورياً لأي مما يأتي:
(1) تنفيذ عقد بين صاحب البيانات ومدير البيانات، أو لاتخاذ خطوات سابقة بناءً على طلب صاحب البيانات بهدف إبرام عقد.
(2) تنفيذ أو إبرام عقد بين مدير البيانات وطرف ثالث لمصلحة صاحب البيانات.
(3) حماية مصالح حيوية لصاحب البيانات.
(4) تنفيذ التزام يرتِّبه القانون، خلافاً لالتزام عقدي، أو صدور أمر من محكمة مختصة أو النيابة العامة، أو قاضي التحقيق، أو النيابة العسكرية.
(5) إعداد أو مباشرة مطالَبة قانونية أو الدفاع عنها.
2) مع عدم الإخلال بأحكام البند (1) من هذه المادة، يجوز للهيئة التصريح بنقْل بيانات شخصية، أو مجموعة منها، إلى بلد أو إقليم لا يكفل مستوى كافياً من الحماية وِفْقاً لمتطلبات المادة (12) من هذا القانون، إذا قدم مدير البيانات ضمانات كافية بشأن حماية الخصوصية والحقوق والحريات الأساسية للأفراد. ويجوز، بوجه خاص، أنْ تكون هذه الضمانات وِفْقاً لعقدٍ أحدُ أطرافه مدير البيانات. وعلى الهيئة أنْ تقْرُن منْح التصريح في هذه الحالة باستيفاء شروط معينة.
الفصل الرابع
الإخطارات والتصاريح
مادة (14)
إخطار الهيئة
1) على مدير البيانات إخطار الهيئة قبل بدء عملية المعالَجة
التي تتم آلياً كلياً أو جزئياً، أو لمجموعة عمليات من ذلك بقصْد تحقيق غرض واحد أو
عدة أغراض ذات صلة ببعضها.
ويعفى مدير البيانات من تقديم الإخطار المشار إليه بشأن ما يأتي:
أ) المعالَجة التي يكون الغرض الوحيد منها إمساك سجل وِفْقاً للقانون بهدف توفير معلومات للجمهور، سواء كان الاطلاع على هذا السجل متاحاً للكافة أو مقصوراً على ذوي المصلحة.
ب) معالجة البيانات التي تتم في سياق أنشطة الجمعيات بأنواعها والنقابات وغيرها من الجهات التي لا تهدف إلى تحقيق الربح.
ج) معالجة صاحب العمل لبيانات العاملين لديه في الحدود الضرورية لمباشرة مهامه والتزاماته وتنظيم شئونه ومباشرة حقوقه وحماية حقوق العاملين لديه.
د) الحالات التي يتم فيها تعيين مراقب حماية بيانات.
2) يقدَّم الإخطار المشار إليه في البند (1) من هذه المادة وِفْقاً للقواعد والإجراءات التي يصدر بتحديدها قرار من مجلس الإدارة، ويجب أنْ يتضمَّن الإخطار بوجه خاص ما يأتي:
أ) اسم مدير البيانات وعنوانه، وكذا معالِج البيانات إنْ وُجِد.
ب) الغرض من المعالجة.
ج) وصْف البيانات وبيان فئات أصحاب البيانات ومتسلِّمي هذه البيانات أو فئاتهم.
د) أيُّ نقْل للبيانات إلى بلد أو إقليم خارج المملكة يُعتَزَم القيام به.
ه) بيان يُمِّكن الهيئة من تقييم مبدئي لمدى ملاءمة التدابير المتوافرة لاستيفاء متطلبات الأمان المشار إليها في المادة (8) من هذا القانون.
3) لمجلس الإدارة أنْ يُصدِر قراراً بقصْر الالتزام المشار إليه في البند (1) من هذه المادة على تقديم إخطار مبسَّط في الحالات التي يُرجَّح فيها، بسبب طبيعة البيانات موضوع المعالجة، عدم المساس بحقوق وحريات أصحاب البيانات المقرَّرة قانوناً. ويقدَّم الإخطار المبسَّط وِفْقاً للقواعد والإجراءات التي يصدر بتحديدها القرار المشار إليه، متضمِّناً ما يأتي:
أ) الغرض من المعالَجة.
ب) البيانات محل المعالَجة أو فئات هذه البيانات.
ج) فئات أصحاب البيانات محل المعالَجة ومتسلِّمي هذه البيانات أو فئاتهم.
د) الفترة التي يجوز تخزين البيانات خلالها.
ه) المعلومات التي يتعيَّن أنْ يتضمَّنُها الإخطار.
4) للهيئة خلال عشرة أيام عمل من تاريخ تسَلُّم الإخطار المشار إليه في البندين (1) أو (3) من هذه المادة أنْ تطلُب من مدير البيانات استيفاء أيِّ نقص في بيانات الإخطار في غضون مدة لا تجاوز خمسة عشر يوماً من تاريخ الطلب، وعلى مقدِّم الطلب التوقُّف عن المعالَجة لحين استيفاء النقص بالإخطار.
5) تقيَّد في السجل المشار إليه في المادة (16) من هذا القانون الإخطارات المشار إليها في البندين (1) و (3) من هذه المادة فور تسَلُّمها. وعلى الهيئة - حال طلبِها من مدير البيانات وِفْقاً للبند (4) من هذه المادة استيفاء أيِّ نقص في بيانات الإخطار - أنْ تُصدِر قراراً مسبَّباً بشطب قيْد الإخطار غير المستوفَى من السجل، وعلى الهيئة إخطار مدير البيانات بهذا القرار فور صدوره.
6) على مدير البيانات إخطار الهيئة بأيِّ تغيير يطرأ على المعلومات التي أخطر الهيئة بها إعمالاً لحكم هذه المادة، وذلك خلال ثلاثين يوماً من تاريخ حدوث التغيير.
مادة (15)
التصريح المسبق
1) يُحظَر إجراء أيٍّ من عمليات المعالَجة التالية دون تصريح كتابي مسبق يصدر من الهيئة:
أ) المعالَجة الآلية للبيانات الشخصية الحسَّاسة، وذلك في الحالة المشار إليها في البند (2) من المادة (5) من هذا القانون.
ب) المعالَجة الآلية للبيانات القياسات الحيوية (Biometrics) التي تُستخدَم للتَّعَرُّف على الشخصية.
ج) المعالَجة الآلية للبيانات الوراثية، باستثناء المعالَجة التي تتم من قِبَل الأطباء والمتخصصين في مُنشأة طبية مرخَّصة وتكون ضرورية لأغراض الطب الوقائي أو التشخيص الطبي أو تقديم العلاج أو الرعاية الصحية.
د) المعالَجة الآلية التي تنطوي على ربْط ملفات بيانات شخصية لدى اثنين أو أكثر من مدراء البيانات تعالَج من قِبَلهم لأغراض مختلفة.
ه) المعالَجة التي تكون عبارة عن تسجيل بصري مما يُستخدَم لأغراض المراقبة.
2) يقدَّم طلب التصريح المسبق ويُبَت فيه وِفْقاً للقواعد والإجراءات التي يصدر بتحديدها قرار من مجلس الإدارة. ويجب أنْ يتضمَّن طلب التصريح ذات البيانات التي يجب أنْ يتضمَّنها الإخطار الذي يتعيَّن تقديمه وِفْقاً للمادة (14) من هذا القانون. وللهيئة خلال خمسة أيام عمل من تاريخ تسَلُّم الطلب أنْ تطلب من مدير البيانات استيفاء أيِّ نقص في بيانات الطلب، وعلى مقدِّم الطلب استيفاء النقص خلال أيام العمل الخمسة التالية، وإلا تعَيَّن على الهيئة البتُّ في الطلب بناءً على ما تضمَّنه من معلومات.
3) تمنح الهيئة التصريح في حالة استيفاء الطلب الاشتراطات التي يصدر بتحديدها قرار من مجلس الإدارة. وعلى الهيئة البتُّ في طلب التصريح وإخطار صاحب الشأن بالنتيجة خلال ثلاثين يوماً من تاريخ تقديمه، وإذا لم يتسلَّم مدير البيانات رداً من الهيئة خلال الفترة المشار إليها عُدَّ ذلك رفضاً ضمنياً للطلب.
مادة (16)
السجل
1) تُمْسِك الهيئة سجلاً يسمى (سجل الإخطارات والتصاريح) تقيِّد فيه ما يأتي:
أ) الإخطارات المشار إليها في البند (1) من المادة (14) من هذا القانون، متضمِّنة جميع البيانات المنصوص عليها في البنود من (1-أ) إلى (1-د) من ذات المادة.
ب) الإخطارات التي تخضع لإجراءات مبسَّطة وِفْقاً لنص البند (3) من المادة (14) من هذا القانون، متضمِّنة جميع البيانات المنصوص عليها في البنود من (3-أ) إلى (3-د) من ذات المادة.
ج) ما قد يصدر عن الهيئة رداً على الإخطارات المشار إليها في البندين (1-أ) و (1-ب) من هذه المادة.
د) الإخطارات التي ترد إلى الهيئة من مدراء البيانات بالتغييرات التي تطرأ على بيانات الإخطارات المشار إليها في البندين (1-أ) و (1-ب) من هذه المادة.
ه) طلبات الحصول على التصريح المسبق التي يتم تقديمها وِفْقاً لأحكام المادة (15) من هذا القانون، وجميع البيانات التي تتضمَّنها والقرارات الصادرة من الهيئة بشأنها.
و) أية بيانات أخرى تتعلق بالإخطارات والتصاريح ترى الهيئة قيْدها.
2) على الهيئة أنْ تعمل على تحديث بيانات السجل بشكل مستمر على نحو يعكس أيَّ تغيير يطرأ على هذه البيانات.
3) لكل شخص أنْ يطلب من الهيئة على الأنموذج المعد لذلك، دون مقابل، الاطلاع على سجل الإخطارات والتصاريح خلال أوقات الدوام الرسمي وفي حضور الموظف المختص بالهيئة.
4) لكل شخص أنْ يطلب من الهيئة، على الأنموذج المعد لذلك، بعد سداد الرسم المقرَّر، الحصول على مستخرَجات من سجل الإخطارات والتصاريح، أو شهادة سلبية بعدم إدراج أمر معيَّن في هذا السجل، ويصدر بتحديد الرسم المذكور قرار من الوزير بعد موافقة مجلس الوزراء.
الفصل الخامس
حقوق صاحب البيانات
مادة (17)
المعلومات الواجب إحاطة صاحب البيانات بها
1) في الحالات التي يتم فيها الحصول على البيانات من صاحبها مباشرة، على مدير البيانات إحاطته عند تسجيل هذه البيانات بما يأتي:
أ) اسم مدير البيانات كاملاً ومجال نشاطه أو مهنته، بحسب الأحوال، وعنوانه.
ب) الأغراض التي من أجلها يُعتزَم معالجة البيانات.
ج) أية معلومات ضرورية أخرى، بحسب ظروف كل حالة، يكون من شأنها أنْ تكفل جعْل المعالَجة منصفة بالنسبة لصاحب البيانات، ومن ذلك ما يأتي:
(1) أسماء متسَلِّمي البيانات أو فئاتهم.
(2) بيان ما إذا كانت الإجابة على أية أسئلة توجَّه إلى صاحب البيانات إجبارية أو اختيارية، وعند الاقتضاء توضيح العواقب التي تترتب على الامتناع عن الإجابة.
(3) بيان حق صاحب البيانات في أن يتم إخطاره، إذا ما طلب ذلك، بالبيانات الخاصة به كاملة وبحقه في أنْ يتم تصحيحها.
(4) بيان ما إذا كان سيتم استخدام البيانات لأغراض التسويق المباشر.
(5) أية معلومات أخرى تلزم صاحب البيانات لمباشرة حقوقه المقرَّرة بموجب أحكام هذا القانون.
2) في حالة الحصول على البيانات من غير صاحبها، على مدير البيانات إحاطة صاحب البيانات خلال خمسة أيام من البدء في تسجيل هذه البيانات بما يأتي:
أ) المعلومات المشار إليها في البند (1) من هذه المادة.
ب) الأغراض التي تم من أجلها جمْع البيانات.
ج) أية معلومات ضرورية أخرى، بحسب ظروف كل حالة، يكون من شأنها جعْل المعالَجة منصفة بالنسبة لصاحب البيانات، ومن ذلك ما يأتي:
(1) المعلومات المشار اليها في البند (1/ج) من هذه المادة.
(2) فئات البيانات.
(3) مصدر البيانات، وذلك باستثناء الحالات التي يقتضي واجب المحافظة على أسرار المهنة المقرَّر قانوناً عدم الإفصاح عن المصدر.
3) لا يسري حكم البند (2) من هذه المادة في الحالتين التاليتين:
أ) إذا كانت معالَجة البيانات لأغراض تاريخية أو إحصائية أو للبحث العلمي، وكانت إحاطة صاحب البيانات بالبيانات المشار إليها متعذرة أو تتَطَلَّب بذل جهود مرهقة غير عادية. وعلى مجلس الإدارة أنْ يُصدِر قراراً يحدِّد بموجبه شروط توافُر هذه الحالات، وأوضاعها.
ب) إذا كانت معالَجة البيانات تتم لغرض تنفيذ التزام يرتِّبه القانون، خلافاً لالتزام عقدي، أو أمر من محكمة مختصة أو النيابة العامة أو قاضي التحقيق، أو النيابة العسكرية.
4) لا يترتب على عدم مباشرة صاحب البيانات لحقه المقرَّر بموجب حكم أيٍّ من البند (1) من هذه المادة أو المادة (20) من هذا القانون سقوط لأيٍّ من الحقوق المقرَّرة لمصلحته وِفْقاً لأحكام هذا الفصل.
مادة (18)
طلب صاحب البيانات إخطاره بمعالجة بيانات شخصية خاصة به
1) على مدير البيانات، بناءً على طلب من صاحب البيانات مشفوع بما يثبت هويته، إخطار مقدِّم الطلب دون مقابل خلال ميعاد أقصاه خمسة عشر يوم عمل من تاريخ الطلب، عما إذا كان مدير البيانات يعالِج بيانات شخصية خاصة بصاحب الطلب، وفي حالة وجود معالَجة من أيِّ نوع لهذه البيانات يلتزم مدير البيانات بإخطار صاحب البيانات في صورة مفهومة بما يأتي:
أ) البيانات موضوع المعالَجة، كاملة.
ب) أية معلومات تتوافر لدى مدير البيانات أو متاحة له عن مصدر البيانات، وذلك باستثناء الحالات التي يفرِض فيها القانون واجب المحافظة على سرِّية المصدر.
ج) الغرض من معالَجة البيانات.
د) أسماء متسَلِّمي البيانات أو فئاتهم.
ه) في الحالة التي يُعتزَم فيها اتخاذ قرار ما، بناءً على هذه البيانات دون غيرها، على نحو يمس مصلحة شخصية ومباشرة لصاحب البيانات، يتعيَّن بيان الطريقة التي سوف تُستخدَم في هذا الشأن بأسلوب واضح للشخص العادي ودون المساس بأية حقوق مِلْكية فكرية أو أسرار تجارية تتعلق بهذه الطريقة.
2) لمدير البيانات خلال فترة لا تجاوِز عشرة أيام من تسَلُّمه طلباً تم تقديمه استناداً للبند (1) من هذه المادة أنْ يُخطِر مقدِّم الطلب باستيفاء أيِّ نقص في طلبه.
3) لمدير البيانات عدم قبول الطلب المشار إليه في البند (1) من هذه المادة، إذا لم يكن مستوفَياً، بشرط الالتزام بمتطلبات البند (2) من هذه المادة وفوات مدة الإعذار. وله رفْضُه إذا تضمَّن تعسُّفاً لاستعمال صاحب البيانات لحقه في المعرفة. وعلى مدير البيانات في هذه الحالة إخطار مقدِّم الطلب خلال ميعاد أقصاه خمسة عشر يوم عمل من تاريخ تسَلُّم طلبه بعدم قبول الطلب أو رفْضِه، بحسب الأحوال، وأسباب ذلك.
4) في حالة رفْض الطلب المشار إلية في البند (1)، أو انقضاء المدة المحدَّدة للاستجابة له دون أنْ يصل إلى صاحب البيانات أيُّ إخطار بما تم بشأن طلبه، يكون لصاحب البيانات تقديم شكوى إلى الهيئة ضد مدير البيانات.
مادة (19)
إخطار صاحب البيانات بأن له الحق في الاعتراض على التسويق المباشر
على مدير البيانات في الحالات التي يتوقع فيها الاستخدام لأغراض التسويق المباشر لبيانات شخصية يحتفظ بها، بما في ذلك أية بيانات شخصية تتعيَّن إتاحتها للجمهور بموجب القانون، إخطار صاحب البيانات بأن له الحلق في الاعتراض لديه، ودون مقابل، على هذه المعالجة.
مادة (20)
الحق في الاعتراض على المعالجة لأغراض التسويق المباشر
1) على مدير البيانات، بعد مُضِي فترة لا تجاوِز عشرة أيام عمل من تاريخ تسَلُّمه طلباً من صاحب البيانات مشفوعاً بما يثبت هويته، عدم البدء في المعالَجة التي تتم لأغراض التسويق المباشر لأية بيانات شخصية خاصة بمقدِّم الطلب، أو التوقف عن هذه المعالجة.
2) على مدير البيانات إخطار صاحب البيانات، دون مقابل، خلال عشرة أيام عمل من تاريخ تسَلُّم طلبه بأيٍّ مما يأتي:
أ) ما إذا كان قد استجاب للطلب.
ب) ما إذا كان قد استجاب جزئياً للطلب مع بيان السبب ومدى الاستجابة.
ج) رفْض الطلب وسبب ذلك.
وفي حالة عدم قبول صاحب البيانات بما أخطره به مدير البيانات بخصوص ما تم بشأن الطلب، أو انقضاء المدة المشار إليها دون أنْ يصل إلى صاحب البيانات أيُّ إخطار بما تم بشأن طلبه، يكون لصاحب البيانات تقديم شكوى إلى الهيئة ضد مدير البيانات.
مادة (21)
الحق في الاعتراض على المعالَجة التي تُلحِق بصاحب البيانات أو غيره
ضرراً مادياً أو معنوياً
1) على مدير البيانات، بعد مُضِي فترة لا تجاوِز عشرة أيام عمل من تاريخ تسَلُّمه طلباً من صاحب البيانات مشفوعاً بأسباب الطلب وأدلته وبما يثبت هويته، عدم البدء في معالَجة أية بيانات شخصية خاصة بمقدِّم الطلب أو التوقف عن معالجتها كلياً أو لغرض أو على نحو معيَّن، وذلك في أيٍّ من الحالتين الآتيتين:
أ) إذا ما كانت المعالجة لذلك الغرض أو على ذلك النحو تُلحِق بصاحب البيانات أو غيره ضرراً مادياً أو معنوياً غير يسير وغير مبرَّر.
ب) إذا ما قامت أسباب معقولة تترجَّح نتيجة لها أنْ تُلحِق المعالَجة لذلك الغرض أو على ذلك النحو بصاحب البيانات أو غيره ضرراً مادياً أو معنوياً غير يسير وغير مبرَّر.
2) لا يسري حكم البند (1) من هذه المادة إذا ما كان صاحب البيانات قد وافق على المعالجة، أو في حالة استيفاء إحدى الحالات المنصوص عليها في البنود من (1) إلى (4) من المادة (4) من هذا القانون، وفي أية حالات أخرى يصدر بتحديدها قرار من مجلس الإدارة.
3) تسري أحكام البند (2) من المادة (20) على أيِّ طلب يقدَّم وِفْقاً لأحكام هذه المادة.
مادة (22)
الحق في الاعتراض على القرارات التي تتم بناءً على المعالَجة الآلية
1) في الحالات التي يتم فيها اتخاذ قرار استناداً فقط لمعالَجة آلية لبيانات شخصية لتقييم صاحب بيانات من ناحية أدائه في العمل أو مركزه المالي أو مدى كفاءته للاقتراض أو سلوكه أو مدى جدارته بالثقة، فإن لصاحب البيانات أن يطلب اتِّباع أسلوب آخر لا يعتمد فقط على المعالَجة الآلية، وعلى متخذ القرار إجابته إلى طلبه دون مقابل. ويُصدِر مجلس الإدارة قراراً بتحديد إجراءات تقديم الطلب والبتِّ فيه.
2) لا يسري الحكم المقرَّر لصالح صاحب البيانات وِفْقاً للبند (1) من هذه المادة في الحالات التي يُتَّخَذ فيها القرار المشار إليه في سياق إبرام أو تنفيذ عقد مع صاحب البيانات بشرط اتخاذ جميع التدابير الكفيلة بضمان حقوقه، ومنها إتاحة الفرصة له لسماع وجهة نظره.
مادة (23)
الحق في المطالبة بالتصحيح والحَجْب والمسح
1) يجوز لكل صاحب بيانات أنْ يتقدم إلى مدير البيانات بطلب، مشفوع بما يثبت هويته، لتصحيح أو حَجْب أو مسح البيانات الشخصية الخاصة به بحسب الأحوال، إذا كانت معالجتها تتم بالمخالفة لأحكام القانون، وعلى الأخص إذا كانت البيانات غير صحيحة أو ناقصة أو غير محدَّثة، أو إذا كانت معالجتها غير مشروعة. وعلى مدير البيانات، ما لم يكن لديه مسوِّغ مقبول قانوناً، الاستجابة للطلب دون مقابل، وعلى أنْ يكون ذلك خلال عشرة أيام عمل من تاريخ تسَلُّم الطلب.
2) لا يسري حكم البند (1) من هذه المادة على أيِّ سجل متاح للجمهور الاطلاع عليه، إذا تطَلَّب القانون المنشئ للسجل إجراءات معينة للتصحيح أو الحَجْب أو المسح.
3) لا تجوز معالجة البيانات التي يتم حَجْبها استناداً لحكم البند (1) من هذه المادة، إلا بموافقة صاحب البيانات أو لغرض الإثبات أو لحماية حقوق طرف ثالث.
4) تسري أحكام البند (2) من المادة (20) من هذا القانون على أيِّ طلب يقدَّم وِفْقاً لأحكام هذه المادة.
5) على مدير البيانات، خلال خمسة عشر يوماً من تاريخ استجابته -كلياً أو جزئياً - لطلب قُدِّم إليه استناداً لحكم البند (1) من هذه المادة، إخطار أيِّ طرف ثالث أفصح له عن تلك البيانات عن التصحيح أو المسح أو الحَجْب الذي تم نتيجة الطلب المشار إليه، مالم يكن ذلك متعذَّراً أو لا يمكن تحقيقه بحسب الأحوال.
مادة (24)
موافقة صاحب البيانات
1) يشترَط للاعتداد بموافقة صاحب البيانات في الحالات المشار إليها في هذا القانون ما يأتي:
أ) أنْ تكون صادرة عن شخص كامل الأهلية.
ب) أن تكونْ مكتوبة وصريحة وواضحة ومحدَّدة بمعالجة بيانات معينة.
ج) أن تكون صادرة بناءً على إرادته الحرة بعد إحاطته تماماً بغرض أو أغراض معالَجة البيانات، وإحاطته، عند الاقتضاء، بالعواقب التي تترتب على عدم موافقته.
2) إذا كان صاحب البيانات ناقص الأهلية أو عديمها، فيُعتد في هذه الحالة بموافقة الولي أو الوصي أو القيِّم في الحدود التي رسمها القانون، ووِفْقاً للشروط المشار إليها في البند (1/ب،ج) من هذه المادة.
3) لصاحب البيانات، بموجب إخطار يُصدِره لمدير البيانات، أن يسحب في أيِّ وقت موافقته على معالجة بياناته الشخصية. ويُصدِر مجلس الإدارة قراراً يحدد بموجبه إجراءات تقديم طلب السَّحْب والبتِّ فيه من قِبَل مدير البيانات.
مادة (25)
تقديم الشكوى
لكل صاحب مصلحة أو صفة أنْ يتقدم إلى الهيئة بشكوى، إذا كان لديه ما يحمله على الاعتقاد بوقوع أية مخالفة لأحكام هذا القانون أو بأن شخصاً ما يقوم بمعالجة بيانات شخصية بالمخالَفة لأحكامه.
ويسري بشأن كافة الشكاوى، التي يجوز تقديمها وِفْقاً لأحكام هذا القانون، قرار يصدره مجلس الإدارة يحدِّد بموجبه الإجراءات والقواعد الخاصة بتقديم هذه الشكاوى والبتِّ فيها.
مادة (26)
تقديم الطلبات والإخطارات والاعتراضات
والشكاوى وتبادل المراسلات بشأنها
مع مراعاة أحكام المرسوم بقانون رقم (28) لسنة 2002 بشأن المعاملات الإلكترونية، يجوز تقديم الطلبات والإخطارات والاعتراضات والشكاوى، وتبادل المراسلات بشأنها، باستخدام أية وسيلة إلكترونية من الوسائل التي يصدر بتحديدها قرار من مجلس الإدارة.
الباب الثاني
هيئة حماية البيانات
الفصل الأول
أحكام عامة
مادة (27)
إنشاء الهيئة وشعارها
1) تُنشأ هيئة عامة تسمى (هيئة حماية البيانات الشخصية)، تكون لها الشخصية الاعتبارية وتتمتع بالاستقلال المالي والإداري، وتخضع لرقابة الوزير.
2) يصدر مرسوم بتحديد الجهة الإدارية التي تتولى المهام والصلاحيات المقرَّرة للهيئة بموجب أحكام هذا القانون، وذلك إلى حين رصْد الاعتماد المالي للهيئة في الميزانية العامة للدولة، وصدور مرسوم بتشكيل مجلس الإدارة، ويحدِّد ذلك المرسوم مَن يتولى بالجهة الإدارية المشار إليها المهام والصلاحيات المقرَّرة بموجب هذا القانون لكل من مجلس الإدارة ورئيس المجلس والرئيس التنفيذي.
3) يكون للهيئة شعار يصدر بتحديد شكله وبيان أوجه استعمالاته قرار من مجلس الإدارة، وللهيئة حقٌّ استئثاريٌّ في استعمال شعارها ومنْع الغير من استعماله أو استعمال أيِّ رمز أو شارة مماثلة أو مشابهة له.
مادة (28)
رقابة الوزير على أعمال الهيئة
1) على الهيئة أنْ تعرِض على الوزير تقارير دورية عن نشاطها وسير العمل بها، تتضمن بوجه خاص ما تم إنجازه، وتحدِّد معوِّقات الأداء، إنْ وُجِدت، وأسبابها وما تم اعتماده من حلول لتفاديها. وللوزير أنْ يطلب من الهيئة تزويده بأية بيانات أو معلومات أو مستندات أو محاضر أو سجلات أو تقارير بغرض تمكينه من القيام بالرقابة على أعمال الهيئة.
2) مع عدم الإخلال بما تتمتع به الهيئة من استقلال في مباشرة مهامها وصلاحياتها وِفْقاً لأحكام هذا القانون، يتولى الوزير متابعة مدى التزام الهيئة بأحكام هذا القانون وبسياسة الدولة في مجال عمل الهيئة، ومدى قيامها بمباشرة مهامها بكفاءة وفاعلية في حدود الاعتمادات المالية المتاحة لها.
3) إذا تبيَّن للوزير وجود ما يتعارض من أعمال الهيئة مع أحكام القانون أو سياسة الدولة في مجال عمل الهيئة، أو عدم قيامها بمهامها بكفاءة وفاعلية، كان له الاعتراض على ذلك وإخطار مجلس الإدارة بما يراه في هذا الشأن، فإذا أصرَّ المجلس على رأيه عُرِض الأمر على مجلس الوزراء لحسْم الخلاف بقرار يُصدِره خلال ثلاثين يوماً على الأكثر من تاريخ عرْض الأمر عليه من قِبَل الوزير.
مادة (29)
ميزانية الهيئة ومواردها المالية
1) تكون للهيئة ميزانية مستقلة، وتبدأ السنة المالية للهيئة ببداية السنة المالية للدولة وتنتهي بنهايتها.
2) تتكون الموارد المالية للهيئة مما يأتي:
أ) الاعتمادات المخصَّصة لها في الميزانية العامة للدولة.
ب) الهبات والإعانات، بما لا يتعارض مع أهداف الهيئة، وبشرط الموافقة المسبقة لمجلس الوزراء.
ج) حصيلة الرسوم المشار إليها في البند (3) من المادة (10)، والبند (4) من المادة (16)، والبند (1) من المادة (34) من هذا القانون.
د) حصيلة الغرامات المشار إليها في البندين (1/ب) و (1/ج) من المادة (55) من هذا القانون.
ه) أية مبالغ أخرى تُحَصِّلها الهيئة بمناسبة ممارسة أنشطتها المتصلة بأهدافها.
مادة (30)
مهام الهيئة وصلاحياتها
تتولى الهيئة مباشرة كافة المهام والصلاحيات اللازمة لحماية البيانات الشخصية، ولها في سبيل ذلك القيام بوجه خاص بما يلي:
1) تعريف مدراء البيانات والجمهور بالحقوق والواجبات المقرَّرة بموجب أحكام هذا القانون.
2) مراقبة مدى الالتزام بأحكام هذا القانون.
3) الرقابة والتفتيش على أعمال مدراء البيانات المتعلقة بمعالجة البيانات الشخصية للتَّحَقُّق من التزامهم بأحكام هذا القانون، وتشجيعهم على وضع الأنظمة الكفيلة بحماية تلك البيانات على نحو يتفق وأحكام هذا القانون.
4) تَسَلُّم الإخطارات والنظر فيها وِفْقاً لحكم المادة (14) من هذا القانون.
5) منْح التصاريح المسبقة وِفْقاً لحكم المادة (15) من هذا القانون.
6) اعتماد مراقبي حماية البيانات وِفْقاً لأحكام المادة (10) من هذا القانون.
7) الرقابة والتفتيش على أعمال مراقبي حماية البيانات للتَّحَقُّق من التزامهم بأحكام هذا القانون.
8) تلقِّي البلاغات والشكاوى المتعلقة بمخالفة أحكام هذا القانون وفحصها والوقوف على مدى جديتها.
9) التحقيق في البلاغات والشكاوى الجدية المتعلقة بمخالفة أحكام هذا القانون، وفي المخالفات التي تكتشفها بنفسها أو تحال إليها من الوزير، والتصرف في التحقيق، وذلك كله وِفْقاً لأحكام الفصل الأول من الباب الثالث من هذا القانون.
10) تنظيم دورات وبرامج تدريبية وتثقيفية بهدف التوعية بأحكام هذا القانون، ونشر ثقافة حماية البيانات الشخصية، وإجراء البحوث والدراسات ودعمها في هذا المجال، والعمل على الاستفادة من نتائجها.
11) دراسة التشريعات ذات الصلة بحماية البيانات الشخصية والتوصية بتعديلها بما يتفق مع المعايير المتعارَف عليها دولياً في هذا الشأن.
12) إبداء الرأي في مشروعات القوانين ذات العلاقة بحماية البيانات الشخصية.
13) تمثيل المملكة في المؤتمرات الدولية، باعتبارها الجهة المختصة بحماية البيانات الشخصية.
14) التعاون مع الهيئات النظيرة بالنسبة للأمور ذات الاهتمام المشترك.
15) القيام بالمهام والصلاحيات الأخرى المنصوص عليها في هذا القانون.
مادة (31)
ممارسة المهام والصلاحيات وإجراء المشاورات
على الهيئة ممارسة مهامها وصلاحياتها بكفاءة وفاعلية وشفافية ودون تمييز وعلى نحو مناسب، وبما يتسق مع السياسة العامة للدولة فيما يخص مجال عملها.
مادة (32)
تَعارُض المصالح
1) على عضو مجلس الإدارة لدى نظر المجلس لأيِّ موضوع يكون لهذا العضو فيه مصلحة شخصية مباشرة أو غير مباشرة تتعارض مع مقتضيات منصبه، أنْ يُفْصِح عن ذلك كتابة حال علمه بعزْم المجلس نظر هذا الموضوع، ولا يجوز لهذا العضو حضور مناقشات المجلس بشأن ذلك الموضوع أو التصويت عليه.
2) يُحظَر أنْ يكون للرئيس التنفيذي أو لأيٍّ من موظفي
الهيئة مصلحة مباشرة أو غير مباشرة في مجال عمل الهيئة تتعارض مع مقتضيات الوظيفة،
وعلى كل منهم الإبلاغ كتابة فوراً عن أية مصلحة تنشأ له في هذا الشأن خلال فترة شغْل
الوظيفة لدى الهيئة.
ويكون إبلاغ الرئيس التنفيذي لمجلس الإدارة، وما عداه من موظفي الهيئة فيبلغ الرئيس
التنفيذي.
3) تمسك الهيئة سجلاً يسمى (سجل المصالح المتعارضة) تقيَّد فيه أية مصلحة من المصالح المشار إليها في الفقرتين (1) و(2) من هذه المادة، وذلك ببيان اسم الشخص المعنِي ومنصبه أو وظيفته وتفاصيل تلك المصلحة، وما يكون قد صدر عن الهيئة من قرارات أو اتَّخذته من إجراءات بشأن موضوعها.
ويكون الاطلاع على سجل المصالح المتعارضة والحصول على مستخرجات منه أو شهادة سلبية بعدم إدراج أمر معيَّن فيه وِفْقاً للأحكام المنصوص عليها في البندين (3) و(4) من المادة (16) من هذا القانون.
مادة (33)
التقارير السنوية للهيئة
1) تُعِد الهيئة تقريراً سنوياً يعتمده مجلس الإدارة عن نشاطها وسير العمل بها خلال السنة المالية السابقة، يتضمن بوجه خاص ما تم إنجازه وما اعترض الهيئة من معوقات الأداء، إنْ وُجِدت، وما تم اعتماده من حلول لتفاديها، وأية مقترحات تراها الهيئة كفيلة بتعزيز الحفاظ على حماية البيانات الشخصية، وأية أمور أخرى ترى الهيئة أو الوزير إدراجها في التقرير السنوي.
2) يُنشَر التقرير السنوي كاملاً مشفوعاً بنسخة من الحساب الختامي المدقَّق للهيئة عن ذات السنة المالية، خلال أربعة أشهر على الأكثر من انتهاء السنة المالية، بوسيلة يحدِّدها مجلس الإدارة تكفل أنْ يكون الاطلاع عليه متاحاً للكافة. ويُنشَر ملخص التقرير السنوي وملخص الحساب الختامي المشار إليهما، فور اعتمادهما من مجلس الإدارة، في الجريدة الرسمية وجريدتين يوميتين محليَّتين على الأقل تصدر إحداهما باللغة العربية والأخرى باللغة الإنجليزية.
مادة (34)
الطعن في قرارات الهيئة
1) لكل ذي شأن، بعد سداد الرسم المقرَّر، الطعن في أيِّ قرار يصدر عن الهيئة استناداً لأحكام هذا القانون، وذلك خلال ثلاثين يوماً من تاريخ علمه بالقرار.
2) تُنشأ في الهيئة لجنة قضائية (تسمى لجنة الطعون)،
تختص بالفصل في الطعون المقدَّمة إليها استناداً لحكم البند (1) من هذه المادة، ويصدر
بتشكيلها قرار من الوزير كل ثلاث سنوات، وتتألف من ثلاثة قضاة من محكمة الاستئناف العليا
المدنية يندبهم المجلس الأعلى للقضاء بناءً على طلب الوزير، وأحد المتخصصين في مجال
تقنية المعلومات، ويتولى أقدم القضاة رئاسة اللجنة.
ويحلف عضو اللجنة من غير القضاة أمام الوزير، اليمين الآتية: "أقسم بالله العظيم
أنْ أؤدي عملي بالأمانة والصدق، وأنْ أحترم قوانين المملكة ونظمَها".
ويشترك عضو اللجنة من غير القضاة في مناقشة الطعن دون أنْ يكون له صوت معدود في قراراتها.
ويحضر مع اللجنة في الجلسات، وفي جميع إجراءات الإثبات، كاتب من بين موظفي الهيئة،
يتولى تحرير المحاضر اللازمة، ويقوم بالتوقيع عليها مع رئيس اللجنة. وتُحفَظ المحاضر
مع باقي الأوراق بمعرفة الكاتب.
3) للجنة الطعون كافة الصلاحيات المقرَّرة لمحكمة الاستئناف العليا المدنية في نطاق اختصاصها.
4) تُصدِر لجنة الطعون قراراً مسبَّباً في الطعن بأغلبية الآراء، فإذا لم تتوافر الأغلبية وتشعَّبت الآراء لأكثر من رأيين وجَب ندْب قاض آخر لترجيح أحد الآراء، ويكون الندب وِفْقاً لحكم البند (2) من هذه المادة. وتوضع الصيغة التنفيذية من قسم كُتَّاب محكمة الاستئناف على هذا القرار، ويُعتبَر - بعد وضع هذه الصيغة عليه - بمثابة الحكم الصادر عن محكمة الاستئناف العليا المدنية. ويختص قاضي التنفيذ بكل ما يتعلق بتنفيذ هذا القرار وِفْقاً لأحكام قانون المرافعات المدنية والتجارية. ويجوز الطعن في قرار لجنة الطعون المُنهِي للخصومة كلها أمام محكمة التمييز، طبقاً للإجراءات المقرَّرة أمامها في هذا الشأن.
5) تسري القواعد المقرَّرة في قانون المرافعات المدنية والتجارية الصادر بالمرسوم بقانون رقم (12) لسنة 1971، بما لا يتعارض مع طبيعة عمل اللجنة وأحكام هذه المادة، على نظام عمل اللجنة وتحديد إجراءات الطعن أمامها ونظره من قِبَلها وكيفية إخطار ذوي الشأن بقراراتها. وتصدر بتفاصيل ذلك وبقواعد تحديد مكافأة عضو اللجنة من غير القضاة لائحة من الوزير المختص بشئون العدل بعد أخْذ رأي الهيئة.
6) تسري بشأن الرسوم على الطعون التي تقدَّم إلى لجنة الطعون، وقواعد تقدير هذه الرسوم والإعفاء منها وتأجيلها ذات الأحكام المقرَّرة في قانون الرسوم القضائية بشأن الدعاوى التي تُرفع أمام المحاكم.
مادة (35)
موظفو الهيئة
1) يعيَّن في الهيئة عدد كافٍ من الموظفين من ذوي الخبرة والاختصاص في كافة مجالات عمل الهيئة، ويُلحق بهم عدد كافٍ من الموظفين الإداريين وغيرهم من ذوي الوظائف الاعتيادية.
2) فيما لم يرد بشأنه نص خاص في لائحة شئون الموظفين بالهيئة، تسري على موظفي الهيئة أحكام قانون الخدمة المدنية الصادر بالمرسوم بقانون رقم (48) لسنة 2010، كما تسري عليهم أحكام القانون رقم (13) لسنة 1975 بشأن تنظيم معاشات ومكافآت التقاعد لموظفي الحكومة.
مادة (36)
التفتيش
1) للمفتشين الذين يندبهم الرئيس التنفيذي من بين موظفي الهيئة أو من غيرهم للقيام بأعمال التفتيش للتَّحَقُّق من تنفيذ أحكام هذا القانون السلطات الآتية:
أ) دخول الأماكن ذات الصلة باختصاص الهيئة لمعاينتها وتفتيشها والاطلاع على الملفات والسجلات والدفاتر والمستندات والبيانات الموجودة بها والحصول على نسخ منها.
ب) سماع أقوال كل مَن يُشتبَه أن له صلة بموضوع التحقيق من العاملين في الأماكن المشار إليها في البند (1/أ) من هذه المادة.
2) للمفتشين الذين يصدر بتحديدهم قرار من الوزير المختص بشئون العدل بالاتفاق مع الوزير، صفة مأموري الضَّبْط القضائي بالنسبة للجرائم المنصوص عليها في هذا القانون والتي تقع في دوائر اختصاصهم وتكون متعلقة بأعمال وظائفهم.
3) لا يجوز للمفتشين المشار إليهم في أيٍّ من البندين (1) و(2) من هذه المادة دخول الأماكن المخصَّصة للسُّكْنى دون الحصول على تصريح بذلك من النيابة العامة، أو قاضي التحقيق بحسب الأحوال.
مادة (37)
الحفاظ على سرية المعلومات والمستندات
1) يُحظَر على الهيئة والعاملين لديها الإفصاح عن أية معلومات أو مستندات يتم تقديمها لأغراض هذا القانون إلا بموافقة صريحة صادرة مِمَّن تتعلق به هذه المعلومات أو المستندات أو مِمَّن يُمثله قانوناً بحسب الأحوال.
2) لا يسري حكم البند (1) من هذه المادة على ما يأتي:
أ) المعلومات أو المستندات التي كانت متاحة للجمهور وقت الإفصاح عنها.
ب) الكشف عن المعلومات والمستندات في صورة ملخصة أو على شكل معلومات مجمعة بما لا يسمح بربْطها بشخص معين.
3) استثناءً من حكم البند (1) من هذه المادة، يجوز للهيئة الإفصاح عن المعلومات والمستندات المشار إليها في أيٍّ من الحالات الآتية:
أ) لتمكين أيِّ شخص ينوب عن الهيئة في تأدية مهمة وِفْقاً لأحكام هذا القانون، بشرط التزامه بالحِفَاظ على سرِّية المعلومات والمستندات التي يتسَلَّمُها أو يطلع عليها.
ب) إلى أي شخص من ذوي الخبرة والاختصاص ممن ترى الهيئة أخْذ مشورته، على أن يلتزم بالحِفَاظ على سرِّية المعلومات والمستندات التي يتسَلَّمها أو يطَّلع عليها.
ج) في إطار التعاون مع الهيئات النظيرة في الدول الأخرى بالنسبة للأمور ذات الاهتمام المشترك وِفْقاً لحكم البند (14) من المادة (30) من هذا القانون.
د) تنفيذاً لأمر قضائي صادر من محكمة مختصة أو قاضي التحقيق أو النيابة العامة أو النيابة العسكرية.
ه) تنفيذاً لأحكام القانون أو الاتفاقيات الدولية التي تكون المملكة طرفاً فيها.
مادة (38)
إخطار مصرف البحرين المركزي
على الرئيس التنفيذي إخطار محافظ مصرف البحرين المركزي بأيِّ تفتيش تعتزم الهيئة القيام به وِفْقاً لأحكام هذا القانون على أعمال المؤسسات المالية الخاضعة لرقابة مصرف البحرين المركزي. وللمحافظ أنْ يندب مَن يراه من موظفي المصرف لحضور عملية التفتيش وإثبات ملاحظاته.
الفصل الثاني
مجلس الإدارة
مادة (39)
التشكيل
1) يكون للهيئة مجلس إدارة يشكَّل، بموجب مرسوم، من سبعة أعضاء من بينهم رئيس المجلس على النحو التالي:
أ) عضو يرشِّحه مجلس الوزراء.
ب) عضو ترشِّحه جامعة البحرين من بين أعضاء هيئة التدريس بدرجة لا تقل عن أستاذ مشارك في تخصُّص مناسب لمجال عمل الهيئة.
ج) عضو ترشِّحه هيئة تنظيم الاتصالات من بين شاغلي الوظائف العليا بها.
د) عضو يرشِّحه مصرف البحرين المركزي من بين شاغلي الوظائف العليا به.
ه) عضو ترشِّحه غرفة تجارة وصناعة البحرين.
و) عضو ترشِّحه الجهة التي يقدِّر الوزير، بعد التشاور مع محافظ مصرف البحرين المركزي، بأنها الأوسع تمثيلاً لأصحاب الأعمال في قطاع المؤسسات المالية.
ز) عضو ترشِّحه الجهة التي يقدِّر الوزير أنها الأوسع تمثيلاً للمختصين في مجال تقنية المعلومات.
2) إذا لم تبادر أيٌّ من الجهات المشار إليها في البنود الفرعية (هـ) و(و) و(ز) من البند (1) من هذه المادة إلى ترشيح مَن يمثلها خلال ثلاثين يوماً من تاريخ إخطارها بترشيح ممثل عنها، جاز تشكيل مجلس الإدارة بناءً على ترشيح الوزير لعضو ينتمي إلى فئة الجهة التي لم تبادر إلى الترشيح.
3) لا يجوز الجمْع بين منصب الوزير وعضوية مجلس الإدارة.
4) يحدِّد المرسوم الصادر بتشكيل المجلس مَن يتولى منصب رئيس المجلس، وتكون مدة العضوية في مجلس الإدارة أربع سنوات قابلة للتجديد لمدة مماثلة مرة واحدة، إلا أنه بالنسبة لمجلس الإدارة الأول تكون عضوية رئيس المجلس وثلاثة من أعضائه لمدة أربع سنوات، وعضوية الباقين لمدة ثلاث سنوات. ويحدِّد المرسوم الصادر بتشكيل المجلس مدة عضوية كل منهم.
5) يتولى مجلس الإدارة انتخاب نائب لرئيس المجلس من بين أعضائه يحل محله في حالة غيابه أو قيام مانع لديه أو خُلُو منصبه. ويستمر نائب الرئيس في منصبه إلى أنْ تنتهي مدة عضويته.
6) إذا خلا محل أحد أعضاء مجلس الإدارة لأيِّ سبب، يعيَّن مَن يحل محله بذات الأداة والطريقة المنصوص عليهما في البندين (1) و(2) من هذه المادة. ويكمل العضو الجديد مدة سلفه، فإذا قلت هذه المدة عن سنة جاز تجديد عضويته لمرتين متتاليتين.
7) لا يُعفى عضو مجلس الإدارة من منصبه قبل انتهاء مدة عضويته إلا في حالة إخلاله الجسيم بواجبات منصبه، أو عجْزه عن القيام بها، أو عدم التزامه بمقتضيات الأمانة والسلوك القويم. ويكون الإعفاء بمرسوم، بناءً على توصية من مجلس الإدارة تصدر بأغلبية أعضائه.
8) تحدَّد مكافآت رئيس مجلس الإدارة والأعضاء بموجب مرسوم.
مادة (40)
المهام والصلاحيات
مجلس الإدارة هو السلطة التي تتولى رسْم سياسة الهيئة التي تسير عليها، والرقابة على أعمالها، واتخاذ ما يكفل لها مباشرة مهامها وصلاحياتها. كما أن له على وجه الخصوص ما يأتي:
أ) إصدار اللوائح والقرارات واتخاذ التدابير اللازمة لتنفيذ أحكام هذا القانون.
ب) اعتماد الهيكل التنظيمي وإصدار لوائح داخلية لتنظيم شئون موظفي الهيئة، تتضمن إجراءات وقواعد تعيينهم وترقيتهم ونقْلِهم وتحديد مرتباتهم ومكافآتهم وإجراءات وأحكام تأديبهم وغير ذلك من شئونهم، دون التقيُّد بأحكام قانون الخدمة المدنية، والقواعد المسلكية التي يتعيَّن عليهم مراعاتها، وحالات الإفصاح عن الذمة المالية وشروطه وأحكامه.
ج) اعتماد مشروع الميزانية السنوية للهيئة وحسابها الختامي المدقَّق.
د) قبول الموارد المالية المشار إليها في البند (2/ب) من المادة (29) من هذا القانون.
ه) دراسة التقارير الدورية التي يقدمها الرئيس التنفيذي عن سير العمل بالهيئة وتقرير ما يلزم بشأنها.
و) مباشرة كافة المهام والصلاحيات الأخرى التي تقرِّر أحكام هذا القانون اختصاصه بها.
ز) يجوز لمجلس الإدارة أنْ يعهد إلى لجنة أو أكثر تشكَّل من بين أعضائه، أو إلى رئيس المجلس، أو أيٍّ من أعضائه، أو الرئيس التنفيذي، بأداء مهام محدَّدة، فيما عدا إصدار اللوائح والقرارات التي تقرِّر أحكام هذا القانون اختصاص مجلس الإدارة بإصدارها.
مادة (41)
الاجتماعات
1) يجتمع مجلس الإدارة اجتماعاً عادياً أربع مرات سنوياً
على الأقل، ويجوز لرئيس المجلس دعوته لاجتماع غير عادي في أيِّ وقت.
وعلى رئيس المجلس دعوة المجلس لاجتماع غير عادي يعقد خلال خمسة عشر يوماً من تاريخ
تسَلُّمِه طلباً كتابياً مسبَّباً من الوزير أو من عضوين على الأقل من أعضاء مجلس الإدارة
أو من الرئيس التنفيذي.
2) يجب في جميع الأحوال أنْ يتضمن الإخطار بالدعوة لعقد الاجتماع بيان الغرض منه، وأنْ يُرفَق به جدول أعمال هذا الاجتماع.
3) يحضر الرئيس التنفيذي اجتماعات مجلس الإدارة باستثناء الحالات التي تحدِّدها اللوائح الداخلية، دون أنْ يكون له صوت معدود في المداولات. وللمجلس أنْ يدعو لحضور اجتماعاته من يرى الاستعانة بهم من أهل الخبرة أو ذوي الشأن لمناقشتهم والاستماع لآرائهم، ولا يكون لأيٍّ منهم صوت معدود في المداولات.
4) يعيِّن مجلس الإدارة أميناً للسر يتولى إعداد جداول أعمال اجتماعات المجلس وتدوين محاضر اجتماعاته وحِفْظ المستندات والسجلات الخاصة به، والقيام بما يكلِّفه بها المجلس من مهام أخرى في مجال عمل الهيئة.
مادة (42)
النِّصاب والتصويت
يكون اجتماع مجلس الإدارة صحيحاً بحضور أغلبية أعضائه، على أنْ يكون من بينهم رئيس المجلس أو نائبه. وتصدر قرارات المجلس بأغلبية أصوات الحاضرين، وذلك في غير الحالات التي يشترط فيها هذا القانون أو اللوائح أو القرارات الصادرة تنفيذاً له أغلبية خاصة، وعند تَساوي الأصوات يُرجَّح الجانب الذي منه رئيس الاجتماع.
الفصل الثالث
الرئيس التنفيذي
مادة (43)
التعيين والأجر وخُلُو المنصب
1) يكون للهيئة رئيس تنفيذي يعيَّن بمرسوم لمدة ثلاث سنوات، بناءً على ترشيح مجلس الإدارة، ولا يجوز إعادة تعيينه لأكثر من مرتين متتاليتين.
2) يحدِّد مجلس الإدارة ما يستحقه الرئيس التنفيذي من أجر، بما في ذلك العلاوات والمزايا الأخرى.
3) في حالة خُلُو منصب الرئيس التنفيذي لأيِّ سبب، يعيَّن من يحل محله بذات الأداة والطريقة المنصوص عليهما في البند (1) من هذه المادة.
4) يجوز لمجلس الإدارة إصدار قرار بتعيين نائب للرئيس التنفيذي يحل محله في حالة غيابه أو قيام مانع لديه أو خُلُو منصبه، ويباشر نائب الرئيس التنفيذي المهام الموكلة إليه من قِبَل مجلس الإدارة أو الرئيس التنفيذي، ويُنشَر قرار التعيين في الجريدة الرسمية.
5) في حالة خُلُو منصب الرئيس التنفيذي وعدم تعيين من يحل محله أو نائب له، يُصدِر مجلس الإدارة قراراً بتكليف رئيس المجلس أو من يسميه من بين أعضائه أو من موظفي الهيئة للقيام بأعمال الرئيس التنفيذي بصفة مؤقتة، ويُنشَر القرار في الجريدة الرسمية.
مادة (44)
المهام والصلاحيات
1) يمثل الرئيس التنفيذي الهيئة أمام القضاء وفي صلاتها بالغير، ويكون مسئولاً أمام مجلس الإدارة عن سير أعمال الهيئة فنياً وإدارياً ومالياً، ويباشر كافة صلاحيات الهيئة فيما عدا الصلاحيات المقرَّرة لمجلس الإدارة وِفْقاً لأحكام هذا القانون، ويتولى بوجه خاص ما يأتي:
أ) إدارة الهيئة وتصريف شئونها، والإشراف على سير العمل بها وعلى موظفيها.
ب) تنفيذ قرارات مجلس الإدارة.
ج) إعداد مشروع ميزانية الهيئة وكذلك تقرير بشأنه، وعرضهما على مجلس الإدارة قبل انتهاء السنة المالية بفترة لا تتجاوز شهرين.
د) إعداد الحساب الختامي للهيئة وكذلك تقرير بشأنه، وعرضهما على مجلس الإدارة خلال شهرين من انتهاء السنة المالية للهيئة لإقراره.
ه) إعداد تقرير سنوي عن نشاط الهيئة، على النحو المنصوص عليه في المادة (33) من هذا القانون، خلال السنة المالية السابقة وعرضه – من أجل إقراره – على مجلس الإدارة خلال ثلاثة أشهر على الأكثر من تاريخ انتهاء السنة المالية، مشفوعاً بنسخة من الحسابات المدقَّقة للهيئة عن ذات السنة المالية.
و) إعداد مشروع الهيكل التنظيمي للهيئة وعرْضِه على مجلس الإدارة لاعتماده.
ز) إعداد تقارير دورية وعرضها كل ثلاثة أشهر على مجلس الإدارة عن نشاط الهيئة وسير العمل بها، تتضمن بوجه خاص ما تم إنجازه وِفْقاً للخطط والبرامج الموضوعة. وتحدَّد معوقات الأداء – إنْ وُجِدت – والحلول المقترحة لتفاديها، وذلك ما لم يقرر مجلس الإدارة مدة أقل لتقديم هذه التقارير.
ح) القيام بالمهام والصلاحيات الأخرى التي يختص بها وِفْقاً لأحكام هذا القانون.
2) يجوز للرئيس التنفيذي أنْ يفوِّض كتابة من يراه من موظفي الهيئة في مباشرة بعض مهامه، بما يكفل إنجاز أعمال الهيئة بالشكل الملائم.
مادة (45)
الاستقالة
للرئيس التنفيذي أنْ يستقيل من منصبه بموجب طلب كتابي يقدِّمه إلى مجلس الإدارة، وذلك قبل التاريخ المحدَّد للاستقالة بثلاثة أشهر على الأقل، ويصدر قرار قبول الاستقالة من مجلس الإدارة.
مادة (46)
الإعفاء من المنصب
1) يُعفى الرئيس التنفيذي من منصبه قبل انتهاء مدته في حالة إخلاله بواجبات وظيفته أو عجْزِه عن القيام بها بكفاءة وفاعلية، أو عدم التزامه بمقتضيات الأمانة والسلوك القويم. ويكون الإعفاء بمرسوم بناءً على توصية من مجلس الإدارة تصدر بأغلبية أعضائه.
2) على مجلس الإدارة تمكين الرئيس التنفيذي من إبداء أوجه دفاعه قبل التوصية بإعفائه من منصبه وإثبات ذلك في محضر مستقل. وفي حالة التوصية بالإعفاء، يستمر الرئيس التنفيذي في القيام بمهامه وممارسة صلاحياته إلى أنْ يصدر مرسوم بإعفائه، ما لم تكن التوصية بالإعفاء بسبب عدم الالتزام بمقتضيات الأمانة والسلوك القويم، فيُصدِر مجلس الإدارة قراراً بوقٌفِه عن العمل.
الباب الثالث
مساءلة مدير البيانات ومراقب البيانات
الفصل الأول
المساءلة من قِبَل الهيئة
مادة (47)
مباشرة التحقيق
1) للهيئة أنْ تُجرِي تحقيقاً من تلقاء نفسها أو بناءً على طلب الوزير أو مما تتلقاه من بلاغات أو شكاوٍ جدية، للتَّحَقُّق من أن مدير بيانات أو مراقب حماية بيانات قد ارتكب مخالفة لأيٍّ من أحكام هذا القانون من عدمه، ولها أنْ تُجرِي تحقيقاً إذا قامت لديها دلائل جدية تحملها على الاعتقاد بأن المخالفة على وشْك الوقوع.
2) على الهيئة قبل البدء في إجراءات التحقيق إخطار مدير البيانات أو مراقب حماية البيانات المعنِي، بحسب الأحوال، بالأسباب التي حدت بها إلى الاعتقاد بوقوع المخالفة أو أنها على وشْك الوقوع، ويجب أنْ يتضمن الإخطار ما لدى الهيئة من أدلة وقرائن ومعلومات بشأن المخالفة. ومع ذلك، يجوز بموجب قرار يُصدِره رئيس المجلس إجراء المراحل الأولية من التحقيق التي يحدِّدها القرار دون توجيه الإخطار إذا قامت دلائل جدية يُخشى بسببها عدم التوصل للحقيقة أو تعثُّر التحقيق، وعلى الهيئة توجيه الإخطار حال زوال الأسباب المشار إليها.
3) لمدير البيانات أو مراقب حماية البيانات المعنِي حق الرد على الإخطار خلال سبعة أيام عمل من تاريخ وصوله إليه، ويجب أنْ يشتمل الرد على دفاعه وملاحظاته وأنْ يكون مشفوعاً بما لديه من المستندات والأوراق وأية أدلة أو قرائن تؤيد وجهة نظره.
4) للهيئة، بعد دراسة الرد على الإخطار، أنْ تأمر بحفظ الموضوع أو بالبدء في إجراءات التحقيق، وعليها إخطار الأطراف المعنية بالأمر الصادر منها في أيٍّ من الحالتين.
5) للهيئة أنْ تباشر التحقيق بنفسها أو تشكل لذلك لجنة ثلاثية من ذوي الاختصاص من داخل الهيئة أو خارجها، أو تكلِّف أيَّ شخص مؤهل للقيام بذلك.
مادة (48)
إجراءات التحقيق
1) للجنة التحقيق في حالة البدء في إجراءات التحقيق أنْ تطلب من أيِّ ذي شأن موافاتها بالبيانات والمعلومات والإيضاحات الضرورية للتحقيق والمستندات المتصلة بالموضوع، وذلك خلال المدة التي تحدِّدها لذلك.
2) للأطراف المعنية التي تحضر جلسات التحقيق الحق دائماً في اصطحاب محامين في الجلسات، ويجوز للمحامي الكلام عندما تأذن له لجنة التحقيق بذلك.
3) يجوز للجنة التحقيق أنْ توجه إلى الأطراف المعنية التي تحضر التحقيق أية أسئلة لاستيضاح حقيقة الموضوع وتطلب منهم الإجابة شفاهة أو كتابة خلال مدة تحدِّدها لذلك.
4) يتعيَّن على لجنة التحقيق أنْ تتيح فرصة عادلة للأطراف المعنية بالتحقيق للدفاع عن مصالحهم خلال الفترة المحدَّدة للتحقيق، وعليها في سبيل ذلك عقد جلسات للاستماع ولمناقشة الأطراف المعنية، وشهودهم، وتمكينهم من عرض آرائهم وتقديم حججهم ودفاعهم.
5) تحرِّر لجنة التحقيق المحاضر اللازمة لإثبات ما تتخذه من إجراءات وجميع ما يدور في الجلسات.
6) في حالة عدم موافاة لجنة التحقيق بالبيانات والمعلومات والإيضاحات والمستندات الضرورية للتحقيق في المهلة التي تحددها أو عدم كفايتها، يجوز للجنة استكمال التحقيق واستخلاص النتائج وِفْقاً لِما يتاح لها من بيانات ومعلومات وإيضاحات ومستندات.
7) لمجلس الإدارة أنْ يُصدِر قراراً بتحديد ضوابط وإجراءات إضافية لتحقيق متطلبات العدالة والإنصاف في شأن مباشرة التحقيق.
مادة (49)
طلب البيانات والمعلومات والمستندات من الغير
1) مع مراعاة أحكام القوانين ذات الصلة، للجنة التحقيق إذا قامت لديها دلائل جدية تحملها على الاعتقاد بأن بيانات أو معلومات أو مستندات متصلة بموضوع التحقيق يحوزها الغير، أو مخَزَّنة في نظام حاسب آلي تحت سيطرته، أنْ تأمر ذلك الشخص بتقديم هذه البيانات أو المعلومات أو المستندات خلال المدة التي تحدِّدها، أو بتمكين لجنة التحقيق أو من تندبه من النفاذ إلى نظام الحاسب الآلي؛ للكشف عن تلك البيانات أو المعلومات أو المستندات. وفي حالة عدم تنفيذ الأمر المشار إليه، فإن للجنة التحقيق، من خلال الهيئة، استصدار أمر على عريضة من المحكمة الكبرى بإلزام الحائز المشار إليه بتنفيذ ذلك الأمر. ويجوز للمحكمة أنْ تصدر الأمر على وجه الاستعجال، دون استدعاء الحائز والذي له أن يعترض على الأمر لدى المحكمة التي أصدرته خلال ثمانية أيام من صدوره، وللمحكمة أن تؤيد الأمر أو تعدِّله أو تلغيَه، وتُصدِر المحكمة قرارها في هذه الحالة مسبَّباً، بعد اطلاعها على الأوراق وسماع أقوال الحائز إنْ أمكن.
2) لا تسري أحكام البند (1) من هذه المادة على الأوراق والمستندات التي يكون المعنِي بالتحقيق قد سلَّمها إلى محاميه أو لخبير استشاري لأداء المهمة التي عُهِد إليهما بها، ولا المراسلات المتبادلة بينهما في هذا الشأن.
مادة (50)
ندْب المخوَّلين صفة مأموري الضَّبْط القضائي
للجنة التحقيق في سبيل إنجاز عملها أنْ تندب أياً من مأموري الضَّبْط القضائي المشار إليهم في المادة (36) من هذا القانون للقيام بأيٍّ من المهام المخوَّلين بأدائها.
مادة (51)
سماع الشهود
مع عدم الإخلال بأحكام المواد من (65) إلى (68) من قانون الإثبات في المواد المدنية والتجارية الصادر بالمرسوم بقانون رقم (14) لسنة 1996، ومراعاة للمادة (119) من قانون الإجراءات الجنائية الصادر بالمرسوم بقانون رقم (46) لسنة 2002، للجنة التحقيق سماع شهادة مَن ترى لزوم سماعه من الشهود. وعلى لجنة التحقيق سماع شهادة الشهود الذين تطلب الأطراف المعنية بالتحقيق سماعهم، ما لم تر أنه لا فائدة من سماعهم، وإذا رأت لجنة التحقيق أن ما وقع من الشاهد ينطوي على جريمة، تعيَّن عليها أن تحرِّر في ذلك مذكرة يتولى الرئيس التنفيذي إحالتها بموجب كتاب يُصدِره إلى النيابة العامة.
مادة (52)
إنهاء إجراءات التحقيق
على لجنة التحقيق إعداد تقرير مسبَّب بالنتائج التي توصلت إليها، وعليها تقديمه مرفقاً به ملف التحقيق كاملاً إلى الرئيس التنفيذي خلال فترة لا تجاوِز ستة أشهر من تاريخ بدء إجراءات التحقيق، ويجوز بقرار من الرئيس التنفيذي بناءً على طلب لجنة التحقيق تمديد هذه الفترة قبل انتهائها لمدة أو مدد إضافية لا تجاوِز في مجموعها ستة أشهر في الحالات التي يكون فيها التأخير لأسباب خارجة عن سيطرة هذه اللجنة.
مادة (53)
إخطار ذوي الشأن
يتولى الرئيس التنفيذي خلال ثلاثة أيام عمل من تاريخ تسَلُّمه التقرير المشار إليه في المادة (52) من هذا القانون، إخطار ذوي الشأن بذلك وتسليمهم نسخة من التقرير ومرفقاته.
ولذوي الشأن في ميعاد لا يجاوز ثلاثين يوماً من تاريخ تسَلُّمهم التقرير ومرفقاته أن يودعوا لدى مكتب الرئيس التنفيذي مذكرة بالبيانات والملاحظات تعقيباً على التقرير، مشفوعة بالمستندات المؤيِّدة لها. وفي الحالة التي يكون فيها التحقيق قد تم بناءً على شكوى واستعمل الشاكي حقه في التعقيب على التقرير يتعيَّن على الشاكي أنْ يسلم المشكو في حقه نسخة من التعقيب والمستندات المؤيِّدة له، قبل انقضاء الأجل المشار إليه، من خلال مكتب الرئيس التنفيذي، ويكون للمشكو في حقه في هذه الحالة أن يودع لدى الهيئة مذكرة بملاحظاته على هذا التعقيب خلال مدة مماثلة.
مادة (54)
التصرف في التحقيق
يتولى الرئيس التنفيذي عرْض التقرير مشفوعاً برأيه، على مجلس الإدارة، في أول جلسة تالية لانقضاء الآجال المنصوص عليها في الفقرة الثانية من المادة (53) من هذا القانون. ويُصدِر مجلس الإدارة قراراً مسبَّباً بحِفظ التحقيق، أو بعدم ثبوت وقوع المخالفة التي تم التحقيق بشأنها في حق مدير البيانات، أو باتخاذ أيٍّ من التدابير المنصوص عليها في المادة (55) من هذا القانون عند ثبوت المخالفة، أو بإحالة الأمر مرة أخرى إلى لجنة التحقيق لإجراء مزيد من التقصي والبحث واستيفاء التحقيق.
مادة (55)
التدابير التي يجوز اتخاذها عند ثبوت المخالفة
1) مع عدم الإخلال بالمسئولية المدنية أو الجنائية، عند ثبوت المخالفة يأمر مجلس الإدارة المخالف بالتوقف عن المخالفة وإزالة أسبابها أو آثارها فوراً أو خلال فترة زمنية يحدِّدها المجلس، وفي حالة عدم امتثاله لذلك التكليف في الفترة المحددة، فإن لمجلس الإدارة أن يصدر قراراً مسبَّباً بما يأتي:
أ) سحب التصريح المسبق الصادر من الهيئة وِفْقاً لحكم المادة (15) من هذا القانون، وذلك في حالة تعلُّق المخالفة بهذا التصريح.
ب) توقيع غرامة تهديدية تُحتسَب على أساس يومي لحمْل المخالف على التوقُّف عن المخالفة وإزالة أسبابها أو آثارها، وذلك بما لا يجاوِز ألف دينار يومياً عند ارتكابه المخالفة لأول مرة، وألفي دينار يومياً في حالة ارتكابه مخالفة أخرى خلال ثلاث سنوات من تاريخ إصدار قرار في حقه عن المخالفة السابقة.
ج) توقيع غرامة إدارية بما لا يجاوِز عشرين ألف دينار.
2) في الحالتين المنصوص عليهما في البندين (1/ب) و (1/ج) من هذه المادة يتعيَّن عند تقدير الغرامة مراعاة جسامة المخالفة، والعنت الذي بدا من المخالف، والمنافع التي جناها، والضرر الذي أصاب صاحب البيانات نتيجة لذلك. ويكون تحصيل الغرامة بالطرق المقرَّرة لتحصيل المبالغ المستحَقة للدولة، وتكون لها ذات مرتبة الامتياز المقرَّرة للضرائب الجمركية المستحَقة للخزانة العامة.
3) يجوز للهيئة، بناءً على قرار مجلس الإدارة، أنْ تنشر بياناً بالمخالفة التي ثبت وقوعها من قِبَل مدير البيانات أو مراقب حماية البيانات وذلك بالوسيلة والكيفية التي يحدِّدها القرار وبما يتناسب مع جسامة المخالفة. على أنه يجب ألا يتم النشر إلا بعد فوات ميعاد الطعن في قرار الهيئة بثبوت المخالفة أو صدور حكم باتٍّ بثبوت المخالفة، وذلك بحسب الأحوال.
4) إذا رأى مجلس الإدارة أنَّ التحقيق قد أسفر عن وجود جريمة جنائية، تعََّين عليه إحالة الأوراق إلى النيابة العامة.
مادة (56)
الحالات المستعجَلة
1) يجوز للرئيس التنفيذي في الحالات المستعجَلة وبناءً على طلب صاحب الشأن، إذا قامت لديه أمارات قوية تدعو إلى الظن بأن الاستمرار في معالجة البيانات على نحو معيَّن من شأنه أنْ يؤدي إلى تعدٍّ محدَّد وجلي على حقوق وحريات مقدِّم الطلب المقرَّرة قانوناً مما يتعذَّر تدارُكه فيما بعد، أنْ يُصدِر قراراً مسبَّباً بما يأتي:
أ) الوقْف المؤقت عن معالجة البيانات كلياً أو جزئياً.
ب) الحجْب المؤقت للبيانات كلياً أو جزئياً.
2) يصدر الرئيس التنفيذي القرار في أيٍّ من الحالتين المنصوص عليهما في البندين (1/أ) و(1/ب) من هذه المادة، بعد اطِّلاعه على الأوراق وسماع أقوال كل من صاحب الشأن ومدير البيانات المعنِي، وإتاحة الفرصة لهما لعرْض آرائهما وتقديم حججهما وما لديهما من مستندات أو أوراق وأية أدلة أو قرائن تؤيِّد وجهة نظرهما، وذلك كله في المواعيد ووِفْقاً للإجراءات التي يصدر بتحديدها قرار من مجلس الإدارة.
3) يجوز للهيئة أو لصاحب الشأن استصدار أمر على عريضة من المحكمة الكبرى المدنية بتنفيذ أيِّ قرار يصدر وِفْقاً لأحكام البند (1) من هذه المادة. ويجوز للمحكمة أنْ تُصدِر الأمر على وجه الاستعجال دون استدعاء مدير البيانات، ولمدير البيانات أنْ يعترض على الأمر إلى المحكمة التي أصدرته خلال ثمانية أيام من صدوره، وللمحكمة أنْ تؤيد الأمر أو تعدِّله أو تلغيَه.
4) في حالة صدور قرار وِفْقاً لحكم البند (1) من هذه المادة، يلتزم الرئيس التنفيذي خلال سبعة أيام عمل من تاريخ صدور القرار بإحالة أية مخالفة تتكشف له إلى التحقيق وِفْقاً لأحكام الفصل الأول من الباب الثالث من هذا القانون.
الفصل الثاني
المسؤولية المدنية
مادة (57)
التعويض
مع عدم الإخلال بأحكام القانون المدني، يجوز لمن لحِقه ضرر نشأ عن معالجة بياناته الشخصية من قِبَل مدير البيانات، أو عن إخلال مراقب حماية البيانات بأحكام هذا القانون، الحق في مطالبة مدير البيانات أو مراقب حماية البيانات، بحسب الأحوال، بالتعويض الجابر للضرر.
الفصل الثالث
المسئولية الجنائية
مادة (58)
العقوبات
مع عدم الإخلال بأية عقوبة أشد ينص عليها أيُّ قانون آخر:
1) يعاقَب بالحبس مدة لا تزيد على سنة وبالغرامة التي لا تقل عن ألف دينار ولا تتجاوز عشرين ألف دينار، أو بإحدى هاتين العقوبتين، كلُّ مَن:
أ) عالج بيانات شخصية حساسة بالمخالفة لحكم المادة (5) من هذا القانون.
ب) نقل بيانات شخصية خارج المملكة إلى بلد أو إقليم بالمخالفة لحكم أيٍّ من المادتين (12) و(13) من هذا القانون.
ج) عالج بيانات شخصية دون إخطار الهيئة بذلك بالمخالفة لحكم البند (1) من المادة (14) من هذا القانون.
د) تخلَّف عن إخطار الهيئة بأيِّ تغيير يطرأ على البيانات التي قام بإخطار الهيئة بها إعمالاً لحكم البند (1) من المادة (14) من هذا القانون، وذلك بالمخالفة لحكم البند (6) من ذات المادة.
ه) عالج بيانات شخصية دون تصريح مسبق من الهيئة بالمخالفة لحكم المادة (15) من هذا القانون.
و) قدَّم إلى الهيئة أو إلى صاحب البيانات بيانات كاذبة أو مضلِّلة أو على خلاف الثابت في السجلات أو البيانات أو المستندات التي تكون تحت تصَرُّفه.
ز) حجَب عن الهيئة أية بيانات أو معلومات أو سجلات أو مستندات من تلك التي يتعيَّن عليه تزويد الهيئة بها أو تمكينها من الاطلاع عليها؛ للقيام بمهامها المقرَّرة بموجب هذا القانون.
ح) تسبَّب في إعاقة أو تعطيل عمل مفتشي الهيئة أو أيِّ تحقيق تكون الهيئة بصدد إجرائه.
ط) أفصح عن أية بيانات أو معلومات من المتاح له النفاذ إليها بحكم عمله أو استخدمها لمنفعته أو لمنفعة الغير، وذلك دون وجه حق وبالمخالفة لأحكام هذا القانون.
2) يعاقَب بالغرامة التي لا تقل عن ثلاثة آلاف دينار ولا تتجاوز عشرين ألف دينار مَن خالف حكم أيٍّ من البندين (1) أو (2) من المادة (32) من هذا القانون، وفي حالة الحكم بالإدانة للمحكمة أنْ تقضي بمصادرة المبالغ المتحصَّلة من الجريمة.
3) يعاقَب بالحبس مدة لا تزيد على شهر وبالغرامة التي لا تقل عن مائة دينار ولا تتجاوز خمسمائة دينار، أو بإحدى هاتين العقوبتين، كل مَن استعمل دون وجه حق شعار الهيئة أو رمزاً أو شارة مماثلة أو مشابهة له.
مادة (59)
مسئولية الشخص الاعتباري
مع عدم الإخلال بالمسئولية الجنائية للشخص الطبيعي، يعاقَب الشخص الاعتباري بما لا يجاوز مِثْلَي الغرامة المقرَّرة للجريمة إذا ارتُكِبت باسمه أو لحسابه أو لمنفعته أية جريمة من الجرائم المنصوص عليها في المادة (58) من هذا القانون، وكان ذلك نتيجة تصرُّف أو امتناع أو موافقة أو تستُّر أو إهمال جسيم من أيٍّ من أعضاء مجلس إدارة الشخص الاعتباري أو أيِّ مسئول مفوَّض آخر في ذلك الشخص الاعتباري، أو ممن يتصرف بهذه الصفة.
مادة (60)
التصالح
لمجلس الإدارة أو مَن يفوِّضه الموافقة على التصالح، في غير حالة العوْد، في أيٍّ من الجرائم المنصوص عليها في البنود (1/ج) و(1/د) و(1/هـ) من المادة (58) من هذا القانون، وذلك في أية حالة تكون عليها الدعوى قبل صدور حكم باتٍّ فيها، مقابل سداد الحد الأدنى للغرامة المقرَّرة خلال سبعة أيام من الموافقة على التصالح.
ويترتب على تمام التصالح انقضاء الدعوى الجنائية بالنسبة للجريمة محل التصالح، وذلك مع عدم الإخلال بحق المضرور في التعويض إنْ كان له مقتضىً.