في 17 مارس 2024، دخل قانون حماية البيانات الشخصية الأردني رقم 24 لسنة 2023 (قانون حماية البيانات الشخصية أو "القانون") حيز التنفيذ رسميًا، بعد نشره في الجريدة الرسمية بتاريخ 15 سبتمبر 2023. يُرسي قانون حماية البيانات الشخصية إطارًا قانونيًا شاملًا لحماية البيانات الشخصية في الأردن، ويضع حدودًا واضحة لتبادل ومعالجة المعلومات الشخصية بين الجهات والأفراد. ويحدد هذا التشريع الحقوق والالتزامات الواجب مراعاتها عند التعامل مع البيانات الشخصية، بهدف حماية خصوصية الأفراد في مجتمع يعتمد بشكل متزايد على البيانات.
يُحدد قانون حماية البيانات الشخصية (PDP) عدة مجالات حيوية يجب على جميع الكيانات المسجلة دراستها بعناية، إذ تُطبق اللوائح على مجموعة واسعة من الأنشطة التي يُمكن لأي مؤسسة ممارستها في أي وقت. فيما يلي لمحة عامة عن أهم أحكام قانون حماية البيانات الشخصية (PDP) لتوفير فهم عام لنطاقه ومتطلباته.
من أجل الوضوح، يشير مصطلح "الوحدة" إلى الوحدة التنظيمية لحماية البيانات الشخصية، ويشير مصطلح "المجلس" إلى مجلس حماية البيانات الشخصية.
يشير مصطلح "المجلس" إلى مجلس حماية البيانات الشخصية.
الأحكام الرئيسية لقانون الحزب الديمقراطي الشعبي
حقوق الأفراد
يؤكد قانون حماية البيانات الشخصية (PDP) على حق كل فرد في حماية معلوماته الشخصية، ولا يجوز معالجة هذه البيانات دون موافقته المسبقة. تشمل الحقوق الممنوحة للأفراد بموجب القانون ما يلي:
- الحق في الاطلاع على البيانات التي تتم معالجتها والوصول إليها.
- الحق في سحب الموافقة الممنوحة مسبقًا لمعالجة البيانات.
- الحق في تعديل أو تغيير أو تحديث بياناتهم.
- الحق في الاعتراض أو معارضة معالجة بياناتهم إذا لم تعد تخدم الغرض الأساسي الذي تم جمعها من أجله.
- الحق في الحصول على إشعار في حالة نقل بياناتهم من مسؤول بيانات إلى آخر.
- الحق في الحصول على معلومات حول أي خروقات أو انتهاكات للبيانات تؤثر على البيانات التي تتم معالجتها في غضون 24 ساعة من حدوثها.
ولا يجوز أن يؤدي ممارسة هذه الحقوق إلى أي عواقب مالية أو تعاقدية على الفرد، دون المساس بالحقوق القانونية لمسؤول البيانات.
شروط الحصول على الموافقة
ينص قانون حماية البيانات الشخصية على شروط محددة يجب استيفاؤها حتى تعتبر موافقة الفرد صالحة لمعالجة البيانات:
- يجب أن تكون الموافقة دقيقة وموثقة كتابيًا أو إلكترونيًا.
- يجب توضيح مدة معالجة البيانات والغرض من وراءها بشكل واضح.
- اللغة المستخدمة يجب أن تكون واضحة ومباشرة.
- إذا كان الفرد يفتقر إلى الأهلية القانونية، فيجب الحصول على موافقة الوصي القانوني.
استثناءات متطلبات الموافقة
تسمح ظروف معينة بموجب قانون حماية البيانات الشخصية بمعالجة البيانات الشخصية دون موافقة مسبقة، بما في ذلك:
- البيانات التي تتم معالجتها مباشرة من قبل السلطة المختصة.
- البيانات التي تمت معالجتها لأغراض طبية.
- معالجة البيانات اللازمة لحماية حياة الفرد أو مصالحه الحيوية.
- معالجة البيانات المطلوبة لمنع أو اكتشاف جريمة، أو لمقاضاة مرتكبيها.
- معالجة البيانات المطلوبة أو المصرح بها بموجب التشريعات السائدة، أو أوامر المحكمة، أو السلطات المختصة.
- معالجة البيانات المطلوبة من الجهات الخاضعة لإشراف البنك المركزي الأردني لممارسة أنشطتها، بما في ذلك نقل البيانات داخل الأردن وخارجه.
- معالجة البيانات لأغراض البحث العلمي أو التاريخي.
- معالجة البيانات لأغراض البحث الإحصائي أو احتياجات الأمن القومي أو المصلحة العامة.
- البيانات التي تمت مشاركتها علنًا بالفعل من قبل الفرد المعني.
مسؤوليات مسؤول البياناتيفرض قانون حماية البيانات الشخصية عدة مسؤوليات على مسؤولي البيانات لضمان حماية البيانات الشخصية وإدارتها بشكل صحيح:- تنفيذ كافة التدابير اللازمة لحماية البيانات الموجودة بحوزتهم.
- تطبيق التدابير الأمنية والفنية والإدارية لحماية البيانات المعالجة.
- وضع الإجراءات والأساليب لمعالجة البيانات.
- تلقي الشكاوى المتعلقة بمعالجة البيانات والرد عليها.
- نشر إجراءات معالجة البيانات وآليات التعامل مع الشكاوى على موقعهم الرسمي.
- تصحيح البيانات غير الكاملة أو القديمة أو غير الصحيحة.
- إدارة طلبات سحب الموافقة.
- إعلام الأفراد بغرض معالجة البيانات، وفترات الاحتفاظ بها، وهوية كاتب إدخال البيانات المسؤول عن معالجة البيانات.
مسؤوليات مسؤول حماية البيانات (DPO)يتولى مسؤول حماية البيانات المهام التالية:- مراقبة وتوثيق امتثال مسؤول البيانات لقانون حماية البيانات الشخصية.
- تقييم وتدقيق أنظمة معالجة قواعد البيانات والأمن السيبراني بشكل دوري، وتوثيق النتائج والتوصيات لتحسين هذه الأنظمة.
- العمل كحلقة وصل بين المنظمة والوحدة والجهات المختصة والمحاكم.
- وضع اللوائح الداخلية للتعامل مع الشكاوى وطلبات الوصول إلى البيانات وطلبات تعديل البيانات أو حذفها أو نقلها.
- تنظيم برامج تدريبية للموظفين المعنيين بمعالجة البيانات تحت إشراف مسؤول البيانات أو كاتب إدخال البيانات.
- معالجة البيانات وفقا لقانون حماية البيانات الشخصية واللوائح والتعليمات المرتبطة به.
- تأكد من أن معالجة البيانات تظل ضمن الغرض والإطار الزمني المقصود.
- مسح البيانات بعد انتهاء فترة المعالجة أو إعادتها إلى مسؤول البيانات.
- الامتناع عن الكشف عن البيانات أو نتائج معالجة البيانات إلا إذا تم التصريح بذلك قانونًا.
السرية ونقل البياناتينص قانون حماية البيانات الشخصية على سرية جميع البيانات المُعالجة، ويتحمل كلٌّ من مسؤول البيانات وموظف إدخال البيانات المسؤولية القانونية للحفاظ على هذه السرية. ويُحظر نقل أو تبادل البيانات الشخصية دون موافقة مسبقة من الشخص المعني، ويجب الالتزام بأحكام قانون حماية البيانات الشخصية. ويجب أن يستوفي أي نقل للبيانات خارج الأردن معايير الأمن المنصوص عليها في قانون حماية البيانات الشخصية، ما لم ينص القانون على خلاف ذلك.
عقوبات عدم الامتثالفي حال عدم الالتزام بقانون حماية البيانات الشخصية، يحق للوحدة توجيه إنذار للمخالف، مطالبةً إياه بتصحيح المخالفة وعواقبها خلال مدة محددة. وفي حال عدم التزام المخالف، يجوز للمجلس، بناءً على توصية من الوحدة، فرض عقوبة أو أكثر من العقوبات التالية:- إلغاء الترخيص أو التصريح جزئيا أو كليا.
- إيقاف الترخيص أو التصريح جزئيًا أو كليًا.
- إلغاء الترخيص أو التصريح جزئيا أو كليا.
- فرض غرامة لا تتجاوز 500 دينار أردني عن كل يوم تستمر فيه المخالفة، وبحد أقصى إجمالي للغرامة لا يتجاوز 3% من إجمالي الإيرادات السنوية للمخالف للسنة المالية السابقة.
- كما يجوز فرض غرامة تتراوح بين 1000 إلى 10000 دينار أردني على المخالفين لقانون حماية البيانات الشخصية.