معرفة قانونية
نصّ النظام على أن الأصل هوَ عدم جواز حصول جهة التحكم على البيانات إلا من صاحبها مباشرةً ولأجل الغرض المحدد، إلا أنه وردَ استثناء على ذلك أجاز لجهة التحكم جمع البيانات الشخصية من غير صاحبها، وذلكَ في حال وافق صاحب البيانات أو كانت البيانات متاحة للعموم، أو إذا كان التقيد بالحظر يُلحق ضررًا بصاحب البيانات، أو إذا كانت البيانات لن تُسجل أو تُحفظ بصيغة تجعل من الممكن تحديد هوية صاحبها، كما يجب أن يكون الغرض من جمع البيانات الشخصية ذات علاقة مباشرة بجهة التحكم.
وكذلك إذا كانت جهة التحكم عامة، عليها عند جمعها للبيانات الشخصية من غير صاحبها مباشرة، أو معالجتها لغرض آخر غير الذي جمعت من أجله، أو طلب الإفصاح عنها لتحقيق مصلحة عامة، الالتزام بما يلي:
التأكد من أن ذلك يعد ضرورياً لتحقيق مصلحة عامة محددة بشكل واضح.
أن تتصل المصلحة العامة بالاختصاصات المقررة لها نظاماً.
اتخاذ الوسائل المناسبة للحد من الأضرار التي قد تنتج عن ذلك، بما في ذلك وضع الضوابط الإدارية والتقنية اللازمة لضمان التزام منسوبيها بأحكام المادة (الحادية والأربعون) من النظام.
تضمين تلك العمليات في سجلات أنشطة معالجة البيانات الشخصية.
جمع ومعالجة الحد الأدنى اللازم من البيانات الشخصية لتحقيق الغرض.
وقد أورد النظام عددًا من العناصر التي يجب على جهة التحكم إحاطة صاحب البيانات بها قبل البدء بجمع البيانات، ومن هذه العناصر الجهات التي سيجري إفصاح البيانات إليها والمسوغ النظامي لجمعها، وكذلك توضيح الغرض من جمعها وما إذا كانت عملية جمعها كلها إلزاميًا، وهوية من يجمع البيانات وعنوانه – ما لم يكن جمعها لأغراض أمنية -، وكذلك الآثار والأخطار المحتملة التي تترتب على عدم إتمام جمع البيانات، وأي عناصر أخرى يحددها نظام حماية البيانات الشخصية و لوائحه التنفيذية.
أكتوبر ٢٠٢٤
Legal Knowledge
Provisions for the Acquisition of Personal Data by the Controller
The Law stipulates that the default is that the controller is not permitted to acquire the data except directly from the owner and for the purposes for which they have been collected. However, an exception to this was made, allowing the controller to collect personal data from someone other than the owner, in the event that the data owner agrees, the data is publicly available, adhering to the prohibition would cause harm to the data owner, or if the data is not recorded or stored in a way that allows identifying the owner. The purpose of collecting the personal data must also be directly related to the controller.
Additionally, when a public entity is the controller and collects personal data not directly from the data subject, processes it for a purpose other than the one for which it was initially collected, or requests disclosure of such data to achieve a public interest, the public entity shall comply with the following:
Ensure that this is necessary to achieve a clearly defined public interest.
The public interest related to the public entity’s mandate as specified in the regulation.
Take suitable measures to limit the damage that may result, including implementing necessary administrative and technical controls to ensure its agents commit to comply with the provisions of Article 41 of the law.
Record those operations in the records of personal data processing activities.
Collect and process the minimum necessary personal data to achieve the data processing purpose.
The Law has outlined a number of elements that the controller must inform the data owner of before beginning data collection. These include the parties to whom the data will be disclosed to, the legal justification for collecting it, the purpose of the collection, whether the collection of all the data is mandatory, the identity and address of the data collector (unless it is for security purposes), the potential effects and risks of not completing the data collection, and any other elements specified by The Personal Data Protection Law or its regulations.
October 2024
