معرفة قانونية
عرّف النظام المعالجة بأنها: “أي عملية تُجرى على البيانات الشخصية بأي وسيلة كانت يدوية أو آلية، ومن ذلك: عمليات الجمع، والتسجيل، الحفظ، والفهرسة، والترتيب، والتنسيق، والتخزين، والتعديل، والتحديث، والدمج، والاسترجاع، والاستعمال، والإفصاح، والنقل، والنشر، والمشاركة في البيانات أو الربط البيني، والحجب، والمسح، والإتلاف.”، وعرّف جهة التحكم بأنها:” أي جهة عامة، أو أي شخصية ذات صفة طبيعية أو اعتبارية خاصة; تحدد الغرض من معالجة البيانات الشخصية وكيفية ذلك; سواء باشرت معالجة البيانات بواسطتها أم بواسطة جهة المعالجة”، أما جهة المعالجة فهيَ:” أي جهة عامة، أو أي شخصية ذات صفة طبيعية أو اعتبارية خاصة، تُعالج البيانات الشخصية لمصلحة جهة التحكم ونيابة عنها “.
وقد أوضَحَ النظام العلاقة بين جهة التحكم وجهة المعالجة، بالأحكام التالية:
على جهة التحكم الالتزام عند اختيارها لجهة المعالجة بأن تختار الجهة التي توفر الضمانات اللازمة لتنفيذ أحكام النظام واللوائح، وعليها التحقق من التزام تلك الجهة بأحكام النظام واللوائح، ولايخل ذلك بمسؤولياتها تجاه صاحب البيانات الشخصية أو الجهة المختصة بحسب الأحوال. وتحدد اللوائح الأحكام اللازمة لذلك، على أن تشتمل الأحكام المتعلقة بأي تعاقدات لاحقة تقوم بها جهة المعالجة.
يجوز لجهة التحكم تحديد مدد لممارسة حق وصول صاحب البيانات الشخصية إلى بياناته الشخصية المتوافرة لدى جهة التحكم، وفق الضوابط والإجراءات التي تحددها اللوائح، ويجوز كذلك لجهة التحكم تقييد هذا الحق إذا كان ضرورياً لحماية صاحب البيانات الشخصية أو غيره من أي ضرر وفق الأحكام التي تحددها اللوائح، وإذا كانت جهة التحكم جهة عامة، وكان التقييد مطلوباً لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء مُتطلبات قضائية.
ومن أهم أحكام معالجة البيانات الشخصية عدم جواز معالجة البيانات أو تغيير الغرض من معالجتها إلا بعد موافقة صاحبها، ويجوز لصاحب البيانات الرجوع عن الموافقة على معالجة البيانات، ولا يجوز أن تكون موافقة صاحب البيانات شــرط لتــقديــم الخــدمة، إلا أنه لا يتطلب موافقة صاحب البــيــانــات فـــي الأحوال التالية:
إذا كانت المعلومات متوفرة مسبقاً لصاحب البيانات الشخصية.
إذا كان تنفيذ ذلك غير ممكناً أو يتطلب جهداً غير معقول.
إذا كان حصول جهة التحكم على البيانات قد تم تنفيذاً لنظام.
إذا كانت جهة التحكم جهة عامة وكان جمع البيانات الشخصية لأغراض أمنية أو لاستيفاء متطلبات قضائية، أو لتحقيق مصلحة عامة.
إذا كانت البيانات الشخصية تخضع لأحكام السرية المهنية المقررة نظاماً.
سبتمبر ٢٠٢٤
Legal Knowledge
Provisions for Processing Personal Data
The Law defines processing as: “Any operation carried out on Personal Data by any means, whether manual or automated, including collecting, recording, saving, indexing, organizing, formatting, storing, modifying, updating, consolidating, retrieving, using, disclosing, transmitting, publishing, sharing, linking, blocking, erasing and destroying data.” It also defines the controlling entity as: “Any public entity or any private legal or natural person that determines the purpose and means of processing personal data, whether by itself or through a processing entity.” The processing entity is defined as: “Any public entity or any private legal or natural person that processes personal data on behalf of and in the interest of the controlling entity.”
The Law clarifies the relationship between the controlling entity and the processing entity as follows:
The data controller, when selecting a data processor, must choose an entity that provides the necessary guarantees for the implementation of the provisions of the law and regulations. The data controller must verify the compliance of the data processor with the provisions of the law and regulations. This does not affect the data controller’s responsibilities towards the data subject or the relevant authority, as applicable. The regulations will specify the necessary provisions for this, including provisions related to any subsequent contracts made by the data processor.
The data controller may establish periods during which the data subject can exercise their right to access their personal data held by the data controller, in accordance with the controls and procedures specified by the regulations. The data controller may also restrict this right if it is necessary to protect the data subject or others from harm, according to the provisions specified by the regulations. If the data controller is a public authority, restrictions may be applied if required for security purposes, to implement another law, or to meet judicial requirements.
One of the key provisions for Processing of data or changing the purpose of its processing is that it may not be processed without the consent of the data owner. The data subject has the right to withdraw consent for data modification. Consent from the data owner cannot be made a condition for receiving a service unless the modification serves a recognized interest of the data owner, is required by another law, or fulfills a prior agreement with the data owner. If the data is held by a public entity, modifications for security purposes or to meet legal requirements do not require the data owner’s consent.
Except in the following cases:
The information is already available to the Data Subject.
The provision of such information proves impossible or would involve a disproportionate effort.
The Controller collects data to fulfill a legal requirement.
The Controller is a Public Entity, and the Collection of Personal Data is for security purposes, or to fulfill judicial requirements, or to achieve a Public Interest.
The Personal Data is subject to an obligation to a professional secrecy regulated by a law.
September 2024
