الهيئة العامة للاتصالات وتقنية المعلومات قرار رقم 244 لسنة 2023 بشان تعديل لائحة حماية خصوصية البيانات
– رئيس مجلس الإدارة
– بعد الاطلاع على القانون رقم (37) لسنة 2014 بشأن انشاء هيئة تنظيم الاتصالات وتقنية المعلومات وتعديلاته.
– وعلى المرسوم رقم (144) لسنة 2022 بتشكيل مجلس إدارة الهيئة العامة للاتصالات وتقنية المعلومات.
– وعلى قرار مجلس الوزراء رقم (993) لسنة 2015 الصادر بتاريخ13/7/2015 بأصدر اللائحة التنفيذية للقانون رقم 37/2014،
– وعلى قرار مجلس إدارة الهيئة رقم (42/2021) الصادر بتاريخ 1/4/2021 بخصوص إقرار اللائحة التنظيمية لحماية خصوصية البيانات
– وعلى موافقة مجلس الإدارة باجتماعه رقم (2/2023) المنعقد بتاريخ 14/3/2023 بشأن اعتماد تحديث اللائحة التنظيمية لحماية خصوصية البيانات.
– وبناء على ما تقتضيه مصلحة العمل.
قرر
(مادة أولى)
اعتماد تعديل اللائحة التنظيمية لحماية خصوصية البيانات المرفقة بهذا القرار.
(مادة ثانية)
على جهات الاختصاص-كل فيما يخصه- تنفيذ هذا القرار.
(مادة ثالثة)
يلغى جميع ما يتعارض مع احكام هذا القرار.
(مادة رابعة)
ينشر هذا القرار في الجريدة الرسمية والموقع الالكتروني للهيئة وتسري احكامه من تاريخ نشره.
رئيس مجلس إدارة الهيئة العامة
للاتصالات وتقنية المعلومــات
عمر سعود العمر
صدر في : 5ابريل 2023 م
لائحة حماية خصوصية البيانات
الإصدار: 2.0
تمهيد
يتزايد الطلب على خدمات الاتصالات وتقنية المعلومات من قبل القطاعين العام والخاص والتي يوفرها مقدمين لهذه الخدمات في دولة الكويت وباستخدام تقنيات متطورة كحلول الحوسبة السحابية (Cloud Computing) وانترنت الاشياء وغيرها ، و لما تقدمه هذه الخدمات من مميزات والتي تعتمد على موارد البنية التشغيلية والبرمجيات وغيرها من عناصر تقنية المعلومات التي يوفرها ويشغلها مقدمي خدمات الاتصالات وتقنية المعلومات وتشمل عمليات تخزين، أو نقل، أو معالجة لبيانات ومحتويات المستخدم، فإن الهيئة العامة للاتصالات وتقنية المعلومات تعي ضرورة أن يلتزم مقدمي خدمات الاتصالات وتقنية المعلومات بحماية البيانات والحقوق والحريات الأساسية للنقل المتعلقة بخصوصية البيانات الشخصية المجمعة، مما يستدعي أن تصدر الهيئة مجموعة من الأدوات التنظيمية وشروط وأسس وتوجيهات تتعلق بممارسة مقدمي هذا النشاط وكل ما يرتبط به من أحكام ومزايا، والتزامات لدعم هذا التوجه.
وكما أن الهيئة العامة للاتصالات وتقنية المعلومات تطمح لتطوير صناعة متينة تعتمد على توفير أفضل خدمات الاتصالات وتقنية المعلومات، وتقديمها للجهات الحكومية وقطاع الأعمال والأفراد داخل دولة الكويت، مما يعزز من عمل الأنشطة الحكومية والتجارية والصناعية، ويساهم باستقطاب المستثمرين المهتمين بهذا المجال وتعزيز أسس تنافسية تحقيقا لرؤية دولة الكويت في تحويلها الى مركز مالي وتجاري (كويت جديدة 2035).
التعريفات
يكون للكلمات والعبارات التالية حيثما وردت في هذا الدليل المعاني المخصصة لها أدناه وكما تعتمد التعاريف الواردة في قانون الهيئة العامة للاتصالات وتقنية المعلومات ولائحته التنفيذية:
الهيئة: الهيئة العامة للاتصالات وتقنية المعلومات بموجب قانون 37 لسنه 2014 وتعديلاته ولائحته التنفيذية.
مقدم الخدمة/ المرخص له: الشخص الذي يرخص له بتقديم خدمة أو أكثر من خدمات الاتصالات للجمهور، أو يرخص له بإدارة، أو إنشاء، أو تشغيل شبكة اتصالات، أو خدمة الانترنت لتوفير خدمات الاتصالات للجمهور، يشمل مقدمي المعلومات أو المحتوى التي تقدم بواسطة شبكة الاتصالات.
الشخص الاعتباري: هو كيان ذاتي مستقل لتحقيق غرض معين ويتمتع بالشخصية القانونية في حدود هذا الغرض، وينطبق على الشركات أو الكيانات المؤسسية الخاصة أو العامة التي تملكها الدولة أو المنظمات والتي لديها موطن في دولة الكويت
البيانات الشخصية: هي البيانات ذات صلة بشخص طبيعي أو شخص اعتباري محدد الهوية أو يمكن تحديده من خلال هذه البيانات بطريقة مباشرة كتحديد الاسم والهوية، أو المعلومات المالية، أو الصحية أو العرقية أو الدينية أو أي بيانات تسمح بتحديد الموقع الجغرافي للشخص أو البصمة الشخصية أو البصمة الوراثية، أو من خلال الجمع بين البيانات المتوفرة وأية بيانات أخرى، أو أي ملف صوتي بما في ذلك صوت الشخص، وأي معرف آخر يسمح بالاتصال عبر الإنترنت بالشخص.
المستفيد/ المستخدم: الشخص الذي يستفيد من خدمة الاتصالات العامة أو التي يقصد استخدامها في أغراض خاصة باستخدام عمليات الاتصال.
جمع ومعالجة البيانات: أي عملية أو مجموعة من العمليات يتم اتخاذها على البيانات الشخصية وسواء كانت داخل دولة الكويت أو خارجها باستخدام الوسائل الآلية أو وسائل أخرى مثل جمع وتسجيل وتنظيم وتحليل وتخزين أو تعديل أو استرجاع أو استخدام أو الإفصاح من خلال الإرسال والنشر أو جعلها متاحة أو دمجها أو تقييدها أو حذفها أو اتلافها.
التشفير: هي عملية تحويل البيانات من نص مقروء الى نص غير مقروء لأحد باستثناء من يملك معرفة خاصة أو مفتاح خاص لإعادة تحويل النص المشفر إلى نص مقروء، وتطبق عملية التشفير سواء أثناء تخزين البيانات أو عند نقلها على شبكات الاتصالات.
الطرف الثالث: هو أي شخص طبيعي أو اعتباري يقوم بجمع أو معالجة البيانات الشخصية بالنيابة عن مقدم الخدمة وبتوجيه منه وذلك من خلال مراكز بيانات يمتلكونها أو يستخدمونها بشكل مباشر أو غير مباشر.
نطاق اللائحة
مادة (1)
تطبق هذه اللائحة على جميع مقدمي الخدمة المرخص لهم من قبل الهيئة والذين يعملون على جمع ومعالجة وتخزين البيانات الشخصية ومحتوى بيانات المستخدم كليا أو جزئيا، سواء بشكل دائم أو مؤقت بالوسائل الآلية أو بأي وسائل أخرى والتي تشكل جزءا من نظام حفظ البيانات، سواء تمت المعالجة داخل دولة الكويت أو خارجها.
شروط جمع ومعالجة البيانات الشخصية
مادة (2)
يجب علي مقدم الخدمة وقبل توفير الخدمة للمستخدم أن يقوم بالتالي:
1) توفير كافة معلومات وشروط الخدمة وطلب تغيير أو إلغاء البيانات، موضحة وبعبارات سهلة، وأن تتوفر باللغتين الإنجليزية والعربية.
2) الحصول على موافقة طالب الخدمة على جمع أو معالجة البيانات الشخصية وعلمه وقبوله بجميع الشروط والالتزامات وأحكام جمع ومعالجة البيانات.
3) توضيح الغرض من جمع بيانات المستخدم الشخصية واللازمة لتقديم الخدمة وكيفية استخدام هذه البيانات.
مادة (3)
لا تكون جمع ومعالجة البيانات مشروعة وقانونية إلا في حال توافر إحدى الحالات التالية:
1) الحصول على موافقة المستخدم صاحب البيانات.
2) أن تكون ضرورية للامتثال لالتزام قانوني يخضع له مقدم الخدمة.
3) أن تكون ضرورية لحماية بيانات المستخدم.
4) إذا كانت الأغراض التي يقوم بها مقدم الخدمة تتطلب تحديد هوية صاحب البيانات.
5) الحصول على موافقة خطية من قبل ولي أمر القاصر إذا كان عمره أقل من 18 سنة.
وفي جميع الأحوال يجب أن يكون لمقدم الخدمة القدرة على إثبات موافقة صاحب البيانات على معالجة البيانات.
مادة (4)
يجب على مقدم الخدمة أثناء توفير الخدمة أو بعد انتهائها أن يقوم بجمع ومعالجة البيانات وفقا للشروط التالية:
1( تقديم معلومات واضحة يسهل الوصول إليها حول ممارساتهم وسياساتهم فيما يتعلق بالبيانات الشخصية لضمان اجراء عمليات الجمع والمعالجة وبشفافية.
2) تحديد الغرض من جمع البيانات والأساس القانوني لمعالجة البيانات وفترة الاحتفاظ بها أن وجدت.
3) تحديد هوية ومكان مقدم الخدمة، بما في ذلك معلومات عن كيفية الاتصال بهم بشأن ممارساتهم ومعالجة البيانات الشخصية.
4) معالجة البيانات بطريقة تضمن حماية البيانات الشخصية من المعالجة غير المصرح بها أو المعالجة غير القانونية وضد الخسارة العارضة والتلف أو الإضرار بها وذلك باستخدام التدابير الفنية والتنظيمية المناسبة (“السلامة والسرية”).
5) يجب على مقدم الخدمة اخطار الهيئة في حال كشف بيانات المستخدمين الشخصية لأي شركة زميلة أو مالكة لمقدم الخدمة أو طرف ثالث بشكل مباشر أو غير مباشر، على أن يكون مقدم الخدمة هو المسؤول عن حماية خصوصية البيانات المشارك فيها.
6) استخدام الوسائل التكنولوجية المناسبة التي تمكن المستخدمين من ممارسة حقهم في الوصول إلى البيانات الشخصية ومراجعتها وتصحيحها بشكل مباشر، ويتعين على مقدم الخدمة منح الطرف الثالث (إن وجد) كافة الصلاحيات الضرورية والتنظيمية لاستخدام أي برامج، أو أي أعمال ملكية فكرية أخرى يحميها النظام.
7( تقديم معلومات عن مكان تخزين البيانات الشخصية في حال كانت داخل أو خارج دولة الكويت.
8) تحديد آلية الحصول على أو تصحيح أو حذف البيانات الشخصية أو تقييد الوصول إليها أو معالجتها، أو الاعتراض على معالجتها أو طلب نقل البيانات الشخصية.
9) إخطار صاحب البيانات في حال كان مقدم الخدمة يعتزم نقل بياناته الشخصية الى خارج دولة الكويت.
10) ازالة البيانات الشخصية التي بحوزته حال انتهاء العلاقة التعاقدية مع صاحب البيانات.
11) الحصول على موافقة صاحب البيانات قبل الكشف عن بياناته الشخصية لأي طرف ثالث لأغراض تسويقية لا تتعلق مباشرة بتوفير خدمات الاتصالات وتقنية المعلومات التي يطلبها المستخدم.
12) يجب على مقدم الخدمة، أن يوفر وسيلة سهلة الاستخدام، وعملية ويمكن النفاذ إليها بسهولة تمكن المستخدم من تعديل بياناته، أو سحب موافقته، أو تعطيل خدمة، أو طريقة جمع ،أو استخدام أو معالجة أو الإفصاح عن بياناته الشخصية
13) يجب على مقدم الخدمة حذف البيانات الشخصية للمستخدم إذا:
أ) قام المستخدم بسحب الموافقة الخاصة بمعالجة أو استخدام البيانات الشخصية.
ب) لم تعد البيانات الشخصية لازمة لتقديم الخدمات التي يطلبها المستخدم.
ج) لم يعد المستخدم مشتركا في الخدمة التي تم جمع البيانات الشخصية بشأنها.
14) يجب على مقدم الخدمة إنشاء والحفاظ على سياسة خصوصية مكتوبة بحيث:
أ) تبين بالتفصيل عمليات وإجراءات مقدم الخدمة فيما يتعلق بجمع واستخدام والإفصاح عن البيانات الشخصية، بما في ذلك الطريقة التي سوف يتبعها للامتثال.
ب) يتم نشرها على الموقع الالكتروني لمقدم الخدمة وتقدم للمستخدمين عند التعاقد في الخدمات.
15) إذا تم الكشف عن البيانات الشخصية المخزنة من قبل مقدم الخدمة بشكل غير صحيح وأدى هذا الكشف أو النفاذ إلى إلحاق الضرر بعدد كبير من المستخدمين، وجب على مقدم الخدمة إخطار الهيئة والمستخدمين وجهات إنفاذ القانون في أقرب وقت ممكن وبما لا يزيد في أي حال عن 24 ساعة.
16) عند إعداد أي عملية أو نظام أو إجراءات لتوفير تسهيلات أو خدمات الاتصالات، يجب على مقدم الخدمة أن يعتمد الخصوصية من خلال تصميم الخدمات.
أمن وحماية البيانات الشخصية
مادة (5)
على مقدم الخدمة اتخاذ الآتي:
1) توفير التدابير الأمنية المناسبة لحماية البيانات الشخصية للمستخدم ضد الخسارة أو الضرر أو الإفصاح أو الاختراق من طرف آخر غير مصرح له أو استبدال البيانات أو المعلومات بأخرى غير صحيحة أو إضافة معلومات غير صحيحة. ويجب أن تكون هذه التدابير ملائمة لطبيعة ونطاق أنشطته وحساسية أي بيانات شخصية يتم جمعها وتخزينها، بما في ذلك الأمور التالية:
أ) معالجة وتشفير البيانات الشخصية، وتبعا لمستوى البيانات المحددة بسياسة تصنيف البيانات لمقدم الخدمة.
ب) ضمان السرية المستمرة ونزاهة وتوافر ومرونة نظم وخدمات المعالجة.
ج) استعادة التوافر والوصول إلى البيانات الشخصية في الوقت المناسب في حالة وقوع قوه قاهره.
د) اختبار وتقييم فعالية التدابير التقنية والتنظيمية لضمان أمن المعالجة.
2) تأمين البيانات من التدمير العرضي أو غير القانوني أو الفقد أو التغيير أو الكشف غير المصرح به أو الوصول إلى البيانات الشخصية المرسلة أو المخزنة أو التي تتم معالجتها بطرق أخرى.
3) الالتزام بالسياسات والممارسات العالمية المتعلقة باستمرارية الأعمال، والتعافي من الكوارث، وإدارة المخاطر، وسياسات أمن المعلومات.
4) الاحتفاظ بسجلات أنشطة المعالجة وأن تتضمن السجلات كافة المعلومات التالية:
أ) اسم وبيانات الاتصال بمقدم الخدمة، وممثله إذا كان خارج دولة الكويت ومسؤول حماية البيانات.
ب) أغراض معالجة البيانات.
ج) وصف فئات أصحاب البيانات وفئات البيانات الشخصية الأخرى.
د) نقل البيانات الشخصية، إذا لزم الأمر، إلى خارج دولة الكويت مع تحديد هوية هذه الدولة.
ه) وصف عام للتدابير الأمنية الفنية والتنظيمية المستخدمة.
5) إتاحة السجلات للاطلاع عليها من قبل الهيئة عند الطلب.
6) مراعاة الضوابط الخاصة بتصميم أو تغيير أو تطوير المنتجات والنظم والخدمات والتي من الممكن أن تؤثر على معالجة البيانات الشخصية.
7) تطوير والالتزام بسياسات داخلية للحماية وخصوصية البيانات.
8) تحديد وتدريب وتوعية المسؤولين عن حماية البيانات الشخصية.
9) وضع نظم داخلية لتلقي الشكاوى ودراستها على مدار الساعة، وطلبات الوصول للبيانات، وطلبات تصحيحها أو حذفها.
10) وضع نظم داخلية للإدارة الفعالة للبيانات الشخصية، والإبلاغ عن أي تجاوز للإجراءات التي تهدف إلى حمايتها.
11) إجراء عمليات تدقيق ومراجعة شاملة عن مدى الالتزام بحماية البيانات الشخصية.
إخطار الهيئة العامة للاتصالات وتقنية المعلومات بحال حدوث اختراقات للبيانات الشخصية
مادة (6)
1) على مقدم الخدمة عند حدوث اختراق للبيانات الشخصية وفي مدة لا تتجاوز 72 ساعة بعد علمها إخطار حدوث اختراق للبيانات الشخصية إلى الهيئة العامة للاتصالات وتقنية المعلومات.
2) يتضمن الإخطار:
أ) طبيعة الاختراق، ومدى تسرب البيانات الشخصية والأشخاص المسربة معلوماتها والمستويات الأمنية المتضررة.
ب) اسم وآلية التواصل مع مسؤول حماية البيانات.
ج) النتائج المحتملة للاختراق، والتدابير المتخذة أو التي يقترح أن يتخذها مقدم الخدمة لمعالجة الاختراق.
د) إخطار صاحب البيانات الشخصية بحال حدوث اختراقات للبيانات الشخصية.
1) لا يلزم إبلاغ صاحب البيانات إذا قام مقدم الخدمة باتخاذ تدابير الحماية الفنية والتنظيمية المناسبة، وتم تطبيق هذه التدابير على البيانات الشخصية المتأثرة بحدوث الاختراق
2) اتخاذ التدابير اللاحقة التي تكفل عدم ارتفاع المخاطر على حقوق وحريات الأشخاص أصحاب البيانات.
أحكام عامة
مادة (7)
1. على جميع مقدمي الخدمة أو المصرح لهم بامتلاك شبكات اتصالات عامة توفيق أوضاعهم مع أحكام هذه اللائحة واللوائح الاخرى ذات العلاقة مع هذه اللائحة والصادرة عن الهيئة خلال مدة لا تتجاوز سنه من تاريخ نشرها.
2. يجوز للهيئة إصدار تعليمات أو ارشادات متعلقة بخصوصية البيانات كلما اقتضى الحال ذلك.
3. للهيئة في حال ثبوت مخالفة أحكام هذه اللائحة أو قوانين دولة الكويت تطبيق الجزاءات والغرامات المنصوص عليها بالقانون رقم 37 لسنة 2014 لإنشاء الهيئة العامة للاتصالات وتقنية المعلومات والمعدل بالقانون رقم (98) لسنة 2015.