– رئيس مجلس الإدارة
– بعد الاطلاع على القانون رقم (37) لسنة 2014 بشأن انشاء هيئة تنظيم الاتصالات وتقنية المعلومات وتعديلاته.
– وعلى المرسوم رقم (144) لسنة 2022 بتشكيل مجلس إدارة الهيئة العامة للاتصالات وتقنية المعلومات.
– وعلى قرار مجلس الوزراء رقم (993) لسنة 2015 الصادر بتاريخ13/7/2015 بأصدر اللائحة التنفيذية للقانون رقم 37/2014،
– وعلى قرار مجلس إدارة الهيئة رقم (42/2021) الصادر بتاريخ 1/4/2021 بخصوص إقرار اللائحة التنظيمية لحماية خصوصية البيانات
– وعلى موافقة مجلس الإدارة باجتماعه رقم (2/2023) المنعقد بتاريخ 14/3/2023 بشأن اعتماد تحديث اللائحة التنظيمية لحماية خصوصية البيانات.
– وبناء على ما تقتضيه مصلحة العمل.
قرر
(مادة أولى)
اعتماد تعديل اللائحة التنظيمية لحماية خصوصية البيانات المرفقة بهذا القرار.
(مادة ثانية)
على جهات الاختصاص-كل فيما يخصه- تنفيذ هذا القرار.
(مادة ثالثة)
يلغى جميع ما يتعارض مع احكام هذا القرار.
(مادة رابعة)
ينشر هذا القرار في الجريدة الرسمية والموقع الالكتروني للهيئة وتسري احكامه من تاريخ نشره.
رئيس مجلس إدارة الهيئة العامة
للاتصالات وتقنية المعلومــات
عمر سعود العمر
صدر في : 5ابريل 2023 م
لائحة حماية خصوصية البيانات
الإصدار: 2.0
تمهيد
يتزايد الطلب على خدمات الاتصالات وتقنية المعلومات من قبل القطاعين العام والخاص والتي يوفرها مقدمين لهذه الخدمات في دولة الكويت وباستخدام تقنيات متطورة كحلول الحوسبة السحابية (Cloud Computing) وانترنت الاشياء وغيرها ، و لما تقدمه هذه الخدمات من مميزات والتي تعتمد على موارد البنية التشغيلية والبرمجيات وغيرها من عناصر تقنية المعلومات التي يوفرها ويشغلها مقدمي خدمات الاتصالات وتقنية المعلومات وتشمل عمليات تخزين، أو نقل، أو معالجة لبيانات ومحتويات المستخدم، فإن الهيئة العامة للاتصالات وتقنية المعلومات تعي ضرورة أن يلتزم مقدمي خدمات الاتصالات وتقنية المعلومات بحماية البيانات والحقوق والحريات الأساسية للنقل المتعلقة بخصوصية البيانات الشخصية المجمعة، مما يستدعي أن تصدر الهيئة مجموعة من الأدوات التنظيمية وشروط وأسس وتوجيهات تتعلق بممارسة مقدمي هذا النشاط وكل ما يرتبط به من أحكام ومزايا، والتزامات لدعم هذا التوجه.
وكما أن الهيئة العامة للاتصالات وتقنية المعلومات تطمح لتطوير صناعة متينة تعتمد على توفير أفضل خدمات الاتصالات وتقنية المعلومات، وتقديمها للجهات الحكومية وقطاع الأعمال والأفراد داخل دولة الكويت، مما يعزز من عمل الأنشطة الحكومية والتجارية والصناعية، ويساهم باستقطاب المستثمرين المهتمين بهذا المجال وتعزيز أسس تنافسية تحقيقا لرؤية دولة الكويت في تحويلها الى مركز مالي وتجاري (كويت جديدة 2035).
التعريفات
يكون للكلمات والعبارات التالية حيثما وردت في هذا الدليل المعاني المخصصة لها أدناه وكما تعتمد التعاريف الواردة في قانون الهيئة العامة للاتصالات وتقنية المعلومات ولائحته التنفيذية:
الهيئة: الهيئة العامة للاتصالات وتقنية المعلومات بموجب قانون 37 لسنه 2014 وتعديلاته ولائحته التنفيذية.
مقدم الخدمة/ المرخص له: الشخص الذي يرخص له بتقديم خدمة أو أكثر من خدمات الاتصالات للجمهور، أو يرخص له بإدارة، أو إنشاء، أو تشغيل شبكة اتصالات، أو خدمة الانترنت لتوفير خدمات الاتصالات للجمهور، يشمل مقدمي المعلومات أو المحتوى التي تقدم بواسطة شبكة الاتصالات.
الشخص الاعتباري: هو كيان ذاتي مستقل لتحقيق غرض معين ويتمتع بالشخصية القانونية في حدود هذا الغرض، وينطبق على الشركات أو الكيانات المؤسسية الخاصة أو العامة التي تملكها الدولة أو المنظمات والتي لديها موطن في دولة الكويت
البيانات الشخصية: هي البيانات ذات صلة بشخص طبيعي أو شخص اعتباري محدد الهوية أو يمكن تحديده من خلال هذه البيانات بطريقة مباشرة كتحديد الاسم والهوية، أو المعلومات المالية، أو الصحية أو العرقية أو الدينية أو أي بيانات تسمح بتحديد الموقع الجغرافي للشخص أو البصمة الشخصية أو البصمة الوراثية، أو من خلال الجمع بين البيانات المتوفرة وأية بيانات أخرى، أو أي ملف صوتي بما في ذلك صوت الشخص، وأي معرف آخر يسمح بالاتصال عبر الإنترنت بالشخص.
المستفيد/ المستخدم: الشخص الذي يستفيد من خدمة الاتصالات العامة أو التي يقصد استخدامها في أغراض خاصة باستخدام عمليات الاتصال.
جمع ومعالجة البيانات: أي عملية أو مجموعة من العمليات يتم اتخاذها على البيانات الشخصية وسواء كانت داخل دولة الكويت أو خارجها باستخدام الوسائل الآلية أو وسائل أخرى مثل جمع وتسجيل وتنظيم وتحليل وتخزين أو تعديل أو استرجاع أو استخدام أو الإفصاح من خلال الإرسال والنشر أو جعلها متاحة أو دمجها أو تقييدها أو حذفها أو اتلافها.
التشفير: هي عملية تحويل البيانات من نص مقروء الى نص غير مقروء لأحد باستثناء من يملك معرفة خاصة أو مفتاح خاص لإعادة تحويل النص المشفر إلى نص مقروء، وتطبق عملية التشفير سواء أثناء تخزين البيانات أو عند نقلها على شبكات الاتصالات.
الطرف الثالث: هو أي شخص طبيعي أو اعتباري يقوم بجمع أو معالجة البيانات الشخصية بالنيابة عن مقدم الخدمة وبتوجيه منه وذلك من خلال مراكز بيانات يمتلكونها أو يستخدمونها بشكل مباشر أو غير مباشر.
نطاق اللائحة
المادة (1)
تطبق هذه اللائحة على جميع مقدمي الخدمة المرخص لهم من قبل الهيئة والذين يعملون على جمع ومعالجة وتخزين البيانات الشخصية ومحتوى بيانات المستخدم كليا أو جزئيا، سواء بشكل دائم أو مؤقت بالوسائل الآلية أو بأي وسائل أخرى والتي تشكل جزءا من نظام حفظ البيانات، سواء تمت المعالجة داخل دولة الكويت أو خارجها.
شروط جمع ومعالجة البيانات الشخصية
المادة (2)
يجب علي مقدم الخدمة وقبل توفير الخدمة للمستخدم أن يقوم بالتالي:
1) توفير كافة معلومات وشروط الخدمة وطلب تغيير أو إلغاء البيانات، موضحة وبعبارات سهلة، وأن تتوفر باللغتين الإنجليزية والعربية.
2) الحصول على موافقة طالب الخدمة على جمع أو معالجة البيانات الشخصية وعلمه وقبوله بجميع الشروط والالتزامات وأحكام جمع ومعالجة البيانات.
3) توضيح الغرض من جمع بيانات المستخدم الشخصية واللازمة لتقديم الخدمة وكيفية استخدام هذه البيانات.
المادة (3)
لا تكون جمع ومعالجة البيانات مشروعة وقانونية إلا في حال توافر إحدى الحالات التالية:
1) الحصول على موافقة المستخدم صاحب البيانات.
2) أن تكون ضرورية للامتثال لالتزام قانوني يخضع له مقدم الخدمة.
3) أن تكون ضرورية لحماية بيانات المستخدم.
4) إذا كانت الأغراض التي يقوم بها مقدم الخدمة تتطلب تحديد هوية صاحب البيانات.
5) الحصول على موافقة خطية من قبل ولي أمر القاصر إذا كان عمره أقل من 18 سنة.
وفي جميع الأحوال يجب أن يكون لمقدم الخدمة القدرة على إثبات موافقة صاحب البيانات على معالجة البيانات.
المادة (4)
يجب على مقدم الخدمة أثناء توفير الخدمة أو بعد انتهائها أن يقوم بجمع ومعالجة البيانات وفقا للشروط التالية:
1( تقديم معلومات واضحة يسهل الوصول إليها حول ممارساتهم وسياساتهم فيما يتعلق بالبيانات الشخصية لضمان اجراء عمليات الجمع والمعالجة وبشفافية.
2) تحديد الغرض من جمع البيانات والأساس القانوني لمعالجة البيانات وفترة الاحتفاظ بها أن وجدت.
3) تحديد هوية ومكان مقدم الخدمة، بما في ذلك معلومات عن كيفية الاتصال بهم بشأن ممارساتهم ومعالجة البيانات الشخصية.
4) معالجة البيانات بطريقة تضمن حماية البيانات الشخصية من المعالجة غير المصرح بها أو المعالجة غير القانونية وضد الخسارة العارضة والتلف أو الإضرار بها وذلك باستخدام التدابير الفنية والتنظيمية المناسبة (“السلامة والسرية”).
5) يجب على مقدم الخدمة اخطار الهيئة في حال كشف بيانات المستخدمين الشخصية لأي شركة زميلة أو مالكة لمقدم الخدمة أو طرف ثالث بشكل مباشر أو غير مباشر، على أن يكون مقدم الخدمة هو المسؤول عن حماية خصوصية البيانات المشارك فيها.
6) استخدام الوسائل التكنولوجية المناسبة التي تمكن المستخدمين من ممارسة حقهم في الوصول إلى البيانات الشخصية ومراجعتها وتصحيحها بشكل مباشر، ويتعين على مقدم الخدمة منح الطرف الثالث (إن وجد) كافة الصلاحيات الضرورية والتنظيمية لاستخدام أي برامج، أو أي أعمال ملكية فكرية أخرى يحميها النظام.
7( تقديم معلومات عن مكان تخزين البيانات الشخصية في حال كانت داخل أو خارج دولة الكويت.
8) تحديد آلية الحصول على أو تصحيح أو حذف البيانات الشخصية أو تقييد الوصول إليها أو معالجتها، أو الاعتراض على معالجتها أو طلب نقل البيانات الشخصية.
9) إخطار صاحب البيانات في حال كان مقدم الخدمة يعتزم نقل بياناته الشخصية الى خارج دولة الكويت.
10) ازالة البيانات الشخصية التي بحوزته حال انتهاء العلاقة التعاقدية مع صاحب البيانات.
11) الحصول على موافقة صاحب البيانات قبل الكشف عن بياناته الشخصية لأي طرف ثالث لأغراض تسويقية لا تتعلق مباشرة بتوفير خدمات الاتصالات وتقنية المعلومات التي يطلبها المستخدم.
12) يجب على مقدم الخدمة، أن يوفر وسيلة سهلة الاستخدام، وعملية ويمكن النفاذ إليها بسهولة تمكن المستخدم من تعديل بياناته، أو سحب موافقته، أو تعطيل خدمة، أو طريقة جمع ،أو استخدام أو معالجة أو الإفصاح عن بياناته الشخصية
13) يجب على مقدم الخدمة حذف البيانات الشخصية للمستخدم إذا:
أ) قام المستخدم بسحب الموافقة الخاصة بمعالجة أو استخدام البيانات الشخصية.
ب) لم تعد البيانات الشخصية لازمة لتقديم الخدمات التي يطلبها المستخدم.
ج) لم يعد المستخدم مشتركا في الخدمة التي تم جمع البيانات الشخصية بشأنها.
14) يجب على مقدم الخدمة إنشاء والحفاظ على سياسة خصوصية مكتوبة بحيث:
أ) تبين بالتفصيل عمليات وإجراءات مقدم الخدمة فيما يتعلق بجمع واستخدام والإفصاح عن البيانات الشخصية، بما في ذلك الطريقة التي سوف يتبعها للامتثال.
ب) يتم نشرها على الموقع الالكتروني لمقدم الخدمة وتقدم للمستخدمين عند التعاقد في الخدمات.
15) إذا تم الكشف عن البيانات الشخصية المخزنة من قبل مقدم الخدمة بشكل غير صحيح وأدى هذا الكشف أو النفاذ إلى إلحاق الضرر بعدد كبير من المستخدمين، وجب على مقدم الخدمة إخطار الهيئة والمستخدمين وجهات إنفاذ القانون في أقرب وقت ممكن وبما لا يزيد في أي حال عن 24 ساعة.
16) عند إعداد أي عملية أو نظام أو إجراءات لتوفير تسهيلات أو خدمات الاتصالات، يجب على مقدم الخدمة أن يعتمد الخصوصية من خلال تصميم الخدمات.
أمن وحماية البيانات الشخصية
المادة (5)
على مقدم الخدمة اتخاذ الآتي:
1) توفير التدابير الأمنية المناسبة لحماية البيانات الشخصية للمستخدم ضد الخسارة أو الضرر أو الإفصاح أو الاختراق من طرف آخر غير مصرح له أو استبدال البيانات أو المعلومات بأخرى غير صحيحة أو إضافة معلومات غير صحيحة. ويجب أن تكون هذه التدابير ملائمة لطبيعة ونطاق أنشطته وحساسية أي بيانات شخصية يتم جمعها وتخزينها، بما في ذلك الأمور التالية:
أ) معالجة وتشفير البيانات الشخصية، وتبعا لمستوى البيانات المحددة بسياسة تصنيف البيانات لمقدم الخدمة.
ب) ضمان السرية المستمرة ونزاهة وتوافر ومرونة نظم وخدمات المعالجة.
ج) استعادة التوافر والوصول إلى البيانات الشخصية في الوقت المناسب في حالة وقوع قوه قاهره.
د) اختبار وتقييم فعالية التدابير التقنية والتنظيمية لضمان أمن المعالجة.
2) تأمين البيانات من التدمير العرضي أو غير القانوني أو الفقد أو التغيير أو الكشف غير المصرح به أو الوصول إلى البيانات الشخصية المرسلة أو المخزنة أو التي تتم معالجتها بطرق أخرى.
3) الالتزام بالسياسات والممارسات العالمية المتعلقة باستمرارية الأعمال، والتعافي من الكوارث، وإدارة المخاطر، وسياسات أمن المعلومات.
4) الاحتفاظ بسجلات أنشطة المعالجة وأن تتضمن السجلات كافة المعلومات التالية:
أ) اسم وبيانات الاتصال بمقدم الخدمة، وممثله إذا كان خارج دولة الكويت ومسؤول حماية البيانات.
ب) أغراض معالجة البيانات.
ج) وصف فئات أصحاب البيانات وفئات البيانات الشخصية الأخرى.
د) نقل البيانات الشخصية، إذا لزم الأمر، إلى خارج دولة الكويت مع تحديد هوية هذه الدولة.
ه) وصف عام للتدابير الأمنية الفنية والتنظيمية المستخدمة.
5) إتاحة السجلات للاطلاع عليها من قبل الهيئة عند الطلب.
6) مراعاة الضوابط الخاصة بتصميم أو تغيير أو تطوير المنتجات والنظم والخدمات والتي من الممكن أن تؤثر على معالجة البيانات الشخصية.
7) تطوير والالتزام بسياسات داخلية للحماية وخصوصية البيانات.
8) تحديد وتدريب وتوعية المسؤولين عن حماية البيانات الشخصية.
9) وضع نظم داخلية لتلقي الشكاوى ودراستها على مدار الساعة، وطلبات الوصول للبيانات، وطلبات تصحيحها أو حذفها.
10) وضع نظم داخلية للإدارة الفعالة للبيانات الشخصية، والإبلاغ عن أي تجاوز للإجراءات التي تهدف إلى حمايتها.
11) إجراء عمليات تدقيق ومراجعة شاملة عن مدى الالتزام بحماية البيانات الشخصية.
إخطار الهيئة العامة للاتصالات وتقنية المعلومات بحال حدوث اختراقات للبيانات الشخصية
المادة (6)
1) على مقدم الخدمة عند حدوث اختراق للبيانات الشخصية وفي مدة لا تتجاوز 72 ساعة بعد علمها إخطار حدوث اختراق للبيانات الشخصية إلى الهيئة العامة للاتصالات وتقنية المعلومات.
2) يتضمن الإخطار:
أ) طبيعة الاختراق، ومدى تسرب البيانات الشخصية والأشخاص المسربة معلوماتها والمستويات الأمنية المتضررة.
ب) اسم وآلية التواصل مع مسؤول حماية البيانات.
ج) النتائج المحتملة للاختراق، والتدابير المتخذة أو التي يقترح أن يتخذها مقدم الخدمة لمعالجة الاختراق.
د) إخطار صاحب البيانات الشخصية بحال حدوث اختراقات للبيانات الشخصية.
1) لا يلزم إبلاغ صاحب البيانات إذا قام مقدم الخدمة باتخاذ تدابير الحماية الفنية والتنظيمية المناسبة، وتم تطبيق هذه التدابير على البيانات الشخصية المتأثرة بحدوث الاختراق
2) اتخاذ التدابير اللاحقة التي تكفل عدم ارتفاع المخاطر على حقوق وحريات الأشخاص أصحاب البيانات.
أحكام عامة
المادة (7)
1. على جميع مقدمي الخدمة أو المصرح لهم بامتلاك شبكات اتصالات عامة توفيق أوضاعهم مع أحكام هذه اللائحة واللوائح الاخرى ذات العلاقة مع هذه اللائحة والصادرة عن الهيئة خلال مدة لا تتجاوز سنه من تاريخ نشرها.
2. يجوز للهيئة إصدار تعليمات أو ارشادات متعلقة بخصوصية البيانات كلما اقتضى الحال ذلك.
3. للهيئة في حال ثبوت مخالفة أحكام هذه اللائحة أو قوانين دولة الكويت تطبيق الجزاءات والغرامات المنصوص عليها بالقانون رقم 37 لسنة 2014 لإنشاء الهيئة العامة للاتصالات وتقنية المعلومات والمعدل بالقانون رقم (98) لسنة 2015.
الهيئة العامة للاتصالات وتقنية المعلومات
قرار رقم 26 لسنة 2024 بشان اصدار لائحة حماية خصوصية البيانات
رئيس مجلس الإدارة
– بــعــد الاطــلاع عـلـى المــرســـوم بـقـانــون رقـــم (15) لسنة 1979، بـشــأن الـخـدمــة الـمـدنيـة وتــعـديلاتــــه،
– وعـلـى المرسـوم رقــم (144) لسنـة 2022 الصـادر بتاريخ 23/08/2022 بتشكيـل مجلـس إدارة الهيئـة،
– وعـلــى قـرار مجلـس الـوزراء الموقـر رقــم (993) لسنـة 2015، بإصــدار الـلائـحــة الـتـنـفـيـذيــة لـلـقـانــون رقــم (37) لـسـنــة 2014، بإنـشــاء هـيـئــة تـنـظـيــم الاتـصــالات وتـقـنـيــة الـمـعـلــومــات،
– وعـلــى قـــرار مـجـلــس إدارة الـهـيـئــة رقـــم (6) لـسـنــة 2015 الـصــادر بـتـاريــخ 02/12/2015، بالـمــوافـقــة عـلــى لائـحــة مـجـلــس إدارة الـهـيـئــة الـعـامــة لـلاتـصــالات وتـقـنـيــة الـمـعـلــومــات،
– وعـلـى قــرار رئـيـس مجـلــس إدارة الـهـيـئــة رقــم (42/2021) الـصــادر بـتـاريــخ 01/04/2021، بـشــأن لائـحــة حـمـايــة خـصـوصـيــة الـبـيـانــات،
– وعـلـى قــرار رئـيـس مجـلــس إدارة الـهـيـئــة رقــم (244/2023) الـصــادر بـتـاريــخ 05/04/2021، بـشــأن تـعـديــل لائـحــة حـمـايــة خـصـوصـيــة الـبـيـانــات،
– وعـلــى مــوافـقــة مجـلــس إدارة الـهـيـئــة باجتماعه رقــم (14/2023) المنعقـد بـتـاريــخ 05/12/2023، بالـمـوافـقــة عـلــى اعتماد لائـحــة حـمـايــة خـصـوصـيــة الـبـيـانــات ،
– وعـلــى قــرار مجـلــس إدارة الـهـيـئــة باجتماعه رقــم (1/2024) المنعقـد بـتـاريــخ 24/1/2024، بـشــأن لائـحــة حـمـايــة خـصـوصـيــة الـبـيـانــات ،
– وبــنــــاءً عــلــــى مــــا تــقــتــضــيــــه مــصــلــحــــة الــعــمــــل.
قـــــرر
مــادة أولــى
يـعـمــل بأحـكــام لائـحــة حـمـايــة خـصـوصـيــة الـبـيـانــات الـمـرفـقــة لـهــذا الـقــرار والمعتمدة بـإجتماع مجـلــس إدارة الـهـيـئــة رقــم (14/2023) المنعقـد بـتـاريــخ 05/12/2023.
مــادة ثـانـيــة
يلـغـى الـعـمـل بــأحـكــام لائـحــة حـمـايــة خـصـوصـيــة الـبـيـانــات المـعـمـول بــهـا بـمـوجب قــرار رئـيـس مجـلــس إدارة الـهـيـئــة رقــم (42/2021) الـصــادر بـتـاريــخ 01/04/2021 وتــعـديلاتــــه.
مــادة ثـالــثـة
عـلــى الـجـهــات الـمـخـتـصــة تـنـفـيــذ هــذا الـقــرار كــل فـيـمــا يـخـصــه، وإبـلاغــه لـمــن يـلــزم، ويـنـشــر فــي الـجـريــدة الـرسـمـيــة والـمـوقــع الإلكتروني لـلـهـيـئــة ويـعـمــل بــه مــن تـاريــخ نـشــره، ويـلـغــى كــل مــا يـخـالــف هــذا الـقــرار أو يـتـعــارض مــع أحـكـامــه.
رئيس مجلس إدارة الهيئة العامة
للاتصـالات وتقنيــة المعلومـات
عـــمـــر ســعـــود الــعــمــــر
صدر في: 7 فبراير 2024 م
لائحة حماية خصوصية البيانات
المقدمة
يتزايد الطلب على خدمات الاتصالات وتقنية المعلومات من قبل القطاعين العام والخاص التي يوفرها مقدمي هذه الخدمات في دولة الكويت باستخدام تقنيات متطورة، كحلول الحوسبة السحابية (Cloud Computing) وإنترنت الأشياء وغيرها، ولما تقدمه هذه الخدمات من مميزات تعتمد على موارد البنية التشغيلية والبرمجيات وغيرها من عناصر تقنية المعلومات التي يوفرها ويشغلها مقدمي خدمات الاتصالات وتقنية المعلومات، وتشمل عمليات جمع، ومعالجة لبيانات ومحتويات المستخدم. حيث إن الهيئة العامة للاتصالات وتقنية المعلومات تعي ضرورة أن يلتزم مقدمي خدمات الاتصالات وتقنية المعلومات بحماية البيانات والحقوق والحريات الأساسية للنقل المتعلقة بخصوصية البيانات الشخصية المجمعة، مما يحفز الهيئة أن تصدر مجموعة من الأدوات التنظيمية تتضمن الشروط والأسس والتوجيهات التي تتعلق بتنظيم ممارسات إدارة ومعالجة البيانات من قبل مقدمي خدمات الاتصالات وتقنية المعلومات وكل ما يرتبط بها من أحكام والتزامات لدعم هذا التوجه التنظيمي. وكما أن الهيئة العامة للاتصالات وتقنية المعلومات تطمح لتطوير صناعة متينة تعتمد على توفير أفضل خدمات الاتصالات وتقنية المعلومات بغرض تقديمها للجهات الحكومية وقطاع الأعمال والأفراد داخل دولة الكويت، مما يدعم عمل الأنشطة الحكومية والتجارية والصناعية، ويسهم نحو استقطاب المستثمرين المهتمين بهذا المجال وتعزيز أسس تنافسية تحقيقاً لرؤية دولة الكويت نحو النهوض بها إلى مركز مالي وتجاري (كويت جديدة 2035).
التعريفات والمصطلحات الفنية:
يكون للكلمات والعبارات التالية حيثما وردت في هذا الدليل المعاني المخصصة لها أدناه وكما تعتمد التعاريف الواردة في قانون الهيئة العامة للاتصالات وتقنية المعلومات ولائحته التنفيذية:
الهيئة: الهيئة العامة للاتصالات وتقنية المعلومات بموجب قانون 37 لسنه 2014 وتعديلاته ولائحته التنفيذية.
مقدم الخدمة/ المرخص له: الشخص الذي يرخص له بتقديم خدمة أو أكثر من خدمات الاتصالات للجمهور، أو يرخص له بإدارة، أو إنشاء، أو تشغيل شبكة اتصالات، أو خدمة الانترنت لتوفير خدمات الاتصالات للجمهور، يشمل مقدمي المعلومات أو المحتوى التي تقدم بواسطة شبكة الاتصالات.
الشخص الاعتباري: هو كيان ذاتي مستقل لتحقيق غرض معين ويتمتع بالشخصية القانونية في حدود هذا الغرض، وينطبق على الشركات أو الكيانات المؤسسية الخاصة أو العامة التي تملكها الدولة أو المنظمات والتي لديها موطن في دولة الكويت.
البيانات الشخصية: هي البيانات ذات صلة بشخص طبيعي أو شخص اعتباري محدد الهوية أو يمكن تحديده من خلال هذه البيانات بطريقة مباشرة كتحديد الاسم والهوية، أو المعلومات المالية، أو الصحية، أو العرقية أو الدينية أو أي بيانات تسمح بتحديد الموقع الجغرافي للشخص أو البصمة الشخصية أو البصمة الوراثية، أو من خلال الجمع بين البيانات المتوفرة وأية بيانات أخرى، أو أي ملف صوتي بما في ذلك صوت الشخص، وأي معرف آخر يسمح بالاتصال عبر الإنترنت بالشخص.
المستفيد/ المستخدم: الشخص الذي يستفيد من خدمة الاتصالات العامة أو التي يقصد استخدامها في أغراض خاصة باستخدام عمليات الاتصال.
جمع ومعالجة البيانات: أي عملية أو مجموعة من العمليات يتم اتخاذها على البيانات الشخصية وسواء كانت داخل دولة الكويت أو خارجها باستخدام الوسائل الآلية أو وسائل أخرى مثل جمع وتسجيل وتنظيم وتحليل وتخزين، أو تعديل، أو استرجاع، أو استخدام أو الإفصاح من خلال الإرسال والنشر أو جعلها متاحة أو دمجها أو تقييدها أو حذفها أو إتلافها.
إزالة وحذف البيانات: عملية أو مجموعة عمليات يتخذها المرخص له / مقدم الخدمة بهدف التوقف عن استخدام بيانات العميل للأغراض التجارية وعدم إتاحتها للعامة مع جواز استمراره بالاحتفاظ بتلك البيانات واستخدامها للأغراض الأمنية ولتنفيذ القرارات والأحكام القضائية والمطالبات المالية الناتجة عن عقد الاشتراك المبرم بين المستفيد / المستخدم ومقدم الخدمة / المرخص له فقط.
الطرف الثالث: هو أي شخص طبيعي أو اعتباري يقوم بجمع أو معالجة البيانات الشخصية بالنيابة عن مقدم الخدمة وبتوجيه منه سواءً كان ذلك بشكل مباشر أو غير مباشر.
المادة الأولى
نـطـاق اللائـحة
تطبق هذه اللائحة على جميع مقدمي الخدمة المرخص لهم من قبل الهيئة والذين يعملون على جمع ومعالجة وتخزين البيانات الشخصية ومحتوى بيانات المستخدم كلياً أو جزئياً، سواءً بشكل دائم أو مؤقت بالوسائل الآلية أو بأي وسائل أخرى والتي تشكل جزءا من نظام حفظ البيانات، سواء تمت المعالجة داخل دولة الكويت أو خارجها.
ولا تطبق أحكام هذه اللائحة على الممارسات المتعلقة بالتحريات الأمنية ورصد المخالفات أو الممارسات المخالفة للقوانين والقرارات والأحكام القضائية والمطالبات المالية الناشئة عن عقد الاشتراك.
المادة الثانية
شروط جمع ومعالجة البيانات الشخصية
يجب علي مقدم الخدمة وقبل توفير الخدمة للمستخدم أن يقوم بالتالي:
1. توفير كافة معلومات وشروط الخدمة وطلب تغيير أو إلغاء البيانات، موضحة وبعبارات سهلة، وأن تتوفر باللغتين الإنجليزية والعربية.
2. الحصول على موافقة طالب الخدمة على جمع أو معالجة البيانات الشخصية وعلمه وقبوله بجميع الشروط والالتزامات وأحكام جمع ومعالجة البيانات.
3. توضيح الغرض من جمع بيانات المستخدم الشخصية واللازمة لتقديم الخدمة وكيفية استخدام هذه البيانات.
المادة الثالثة: مشروعية جمع ومعالجة البيانات
لا تكون جمع ومعالجة البيانات مشروعة وقانونية إلا في حال توافر إحدى الحالات التالية:
1. الحصول على موافقة المستخدم صاحب البيانات.
2. أن تكون ضرورية للامتثال لالتزام قانوني يخضع له مقدم الخدمة.
3. أن تكون ضرورية لحماية بيانات المستخدم.
4. إذا كانت الأغراض التي يقوم بها مقدم الخدمة تتطلب تحديد هوية صاحب البيانات.
5. الحصول على موافقة خطية من قبل ولي أمر القاصر إذا كان عمره أقل من 18 سنة.
وفي جميع الأحوال يجب أن يكون لمقدم الخدمة القدرة على إثبات موافقة صاحب البيانات على معالجة البيانات.
المادة الرابعة
شروط جمع ومعالجة البيانات
يجب على مقدم الخدمة أثناء توفير الخدمة أو بعد انتهائها أن يقوم بجمع ومعالجة البيانات وفقاً للشروط التالية:
1. تقديم معلومات واضحة يسهل الوصول إليها حول ممارساتهم وسياساتهم فيما يتعلق بالبيانات الشخصية لضمان إجراء عمليات الجمع والمعالجة وبشفافية.
2. تحديد الغرض من جمع البيانات والأساس القانوني لمعالجة البيانات وفترة الاحتفاظ بها إن وجدت.
3. تحديد هوية ومكان مقدم الخدمة، بما في ذلك معلومات عن كيفية الاتصال بهم بشأن ممارساتهم ومعالجة البيانات الشخصية.
4. معالجة البيانات بطريقة تضمن حماية البيانات الشخصية من المعالجة غير المصرح بها أو المعالجة غير القانونية وضد الخسارة العارضة والتلف أو الإضرار بها وذلك باستخدام التدابير الفنية والتنظيمية المناسبة (“السلامة والسرية”).
5. يجب على مقدم الخدمة اخطار الهيئة في حال كشف بيانات المستخدمين الشخصية لأي شركة زميلة أو مالكة لمقدم الخدمة أو طرف ثالث بشكل مباشر أو غير مباشر، على أن يكون مقدم الخدمة هو المسؤول عن حماية خصوصية البيانات المشارك فيها.
6. استخدام الوسائل التكنولوجية المناسبة التي تمكن المستخدمين من ممارسة حقهم في الوصول إلى البيانات الشخصية ومراجعتها وتصحيحها بشكل مباشر، ويتعين على مقدم الخدمة منح الطرف الثالث (إن وجد) كافة الصلاحيات الضرورية والتنظيمية لاستخدام أي برامج، أو أي أعمال ملكية فكرية أخرى يحميها النظام.
7. تقديم معلومات عن مكان تخزين البيانات الشخصية في حال كانت داخل أو خارج دولة الكويت.
8. تحديد آلية الحصول على أو تصحيح أو ازالة البيانات الشخصية أو تقييد الوصول إليها أو معالجتها، أو الاعتراض على معالجتها أو طلب نقل البيانات الشخصية.
9. إخطار صاحب البيانات في حال كان مقدم الخدمة يعتزم نقل بياناته الشخصية الى خارج دولة الكويت.
10. ازالة البيانات الشخصية التي بحوزته حال انتهاء العلاقة التعاقدية مع صاحب البيانات.
11. الحصول على موافقة صاحب البيانات قبل الكشف عن بياناته الشخصية لأي طرف ثالث لأغراض تسويقية لا تتعلق مباشرة بتوفير خدمات الاتصالات وتقنية المعلومات التي يطلبها المستخدم.
12. يجب على مقدم الخدمة، أن يوفر وسيلة سهلة الاستخدام، وعملية ويمكن النفاذ إليها بسهولة تمكن المستخدم من تعديل بياناته، أو سحب موافقته، أو تعطيل خدمة، أو طريقة جمع، أو استخدام، أو معالجة أو الإفصاح عن بياناته الشخصية.
13. يجب على مقدم الخدمة إزالة البيانات الشخصية للمستخدم إذا:
13.1. قام المستخدم بسحب الموافقة الخاصة بمعالجة أو استخدام البيانات الشخصية.
13.2. لم تعد البيانات الشخصية لازمة لتقديم الخدمات التي يطلبها المستخدم.
13.3. لم يعد المستخدم مشتركاً في الخدمة التي تم جمع البيانات الشخصية بشأنها.
14. يجب على مقدم الخدمة إنشاء والحفاظ على سياسة خصوصية مكتوبة بحيث:
14.1. تبين بالتفصيل عمليات وإجراءات مقدم الخدمة فيما يتعلق بجمع واستخدام والإفصاح عن البيانات الشخصية، بما في ذلك الطريقة التي سوف يتبعها للامتثال.
14.2. يتم نشرها على الموقع الإلكتروني لمقدم الخدمة وتقدم للمستخدمين عند التعاقد في الخدمات.
15. إذا تم الكشف عن البيانات الشخصية المخزنة من قبل مقدم الخدمة بشكل غير صحيح وأدى هذا الكشف أو النفاذ إلى إلحاق الضرر بعدد كبير من المستخدمين، وجب على مقدم الخدمة إخطار الهيئة والمستخدمين وجهات إنفاذ القانون في أقرب وقت ممكن وبما لا يزيد في أي حال عن 72 ساعة.
16. عند إعداد أي عملية، أو نظام، أو إجراءات لتوفير تسهيلات ،أو خدمات الاتصالات، يجب على مقدم الخدمة أن يعتمد الخصوصية من خلال تصميم الخدمات.
المادة الخامسة
أمن وحماية البيانات الشخصية
على مقدم الخدمة اتخاذ الآتي:
1. توفير التدابير الأمنية المناسبة لحماية البيانات الشخصية للمستخدم ضد الخسارة، أو الضرر، أو الإفصاح أو الاختراق من طرف آخر غير مصرح له أو استبدال البيانات أو المعلومات بأخرى غير صحيحة أو إضافة معلومات غير صحيحة. ويجب أن تكون هذه التدابير ملائمة لطبيعة ونطاق أنشطته وحساسية أي بيانات شخصية يتم جمعها وتخزينها، بما في ذلك الأمور التالية:
1.1. معالجة وتشفير البيانات الشخصية، وتبعا لمستوى البيانات المحددة بسياسة تصنيف البيانات لمقدم الخدمة.
1.2. ضمان السرية المستمرة ونزاهة وتوافر ومرونة نظم وخدمات المعالجة.
1.3. استعادة التوافر والوصول إلى البيانات الشخصية في الوقت المناسب في حالة وقوع قوه قاهره.
1.4. اختبار وتقييم فعالية التدابير التقنية والتنظيمية لضمان أمن المعالجة.
2. تأمين البيانات من التدمير العرضي، أو غير القانوني ،أو الفقد أو التغيير أو الكشف غير المصرح به أو الوصول إلى البيانات الشخصية المرسلة أو المخزنة أو التي تتم معالجتها بطرق أخرى.
3. الالتزام بالسياسات والممارسات العالمية المتعلقة باستمرارية الأعمال، والتعافي من الكوارث، وإدارة المخاطر، وسياسات أمن المعلومات.
4. الاحتفاظ بسجلات أنشطة المعالجة، على أن تتضمن السجلات كافة المعلومات التالية:
4.1. اسم وبيانات الاتصال بمقدم الخدمة، وممثله إذا كان خارج دولة الكويت ومسؤول حماية البيانات.
4.2. أغراض معالجة البيانات.
4.3. وصف فئات أصحاب البيانات وفئات البيانات الشخصية الأخرى.
4.4. نقل البيانات الشخصية، إذا لزم الأمر، إلى خارج دولة الكويت مع تحديد هوية هذه الدولة.
4.5. وصف عام للتدابير الأمنية الفنية والتنظيمية المستخدمة.
5. إتاحة السجلات للاطلاع عليها من قبل الهيئة عند الطلب.
6. مراعاة الضوابط الخاصة بتصميم أو تغيير أو تطوير المنتجات والنظم والخدمات والتي من الممكن أن تؤثر على معالجة البيانات الشخصية.
7. تطوير والالتزام بسياسات داخلية للحماية وخصوصية البيانات.
8. تحديد وتدريب وتوعية المسؤولين عن حماية البيانات الشخصية.
9. وضع نظم داخلية لتلقي الشكاوى ودراستها على مدار الساعة، وطلبات الوصول للبيانات، وطلبات تصحيحها أو حذفها.
10. وضع نظم داخلية للإدارة الفعالة للبيانات الشخصية، وإبلاغ الهيئة عن أي تجاوز للإجراءات التي تهدف إلى حمايتها.
11. إجراء عمليات تدقيق ومراجعة شاملة عن مدى الالتزام بحماية البيانات الشخصية.
12. إخطار الهيئة العامة للاتصالات وتقنية المعلومات بحال حدوث اختراقات للبيانات الشخصية.
المادة السادسة
الإخطار عند حدوث الاختراقات
1. على مقدم الخدمة عند حدوث اختراق للبيانات الشخصية وفي مدة لا تتجاوز 24 ساعة بعد علمه توجيه إخطار بحدوث اختراق للبيانات الشخصية إلى الهيئة العامة للاتصالات وتقنية المعلومات من خلال قنوات الاتصال الرسمية.
2. يجب أن يتضمن الإخطار:
2.1. طبيعة الاختراق، ومدى تسرب البيانات الشخصية والأشخاص المسربة معلوماتهم والمستويات الأمنية المتضررة.
2.2. اسم وآلية التواصل مع مسؤول حماية البيانات.
2.3. النتائج المحتملة للاختراق، والتدابير المتخذة أو التي يقترح أن يتخذها مقدم الخدمة لمعالجة الاختراق.
3. إخطار صاحب البيانات الشخصية في حال حدوث اختراقات لبياناته الشخصية.
4. لا يلزم إبلاغ صاحب البيانات إذا قام مقدم الخدمة باتخاذ تدابير الحماية الفنية والتنظيمية المناسبة، وتم تطبيق هذه التدابير على البيانات الشخصية المتأثرة بحدوث الاختراق.
5. اتخاذ التدابير اللاحقة التي تكفل عدم ارتفاع المخاطر على حقوق وحريات الأشخاص أصحاب البيانات.
المادة السابعة
أحكام عامة
1. على جميع مقدمي الخدمة أو المصرح لهم بامتلاك شبكات اتصالات عامة توفيق أوضاعهم مع أحكام هذه اللائحة واللوائح الأخرى ذات العلاقة مع هذه اللائحة والصادرة عن الهيئة خلال مدة لا تتجاوز سنه من تاريخ نشرها.
2. يجوز للهيئة إصدار تعليمات أو ارشادات متعلقة بخصوصية البيانات كلما اقتضى الحال ذلك.
3. للهيئة في حال ثبوت مخالفة أحكام هذه اللائحة أو قوانين دولة الكويت تطبيق الجزاءات والغرامات المنصوص عليها بالقانون رقم 37 لسنة 2014 لإنشاء الهيئة العامة للاتصالات وتقنية المعلومات والمعدل بالقانون رقم (98) لسنة 2015.
