الهيئة العامة للاتصالات وتقنية المعلومات قرار رقم 244 لسنة 2023 بشان تعديل لائحة حماية خصوصية البيانات
الهيئة العامة للاتصالات وتقنية المعلومات قرار رقم 42 لسنة 2021 بشان لائحة حماية خصوصية البيانات
– رئيس مجلس الإدارة
– بعد الاطلاع على القانون رقم (37) لسنة 2014 بشأن انشاء هيئة تنظيم الاتصالات وتقنية المعلومات وتعديلاته.
– وعلى المرسوم رقم (144) لسنة 2022 بتشكيل مجلس إدارة الهيئة العامة للاتصالات وتقنية المعلومات.
– وعلى قرار مجلس الوزراء رقم (993) لسنة 2015 الصادر بتاريخ13/7/2015 بأصدر اللائحة التنفيذية للقانون رقم 37/2014،
– وعلى قرار مجلس إدارة الهيئة رقم (42/2021) الصادر بتاريخ 1/4/2021 بخصوص إقرار اللائحة التنظيمية لحماية خصوصية البيانات
– وعلى موافقة مجلس الإدارة باجتماعه رقم (2/2023) المنعقد بتاريخ 14/3/2023 بشأن اعتماد تحديث اللائحة التنظيمية لحماية خصوصية البيانات.
– وبناء على ما تقتضيه مصلحة العمل.
قرر
(مادة أولى)
اعتماد تعديل اللائحة التنظيمية لحماية خصوصية البيانات المرفقة بهذا القرار.
(مادة ثانية)
على جهات الاختصاص-كل فيما يخصه- تنفيذ هذا القرار.
(مادة ثالثة)
يلغى جميع ما يتعارض مع احكام هذا القرار.
(مادة رابعة)
ينشر هذا القرار في الجريدة الرسمية والموقع الالكتروني للهيئة وتسري احكامه من تاريخ نشره.
رئيس مجلس إدارة الهيئة العامة
للاتصالات وتقنية المعلومــات
عمر سعود العمر
صدر في : 5ابريل 2023 م
لائحة حماية خصوصية البيانات
الإصدار: 2.0
تمهيد
يتزايد الطلب على خدمات الاتصالات وتقنية المعلومات من قبل القطاعين العام والخاص والتي يوفرها مقدمين لهذه الخدمات في دولة الكويت وباستخدام تقنيات متطورة كحلول الحوسبة السحابية (Cloud Computing) وانترنت الاشياء وغيرها ، و لما تقدمه هذه الخدمات من مميزات والتي تعتمد على موارد البنية التشغيلية والبرمجيات وغيرها من عناصر تقنية المعلومات التي يوفرها ويشغلها مقدمي خدمات الاتصالات وتقنية المعلومات وتشمل عمليات تخزين، أو نقل، أو معالجة لبيانات ومحتويات المستخدم، فإن الهيئة العامة للاتصالات وتقنية المعلومات تعي ضرورة أن يلتزم مقدمي خدمات الاتصالات وتقنية المعلومات بحماية البيانات والحقوق والحريات الأساسية للنقل المتعلقة بخصوصية البيانات الشخصية المجمعة، مما يستدعي أن تصدر الهيئة مجموعة من الأدوات التنظيمية وشروط وأسس وتوجيهات تتعلق بممارسة مقدمي هذا النشاط وكل ما يرتبط به من أحكام ومزايا، والتزامات لدعم هذا التوجه.
وكما أن الهيئة العامة للاتصالات وتقنية المعلومات تطمح لتطوير صناعة متينة تعتمد على توفير أفضل خدمات الاتصالات وتقنية المعلومات، وتقديمها للجهات الحكومية وقطاع الأعمال والأفراد داخل دولة الكويت، مما يعزز من عمل الأنشطة الحكومية والتجارية والصناعية، ويساهم باستقطاب المستثمرين المهتمين بهذا المجال وتعزيز أسس تنافسية تحقيقا لرؤية دولة الكويت في تحويلها الى مركز مالي وتجاري (كويت جديدة 2035).
التعريفات
يكون للكلمات والعبارات التالية حيثما وردت في هذا الدليل المعاني المخصصة لها أدناه وكما تعتمد التعاريف الواردة في قانون الهيئة العامة للاتصالات وتقنية المعلومات ولائحته التنفيذية:
الهيئة: الهيئة العامة للاتصالات وتقنية المعلومات بموجب قانون 37 لسنه 2014 وتعديلاته ولائحته التنفيذية.
مقدم الخدمة/ المرخص له: الشخص الذي يرخص له بتقديم خدمة أو أكثر من خدمات الاتصالات للجمهور، أو يرخص له بإدارة، أو إنشاء، أو تشغيل شبكة اتصالات، أو خدمة الانترنت لتوفير خدمات الاتصالات للجمهور، يشمل مقدمي المعلومات أو المحتوى التي تقدم بواسطة شبكة الاتصالات.
الشخص الاعتباري: هو كيان ذاتي مستقل لتحقيق غرض معين ويتمتع بالشخصية القانونية في حدود هذا الغرض، وينطبق على الشركات أو الكيانات المؤسسية الخاصة أو العامة التي تملكها الدولة أو المنظمات والتي لديها موطن في دولة الكويت
البيانات الشخصية: هي البيانات ذات صلة بشخص طبيعي أو شخص اعتباري محدد الهوية أو يمكن تحديده من خلال هذه البيانات بطريقة مباشرة كتحديد الاسم والهوية، أو المعلومات المالية، أو الصحية أو العرقية أو الدينية أو أي بيانات تسمح بتحديد الموقع الجغرافي للشخص أو البصمة الشخصية أو البصمة الوراثية، أو من خلال الجمع بين البيانات المتوفرة وأية بيانات أخرى، أو أي ملف صوتي بما في ذلك صوت الشخص، وأي معرف آخر يسمح بالاتصال عبر الإنترنت بالشخص.
المستفيد/ المستخدم: الشخص الذي يستفيد من خدمة الاتصالات العامة أو التي يقصد استخدامها في أغراض خاصة باستخدام عمليات الاتصال.
جمع ومعالجة البيانات: أي عملية أو مجموعة من العمليات يتم اتخاذها على البيانات الشخصية وسواء كانت داخل دولة الكويت أو خارجها باستخدام الوسائل الآلية أو وسائل أخرى مثل جمع وتسجيل وتنظيم وتحليل وتخزين أو تعديل أو استرجاع أو استخدام أو الإفصاح من خلال الإرسال والنشر أو جعلها متاحة أو دمجها أو تقييدها أو حذفها أو اتلافها.
التشفير: هي عملية تحويل البيانات من نص مقروء الى نص غير مقروء لأحد باستثناء من يملك معرفة خاصة أو مفتاح خاص لإعادة تحويل النص المشفر إلى نص مقروء، وتطبق عملية التشفير سواء أثناء تخزين البيانات أو عند نقلها على شبكات الاتصالات.
الطرف الثالث: هو أي شخص طبيعي أو اعتباري يقوم بجمع أو معالجة البيانات الشخصية بالنيابة عن مقدم الخدمة وبتوجيه منه وذلك من خلال مراكز بيانات يمتلكونها أو يستخدمونها بشكل مباشر أو غير مباشر.
نطاق اللائحة
المادة (1)
تطبق هذه اللائحة على جميع مقدمي الخدمة المرخص لهم من قبل الهيئة والذين يعملون على جمع ومعالجة وتخزين البيانات الشخصية ومحتوى بيانات المستخدم كليا أو جزئيا، سواء بشكل دائم أو مؤقت بالوسائل الآلية أو بأي وسائل أخرى والتي تشكل جزءا من نظام حفظ البيانات، سواء تمت المعالجة داخل دولة الكويت أو خارجها.
شروط جمع ومعالجة البيانات الشخصية
المادة (2)
يجب علي مقدم الخدمة وقبل توفير الخدمة للمستخدم أن يقوم بالتالي:
1) توفير كافة معلومات وشروط الخدمة وطلب تغيير أو إلغاء البيانات، موضحة وبعبارات سهلة، وأن تتوفر باللغتين الإنجليزية والعربية.
2) الحصول على موافقة طالب الخدمة على جمع أو معالجة البيانات الشخصية وعلمه وقبوله بجميع الشروط والالتزامات وأحكام جمع ومعالجة البيانات.
3) توضيح الغرض من جمع بيانات المستخدم الشخصية واللازمة لتقديم الخدمة وكيفية استخدام هذه البيانات.
المادة (3)
لا تكون جمع ومعالجة البيانات مشروعة وقانونية إلا في حال توافر إحدى الحالات التالية:
1) الحصول على موافقة المستخدم صاحب البيانات.
2) أن تكون ضرورية للامتثال لالتزام قانوني يخضع له مقدم الخدمة.
3) أن تكون ضرورية لحماية بيانات المستخدم.
4) إذا كانت الأغراض التي يقوم بها مقدم الخدمة تتطلب تحديد هوية صاحب البيانات.
5) الحصول على موافقة خطية من قبل ولي أمر القاصر إذا كان عمره أقل من 18 سنة.
وفي جميع الأحوال يجب أن يكون لمقدم الخدمة القدرة على إثبات موافقة صاحب البيانات على معالجة البيانات.
المادة (4)
يجب على مقدم الخدمة أثناء توفير الخدمة أو بعد انتهائها أن يقوم بجمع ومعالجة البيانات وفقا للشروط التالية:
1( تقديم معلومات واضحة يسهل الوصول إليها حول ممارساتهم وسياساتهم فيما يتعلق بالبيانات الشخصية لضمان اجراء عمليات الجمع والمعالجة وبشفافية.
2) تحديد الغرض من جمع البيانات والأساس القانوني لمعالجة البيانات وفترة الاحتفاظ بها أن وجدت.
3) تحديد هوية ومكان مقدم الخدمة، بما في ذلك معلومات عن كيفية الاتصال بهم بشأن ممارساتهم ومعالجة البيانات الشخصية.
4) معالجة البيانات بطريقة تضمن حماية البيانات الشخصية من المعالجة غير المصرح بها أو المعالجة غير القانونية وضد الخسارة العارضة والتلف أو الإضرار بها وذلك باستخدام التدابير الفنية والتنظيمية المناسبة (“السلامة والسرية”).
5) يجب على مقدم الخدمة اخطار الهيئة في حال كشف بيانات المستخدمين الشخصية لأي شركة زميلة أو مالكة لمقدم الخدمة أو طرف ثالث بشكل مباشر أو غير مباشر، على أن يكون مقدم الخدمة هو المسؤول عن حماية خصوصية البيانات المشارك فيها.
6) استخدام الوسائل التكنولوجية المناسبة التي تمكن المستخدمين من ممارسة حقهم في الوصول إلى البيانات الشخصية ومراجعتها وتصحيحها بشكل مباشر، ويتعين على مقدم الخدمة منح الطرف الثالث (إن وجد) كافة الصلاحيات الضرورية والتنظيمية لاستخدام أي برامج، أو أي أعمال ملكية فكرية أخرى يحميها النظام.
7( تقديم معلومات عن مكان تخزين البيانات الشخصية في حال كانت داخل أو خارج دولة الكويت.
8) تحديد آلية الحصول على أو تصحيح أو حذف البيانات الشخصية أو تقييد الوصول إليها أو معالجتها، أو الاعتراض على معالجتها أو طلب نقل البيانات الشخصية.
9) إخطار صاحب البيانات في حال كان مقدم الخدمة يعتزم نقل بياناته الشخصية الى خارج دولة الكويت.
10) ازالة البيانات الشخصية التي بحوزته حال انتهاء العلاقة التعاقدية مع صاحب البيانات.
11) الحصول على موافقة صاحب البيانات قبل الكشف عن بياناته الشخصية لأي طرف ثالث لأغراض تسويقية لا تتعلق مباشرة بتوفير خدمات الاتصالات وتقنية المعلومات التي يطلبها المستخدم.
12) يجب على مقدم الخدمة، أن يوفر وسيلة سهلة الاستخدام، وعملية ويمكن النفاذ إليها بسهولة تمكن المستخدم من تعديل بياناته، أو سحب موافقته، أو تعطيل خدمة، أو طريقة جمع ،أو استخدام أو معالجة أو الإفصاح عن بياناته الشخصية
13) يجب على مقدم الخدمة حذف البيانات الشخصية للمستخدم إذا:
أ) قام المستخدم بسحب الموافقة الخاصة بمعالجة أو استخدام البيانات الشخصية.
ب) لم تعد البيانات الشخصية لازمة لتقديم الخدمات التي يطلبها المستخدم.
ج) لم يعد المستخدم مشتركا في الخدمة التي تم جمع البيانات الشخصية بشأنها.
14) يجب على مقدم الخدمة إنشاء والحفاظ على سياسة خصوصية مكتوبة بحيث:
أ) تبين بالتفصيل عمليات وإجراءات مقدم الخدمة فيما يتعلق بجمع واستخدام والإفصاح عن البيانات الشخصية، بما في ذلك الطريقة التي سوف يتبعها للامتثال.
ب) يتم نشرها على الموقع الالكتروني لمقدم الخدمة وتقدم للمستخدمين عند التعاقد في الخدمات.
15) إذا تم الكشف عن البيانات الشخصية المخزنة من قبل مقدم الخدمة بشكل غير صحيح وأدى هذا الكشف أو النفاذ إلى إلحاق الضرر بعدد كبير من المستخدمين، وجب على مقدم الخدمة إخطار الهيئة والمستخدمين وجهات إنفاذ القانون في أقرب وقت ممكن وبما لا يزيد في أي حال عن 24 ساعة.
16) عند إعداد أي عملية أو نظام أو إجراءات لتوفير تسهيلات أو خدمات الاتصالات، يجب على مقدم الخدمة أن يعتمد الخصوصية من خلال تصميم الخدمات.
أمن وحماية البيانات الشخصية
المادة (5)
على مقدم الخدمة اتخاذ الآتي:
1) توفير التدابير الأمنية المناسبة لحماية البيانات الشخصية للمستخدم ضد الخسارة أو الضرر أو الإفصاح أو الاختراق من طرف آخر غير مصرح له أو استبدال البيانات أو المعلومات بأخرى غير صحيحة أو إضافة معلومات غير صحيحة. ويجب أن تكون هذه التدابير ملائمة لطبيعة ونطاق أنشطته وحساسية أي بيانات شخصية يتم جمعها وتخزينها، بما في ذلك الأمور التالية:
أ) معالجة وتشفير البيانات الشخصية، وتبعا لمستوى البيانات المحددة بسياسة تصنيف البيانات لمقدم الخدمة.
ب) ضمان السرية المستمرة ونزاهة وتوافر ومرونة نظم وخدمات المعالجة.
ج) استعادة التوافر والوصول إلى البيانات الشخصية في الوقت المناسب في حالة وقوع قوه قاهره.
د) اختبار وتقييم فعالية التدابير التقنية والتنظيمية لضمان أمن المعالجة.
2) تأمين البيانات من التدمير العرضي أو غير القانوني أو الفقد أو التغيير أو الكشف غير المصرح به أو الوصول إلى البيانات الشخصية المرسلة أو المخزنة أو التي تتم معالجتها بطرق أخرى.
3) الالتزام بالسياسات والممارسات العالمية المتعلقة باستمرارية الأعمال، والتعافي من الكوارث، وإدارة المخاطر، وسياسات أمن المعلومات.
4) الاحتفاظ بسجلات أنشطة المعالجة وأن تتضمن السجلات كافة المعلومات التالية:
أ) اسم وبيانات الاتصال بمقدم الخدمة، وممثله إذا كان خارج دولة الكويت ومسؤول حماية البيانات.
ب) أغراض معالجة البيانات.
ج) وصف فئات أصحاب البيانات وفئات البيانات الشخصية الأخرى.
د) نقل البيانات الشخصية، إذا لزم الأمر، إلى خارج دولة الكويت مع تحديد هوية هذه الدولة.
ه) وصف عام للتدابير الأمنية الفنية والتنظيمية المستخدمة.
5) إتاحة السجلات للاطلاع عليها من قبل الهيئة عند الطلب.
6) مراعاة الضوابط الخاصة بتصميم أو تغيير أو تطوير المنتجات والنظم والخدمات والتي من الممكن أن تؤثر على معالجة البيانات الشخصية.
7) تطوير والالتزام بسياسات داخلية للحماية وخصوصية البيانات.
8) تحديد وتدريب وتوعية المسؤولين عن حماية البيانات الشخصية.
9) وضع نظم داخلية لتلقي الشكاوى ودراستها على مدار الساعة، وطلبات الوصول للبيانات، وطلبات تصحيحها أو حذفها.
10) وضع نظم داخلية للإدارة الفعالة للبيانات الشخصية، والإبلاغ عن أي تجاوز للإجراءات التي تهدف إلى حمايتها.
11) إجراء عمليات تدقيق ومراجعة شاملة عن مدى الالتزام بحماية البيانات الشخصية.
إخطار الهيئة العامة للاتصالات وتقنية المعلومات بحال حدوث اختراقات للبيانات الشخصية
المادة (6)
1) على مقدم الخدمة عند حدوث اختراق للبيانات الشخصية وفي مدة لا تتجاوز 72 ساعة بعد علمها إخطار حدوث اختراق للبيانات الشخصية إلى الهيئة العامة للاتصالات وتقنية المعلومات.
2) يتضمن الإخطار:
أ) طبيعة الاختراق، ومدى تسرب البيانات الشخصية والأشخاص المسربة معلوماتها والمستويات الأمنية المتضررة.
ب) اسم وآلية التواصل مع مسؤول حماية البيانات.
ج) النتائج المحتملة للاختراق، والتدابير المتخذة أو التي يقترح أن يتخذها مقدم الخدمة لمعالجة الاختراق.
د) إخطار صاحب البيانات الشخصية بحال حدوث اختراقات للبيانات الشخصية.
1) لا يلزم إبلاغ صاحب البيانات إذا قام مقدم الخدمة باتخاذ تدابير الحماية الفنية والتنظيمية المناسبة، وتم تطبيق هذه التدابير على البيانات الشخصية المتأثرة بحدوث الاختراق
2) اتخاذ التدابير اللاحقة التي تكفل عدم ارتفاع المخاطر على حقوق وحريات الأشخاص أصحاب البيانات.
أحكام عامة
المادة (7)
1. على جميع مقدمي الخدمة أو المصرح لهم بامتلاك شبكات اتصالات عامة توفيق أوضاعهم مع أحكام هذه اللائحة واللوائح الاخرى ذات العلاقة مع هذه اللائحة والصادرة عن الهيئة خلال مدة لا تتجاوز سنه من تاريخ نشرها.
2. يجوز للهيئة إصدار تعليمات أو ارشادات متعلقة بخصوصية البيانات كلما اقتضى الحال ذلك.
3. للهيئة في حال ثبوت مخالفة أحكام هذه اللائحة أو قوانين دولة الكويت تطبيق الجزاءات والغرامات المنصوص عليها بالقانون رقم 37 لسنة 2014 لإنشاء الهيئة العامة للاتصالات وتقنية المعلومات والمعدل بالقانون رقم (98) لسنة 2015.
الهيئة العامة للاتصالات وتقنية المعلومات قرار رقم 42 لسنة 2021 بشان لائحة حماية خصوصية البيانات
رئيس مجلس الإدارة
– بعد الاطلاع على القانون رقم 37 لسنة 2014 بإنشاء هيئة تنظيم الاتصالات وتقنية المعلومات، والمعدل بالقانون رقم 98 لسنة 2015.
– وعلى المرسوم رقم 312 لسنة 2018 بتشكيل مجلس إدارة هيئة تنظيم الاتصالات وتقنية المعلومات.
– وعلى قرار مجلس الوزراء رقم 993 لسنة 2015 الصادر بتاريخ 13/7/2015 بإصدار اللائحة التنفيذية للقانون رقم 37 لسنة 2014 المشار إليه.
– وعلى المرسوم رقم 312 لسنة 2018 بتجديد تشكيل مجلس إدارة هيئة الاتصالات وتقنية المعلومات.
– وعلى موافقة مجلس الإدارة للهيئة العامة للاتصالات وتقنية المعلومات باجتماعه 4/2021 رقم (4/2021) بتاريخ 28/3/2021
– وبناء على ما تقتضيه مصلحة العمل.
قـــــرر
تسري أحكام اللائحة المرفقة بهذا القرار (لائحة حماية خصوصية البيانات) على القطاعين العام والخاص في دولة الكويت.
(مادة ثانية)
على جهات الاختصاص – كل فيما يخصه – تنفيذ هذا القرار، ويعمل به من تاريخ نشره في الجريدة الرسمية والموقع الإلكتروني الرسمي للهيئة العامة للاتصالات وتقنية المعلومات.
(مادة ثالثة)
يلغى كل نص أو حكم يخالف أو يتعارض مع أحكام هذا القرار.
رئيس مجلــــس إدارة
لهيئة العامة للاتصالات وتقنية المعلومات
م. سالم مثيب الأذينة
صدر في تاريخ: 19 شعبان 1442 ه
الموافق : 1 ابريل 2021 م
لائحة حماية خصوصية البيانات
الإصدار: V1.8
يتزايد الطلب على خدمات الاتصالات وتقنية المعلومات ومن قبل القطاعين العام والخاص والتي يوفرها مقدمين لهذه الخدمات في دولة الكويت وباستخدام تقنيات تقليدية وتقنيات متطورة كحلول الحوسبة السحابية (Cloud Computing) والبلوك جين (Block Chain) وانترنت الاشياء وغيرها من التقنيات ، وذلك لما تقدمه هذه الخدمات من مميزات والتي تعتمد على موارد البنية التشغيلية والبرمجيات وغيرها من عناصر تقنية المعلومات التي يوفرها ويشغلها مقدمي خدمات الاتصالات وتقنية المعلومات وتشمل عمليات تخزين، أو نقل، أو معالجة لبيانات ومحتويات المستخدم، وعليه فأن الهيئة تعي ضرورة أن يلتزم مقدمي خدمات الاتصالات وتقنية المعلومات بحماية تلك البيانات والحقوق والحريات الأساسية للنقل المتعلقة بخصوصية البيانات الشخصية المجمعة، مما يستدعي أن تصدر الهيئة مجموعة من الأدوات التنظيمية وشروط وأسس وتوجيهات تتعلق بممارسة مقدمي هذا النشاط وكل ما يرتبط به من أحكام ومزايا، والتزامات لدعم هذا التوجه.
أن الهيئة العامة للاتصالات وتقنية المعلومات تطمح لتطوير صناعة متينة تعتمد على توفير أفضل خدمات الاتصالات وتقنية المعلومات، وتقديمها للجهات الحكومية وقطاع الأعمال والأفراد داخل دولة الكويت، ومما يعزز من عمل الأنشطة الحكومية والتجارية والصناعية، ويساهم باستقطاب المستثمرين المهتمين بهذا المجال وتعزيز أسس تنافسية تحقيقا لرؤية دولة الكويت في تحويلها الى مركز مالي وتجاري (كويت جديدة 2035).
يكون للكلمات والعبارات التالية حيثما وردت في هذا الدليل المعاني المخصصة لها ادناه وتعتمد التعاريف الواردة في قانون الهيئة العامة للاتصالات وتقنية المعلومات ولائحته التنفيذية:
الهيئة: الهيئة العامة للاتصالات وتقنية المعلومات بموجب قانون 37 لسنه 2014 وتعديلاته ولائحته التنفيذية.
مقدم خدمات الاتصالات وتقنية المعلومات (مقدم الخدمة): الشخص الطبيعي أو الاعتباري الذي يقدم خدمات اتصالات وتقنية معلومات في دولة الكويت والذي يعمل على تقديم أو إدارة أو إنشاء شبكة اتصالات عامة أو تشغيل موقع إلكتروني أو تطبيق ذكي أو خدمات حوسبة سحابية، يقوم بجمع أو معالجة البيانات الشخصية أو بتوجيه طرف آخر يعمل على جمع البيانات الشخصية ومعالجتها بالنيابة عنه وذلك من خلال مراكز معلومات يمتلكونها أو يستخدمونها بشكل مباشر أو غير مباشر.
الشخص الاعتباري: هو كيان ذاتي مستقل لتحقيق غرض معين ويتمتع بالشخصية القانونية في حدود هذا الغرض، وينطبق على الشركات أو الكيانات المؤسسية الخاصة او العامة التي تملكها الدولة أو المنظمات والتي لديها موطن في دولة الكويت.
البيانات الشخصية: هي البيانات ذات صلة بشخص طبيعي أو شخص اعتباري محدد الهوية او يمكن تحديده من خلال هذه البيانات بطريقة مباشرة كتحديد الاسم والهوية او المعلومات المالية أو الصحية او العرقية أو الدينية او اي معلومات تسمح بتحديد الموقع الجغرافي للشخص أو أنظمة تعقب الأشخاص او البصمة الشخصية او البصمة الوراثية، او من خلال الجمع بين البيانات المتوفرة وأية بيانات أخرى، او أي ملف صوتي بما في ذلك صوت الشخص، وأي معرف آخر يسمح بالاتصال الجسدي أو عبر الإنترنت بالشخص ويسمى صاحب البيانات.
جمع ومعالجة البيانات: أي عملية أو مجموعة من العمليات يتم اتخاذها على البيانات الشخصية وسواء كانت داخل دولة الكويت أو خارجها باستخدام الوسائل الآلية أو وسائل أخرى مثل جمع وتسجيل وتنظيم وتحليل وتخزين أو تعديل أو استرجاع أو استخدام أو الإفصاح من خلال الإرسال والنشر أو جعلها متاحة أو دمجها أو تقييدها أو حذفها أو اتلافها.
التشفير: هي عملية تحويل البيانات من نص مقروء الى نص غير مقروء لأحد باستثناء من يملك معرفة خاصة أو مفتاح خاص لإعادة تحويل النص المشفر إلى نص مقروء، وتطبق عملية التشفير سواء أثناء تخزين البيانات أو عند نقلها على شبكات الاتصالات.
مركز البيانات: المركز الذي يحتوي على بنية تشغيلية لخدمات تقنيه المعلومات والاتصالات والمستضيف لخدمات تقنية المعلومات داخل أو خارج دولة الكويت.
محتوى الطرف الثالث: هو المحتوى المقدم للمستخدم من قبل طرف ثالث غير مصرح له بمعالجة بياناته الشخصية ويكون هذا المحتوى متعلق بالاستخدامات المرتبطة بميول المستخدم كالإعلانات التسويقية والمواد الإعلانية.
اشعار الخصوصية: هو الاشعار أو الرسالة التي يوجهها مقدم خدمات الاتصالات وتقنية المعلومات بشأن المعلومات الشخصية للمستخدم والممارسات التي سوف تتم عليها.
المادة (1)
تطبق هذه اللائحة على جميع مقدمي الخدمة من القطاع العام والخاص والذين يعملون على جمع ومعالجة وتخزين البيانات الشخصية ومحتوى بيانات المستخدم كليا أو جزئيا، سواء بشكل دائم أو مؤقت بالوسائل الآلية أو بأي وسائل أخرى والتي تشكل جزءا من نظام حفظ البيانات، سواء تمت المعالجة داخل دولة الكويت أو خارجها عندما تتعلق بأنشطة المعالجة المتعلقة بإرسال مواد إعلانية أو تسويقية أو مراقبة سلوك وميول أصحاب البيانات.
المادة (2)
1)لا تسري أحكام هذه اللائحة على الشخص الطبيعي الذي يقوم بجمع ومعالجة البيانات الشخصية أو العائلية الخاصة.
2)كما لا تسري على الجهات الأمنية لأغراض منع الجرائم والتحقيق فيها أو الكشف عنها أو مقاضاة مرتكبيها أو تطبيق العقوبات الجنائية أو منع التهديدات المتعلقة بالأمن العام.
المادة (3)
على من يرغب من أشخاص عاديين أو اعتباريين بالتعاقد مع مزودي الخدمة، أن يقوم بتصنيف البيانات الخاصة به ولأغراض أمن المعلومات باتباع سياسة تصنيف البيانات المعتمدة من قبل الهيئة العامة للاتصالات وتقنية المعلومات أو أفضل الممارسات العالمية.
شروط جمع ومعالجة البيانات الشخصية
المادة (4)
يجب علي مقدم الخدمة وقبل توفير الخدمة للمستخدم أن يقوم بالتالي:
1) توفير كافة معلومات وشروط الخدمة وطلب تغيير او الغاء البيانات، موضحة وبعبارات سهلة، وأن تتوفر باللغتين الإنجليزية والعربية.
2) الحصول على موافقة طالب الخدمة على جمع أو معالجة البيانات الشخصية وعلمه وقبوله بجميع الشروط والالتزامات وأحكام جمع ومعالجة البيانات.
3) توضيح الغرض من جمع بيانات المستخدم الشخصية واللازمة لتقديم الخدمة وكيفية استخدام هذه البيانات.
المادة (5)
لا تكون جمع ومعالجة البيانات مشروعة وقانونية إلا في حال توافر إحدى الحالات التالية:
1)الحصول على موافقة صاحب البيانات.
2) أن تكون ضرورية للامتثال لالتزام قانوني يخضع له مقدم الخدمة.
3) أن تكون ضرورية لحماية البيانات للشخص الطبيعي أو الاعتباري.
4) إذا كانت الأغراض التي يقوم بها مقدم الخدمة لا تتطلب تحديد هوية صاحب البيانات.
5) الحصول على موافقة صريحة من قبل ولي أمر الطفل إذا كان عمره أقل من 18 سنة، مع بذل الجهود المقبولة ومراعاة التقنيات المتاحة للتحقق من سن المستخدم، وتحدد الهيئة آلية الحصول على موافقة ولي الأمر.
وفي جميع الأحوال يجب أن يكون لمقدم الخدمة القدرة على إثبات موافقة صاحب البيانات على معالجة البيانات.
ويكون لصاحب البيانات الحق في سحب موافقته في أي وقت من الأوقات، ولا يؤثر سحب الموافقة على مشروعية المعالجة قبل سحبها، ويجب على مقدم الخدمة تيسير سحب الموافقة كما هو الحال عند البدء فيها، كما يحق لصاحب البيانات عند طلبه بسحب الموافقة الطلب من مقدم الخدمة اتلاف بياناته المعالجة قبل سحبها ويجب على مقدم الخدمة اتلافها من اجهزته وسجلاته وعدم الاحتفاظ بنسخ منها.
المادة (6)
يجب على مقدم الخدمة أثناء توفير الخدمة او بعد انتهائها أن يتم جمع ومعالجة البيانات وفقا للشروط التالية:
1)تقديم معلومات واضحة يسهل الوصول إليها حول ممارساتهم وسياساتهم فيما يتعلق بالبيانات الشخصية لضمان اجراء عمليات الجمع والمعالجة وبشفافية.
2)تحديد الغرض من جمع البيانات والأساس القانوني لمعالجة البيانات وفترة الاحتفاظ بها أن وجدت.
3)تحديد الجهات التي قد يتم الكشف عن البيانات الشخصية لها.
4)تحديد هوية ومكان مقدم الخدمة، بما في ذلك معلومات عن كيفية الاتصال بهم بشأن ممارساتهم ومعالجة المعلومات الشخصية.
5)الاحتفاظ بالبيانات الشخصية في الشكل الذي يسمح بتحديد هوية أصحاب البيانات للأغراض التي يتم معالجة البيانات الشخصية من أجلها.
6)معالجة البيانات بطريقة تضمن حماية البيانات الشخصية من المعالجة غير المصرح بها أو المعالجة غير القانونية وضد الخسارة العارضة والتلف أو الإضرار بها وذلك باستخدام التدابير الفنية والتنظيمية المناسبة (“السلامة والسرية”).
7)استخدام الوسائل التكنولوجية المناسبة التي تمكن الأفراد من ممارسة حقهم في الوصول إلى البيانات الشخصية ومراجعتها وتصحيحها بشكل مباشر، ويتعين على مقدم الخدمة منح مستخدمي تقنية المعلومات التابعين له كافة التراخيص الضرورية والتنظيمية لاستخدام أي برامج، أو أي أعمال ملكية فكرية أخرى يحميها النظام.
8)تقديم معلومات عن الفترة التي سيتم تخزين البيانات الشخصية خلالها ومكان التخزين، أو إذا كان ذلك غير ممكنًا.
9)تحديد آلية الحصول على أو تصحيح أو حذف البيانات الشخصية أو تقييد الوصول إليها أو معالجتها، أو الاعتراض على معالجتها أو طلب نقل البيانات الشخصية.
10) اخطار صاحب البيانات في حال أن مقدم الخدمة يعتزم نقل بياناته الشخصية الى خارج دولة الكويت وفقا لسياسة تصنيف البيانات الصادرة عن الهيئة.
11) ابلاغ صاحب البيانات الشخصية في حال أن مقدم الخدمة يعتزم إجراء المزيد من المعالجة للبيانات الشخصية لأغراض أخرى غير الأغراض التي جمعت من أجلها البيانات الشخصية.
12) اتلاف البيانات الشخصية التي بحوزته حال انتهاء العلاقة التعاقدية مع صاحب البيانات، او خلال مدة التعاقد إذا طلب صاحب البيانات ذلك.
13) عدم جمع أو استخدام أو معالجة أو الكشف عن أي معلومات شخصية لأي شخص دون الحصول أولا على موافقة ذلك الشخص أو ممثل الشخص المعني حسب الأصول.
14) أن لا يشترط على صاحب البيانات تقديم معلومات شخصية غير مطلوبة فيما يتعلق بتوفير المنتج أو الخدمة التي يطلبها، ويتصل بها مباشرة، ولا يجوز، كشرط لتوفير منتج أو خدمة، أن يطلب من المستخدم الموافقة على جمع أو استخدام أو الكشف عن المعلومات الشخصية المطلوبة لتوفير هذا المنتج أو الخدمة.
15) قبل جمع المعلومات الشخصية، أن يبين الغرض الذي سيتم من خلاله استخدام المعلومات الشخصية التي يجمعها مقدم الخدمة
16) استخدام المعلومات الشخصية فقط للأغراض التي تم جمعها على النحو المحدد من قبل مقدم الخدمة.
17) الحصول على موافقة صاحب البيانات قبل الكشف عن بياناته الشخصية إلى أي شركة تابعة أو طرف ثالث لأي أغراض تسويقية لا تتعلق مباشرة بتوفير خدمات الاتصالات وتقنية المعلومات التي يطلبها الشخص المعني.
18) تنفيذ التدابير الأمنية المناسبة لحماية البيانات الشخصية لأي شخص ضد الخسارة أو الضرر أو الإفصاح أو الاختراق من طرف آخر غير مصرح له أو استبدال البيانات أو المعلومات بأخرى غير صحيحة أو إضافة معلومات غير صحيحة. ويجب أن تكون هذه التدابير ملائمة لطبيعة ونطاق أنشطته وحساسية أي معلومات شخصية يتم جمعها وتخزينها.
19) يجوز للشخص الذي سبق أن وافق على جمع أو استخدام أو معالجة أو الكشف عن معلوماته الشخصية سحب هذه الموافقة في أي وقت، وعلى كل مرخص له يقدم خدمات الاتصالات العامة وتقنية المعلومات أن يوفر وسيلة سهلة الاستخدام، وعملية ويمكن النفاذ إليها بسهولة يمكن من خلالها للشخص سحب موافقته أو تعطيل طريقة جمع أو استخدام أو معالجة أو الإفصاح عن المعلومات الشخصية.
20) يجب على مقدم الخدمة، بناء على طلب صاحب البيانات، أن يوفر إمكانية النفاذ إلى أي معلومات شخصية يتم جمعها فيما يتعلق بالمستخدم النهائي لهذه المعلومات. ويجب على المرخص له تعديل أي معلومات شخصية عندما تكون هذه المعلومات الشخصية غير صحيحة أو قديمة أو غير صالحة.
21) يجب على مقدم الخدمة حذف المعلومات الشخصية للمستخدم إذا:
(أ)قام المستخدم بسحب الموافقة الخاصة بمعالجة أو استخدام المعلومات الشخصية.
(ب) لم تعد البيانات الشخصية لازمة لتقديم الخدمات التي يطلبها المستخدم.
(ت) لم يعد المستخدم النهائي مشتركا في الخدمة التي تم جمع البيانات الشخصية بشأنها.
22) يجب على كل مقدم لخدمات الاتصالات العامة وتقنية المعلومات إنشاء والحفاظ على سياسة خصوصية مكتوبة بحيث:
(أ)تبين بالتفصيل عمليات وإجراءات مقدم الخدمة فيما يتعلق بجمع واستخدام والإفصاح عن المعلومات الشخصية، بما في ذلك الطريقة التي سوف يتبعها للامتثال
(ب) يتم نشرها على موقع مقدم الخدمة على شبكة الإنترنت وتقدم للمستخدمين عند الاشتراك في الخدمات.
23) يجب على كل مقدم لخدمات الاتصالات العامة وتقنية المعلومات:
(أ) توفير إشعار الخصوصية الذي:
1.يبلغ فيه العملاء بشكل واضح ودقيق عن المعلومات الشخصية التي يجمعها ويستخدمها ويخزنها والظروف التي يشارك فيها هذه المعلومات مع كيانات أخرى.
2.يبلغ فيه المستخدمين بحقهم في الموافقة أو سحب الموافقة أو إلغاء أي استخدام لمعلومات شخصية خاصة بالمستخدم النهائي وفقا لهذه المادة.
3.يوفر خيار يتيح للمستخدم عدم استقبال بريد الكتروني أو رسالة نصيه أو اتصال هاتفي متعلق بمواد تسويقية إن أراد ذلك.
(ب) نشر الإشعار المشار إليه في هذه المادة (6) على موقعه على شبكة الإنترنت بطريقة يشاهدها أي شخص مستوعب، ودمجه كجزء من نماذج الطلبات والمعاملات التي تتم عبر الإنترنت وعرضه على المستخدمين في نقاط البيع.
(ت) تزويد المستخدمين بإشعار مسبق بأي تغيير جوهري في سياسات الخصوصية الخاصة بهم.
1) يجب على كل مقدم خدمة الاتصالات العامة وتقنية المعلومات أن يضمن أن أي شخص يعمل في جمع أو التعامل مع أو استخدام المعلومات الشخصية على علم تام، ومدرب على، ممارسات المرخص له الخاصة بحماية الأمن والخصوصية سواء يعمل هذا الشخص لديه او لدى طرف ثالث خارجي يتعاقد معه مقدم الخدمة لغرض جمع ام معالجة البيانات الشخصية للمستخدمين. وعندما يكون من الضروري تقديم معلومات شخصية خاصة بالمستخدم إلى شركات تابعة أو أطراف ثالثة أخرى لتقديم خدمة ما، يجب على المرخص له أن يضمن، من خلال الوسائل التعاقدية، أن هذه الشركات التابعة والأطراف الأخرى تتخذ جميع الخطوات والتدابير اللازمة لحماية السرية وأمن المعلومات الشخصية واستخدامها فقط لغرض تقديم الخدمة المطلوبة.
2) يجوز للهيئة، بناء على إشعار مسبق، زيارة مباني المرخص له أو أي طرف ثالث يقوم بمعالجة المعلومات الشخصية نيابة عنه لمراجعة التدابير الأمنية المعمول بها للحفاظ على حماية المعلومات الشخصية. وإذا لم تكن الهيئة، على نحو معقول، مقتنعة بهذه التدابير، يجوز لها أن تصدر تعليمات إلى المرخص له أو الشركات التابعة له من أجل تعزيز التدابير والعمليات الأمنية حسبما تراه مناسبا.
3) إذا تم الكشف عن المعلومات الشخصية المخزنة من قبل المرخص له بشكل غير صحيح أو تم النفاذ إليها من قبل طرف ثالث، وأدى هذا الكشف أو النفاذ إلى إلحاق الضرر بعدد كبير من المستخدمين، وجب على المرخص له إخطار الهيئة والمستخدمين النهائيين وجهات إنفاذ القانون في أقرب وقت ممكن وبما لا يزيد في أي حال عن 24 ساعة بعد أن يحدد المرخص له بشكل معقول حدوث انتهاك لهذا الكشف أو النفاذ.
4) عند إعداد أي عملية أو نظام أو إجراءات لتوفير تسهيلات أو خدمات الاتصالات، يجب على المرخص له أن يعتمد الخصوصية من خلال منهج التصميم الذي سيتم بموجبه دمج المبادئ المنصوص عليها في هذه المادة في تلك العملية أو النظام أو الإجراءات.
5) لا يجوز للمرخص له كشف بيانات المستخدمين الشخصية لأي شركة زميلة أو مالكة لمقدم الخدمة بشكل مباشر أو غير مباشر دون الحصول على موافقة خطية من الهيئة.
المادة (7)
على مقدم الخدمة اتخاذ الآتي:
1-التدابير اللازمة لضمان مستوى الحماية المناسب لصد المخاطر، مع مراعاة أحدث ما توصلت إليه التكنولوجيا والأخذ بالاعتبار للمخاطر المحتملة وتأثيرها بالنسبة لحقوق وحريات الأشخاص الطبيعيين والاعتباريين، بما في ذلك الأمور التالية:
أ-معالجة وتشفير البيانات الشخصية، وتحدد الهيئة آلية ومعايير التشفير تبعا لمستوى البيانات المحددة بلائحة تصنيف البيانات الصادرة عن الهيئة.
ب-ضمان السرية المستمرة ونزاهة وتوافر ومرونة نظم وخدمات المعالجة.
ت-استعادة التوافر والوصول إلى البيانات الشخصية في الوقت المناسب في حالة وقوع قوه قاهره.
ث- اختبار وتقييم فعالية التدابير التقنية والتنظيمية لضمان أمن المعالجة.
2- تأمين البيانات من التدمير العرضي أو غير القانوني أو الفقد أو التغيير أو الكشف غير المصرح به أو الوصول إلى البيانات الشخصية المرسلة أو المخزنة أو التي تتم معالجتها بطرق أخرى.
3-الالتزام بأي قواعد أو توجيهات مجازة من قبل الهيئة فيما يتعلق باستمرارية الأعمال، والتعافي من الكوارث، وإدارة المخاطر ضمان عدم قيام أي شخص طبيعي لديه إمكانية الوصول إلى البيانات الشخصية معالجتها إلا بناء على تعليمات مقدم الخدمة.
4-الاحتفاظ بسجلات أنشطة المعالجة وأن تتضمن السجلات كافة المعلومات التالية:
أ-اسم وبيانات الاتصال بمقدم الخدمة، وممثله إذا كان خارج دولة الكويت ومسؤول حماية البيانات.
ب-أغراض معالجة البيانات.
ت-وصف فئات أصحاب البيانات وفئات البيانات الشخصية الأخرى.
ث-نقل البيانات الشخصية، إذا لزم الأمر، إلى خارج دولة الكويت مع تحديد هوية هذه الدولة.
ج-وصف عام للتدابير الأمنية الفنية والتنظيمية المستخدمة.
1- إتاحة السجلات للاطلاع عليها من قبل الهيئة عند الطلب.
2- مراعاة الضوابط الخاصة بتصميم أو تغيير أو تطوير المنتجات والنظم والخدمات والتي من الممكن أن تؤثر على معالجة البيانات الشخصية.
3-تطوير والالتزام بسياسات داخلية للحماية وخصوصية البيانات.
4-تحديد وتدريب وتوعية المعالجين المسؤولين عن حماية البيانات الشخصية.
5-وضع نظم داخلية لتلقي الشكاوى ودراستها على مدار الساعة، وطلبات الوصول للبيانات، وطلبات تصحيحها أو حذفها.
5- وضع نظم داخلية للإدارة الفعالة للبيانات الشخصية، والإبلاغ عن أي تجاوز للإجراءات التي تهدف إلى حمايتها.
6- إجراء عمليات تدقيق ومراجعة شاملة عن مدى الالتزام بحماية البيانات الشخصية.
7- توفير وسائل التواصل على مدار الساعة بمسؤول حماية البيانات فيما يتعلق بجميع القضايا المتعلقة بمعالجة بياناتهم الشخصية وممارسة حقوقهم بموجب هذه اللائحة.
7- تقديم المشورة عند الطلب فيما يتعلق بتقييم تأثير حماية البيانات ورصد أدائها للتعاون مع الهيئة العامة للاتصالات وتقنية المعلومات.
إخطار الهيئة العامة للاتصالات وتقنية المعلومات بحال حدوث اختراقات للبيانات الشخصية
المادة (8)
1-على مقدم الخدمة عند حدوث اختراق للبيانات الشخصية وفي مدة لا تتجاوز 72 ساعة بعد علمها إخطار حدوث اختراق للبيانات الشخصية إلى الهيئة العامة للاتصالات وتقنية المعلومات.
2-يتضمن الاخطار:
أ-طبيعة الاختراق، ومدى تسرب البيانات الشخصية والأشخاص المسربة معلوماتها والمستويات الأمنية المتضررة.
ب-اسم وآلية التواصل مع مسؤول حماية البيانات.
ت-النتائج المحتملة للاختراق، والتدابير المتخذة أو التي يقترح أن يتخذها مقدم الخدمة لمعالجة الاختراق.
ث-إخطار صاحب البيانات الشخصية بحال حدوث اختراقات للبيانات الشخصية.
المادة (9)
1-على مقدم الخدمة عند حدوث اختراق للبيانات الشخصية اخطار صاحب البيانات الشخصية خلال مدة لا تتجاوز 72 ساعة بعد علمها وان يتضمن الاخطار طبيعة الاختراق وتدابير الحماية الفنية.
2-لا يلزم إبلاغ صاحب البيانات إذا قام مقدم الخدمة باتخاذ الخطوات التالية:
أ-اتخاذ تدابير الحماية الفنية والتنظيمية المناسبة، وتم تطبيق هذه التدابير على البيانات الشخصية المتأثرة بحدوث الاختراق.
ب-اتخاذ التدابير اللاحقة التي تكفل عدم ارتفاع المخاطر على حقوق وحريات الأشخاص أصحاب البيانات.
المادة (10)
1-لا يتحمل مقدم الخدمة أي مسئولية مدنية، إدارية، أو جنائية إذا كان المحتوى المخالف للنظام أو محتوى المستخدم الذي يخل بحقوق الملكية الفكرية الخاص بطرف ثالث قد تم تحميله، أو معالجته، أو تخزينه في الأنظمة الخاصة بمقدم الخدمة، إلا إذا علم بذلك ولم يقم باتخاذ الاجراء المناسب.
2-يجوز لمقدمي الخدمة بمبادرة منهم، أو بناءً على طلب طرف ثالث، إزالة أو جعل إمكانية الوصول غير ممكنة في دولة الكويت و/ أو في أي بلد آخر لأي محتوي مخالف للنظام أو محتوى مستخدم يخل بحقوق الملكية الفكرية الخاصة بالغير.
3-يتعين على مقدمي الخدمة إخطار الهيئة و/ أو أي جهة مختصة، دون تأخير، في حال اكتشافهم لوجود أي محتوى مستخدم أو أي معلومات بنظام الذي يمكن أن يشكل مخالفة لقانون مكافحة جرائم الالكترونية والقوانين والأنظمة المعمول بها بدولة الكويت.
4-يتعين على مقدمي الخدمة إحالة أي طرف ثالث لديه شكوى ضد محتوى مخالف للنظام لديهم إلى الجهات المختصة داخل دولة الكويت.
المادة (11)
1.على جميع مقدمي الخدمة او المصرح لهم بامتلاك شبكات اتصالات عامة توفيق اوضاعهم مع احكام هذه اللائحة واللوائح الاخرى ذات العلاقة مع هذه اللائحة والصادرة عن الهيئة خلال مدة لا تتجاوز سنه من تاريخ نشرها.
2.يجوز للهيئة اصدار تعليمات او ارشادات متعلقة بخصوصية البيانات كلما اقتضى الحال ذلك.
3-للهيئة في حال ثبوت مخالفة احكام هذه اللائحة أو قوانين دولة الكويت تطبيق الجزاءات والغرامات المنصوص عليها بالقانون رقم 37 لسنة 2014 لإنشاء الهيئة العامة للاتصالات وتقنية المعلومات والمعدل بالقانون رقم (98) لسنة 2015.