الرئيس الأسد يصدر قانوناً خاصاً بحماية البيانات الشخصية الإلكترونية على الشبكة
- 2024-03-28
أصدر السيد الرئيس بشار الأسد القانون رقم ( 12 ) الخاص بحماية البيانات الشخصية الإلكترونية على الشبكة، بهدف الحفاظ على خصوصية بيانات المواطنين وتنظيم عملية جمع المعلومات الشخصية ومعالجتها واستخدامها ونقلها على الشبكة على نحو يكفل سريتها وردع مرتكبي الأعمال غير المشروعة بهذا الخصوص، وذلك عبر عقوبات مالية قد تصل إلى 12 مليون ليرة، وأخرى بالحبس قد تصل إلى ثلاث سنوات.
وانطلاقاً من الحاجة للحفاظ على خصوصية بيانات المواطنين في ظل المخاطر الإلكترونية المتزايدة في الكشف عنها وإساءة استخدامها، يأتي القانون ليضع قواعد قانونية تحكم وتنظم جمع ومعالجة البيانات الشخصية، بحيث تضمن عدم المساس بها وتعاقب كل وصول غير مشروع إلى بيانات شخصية أو أي عملية غير مشروعة لنسخ أو إرسال أو توزيع أو تبادل أو نقل أو تداول بهدف الكشف أو الإفصاح عنها أو إتلافها أو تعديلها أثناء تخزينها أو نقلها أو معالجتها أو محوها.
ويحدد القانون أيضاً آلية معالجة البيانات بصيغتها الإلكترونية جزئياً أو كلياً لدى أي معالج أو متحكم، ولا يمتد إلى البيانات بصيغتها المكتوبة أو المحفوظة ورقياً وتُصدر هيئة متخصصة تراخيص تنظم تبادلها محلياً عبر التسويق الإلكتروني.
وفيما يلي نص القانون:
القانون رقم ( 12 )
رئيس الجمهورية
بناءً على أحكام الدستور.
وعلى ما أقره مجلس الشعب في جلسته المنعقدة بتاريخ 8-9-1445 هـ الموافق 18-3-2024 م.
يصدر ما يلي:
الفصل الأول
التعريفات
المادة 1-
يقصد بالكلمات والعبارات الآتية الواردة في معرض تطبيق أحكام هذا القانون، المعنى المبين بجانب كل منها:
الوزارة: | وزارة الاتصالات والتقانة. |
الوزير: | وزير الاتصالات والتقانة. |
الهيئة: | هيئة حماية البيانات الشخصية. |
مجلس الإدارة: | مجلس إدارة الهيئة. |
المدير العام: | المدير العام للهيئة. |
البيانات الشخصية: | معلومات متعلقة بشخص طبيعي محدد مباشرة، أو يمكن تحديده على نحو غير مباشر عن طريق الربط بين هذه البيانات وأي بيانات أخرى كالاسم، أو الصوت، أو الصورة، أو رقم تعريفي، أو محدد إلكتروني للهوية، أو أي بيانات تحدد حالة الشخص الطبيعي. |
المعالجة: | كل عملية إلكترونية أو تقنية لإدخال البيانات الشخصية بصيغتها الإلكترونية، أو تجميعها، أو تسجيلها، أو حفظها، أو تخزينها، أو دمجها، أو عرضها، أو إرسالها، أو استقبالها، أو تداولها، أو نشرها، أو محوها، أو تغييرها، أو تعديلها، أو استرجاعها، أو تحليلها، وذلك باستخدام أي من الوسائل الإلكترونية سواء تم ذلك بصورة جزئية أم كلية. |
البيانات الشخصية الحساسة: | أيّ بيانات تفصح عن الصحة النفسية أو العقلية أو البدنية أو الجينية، أو بيانات القياسات الحيوية “البيو مترية“ أو البيانات المالية أو المعتقدات الدينية أو الآراء السياسية أو الحالة الجنائية، أو بيانات الأطفال وفاقدي الأهلية. |
صاحب البيانات: | شخص طبيعي تدل عليه بيانات شخصية معالجة تمكّن من تمييزه من غيره.
|
المتحكم: | شخص طبيعي أو اعتباري يكون له بحكم عمله، الحق في الحصول على البيانات الشخصية وتحديد طريقة وأسلوب ومعايير الاحتفاظ بها، أو معالجتها والتحكم فيها طبقاً للغرض المحدد أو نشاطه. |
المعالج: | شخص طبيعي أو اعتباري يختص بحكم عمله بمعالجة البيانات الشخصية لصالحه أو لصالح المتحكم بالاتفاق معه، ووفقاً لتعليماته. |
إتاحة البيانات الشخصية: | أيّ وسيلة تحقق وصول الغير إلى البيانات الشخصية كالاطلاع أو التداول أو النشر أو النقل أو الاستخدام أو العرض أو الإرسال أو الاستقبال أو الإفصاح عنها. |
خرق البيانات الشخصية: | كل وصول غير مشروع إلى بيانات شخصية، أو أي عملية غير مشروعة لنسخ أو إرسال أو توزيع أو تبادل أو نقل أو تداول بهدف الكشف أو الإفصاح عن البيانات الشخصية أو إتلافها أو تعديلها أثناء تخزينها أو نقلها أو معالجتها أو محوها. |
التسويق الإلكتروني: | إرسال أيّ رسالة أو بيان محتوى إعلاني أو تسويقي بأيّ وسيلة تقنية أياً كانت طبيعتها أو صورتها تستهدف بصورة مباشرة أو غير مباشرة ترويج سلع أو خدمات، أو أنشطة تجارية أو سياسية أو اجتماعية أو خيرية، موجهة إلى أشخاص معينين. |
الترخيص: | وثيقة رسمية تصدر عن الهيئة للشخص الاعتباري تمنحه الحق في مزاولة نشاط جمع أو تخزين أو نقل، أو معالجة البيانات الشخصية الإلكترونية، أو كل ما سبق، وذلك لمدة محددة قابلة للتجديد. |
التصريح: | وثيقة رسمية تصدر عن الهيئة للشخص الطبيعي أو الاعتباري، تخوله مزاولة مهام جزئية محددة، تتعلق بجمع أو تخزين أو نقل أو معالجة البيانات الشخصية الإلكترونية، لفترة زمنية محددة. |
الاعتمادية: | وثيقة رسمية تصدر عن الهيئة للشخص الطبيعي أو الاعتباري تخوله تقديم الاستشارات، أو العمل في مجال حماية البيانات الشخصية. |
المادة 2 –الهدف من هذا القانون:
يهدف هذا القانون إلى:
أ- ضمان الحماية القانونية للبيانات الشخصية للأفراد، وحماية خصوصيتهم.
ب- تحديد حقوق والتزامات كل الأطراف لجهة جمع البيانات ومعالجتها.
ج- إلزام المؤسسات والجهات والأفراد المتحكمين في البيانات الشخصية، أو المعالجين لها بتعيين مسؤول لحماية البيانات الشخصية داخل مؤسساتهم وجهاتهم، بما يضمن خصوصية بيانات المواطنين السوريين بصيغتها الإلكترونية المنشورة على الشبكة.
د- تنظيم آلية تبادل البيانات محلياً، أو عبر الحدود مع الدول التي يتم إجراء اتفاقيات متبادلة معها ضمن شروط خاصة وبموافقة صاحب البيانات.
هـ- وضع آلية تقديم الطلبات والشكاوى من قبل أصحاب البيانات التي تم انتهاكها دون إذن من صاحبها.
الفصل الثاني
حقوق صاحب البيانات وشروط جمع ومعالجة البيانات
المادة 3 –
أ- يُحظر معالجة البيانات الشخصية أو الإفصاح عنها أو إفشاؤها إلا بموافقة صريحة من صاحب البيانات، أو في الأحوال المصرح بها قانوناً.
ب- يتمتع صاحب البيانات بالحقوق الآتية:
1- العلم بطبيعة بياناته الشخصية موضوع المعالجة، والغاية منها وطرقها، والحقوق التي يضمنها له هذا القانون.
2- الوصول إلى بياناته الشخصية الموجودة لدى أي متحكم أو معالج، أو الاطلاع عليها، أو الحصول عليها.
3- المعرفة بالفترة الزمنية التي ستخزن فيها البيانات الشخصية، أو بالمعايير المستخدمة لتحديدها.
4- العدول عن الموافقة المسبقة على الاحتفاظ ببياناته الشخصية أو معالجتها، دون أن يكون لذلك العدول مفعول رجعي.
5- التصحيح أو التعديل أو المحو أو الإضافة أو التحديث لبياناته الشخصية.
6- تخصيص المعالجة لغايات محددة أو في نطاق محدد.
7- إبلاغه بأي خرق لبياناته الشخصية.
8- الاعتراض على معالجة البيانات الشخصية أو نتائجها في حال مخالفتها الحقوق والحريات الأساسية للشخص صاحب البيانات التي كفلها الدستور.
9- الحق في تقديم شكوى لدى الهيئة.
ج- يمكن تقديم الخدمات للشخص صاحب البيانات من قبل المتحكم أو المعالج لقاء أجور مالية، تحددها الهيئة.
المادة 4 –تحدد المعايير والضوابط لجمع ومعالجة البيانات الشخصية والاحتفاظ بها، بالآتي:
أ- أن تجمع البيانات الشخصية لأغراض مشروعة ومحددة، ووفقاً للسبل المتاحة بهذا القانون.
ب- أن تعالج بطريقة مشروعة وملائمة للأغراض التي تم تجميعها من أجلها.
ج- ألا يتم الاحتفاظ بها لمدة أطول من المدة الزمنية اللازمة للوفاء بالغرض المحدد لها، إلا إذا كان الاحتفاظ بها هو لأغراض الأرشفة للمصلحة العامة، أو لأغراض البحث العلمي أو التاريخي أو الأغراض الإحصائية.
د- أن تكون صحيحة وسليمة، وتتم معالجتها بطريقة تضمن الأمن المناسب للبيانات الشخصية، بما في ذلك الحماية من المعالجة غير المصرح بها، أو غير القانونية، وضد الفقد أو التلف أو التلف العرضي، وذلك باستخدام التدابير الفنية أو التنظيمية المناسبة.
الفصل الثالث
التزامات المتحكم والمعالج
المادة 5 – التزامات المتحكم:
أ- مع مراعاة أحكام المادتين (13–40) من هذا القانون، يلتزم المتحكم بالآتي:
1- أخذ موافقة صاحب البيانات، قبل الحصول على بياناته الشخصية أو تلقيها من الجهات المعنية، إلا في الأحوال المصرح بها قانوناً.
2- عدم إتاحة البيانات الشخصية أو نتائج المعالجة من خلال القيام بعمل أو الامتناع عن القيام بعمل، إلا في الأحوال المصرّح بها قانوناً.
3- عدم نقل البيانات الشخصية إلى الغير دون إعلام صاحب البيانات.
4- الحصول على ترخيص أو تصريح من الهيئة للتعامل مع البيانات الشخصية.
5- اتخاذ الإجراءات التقنية والتنظيمية، وتطبيق المعايير القياسية المعتمدة من قبل الهيئة لحماية البيانات الشخصية وتأمينها حفاظاً على سريتها وسلامتها.
6- إثبات أن صاحب البيانات قد وافق على معالجة بياناته الشخصية، عندما تعتمد المعالجة على الموافقة.
7- تعيين ممثل عنه في الجمهورية العربية السورية إذا كان خارجها.
8- محو البيانات الشخصية لديه فور انقضاء الغرض المحدد منها، أما في حال الاحتفاظ بها لأي سبب من الأسباب المشروعة بعد انتهاء الغرض، فيجب ألا تبقى في صورة تسمح بتحديد صاحب البيانات.
9- التأكد من طبيعة وصحة البيانات الشخصية واتفاقها مع الغرض المحدد لجمعها وكفايتها له.
10- وضع طريقة المعالجة وأسلوبها ومعاييرها طبقاً للغرض المحدد، ما لم يتم وضعها من قبل المعالج بموجب اتفاق مكتوب.
11- تحديث أو تصحيح أي خطأ بالبيانات الشخصية فور إبلاغه أو علمه به.
12- مسك سجل خاص، يتضمن على الأقل وصف فئات البيانات الشخصية لديه، وتحديد من سيفصح لهم عن هذه البيانات أو يتيحها لهم وسنده والمدد الزمنية وقيودها ونطاقها وآليات محو البيانات الشخصية لديه أو تعديلها، وأي بيانات أخرى متعلقة بنقل تلك البيانات الشخصية عبر الحدود، ووصف الإجراءات التقنية والتنظيمية الخاصة بأمن البيانات.
13- توفير الإمكانات اللازمة لإثبات التزامه بتطبيق أحكام هذا القانون، وتمكين الهيئة من التفتيش والرقابة للتأكد من ذلك.
ب- في حال وجود أكثر من متحكم يلتزم كل منهم بكل الالتزامات المنصوص عليها في هذا القانون، وللشخص صاحب البيانات ممارسة حقوقه تجاه كل متحكم على حدة.
المادة 6 – التزامات المعالج:
مع مراعاة أحكام المادتين (13–40) من هذا القانون:
أ- يلتزم معالج البيانات الشخصية بما يأتي:
1- الحصول على ترخيص أو تصريح من الهيئة لمعالجة البيانات الشخصية.
2- أن تكون أغراض المعالجة وممارستها مشروعة، ولا تخالف النظام العام أو الآداب العامة.
3- عدم إتاحة البيانات الشخصية أو نتائج المعالجة من خلال القيام بعمل أو الامتناع عن القيام بعمل إلا في الحالات المسموح بها قانوناً.
4- اتخاذ الإجراءات اللازمة للحفاظ على أمن المعلومات خلال عملية المعالجة.
5- عدم إجراء أيّ معالجة للبيانات الشخصية تتعارض مع غرض أو نشاط المتحكم.
6- إجراء المعالجة وتنفيذها طبقاً لأحكام هذا القانون، وبناءً على التعليمات المكتوبة الواردة إليه من الهيئة أو المتحكم، وبصفة خاصة فيما يتعلق بنطاق عملية المعالجة وموضوعها وطبيعتها، ونوع البيانات الشخصية، واتفاقها وكفايتها له مع الغرض المحدد لها.
7- عدم تجاوز الغرض المحدد للمعالجة ومدتها، ويجب إعلام المتحكم أو صاحب البيانات أو كل ذي صفة، بحسب الأحوال، بالمدة الزمنية اللازمة للمعالجة.
8- محو البيانات الشخصية بانقضاء مدة المعالجة، أو تسليمها للمتحكم.
9- عدم إشراك معالج آخر دون إذن مسبق من المتحكم.
10- إعداد سجل خاص يتضمن فئات المعالجة التي يجريها نيابة عن أي متحكم وبيانات الاتصال به ومسؤول حماية البيانات لديه، والمدد الزمنية للمعالجة وقيودها ونطاقها وآليات محو أو تعديل أو تحديث البيانات الشخصية لديه، ووصفاً للإجراءات التقنية والتنظيمية الخاصة بأمن البيانات وعمليات المعالجة.
11- توفير الإمكانات لإثبات التزامه بتطبيق أحكام هذا القانون عند طلب المتحكم، وتمكين الهيئة من التفتيش والرقابة للتأكد من التزامه بذلك.
ب- يلتزم المعالج خارج الجمهورية العربية السورية بتعيين ممثل له فيها.
المادة 7 –شروط معالجة البيانات:
تعد المعالجة مشروعة في حال توافر إحدى الحالات الآتية:
أ- موافقة صاحب البيانات على إجراء المعالجة من أجل تحقيق غرض محدد أو أكثر.
ب- تنفيذاً لالتزام تعاقدي أو تصرف قانوني أو لإبرام عقد لصالح صاحب البيانات، أو لمباشرة أي من إجراءات المطالبة بالحقوق القانونية له أو الدفاع عنها.
ج- تنفيذ التزام ينظمه القانون أو تنفيذاً لقرار أو حكم صادر عن السلطة القضائية.
د- تمكين المتحكم أو المعالج من القيام بالتزاماته، ما لم يتعارض ذلك مع حقوق صاحب البيانات.
هـ- أن تستند إلى بيانات صحيحة ومحدثة.
و- ألا تسبب الضرر لصاحب البيانات أو تنال من حقوقه بشكل مباشر أو غير مباشر.
ز- أن تتم بطريقة تضمن سرية البيانات وسلامتها وعدم حدوث أي تغيير عليها.
المادة 8 –التزامات المعالج والمتحكم بالإبلاغ عن خرق البيانات الشخصية:
يلتزم كل من المتحكم والمعالج في حال علمه بوجود خرق على البيانات الشخصية لديه بالآتي:
أ- إبلاغ الهيئة فوراً، وفي حال كان هذا الخرق متعلقاً باعتبارات حماية الأمن الوطني يستوجب على الهيئة إبلاغ الجهات المختصة بالواقعة فوراً.
ب- موافاة الهيئة خلال اثنتين وسبعين ساعة من تاريخ علمه بما يأتي:
1- وصف طبيعة الخرق، وصورته وأسبابه والعدد التقريبي للسجلات وللأشخاص المعنيين وفئاتهم.
2- بيانات مسؤول حماية البيانات الشخصية لديه.
3- الآثار المحتملة للخرق.
4- وصف الإجراءات المتخذة والمقترح تنفيذها لمواجهة هذا الخرق والتقليل من آثاره السلبية.
5- توثيق الخرق للبيانات الشخصية، والإجراءات التصحيحية المتخذة لمواجهته.
6- أيّ وثائق أو معلومات أو بيانات تطلبها الهيئة.
ج- يجب على المتحكم والمعالج إعلام صاحب البيانات خلال ثلاثة أيام عمل من تاريخ الإبلاغ بما تم اتخاذه من إجراءات.
الفصل الرابع
مسؤول حماية البيانات الشخصية
المادة 9 –تعيين مسؤول لحماية البيانات الشخصية:
أ- في حال كان المتحكم أو المعالج شخصاً اعتبارياً، يلتزم بتعيين عامل مختص مسؤول عن حماية البيانات الشخصية، ويتم قيده في سجل مسؤولي حماية البيانات الشخصية في الهيئة، ويعلن عن ذلك على موقع الهيئة الإلكتروني.
ب- في حال كان المتحكم أو المعالج شخصاً طبيعياً، يكون هو المسؤول عن حماية البيانات الشخصية، ويتم قيده في سجل مسؤولي حماية البيانات الشخصية في الهيئة، ويعلن عن ذلك على موقع الهيئة الإلكتروني.
ج- يتم اعتماد مسؤولي حماية البيانات الشخصية وفق الضوابط والنواظم الصادرة عن الهيئة.
د- يتم تنظيم العلاقة بين مسؤول حماية البيانات الشخصية والمتحكم والمعالج وصاحب البيانات وفق الآتي:
1- يجب على المتحكم والمعالج التأكد من مشاركة مسؤول حماية البيانات الشخصية، على وجه صحيح وفي الوقت المناسب، في جميع القضايا التي تتعلق بحماية البيانات الشخصية.
2- مشاركة المتحكم والمعالج مسؤول حماية البيانات في تنفيذ الالتزامات المنصوص عليها في المادة /10/ من هذا القانون، عبر توفير مستلزمات تنفيذ تلك المهام والوصول إلى البيانات الشخصية وعمليات المعالجة.
3- يجب على المتحكم والمعالج التأكد من أن مسؤول حماية البيانات لا يتعرض لأي تدخلات تتعلق بممارسة مهامه، ويجب أن يقوم مسؤول حماية البيانات في حال وجود تدخل بإبلاغ أعلى مستوى إداري في وحدة التحكم أو المعالجة أو من ينوب عنه مباشرةً.
4- يجوز لصاحب البيانات الاتصال بمسؤول حماية البيانات فيما يتعلق بجميع القضايا المتعلقة بمعالجة بياناته الشخصية وممارسة حقوقه بموجب هذا القانون.
5- يجب على المتحكم أو المعالج التأكد من أن أيَّ مهام أو واجبات إضافية يكلف بها مسؤول حماية البيانات الشخصية لا تؤدي إلى تضارب في المصالح.
المادة 10 –التزامات مسؤول حماية البيانات الشخصية:
يكون مسؤول حماية البيانات الشخصية مسؤولاً عن مراقبة الإجراءات المعمول بها ضمن مسؤولياته والإشراف عليها، ويلتزم بالآتي:
أ- إجراء التقييم والفحص الدوري لنظم حماية البيانات الشخصية ومنع اختراقها، وتوثيق نتائج التقييم، وإصدار التوصيات اللازمة لحمايتها والتأكد من تطبيقها.
ب- التواصل والتنسيق مع الهيئة، وتنفيذ قراراتها، فيما يخص تطبيق أحكام هذا القانون، والتشاور عند الاقتضاء مع الهيئة في أي موضوعات تخص حماية البيانات الشخصية أو معالجتها.
ج- تمكين صاحب البيانات من ممارسة حقوقه المنصوص عليها في هذا القانون.
د- إعلام الهيئة في حال وجود أي خرق للبيانات الشخصية لديه.
هـ- الرد على الطلبات المقدمة من صاحب البيانات أو كلّ ذي صفة، وإعلام الهيئة في التظلمات المقدّمة إليه من أيّ منهم وفقاً لأحكام هذا القانون.
و- متابعة القيد والتحديث لسجل البيانات الشخصية لدى المتحكم، أو سجل عمليات المعالجة لدى المعالج، بما يكفل ضمان دقة البيانات والمعلومات المقيدة به.
ز- إزالة أي مخالفات متعلقة بالبيانات الشخصية تقع ضمن مسؤولياته وتصحيحها.
الفصل الخامس
إجراءات إتاحة البيانات الشخصية
المادة 11 –
يلتزم كل من المتحكم والمعالج عند طلب إتاحة البيانات الشخصية بالإجراءات الآتية:
أ- التحقق من توافر المسوّغ القانوني الذي يجيز ذلك مؤيداً بالثبوتيات المرفقة بطلب يُقدَّم لهذا الغرض.
ب- البت في الطلب خلال خمسة أيام عمل من تاريخ تسجيل الطلب لديه، وإذا صدر القرار بالرفض يجب أن يكون معللاً.
المادة 12 –
يكون للأدلة الرّقمية المستمدة من البيانات الشخصية طبقاً لأحكام هذا القانون الحجية القانونية إذا حققت الشروط الواردة في قانون تنظيم التواصل على الشبكة ومكافحة الجريمة المعلوماتية.
الفصل السادس
البيانات الشخصية الحساسة
المادة 13 –
أ- يُحظر على المتحكم أو المعالج، سواء أكان شخصاً طبيعياً أم اعتبارياً، معالجة البيانات الشخصية الحساسة إلا بترخيص أو تصريح من الهيئة.
ب- يجب الحصول على موافقة كتابية وصريحة من صاحب البيانات، عدا الأحوال المصرح بها قانوناً.
ج- يجب أخذ موافقة النائب الشرعي، في حالة إجراء أي عملية تتعلق ببيانات الأطفال، وفي حال مشاركة الطفل في لعبة أو مسابقة أو أي نشاط آخر، يشترط تقديم بيانات شخصية له، ويجب ألا تزيد هذه البيانات على ما هو ضروري للمشاركة في ذلك.
المادة 14 –
يلتزم مسؤول حماية البيانات الشخصية والعاملون تحت إشرافه باتباع خطط وسياسات وإجراءات أمن المعلومات المحددة من قبل الهيئة.
الفصل السابع
البيانات الشخصية عبر الحدود
المادة 15 –
أ- يحظر إجراء عمليات نقل البيانات الشخصية التي تم جمعها أو تجهيزها للمعالجة أو تخزينها أو مشاركتها إلى دولة عربية أو أجنبية إلا بعد التحقق من مستوى الحماية المقبول من الهيئة، وبترخيص منها.
ب- يجوز في حالة الموافقة الصريحة للشخص صاحب البيانات أو من ينوب عنه، نقل أو مشاركة أو تداول أو معالجة البيانات الشخصية إلى دولة لا يتوافر فيها مستوى الحماية المشار إليه في المادة السابقة، في الحالات الآتية:
1- المحافظة على حياة صاحب البيانات، وتوفير الرعاية الطبية أو العلاج أو إدارة الخدمات الصحية له.
2- تنفيذاً لالتزاماتٍ تضمن إثبات حق أو ممارسته أمام الجهات القضائية المختصة أو الدفاع عنه.
3- إبرام أو تنفيذ عقد مبرم بالفعل أو سُيبرم بين المتحكم والغير، وذلك لمصلحة صاحب البيانات.
4- تنفيذ إجراء خاص وفق الأصول القانونية المعتمدة للتعاون القضائي الدولي.
5- وجود ضرورة أو التزام قانوني لحماية المصلحة العامة.
6- تنفيذاً لاتفاق دولي ثنائي أو متعدد الأطراف تكون الجمهورية العربية السورية طرفاً فيه.
المادة 16 –
يجوز للمتحكم أو المعالج، بحسب الحال، إتاحة البيانات الشخصية لمُتحكم أو مُعالج آخر خارج الجمهورية العربية السورية، بترخيص من الهيئة، متى توافرت الشروط الآتية:
أ- اتفاق طبيعة عمل كل من المتحكمَين أو المعالجَين أو وحدة الغرض الذي يحصلان بموجبه على البيانات الشخصية.
ب- توافر المصلحة المشروعة لدى كل من المتحكمَين أو المعالجَين للبيانات الشخصية أو لدى صاحب البيانات.
ج- ألا يقل مستوى الحماية القانونية والتقنية للبيانات الشخصية لدى المتحكم أو المعالج الموجودة بالخارج عن المستوى المحدد في التعليمات التنفيذية لهذا القانون.
الفصل الثامن
التسويق الإلكتروني المباشر
المادة 17 –
يحظر على المرسل إجراء أي اتصال إلكتروني مع صاحب البيانات بغرض التسويق، إلا بتوافر الشروط الآتية:
أ- الحصول على موافقة من صاحب البيانات.
ب- أن يتضمن الاتصال هوية منشئه ومرسله.
ج- أن يكون للمرسل عنوان صحيح وكافٍ للوصول إليه.
د- الإشارة إلى أن الاتصال الإلكتروني مرسل لأغراض التسويق المباشر.
هـ- وضع آليات واضحة وميسرة لتمكين صاحب البيانات من رفض الاتصال الإلكتروني أو العدول عن موافقته على إرسالها.
المادة 18 –
يلتزم المرسل لأي اتصال إلكتروني بغرض التسويق المباشر بالالتزامات الآتية:
أ- الغرض التسويقي المحدّد.
ب- عدم الإفصاح عن بيانات الاتصال للشخص صاحب البيانات.
ج- الاحتفاظ بسجلات إلكترونية مثبت بها موافقة صاحب البيانات وتعديلاتها، أو عدم اعتراضه على الاستمرار بتلقي الاتصال الإلكتروني التسويقي، وذلك لمدة ثلاث سنوات من تاريخ آخر إرسال.
الفصل التاسع
هيئة حماية البيانات الشخصية
المادة 19 –إحداث هيئة حماية البيانات الشخصية ومهامها:
أ- تحدث في الجمهورية العربية السورية هيئة عامة ذات طابع إداري تسمى “هيئة حماية البيانات الشخصية“، تتمتع بالشخصية الاعتبارية والاستقلال المالي والإداري، ويكون مقرها مدينة دمشق، وترتبط بالوزير.
ب- يجوز إحداث فروع للهيئة في المحافظات بقرار من الوزير.
ج- تتولى الهيئة حماية البيانات الشخصية وتنظيم معالجتها وإتاحتها، وعلى وجه الخصوص المهام الآتية:
1- وضع وتطوير السياسات والخطط الإستراتيجية والبرامج اللازمة لحماية البيانات الشخصية والإشراف على تنفيذها.
2- توحيد سياسات وخطط حماية ومعالجة البيانات الشخصية، وفق القوانين والأنظمة النافذة.
3- وضع القرارات والضوابط والإجراءات والمعايير الخاصة بحماية البيانات الشخصية والإشراف على حسن تنفيذها.
4- وضع إطار إرشادي لمدونات السلوك الخاصة بحماية البيانات الشخصية، واعتماد مدونات السلوك الخاصة بالجهات المختلفة.
5- التنسيق والتعاون مع كل الجهات، والأجهزة الحكومية وغير الحكومية، في ضمان إجراءات حماية البيانات الشخصية، والتواصل مع جميع المبادرات ذات الصلة.
6- دعم تطوير كفاءة الكوادر البشرية العاملة في كل الجهات الحكومية وغير الحكومية القائمة على حماية البيانات الشخصية من خلال الدورات الفنية التخصصية.
7- وضع الأسس والنواظم والضوابط الكفيلة بمنح التراخيص أو التصاريح أو الاعتماديات أو الإجراءات المختلفة المتعلقة بحماية البيانات الشخصية وإصدار القرارات اللازمة لهذا الغرض وفق أحكام هذا القانون والتوجهات العامة التي تضعها الوزارة.
8- إعداد سجل قيد مسؤولي حماية البيانات الشخصية.
9- اعتماد الجهات أو الأفراد الذين تتيح لهم الهيئة تقديم الاستشارات في إجراءات حماية البيانات الشخصية.
10- تلقي الشكاوى المتعلقة بمخالفة أحكام هذا القانون، والتدقيق فيها وإصدار القرارات اللازمة بشأنها.
11- إبداء الرأي في مشروعات القوانين المختلفة والاتفاقيات الدولية التي تنظم أو تتعلق أو تنعكس نصوصها بصورة مباشرة أو غير مباشرة على البيانات الشخصية.
12- الرقابة والتفتيش على المشمولين بأحكام هذا القانون، واتخاذ الإجراءات القانونية اللازمة.
13- استلام الإشعارات والبلاغات والنظر فيها.
14- التحقق من شروط حركة البيانات عبر الحدود، واتخاذ القرارات الناظمة لها.
15- إجراء الدراسات والبحوث ودعمها في مجال حماية البيانات الشخصية، وتنظيم المؤتمرات وورشات العمل، وإصدار المطبوعات لنشر الوعي بين الأفراد والجهات حول حقوقهم فيما يتعلّق بالبيانات الشخصية.
16- تقديم جميع أنواع الخبرة والاستشارات المتعلقة بحماية البيانات الشخصية، لكل الجهات العامة والخاصة.
17- تمثيل الجمهورية العربية السورية في المؤتمرات الدولية ذات الصّلة بحماية البيانات الشخصية، وإبرام الاتفاقيات ومذكرات التفاهم والتنسيق والتعاون وتبادل الخبرات مع الجهات الدولية ذات الصلة بعمل الهيئة وفقاً للقوانين والأنظمة النافذة.
18- التعاقد مع الخبراء المحليين أو الأجانب وفق المعايير الفنية والخبرات المطلوبة التي يضعها ويقرها مجلس الإدارة.
19- إصدار النشرات والتعاميم والتحذيرات الخاصة بتحديث إجراءات الحماية بما يتوافق مع أنشطة القطاعات المختلفة.
20- إعداد وإصدار تقرير سنوي عن حالة حماية البيانات الشخصية في الجمهورية العربية السورية.
المادة 20 –
أ- يتولى إدارة الهيئة:
مجلس الإدارة.
المدير العام.
ب- يشكل بقرار من رئيس مجلس الوزراء بناءً على اقتراح الوزير مجلس الإدارة على النحو الآتي:
الوزير | رئيساً |
المدير العام | عضواً ونائباً للرئيس |
ممثل عن وزارة الدفاع | عضواً |
ممثل عن وزارة الداخلية | عضواً |
ممثل عن وزارة العدل قاضٍ بمرتبة مستشار | عضواً |
ممثل عن وزارة الاتصالات والتقانة | عضواً |
خبير يسميه الوزير | عضواً |
ج- تُحدد مدّة عضوية ممثلي الوزارات والخبير في مجلس الإدارة بثلاث سنوات قابلة للتجديد لمرة واحدة.
د- تُحدد تعويضات أعضاء مجلس الإدارة بقرار من رئيس مجلس الوزراء بناء على اقتراح الوزير.
المادة 21 – مهام مجلس الإدارة:
مجلس الإدارة هو السلطة التي تتولى رسم سياسات الهيئة وتصريف أمورها ومباشرة اختصاصاتها، وله أن يتخذ ما يراه لازماً من قرارات لتحقيق أغراض الهيئة والقانون وتعليماته التنفيذية، وله على وجه الخصوص الآتي:
أ- وضع واعتماد السياسات والخطط الإستراتيجية والبرامج اللازمة لحماية البيانات الشخصية.
ب- وضع واعتماد الضوابط والتدابير والمعايير اللازمة لتنفيذ أحكام هذا القانون وتعليماته التنفيذية.
ج- الإشراف على تنفيذ خطط واتفاقيات وبروتوكولات التعاون الدولي المختلفة وتبادل الخبرات مع الجهات والمنظمات الدولية.
د- اقتراح الأجور والبدلات التي تتقاضاها الهيئة مقابل مزاولة المهام المنوطة بها.
هـ- إقرار خطط وبرامج التدريب والتأهيل في مجال عمل الهيئة.
و- اعتماد مشروع الموازنة السنوية للهيئة.
ز- مناقشة التقرير السنوي والتقارير التقنية والمالية واعتمادها.
ح- وضع المعايير الفنية والخبرات المطلوبة للتعاقد مع الخبراء المحليين أو الأجانب في مجال حماية البيانات الشخصية، ويُصدر الوزير صكوك التعاقد مع هؤلاء الخبراء.
ط- اعتماد الهيكل التنظيمي، والنظام المالي والإداري، وخطة التوظيف السنوية، ورفعها للجهات المعنية لإقرارها.
ي- قبول المنح والتبرعات والهبات اللازمة لتحقيق أغراضها وفق القوانين والأنظمة النافذة.
ك- اقتراح إحداث فروع للهيئة في المحافظات.
المادة 22 –
أ- يجتمع مجلس الإدارة بدعوة من رئيسه كلما اقتضت الحاجة لذلك، على ألا يقل عدد الاجتماعات في السنة عن ثمانية اجتماعات، ويكون اجتماعه صحيحاً بحضور أغلبية أعضائه على أن يكون من بينهم رئيس المجلس أو نائبه، وتصدر قراراته بأغلبية أصوات الأعضاء الحاضرين، وعند تساوي الأصوات يرجح جانب رئيس الاجتماع.
ب- لرئيس مجلس الإدارة أن يدعو من يراه ضرورياً لحضور اجتماعات المجلس دون أن يكون له حق التصويت.
المادة 23 –
أ- يحظر على أعضاء مجلس الإدارة والعاملين فيها، إفشاء أي وثائق أو مستندات أو بيانات تتعلق بالحالات التي تقوم الهيئة برقابتها أو فحصها أو التي يجري تقديمها أو تداولها أثناء فحص أو إصدار القرارات الخاصة بها، ويبقى هذا الالتزام قائماً بعد انتهاء العلاقة بالهيئة.
ب- لا يجوز الإفصاح عن المعلومات والوثائق والمستندات والبيانات المشار إليها في الفقرة /أ/ من هذه المادة إلا للسلطة القضائية.
المادة 24 –
يُعين المدير العام بمرسوم بناءً على اقتراح الوزير، يحدد فيه أجره وتعويضاته.
المادة 25 – مهام المدير العام للهيئة:
يُشرف المدير العام على حسن سير العمل في الهيئة، ويُعدّ مسؤولاً عن شؤون الهيئة أمام مجلس إدارتها وأمام الوزير، ويتولى على وجه الخصوص المهام الآتية:
أ- تنفيذ قرارات مجلس الإدارة.
ب- عقد النفقة والأمر بتصفيتها وصرفها وفق القوانين والأنظمة النافذة.
ج- منح التراخيص والتصاريح والاعتمادية التي تصدرها الهيئة وفق المهام المكلف بها.
د- تمثيل الهيئة أمام القضاء والغير.
هـ- إعداد مشروع الموازنة السنوية للهيئة، وعرضه على مجلس الإدارة.
و- إعداد التقارير التي تتضمّن خطط الهيئة ومشاريعها، وعرضها على مجلس الإدارة.
ز- ممارسة المهام الأخرى التي يقررها مجلس الإدارة.
المادة 26 –
تقوم الهيئة بالتنسيق مع الجهات المختصة، بالتعاون مع نظيراتها في الدول الأخرى، عبر إطار اتفاقيات التعاون الدولية أو الإقليمية أو الثنائية أو بروتوكولات التعاون المصدق عليها، أو تطبيقاً لمبدأ المعاملة بالمثل، بما يكفل حماية البيانات الشخصية والتحقق من امتثال المتحكمين والمعالجين خارج سورية لأحكام هذا القانون، وتعمل على تبادل البيانات والمعلومات بما يكفل حماية وعدم خرق البيانات الشخصية والمساعدة في التحقيق حين حصول الجرائم ذات الصلة.
الفصل العاشر
التراخيص والتصاريح والاعتماديات
المادة 27 –أنواع التراخيص والتصاريح والاعتماديات:
أ- تقوم الهيئة بتصنيف ومنح التراخيص والتصاريح والاعتماديات وتحديد أنواعها.
ب- تضع الهيئة الشروط الخاصة لمنح كل من التراخيص والتصاريح والاعتماديات ويعتمدها مجلس الإدارة.
المادة 28 –إجراءات إصدار التراخيص والتصاريح والاعتماديات:
أ- تقدم طلبات التراخيص والتصاريح والاعتماديات مشفوعة بجميع المستندات والمعلومات التي تحددها التعليمات التنفيذية، ويُبت في الطلب خلال مدة تسعين يوماً من تاريخ استيفائه لجميع المستندات والمعلومات، وفي حال الرفض يجب أن يكون مُعللاً.
ب- يحق للهيئة طلب بيانات أو وثائق أو مستندات أخرى للبت في الطلب، ويحق لها أيضاً طلب توفير ضمانات إضافية لحماية البيانات الشخصية إذا تبين عدم كفاية الحماية المبينة بالمستندات المقدمة إليها.
ج- للمتحكم أو المعالج الحصول على أكثر من ترخيص أو تصريح وفقاً لنوعية البيانات الشخصية المتعامل بها بعد موافقة الهيئة.
المادة 29 –تعديل شروط الترخيص والتصريح:
لمجلس الإدارة، وفقاً لضرورات المصلحة العامة، تعديل شروط الترخيص أو التصريح بعد إصداره في أي من الحالات الآتية:
أ- توافقاً مع الاتفاقيات الدولية أو الإقليمية أو القوانين الوطنية ذات الصلة.
ب- بناءً على طلب المرخص أو المصرح له.
ج- اندماج المتحكم أو المعالج مع آخرين داخل سورية أو خارجها.
د- إذا كان التعديل ضرورياً لتحقيق أهداف هذا القانون.
المادة 30 – إلغاء الترخيص أو التصريح أو الاعتمادية:
يحقّ للهيئة إلغاء الترخيص أو التصريح أو الاعتمادية بعد إصداره في أي من الحالات الآتية:
أ- مخالفة الشروط الواردة في وثيقة الترخيص أو التصريح أو الاعتمادية.
ب- عدم سداد أجور تجديد الترخيص أو التصريح أو الاعتمادية.
ج- التنازل عن الترخيص أو التصريح أو الاعتمادية للغير دون موافقة الهيئة.
د- صدور حكم قضائي مبرم بإفلاس المتحكم أو المعالج.
المادة 31 –
باستثناء