من هو مراقب البيانات في قطر؟
بموجب القانون رقم 13 لسنة 2016، يُقصد بـالمراقب كل شخص أو منظمة يحدد أغراض معالجة البيانات الشخصية ووسائلها. وإذا كنت مقيماً أجنبياً في قطر، فإن المراقبين الذين تتعامل معهم بصفة منتظمة يشملون:
- صاحب العمل (يحتفظ بسجلات التوظيف والشؤون الإدارية)
- البنوك والمؤسسات المالية
- مزودي خدمات الاتصالات كأوريدو وفودافون قطر
- منصات الخدمات الحكومية
- تجار التجزئة ومنصات التجارة الإلكترونية
- مقدمو الرعاية الصحية
ويجوز للمراقبين تعيين معالجين — أطراف ثالثة تتولى معالجة البيانات نيابةً عنهم — غير أن المراقب يظل المسؤول الأول والأخير.
الالتزامات القانونية الجوهرية للمراقبين
الحصول على الموافقة المشروعة (المادة 4)
يتعين على المراقبين الحصول على موافقتك المسبقة قبل الشروع في معالجة بياناتك الشخصية. وفي حال عدم الحصول على الموافقة، يجب عليهم إثبات وجود غرض مشروع يُسوِّغ المعالجة قانوناً. ويجب أن تُبلَّغ دائماً بسبب الحاجة إلى بياناتك قبل جمعها.
إبلاغك قبل البدء في المعالجة (المادة 9)
قبل الشروع في أي عملية معالجة، يتعين على المراقب إخطارك بما يلي:
- هويته وبيانات التواصل معه
- هوية أي معالج خارجي
- الأغراض المشروعة التي ستُعالَج بياناتك من أجلها
- أي إفصاح مرتقب عن بياناتك لأطراف أخرى
يعني هذا الالتزام أن جمع البيانات دون علم صاحبها يُعدّ مخالفاً للقانون في قطر. احرص دائماً على البحث عن إشعار الخصوصية قبل الإفصاح عن بياناتك الشخصية.
ضمان جودة البيانات (المادة 10)
يتعين على المراقبين التحقق من أن البيانات الشخصية التي بحوزتهم:
- مرتبطة بالأغراض المشروعة المُعلنة
- كافية لتحقيق تلك الأغراض
- دقيقة وكاملة ومحدَّثة
إذا اكتشفت أن جهة ما تحتفظ ببيانات غير دقيقة عنك، فيحق لك المطالبة بتصحيحها.
مبدأ الخصوصية منذ التصميم (المادتان 8 و11)
يتعين على المراقبين مراعاة حماية الخصوصية منذ المرحلة الأولى عند تصميم المنتجات والأنظمة والخدمات. كما يُلزَمون بما يلي:
- مراجعة تدابير حماية الخصوصية قبل إطلاق أي عمليات معالجة جديدة
- تحديد المعالجين المسؤولين عن حماية البيانات
- تدريب الموظفين على حماية البيانات الشخصية
- وضع سياسات وإجراءات داخلية لإدارة البيانات
يعني ذلك أن أي خدمة تستخدمها في قطر ينبغي أن تتوفر فيها ضمانات خصوصية داخلية فعلية، لا مجرد سياسة منشورة.
تأمين بياناتك (المادة 13)
يتعين على المراقبين والمعالجين اتخاذ احتياطات تتناسب مع طبيعة البيانات وحساسيتها لحمايتها من:
- الفقدان أو التلف
- التعديل غير المصرح به
- الإفصاح لأطراف غير مخوَّلة
- الاطلاع العرضي أو غير المشروع عليها
ويترتب على الإخلال بتطبيق تدابير الأمن الكافية غرامات مالية تصل إلى 5,000,000 ريال قطري.
الإخطار بانتهاكات البيانات (المادة 14)
إذا وقع خرق أمني من شأنه أن يُلحق ضرراً جسيماً ببياناتك الشخصية أو خصوصيتك، وجب على المراقب إخطار:
- صاحب البيانات (الشخص المتضرر)
- الجهة المختصة
يُمثِّل هذا الحكم ضمانة بالغة الأهمية للمقيمين الأجانب — فإذا تعرض صاحب عملك أو بنكك لاختراق أمني يطال معلوماتك، فهم مُلزَمون قانوناً بإبلاغك بذلك.
القيود المفروضة على نقل البيانات عبر الحدود (المادة 15)
لا يجوز للمراقبين فرض قيود غير مبررة على تدفق البيانات عبر الحدود، إلا أنهم مُلزَمون بالتحقق من أن أي نقل دولي للبيانات لا يُخالف القانون ولا يُلحق ضرراً جسيماً بخصوصيتك.
ما الذي يترتب على مخالفة المراقبين لأحكام القانون؟
يحدد القانون عقوبات مالية صريحة:
- مخالفة أحكام الموافقة والشفافية وجودة البيانات والإخطار الأمني: غرامة تصل إلى 1,000,000 ريال قطري (المادة 23)
- مخالفة أحكام أمن البيانات والبيانات ذات الفئة الخاصة: غرامة تصل إلى 5,000,000 ريال قطري (المادة 24)
- المخالفات المرتكبة من قِبَل الأشخاص الاعتباريين: غرامة تصل إلى 1,000,000 ريال قطري على الكيان القانوني، مع عدم الإخلال بالمسؤولية الشخصية للأفراد المتورطين (المادة 25)
نصائح عملية للمقيمين الأجانب
- اطلب إشعارات الخصوصية من أي جهة تجمع بياناتك
- راجع عقود العمل بحثاً عن البنود المتعلقة بمعالجة البيانات — إذ يتعين على صاحب العمل الامتثال لأحكام هذا القانون
- إذا تلقيت إشعاراً بخرق أمني، تعامل معه بجدية تامة وفكر في تغيير كلمات المرور ومراقبة حساباتك المالية
- إذا رفضت جهة ما تصحيح بيانات غير دقيقة عنك، يمكنك رفع شكوى إلى الجهة المختصة
- كن على علم بأن العقود المخالفة لأحكام هذا القانون باطلة وعديمة الأثر وفقاً للمادة 28
خلاصة
يُرسي قانون خصوصية البيانات في قطر إطاراً شاملاً للالتزامات المفروضة على المراقبين، يهدف إلى صون معلوماتك الشخصية وحمايتها. والإلمام بهذه القواعد يُمكِّنك من طرح الأسئلة الصحيحة واتخاذ الإجراءات اللازمة حين تُخفق الشركات في الوفاء بواجباتها القانونية.