آنچه کسب‌‌‌‌وکارها باید در خصوص قانون حمایت از داده‌‌‌‌های شخصی در عمان بدانند.

(All You Need to Know About the 2023 Oman Data Protection Law)

مقدمه

در سال‌‌‌‌های اخیر شاهد آن هستیم که عمان به مقصد سرمایه‌‌‌‌گذاری جذاب برای سرمایه‌‌‌‌گذاران خارجی، بالاخص ایرانی‌‌‌‌ها تبدیل شده است. ثبات سیاسی، اقتصادی، اجتماعی و محیط امن و مطمئن از مزایای سرمایه‌‌‌‌گذاری در عمان هستند. این کشور اقداماتی را برای تنوع بخشیدن به اقتصاد، ترویج سرمایه‌‌‌‌گذاری خارجی و بهبود فضای کسب‌‌‌‌وکار خود انجام داده است که از جمله آن تصویب قانون حمایت از داده‌‌‌‌های شخصی است. «قانون حمایت از داده‌‌‌‌های شخصی عمان» در فوریه 2023 لازم‌‌‌‌الاجرا شده است.

به موجب این قانون، کسب‌‌‌‌وکارهای ثبت شده در عمان و یا کسب‌‌‌‌وکارهایی که مخاطب آن‌‌‌‌ها اشخاص ساکن در عمان هستند ملزم به رعایت مفاد این قانون شده‌‌‌‌اند. درواقع، این قانون الزامات حقوقی جدیدی را برای کسب‌‌‌‌وکارهایی که داده‌‌‌‌های شخصی را پردازش می‌‌‌‌کنند، معرفی کرده است. کسب‌وکارها تنها در صورت رضایت کاربر یا وجود مبنای قانونی می‌‌‌‌توانند داده‌‌‌‌های شخصی را پردازش کنند. باتوجه به اهمیت این موضوع بر آن شدیم که در گزارش پیشرو نکات مهم حقوقی این قانون که شایسته است کسب‌وکارهای ایرانی با آن آشنا شوند را بررسی نماییم.

منظور از داده‌‌‌‌های شخصی چیست؟

مطابق قانون حمایت از داده‌‌‌‌های شخصی عمان، داده‌‌‌‌ شخصی هرگونه اطلاعاتی است که می‌‌‌‌تواند یک شخص را شناسایی کند؛ مشتمل بر نام شخص، آدرس ایمیل، شماره تلفن و آدرس منزل؛ همچنین، رفتار شخص در مرورگرهای اینترنتی، آدرس پروتکل اینترنت (IP) و هر آنچه مستقیم یا غیرمستقیم به شخصی معیّن اشاره می‌‌‌‌کند. داده‌های سلامت، داده‌های مالی، داده‌‌‌‌های مرتبط با زندگی جنسی و عقاید سیاسی یا مذهبی به عنوان اطلاعات شخصی حساس تعریف می‌شوند و مشمول نظام خاص می‌‌‌‌گردند.

در چه صورت قانون حمایت از داده‌‌‌‌های شخصی عمان بر کسب‌‌‌‌وکار خارجی اعمال می‌‌‌‌شود؟

در صورتی که کسب و کار خارجی در عمان ثبت شده باشد و یا محصولات یا خدماتی را به ساکنان عمان ارائه دهد، قانون حمایت از داده‌‌‌‌های شخصی عمان بر آن کسب و کار اعمال می‌‌‌‌شود.

منظور از کنترلگرها و پردازشگرهای داده در قانون حمایت از داده‌‌‌‌های شخصی عمان چیست؟

کنترلگر داده (data controller)، شخصی است که تصمیم می‌‌‌‌گیرد داده‌‌‌‌های شخصی را پردازش کند. برای مثال، یک فروشگاه تجارت الکترونیک که انتخاب می‌‌‌‌کند از گوگل آنالیتیکس و فیس‌بوک پیکسل در وب‌سایت خود استفاده ‌کند، کنترلگر داده است؛ زیرا تصمیم می‌گیرد «چرا» داده‌ها را پردازش کند، «چگونه» آن‌ها را پردازش کند و با چه کسی به اشتراک گذارد. در این مثال، گوگل و فیس‌‌‌‌بوک، پردازشگر داده (data processors) هستند. آن‌‌‌‌ها ارائه دهندگان خدمات برای پردازش داده‌‌‌‌ها هستند و داده‌‌‌‌ها را تنها «از طرف» فروشگاه تجارت الکترونیک پردازش می‌‌‌‌کنند.

سیاست حریم خصوصی عمان در قبال کسب و کارهای خارجی چیست؟

وفق قانون حمایت از داده‌‌‌‌های شخصی عمان، کسب‌‌‌‌وکارها باید اطلاعات زیر را برای اشخاص موضوع داده که داده‌‌‌‌ها به آن‌‌‌‌ها مربوط است (data subject) فراهم کنند:

  • جزئیات اطلاعات راجع به کنترلگر داده
  • جزئیات تماس با مأمور حفاظت از داده‌‌‌‌
  • اهداف پردازش داده‌‌‌‌
  • شرح فعالیت‌‌‌‌های پردازش، از جمله اشخاص ثالثی که داده‌‌‌‌ها با آن‌‌‌‌ها به اشتراک گذاشته می‌‌‌‌شود
  • جزئیات در مورد حقوق اشخاص موضوع داده و نحوه اعمال آ‌‌‌‌ن‌‌‌‌ها
  • هر گونه اطلاعات دیگری که ممکن است برای شخص موضوع داده مهم باشد.

اگرچه، این‌‌‌‌ها موارد حداقلی هستند. کسب و کارها تشویق می‌‌‌‌شوند که اطلاعات بیشتری را با مشتریان خود به اشتراک گذارند و در مورد نحوه مدیریت داده‌‌‌‌های آن‌‌‌‌ها شفاف باشند. سیاست‌‌‌‌نامه حفظ حریم خصوصی(privacy policy) نیز باید برای کاربران عادی اینترنت قابل درک باشد و به زبان ساده نوشته شود.

آیا پردازش داده‌‌‌‌ها نیاز به کسب رضایت صریح دارد؟

برای پردازش داده‌‌‌‌ها باید رضایت صریح کاربران (explicit consent) دریافت گردد. قانون حمایت از داده‌‌‌‌های شخصی عمان اجازه پردازش اطلاعات شخصی را نمی‌‌‌‌دهد مگر اینکه کاربر رضایت داده باشد. اگرچه، استثناهایی وجود دارد که کسب و کار می‌‌‌‌تواند داده‌‌‌‌های شخصی را بدون رضایت فرد جمع‌‌‌‌آوری و پردازش کند، مانند شرایط زیر:

  • اجرای قرارداد با شخص موضوع داده
  • منافع حیاتی شخص موضوع داده
  • منافع عمومی
  • حفاظت از منافع اقتصادی یا مالی کشور
  • الزامات قانونی
  • پردازش برای مصارف خانوادگی یا خانگی
  • پردازش به‌‌‌‌منظور تحقیقات تاریخی، آماری یا اقتصادی

رضایت باید:

  • آزادانه داده شود،
  •  برای هر هدف پردازش، به صورت خاص اخذ شود،
  • آگاهانه داده شود، یعنی کاربر باید پیش از پردازش از آن مطلع شود،
  • کاربر باید برای اعطای رضایت اقدامی مثبت انجام دهد.

علاوه بر این، کاربران باید این امکان را داشته باشند که به راحتی رضایت خود را پس بگیرند.

شرایط پردازش داده‌‌‌‌های شخصی حساس چگونه است؟

داده‌‌‌‌های شخصی حساس مشمول نظام خاص حمایتی هستند. رعایت الزامات کلی پردازش داده‌‌‌‌ها در خصوص داده‌های حساس کفایت نمی‌‌‌‌کند.کسب‌وکارهایی که داده‌های سلامت، داده‌های ژنتیکی، داده‌های مالی، اطلاعات مربوط به زندگی شخصیِ شخص موضوع داده‌ و سایر اطلاعات حساس شخصی را پردازش می‌کنند، باید پیش از پردازش داده‌ها از «وزارتخانه» مجوز دریافت کنند.

صرف جمع آوری داده‌‌‌‌ها بدون اخذ مجوز تخلف محسوب می‌‌‌‌شود و ممکن است به جریمه نقدی از 50 هزار تا 260 هزار دلار منجر گردد.

اشخاص موضوع داده از چه حقوقی برخوردار هستند؟

قانون حمایت از داده‌‌‌‌های شخصی عمان به اشخاص، حقوق زیر را اعطا می‌کند:

  • حق دسترسی به داده‌‌‌‌های شخصی
  • حق اطلاع از نحوه پردازش داده‌‌‌‌های شخصی
  • حق درخواست تصحیح داده‌‌‌‌های شخصی
  • حق درخواست حذف داده‌‌‌‌های شخصی
  • حق لغو رضایت برای پردازش داده‌‌‌‌ها
  • حق انتقال داده‌‌‌‌ها

کسب و کارها باید به محض دریافت هر یک از درخواست‌‌‌‌های فوق، حقوق شخص را محترم شمرده و آن را اعمال نمایند.

چگونه می‌‌‌‌توان قواعد انتقال بین‌‌‌‌المللی داده‌‌‌‌ها را تحت قانون عمان رعایت کرد؟

انتقال بین‌‌‌‌المللی داده زمانی اتفاق می‌‌‌‌افتد که داده‌‌‌‌ها از مرزهای عمان منتقل شوند. قواعد پیرامون این موضوع هنوز روشن نشده است، در مواردی که این احتمال وجود داشته باشد که شخص موضوع داده به دلیل پردازش در خارج از کشور عمان آسیب ببیند، قانون حمایت از داده‌‌‌‌های شخصی انتقال داده‌‌‌‌های بین مرزی را ممنوع کرده است. با این حال باید دید این مقرره چگونه توسط مراجع ذیصلاح تفسیر خواهد شد.

در صورت هرگونه نقض حقوق داده‌‌‌‌ها، کسب و کارها باید چه اقداماتی انجام دهند؟

اگر نقض حقوق مرتبط با داده‌‌‌‌ها رخ دهد، کسب و کار باید این نقض را هم به رگولاتور حفاظت از داده و هم به افراد آسیب دیده گزارش دهد. کسب و کار همچنین باید اطلاعاتی در مورد ماهیت نقض، پیامدهای احتمالی و تدابیر کاهش خسارت ارائه دهد. علاوه بر این، باید جزئیات بیشتری در شرح نقض و در خصوص افرادی که تحت تأثیر قرار گرفته‌‌‌‌اند در اختیار رگولاتور حفاظت از داده قرار دهد.

ضمانت‌‌‌‌اجرای عدم رعایت مقررات قانون حمایت از داده‌‌‌‌های شخصی عمان چیست؟

   عدم رعایت مفاد این قانون با ضمانت اجراهای سنگینی روبرو می‌‌‌‌شود که میتواند به جریمه نقدی تا ۱،۳ میلیون دلار منجر گردد. برای برخی تخلفات، مجازات کیفری تا یک سال حبس در نظر گرفته شده است.

 

منبع: secureprivacy

مترجم و مؤلف: دکتر شیما عطّار

::اخبار مرتبط::

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.

keyboard_arrow_up