(All You Need to Know About the 2023 Oman Data Protection Law)
آنچه کسبوکارها باید در خصوص قانون حمایت از دادههای شخصی در عمان بدانند.
مقدمه
در سالهای اخیر شاهد آن هستیم که عمان به مقصد سرمایهگذاری جذاب برای سرمایهگذاران خارجی، بالاخص ایرانیها تبدیل شده است. ثبات سیاسی، اقتصادی، اجتماعی و محیط امن و مطمئن از مزایای سرمایهگذاری در عمان هستند. این کشور اقداماتی را برای تنوع بخشیدن به اقتصاد، ترویج سرمایهگذاری خارجی و بهبود فضای کسبوکار خود انجام داده است که از جمله آن تصویب قانون حمایت از دادههای شخصی است. «قانون حمایت از دادههای شخصی عمان» در فوریه 2023 لازمالاجرا شده است.
به موجب این قانون، کسبوکارهای ثبت شده در عمان و یا کسبوکارهایی که مخاطب آنها اشخاص ساکن در عمان هستند ملزم به رعایت مفاد این قانون شدهاند. درواقع، این قانون الزامات حقوقی جدیدی را برای کسبوکارهایی که دادههای شخصی را پردازش میکنند، معرفی کرده است. کسبوکارها تنها در صورت رضایت کاربر یا وجود مبنای قانونی میتوانند دادههای شخصی را پردازش کنند. باتوجه به اهمیت این موضوع بر آن شدیم که در گزارش پیشرو نکات مهم حقوقی این قانون که شایسته است کسبوکارهای ایرانی با آن آشنا شوند را بررسی نماییم.
منظور از دادههای شخصی چیست؟
مطابق قانون حمایت از دادههای شخصی عمان، داده شخصی هرگونه اطلاعاتی است که میتواند یک شخص را شناسایی کند؛ مشتمل بر نام شخص، آدرس ایمیل، شماره تلفن و آدرس منزل؛ همچنین، رفتار شخص در مرورگرهای اینترنتی، آدرس پروتکل اینترنت (IP) و هر آنچه مستقیم یا غیرمستقیم به شخصی معیّن اشاره میکند. دادههای سلامت، دادههای مالی، دادههای مرتبط با زندگی جنسی و عقاید سیاسی یا مذهبی به عنوان اطلاعات شخصی حساس تعریف میشوند و مشمول نظام خاص میگردند.
در چه صورت قانون حمایت از دادههای شخصی عمان بر کسبوکار خارجی اعمال میشود؟
در صورتی که کسب و کار خارجی در عمان ثبت شده باشد و یا محصولات یا خدماتی را به ساکنان عمان ارائه دهد، قانون حمایت از دادههای شخصی عمان بر آن کسب و کار اعمال میشود.
منظور از کنترلگرها و پردازشگرهای داده در قانون حمایت از دادههای شخصی عمان چیست؟
کنترلگر داده (data controller)، شخصی است که تصمیم میگیرد دادههای شخصی را پردازش کند. برای مثال، یک فروشگاه تجارت الکترونیک که انتخاب میکند از گوگل آنالیتیکس و فیسبوک پیکسل در وبسایت خود استفاده کند، کنترلگر داده است؛ زیرا تصمیم میگیرد «چرا» دادهها را پردازش کند، «چگونه» آنها را پردازش کند و با چه کسی به اشتراک گذارد. در این مثال، گوگل و فیسبوک، پردازشگر داده (data processors) هستند. آنها ارائه دهندگان خدمات برای پردازش دادهها هستند و دادهها را تنها «از طرف» فروشگاه تجارت الکترونیک پردازش میکنند.
سیاست حریم خصوصی عمان در قبال کسب و کارهای خارجی چیست؟
وفق قانون حمایت از دادههای شخصی عمان، کسبوکارها باید اطلاعات زیر را برای اشخاص موضوع داده که دادهها به آنها مربوط است (data subject) فراهم کنند:
- جزئیات اطلاعات راجع به کنترلگر داده
- جزئیات تماس با مأمور حفاظت از داده
- اهداف پردازش داده
- شرح فعالیتهای پردازش، از جمله اشخاص ثالثی که دادهها با آنها به اشتراک گذاشته میشود
- جزئیات در مورد حقوق اشخاص موضوع داده و نحوه اعمال آنها
- هر گونه اطلاعات دیگری که ممکن است برای شخص موضوع داده مهم باشد.
اگرچه، اینها موارد حداقلی هستند. کسب و کارها تشویق میشوند که اطلاعات بیشتری را با مشتریان خود به اشتراک گذارند و در مورد نحوه مدیریت دادههای آنها شفاف باشند. سیاستنامه حفظ حریم خصوصی(privacy policy) نیز باید برای کاربران عادی اینترنت قابل درک باشد و به زبان ساده نوشته شود.
آیا پردازش دادهها نیاز به کسب رضایت صریح دارد؟
برای پردازش دادهها باید رضایت صریح کاربران (explicit consent) دریافت گردد. قانون حمایت از دادههای شخصی عمان اجازه پردازش اطلاعات شخصی را نمیدهد مگر اینکه کاربر رضایت داده باشد. اگرچه، استثناهایی وجود دارد که کسب و کار میتواند دادههای شخصی را بدون رضایت فرد جمعآوری و پردازش کند، مانند شرایط زیر:
- اجرای قرارداد با شخص موضوع داده
- منافع حیاتی شخص موضوع داده
- منافع عمومی
- حفاظت از منافع اقتصادی یا مالی کشور
- الزامات قانونی
- پردازش برای مصارف خانوادگی یا خانگی
- پردازش بهمنظور تحقیقات تاریخی، آماری یا اقتصادی
رضایت باید:
- آزادانه داده شود،
- برای هر هدف پردازش، به صورت خاص اخذ شود،
- آگاهانه داده شود، یعنی کاربر باید پیش از پردازش از آن مطلع شود،
- کاربر باید برای اعطای رضایت اقدامی مثبت انجام دهد.
علاوه بر این، کاربران باید این امکان را داشته باشند که به راحتی رضایت خود را پس بگیرند.
شرایط پردازش دادههای شخصی حساس چگونه است؟
دادههای شخصی حساس مشمول نظام خاص حمایتی هستند. رعایت الزامات کلی پردازش دادهها در خصوص دادههای حساس کفایت نمیکند.کسبوکارهایی که دادههای سلامت، دادههای ژنتیکی، دادههای مالی، اطلاعات مربوط به زندگی شخصیِ شخص موضوع داده و سایر اطلاعات حساس شخصی را پردازش میکنند، باید پیش از پردازش دادهها از «وزارتخانه» مجوز دریافت کنند.
صرف جمع آوری دادهها بدون اخذ مجوز تخلف محسوب میشود و ممکن است به جریمه نقدی از 50 هزار تا 260 هزار دلار منجر گردد.
اشخاص موضوع داده از چه حقوقی برخوردار هستند؟
قانون حمایت از دادههای شخصی عمان به اشخاص، حقوق زیر را اعطا میکند:
- حق دسترسی به دادههای شخصی
- حق اطلاع از نحوه پردازش دادههای شخصی
- حق درخواست تصحیح دادههای شخصی
- حق درخواست حذف دادههای شخصی
- حق لغو رضایت برای پردازش دادهها
- حق انتقال دادهها
کسب و کارها باید به محض دریافت هر یک از درخواستهای فوق، حقوق شخص را محترم شمرده و آن را اعمال نمایند.
چگونه میتوان قواعد انتقال بینالمللی دادهها را تحت قانون عمان رعایت کرد؟
انتقال بینالمللی داده زمانی اتفاق میافتد که دادهها از مرزهای عمان منتقل شوند. قواعد پیرامون این موضوع هنوز روشن نشده است، در مواردی که این احتمال وجود داشته باشد که شخص موضوع داده به دلیل پردازش در خارج از کشور عمان آسیب ببیند، قانون حمایت از دادههای شخصی انتقال دادههای بین مرزی را ممنوع کرده است. با این حال باید دید این مقرره چگونه توسط مراجع ذیصلاح تفسیر خواهد شد.
در صورت هرگونه نقض حقوق دادهها، کسب و کارها باید چه اقداماتی انجام دهند؟
اگر نقض حقوق مرتبط با دادهها رخ دهد، کسب و کار باید این نقض را هم به رگولاتور حفاظت از داده و هم به افراد آسیب دیده گزارش دهد. کسب و کار همچنین باید اطلاعاتی در مورد ماهیت نقض، پیامدهای احتمالی و تدابیر کاهش خسارت ارائه دهد. علاوه بر این، باید جزئیات بیشتری در شرح نقض و در خصوص افرادی که تحت تأثیر قرار گرفتهاند در اختیار رگولاتور حفاظت از داده قرار دهد.
ضمانتاجرای عدم رعایت مقررات قانون حمایت از دادههای شخصی عمان چیست؟
عدم رعایت مفاد این قانون با ضمانت اجراهای سنگینی روبرو میشود که میتواند به جریمه نقدی تا ۱،۳ میلیون دلار منجر گردد. برای برخی تخلفات، مجازات کیفری تا یک سال حبس در نظر گرفته شده است.
منبع: secureprivacy
مترجم و مؤلف: دکتر شیما عطّار
