MOTC Releases Guidelines on Personal Data Privacy Protection Law

QNA

Doha: Marking the Data Privacy Day, the Compliance and Data Protection Department at the Ministry of Transport and Communications has announced the release of the guidelines of the Personal Data Privacy Protection Law No. (13) of 2016 to help the target audience, individuals, regulated entities and stakeholders understand their respective responsibilities, rights and practices as per the said law.

On this occasion, Acting Assistant Undersecretary of Cyber Security Affairs at MOTC Othman Salem Al Hamoud, said, “In the context of MOTCs commitment to overseeing the implementation of the Personal Data Privacy Protection Law, we are pleased to announce the release of the guidelines of the Personal Data Privacy Protection Law No. 13 of 2016, which provide a set of guidelines, controls, assistive tools, checklists and templates for regulated entities addressed by the provisions of the law to support compliance to the law. They also include guidance for individuals to become more aware of their rights and responsibilities as per the law.”

He stressed the necessity for regulated entities to refer to these guidelines and reposition according to their individual role either as data processor or data controller, without prejudice to the provisions of the law and, thereby, avoiding liability.

Director of Compliance and Data Protection Department at MOTC Eng. Dana Al Abdulla called upon the regulated entities addressed by the provisions of the law to strike a balance between ensuring the protection of personal data privacy and their right to technological advancement and the use of techniques and data to achieve individuals rights.

She pointed out to the importance to take into consideration the fundamental personal data processing principles provided for by law: transparency, honesty, respect of human dignity, data minimization, accuracy, storage limitation, integrity and confidentiality, purpose limitation and accountability. She said that her department explained these principles and how to put them into practice, in the released guidelines released.

Eng. Al Abdulla advised regulated entities to take into consideration the methods they control and/or process the personal data and be responsible for that. She also confirmed the importance of adopting a methodology based on risk analysis, as per privacy principles, and putting such principles in the heart of the approach of processing and controlling the personal data.

Personal data privacy is concerned with the use of individuals personal data in technological systems a field that combines technology and respect of individuals privacy within a regulatory, law framework that regulates the relation between the individual and the entity that collects and uses their data.

A data controller is a natural or legal person who, whether acting individually or jointly with others, determines how Personal Data may be processed and determines the purpose(s) of any such processing Personal Data Processing. A data processor is a natural or legal person who processes Personal Data for the controller.

Personal Data Processing is when personal data is processed through one operation or more such as gathering, receipt, registration, organization, storage, preparation, modification, retrieval, usage, disclosure, publication, transfer, withholding, destruction, erasure and cancellation.

According to Article (8) of the Law, the “Controller shall abide by the controls related to designing, changing or developing products, systems and services pertinent to Personal Data Processing and shall take appropriate administrative, technical and financial precautions to protect Personal Data, in accordance with what is determined by the Competent Department”, and this has been explained by the Compliance and Data Protection Department in the guidelines.

Moreover, the department provided several assistive tools for the audience the law addresses to help them reposition in line with the provisions of the law. Such tools include but are not limited to “Record of Processing Activities” (RoPA), “Personal Data Management System” (PDMS) and “Data Protection Impact Assessment” (DPIA). 

قنا

الدوحة: أعلنت إدارة الامتثال وحماية البيانات بوزارة المواصلات والاتصالات عن إصدار المبادئ والإرشادات التوجيهية المتعلقة بقانون حماية خصوصية البيانات الشخصية لدعم المخاطبين (أفراد ومؤسسات) بأحكام هذا القانون وأصحاب المصالح في فهم مسؤولياتهم وحقوقهم وممارساتهم بموجب هذا القانون، تزامنا مع الاحتفال باليوم العالمي لحماية خصوصية البيانات.

وبهذه المناسبة، قال السيد عثمان سالم الحمود المكلف بمهام وكيل الوزارة المساعد لشؤون الأمن السيبراني بوزارة المواصلات والاتصالات إنه “في إطار التزام وزارة المواصلات والاتصالات بالإشراف على تنفيذ أحكام قانون حماية خصوصية البيانات الشخصية، يسرنا اليوم الإعلان عن إصدار المبادئ والإرشادات التوجيهية المتعلقة بقانون حماية خصوصية البيانات الشخصية رقم 13 لعام 2016 والتي توفر مجموعة إرشادات وضوابط وأدوات مساندة وقوائم تحقق ونماذج للمؤسسات المخاطبة بأحكام القانون لدعم الامتثال لقانون حماية خصوصية البيانات الشخصية، فضلا عن توفير التوجيه للأفراد حتى يكونوا على دراية بحقوقهم ومسؤولياتهم بحسب القانون”.

وأكد أنه من الضرورة إطلاع المؤسسات على هذه المبادئ والإرشادات وتعديل أوضاعها حسب أدوارها من مراقب للبيانات أو معالج للبيانات بحيث لا تخل بما نص عليه القانون وتعرضها للمساءلة القانونية.

من جانبها، دعت المهندسة دانة العبدالله مديرة إدارة الامتثال وحماية البيانات، المؤسسات المخاطبة بأحكام القانون إلى تحقيق التوازن بين ضمان حماية خصوصية البيانات الشخصية وضمان حق التقدم التكنولوجي واستخدام التقنيات والبيانات لتحقيق حقوق الأفراد.

كما نوهت بأهمية الأخذ بالاعتبار المبادئ الأساسية لمعالجة البيانات الشخصية التي نص عليها القانون وهي: الشفافية والأمانة واحترام الكرامة الإنسانية تقليل البيانات الدقة محدودية التخزين النزاهة والسرية محدودية الغرض المساءلة. وقد قامت الإدارة بتوضيح معاني هذه المبادئ وطريقة تطبيقها في المبادئ والإرشادات التوجيهية التي قامت بإصدارها.

وأوصت كل مؤسسة أن تأخذ في الاعتبار الطرق التي تراقب وتعالج بها البيانات الشخصية وتحمل مسؤولية ذلك، كما أكدت على أهمية اتباع نهج قائم على تحليل المخاطر، بناء على مبادئ الخصوصية، ووضع هذه المبادئ في صميم نهج إدارتها للبيانات الشخصية.

وأشارت إلى أنه وفي إطار سعي إدارة الامتثال وحماية البيانات للتواصل مع الأطراف المعنية بالقانون وتعزيز التوعية به وبالإرشادات التي أصدرتها، ستقوم الإدارة بتنظيم مجموعة من ورش العمل وجلسات النقاش المخصصة لمنظمي القطاعات المختلفة، بالإضافة إلى عقد ندوات تعريفية للأفراد باللغتين العربية والإنجليزية، فضلا عن نشر رسائل توعوية على مواقع التواصل الاجتماعي لوزارة المواصلات والاتصالات.

ويعنى مجال خصوصية البيانات الشخصية باستخدام البيانات الشخصية للأفراد في الأنظمة التكنولوجية، وهو مجال يجمع ما بين التكنولوجيا ومبادئ احترام خصوصية الفرد في إطار قانوني تنظيمي ينظم العلاقة ما بين الفرد والجهة التي ستقوم بجمع واستخدام بياناته.

ويطلق مصطلح /المراقب/ على الشخص الطبيعي أو المعنوي الذي يقوم منفردا أو بالاشتراك مع آخرين بجمع وتحديد كيفية معالجة البيانات الشخصية والغرض منها، ويطلق مصطلح /المعالج/ على الشخص الطبيعي أو المعنوي الذي يقوم بمعالجة البيانات الشخصية لصالح المراقب، ويقصد بمعالجة البيانات إجراء عملية أو مجموعة عمليات على البيانات الشخصية، كالجمع والاستلام والتسجيل والتنظيم والتخزين والتهيئة والتعديل والاسترجاع والاستخدام والإفشاء والنشر والنقل والحجب والتخلص والمحو والإلغاء.

وبحسب ما ورد في قانون حماية خصوصية البيانات الشخصية مادة رقم (8) فإنه يتعين على المراقب مراعاة الضوابط الخاصة بتصميم أو تغيير أو تطوير المنتجات والنظم والخدمات المتعلقة بمعالجة البيانات الشخصية، اتخاذ الاحتياطات الإدارية والفنية والمادية المناسبة لحماية البيانات الشخصية، وفقا لما تحدده الإدارة المختصة والتي قامت إدارة الامتثال وحماية البيانات بتوضيحها في حزمة المبادئ والإرشادات التوجيهية التي أصدرتها.

كما وفرت الإدارة مجموعة من المستندات المساندة لفهم المبادئ التي يقوم عليها القانون، بالإضافة إلى الأدوات المساندة للمؤسسات من تنظيم عملهم فيما يخص تطبيق القانون منها على سبيل المثال لا الحصر: نماذج من سجل أنشطة معالجة البيانات الشخصية (RoPA)، قوائم مراجعة لوضع نظام إدارة البيانات الشخصية (PDMS) خاص بهم، نماذج من تحليل تأثير معالجة البيانات الشخصية (DPIA)، أدوات تقييم ذاتي لحماية خصوصية البيانات الشخصية، وغيرها.