المكتب الوطني لحماية خصوصية البيانات الشخصية يُصدر "قراراً مُلزماً" بشأن إحدى الشركات العاملة في قطاع الاتصالات وتكنولوجيا المعلومات

أصدر المكتب الوطني لحماية خصوصية البيانات الشخصية التابع للوكالة الوطنية للأمن السيبراني قراراً مُلزماً بحق إحدى الشركات العاملة في قطاع تكنولوجيا المعلومات والاتصالات والذي يتضمن إلزامها بتعزيز امتثالها لقانون حماية خصوصية البيانات الشخصية (PDPPL). كما  ينُص هذا القرار على ضرورة تعزيز ومُراقبة الشركة لإجراءاتها الإدارية والفنية والمالية وذلك لضمان حماية البيانات الشخصية بشكل فعال.

صدر  القرار المُلزم رقم 1 لعام 2024، بعد  استلام شكوى رسمية مقدمة من قبل أحد الافراد المخاطبين بأحكام القانون 13 لسنة 2016 حول طريقة مُعالجة الشركة للبيانات الشخصية الخاصة به. ووفقاً للتحقيق، فقد وجد المكتب الوطني لحماية خصوصية البيانات الشخصية أن الشركة قد خالفت المواد رقم 4 و8 و10 و11 من أحكام قانون حماية خصوصية البيانات الشخصية، والتي تتعلق بالحصول على موافقة الفرد، وتنفيذ ضمانات حماية البيانات، وضمان دقة البيانات والإشراف على امتثال الأطراف الثالثة فيما يخص مُعالجة البيانات الشخصية.

الموضوع

بتاريخ 29مايو 2023، قَدم أحد الأفراد شكوى استناداً إلى المادة 26 من قانون حماية خصوصية البيانات الشخصية حيث زعمت الشكوى بأن الشركة قد استخدمت بياناته الشخصية دون مُوافقته وبطريقة لم يكن يتوقعها. وبعد إجراء تحقيق مُفصل، أكد المكتب الوطني لحماية خصوصية البيانات الشخصية بأن مُمارسات الشركة خالفت الأحكام الرئيسية لقانون حماية خصوصية البيانات الشخصية.

تنُص المادة 4 من القانون على أنه يجب على مُراقبي البيانات الحُصول على موافقة الفرد قبل مُعالجة البيانات الشخصية، ما لم تكن المُعالجة ضرورية لتحقيق غرض مشروع للمُراقب. كما تنُص المادة 8 على ضرورة تطبيق ضوابط مُحكمة لحماية البيانات الشخصية. ووفقاً للمادة 10 فإنه يجب على مراقب البيانات التحقق من أن البيانات الشخصية دقيقة ومُكتملة ومُحدثة. بالإضافة إلى ذلك، تنُص المادة 11 على أن مُراقبي البيانات مسؤولون عن مُراقبة امتثال الأطراف الثالثة فيما يخص مُعالجة البيانات الشخصية .

وعلى الرُغم من تأكيد وجود مخالفات في هذه المجالات، إلا أن المكتب الوطني لحماية خصوصية البيانات الشخصية قد وجد بأن الشركة المعنية مُمتثلة للمادة 14، والتي تتعلق بالاحتفاظ بالبيانات ومُدة المُعالجة.

القرار والمُتطلبات

ألزم المكتب الوطني لحماية خصوصية البيانات الشخصية الشركة باتخاذ إجراءات فورية لمُعالجة هذه القضايا. إذ يجب عليها مُراجعة وتعزيز احتياطاتها الحالية لحماية البيانات الشخصية وتعزيز دقة وموثوقية البيانات التي تقوم بمُعالجتها، وإنشاء رقابة أكثر صرامة على مُعالجي البيانات لضمان الامتثال للقانون.

هذا وقد أشاد المكتب الوطني لحماية خصوصية البيانات الشخصية بتعاون الشركة طوال فترة التحقيق والتزامها بتعزيز مُمارساتها في حماية البيانات. وعليه، فقد قررت الوكالة الوطنية للأمن السيبراني عدم إصدار عقوبة علنية ضد الشركة.

بيانات الاتصال

للحُصول على مزيد من التفاصيل حول قانون حماية خصوصية البيانات الشخصية أو الاطلاع على جُهود المكتب الوطني في حماية خصوصية البيانات الشخصية، يُرجى التواصل عبر البريد الالكتروني privacy@ncsa.gov.qa