1. ما الفرق بين البيانات الشخصية والبيانات الشخصية الحساسة؟

• البيانات الشخصية: أي بيانات أو معلومات تتعلق بشخص طبيعي ومن شأنها التعريف به بطريقة مباشرة أو غير مباشرة، على سبيل المثال لا الحصر:
• الاسم.
• عنوان المنزل.
• رقم الهاتف.
• البريد الالكتروني.
• البيانات الشخصية الحساسة: أي بيانات أو معلومات تتعلق بشخص طبيعي ومن شأنها التعريف به بطريقة مباشرة أو غير مباشرة وكان افشاؤها أو سوء استخدامها يلحق ضرراً بالشخص المعني، وتشمل: 
• • الآراء السياسية والانتماءات.
  • المعتقدات الدينية.
  • البيانات المتعلقة بالوضع المالي.
  • البيانات المتعلقة بالوضع الصحي أو الجسدي أو العقلي أو الجيني.
  • البصمات الحيوية (البيومترية).
  • سجل السوابق الجنائية.
  • أي معلومات أو بيانات يقررها المجلس.
  الأصل أو العرق.

2. متى أصبح القانون نافذاً؟

• أصبح القانون نافذاً بتاريخ 17/3/2024 وذلك بعد 6 اشهر من تاريخ نشره في الجريدة الرسمية، ويطبق على المسؤول الذي يعالج البيانات الشخصية، حتى وان تم جمعها ومعالجتها قبل نفاذ القانون.
• هنالك فترة للامتثال للقانون والأنظمة والتعليمات الصادرة بمقتضاه تبلغ 12 شهرا من تاريخ نفاذه.

3. من هم الأشخاص المعنيين في هذا القانون؟

وهم الأشخاص الطبيعيين الذين تتم معالجة بياناتهم الشخصية.

4. ماهي الطلبات التي يمكن للشخص المعني تقديمها للمسؤول؟

• طلب الوصول إلى بياناته والحصول على نسخة منها.
• طلب تصحيح أو تعديل أو تحديث البيانات.
• طلب الاعتراض.
• طلب سحب الموافقة المسبقة.
• طلب المحو والإخفاء.
• طلب تخصيص المعالجة في نطاق محدد.
• طلب نقل نسخة من بيانته من مسؤول الى آخر.

وعلى المسؤول تنفيذ طلب الشخص المعني خلال (15) يوم عمل من اليوم التالي لتاريخ تسلمه.

5. هل الحق في الاعتراض على المعالجة مطلق ام مقيد؟

يعتبر الحق في الاعتراض على المعالجة مقيد بحالات، كما نص على ذلك في المادة (4/ب/6)، حيث أن الاعتراض يكون على المعالجة والتشخيص إذا كانا غير ضروريين لتحقيق الأغراض التي جمعت البيانات من اجلها او كانتا زائدتين على متطلباتها او تميزية او مجحفة او مخالفة للقانون.

6. ما هو مفهوم الحد الأدنى من البيانات (Data Minimization)؟

هو أحد مبادئ حماية البيانات الشخصية التي اتفقت الممارسات العالمية عليها، وهو عبارة عن جمع ومعالجة الحد الأدنى من البيانات الشخصية الذي لا يتم تحقيق الغرض من المعالجة الا بها.

7. هل تعتبر الجهات التي تم استثناؤها من الموافقة المسبقة مستثناة من القانون أيضاً؟

الجهات المستثناة من الموافقة المسبقة واعلام الشخص المعني ليست مستثناة من القانون، بل هي ملزمة بالامتثال لكافة بنود القانون التي لا تتعلق بالموافقة المسبقة مثل تعيين مراقب حماية البيانات الشخصية، التسجيل في سجل معالجة البيانات الشخصية، اتخاذ كافة التدابير الأمنية والتقنية والتنظيمية التي تكفل حماية البيانات الشخصية والاخطار في حالة حدوث اختراق للبيانات وغيرها.

وهذا ينطبق على الجهات الخاضعة لرقابة واشراف البنك المركزي.

8. هل يمكن نقل البيانات خارج المملكة؟

يمكن نقل البيانات وتخزينها خارج المملكة ضمن ضوابط وإجراءات حددتها المادة 15/14، من القانون بوجود مستوى حماية كافي، حيث سيصدر مجلس حماية البيانات الشخصية قائمة بالدول والهيئات والمنظمات التي تتمتع بمستوى حماية كاف لنقل وتبادل البيانات.

كما يتوجب على المسؤول اجراء تقييم أثر حماية البيانات الشخصية قبل نقل البيانات الى خارج المملكة (كما هو وارد في تعليمات التدابير الأمنية والتقنية والتنظيمية).

9. ما هو مصير البيانات الشخصية بعد انتهاء الغرض منها؟

لا يجوز الاحتفاظ بالبيانات الشخصية التي تمت معالجتها بعد انتهاء الغرض من المعالجة ما لم تنص التشريعات على خلاف ذلك.

ومثال ذلك ما تم النص عليه في تعليمات الاحتفاظ بسجلات الاتصالات.

وكذلك البيانات الصحية حيث تلتزم اللجان الطبية بالاحتفاظ بالقيود والسجلات لمدة لا تقل عن 5 سنوات (كما هو وارد في نظام التقارير واللجان الطبية).

10. ماهي الإجراءات التي تقوم بها الوحدة بحق المخالف لأحكام القانون؟

• تقوم الوحدة بإنذار المخالف للتوقف عن المخالفة وإزالة أسبابها واثارها خلال مده تحددها في الإنذار.
• يجوز للوحدة نشر بيان بالمخالفات التي ثبت وقوعها على نفقة المخالف بالوسيلة والكيفية التي تراها مناسبة.
• في حالات الشكاوى والبلاغات يتم التوصية للمجلس من قبل المديرية باتخاذ القرار المناسب بشان المخالف.

11. ما هي الحالات التي يتوجب فيها على المسؤول تعيين مراقب لحماية البيانات الشخصية؟

• يلتزم المسؤول بتعيين المراقب في الحالات التالية:
  • إذا كان العمل الرئيسي للمسؤول معالجة البيانات الشخصية.
  • معالجة البيانات الشخصية الحساسة.
  • معالجة البيانات لمن لا يتمتع بالأهلية القانونية.
  • معالجة البيانات التي تتضمن معلومات مالية.
  • نقل قواعد البيانات الى خارج المملكة

  أي حالة أخرى يقرر المجلس إلزام المسؤول بتعيين مراقب لأجلها.

12. ما هي الجهات التي يجب ان تقدم طلب اعتماد مراقب حماية البيانات الشخصية:

• الجهات التي تنتمي الى قطاعات البنى التحتية الحرجة. وفقاً للتصنيف المنصوص عليه بمقتضى أحكام المادة 3/ب من معايير اعتماد مراقب حماية البيانات الشخصية الصادرة عن مجلس حماية البيانات الشخصية وهي:

• قطاع الاتصالات وتكنلوجيا المعلومات
• قطاع الطاقة
• قطاع المياه
• قطاع الصحة
• قطاع النقل.

 للمزيد حول هذه تفاصيل هذه الجهات انقر على الرابط التالي: القطاعات.pdf

13. ما هي الجهة التي تقوم بإصدار قرار اعتماد مراقب حماية البيانات الشخصية؟

مجلس حماية البيانات الشخصية.

14. كيف يُقدم طلب اعتماد مراقب حماية البيانات الشخصية؟

• يتم تقديم الطلب من خلال تعبئة النموذج المنشور على موقع وحدة حماية البيانات الشخصية في وزارة الاقتصاد الرقمي   من خلال الرابط التالي:نموذج اعتماد_مراقب_حماية_البيانات_الشخصية.pdf
• يتم إرفاق المرفقات التالية مع النموذج: (شهادة الخبرة، شهادة عدم محكومية.، صورة عن بطاقة الاحوال المدنية، صورة شخصية، العنوان وبيانات الاتصال، المؤهلات الأكاديمية والسيرة الذاتية، بالإضافة الى ما يُثبت امتلاك المراقب المُنسب به للمعرفة المتخصصة في حماية البيانات.)
• تتم عملية تقديم النموذج من خلال إحدى الوسائل التالية:
• البريد الالكتروني لوحدة حماية البيانات الشخصية (PDP@MODEE.GOV.JO)
• ارسال كتاب رسمي متضمن للنموذج والمرفقات.
• إيداع النموذج مع المرفقات لدى الديوان

15. كيف يُمكن اثبات المعرفة المتخصصة في حماية البيانات الشخصية؟

يتم اثبات هذه المعرفة من خلال:

1. المؤهل الأكاديمي: امتلاك شهادة ذات صلة بمجال حماية البيانات الشخصية، مثل تكنولوجيا المعلومات، الأمن السيبراني، أو هندسة الحاسوب.
2. المعرفة المتخصصة: الإلمام العميق بالتشريعات المتعلقة بحماية البيانات الشخصية.
3. الخبرة العملية: امتلاك خبرة عملية في أحد المجالات ذات الصلة، مثل الامتثال، الرقابة، القانون، تكنولوجيا المعلومات، الأمن السيبراني، أمن المعلومات، أو إدارة المخاطر.
4. الدورات التدريبية والشهادات المهنية المتخصصة: الحصول على دورات تدريبية متخصصة واجتياز اختباراتها المقررة، مثل:
   • ISO 27001
   •  (Certified Information Privacy Professional) CIPP
   • (Certified Information Privacy Technologist) CIPT
   • (Certified Information Privacy Manager) CIPM
   • (Certified Data Privacy Solutions Engineer) CDPSE
   • ISO 27002
   •  (Data Protection Officer) PECB-DPO
   • (Certified Data Management Professional) CDMP
   • وغيرها من الدورات المماثلة.

16. إجراءات تقديم الشكوى:

• تقدم الشكوى من قبل الشخص المعني لمديرية حماية البيانات الشخصية.
• تتحقق المديرية قبل البدء بإجراءات التحقيق في الشكوى من قيام المشتكي بتقديمها للمسؤول إلا إذا رأت المديرية مبرراً للبدء بالتحقيق مباشرة.
• في حال قبول الشكوى أو البلاغ تجري المديرية التحقيق فيهما استنادا إلى الوقائع والأدلة حسب مقتضى الحال وتقوم برفع توصياتها إلى المجلس لاتخاذ القرار المناسب بشأنها.

17. إجراءات تقديم البلاغ:

1. يقدم البلاغ من قبل الشخص المعني لمديرية حماية البيانات الشخصية.

2. تقوم مديرية حماية البيانات الشخصية بالتحقيق في البلاغات المقدمة والتوصية للمجلس لاتخاذ القرارات المناسبة بشأنها.

3. في حال تبين وقوع مخالفة تتولى الوحدة متابعة مدى التزام المخالف بإزالة أسباب المخالفة

واتخاذ الاجراءات الصحيحة اللازمة.

18. ماهي الخطوات التي تساعد الجهات على الامتثال للقانون؟

• تعيين مراقب حماية البيانات الشخصية.
• التسجيل في سجل معالجة البيانات الشخصية.
• الحصول على الموافقة المسبقة من الأشخاص المعنيين قبل إجراء عمليات المعالجة.
• اتخاذ التدابير الأمنية والتقنية والتنظيمية التي تضمن حماية البيانات.
• تمكين الشخص المعني من ممارسة حقوقه.
• الإخطار في حال حدوث اختراق للبيانات.
• وضع آليات وإجراءات لتلقي الشكاوى المتعلقة بالبيانات.
• تنظيم التعاقدات مع الجهات الخارجية لضمان مراعاة جميع الالتزامات والشروط المنصوص عليها في القانون.
• الالتزام بأحكام النقل والتبادل داخل وخارج حدود المملكة.
• تصحيح البيانات غير الكاملة أو غير الدقيقة إذا تبين عدم صحتها.