أصدر السيد الرئيس بشار الأسد القانون رقم ( 12 ) الخاص بحماية البيانات الشخصية الإلكترونية على الشبكة، بهدف الحفاظ على خصوصية بيانات المواطنين وتنظيم عملية جمع المعلومات الشخصية ومعالجتها واستخدامها ونقلها على الشبكة على نحو يكفل سريتها وردع مرتكبي الأعمال غير المشروعة بهذا الخصوص، وذلك عبر عقوبات مالية قد تصل إلى 12 مليون ليرة، وأخرى بالحبس قد تصل إلى ثلاث سنوات.
وانطلاقاً من الحاجة للحفاظ على خصوصية بيانات المواطنين في ظل المخاطر الإلكترونية المتزايدة في الكشف عنها وإساءة استخدامها، يأتي القانون ليضع قواعد قانونية تحكم وتنظم جمع ومعالجة البيانات الشخصية، بحيث تضمن عدم المساس بها وتعاقب كل وصول غير مشروع إلى بيانات شخصية أو أي عملية غير مشروعة لنسخ أو إرسال أو توزيع أو تبادل أو نقل أو تداول بهدف الكشف أو الإفصاح عنها أو إتلافها أو تعديلها أثناء تخزينها أو نقلها أو معالجتها أو محوها.
ويحدد القانون أيضاً آلية معالجة البيانات بصيغتها الإلكترونية جزئياً أو كلياً لدى أي معالج أو متحكم، ولا يمتد إلى البيانات بصيغتها المكتوبة أو المحفوظة ورقياً وتُصدر هيئة متخصصة تراخيص تنظم تبادلها محلياً عبر التسويق الإلكتروني.
وفيما يلي نص القانون:
القانون رقم ( 12 )
رئيس الجمهورية
بناءً على أحكام الدستور.
وعلى ما أقره مجلس الشعب في جلسته المنعقدة بتاريخ 8-9-1445 هـ الموافق 18-3-2024 م.
يصدر ما يلي:
الفصل الأول
التعريفات
المادة 2 –
الهدف من هذا القانون: يهدف هذا القانون إلى:
أ- ضمان الحماية القانونية للبيانات الشخصية للأفراد، وحماية خصوصيتهم.
ب- تحديد حقوق والتزامات كل الأطراف لجهة جمع البيانات ومعالجتها.
ج- إلزام المؤسسات والجهات والأفراد المتحكمين في البيانات الشخصية، أو المعالجين لها بتعيين مسؤول لحماية البيانات الشخصية داخل مؤسساتهم وجهاتهم، بما يضمن خصوصية بيانات المواطنين السوريين بصيغتها الإلكترونية المنشورة على الشبكة.
د- تنظيم آلية تبادل البيانات محلياً، أو عبر الحدود مع الدول التي يتم إجراء اتفاقيات متبادلة معها ضمن شروط خاصة وبموافقة صاحب البيانات.
هـ- وضع آلية تقديم الطلبات والشكاوى من قبل أصحاب البيانات التي تم انتهاكها دون إذن من صاحبها.
الفصل الثاني
حقوق صاحب البيانات وشروط جمع ومعالجة البيانات
المادة 3 –
أ- يُحظر معالجة البيانات الشخصية أو الإفصاح عنها أو إفشاؤها إلا بموافقة صريحة من صاحب البيانات، أو في الأحوال المصرح بها قانوناً.
ب- يتمتع صاحب البيانات بالحقوق الآتية:
1- العلم بطبيعة بياناته الشخصية موضوع المعالجة، والغاية منها وطرقها، والحقوق التي يضمنها له هذا القانون.
2- الوصول إلى بياناته الشخصية الموجودة لدى أي متحكم أو معالج، أو الاطلاع عليها، أو الحصول عليها.
3- المعرفة بالفترة الزمنية التي ستخزن فيها البيانات الشخصية، أو بالمعايير المستخدمة لتحديدها.
4- العدول عن الموافقة المسبقة على الاحتفاظ ببياناته الشخصية أو معالجتها، دون أن يكون لذلك العدول مفعول رجعي.
5- التصحيح أو التعديل أو المحو أو الإضافة أو التحديث لبياناته الشخصية.
6- تخصيص المعالجة لغايات محددة أو في نطاق محدد.
7- إبلاغه بأي خرق لبياناته الشخصية.
8- الاعتراض على معالجة البيانات الشخصية أو نتائجها في حال مخالفتها الحقوق والحريات الأساسية للشخص صاحب البيانات التي كفلها الدستور.
9- الحق في تقديم شكوى لدى الهيئة.
ج- يمكن تقديم الخدمات للشخص صاحب البيانات من قبل المتحكم أو المعالج لقاء أجور مالية، تحددها الهيئة.
المادة 4 –
تحدد المعايير والضوابط لجمع ومعالجة البيانات الشخصية والاحتفاظ بها، بالآتي:
أ- أن تجمع البيانات الشخصية لأغراض مشروعة ومحددة، ووفقاً للسبل المتاحة بهذا القانون.
ب- أن تعالج بطريقة مشروعة وملائمة للأغراض التي تم تجميعها من أجلها.
ج- ألا يتم الاحتفاظ بها لمدة أطول من المدة الزمنية اللازمة للوفاء بالغرض المحدد لها، إلا إذا كان الاحتفاظ بها هو لأغراض الأرشفة للمصلحة العامة، أو لأغراض البحث العلمي أو التاريخي أو الأغراض الإحصائية.
د- أن تكون صحيحة وسليمة، وتتم معالجتها بطريقة تضمن الأمن المناسب للبيانات الشخصية، بما في ذلك الحماية من المعالجة غير المصرح بها، أو غير القانونية، وضد الفقد أو التلف أو التلف العرضي، وذلك باستخدام التدابير الفنية أو التنظيمية المناسبة.
الفصل الثالث
التزامات المتحكم والمعالج
المادة 5 –
التزامات المتحكم:
أ- مع مراعاة أحكام المادتين (13–40) من هذا القانون، يلتزم المتحكم بالآتي:
1- أخذ موافقة صاحب البيانات، قبل الحصول على بياناته الشخصية أو تلقيها من الجهات المعنية، إلا في الأحوال المصرح بها قانوناً.
2- عدم إتاحة البيانات الشخصية أو نتائج المعالجة من خلال القيام بعمل أو الامتناع عن القيام بعمل، إلا في الأحوال المصرّح بها قانوناً.
3- عدم نقل البيانات الشخصية إلى الغير دون إعلام صاحب البيانات.
4- الحصول على ترخيص أو تصريح من الهيئة للتعامل مع البيانات الشخصية.
5- اتخاذ الإجراءات التقنية والتنظيمية، وتطبيق المعايير القياسية المعتمدة من قبل الهيئة لحماية البيانات الشخصية وتأمينها حفاظاً على سريتها وسلامتها.
6- إثبات أن صاحب البيانات قد وافق على معالجة بياناته الشخصية، عندما تعتمد المعالجة على الموافقة.
7- تعيين ممثل عنه في الجمهورية العربية السورية إذا كان خارجها.
8- محو البيانات الشخصية لديه فور انقضاء الغرض المحدد منها، أما في حال الاحتفاظ بها لأي سبب من الأسباب المشروعة بعد انتهاء الغرض، فيجب ألا تبقى في صورة تسمح بتحديد صاحب البيانات.
9- التأكد من طبيعة وصحة البيانات الشخصية واتفاقها مع الغرض المحدد لجمعها وكفايتها له.
10- وضع طريقة المعالجة وأسلوبها ومعاييرها طبقاً للغرض المحدد، ما لم يتم وضعها من قبل المعالج بموجب اتفاق مكتوب.
11- تحديث أو تصحيح أي خطأ بالبيانات الشخصية فور إبلاغه أو علمه به.
12- مسك سجل خاص، يتضمن على الأقل وصف فئات البيانات الشخصية لديه، وتحديد من سيفصح لهم عن هذه البيانات أو يتيحها لهم وسنده والمدد الزمنية وقيودها ونطاقها وآليات محو البيانات الشخصية لديه أو تعديلها، وأي بيانات أخرى متعلقة بنقل تلك البيانات الشخصية عبر الحدود، ووصف الإجراءات التقنية والتنظيمية الخاصة بأمن البيانات.
13- توفير الإمكانات اللازمة لإثبات التزامه بتطبيق أحكام هذا القانون، وتمكين الهيئة من التفتيش والرقابة للتأكد من ذلك.
ب- في حال وجود أكثر من متحكم يلتزم كل منهم بكل الالتزامات المنصوص عليها في هذا القانون، وللشخص صاحب البيانات ممارسة حقوقه تجاه كل متحكم على حدة.
المادة 6 –
التزامات المعالج:مع مراعاة أحكام المادتين (13–40) من هذا القانون:
أ- يلتزم معالج البيانات الشخصية بما يأتي: 1- الحصول على ترخيص أو تصريح من الهيئة لمعالجة البيانات الشخصية.
2- أن تكون أغراض المعالجة وممارستها مشروعة، ولا تخالف النظام العام أو الآداب العامة.
3- عدم إتاحة البيانات الشخصية أو نتائج المعالجة من خلال القيام بعمل أو الامتناع عن القيام بعمل إلا في الحالات المسموح بها قانوناً.
4- اتخاذ الإجراءات اللازمة للحفاظ على أمن المعلومات خلال عملية المعالجة.
5- عدم إجراء أيّ معالجة للبيانات الشخصية تتعارض مع غرض أو نشاط المتحكم.
6- إجراء المعالجة وتنفيذها طبقاً لأحكام هذا القانون، وبناءً على التعليمات المكتوبة الواردة إليه من الهيئة أو المتحكم، وبصفة خاصة فيما يتعلق بنطاق عملية المعالجة وموضوعها وطبيعتها، ونوع البيانات الشخصية، واتفاقها وكفايتها له مع الغرض المحدد لها.
7- عدم تجاوز الغرض المحدد للمعالجة ومدتها، ويجب إعلام المتحكم أو صاحب البيانات أو كل ذي صفة، بحسب الأحوال، بالمدة الزمنية اللازمة للمعالجة.
8- محو البيانات الشخصية بانقضاء مدة المعالجة، أو تسليمها للمتحكم.
9- عدم إشراك معالج آخر دون إذن مسبق من المتحكم.
10- إعداد سجل خاص يتضمن فئات المعالجة التي يجريها نيابة عن أي متحكم وبيانات الاتصال به ومسؤول حماية البيانات لديه، والمدد الزمنية للمعالجة وقيودها ونطاقها وآليات محو أو تعديل أو تحديث البيانات الشخصية لديه، ووصفاً للإجراءات التقنية والتنظيمية الخاصة بأمن البيانات وعمليات المعالجة.
11- توفير الإمكانات لإثبات التزامه بتطبيق أحكام هذا القانون عند طلب المتحكم، وتمكين الهيئة من التفتيش والرقابة للتأكد من التزامه بذلك.
ب- يلتزم المعالج خارج الجمهورية العربية السورية بتعيين ممثل له فيها.
المادة 7 –
شروط معالجة البيانات:
تعد المعالجة مشروعة في حال توافر إحدى الحالات الآتية:
أ- موافقة صاحب البيانات على إجراء المعالجة من أجل تحقيق غرض محدد أو أكثر.
ب- تنفيذاً لالتزام تعاقدي أو تصرف قانوني أو لإبرام عقد لصالح صاحب البيانات، أو لمباشرة أي من إجراءات المطالبة بالحقوق القانونية له أو الدفاع عنها.
ج- تنفيذ التزام ينظمه القانون أو تنفيذاً لقرار أو حكم صادر عن السلطة القضائية.
د- تمكين المتحكم أو المعالج من القيام بالتزاماته، ما لم يتعارض ذلك مع حقوق صاحب البيانات.
هـ- أن تستند إلى بيانات صحيحة ومحدثة.
و- ألا تسبب الضرر لصاحب البيانات أو تنال من حقوقه بشكل مباشر أو غير مباشر.
ز- أن تتم بطريقة تضمن سرية البيانات وسلامتها وعدم حدوث أي تغيير عليها.
المادة 8 –
التزامات المعالج والمتحكم بالإبلاغ عن خرق البيانات الشخصية:
يلتزم كل من المتحكم والمعالج في حال علمه بوجود خرق على البيانات الشخصية لديه بالآتي:
أ- إبلاغ الهيئة فوراً، وفي حال كان هذا الخرق متعلقاً باعتبارات حماية الأمن الوطني يستوجب على الهيئة إبلاغ الجهات المختصة بالواقعة فوراً.
ب- موافاة الهيئة خلال اثنتين وسبعين ساعة من تاريخ علمه بما يأتي:
1- وصف طبيعة الخرق، وصورته وأسبابه والعدد التقريبي للسجلات وللأشخاص المعنيين وفئاتهم.
2- بيانات مسؤول حماية البيانات الشخصية لديه.
3- الآثار المحتملة للخرق.
4- وصف الإجراءات المتخذة والمقترح تنفيذها لمواجهة هذا الخرق والتقليل من آثاره السلبية.
5- توثيق الخرق للبيانات الشخصية، والإجراءات التصحيحية المتخذة لمواجهته.
6- أيّ وثائق أو معلومات أو بيانات تطلبها الهيئة.
ج- يجب على المتحكم والمعالج إعلام صاحب البيانات خلال ثلاثة أيام عمل من تاريخ الإبلاغ بما تم اتخاذه من إجراءات.
الفصل الرابع
مسؤول حماية البيانات الشخصية
المادة 9 –
تعيين مسؤول لحماية البيانات الشخصية:
أ- في حال كان المتحكم أو المعالج شخصاً اعتبارياً، يلتزم بتعيين عامل مختص مسؤول عن حماية البيانات الشخصية، ويتم قيده في سجل مسؤولي حماية البيانات الشخصية في الهيئة، ويعلن عن ذلك على موقع الهيئة الإلكتروني.
ب- في حال كان المتحكم أو المعالج شخصاً طبيعياً، يكون هو المسؤول عن حماية البيانات الشخصية، ويتم قيده في سجل مسؤولي حماية البيانات الشخصية في الهيئة، ويعلن عن ذلك على موقع الهيئة الإلكتروني.
ج- يتم اعتماد مسؤولي حماية البيانات الشخصية وفق الضوابط والنواظم الصادرة عن الهيئة.
د- يتم تنظيم العلاقة بين مسؤول حماية البيانات الشخصية والمتحكم والمعالج وصاحب البيانات وفق الآتي:
1- يجب على المتحكم والمعالج التأكد من مشاركة مسؤول حماية البيانات الشخصية، على وجه صحيح وفي الوقت المناسب، في جميع القضايا التي تتعلق بحماية البيانات الشخصية.
2- مشاركة المتحكم والمعالج مسؤول حماية البيانات في تنفيذ الالتزامات المنصوص عليها في المادة /10/ من هذا القانون، عبر توفير مستلزمات تنفيذ تلك المهام والوصول إلى البيانات الشخصية وعمليات المعالجة.
3- يجب على المتحكم والمعالج التأكد من أن مسؤول حماية البيانات لا يتعرض لأي تدخلات تتعلق بممارسة مهامه، ويجب أن يقوم مسؤول حماية البيانات في حال وجود تدخل بإبلاغ أعلى مستوى إداري في وحدة التحكم أو المعالجة أو من ينوب عنه مباشرةً.
4- يجوز لصاحب البيانات الاتصال بمسؤول حماية البيانات فيما يتعلق بجميع القضايا المتعلقة بمعالجة بياناته الشخصية وممارسة حقوقه بموجب هذا القانون.
5- يجب على المتحكم أو المعالج التأكد من أن أيَّ مهام أو واجبات إضافية يكلف بها مسؤول حماية البيانات الشخصية لا تؤدي إلى تضارب في المصالح.
المادة 10 –
التزامات مسؤول حماية البيانات الشخصية:
يكون مسؤول حماية البيانات الشخصية مسؤولاً عن مراقبة الإجراءات المعمول بها ضمن مسؤولياته والإشراف عليها، ويلتزم بالآتي:
أ- إجراء التقييم والفحص الدوري لنظم حماية البيانات الشخصية ومنع اختراقها، وتوثيق نتائج التقييم، وإصدار التوصيات اللازمة لحمايتها والتأكد من تطبيقها.
ب- التواصل والتنسيق مع الهيئة، وتنفيذ قراراتها، فيما يخص تطبيق أحكام هذا القانون، والتشاور عند الاقتضاء مع الهيئة في أي موضوعات تخص حماية البيانات الشخصية أو معالجتها.
ج- تمكين صاحب البيانات من ممارسة حقوقه المنصوص عليها في هذا القانون.
د- إعلام الهيئة في حال وجود أي خرق للبيانات الشخصية لديه.
هـ- الرد على الطلبات المقدمة من صاحب البيانات أو كلّ ذي صفة، وإعلام الهيئة في التظلمات المقدّمة إليه من أيّ منهم وفقاً لأحكام هذا القانون.
و- متابعة القيد والتحديث لسجل البيانات الشخصية لدى المتحكم، أو سجل عمليات المعالجة لدى المعالج، بما يكفل ضمان دقة البيانات والمعلومات المقيدة به.
ز- إزالة أي مخالفات متعلقة بالبيانات الشخصية تقع ضمن مسؤولياته وتصحيحها.
الفصل الخامس
إجراءات إتاحة البيانات الشخصية
المادة 11 –
يلتزم كل من المتحكم والمعالج عند طلب إتاحة البيانات الشخصية بالإجراءات الآتية:
أ- التحقق من توافر المسوّغ القانوني الذي يجيز ذلك مؤيداً بالثبوتيات المرفقة بطلب يُقدَّم لهذا الغرض.
ب- البت في الطلب خلال خمسة أيام عمل من تاريخ تسجيل الطلب لديه، وإذا صدر القرار بالرفض يجب أن يكون معللاً.
المادة 12 –
يكون للأدلة الرّقمية المستمدة من البيانات الشخصية طبقاً لأحكام هذا القانون الحجية القانونية إذا حققت الشروط الواردة في قانون تنظيم التواصل على الشبكة ومكافحة الجريمة المعلوماتية.
الفصل السادس
البيانات الشخصية الحساسة
المادة 13 –
أ- يُحظر على المتحكم أو المعالج، سواء أكان شخصاً طبيعياً أم اعتبارياً، معالجة البيانات الشخصية الحساسة إلا بترخيص أو تصريح من الهيئة.
ب- يجب الحصول على موافقة كتابية وصريحة من صاحب البيانات، عدا الأحوال المصرح بها قانوناً.
ج- يجب أخذ موافقة النائب الشرعي، في حالة إجراء أي عملية تتعلق ببيانات الأطفال، وفي حال مشاركة الطفل في لعبة أو مسابقة أو أي نشاط آخر، يشترط تقديم بيانات شخصية له، ويجب ألا تزيد هذه البيانات على ما هو ضروري للمشاركة في ذلك.
المادة 14 –
يلتزم مسؤول حماية البيانات الشخصية والعاملون تحت إشرافه باتباع خطط وسياسات وإجراءات أمن المعلومات المحددة من قبل الهيئة.
الفصل السابع
البيانات الشخصية عبر الحدود
المادة 15 –
أ- يحظر إجراء عمليات نقل البيانات الشخصية التي تم جمعها أو تجهيزها للمعالجة أو تخزينها أو مشاركتها إلى دولة عربية أو أجنبية إلا بعد التحقق من مستوى الحماية المقبول من الهيئة، وبترخيص منها.
ب- يجوز في حالة الموافقة الصريحة للشخص صاحب البيانات أو من ينوب عنه، نقل أو مشاركة أو تداول أو معالجة البيانات الشخصية إلى دولة لا يتوافر فيها مستوى الحماية المشار إليه في المادة السابقة، في الحالات الآتية:
1- المحافظة على حياة صاحب البيانات، وتوفير الرعاية الطبية أو العلاج أو إدارة الخدمات الصحية له.
2- تنفيذاً لالتزاماتٍ تضمن إثبات حق أو ممارسته أمام الجهات القضائية المختصة أو الدفاع عنه.
3- إبرام أو تنفيذ عقد مبرم بالفعل أو سُيبرم بين المتحكم والغير، وذلك لمصلحة صاحب البيانات.
4- تنفيذ إجراء خاص وفق الأصول القانونية المعتمدة للتعاون القضائي الدولي.
5- وجود ضرورة أو التزام قانوني لحماية المصلحة العامة.
6- تنفيذاً لاتفاق دولي ثنائي أو متعدد الأطراف تكون الجمهورية العربية السورية طرفاً فيه.
المادة 16 –
يجوز للمتحكم أو المعالج، بحسب الحال، إتاحة البيانات الشخصية لمُتحكم أو مُعالج آخر خارج الجمهورية العربية السورية، بترخيص من الهيئة، متى توافرت الشروط الآتية:
أ- اتفاق طبيعة عمل كل من المتحكمَين أو المعالجَين أو وحدة الغرض الذي يحصلان بموجبه على البيانات الشخصية.
ب- توافر المصلحة المشروعة لدى كل من المتحكمَين أو المعالجَين للبيانات الشخصية أو لدى صاحب البيانات.
ج- ألا يقل مستوى الحماية القانونية والتقنية للبيانات الشخصية لدى المتحكم أو المعالج الموجودة بالخارج عن المستوى المحدد في التعليمات التنفيذية لهذا القانون.
الفصل الثامن
التسويق الإلكتروني المباشر
المادة 17 –
يحظر على المرسل إجراء أي اتصال إلكتروني مع صاحب البيانات بغرض التسويق، إلا بتوافر الشروط الآتية:
أ- الحصول على موافقة من صاحب البيانات.
ب- أن يتضمن الاتصال هوية منشئه ومرسله.
ج- أن يكون للمرسل عنوان صحيح وكافٍ للوصول إليه.
د- الإشارة إلى أن الاتصال الإلكتروني مرسل لأغراض التسويق المباشر.
هـ- وضع آليات واضحة وميسرة لتمكين صاحب البيانات من رفض الاتصال الإلكتروني أو العدول عن موافقته على إرسالها.
المادة 18 –
يلتزم المرسل لأي اتصال إلكتروني بغرض التسويق المباشر بالالتزامات الآتية:
أ- الغرض التسويقي المحدّد.
ب- عدم الإفصاح عن بيانات الاتصال للشخص صاحب البيانات.
ج- الاحتفاظ بسجلات إلكترونية مثبت بها موافقة صاحب البيانات وتعديلاتها، أو عدم اعتراضه على الاستمرار بتلقي الاتصال الإلكتروني التسويقي، وذلك لمدة ثلاث سنوات من تاريخ آخر إرسال.
الفصل التاسع
هيئة حماية البيانات الشخصية
المادة 19 –
إحداث هيئة حماية البيانات الشخصية ومهامها:
أ- تحدث في الجمهورية العربية السورية هيئة عامة ذات طابع إداري تسمى “هيئة حماية البيانات الشخصية“، تتمتع بالشخصية الاعتبارية والاستقلال المالي والإداري، ويكون مقرها مدينة دمشق، وترتبط بالوزير.
ب- يجوز إحداث فروع للهيئة في المحافظات بقرار من الوزير.
ج- تتولى الهيئة حماية البيانات الشخصية وتنظيم معالجتها وإتاحتها، وعلى وجه الخصوص المهام الآتية:
1- وضع وتطوير السياسات والخطط الإستراتيجية والبرامج اللازمة لحماية البيانات الشخصية والإشراف على تنفيذها.
2- توحيد سياسات وخطط حماية ومعالجة البيانات الشخصية، وفق القوانين والأنظمة النافذة.
3- وضع القرارات والضوابط والإجراءات والمعايير الخاصة بحماية البيانات الشخصية والإشراف على حسن تنفيذها.
4- وضع إطار إرشادي لمدونات السلوك الخاصة بحماية البيانات الشخصية، واعتماد مدونات السلوك الخاصة بالجهات المختلفة.
5- التنسيق والتعاون مع كل الجهات، والأجهزة الحكومية وغير الحكومية، في ضمان إجراءات حماية البيانات الشخصية، والتواصل مع جميع المبادرات ذات الصلة.
6- دعم تطوير كفاءة الكوادر البشرية العاملة في كل الجهات الحكومية وغير الحكومية القائمة على حماية البيانات الشخصية من خلال الدورات الفنية التخصصية.
7- وضع الأسس والنواظم والضوابط الكفيلة بمنح التراخيص أو التصاريح أو الاعتماديات أو الإجراءات المختلفة المتعلقة بحماية البيانات الشخصية وإصدار القرارات اللازمة لهذا الغرض وفق أحكام هذا القانون والتوجهات العامة التي تضعها الوزارة.
8- إعداد سجل قيد مسؤولي حماية البيانات الشخصية.
9- اعتماد الجهات أو الأفراد الذين تتيح لهم الهيئة تقديم الاستشارات في إجراءات حماية البيانات الشخصية.
10- تلقي الشكاوى المتعلقة بمخالفة أحكام هذا القانون، والتدقيق فيها وإصدار القرارات اللازمة بشأنها.
11- إبداء الرأي في مشروعات القوانين المختلفة والاتفاقيات الدولية التي تنظم أو تتعلق أو تنعكس نصوصها بصورة مباشرة أو غير مباشرة على البيانات الشخصية.
12- الرقابة والتفتيش على المشمولين بأحكام هذا القانون، واتخاذ الإجراءات القانونية اللازمة.
13- استلام الإشعارات والبلاغات والنظر فيها.
14- التحقق من شروط حركة البيانات عبر الحدود، واتخاذ القرارات الناظمة لها.
15- إجراء الدراسات والبحوث ودعمها في مجال حماية البيانات الشخصية، وتنظيم المؤتمرات وورشات العمل، وإصدار المطبوعات لنشر الوعي بين الأفراد والجهات حول حقوقهم فيما يتعلّق بالبيانات الشخصية.
16- تقديم جميع أنواع الخبرة والاستشارات المتعلقة بحماية البيانات الشخصية، لكل الجهات العامة والخاصة.
17- تمثيل الجمهورية العربية السورية في المؤتمرات الدولية ذات الصّلة بحماية البيانات الشخصية، وإبرام الاتفاقيات ومذكرات التفاهم والتنسيق والتعاون وتبادل الخبرات مع الجهات الدولية ذات الصلة بعمل الهيئة وفقاً للقوانين والأنظمة النافذة.
18- التعاقد مع الخبراء المحليين أو الأجانب وفق المعايير الفنية والخبرات المطلوبة التي يضعها ويقرها مجلس الإدارة.
19- إصدار النشرات والتعاميم والتحذيرات الخاصة بتحديث إجراءات الحماية بما يتوافق مع أنشطة القطاعات المختلفة. 20- إعداد وإصدار تقرير سنوي عن حالة حماية البيانات الشخصية في الجمهورية العربية السورية.
المادة 20 –
أ- يتولى إدارة الهيئة: مجلس الإدارة. المدير العام.
ب- يشكل بقرار من رئيس مجلس الوزراء بناءً على اقتراح الوزير مجلس الإدارة على النحو الآتي:
ج- تُحدد مدّة عضوية ممثلي الوزارات والخبير في مجلس الإدارة بثلاث سنوات قابلة للتجديد لمرة واحدة.
د- تُحدد تعويضات أعضاء مجلس الإدارة بقرار من رئيس مجلس الوزراء بناء على اقتراح الوزير.
المادة 21 –
مهام مجلس الإدارة: مجلس الإدارة هو السلطة التي تتولى رسم سياسات الهيئة وتصريف أمورها ومباشرة اختصاصاتها، وله أن يتخذ ما يراه لازماً من قرارات لتحقيق أغراض الهيئة والقانون وتعليماته التنفيذية، وله على وجه الخصوص الآتي:
أ- وضع واعتماد السياسات والخطط الإستراتيجية والبرامج اللازمة لحماية البيانات الشخصية.
ب- وضع واعتماد الضوابط والتدابير والمعايير اللازمة لتنفيذ أحكام هذا القانون وتعليماته التنفيذية.
ج- الإشراف على تنفيذ خطط واتفاقيات وبروتوكولات التعاون الدولي المختلفة وتبادل الخبرات مع الجهات والمنظمات الدولية.
د- اقتراح الأجور والبدلات التي تتقاضاها الهيئة مقابل مزاولة المهام المنوطة بها.
هـ- إقرار خطط وبرامج التدريب والتأهيل في مجال عمل الهيئة.
و- اعتماد مشروع الموازنة السنوية للهيئة. ز- مناقشة التقرير السنوي والتقارير التقنية والمالية واعتمادها.
ح- وضع المعايير الفنية والخبرات المطلوبة للتعاقد مع الخبراء المحليين أو الأجانب في مجال حماية البيانات الشخصية، ويُصدر الوزير صكوك التعاقد مع هؤلاء الخبراء.
ط- اعتماد الهيكل التنظيمي، والنظام المالي والإداري، وخطة التوظيف السنوية، ورفعها للجهات المعنية لإقرارها.
ي- قبول المنح والتبرعات والهبات اللازمة لتحقيق أغراضها وفق القوانين والأنظمة النافذة.
ك- اقتراح إحداث فروع للهيئة في المحافظات.
المادة 22 –
أ- يجتمع مجلس الإدارة بدعوة من رئيسه كلما اقتضت الحاجة لذلك، على ألا يقل عدد الاجتماعات في السنة عن ثمانية اجتماعات، ويكون اجتماعه صحيحاً بحضور أغلبية أعضائه على أن يكون من بينهم رئيس المجلس أو نائبه، وتصدر قراراته بأغلبية أصوات الأعضاء الحاضرين، وعند تساوي الأصوات يرجح جانب رئيس الاجتماع.
ب- لرئيس مجلس الإدارة أن يدعو من يراه ضرورياً لحضور اجتماعات المجلس دون أن يكون له حق التصويت.
المادة 23 –
أ- يحظر على أعضاء مجلس الإدارة والعاملين فيها، إفشاء أي وثائق أو مستندات أو بيانات تتعلق بالحالات التي تقوم الهيئة برقابتها أو فحصها أو التي يجري تقديمها أو تداولها أثناء فحص أو إصدار القرارات الخاصة بها، ويبقى هذا الالتزام قائماً بعد انتهاء العلاقة بالهيئة.
ب- لا يجوز الإفصاح عن المعلومات والوثائق والمستندات والبيانات المشار إليها في الفقرة /أ/ من هذه المادة إلا للسلطة القضائية.
المادة 24 –
يُعين المدير العام بمرسوم بناءً على اقتراح الوزير، يحدد فيه أجره وتعويضاته.
المادة 25 –
مهام المدير العام للهيئة: يُشرف المدير العام على حسن سير العمل في الهيئة، ويُعدّ مسؤولاً عن شؤون الهيئة أمام مجلس إدارتها وأمام الوزير، ويتولى على وجه الخصوص المهام الآتية:
أ- تنفيذ قرارات مجلس الإدارة.
ب- عقد النفقة والأمر بتصفيتها وصرفها وفق القوانين والأنظمة النافذة.
ج- منح التراخيص والتصاريح والاعتمادية التي تصدرها الهيئة وفق المهام المكلف بها.
د- تمثيل الهيئة أمام القضاء والغير.
هـ- إعداد مشروع الموازنة السنوية للهيئة، وعرضه على مجلس الإدارة.
و- إعداد التقارير التي تتضمّن خطط الهيئة ومشاريعها، وعرضها على مجلس الإدارة.
ز- ممارسة المهام الأخرى التي يقررها مجلس الإدارة.
المادة 26 –
تقوم الهيئة بالتنسيق مع الجهات المختصة، بالتعاون مع نظيراتها في الدول الأخرى، عبر إطار اتفاقيات التعاون الدولية أو الإقليمية أو الثنائية أو بروتوكولات التعاون المصدق عليها، أو تطبيقاً لمبدأ المعاملة بالمثل، بما يكفل حماية البيانات الشخصية والتحقق من امتثال المتحكمين والمعالجين خارج سورية لأحكام هذا القانون، وتعمل على تبادل البيانات والمعلومات بما يكفل حماية وعدم خرق البيانات الشخصية والمساعدة في التحقيق حين حصول الجرائم ذات الصلة.
الفصل العاشر
التراخيص والتصاريح والاعتماديات
المادة 27 –
أنواع التراخيص والتصاريح والاعتماديات:
أ- تقوم الهيئة بتصنيف ومنح التراخيص والتصاريح والاعتماديات وتحديد أنواعها.
ب- تضع الهيئة الشروط الخاصة لمنح كل من التراخيص والتصاريح والاعتماديات ويعتمدها مجلس الإدارة.
المادة 28 –
إجراءات إصدار التراخيص والتصاريح والاعتماديات:
أ- تقدم طلبات التراخيص والتصاريح والاعتماديات مشفوعة بجميع المستندات والمعلومات التي تحددها التعليمات التنفيذية، ويُبت في الطلب خلال مدة تسعين يوماً من تاريخ استيفائه لجميع المستندات والمعلومات، وفي حال الرفض يجب أن يكون مُعللاً.
ب- يحق للهيئة طلب بيانات أو وثائق أو مستندات أخرى للبت في الطلب، ويحق لها أيضاً طلب توفير ضمانات إضافية لحماية البيانات الشخصية إذا تبين عدم كفاية الحماية المبينة بالمستندات المقدمة إليها.
ج- للمتحكم أو المعالج الحصول على أكثر من ترخيص أو تصريح وفقاً لنوعية البيانات الشخصية المتعامل بها بعد موافقة الهيئة.
المادة 29 –
تعديل شروط الترخيص والتصريح: لمجلس الإدارة، وفقاً لضرورات المصلحة العامة، تعديل شروط الترخيص أو التصريح بعد إصداره في أي من الحالات الآتية:
أ- توافقاً مع الاتفاقيات الدولية أو الإقليمية أو القوانين الوطنية ذات الصلة.
ب- بناءً على طلب المرخص أو المصرح له. ج- اندماج المتحكم أو المعالج مع آخرين داخل سورية أو خارجها.
د- إذا كان التعديل ضرورياً لتحقيق أهداف هذا القانون.
المادة 30 –
إلغاء الترخيص أو التصريح أو الاعتمادية: يحقّ للهيئة إلغاء الترخيص أو التصريح أو الاعتمادية بعد إصداره في أي من الحالات الآتية:
أ- مخالفة الشروط الواردة في وثيقة الترخيص أو التصريح أو الاعتمادية.
ب- عدم سداد أجور تجديد الترخيص أو التصريح أو الاعتمادية.
ج- التنازل عن الترخيص أو التصريح أو الاعتمادية للغير دون موافقة الهيئة.
د- صدور حكم قضائي مبرم بإفلاس المتحكم أو المعالج.
المادة 31 –
باستثناء المخالفات المنصوص عليها في المادة /30/ من هذا القانون، ومع عدم الإخلال بأحكام المسؤولية المدنية والجزائية، يقوم المدير العام للهيئة، في حال ارتكاب أي مخالفة لأحكام هذا القانون، بإبلاغ المخالف بالتوقف عن المخالفة وإزالة أسبابها أو آثارها خلال مدة زمنية محددة، فإذا انقضت هذه المدة دون تنفيذ مضمون ذلك الإبلاغ، على مجلس الإدارة أن يتخذ أحد الإجراءات الآتية ووفقاً للمعايير والضوابط المحددة في التعليمات التنفيذية:
أ- إنذار محدد المدة بإيقاف الترخيص أو التصريح أو الاعتمادية جزئياً أو كلياً.
ب- إيقاف الترخيص أو التصريح أو الاعتمادية جزئياً أو كلياً.
ج- إلغاء الترخيص أو التصريح أو الاعتمادية جزئياً أو كلياً.
د- نشر بيان بالمخالفات التي ثبت وقوعها في وسيلة إعلام أو أكثر واسعة الانتشار وعلى نفقة المخالف.
هـ- إخضاع المخالف للإشراف الفني للهيئة لتأمين حماية البيانات الشخصية على نفقته.
الفصل الحادي عشر
موازنة الهيئة ومواردها المالية
المادة 32 –
أ- تعتبر الهيئة وحدة حسابية مستقلة، ولها موازنة خاصة بها يُراعى فيها تحقيق التوازن بين الإيرادات والنفقات السنوية، وتَصدر بقرار من الوزير بناءً على اقتراح مجلس الإدارة وموافقة وزارة المالية، وترتبط بالموازنة العامة للدولة وفق مبدأ الصوافي. ب- تتكون إيرادات الهيئة من المصادر الآتية:
1- الإعانات التي تخصص لها في الموازنة العامة للدولة.
2- الوفر المدور من موازنة السنة السابقة.
3- بدلات التراخيص والتصاريح والاعتماديات التي تصدرها الهيئة.
4- أجور تقديم طلبات الترخيص، وأجور التصاريح والاعتمادية، وتجديدها.
5- الإعانات والهبات والوصايا والتبرعات التي يُوافَق عليها، وفق القوانين والأنظمة النافذة.
6- أي إيرادات أخرى تسمح بها القوانين والأنظمة النافذة.
الفصل الثاني عشر
الطلبات والشكاوى
المادة 33 –
الطلبات: لصاحب البيانات أن يتقدم إلى أي متحكم أو معالج بطلب يتعلق بممارسة حقوقه المنصوص عليها في هذا القانون، ويلتزم من يُقدّم إليه الطلب بالرد عليه خلال سبعة أيام عمل من تاريخ تقديمه إليه.
المادة 34 –
الشكاوى:
أ- للشخص صاحب البيانات حق الشكوى في الحالات الآتية:
1- الاعتداء على حق حماية البيانات الشخصية أو الإخلال به.
2- الامتناع عن تمكين صاحب البيانات من استيفاء حقوقه.
3- القرارات الصادرة عن المسؤول عن حماية البيانات الشخصية لدى المعالج أو المتحكم بشأن الطلبات المقدمة له.
ب- تقدم الشكوى إلى الهيئة، ولها في ذلك اتخاذ ما يلزم من إجراءات التحقيق، وعليها أن تصدر قرارها خلال ثلاثين يوماً من تاريخ تقديمها، على أن يُخطر الشاكي والمشكو منه بالقرار.
ج- يلتزم المشكو منه بتنفيذ قرار الهيئة خلال سبعة أيام عمل من تاريخ تبلغه به، وإعلام الهيئة بالتنفيذ.
الفصل الثالث
عشر الضابطة العدلية
المادة 35 –
أ- يكلف بقرار مـــــن الوزير عدد من العاملين في الهيئة، ويخولون بصلاحيات الضابطة العدلية.
ب- يؤدي العاملون المشار إليهم في الفقرة /أ/ من هذه المادة اليمين القانونية أمام رئيس محكمة البداية المدنية في المحافظة قبل مباشرتهم العمل، وذلك وفق الصيغة الآتية: (أقسم بالله العظيم أن أؤدي مهمتي بأمانة وصدق)
ج- للعاملين المشار إليهم في هذه المادة حق الدخول إلى مقرات عمل المرخص أو المصرح لهم، وضبط ما يقع من مخالفات، ولهم في سبيل ذلك ضبط أي مادة أو نسخة أو وسيلة استعملت في ارتكاب أي مخالفة لأحكام هذا القانون.
الفصل الرابع عشر
الغرامات والعقوبات
الفرع الأول الغرامات
المادة 36 –
تفرض بقرار من الهيئة غرامة مالية مقدارها:
أ- /1,000,000/ ل.س مليون ليرة سورية إذا امتنع المتحكم أو المعالج عن تمكين صاحب البيانات من ممارسة حقوقه المنصوص عليها في المادة /3/ من هذا القانون.
ب- /5,000,000/ ل.س خمسة ملايين ليرة سورية كل متحكم لم يلتزم بواجباته المنصوص عليها في البنود من /1–8/ و/10,000,000/ ل.س عشرة ملايين ليرة سورية كل متحكم لم يلتزم بواجباته المنصوص عليها في البنود من /9–13/ من الفقرة (أ) من المادة /5/.
ج- /15,000,000/ ل.س خمسة عشر مليون ليرة سورية كل معالج لم يلتزم بواجباته المنصوص عليها في المادة /6/.
د- /3,000,000/ ل.س ثلاثة ملايين ليرة سورية (كل ممثل قانوني للشخص الاعتباري) لم يلتزم بما نصَّت عليه المادة /9/.
هـ- /10,000,000/ ل.س عشرة ملايين ليرة سورية كل مسؤول حماية البيانات الشخصية لم يلتزم بأحد واجباته المنصوص عليها في المادة /10/.
و- /4,000,000/ ل.س أربعة ملايين ليرة سورية كل متحكم أو معالج لم يلتزم عند طلب إتاحة البيانات الشخصية منه بالإجراءات المنصوص عليها في المادة /11/.
ز- /3,000,000/ ل.س ثلاثة ملايين ليرة سورية كل من خالف أحكام التسويق الإلكتروني المنصوص عليها في المادتين /17–18/.
ح- /3,000,000/ ل.س ثلاثة ملايين ليرة سورية كل عضو مجلس إدارة أو أي من العاملين بالهيئة خالف الالتزامات المنصوص عليها في المادة /23/.
ط- /10,000,000/ ل.س عشرة ملايين ليرة سورية كل متحكم أو معالج خالف أحكام التراخيص أو التصاريح أو الاعتماديات الممنوحة له.
الفرع الثاني
العقوبات
المادة 37 –
أ- يعاقب بالحبس من شهر إلى ستة أشهر وبغرامة من /1,000,000/ ل.س مليون ليرة سورية إلى /3,000,000/ ل.س ثلاثة ملايين ليرة سورية، كل من جمع بيانات شخصية دون توافر المعايير المنصوص عليها في المادة /4/ من هذا القانون.
ب- يعاقب بالحبس من شهر إلى ستة أشهر وبغرامة من /5,000,000/ ل.س خمسة ملايين ليرة سورية إلى /7,000,000/ ل.س سبعة ملايين ليرة سورية، كل من جمع أو عالج أو أفشى أو أتاح أو تداول أو خزن أو نقل أو حفظ أو حذف بيانات شخصية معالجة إلكترونياً بأي وسيلة من الوسائل دون موافقة صاحب البيانات، أو في غير الأحوال المصرح بها قانوناً.
ج- تشدد العقوبة المنصوص عليها في الفقرة (ب) من هذه المادة إلى الحبس من ستة أشهر إلى سنتين وبغرامة من /7,000,000/ ل.س سبعة ملايين ليرة سورية إلى /10,000,000/ ل.س عشرة ملايين ليرة سورية في إحدى الحالات الآتية:
1- إذا ارتُكب الجرم بقصد جلب منفعة مادية أو معنوية، أو بقصد تعريض صاحب البيانات للخطر، أو الضرر.
2- إذا جمع أو عالج أو أفشى أو أتاح أو تداول أو خزن أو نقل أو حفظ أو حذف بيانات شخصية حساسة دون موافقة صاحب البيانات، أو في غير الحالات المسموح بها قانوناً.
د- يعاقب بالحبس من ثلاثة أشهر إلى سنتين وبغرامة من /7,000,000/ ل.س سبعة ملايين ليرة سورية إلى /10,000,000/ ل.س عشرة ملايين ليرة سورية، كل متحكم أو معالج لم يلتزم بواجباته المنصوص عليها في المادة /8/ من هذا القانون.
هـ- يعاقب بالسجن من ثلاث سنوات إلى سبع سنوات وبغرامة من /10,000,000/ ل.س عشرة ملايين ليرة سورية إلى /20,000,000/ ل.س عشرين مليون ليرة سورية، كل من خالف أحكام المادتين /15–16/ من هذا القانون.
و- يعاقب بالحبس من سنة إلى ثلاث سنوات وبغرامة من /7,000,000/ ل.س سبعة ملايين ليرة سورية إلى /12,000,000/ ل.س اثني عشر مليون ليرة سورية، كل من قام بممارسة أي عمل من الأعمال المنصوص عليها في هذا القانون، والتي تستوجب الحصول على ترخيص أو تصريح من الهيئة، قبل الحصول عليه.
ز- يعاقب بالحبس من شهر إلى ثلاثة أشهر وبغرامة من /5,000,000/ ل.س خمسة ملايين ليرة سورية إلى /7,000,000/ ل.س سبعة ملايين ليرة سورية، كل من منع أو أعاق دون عنف أحد العاملين بالهيئة ممن يتمتعون بصفة الضابطة العدلية، عن أداء عمله.
المادة 38 –
يُعاقب على الشروع في الجنح المنصوص عليها في هذا القانون وفق الأحكام الواردة في قانون العقوبات.
المادة 39 –
إضافةً إلى العقوبات المنصوص عليها في هذا القانون، تقضي المحكمة بنشر حكم الإدانة في صحيفتين محليتين، وعلى موقع الهيئة الإلكتروني، على نفقة المحكوم عليه.
الفصل الخامس عشر
أحكام عامة
المادة 40 –
أ- لا تطبق أحكام هذا القانون على معالجة البيانات الشخصية والبيانات الشخصية الحساسة في الحالات الآتية:
1- البيانات التي يحتفظ بها الشخص الطبيعي لصاحب البيانات، والتي تتم معالجتها من قبله في نطاق الأنشطة الشخصية، شريطة عدم الكشف عنها لأي طرف آخر دون موافقة صاحب البيانات، والامتثال للالتزامات المتعلقة بحماية البيانات.
2- لأغراض الإحصاءات الرسمية التي تجريها الجهات المختصة بذلك قانونياً.
3- لأغراض إعلامية أو علمية، بشرط أن تكون صحيحة ودقيقة، وألا يكون الغرض منها اتخاذ أي قرار أو إجراء أو انتهاك للخصوصية أو الحقوق الشخصية لصاحب البيانات.
4- لأغراض تحقيق متطلبات الأمن الوطني أو النظام العام أو لتحقيق المصلحة العامة أو بهدف منع وقوع جريمة أو كشفها من قبل الجهات المختصة.
5- البيانات المتعلقة بمحاضر الضبط القضائي والتحقيقات والدعاوى القضائية.
6- البيانات التي يتم تبادلها بين الدول أو الوزارات في نطاق الأنشطة الوقائية لمواجهة حالات الكوارث والأوبئة العامة.
ب- يمنع الاحتفاظ بالبيانات التي تمت معالجتها بعد انتهاء الغرض من معالجتها ما لم تنص القوانين النافذة خلاف ذلك.
المادة 41 –
أ- يصدر بقرار من رئيس مجلس الوزراء، بناء على اقتراح من الوزير، وبالتنسيق مع وزير المالية، النظام المالي للهيئة متضمناً التعويضات والحوافز وأجور الخبراء وفق أحكام القانون الأساسي للعاملين في الدولة والنظام النموذجي للتحفيز الوظيفي للعاملين في الجهات العامة.
ب- يصدر بقرار من الوزير، بناءً على اقتراح مجلس الإدارة، نظام الخدمات الخاص بالهيئة، متضمّناً تحديد الأجور والبدلات التي تتقاضاها الهيئة مقابل الخدمات التي تقدّمها بالتنسيق مع وزارة المالية.
ج- في كل ما لم يرد عليه نص في هذا القانون، تُطبَّق على الهيئة القوانين والأنظمة النافذة المعمول بها في الهيئات العامة ذات الطابع الإداري، ويخضع العاملون فيها لأحكام القانون الأساسي للعاملين في الدولة.
المادة 42 –
تتم تسوية النزاعات بين المرخص لهم في مجالات عمل الهيئة ودياً عن طريق الهيئة، وفي حال عدم حل النزاع ودياً يتم اللجوء إلى القضاء أو التحكيم وفق القوانين والأنظمة النافذة.
المادة 43 –
تلتزم الجهات العامة والخاصة بموافاة الهيئة بما تطلبه من تقارير أو إحصاءات أو معلومات ترتبط بنشاطات الهيئة في مجال حماية البيانات الشخصية.
المادة 44 –
يصدر الهيكل الوظيفي للهيئة متضمناً الملاك العددي بمرسوم.
المادة 45 –
يُصدر مجلس الوزراء التعليمات التنفيذية لهذا القانون بناء على اقتراح الوزير. المادة 46 – يُنشر هذا القانون في الجريدة الرسمية، ويُعَدُّ نافذاً اعتباراً من 1-1-2025.
دمشق في 18- 9- 1445 هجري الموافق لـ 28- 3- 2024 ميلادي
رئيس الجمهورية
بشار الأسد