تسري أحكام القانون على البيانات الشخصية التي تتم معالجتها وتعد محمية بموجبه
تتولى "النقل والاتصالات وتقنية المعلومات" مسؤولية تطبيق أحكام القانون
حظر معالجة البيانات الشخصية للطفل إلا بموافقة ولي أمره
أوضح قانون حماية البيانات الشخصية الصادر بالمرسوم السلطاني رقم 6/ 2022 بأن أحكامه تسري على البيانات الشخصية التي تتم معالجتها، وأشار المرسوم السلطاني إلى أن وزير النقل والاتصالات وتقنية المعلومات يصدر اللائحة التنفيذية للقانون، كما يصدر القرارات اللازمة لتنفيذ أحكامه، وإلى أن تصدر يستمر العمل باللوائح والقرارات القائمة، فيما لا يتعارض مع أحكامه، كما يلغى الفصل السابع من قانون المعاملات الإلكترونية، ويلغى كل ما يخالف القانون المرفق، أو يتعارض مع أحكامه، ويُعمل به بعد انقضاء سنة من تاريخ نشره. وبيّن القانون أن أحكامه لا تسري على معالجة البيانات الشخصية التي تتم في حماية الأمن الوطني أو المصلحة العامة، وتنفيذ وحدات الجهاز الإداري للدولة وغيرها من الأشخاص الاعتبارية العامة للاختصاصات المقررة لها قانونا، وتنفيذ التزام قانوني ملقى على عاتق المتحكم بموجب أي قانون أو حكم أو قرار من المحكمة، وحماية المصالح الاقتصادية والمالية للدولة، وحماية مصلحة حيوية لصاحب البيانات الشخصية، وكشف أو منع أي جريمة جزائية بناءً على طلب رسمي مكتوب من جهات التحقيق، وتنفيذ عقد يكون صاحب البيانات الشخصية طرفا فيه، وإذا كانت المعالجة في إطار شخصي أو أسري، وأغراض البحوث التاريخية أو الإحصائية أو العلمية أو الأدبية أو الاقتصادية وذلك من قِبل الجهات المصرح لها القيام بهذه الأعمال، شريطة عدم استخدام أي دلالة أو إشارة تتعلق بصاحب البيانات الشخصية فيما تنشره من بحوث وإحصاءات، لضمان عدم نسب البيانات الشخصية إلى شخص طبيعي معرف أو قابل للتعريف، وإذا كانت البيانات متاحة للجمهور وبما لا يخالف أحكام هذا القانون. مؤكدا أن البيانات الشخصية تعد محمية بموجب أحكام هذا القانون.
وأشار إلى أنه تحظر معالجة البيانات الشخصية التي تتعلق بالبيانات الجينية أو البيانات الحيوية أو البيانات الصحية أو الأصول العرقية أو الحياة الجنسية أو الآراء السياسية أو الدينية أو المعتقدات أو الإدانة الجزائية أو المتعلقة بتدابير أمنية إلا بعد الحصول على تصريح بذلك من وزارة النقل والاتصالات وتقنية المعلومات، وفقا للضوابط والإجراءات التي تحددها اللائحة.
كما يحظر معالجة البيانات الشخصية للطفل إلا بموافقة ولي أمره، ما لم تكن تلك المعالجة لمصلحة الطفل الفضلى، وذلك وفقا للضوابط والإجراءات التي تحددها اللائحة.
مهمات وصلاحيات الوزارة
وبيّن القانون أنه مع عدم الإخلال بالاختصاصات المقررة لمركز الدفاع الإلكتروني، تتولى وزارة النقل والاتصالات وتقنية المعلومات مسؤولية تطبيق أحكام هذا القانون.
ولها على الأخص إعداد واعتماد الضوابط والإجراءات المتعلقة بحماية البيانات الشخصية بما في ذلك تحديد الضمانات الضرورية والتدابير اللازمة وقواعد السلوك المتعلقة بحماية البيانات الشخصية، وإصدار الضوابط والإجراءات اللازمة لمعالجة البيانات الشخصية والتحقق من التزام المتحكم والمعالج بها، وتلقي البلاغات والشكاوى التي يودعها أصحاب البيانات الشخصية، والبت فيها، خلال المدة التي تحددها اللائحة، والتعاون مع الجهات المختصة بحماية البيانات الشخصية في الدول الأخرى، وتقديم المشورة والدعم والتنسيق مع وحدات الجهاز الإداري للدولة وغيرها من الأشخاص الاعتبارية العامة في أي مسألة تتعلق بحماية البيانات الشخصية، وإصدار وإلغاء تراخيص مزودي الخدمة الذين تُعهد إليهم دراسة وتقييم التزام المتحكم والمعالج بأحكام هذا القانون، وفقا للضوابط والإجراءات التي تحددها اللائحة. إضافة إلى إعداد نماذج استرشادية لأغراض تطبيق أحكام هذا القانون كلما اقتضى الأمر ذلك، وإعداد تقارير دورية عن نشاطها في مجال حماية البيانات الشخصية، ونشرها في موقعها الإلكتروني، وإعداد سجل يقيد فيه المتحكمون والمعالجون المستوفون الشروط المقررة، وذلك على النحو الذي تحدده اللائحة.
وتتخذ الوزارة في سبيل حماية حقوق أصحاب البيانات الشخصية عددا من الإجراءات، كإنذار المتحكم أو المعالج، بالمخالفة التي تقع منه لأحكام هذا القانون، والأمر بتصحيح ومحو البيانات الشخصية التي تمت معالجتها بالمخالفة لأحكام هذا القانون، ووقف معالجة البيانات الشخصية بشكل مؤقت، أو دائم، ووقف تحويل البيانات الشخصية إلى دولة أخرى، أو منظمة دولية، وأي إجراء آخر تراه الوزارة ضروريا لحماية البيانات الشخصية، وذلك على النحو الذي تحدده اللائحة.
ويكون لموظفي الوزارة الذين يصدر بتحديدهم قرار من الجهة المختصة بالاتفاق مع الوزير، صفة الضبطية القضائية في تطبيق أحكام هذا القانون واللائحة والقرارات الصادرة تنفيذا له.
حقوق صاحب البيانات
وبيّن القانون أنه لا يجوز معالجة البيانات الشخصية إلا في إطار الشفافية والأمانة، واحترام كرامة الإنسان، وبعد الموافقة الصريحة لصاحب البيانات الشخصية على ذلك، ويجب أن يكون طلب معالجة البيانات الشخصية مكتوبا وبصورة واضحة وصريحة ومفهومة، ويلتزم المتحكم بإثبات الموافقة الكتابية لصاحب البيانات الشخصية لمعالجة بياناته.
ويكون لصاحب البيانات الشخصية إلغاء موافقته على معالجة بياناته الشخصية وذلك مع عدم الإخلال بالمعالجات التي تمت قبل الإلغاء، وطلب تعديل بياناته الشخصية أو تحديثها أو حجبها، والحصول على نسخة من بياناته الشخصية المعالجة، ونقل بياناته الشخصية إلى متحكم آخر، وطلب محو بياناته الشخصية ما لم تكن تلك المعالجة ضرورية لأغراض الحفظ والتوثيق الوطنية، وإخطاره بأي اختراق أو انتهاك لبياناته الشخصية، وما تم اتخاذه من إجراءات في هذا الشأن. وتُبيّن اللائحة الضوابط والإجراءات اللازمة لممارسة هذه الحقوق.
ويجوز لصاحب البيانات الشخصية التقدم بشكوى إلى الوزارة إذا رأى أو اعتبر أن معالجة بياناته الشخصية لا تتوافق مع أحكام هذا القانون، وذلك طبقا للضوابط والإجراءات التي تحددها اللائحة.
التزامات المتحكم والمعالج
وأشار القانون إلى أن المتحكم يلتزم بوضع الضوابط والإجراءات الواجب الالتزام بها عند معالجة البيانات الشخصية، ويجب أن تشتمل على تحديد المخاطر التي قد تقع على صاحب البيانات الشخصية جراء المعالجة، وإجراءات وضوابط نقل وتحويل البيانات الشخصية، والتدابير الفنية والإجرائية لضمان تنفيذ المعالجة وفقا لأحكام هذا القانون، وأي ضوابط أو إجراءات أخرى تحددها اللائحة.
ويلتزم المتحكم قبل البدء في معالجة أي بيانات شخصية أن يخطر صاحب البيانات الشخصية كتابة ببيانات المتحكم والمعالج، وبيانات التواصل مع مسؤول حماية البيانات الشخصية، والغرض من معالجة البيانات الشخصية، والمصدر الذي جمعت منه، والوصف الشامل والدقيق للمعالجة وإجراءاتها، ودرجات الإفصاح عن البيانات الشخصية، وحقوق صاحب البيانات الشخصية بما في ذلك حق الوصول إلى البيانات وتصحيحها ونقلها وتحديثها، وأي معلومات أخرى قد تكون ضرورية لاستيفاء شروط المعالجة.
ويلتزم المتحكم والمعالج بالضوابط والإجراءات التي تقررها الوزارة، لضمان أن معالجة البيانات الشخصية تمت وفقا لأحكام هذا القانون.
ويلتزم المتحكم والمعالج -بناء على طلب الوزارة- بتعيين مدقق خارجي للتأكد من أن إجراءات معالجة البيانات الشخصية قد تمت وفقا لأحكام هذا القانون، ووفقا لإجراءات وضوابط المتحكم الواجب الالتزام بها عند معالجة البيانات الشخصية، وتحدد اللائحة ضوابط وإجراءات تعيين المدقق الخارجي، كما يلتزم المتحكم والمعالج بموافاة الوزارة بنسخة من تقرير المدقق الخارجي.
ويلتزم المتحكم والمعالج بالاحتفاظ بمستندات عمليات المعالجة، وذلك وفقا للمدد والإجراءات التي تحددها اللائحة. كما يلتزم المتحكم والمعالج بالتعاون مع الوزارة، وتقديم ما تطلبه من بيانات ومستندات تراها لازمة لممارسة اختصاصها طبقا لأحكام هذا القانون، وذلك خلال المدة التي تحددها اللائحة.
ويلتزم المتحكم، عند حدوث اختراق للبيانات الشخصية يؤدي إلى تدميرها أو تغييرها أو الإفصاح عنها أو الوصول إليها أو معالجتها بصورة غير قانونية، بإبلاغ الوزارة وصاحب البيانات الشخصية عن الاختراق وذلك وفقا للضوابط والإجراءات التي تحددها اللائحة.
ويلتزم المتحكم بتحديد مسؤول حماية البيانات الشخصية، وتحدد اللائحة ضوابط اختيار هذا المسؤول ومهماته. ويلتزم المتحكم بضمان سرية البيانات الشخصية، وعدم نشرها إلا بموافقة مسبقة من صاحب البيانات الشخصية، وذلك على النحو الذي تحدده اللائحة، كما يلتزم المتحكم بالحصول على الموافقة الكتابية لصاحب البيانات الشخصية قبل إرسال أي مادة إعلانية أو تسويقية وذات أغراض تجارية إليه، وذلك على النحو الذي تحدده اللائحة.
ومع عدم الإخلال بالاختصاصات المقررة لمركز الدفاع الإلكتروني، يجوز للمتحكم نقل البيانات الشخصية، والسماح بتحويلها خارج حدود سلطنة عمان وفقا للضوابط والإجراءات التي تحددها اللائحة، ويحظر عليه نقل البيانات الشخصية إذا تمت معالجتها بالمخالفة لأحكام هذا القانون، أو كان من شأنها إلحاق ضرر بصاحب البيانات الشخصية.
العقوبات
وأوضح القانون أنه مع عدم الإخلال بأي عقوبة أشد ينص عليها قانون الجزاء أو أي قانون آخر، يعاقب على الجرائم المبيّنة في هذا القانون بالعقوبات المنصوص عليها فيه، حيث يعاقب بغرامة لا تقل عن 500 ريال، ولا تزيد على ألفي ريال عماني، كل من يخالف أحكام المادة (14) من هذا القانون. ويعاقب بغرامة لا تقل عن ألف ريال، ولا تزيد على 5 آلاف ريال عماني، كل من يخالف أحكام المواد (15)، و(16)، و(17)، و(18)، و(20)، و(22) من هذا القانون.
ويعاقب بغرامة لا تقل عن 5 آلاف ريال، ولا تزيد على 10 آلاف ريال عماني، كل من يخالف أحكام المادة (13) من هذا القانون، ويعاقب بغرامة لا تقل عن 10 ألف ريال، ولا تزيد على 20 ألف ريال عماني، كل من يخالف أحكام المواد (5)، و(6)، و(19)، و(21) من هذا القانون. ويعاقب بغرامة لا تقل عن 100 ألف ريال، ولا تزيد على 500 ألف ريال عماني، كل من يخالف أحكام المادة (23) من هذا القانون.
ومع عدم الإخلال بالمسؤولية الجزائية للأشخاص الطبيعيين، يعاقب الشخص الاعتباري بغرامة لا تقل عن 5 آلاف ريال، ولا تزيد على 100 ألف ريال عماني، إذا كانت الجريمة قد ارتكبت باسمه، أو لحسابه من قبل رئيس، أو أحد أعضاء مجلس إدارته، أو مديره، أو أي مسؤول آخر، بموافقته، أو بتستر، أو إهمال جسيم منه.
ويجوز للمحكمة المختصة في نطاق تطبيق أحكام هذا القانون أن تحكم، بالإضافة إلى الغرامة، بمصادرة الأدوات التي استُعملت لارتكاب الجريمة.
ومع عدم الإخلال بالعقوبات المنصوص عليها في هذا القانون، يجوز للوزارة فرض جزاءات إدارية على المخالفات التي يتم ارتكابها بالمخالفة لأحكام هذا القانون أو اللائحة أو القرارات الصادرة تنفيذا له، على ألا تزيد الغرامة الإدارية على ألفي ريال عماني.
تتولى "النقل والاتصالات وتقنية المعلومات" مسؤولية تطبيق أحكام القانون
حظر معالجة البيانات الشخصية للطفل إلا بموافقة ولي أمره
أوضح قانون حماية البيانات الشخصية الصادر بالمرسوم السلطاني رقم 6/ 2022 بأن أحكامه تسري على البيانات الشخصية التي تتم معالجتها، وأشار المرسوم السلطاني إلى أن وزير النقل والاتصالات وتقنية المعلومات يصدر اللائحة التنفيذية للقانون، كما يصدر القرارات اللازمة لتنفيذ أحكامه، وإلى أن تصدر يستمر العمل باللوائح والقرارات القائمة، فيما لا يتعارض مع أحكامه، كما يلغى الفصل السابع من قانون المعاملات الإلكترونية، ويلغى كل ما يخالف القانون المرفق، أو يتعارض مع أحكامه، ويُعمل به بعد انقضاء سنة من تاريخ نشره. وبيّن القانون أن أحكامه لا تسري على معالجة البيانات الشخصية التي تتم في حماية الأمن الوطني أو المصلحة العامة، وتنفيذ وحدات الجهاز الإداري للدولة وغيرها من الأشخاص الاعتبارية العامة للاختصاصات المقررة لها قانونا، وتنفيذ التزام قانوني ملقى على عاتق المتحكم بموجب أي قانون أو حكم أو قرار من المحكمة، وحماية المصالح الاقتصادية والمالية للدولة، وحماية مصلحة حيوية لصاحب البيانات الشخصية، وكشف أو منع أي جريمة جزائية بناءً على طلب رسمي مكتوب من جهات التحقيق، وتنفيذ عقد يكون صاحب البيانات الشخصية طرفا فيه، وإذا كانت المعالجة في إطار شخصي أو أسري، وأغراض البحوث التاريخية أو الإحصائية أو العلمية أو الأدبية أو الاقتصادية وذلك من قِبل الجهات المصرح لها القيام بهذه الأعمال، شريطة عدم استخدام أي دلالة أو إشارة تتعلق بصاحب البيانات الشخصية فيما تنشره من بحوث وإحصاءات، لضمان عدم نسب البيانات الشخصية إلى شخص طبيعي معرف أو قابل للتعريف، وإذا كانت البيانات متاحة للجمهور وبما لا يخالف أحكام هذا القانون. مؤكدا أن البيانات الشخصية تعد محمية بموجب أحكام هذا القانون.
وأشار إلى أنه تحظر معالجة البيانات الشخصية التي تتعلق بالبيانات الجينية أو البيانات الحيوية أو البيانات الصحية أو الأصول العرقية أو الحياة الجنسية أو الآراء السياسية أو الدينية أو المعتقدات أو الإدانة الجزائية أو المتعلقة بتدابير أمنية إلا بعد الحصول على تصريح بذلك من وزارة النقل والاتصالات وتقنية المعلومات، وفقا للضوابط والإجراءات التي تحددها اللائحة.
كما يحظر معالجة البيانات الشخصية للطفل إلا بموافقة ولي أمره، ما لم تكن تلك المعالجة لمصلحة الطفل الفضلى، وذلك وفقا للضوابط والإجراءات التي تحددها اللائحة.
مهمات وصلاحيات الوزارة
وبيّن القانون أنه مع عدم الإخلال بالاختصاصات المقررة لمركز الدفاع الإلكتروني، تتولى وزارة النقل والاتصالات وتقنية المعلومات مسؤولية تطبيق أحكام هذا القانون.
ولها على الأخص إعداد واعتماد الضوابط والإجراءات المتعلقة بحماية البيانات الشخصية بما في ذلك تحديد الضمانات الضرورية والتدابير اللازمة وقواعد السلوك المتعلقة بحماية البيانات الشخصية، وإصدار الضوابط والإجراءات اللازمة لمعالجة البيانات الشخصية والتحقق من التزام المتحكم والمعالج بها، وتلقي البلاغات والشكاوى التي يودعها أصحاب البيانات الشخصية، والبت فيها، خلال المدة التي تحددها اللائحة، والتعاون مع الجهات المختصة بحماية البيانات الشخصية في الدول الأخرى، وتقديم المشورة والدعم والتنسيق مع وحدات الجهاز الإداري للدولة وغيرها من الأشخاص الاعتبارية العامة في أي مسألة تتعلق بحماية البيانات الشخصية، وإصدار وإلغاء تراخيص مزودي الخدمة الذين تُعهد إليهم دراسة وتقييم التزام المتحكم والمعالج بأحكام هذا القانون، وفقا للضوابط والإجراءات التي تحددها اللائحة. إضافة إلى إعداد نماذج استرشادية لأغراض تطبيق أحكام هذا القانون كلما اقتضى الأمر ذلك، وإعداد تقارير دورية عن نشاطها في مجال حماية البيانات الشخصية، ونشرها في موقعها الإلكتروني، وإعداد سجل يقيد فيه المتحكمون والمعالجون المستوفون الشروط المقررة، وذلك على النحو الذي تحدده اللائحة.
وتتخذ الوزارة في سبيل حماية حقوق أصحاب البيانات الشخصية عددا من الإجراءات، كإنذار المتحكم أو المعالج، بالمخالفة التي تقع منه لأحكام هذا القانون، والأمر بتصحيح ومحو البيانات الشخصية التي تمت معالجتها بالمخالفة لأحكام هذا القانون، ووقف معالجة البيانات الشخصية بشكل مؤقت، أو دائم، ووقف تحويل البيانات الشخصية إلى دولة أخرى، أو منظمة دولية، وأي إجراء آخر تراه الوزارة ضروريا لحماية البيانات الشخصية، وذلك على النحو الذي تحدده اللائحة.
ويكون لموظفي الوزارة الذين يصدر بتحديدهم قرار من الجهة المختصة بالاتفاق مع الوزير، صفة الضبطية القضائية في تطبيق أحكام هذا القانون واللائحة والقرارات الصادرة تنفيذا له.
حقوق صاحب البيانات
وبيّن القانون أنه لا يجوز معالجة البيانات الشخصية إلا في إطار الشفافية والأمانة، واحترام كرامة الإنسان، وبعد الموافقة الصريحة لصاحب البيانات الشخصية على ذلك، ويجب أن يكون طلب معالجة البيانات الشخصية مكتوبا وبصورة واضحة وصريحة ومفهومة، ويلتزم المتحكم بإثبات الموافقة الكتابية لصاحب البيانات الشخصية لمعالجة بياناته.
ويكون لصاحب البيانات الشخصية إلغاء موافقته على معالجة بياناته الشخصية وذلك مع عدم الإخلال بالمعالجات التي تمت قبل الإلغاء، وطلب تعديل بياناته الشخصية أو تحديثها أو حجبها، والحصول على نسخة من بياناته الشخصية المعالجة، ونقل بياناته الشخصية إلى متحكم آخر، وطلب محو بياناته الشخصية ما لم تكن تلك المعالجة ضرورية لأغراض الحفظ والتوثيق الوطنية، وإخطاره بأي اختراق أو انتهاك لبياناته الشخصية، وما تم اتخاذه من إجراءات في هذا الشأن. وتُبيّن اللائحة الضوابط والإجراءات اللازمة لممارسة هذه الحقوق.
ويجوز لصاحب البيانات الشخصية التقدم بشكوى إلى الوزارة إذا رأى أو اعتبر أن معالجة بياناته الشخصية لا تتوافق مع أحكام هذا القانون، وذلك طبقا للضوابط والإجراءات التي تحددها اللائحة.
التزامات المتحكم والمعالج
وأشار القانون إلى أن المتحكم يلتزم بوضع الضوابط والإجراءات الواجب الالتزام بها عند معالجة البيانات الشخصية، ويجب أن تشتمل على تحديد المخاطر التي قد تقع على صاحب البيانات الشخصية جراء المعالجة، وإجراءات وضوابط نقل وتحويل البيانات الشخصية، والتدابير الفنية والإجرائية لضمان تنفيذ المعالجة وفقا لأحكام هذا القانون، وأي ضوابط أو إجراءات أخرى تحددها اللائحة.
ويلتزم المتحكم قبل البدء في معالجة أي بيانات شخصية أن يخطر صاحب البيانات الشخصية كتابة ببيانات المتحكم والمعالج، وبيانات التواصل مع مسؤول حماية البيانات الشخصية، والغرض من معالجة البيانات الشخصية، والمصدر الذي جمعت منه، والوصف الشامل والدقيق للمعالجة وإجراءاتها، ودرجات الإفصاح عن البيانات الشخصية، وحقوق صاحب البيانات الشخصية بما في ذلك حق الوصول إلى البيانات وتصحيحها ونقلها وتحديثها، وأي معلومات أخرى قد تكون ضرورية لاستيفاء شروط المعالجة.
ويلتزم المتحكم والمعالج بالضوابط والإجراءات التي تقررها الوزارة، لضمان أن معالجة البيانات الشخصية تمت وفقا لأحكام هذا القانون.
ويلتزم المتحكم والمعالج -بناء على طلب الوزارة- بتعيين مدقق خارجي للتأكد من أن إجراءات معالجة البيانات الشخصية قد تمت وفقا لأحكام هذا القانون، ووفقا لإجراءات وضوابط المتحكم الواجب الالتزام بها عند معالجة البيانات الشخصية، وتحدد اللائحة ضوابط وإجراءات تعيين المدقق الخارجي، كما يلتزم المتحكم والمعالج بموافاة الوزارة بنسخة من تقرير المدقق الخارجي.
ويلتزم المتحكم والمعالج بالاحتفاظ بمستندات عمليات المعالجة، وذلك وفقا للمدد والإجراءات التي تحددها اللائحة. كما يلتزم المتحكم والمعالج بالتعاون مع الوزارة، وتقديم ما تطلبه من بيانات ومستندات تراها لازمة لممارسة اختصاصها طبقا لأحكام هذا القانون، وذلك خلال المدة التي تحددها اللائحة.
ويلتزم المتحكم، عند حدوث اختراق للبيانات الشخصية يؤدي إلى تدميرها أو تغييرها أو الإفصاح عنها أو الوصول إليها أو معالجتها بصورة غير قانونية، بإبلاغ الوزارة وصاحب البيانات الشخصية عن الاختراق وذلك وفقا للضوابط والإجراءات التي تحددها اللائحة.
ويلتزم المتحكم بتحديد مسؤول حماية البيانات الشخصية، وتحدد اللائحة ضوابط اختيار هذا المسؤول ومهماته. ويلتزم المتحكم بضمان سرية البيانات الشخصية، وعدم نشرها إلا بموافقة مسبقة من صاحب البيانات الشخصية، وذلك على النحو الذي تحدده اللائحة، كما يلتزم المتحكم بالحصول على الموافقة الكتابية لصاحب البيانات الشخصية قبل إرسال أي مادة إعلانية أو تسويقية وذات أغراض تجارية إليه، وذلك على النحو الذي تحدده اللائحة.
ومع عدم الإخلال بالاختصاصات المقررة لمركز الدفاع الإلكتروني، يجوز للمتحكم نقل البيانات الشخصية، والسماح بتحويلها خارج حدود سلطنة عمان وفقا للضوابط والإجراءات التي تحددها اللائحة، ويحظر عليه نقل البيانات الشخصية إذا تمت معالجتها بالمخالفة لأحكام هذا القانون، أو كان من شأنها إلحاق ضرر بصاحب البيانات الشخصية.
العقوبات
وأوضح القانون أنه مع عدم الإخلال بأي عقوبة أشد ينص عليها قانون الجزاء أو أي قانون آخر، يعاقب على الجرائم المبيّنة في هذا القانون بالعقوبات المنصوص عليها فيه، حيث يعاقب بغرامة لا تقل عن 500 ريال، ولا تزيد على ألفي ريال عماني، كل من يخالف أحكام المادة (14) من هذا القانون. ويعاقب بغرامة لا تقل عن ألف ريال، ولا تزيد على 5 آلاف ريال عماني، كل من يخالف أحكام المواد (15)، و(16)، و(17)، و(18)، و(20)، و(22) من هذا القانون.
ويعاقب بغرامة لا تقل عن 5 آلاف ريال، ولا تزيد على 10 آلاف ريال عماني، كل من يخالف أحكام المادة (13) من هذا القانون، ويعاقب بغرامة لا تقل عن 10 ألف ريال، ولا تزيد على 20 ألف ريال عماني، كل من يخالف أحكام المواد (5)، و(6)، و(19)، و(21) من هذا القانون. ويعاقب بغرامة لا تقل عن 100 ألف ريال، ولا تزيد على 500 ألف ريال عماني، كل من يخالف أحكام المادة (23) من هذا القانون.
ومع عدم الإخلال بالمسؤولية الجزائية للأشخاص الطبيعيين، يعاقب الشخص الاعتباري بغرامة لا تقل عن 5 آلاف ريال، ولا تزيد على 100 ألف ريال عماني، إذا كانت الجريمة قد ارتكبت باسمه، أو لحسابه من قبل رئيس، أو أحد أعضاء مجلس إدارته، أو مديره، أو أي مسؤول آخر، بموافقته، أو بتستر، أو إهمال جسيم منه.
ويجوز للمحكمة المختصة في نطاق تطبيق أحكام هذا القانون أن تحكم، بالإضافة إلى الغرامة، بمصادرة الأدوات التي استُعملت لارتكاب الجريمة.
ومع عدم الإخلال بالعقوبات المنصوص عليها في هذا القانون، يجوز للوزارة فرض جزاءات إدارية على المخالفات التي يتم ارتكابها بالمخالفة لأحكام هذا القانون أو اللائحة أو القرارات الصادرة تنفيذا له، على ألا تزيد الغرامة الإدارية على ألفي ريال عماني.