一、前言

基于公开信息检索,卡塔尔的数据保护制度主要以其在2016年颁布的《个人数据隐私保护法》(Law No. 13 of 2016 Concerning the Protection of Personal Data Privacy)为核心,我们对其进行翻译及初步整理,以期为读者提供些许帮助。

二、个人数据隐私保护法(思维导图及中文翻译)

2016年第(13)号关于保护个人数据隐私的法律

我们,塔米姆·本·哈马德·阿勒萨尼,卡塔尔国埃米尔,在查阅《宪法》、2006年第(34)号关于通讯的法律、2010年第(16)号关于电子交易和商务的法律、经2015年第(4)号法律修订的2011年第(2)号关于官方统计的法律、2014年第(14)号关于打击网络犯罪的法律、2014年第(42)号关于成立通讯监管局的埃米尔决定、2016年第(8)号关于交通与通讯部组织结构的埃米尔决定、根据交通与通讯部大臣的提议、以及内阁提交的法律草案,并征求协商会议的意见后,兹裁定通过以下法律:

第一章 定义与总则

第一条

在适用本法律条款时,下列词语和表述应具有各自对应的含义,除非上下文另有要求:

  • 部:交通与通讯部。
  • 大臣:交通与通讯部大臣。
  • 主管当局:部内主管行政单位。
  • 主管机构:依法负责监管与个人数据处理及披露相关的活动或程序的任何政府机构。
  • 个人:其个人数据被处理的自然人。
  • 控制者:单独或与他人共同确定个人数据处理方式和目的的自然人或法人。
  • 处理者:代表控制者处理个人数据的自然人或法人。
  • 个人数据:关于身份已确定或可通过该个人数据或通过将该数据与其他任何数据组合后合理确定的个人的数据。
  • 个人数据处理:对个人数据执行的一项操作或一系列操作,例如收集、接收、记录、组织、存储、准备、修改、检索、使用、创建、披露、传输、合并、屏蔽、擦除和销毁。
  • 跨境处理:访问、查看、检索、使用或存储个人数据,不受国界限制。
  • 目的:根据法律处理个人数据的目的。
  • 指定活动:主管当局确定或批准的处理活动,涉及不同类型的合法目的。
  • 直接营销通讯:通过任何方式向特定人员发送任何广告或营销材料。
  • 电子通讯:通过有线、无线、射频、光学、其他电磁通讯手段或任何其他类似通讯手段发送或接收任何类型或性质的信号、代码、图像、图形、声音、数据、文本或信息。
  • 发起电子通讯:建立、发送、传输电子通讯,或协助或指示处理者这样做。
  • 网站运营者:在互联网上建立网站或通过网站提供产品或服务,并收集或处理该网站用户或访问者的个人数据的个人。

第二条

本法律规定适用于以电子方式进行的个人数据处理,或以其他方式获取、收集、提取并准备进行电子处理的数据,或通过电子处理与非电子处理相结合的方式处理的数据。

本法律规定不适用于个人在个人或家庭范围内处理的个人数据,或根据前述2011年第(2)号法律规定为获取官方统计数据而处理的个人数据。

第二章 个人权利

第三条

每个人都有权保护其个人数据的隐私。这些数据必须在透明、诚信、尊重人类尊严以及根据本法规定的可接受实践的框架内进行处理。

第四条

控制者必须事先获得个人的同意,方可处理其个人数据,除非该处理对于实现控制者或数据接收方的合法目的是有必要的。

第五条

个人有权在任何时间执行以下操作:

1.撤回其先前对处理其个人数据的同意。

2.反对处理其个人数据,如果该处理对于实现收集目的不是必需的,或超出其要求,或具有歧视性、不公平或违法。

3.在上述两种情况下,或在处理这些数据的目的已结束时,或控制者没有正当理由保留这些数据时,要求删除或擦除其个人数据。

4.要求更正其个人数据,并附上证明其请求准确性的证据。

第六条

个人有权在任何时间访问其个人数据并要求查阅,面对任何控制者,个人特别有权:

1.被告知其个人数据的处理以及进行此类处理的目的。

2.被告知任何不准确个人数据的披露情况。

3.在支付不超过服务成本费用的金额后,获得其个人数据的副本。

第七条

与个人行使前两条所规定权利相关的控制措施和程序,应由大臣的决定予以规定。

第三章 控制者和处理者的义务

第八条

控制者必须遵守以下规定:

1.诚信、合法地处理个人数据。

2.遵守与设计、更改或开发与个人数据处理相关的产品、系统和服务相关的特定管控措施。

3.根据主管当局的规定,采取适当的管理、技术和财务预防措施来保护个人数据。

4.遵守主管当局制定并由大臣发布决定通过的隐私保护政策。

第九条

控制者在开始处理任何个人数据之前,必须告知个人以下信息:

1.控制者的数据,或任何其他代表控制者处理数据或由其利用数据的当事方。

2.控制者或任何其他当事方希望处理个人数据的合法目的。

3.处理活动的全面和准确描述,以及为合法目的披露个人数据的程度,如果控制者无法做到,则必须向个人提供一般性描述。

4.为满足个人数据处理条件所必须和要求的任何其他信息。

第十条

控制者必须确保其收集的或为其收集的个人数据与合法目的相关且足以实现这些目的,并确保这些数据准确、完整、及时更新以实现合法目的,且保留时间不超过实现这些目的所必需的期限。

第十一条

控制者必须采取以下措施:

1.在引入新的处理操作之前审查隐私保护程序。

2.确定负责保护个人数据的处理人员。

3.培训处理人员并提高其保护个人数据的意识。

4.建立内部系统以接收和调查投诉、数据访问、删除或更正请求,并向个人提供这些服务。

5.建立有效的个人数据管理内部系统,并报告任何违反保护措施的行为。

6.使用适当的技术手段,使个人能够直接行使其访问、查阅和更正个人数据的权利。

7.对个人数据保护要求的合规程度进行全面审计和审查。

8.核实处理者遵守其指示的情况,采取必要的预防措施保护个人数据,并持续监控和跟进。

第十二条

控制者在披露个人数据或将其传输给处理者时,必须确保其符合合法目的,并根据本法规定进行处理。

第十三条

控制者和处理者都必须采取必要的预防措施,保护个人数据免遭丢失、损坏、篡改、破坏或意外或非法访问或使用。

这些预防措施必须与所要保护的个人数据的性质及重要性相称。

处理者必须立即通知控制者其知悉的任何违反规定的预防措施的情况,或任何可能以任何方式危及个人数据的风险。

第十四条

如果可能对个人数据或个人隐私造成严重损害,控制者必须将发生的任何违反前条规定预防措施的情况告知个人和主管当局。

第十五条

在遵守本法规定的义务的前提下,禁止控制者采取任何可能限制个人数据跨境流动的决定或行动,除非这些数据的传输违反本法律规定,或可能对个人数据或个人隐私造成严重损害。

第四章 特殊性质的个人数据

第十六条

特殊性质的个人数据是指涉及种族血统、儿童、健康或身心状况、宗教信仰、婚姻关系、刑事犯罪的个人数据。

如果数据的滥用或泄露可能对个人造成严重损害,大臣可以指定其他类别的特殊性质个人数据。

除非获得主管当局的许可,否则不得处理特殊性质的个人数据,具体程序和管控措施由大臣发布决定规定。

大臣可通过其决定,为保护特殊性质的个人数据施加额外的预防措施。

第十七条

在遵守本法律规定的前提下,任何面向儿童的网站的所有者或运营者必须遵守以下规定:

1.在网站上发布关于儿童数据性质、使用方式以及其披露政策的通知。

2.通过电子通讯或任何其他适当方式,获得对其个人数据进行处理的儿童的监护人的明确同意。

3.应监护人的要求,并在核实其身份后,向其提供正在处理的个人数据类型的描述、处理目的说明,以及已处理或收集的关于儿童的数据副本。

4.如果监护人要求,删除、擦除或停止处理任何从儿童那里收集或关于儿童的个人数据。

5.不得以儿童提供超出参与该活动所必需的个人数据作为儿童参与游戏、获奖或任何其他活动的条件。

第五章 豁免

第十八条

主管机构可以决定处理某些个人数据时不受本法第(4)、(9)、(15)、(17)条规定的约束,以实现以下任何目的:

1.保护国家安全和公共安全。

2.保护国家的国际关系。

3.保护国家的经济或财政利益。

4.预防任何刑事犯罪,或收集相关信息,或对其进行调查。

主管机构应保存专门登记册,记录为实现上述目的而处理的数据,大臣将通过决定规定在此登记册中登记的条件、管控措施和情况。

第十九条

在下列任何情况下,控制者可豁免遵守本法第(4)条、第(5)条第1、2、3款、第(6)条的规定:

1.根据法律执行涉及公共利益的任务。

2.履行法律义务或主管法院的命令。

3.保护个人的重大利益。

4.实现为公共利益进行的科学研究的目的。

5.根据调查机构的正式要求,收集调查刑事犯罪所需的信息。

第二十条

如果披露拒绝遵守本法第6条规定的个人权利的理由会妨碍实现第18条规定的目的,则控制者可免于披露该理由。

第二十一条

在遵守前两条规定的前提下,控制者在以下任何情况下可豁免遵守本法第六条的规定:

1.如果披露会损害他人的商业利益。

2.如果履行此义务将披露涉及未同意的其他个人的个人数据,并且披露可能对该个人或任何其他个人造成物质或精神损害。

第六章 用于直接营销的电子通讯

第二十二条

禁止向个人发送任何用于直接营销的电子通讯,除非事先获得其同意。

电子通讯必须包含发起者的身份信息,并表明其用于直接营销目的。它还必须包含一个易于访问的有效地址,个人可以通过该地址向发起者发送请求以停止这些通讯或撤回其发送通讯的同意。

第七章 处罚

第二十三条

在不影响任何其他法律规定的更严厉处罚的情况下,凡违反本法第(4)、(8)、(9)、(10)、(11)(12)、(14)、(15)、(22)条任何规定的,处以不超过一百万里亚尔的罚款。

第二十四条

在不影响任何其他法律规定的更严厉处罚的情况下,凡违反本法第(13)条、第(16)条第三款、第(17)条任何规定的,处以不超过五百万里亚尔的罚款。

第二十五条

如果代表法人实体并为其利益犯下本法律规定的任何罪行,则该法人实体将被处以不超过一百万里亚尔的罚款,这不影响其下属自然人的刑事责任。

第八章 最终条款

第二十六条

如违反本法律规定及为执行本法律而颁布的规章,个人可向主管当局提出投诉。

主管当局在调查投诉并确认其严肃性后,可发布说明理由的决定,要求控制者或处理者(视情况而定)在规定期限内纠正违规行为。

控制者或处理者可自收到通知之日起六十天内向大臣申诉该决定。

大臣应在提交申诉之日起六十天内对申诉作出裁决。若此期限届满未获答复,则视为申诉被默示拒绝,大臣对申诉的裁决为最终决定。

第二十七条

为适用和执行本法律规定,主管当局可采取一切必要措施,特别是:

1.与任何可能代表控制者或网站运营者的专业团体、协会及其他协会进行协调,以鼓励和发展自我监管,宣传本法,并制定培训和教育计划。

2.与处理家庭事务的民间组织和机构合作,以加强儿童在互联网上的安全。

3.进行研究,监测与本法律所涉及领域相关的技术发展,并就此编写报告或提出建议。

第二十八条

任何违反本法律规定签订的合同或协议均属无效。

第二十九条

根据总检察长与大臣协商后发布的决定,被授予司法警察官资格的部属职员有权扣押和记录违反本法律规定所犯下的罪行。

第三十条

受本法律规定约束的各方必须在本法生效之日起六个月内调整其状况以符合其规定。

根据大臣的提议,内阁可通过决定将此期限延长一个或多个类似期限。

第三十一条

大臣应发布执行本法律规定所必要的决定。

第三十二条

所有主管机构,各司其职,均应执行本法律。本法律应在官方公报上公布。

颁布于埃米尔迪万

回历:1438年2月3日

公历:2016年11月3日

(原标题:出海中东系列 | 中国企业出海卡塔尔指南(八):数据法规翻译及思维导图)

来源:同川晓律,供稿:连越互联网与数字经济法律事务部

作者:

  • 杨博,连越律师事务所 合伙人,专注领域:直播电商、游戏电竞等新兴经济领域商业合规;科技企业股权投资与并购、经营者集中申报、企业家婚姻家庭处理;网络侵权、计算机软件保护、个人信息保护、数据合规、商业秘密保护、商业诋毁、商业贿赂、数据权益保护等领域的诉讼与非诉法律服务。
  • 张心悦,广州大学法学院24级合规班。
  • 丁佳仪,广州大学法学院24级合规班。

延伸阅读:

中国企业出海卡塔尔指南(一):外国投资规定 

中国企业出海卡塔尔指南(二):企业注册及税收规定

中国企业出海卡塔尔指南(三):劳动就业规定

中国企业出海卡塔尔指南(四):外国企业承包工程 

中国企业出海卡塔尔指南(五):贸易法规和政策

中国企业出海卡塔尔指南(六):数字经济 

中国企业出海卡塔尔指南(七):自动驾驶