مشروع قانون رقم () لسنة ٢٠٢٢ قانون حماية البيانات الشخصية
المادة ١:
يسمى هذا القانون (قانون حماية البيانات الشخصية لسنة ٢٠٢٢)، ويعمل به بعد ستة أشهر من تاريخ نشره في الجريدة الرسمية.
المادة ٢:
يكون للكلمات والعبارات التالية حيثما وردت في هذا القانون المعاني المخصصة لها أدناه، ما لم تدل القرينة على غير ذلك.
الوزارة: وزارة الاقتصاد الرقمي والريادة.
الوزير: وزير الاقتصاد الرقمي والريادة.
المجلس: مجلس حماية البيانات الشخصية المشكل بمقتضى أحكام هذا القانون.
الوحدة: الوحدة التنظيمية المختصة بحماية البيانات الشخصية في الوزارة.
البيانات الشخصية: أي بيانات أو معلومات تتعلق بشخص طبيعي ومن شأنها التعريف به بطريقة مباشرة أو غير مباشرة مهما كان مصدرها أو شكلها، بما في ذلك البيانات المتعلقة بشخصه أو وضعه العائلي أو أماكن تواجده.
البيانات الشخصية الحساسة: أي بيانات أو معلومات تتعلق بشخص طبيعي تدل بصورة مباشرة أو غير مباشرة على أصله أو عرقه أو تدل على آرائه أو انتماءاته السياسية أو معتقداته الدينية أو أي بيانات تتعلق بوضعه المالي أو بحالته الصحية أو الجسدية أو العقلية أو الجينية، أو بصمته الحيوية (البيومترية) أو بسجل السوابق الجنائية الخاص به، أو أي معلومات أو أي بيانات يقرر المجلس اعتبارها حساسة. إذا كان إفشائها أو سوء استخدامها يلحق ضررا بالشخص المعني بها.
البيانات: البيانات الشخصية والبيانات الشخصية الحساسة.
قواعد البيانات: الملفات أو السجلات الإلكترونية أو غير الإلكترونية التي تشتمل على البيانات.
المعالجة: عملية واحدة أو أكثر يتم إجراؤها بأي شكل أو وسيلة بهدف جمع البيانات أو الاطلاع عليها أو تسجيلها أو نسخها أو حفظها أو تخزينها أو تنظيمها أو تنقيحها أو استغلالها أو استعمالها أو إرسالها أو توزيعها أو نشرها، أو ربطها ببيانات أخرى، أو إتاحتها أو نقلها أو عرضها، أو إخفاء هويتها أو ترميمها أو إتلافها.
الشخص المعني: الشخص الطبيعي التي الذي تتم معالجة بيانات الخاصة به.
المسؤول: أي شخص طبيعي أو اعتباري سواء أكان داخل المملكة أم خارجها تكون البيانات في عهدته.
المعالج: الشخص الطبيعي أو الاعتباري الذي يكون مختصا بمعالجة البيانات.
المراقب: الشخص الطبيعي المعين للإشراف على قواعد البيانات والمعالجة وفقا لأحكام هذا القانون.
المتلقي: أي شخص طبيعي أو اعتباري سواء كان داخل المملكة أو خارجها يتم نقل البيانات إليه أو تبادلها معه من المسؤول.
الموافقة المسبقة: موافقة الشخص المعني المسبقة على المعالجة.
التشخيص: المعالجة الآلية للبيانات للتعرف على اتجاهات الشخص المعني أو ميوله أو خياراته أو سلوكياته.
الإخلال بأمن وسلامة البيانات: أي وصول غير مشروع أو أي عملية أو نقل أو إجراء غير مصرح به على البيانات.
المادة ٣:
أ- تسري أحكام هذا القانون على البيانات، وإن تم جمعها أو معالجتها قبل نفاذه.
ب- لا تسري أحكام هذا القانون على الأشخاص الطبيعيين الذين يقومون بمعالجة بياناتهم لأغراضهم الشخصية.
المادة ٤:
مع مراعاة المادة (٦) من هذا القانون:-
أ- لكل شخص طبيعي الحق في حماية بياناته، ولا يجوز معالجتها إلا بعد الحصول على الموافقة المسبقة للشخص المعني أو في الأحوال المصرح بها قانونا.
ب- يتمتع الشخص المعني بالحقوق التالية:
١- العلم والاطلاع والوصول إلى البيانات الموجودة لدى المسؤول والحصول عليها.
٢- سحب الموافقة المسبقة.
٣- التصحيح أو التعديل أو المحو أو إخفاء أو الإضافة أو التحديث للبيانات.
٤- تخصيص المعالجة في نطاق محدد.
٥- الاعتراض على المعالجة والتشخيص إذا كانا غير ضروريين لتحقيق الأغراض التي جمعت البيانات من أجلهما، أو كانتا الزائدين على متطلباتها أو تمييزية أو مجحفة أو مخالفة للقانون.
٦- نقل نسخة من بياناته من المسؤول إلى مسؤول آخر.
٧- العلم والمعرفة بأي خرق أو انتهاك أو إخلال بأمن وسلامة ببياناته.
جـ- لا يترتب على ممارسة الشخص المعني لحقوقه المنصوص عليها في الفقرة (ب) من هذه المادة أي تبعات مالية أو تعاقدية.
المادة ٥:
أ- يشترط في الموافقة المسبقة ما يلي:
١- أن تكون صريحة وموثقة خطيا أو إلكترونيا.
٢- أن تكون محددة من حيث المدة والغرض
٣- أن يكون الطلب بلغة واضحة وبسيطة وغير مضللة ويمكن الوصول إليه بسهولة.
٤- موافقة أحد والدي أو ولي الشخص الذي لا يتمتع بالأهلية القانونية أو موافقة القاضي بناء على طلب الوحدة إذا اقتضت المصلحة الفضلى لمن لا يتمتع بالأهلية القانونية ذلك.
ب- لا يعتد بالموافقة المسبقة في الحالتين التاليتين:.
١- إذا صدرت استنادا إلى معلومات غير صحيحة أو ممارسات خادعة أو مضللة، وكانت هي السبب في قرار الشخص المعني بمنحها
٢- إذا تم تغيير طبيعة المعالجة أو نوعها أو أهدافها دون الحصول على الموافقة بذلك.
المادة ٦:
أ- تعد المعالجة قانونية ومشروعة، ويجوز إجراؤها دون الحصول على الموافقة المسبقة أو إعلام الشخص المعني في الحالات التالية:
١- المعالجة التي تتم مباشرة من قبل جهة عامة مختصة بالقدر الذي يقتضيه تنفيذ المهام المنوطة به بها قانونا أو من خلال جهات أخرى متعاقد معها، على أن يتضمن التعاقد مراعاة كافة الالتزامات والشروط المنصوص عليها في هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه.
٢- إذا كانت ضرورية للأغراض الطبية الوقائية أو التشخيص الطبي أو تقييم الرعاية الصحية من قبل المرخص له بمزاولة أي من المهن الطبية.
٣- إذا كانت ضرورية لحماية حياة الشخص المعني أو لحماية مصالحه الحيوية.
٤- إذا كانت ضرورية لمنع جريمة أو لكشفها من قبل جهة مختصة، أو لملاحقة الجرائم المرتكبة خلافا لأحكام القانون.
٥- إذا كانت مطلوبة أو مصرح بها بموجب أي من التشريعات أو تنفيذا لها، أو بقرار من المحكمة المختصة.
٦- إذا كانت ضرورية لأغراض البحث العلمي أو التاريخي، شريطة أن لا يكون الغرض منها اتخاذ أي قرار أو إجراء بشأن شخص محدد.
٧- إذا كانت ضرورية لأغراض إحصائية أو لمتطلبات الأمن الوطني أو لتحقيق المصلحة العامة.
٨- إذا كان محل المعالجة بيانات متاحة للجمهور من الشخص المعني.
ب- لا يجوز الاحتفاظ بالبيانات التي تمت معالجتها بعد انتهاء الغرض من المعالجة ما لم تنص التشريعات على خلاف ذلك.
المادة ٧:
يشترط في المعالجة ما يلي:
أ- أن يكون الغرض منها مشروعا ومحددا وواضحا.
ب- أن تكون متفقة مع الأغراض التي تم جمع البيانات من أجلها.
جـ- أن تتم بوسائل قانونية ومشروعة.
د- أن تستند إلى بيانات صحيحة ودقيقة ومحدثة.
هـ- أن لا تؤدي إلى تحديد الشخص المعني بعد استنفاد الغرض منها.
و- أن لا تؤدي إلى التسبب بضرر للشخص المعني أو تنال من حقوقه بشكل مباشر أو غير مباشر.
ز- أن تتم بطريقة تضمن سرية المعلومات وسلامتها وعدم حدوث أي تغيير عليها.
المادة ٨:
يلتزم المسؤول بما يلي:
أ- اتخاذ الإجراءات اللازمة لحماية البيانات التي في عهدته وتلك التي سلمت إليه من قبل شخص آخر.
ب- اتخاذ التدابير الأمنية والتقنية والتنظيمية التي تكفل حماية البيانات من أي إخلال بأمنها وسلامتها أو أي كشف أو أي تغيير أو إضافة أو إتلاف أو إجراء غير مصرح به وفقا للتعليمات يصدرها المجلس لهذه الغاية.
جـ- وضع الآليات والإجراءات التي تخضع لها المعالجة وتلقي الشكاوى بخصوصها والرد عليها وفقا لأحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه، ونشرها على الموقع الإلكتروني الخاص به وفي وسائل الإعلام المتاحة.
د- توفير وسائل التي من شأنها تمكين الشخص المعني من ممارسة حقوقه وفقا لأحكام هذا القانون.
هـ- تصحيح البيانات غير الكاملة وغير الدقيقة، إذ تبين له عدم صحتها أو عدم مطابقتها مع الواقع قبل البدء بمعالجة، باستثناء البيانات التي جمعت لمنع وقوع الجريمة أو اكتشافها أو ملاحقتها.
و- تمكين الشخص المعني من الاعتراض على المعالجة وسحب الموافقة المسبقة والوصول إلى بياناته وتحديثها، وتوفير الوسائل التي يراها مناسبة لتمكينه من ذلك بطريقة آمنة.
المادة ٩:
مع مراعاة المادة (٦) من هذا القانون، يتعين على المسؤول وقبل البدء بالمعالجة إعلام الشخص المعني خطيا أو إلكترونيا بما يلي:.
أ- البيانات التي ستتم معالجتها وتاريخ البدء بذلك.
ب- الغرض الذي تجري من أجله معالجة ببياناته
جـ- المدة الزمنية التي ستتم خلالها معالجة البيانات، على أن لا يتم تمديد هذه المدة إلا بموافقة الشخص المعني ووفقا لأحكام القانون.
د- المعالج الذي سيشارك المسؤول في تنفيذ المعالجة ها ضوابط أمن وسلامة حماية البيانات ومعلومات عن التشخيص.
المادة ١٠:
أ- يتم محو البيانات أو إخفاؤها واتخاذ التدابير اللازمة لذلك من قبل المسؤول بناء على طلب الشخص المعني أو الوحدة في أي من الحالات التالية:.
١- إذا تمت المعالجة لغرض غير الذي جمعت من أجله، أو بالشكل غير الذي تمت الموافقة مسبقة عليه.
٢- إذا سحب الشخص المعني الموافقة المسبقة الذي كانت تستند إليها المعالجة.
٣- إذا خضعت البيانات لمعالجة خلافا لأحكام. هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه.
٤- إذا كان تنفيذا لالتزام قانوني أو تعاقدي.
ب- لا تسري أحكام الفقرة (أ) من هذه المادة على المعالجة التي تتم وفقا لأحكام المادة (٦) من هذا القانون.
المادة ١١:
أ- يلتزم المسؤول بتعيين المراقب في الحالات التالية:
١- إذا كان العمل الرئيسي للمسؤول معالجة البيانات الشخصية.
٢- معالجة البيانات الشخصية الحساسة.
٣- معالجة البيانات لمن لا يتمتع بالأهلية القانونية.
٤- معالجة البيانات التي تتضمن معلومات مالية.
٥- نقل قواعد بيانات إلى خارج المملكة.
٦- أي حالة أخرى يقرر المجلس إلزام المسؤول بتعيين المراقب لأجلها.
ب- يتولى المراقب المهام والمسؤوليات التالية:.
١- مراقبة إجراءات المسؤول المتعلقة بحماية البيانات وتوثيق مدى توافقها مع أحكام هذا القانون والتشريعات ذات العلاقة.
٢- إجراء التقييم والفحص الدوري لأنظمة قواعد بيانات وأنظمة معالجة البيانات وأنظمة المحافظة على أمن وسلامة وحماية البيانات بشكل دوري، على أن يقوم بتوثيق نتائج التقييم وإصدار التوصيات اللازمة لحماية البيانات ومتابعة تنفيذ هذه التوصيات.
٣- العمل كضابط ارتباط مباشر مع الوحدة والجهات الأمنية والقضائية فيما يخص الالتزام بأحكام هذا القانون.
٤- وضع تعليمات داخلية لتلقي الشكاوى ودراستها وطلبات الوصول للبيانات وطلبات تصحيحها أو محوها أو إخفائها أو نقلها، وإتاحة ذلك للشخص المعني وفقا لأحكام القانون.
٥- تمكين الشخص المعني من ممارسة حقوقه المنصوص عليها في هذا القانون.
٦- تنظيم البرامج التدريبية اللازمة لموظفي المسؤول والمعالجة لتأهيلهم للتعامل مع البيانات بما يتناسب ومتطلبات هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه.
٧- أي مهام أو مسؤوليات أخرى منوطة به بمقتضى أحكام هذا القانون ومع الأنظمة والتعليمات الصادرة بمقتضاه.
المادة ١٢:
يلتزم المعالج بما يلي:
أ- إجراء المعالجة وتنفيذها وفقا لمتطلبات والشروط المنصوص عليها في هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه.
ب- عدم تجاوز الغرض المحدد للمعالجة ومدتها.
جـ- محو البيانات بانقضاء مدة المعالجة أو تسليمها للمسؤول.
د- الامتناع عن القيام بأي عمل يكون من شأنه إتاحة البيانات أو نتائج المعالجة إلا في الأحوال المصرح بها قانونا.
المادة ١٣:
تعتبر البيانات التي تجري عليها المعالجة بيانات سرية، ويقع على عاتق المسؤول والمعالج المحافظة على سريتها.
المادة ١٤:
أ- لا يجوز نقل البيانات وتبادلها بين المسؤول أو أي شخص آخر بمن فيهم المتلقي إلا بموافقة الشخص المعني ووفقا للشروط التالية:.
١- أن يحقق النقل مصالح مشروعة للمسؤول والمتلقي.
٢- أن يتوفر العلم الكافي لدى الشخص المعني بالمتلقي والأغراض التي ستستخدم البيانات من أجلها.
٣-أن لا يكون الغرض من النقل التسويق للمنتجات أو خدمات ما لم يوافق الشخص المعني بذلك.
ب- يلتزم المسؤول بالاحتفاظ بسجلات توثق فيها البيانات التي تم نقلها أو تبادلها مع المتلقي، والغرض من ذلك وتوثيق موافقات الأشخاص المعينة معنيين على النقل.
جـ- على الرغم مما ورد في الفقرتين (أ) و (ب) من هذه المادة يجوز نقل البيانات وتبادلها بين الجهات العامة المختصة بالقدر الذي يقتضيه تنفيذ المهام المنوطة بها قانونا.
د- يخضع المتلقي للمسؤوليات والواجبات القانونية ذاتها المقررة على المسؤول.
هـ- يلتزم المسؤول والمعالج والمتلقي بضمان سلامة وأمن البيانات وتهيئة الوسائل المناسبة التي تساعد في اكتشاف وتعقب حالات الاعتداء على أمنها وسلامتها.
المادة ١٥:
أ- لا يجوز نقل البيانات لأي شخص خارج المملكة بمن في ذلك المتلقي إذا كان مستوى الحماية الذي يوفره تلك البيانات يقل عما هو منصوص عليه في هذا القانون، باستثناء الحالات التالية:
١- التعاون القضائي الإقليمي أو الدولي بموجب اتفاقيات أو معاهدات دولية نافذة في المملكة.
٢- التعاون الدولي أو الإقليمي مع الهيئات أو منظمات أو الوكالات الدولية أو الإقليمية العاملة في مجال مكافحة الجريمة بأنواعها أو ملاحقة مرتكبيها.
٣- تبادل البيانات الطبية الخاصة بالشخص المعني عندما يكون ذلك ضروريا لعلاجه.
٤- تبادل البيانات المتعلقة بالأوبئة أو الكوارث الصحية أو ما يمس الصحة العامة في المملكة.
٥- موافقة الشخص المعني على النقل بعد إعلامه بعدم توافر مستوى حماية كافي.
٦- تحويل الأموال إلى خارج المملكة.
ب- على المسؤول وقبل البدء بعملية نقل البيانات والتحقق من مستوى الحماية الذي يوفره المتلقي خارج المملكة لضمان حماية البيانات وأمنها.
المادة ١٦:
أ- يشكل مجلس يسمى (مجلس حماية البيانات الشخصية) برئاسة الوزير وعضوية كل من:
١- مفوض المعلومات نائبا للرئيس.
٢- المفوض العام لحقوق الإنسان.
٣- ممثلين عن الأجهزة الأمنية يسميهما مديرو تلك الأجهزة بناء على طلب الوزير.
٤- أربعة أشخاص من ذوي الخبرة والاختصاص يسميهم الوزير.
ب- تكون مدة العضوية في المجلس أربع سنوات قابلة للتجديد لمرة واحدة.
جـ- يصدر المجلس تعليمات تنظم اجتماعاته وآلية اتخاذ قراراته وسائر الشؤون المتعلقة به.
المادة ١٧:
يتولى المجلس المهام والصلاحيات التالية:
أ- إقرار السياسات والاستراتيجيات والخطط والبرامج المتعلقة بحماية البيانات ومراقبة تنفيذها.
ب- اعتماد المعايير والتدابير الخاصة بحماية البيانات بما فيها مدونات السلوك الخاصة بحسن أداء المسؤول والمعالج لأعمالها.
جـ- إصدار التراخيص والتصاريح الخاصة بحفظ البيانات ومعالجتها وتشخيصها ونقلها.
د- اعتماد النماذج المتعلقة بالموافقة المسبقة وسحب الموافقة والاعتراضات والطلبات المقدمة من الشخص المعني وفقا لأحكام هذا القانون.
هـ- تحديد آلية البت في الشكاوى والطلبات المقدمة من الشخص المعني بحق المسؤول أو المقدم المسؤول بحق أي مسؤول آخر واتخاذ الإجراءات اللازمة بشأنها بمقتضى تعليمات يصدرها لهذه الغاية.
و- إبداء الرأي بشأن المعاهدات والاتفاقيات والتشريعات والتعليمات المتعلقة بالبيانات.
ز- تمثيل المملكة في المحافل المحلية والإقليمية والدولية المتعلقة بحماية البيانات.
ح- إصدار قائمة تحدث بشكل دوري بالدول أو الهيئات أو المنظمات الدولية أو الإقليمية المعتمدة لدى المملكة، والتي يتوفر لديها مستوى الحماية الكافي للبيانات ونشرها بأي وسيلة يراها مناسبة.
ط- اقتراح خطط التعاون الدولي في مجال لحماية البيانات وتبادل الخبرات مع الجهات والمنظمات الدولية يا التنسيق والتعاون مع الجهات والأجهزة الحكومية وغير الحكومية لضمان سلامة إجراءات حماية البيانات
ك- إقرار التقرير السنوي الخاص بحماية البيانات المعد من الوحدة ورفعه إلى مجلس الوزراء.
ل- أي مهام أخرى ذات علاقة بحماية البيانات.
المادة ١٨:
تتولى الوحدة المهام والصلاحيات التالية:
أ- إعداد مشروعات التشريعات والتعليمات ذات العلاقة بحماية البيانات ورفعها للمجلس.
ب- تلقي البلاغات والشكاوى المتعلقة بمخالفة أحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه أو والتحقيق فيها والتوصية للمجلس لاتخاذ القرار المناسب بشهرها
جـ- مراقبة الالتزام بأحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه.
د- فتح سجل يقيد فيه مسؤولو ومعالج ومراقبو حماية البيانات والإشراف عليه وتنظيمه وفقا لتعليمات يصدرها المجلس لهذه الغاية.
هـ- إعداد التقرير السنوي عن أعمال الوحدة ورفعه إلى المجلس لإقراره وأي مهام أخرى يكلفها الوزير أو المجلس بها.
المادة ١٩:
أ- عند حدوث إخلال بأمن وسلامة البيانات من شأنه إحداث ضرر جسيم بالشخص المعني، يتوجب على المسؤول القيام بما يلي:.
١- إبلاغ الأشخاص المعنيين الذين تكون بياناتهم قد تأثرت خلال (٢٤) ساعة من اكتشاف عملية الإخلال وتزويدهم بالإجراءات اللازمة لتفادي أي عواقب قد تترتب على هذا الإخلال.
٢- إبلاغ الوحدة خلال (٧٢) ساعة من اكتشاف عملية الإخلال عن مصدر الإخلال وآليته والأشخاص المعنيين الذين تأثرت بياناتهم بهذا الإخلال، وأي معلومات أخرى متوافرة متوافرة حولها.
ب- يكون المسؤول في حال الخطأ الجسيم أو التعدي ملزما بتعويض الشخص المعني.
المادة ٢٠:
أ- في حال ارتكاب أي مخالفة لأحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه، تقوم الوحدة بإنذار المخالف للتوقف عن المخالفة وإزالة أسبابها وآثارها خلال مدة تحددها في الإنذار، وإذا انقضت هذه المدة دون تنفيذ مضمون الإنذار يتخذ المجلس بناء على تنسيب الوحدة أيا من الجزاءات التالية:.
١- الإنذار بإيقاف الترخيص أو التصريح جزئيا أو كليا.
٢- إيقاف الترخيص أو التصريح جزئيا أو كليا.
٣- إلغاء الترخيص أو التصريح جزئيا أو كليا.
٤- فرض غرامة مالية لا يزيد مقدارها على (٥٠٠) دينار عن كل يوم تستمر فيه المخالفة، على ألا يزيد مجموع مبلغ الغرامة المفروضة على (٥٪) من إجمالي الإيرادات السنوية للسنة المالية السابقة للمسؤول المخالف.
ب- يجوز للوحدة نشر بيان بالمخالفات التي ثبت وقوعها على نفقة المخالف بالوسيلة والكيفية التي تراها مناسبة.
جـ- لا يحول اتخاذ أي من الإجراءات المنصوص عليها في الفقرة (أ) من هذه المادة دون حق المتضرر من إقامة دعوى التعويض المدني عن الأضرار التي لحقت به نتيجة مخالفة أحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه.
المادة ٢١:
أ- يعاقب كل من يخالف أحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه بغرامة لا تقل عن (١٠٠٠) ألف دينار ولا تزيد على (١٠٠٠٠) عشرة آلاف دينار، وتضاعف العقوبة في حال التكرار.
ب- إضافة الى العقوبة المنصوص عليها في الفقرة (أ) من هذه المادة، يجوز للمحكمة المختصة بناء على طلب النيابة العامة أو المتضرر أو من تلقاء نفسها أن تقضي بإتلاف البيانات أو إلغاء قاعدة البيانات موضوع الدعوى التي صدر بها قرار قطعي بالإدانة.
المادة ٢٢:
تلتزم جميع الجهات التي تتعامل بالبيانات قبل نفاذ أحكام هذا القانون بتوفيق أوضاعها وفقا لأحكامه خلال مدة لا تتجاوز سنة من تاريخ نفاذه.
المادة ٢٣:
يصدر مجلس الوزراء الأنظمة اللازمة لتنفيذ أحكام هذا القانون، بما في ذلك ما يلي:.
أ- أنواع التراخيص والتصاريح التي تصدر وفقا لأحكام هذا القانون وشروطها ومتطلباتها وحالات وقفها أو إلغائها والجهات المستثناة من التراخيص والتصاريح والبدلات التي تستوفى عن إصدارها وتجديدها.
ب- شروط وإجراءات الحصول على الموافقة المسبقة وسحبها.
جـ- شروط الإفصاح عن البيانات والأشخاص الذين يجوز الإفصاح لهم والبيانات المسموح بالإفصاح عنها.
المادة ٢٤:
رئيس الوزراء والوزراء مكلفون بتنفيذ أحكام هذا القانون.