كتاب روابط اجتياز لـ المادة (22) خصوصية البيانات والموافقة على استخدام البيانات الشخصية
المادة (22) خصوصية البيانات والموافقة على استخدام البيانات الشخصية
- يجب على مزوّد خدمة التمويل المفتوح عدم معالجة أي بيانات شخصية لتوفير خدماته ما لم يحصل على موافقة صريحة من المستخدم للقيام بذلك. وتخضع المادة 22 من هذا النظام لتقييدات معالجة البيانات الحساسة المنصوص عليها في المادة 4(1)(5) وفي المادة 16(3)(2) من هذا النظام.
يجب أن تكون موافقة المستخدم:
1-2 محدّدة للغرض الذي يتم منحها من أجله، ومستنيرة، وغير غامضة، وممنوحة بحرية؛ 2-2 ممنوحة باستخدام بيان أو إجراء واضح وموضوعي وإيجابي للدلالة على الموافقة على معالجة البيانات الشخصية الخاصة بذلك المستخدم؛ 3-2 إذا كانت المعالجة تهدف إلى تغطية أغراض متعددة، يتم الحصول عليها لكل غرض بطريقة يمكن تمييزها بوضوح؛ 4-2 في حالة تكرار المعاملة، تُحدّد فترة صلاحية الموافقة، ويكون الحد أقصى لذلك اثني عشر(12) شهراً؛ 5-2 وأن يكون المستخدم قادرًا على سحبها في أي وقت ولأي سبب، عند إشعار مزوّد خدمة التمويل المفتوح. - يجب على مزوّد خدمة التمويل المفتوح، في وقت الحصول على الموافقة، إبلاغ المستخدم بهذا الحقّ في سحب الموافقة وكيفية ممارسة هذا الحق. وينبغي ألا يتطلب سحب الموافقة جهدًا غير مبّرر من جانب المستخدم، وينبغي أن يتم على الأقل بنفس الدرجة من البساطة والسرعة والسهولة التي مُنحت بها الموافقة. ولا يؤثر سحب الموافقة على قانونية المعالجة التي تتم قبل تاريخ سحب الموافقة، ولا يَمنع مزوّد خدمة التمويل المفتوح من الاحتفاظ بالبيانات الشخصية المطلوبة للامتثال للمادة 13 من هذا النظام أو القوانين المعمول بها.
في حالة خدمات بدء الخدمة، يجب الحصول على موافقة المستخدم فيما يتعلق بكل معاملة سيتم البدء بها من قبل مزوّد خدمات بدء الخدمة أو، في حالة المعاملة المتكررة، يجب الحصول على موافقة المستخدم في الوقت الذي يُنشئ فيه المستخدم المعاملة المتكررة لأول مرة، ومعاييرها. ويجب أن تتضمن موافقة المستخدم في حالة خدمات بدء الخدمة تفاصيل حول ما يأتي، حسب الاقتضاء:
1-4 الحساب / الحسابات أو المنتج / المنتجات المعنية التي ترتبط بها المعاملة / المعاملات؛ 2-4 طبيعة المعاملة / المعاملات المعنية التي سيتم بدؤها (بما في ذلك ما إذا كانت معاملة متكررة)؛ 3-4 قيمة / قيم المعاملة / المعاملات المعنية؛ 4-4 المستفيد / المستفيدون من المعاملة / المعاملات المعنية؛ 5-4 وتاريخ / تواريخ قيمة المعاملة / المعاملات المعنية. - لن تُعتبر موافقة المستخدم صالحة في الظروف التي يحصل فيها مزوّد خدمة التمويل المفتوح على موافقة المستخدم على معالجة البيانات الشخصية التي تتضمن بيانات شخصية تكون غير ذات صلة، أو لا تقتصر على، ما هو ضروري للغرض المقصود الذي تم منحها من أجله.
- إذا كانت بيانات المستخدم تحتوي على بيانات شخصية لأشخاص طبيعيين بخلاف المستخدم، فيجب على مزوّدي خدمة التمويل المفتوح إخفاء هويّة هذه البيانات الشخصية لهؤلاء الأشخاص الطبيعيين الآخرين، أو التأكّد من الحصول على موافقة هؤلاء الأشخاص الطبيعيين الذين تتعلق بهم البيانات الشخصية قبل معالجة هذه البيانات الشخصية وفقًا لهذا النظام (ما لم تكن معالجة تلك البيانات الشخصية مسموح بها بموجب القوانين المعمول بها فيما يتعلق بحماية البيانات الشخصية).
- لا يوجد في هذا النظام ما ينتقص من التزامات المنشأة المرخّصة بموجب جميع القوانين والأنظمة الأخرى المعمول بها فيما يتعلق بحماية البيانات الشخصية، بما في ذلك الأنظمة الأخرى.
- يجب على مزوّدي خدمة التمويل المفتوح الامتثال لجميع القوانين والأنظمة الأخرى المعمول بها فيما يتعلق بحماية البيانات الشخصية.
دون الإخلال بالمادة 22(7) و22(8) من هذا النظام، يجب للبيانات الشخصية التي تعالجها المنشأة المرخصة أو مزوّد خدمة التمويل المفتوح فيما يتعلق بخدمات التمويل المفتو ح:
1-9 أن تتم معالجتها بشكل قانوني وعادل وبطريقة شفافة؛ 2-9 أن يتم جمعها لأغراض محدّدة وصريحة ومشروعة، وألا تتم معالجتها في أي وقت بطريقة لا تتوافق مع تلك الأغراض؛ 3-9 أن تكون كافية، وذات صلة، ومقتصرة على ما هو ضروري فيما يتعلق بالأغراض التي تتم من أجلها معالجتها؛ 4-9 أن تكون دقيقة، وعند الضرورة، يتم تحديثها، ويجب اتخاذ كل خطوة معقولة لضمان محو البيانات الشخصية غير الدقيقة، مع مراعاة الأغراض التي تتم من أجلها معالجتها، أو تصحيحها دون تأخير؛ 5-9 وأن تتم معالجتها بطريقة تضمن الأمن المناسب للبيانات الشخصية، بما في ذلك حمايتها من المعالجة غير المصرّح بها أو غير القانونية ومن الفقدان أو التدمير أو التلف بصورة عرَضية، وذلك باستخدام التدابير الفنية أو التنظيمية المناسبة. - يجب على مزوّدي خدمة التمويل المفتوح اتلاف بيانات المستخدم التي هي بيانات شخصية تسمح بتحديد هوية المستخدم بعد اكتمال الغرض من تقديمها إلى مزوّد خدمة التمويل المفتوح، مع مراعاة متطلبات الاحتفاظ بالسجلات في المادة 13 من هذا النظام وأي متطلبات إلزامية للاحتفاظ بالبيانات بموجب القوانين المعمول بها، بما في ذلك قوانين مواجهة غسل الأموال.
يجب على مزوّدي خدمة التمويل المفتوح تخزين جميع البيانات المتعلّقة بخدمات التمويل المفتوح داخل الدولة، ولا يُسمح لهم بالاحتفاظ بنسخ من البيانات التي يحصلون عليها من خلال خدمات التمويل المفتوح خارج الدولة ما لم يقم مزوّد خدمة التمويل المفتوح بالحصول على:
1-11 موافقة من المصرف المركزي وموافقات إضافية من أي سلطة مختصّة أخرى ذات صلة، حسبما يكون ذلك ضروريًا؛ 2-11 موافقة كتابية مسبقة من المستخدم . ولغرض الحصول على مثل هذه الموافقة من المستخدم، يجب إبلاغ المستخدم بالمعلومات التالية، وذلك قبل أو عندما يُطلب منه إعطاء الموافقة:
1-2-11 أين سيتم تخزين بيانات المستخدم؛ 2-2-11 لماذا سيتم تخزينها خارج الدولة؛ 3-2-11 يتم طلب هذه الموافقة فقط للغرض الذي تمت الموافقة عليه من قبل المصرف المركزي؛ 3-11 وإقرار كتابي من المستخدم بإمكانية الوصول إلى بياناته بموجب إجراءات قانوذية خارج الدولة في مثل هذه الظروف. - ورهنًا بموافقة المصرف المركزي ووفقًا للقوانين والأنظمة ذات الصلة، يمكن للفروع المرخصّة للبنوك الأجنبية تخزين البيانات المتعلّقة بخدمات التمويل المفتوح خارج الدولة، على أن يتم تخزين نسخة من نظام السجلات الرئيس داخل الدولة، وأن يتم تحديثه بشكل يومي على الأقل.