الأمن السيبراني وحماية البيانات في سلطنة عمان: المتطلبات القانونية لمستقبل رقمي
إن التحول الرقمي المتسارع في سلطنة عمان، المدفوع بالحوسبة السحابية، والتقنيات المالية (الفنتك)، والحكومة الإلكترونية، قد جعل من الأمن السيبراني وحوكمة البيانات أولويات وطنية. ويحتم الإطار التنظيمي في السلطنة اليوم على المؤسسات أن تتعامل مع حماية البيانات بوصفها واجبا قانونيا أساسيا، لا مجرد مسألة تقنية ثانوية.
في مكتب العلوي وشركاؤه للمحاماة والإستشارات القانونية، نرشد عملاءنا عبر هذا المشهد القانوني المتطور، لضمان الامتثال والمرونة وبناء الثقة في الاقتصاد الرقمي.
- الإطار القانوني
يعتمد نظام الأمن السيبراني في سلطنة عمان على ثلاثة ركائز رئيسية:
- قانون مكافحة جرائم تقنية المعلومات(المرسوم السلطاني رقم 12/2011): يجرّم الدخول غير المصرح به والاحتيال الإلكتروني والتدخل في أنظمة المعلومات.
- قانون المعاملات الإلكترونية (المرسوم السلطاني رقم 69/2008): يعترف بالتوقيعات الإلكترونية والعقود المبرمة عبر الإنترنت، ويضمن صحة وسلامة المعاملات الرقمية.
- قانون حماية البيانات الشخصية (المرسوم السلطاني رقم 6/2022): يضع حقوقا شاملة لأصحاب البيانات ويلزم المتحكمين بها بواجبات محددة، بما يعكس المعايير العالمية للخصوصية مع الحفاظ على سيادة الدولة على بياناتها الوطنية.
تشكل هذه التشريعات معا إطارا متكاملًا ينظم كيفية جمع المعلومات وتخزينها ونقلها.
٢. الالتزامات الرئيسية بالامتثال بموجب قانون حماية البيانات الشخصية
ينطبق قانون حماية البيانات الشخصية على أي جهة داخل سلطنة عمان أو خارجها تقوم بمعالجة البيانات الشخصية للأفراد في السلطنة.
المعالجة المشروعة:
لا يجوز معالجة البيانات إلا بموافقة صريحة ومستنيرة وموثقة من صاحب البيانات. ويجب الإفصاح عن الغرض من المعالجة ونطاقها وفترة الاحتفاظ بالبيانات، كما يجوز لصاحب البيانات سحب موافقته في أي وقت.
توطين البيانات ونقلها عبر الحدود:
يتعين أن تبقى بعض فئات البيانات الحساسة (مثل البيانات المالية أو الحكومية أو الصحية) مستضافة داخل سلطنة عمان. ويُسمح بنقل البيانات عبر الحدود فقط في الحالات التي:
- تضمن فيها الدولة المستقبلة مستوى حماية كافٍ، و
- يقدم فيها صاحب البيانات موافقته، و
- يتم الحصول فيها على موافقة من وزارة النقل والاتصالات وتقنية المعلومات التي تتولى حاليا الدور الإشرافي إلى حين إنشاء هيئة حماية البيانات.
إجراءات الأمن:
يجب على المتحكمين في البيانات تنفيذ تدابير حماية قوية تشمل التشفير وضوابط الوصول وأنظمة متوافقة مع معايير ISO/IEC 27001 أو NIST. ويجب الإبلاغ عن أي خروقات أمنية على الفور إلى وزارة النقل والاتصالات وتقنية المعلومات.
العقوبات:
قد تصل الغرامات إلى 500,000 ريال عماني ويمكن أن تشمل تعليق عمليات المعالجة في حال وقوع مخالفات جسيمة.
3. الإشراف القطاعي وحوكمة الأمن السيبراني
تتولى وزارة النقل والاتصالات وتقنية المعلومات قيادة سياسات الأمن السيبراني الوطنية وترخيص مزودي خدمات تقنية المعلومات والاتصالات.
كما يقوم المركز الوطني العماني للأمن السيبراني بتنسيق الاستجابة للحوادث.
وتخضع المؤسسات المالية أيضا لإشراف الهيئة العامة لسوق المال والبنك المركزي العماني اللذين يفرضان تطبيق التشفير الإلزامي وضوابط الاستعانة بمصادر خارجية ومعايير الإبلاغ عن الحوادث.
وبالتالي، يجب أن يكون الامتثال أفقيا (بموجب قانون حماية البيانات الشخصية -) وقطاعيا في الوقت ذاته.
٤. العمليات السحابية وعبر الحدود
في نماذج الحوسبة السحابية وبرامج الخدمات عبر الإنترنت (Software-as-a-Service – SaaS)، تظل البيانات المستضافة خارج السلطنة خاضعة للقانون العماني إذا كانت تتعلق بعملاء محليين. ويتعين على مقدمي الخدمات ما يلي:
- الحصول على موافقة صريحة لتخزين البيانات خارج السلطنة،
- استخدام ضمانات تعاقدية مثل “الشروط التعاقدية القياسية”،
- إجراء تقييمات لتأثير حماية البيانات،
- الاحتفاظ بسجلات تدقيق وضمان توطين البيانات الحساسة.
يهدف هذا النوع من الحوكمة إلى حماية استمرارية الأعمال وضمان قابلية التنفيذ القانوني.
٥. الأمن السيبراني كواجب تعاقدي وقانوني
بموجب المادة ١٧٢ من قانون المعاملات المدنية، يجب على الأطراف التصرف بحسن نية ومع العناية المعقولة. قد يعد الإخفاق في الحفاظ على الأمن الرقمي الكافي خرقا أو إهمالا.
لتقليل التعرض للمخاطر:
- إدراج ضمانات تتعلق بالأمن السيبراني وبنود إشعار الخرق،
- تحديد المسؤولية بشكل عادل وشفاف،
- ضمان التزام المقاولين من الباطن بنفس المعايير،
- تأكيد قانون الاختصاص القضائي والحكم المتوافق مع تنفيذ القوانين العمانية،
- يصادق قانون المعاملات الإلكترونية على العقود الإلكترونية (مثل عقود الضغط على زر الموافقة) حيث يوافق المستخدمون بوضوح، مما يحمي اتفاقيات الخدمات عبر الإنترنت.
٦. الاستجابة للحوادث والإشراف القانوني
تتطلب إدارة الحوادث الإلكترونية الفعالة التنسيق القانوني منذ البداية. يجب أن تشمل الخطة المتوافقة ما يلي: التقييم القانوني الفوري، والإخطار في الوقت المناسب الى وزارة النقل والاتصالات وتقنية المعلومات والمستفيدين المتأثرين والحفاظ على الأدلة الجنائية ومراجعة ما بعد الحادث. يضمن التوجيه القانوني التعاون مع الجهات التنظيمية ويقلل من الضرر للسمعة.
٧. بناء ثقافة الامتثال
يعتمد الامتثال المستدام على الحوكمة المستمرة. وتشمل الممارسات الموصى بها ما يلي:
- تعيين مسؤول حماية البيانات أو قائد الامتثال،
- الحفاظ على جداول بيانات المخزون والسجلات المتعلقة بالمخاطر،
- إجراء تدقيق سنوي للأمن السيبراني وتدريب الموظفين،
- التواصل بشكل استباقي مع الجهات التنظيمية للحصول على التوضيحات وتحديثات السياسات؛
- تُظهر هذه الخطوات المساءلة والقدرة على الصمود بموجب القانون العماني.
٨. العلوي وشركاه: المستشار القانوني للثقة الرقمية
يقدم مكتب العلوي وشركاؤه للمحاماة، الاستشارات للشركات والمؤسسات المالية ومزودي الخدمات التقنية في المجالات التالية:
- صياغة ومراجعة اتفاقيات معالجة البيانات والخدمات السحابية،
- هيكلة نقل البيانات عبر الحدود واستراتيجيات التوطين،
- التنسيق مع وزارة النقل والاتصالات وتقنية المعلومات والهيئة العامة لسوق المال ، والبنك المركزي العماني ،
- تطوير أطر حوكمة الخصوصية ودلائل الامتثال،
- التمثيل القانوني في قضايا الحوادث السيبرانية وتنفيذ اللوائح.
نساعد عملاءنا على تحويل الامتثال القانوني إلى ميزة تنافسية تحمي بياناتهم وعملاءهم وسمعتهم.
خاتمة
يعكس نظام الأمن السيبراني وحماية البيانات في سلطنة عمان رؤية وطنية واضحة: اقتصاد رقمي آمن وموثوق قائم على المساءلة القانونية.
ومع تولي وزارة النقل والاتصالات وتقنية المعلومات مسؤولية الإشراف على التنفيذ حتى إنشاء هيئة حماية بيانات مخصصة، فإن المؤسسات التي تستثمر في الحوكمة والأمن والامتثال ستتقدم بثقة نحو المستقبل الرقمي.
يظل مكتب العلوي وشركاؤه للمحاماة والاستشارات القانونية ملتزما بتوجيه هذا التقدم، مقدما الدقة القانونية والحماية الاستراتيجية في كل معاملة رقمية في عصر عمان الرقمي.