مكتبنا
صباح السالم -مقابل طريق الفحيحيل السريع قطعة1شارع 102ابراج العربيد ( اسفل البرج نظارات كيفان ) برج رقم 4 الدور 71 مكتب رقم 56
ساعات الدوام
السبت-الاربعاء 5 م – 9 م.

دليل للشركات والأفراد حول حماية البيانات والخصوصية وسياسات الامتثال والتسربات والإثبات الرقمي في الكويت.

لم تعد حماية البيانات والخصوصية شأنًا تقنيًا يترك لقسم الحاسوب وحده. الاسم، والرقم المدني، والهاتف، والبريد، والموقع، والبيانات الصحية والمالية، وسجل التصفح، وصور الكاميرات، وملفات الموظفين، كلها قد تنشئ التزامات قانونية على الشركة التي تجمعها أو تحفظها أو تشاركها. وعند وقوع تسرب أو إساءة استخدام، تتحول المسألة إلى نزاع يجمع بين الإثبات الرقمي والعقود والمسؤولية المدنية وربما الجزائية.
دور محامي قضايا حماية البيانات والخصوصية في الكويت يبدأ قبل الحادث: مراجعة سياسة الخصوصية والعقود ومسار البيانات وصلاحيات الوصول. ويستمر عند الحادث: حفظ الدليل، وتحديد نطاق الإخطار، وإدارة التواصل، والتفاوض، والتمثيل أمام الجهات المختصة والمحاكم. لذلك تعتمد الوقاية على تعاون القانونيين مع الأمن السيبراني والموارد البشرية والتسويق والإدارة.
ليس المقصود فقط كلمات المرور أو أرقام البطاقات. البيانات الشخصية هي كل معلومة يمكن أن تحدد شخصًا بصورة مباشرة أو غير مباشرة. ويزداد مستوى الحساسية عندما تكشف المعلومة عن الصحة أو المال أو الأسرة أو الموقع أو الهوية أو السلوك. كما قد تكون بعض بيانات الشركات أسرارًا تجارية أو معلومات سرية حتى لو لم ترتبط بفرد.
الحماية في الكويت ذات مصادر متعددة. تشمل القواعد الدستورية والمدنية المتعلقة بالخصوصية وعدم الإضرار، وقانون المعاملات الإلكترونية، وقانون مكافحة جرائم تقنية المعلومات، واللوائح الصادرة عن الهيئة العامة للاتصالات وتقنية المعلومات، إضافة إلى قواعد خاصة في القطاعات المصرفية والصحية والاتصالات والعمل. لذلك لا يكفي استنساخ نموذج أوروبي أو خليجي ثم اعتباره امتثالًا تلقائيًا.
تعد الهيئة العامة للاتصالات وتقنية المعلومات من الجهات المهمة في تنظيم التعامل مع البيانات في نطاق اختصاصها، ويمكن مراجعة موقعها الرسمي للتعليمات واللوائح المحدثة: الهيئة العامة للاتصالات وتقنية المعلومات. كما قد تخضع الجهة لتعليمات قطاعية إضافية بحسب نشاطها وترخيصها.
وعندما تتضمن الواقعة دخولًا غير مشروع أو اعتراضًا أو إتلافًا أو نسخًا أو نشرًا أو ابتزازًا، تظهر أحكام قانون مكافحة جرائم تقنية المعلومات رقم 63 لسنة 2015. يمكن الاطلاع على نسخة منشورة عبر بوابة دولة الكويت الرسمية: قانون مكافحة جرائم تقنية المعلومات.
حتى مع اختلاف النصوص بين القطاعات، توجد مبادئ عملية تقلل المخاطر: جمع ما يلزم فقط، تحديد الغرض، إعلام الشخص بصورة مفهومة، حماية البيانات، تقييد الوصول، تحديد مدة الاحتفاظ، وضبط المشاركة مع الغير. الشركة التي تجمع صورة البطاقة المدنية لمجرد أن النظام يسمح بالرفع قد تواجه سؤالًا أساسيًا: لماذا كانت الصورة ضرورية؟
سياسة الخصوصية الجيدة تصف الواقع الفعلي. يجب أن توضح أنواع البيانات، ومصدرها، والغرض، والجهات التي تتلقاها، ومدة الاحتفاظ، وقنوات التواصل، واستخدام ملفات الارتباط أو التحليلات، وما إذا كانت البيانات تنتقل خارج الكويت أو تُعالج عبر خدمات سحابية. إذا كانت السياسة تقول إن البيانات لا تشارك مع أحد بينما تستخدم الشركة مزود دفع وتسويق وسحابة، فهي تنشئ خطرًا بدل أن توفر الحماية.
ينبغي ربط السياسة بالشروط والأحكام والعقود الداخلية. ويمكن الاستفادة من خدمة محامي صياغة وتوثيق العقود لإعداد اتفاقيات المعالجة والسرية، وشروط استخدام الموقع أو التطبيق، وبنود المسؤولية مع الموردين. كما تساعد الاستشارات القانونية التجارية في تحويل المتطلبات إلى إجراءات تشغيلية قابلة للتطبيق.

غالبًا لا تحتفظ الشركة بالبيانات وحدها. هناك مزود استضافة، ونظام موارد بشرية، وبوابة دفع، ومنصة تسويق، ومركز اتصال، وشركة صيانة. كل طرف يصل إلى البيانات يمثل نقطة خطر. لذلك يجب ألا يقتصر العقد على السعر والخدمة؛ بل يتضمن الغرض من المعالجة، ومستوى الأمن، والمقاولين الفرعيين، ومكان الاستضافة، والإخطار بالحوادث، وإعادة البيانات أو حذفها عند انتهاء العقد.
قد تنتقل البيانات دون أن تلاحظ الشركة ذلك: بريد إلكتروني عالمي، نظام سحابي، نسخ احتياطي، خدمة دعم عن بعد، أو تحليل تسويقي. لهذا يجب رسم خريطة البيانات وتحديد الدول والمزودين. لا يكفي أن يقول المورد إن الخدمة آمنة؛ بل يلزم فهم مكان التخزين ومن يستطيع الوصول وما الضمانات التعاقدية والفنية.
في المشاريع الدولية قد يتعين أيضًا مراعاة قوانين أجنبية بسبب موقع العملاء أو الشركة الأم. لكن تطبيق تلك القواعد لا يلغي الالتزام بالقانون الكويتي. المهمة القانونية هي بناء إطار متوافق دون تقديم وعود بأن عقدًا واحدًا يحل كل التعارضات.
الخطأ الشائع بعد الحادث هو التركيز على العلاقات العامة قبل معرفة الوقائع، أو حذف السجلات لإخفاء الأثر. قانونيًا، يجب حفظ الأدلة وتحديد النظام المتأثر والبيانات والأشخاص والمدة وطريقة الدخول. ثم يُقيّم خطر الضرر ومتطلبات الإخطار للجهات والعملاء والشركاء، مع تنسيق الرسائل حتى لا تتضمن إقرارًا غير مدروس أو معلومات غير دقيقة.
إذا توافرت شبهة جريمة إلكترونية، يصبح التنسيق مع محامي جرائم إلكترونية في الكويت ضروريًا لتوثيق الدليل وتقديم البلاغ وصياغة المطالب المدنية. وقد تفيد خبرة المكتب في قضايا التعويض عن الأضرار الإلكترونية عند إثبات الضرر المادي أو الأدبي الناتج عن نشر أو استخدام غير مشروع.
تجمع جهة العمل بيانات واسعة: السيرة، والهوية، والحضور، والراتب، والتقييم، والبصمة، والكاميرات، وأحيانًا نشاط الأجهزة. وجود علاقة عمل لا يعني إباحة المراقبة بلا حدود. يجب أن تكون الوسيلة ضرورية ومعلنة ومتناسبة مع حماية العمل، وأن تحدد السياسة من يطلع على التسجيل ومدة الاحتفاظ وكيفية استخدامه.
تزداد المخاطر عندما يستخدم المدير بيانات الموظف في خلاف شخصي أو يرسل ملفًا كاملًا عبر تطبيق غير آمن. كما يجب فصل البيانات الطبية والشكاوى والتحقيقات عن الملفات العامة، وتحديد صلاحيات الموارد البشرية والإدارة وتقنية المعلومات.
قوائم العملاء ليست موردًا مباحًا للاستخدام في كل حملة. يجب تحديد المصدر والغرض وإتاحة وسيلة واضحة لإيقاف الرسائل. وعند شراء قاعدة بيانات من طرف آخر، لا يكفي عقد البيع؛ يجب التحقق من قانونية الجمع وحق المورد في المشاركة. كما ينبغي أن يعكس إشعار ملفات الارتباط ما يستخدمه الموقع فعليًا من تحليلات وإعلانات.
تعتمد القضية على إثبات الجمع أو الوصول أو النشر أو الاستخدام والضرر والصفة. الأدلة قد تشمل سجلات النظام، ورسائل البريد، وصور الشاشة، وتقارير الخبرة، والعقود، وسياسات الصلاحيات، وشهادات العاملين. يجب حفظ الدليل بطريقة تبين مصدره وتوقيته وعدم العبث به.
قد يطالب المتضرر بوقف الاستخدام أو حذف المحتوى أو رد المستندات أو التعويض. وقد يكون المسار تعاقديًا ضد مزود، أو وظيفيًا، أو مدنيًا، أو جزائيًا، أو تنظيميًا. ولهذا يختلف التصنيف القانوني باختلاف الواقعة، ولا يكفي وصف كل تسرب بأنه جريمة أو كل خطأ بأنه مجرد مخالفة داخلية.

تندرج هذه المقالة ضمن الاستشارات القانونية الكويتية لأنها تركز على الوقاية والامتثال ومعالجة النزاع، مع ارتباطها بصفحة تخصصات المكتب وقسم الجرائم الإلكترونية عند وجود شبهة جزائية.
المعلومات الواردة عامة ولا تعد تقييمًا نهائيًا لسياسة أو حادث. تختلف الالتزامات بحسب القطاع، ونوع البيانات، ودور الشركة، والعقود، والجهة المنظمة. يجب مراجعة المستندات والأنظمة التقنية والوقائع قبل اتخاذ قرار بالإخطار أو المسؤولية أو رفع دعوى.
نعم، لكن الحماية تأتي من مجموعة تشريعات ولوائح وقرارات قطاعية، من أبرزها تنظيمات هيئة الاتصالات، وقانون المعاملات الإلكترونية، وقانون جرائم تقنية المعلومات، إلى جانب قواعد السرية والعقود والقطاعات المنظمة.
لا. الموافقة عنصر مهم، لكنها لا تبرر جمع بيانات غير لازمة أو استخدامها لغرض مختلف بصورة مفاجئة. يجب أن تكون المعالجة محددة وواضحة ومتناسبة مع الخدمة، مع توفير وسائل مناسبة للانسحاب أو الاعتراض متى كان ذلك ممكنًا.
عزل الحادث تقنيًا وحفظ الأدلة وتشكيل فريق استجابة يضم التقنية والقانون والإدارة. يجب تجنب حذف السجلات أو إرسال رسائل متسرعة قبل معرفة نطاق التسرب والجهات التي يلزم إخطارها.
قد تجوز المراقبة المهنية المنضبطة لحماية الأنظمة والعمل، لكنها يجب أن تكون معلنة ومتناسبة ومحددة الغرض، وألا تتحول إلى جمع واسع للبيانات الشخصية دون ضرورة أو سياسة واضحة.
قد تتخذ الواقعة وصفًا جزائيًا إذا تضمنت دخولًا غير مشروع أو اعتراضًا أو إفشاءً أو ابتزازًا أو استخدامًا محظورًا للأنظمة والبيانات. التكييف يعتمد على الفعل والوسيلة والقصد والنص المنطبق.
نعم متى كانت تجمع بيانات عملاء أو موظفين أو زوار موقع أو مستخدمي تطبيق. يمكن أن تكون السياسة مختصرة، لكن يجب أن تعكس الواقع الفعلي وألا تكون نسخة عامة لا تتفق مع عمليات الشركة.
يمكن التواصل مع مكتب المحامي محمد الحميدي لمراجعة سياسة الخصوصية، أو عقود المعالجة والسرية، أو ملف حادث إلكتروني. يحدد الفريق نطاق العمل والجهات والخيارات القانونية دون تقديم ضمان بنتيجة، مع الحفاظ على سرية الوثائق والمعلومات التي يتطلبها التقييم.