بشأن اللائحة التنفيذية للقانون رقم 20 لسنة 2014 في شأن المعاملات الإلكترونية ، وذلك بأن يعمل بأحكام اللائحة التنفيذية للقانون رقم 20 لسنة 2014 المشار إليه والمرافقة نصوصها لهذا القرار .
بشأن اللائحة التنفيذية للقانون رقم 20 لسنة 2014 في شأن المعاملات الإلكترونية ، وذلك بأن يعمل بأحكام اللائحة التنفيذية للقانون رقم 20 لسنة 2014 المشار إليه والمرافقة نصوصها لهذا القرار .
المادة 1 إصدار
يعمل بأحكام اللائحة التنفيذية للقانون رقم 20 لسنة 2014 المشار إليه والمرافقة نصوصها لهذا القرار.
المادة 1
في تطبيق أحكام هذه اللائحة يقصد بالكلمات والمصطلحات التالية المعنى المبين قرين كل منها: –
القانون: القانون رقم 20 لسنة 2014 المشار إليه.
اللائحة: اللائحة التنفيذية للقانون.
الجهة المختصة: الجهة التي يعهد إليها مجلس الوزراء الإشراف على إصدار التراخيص اللازمة لمزاولة خدمات التصديق الإلكتروني والتوقيع الإلكتروني وغير ذلك من الأنشطة في مجال المعاملات الإلكترونية والمعلومات.
جذر التصديق: نموذج هرمي الكتروني، في قمته مفتاح جذري يتفرع منه مفاتيح فرعية بشكل أداة إلكترونية تكون في شكل حروف أو أرقام أو رموز أو غيرها يستخدمها مزود خدمات التصديق لإنشاء شهادات التصديق الإلكتروني وبيانات إنشاء التوقيع الإلكتورني (Root CA).
مدير جذر التصديق: الجهة التي يعهد إليها مجلس الوزراء إدارة جذر التصديق.
المفتاح العام: أداة إلكترونية متاحة للكافة مرتبطة بشهادة تصديق إلكتروني تنشأ بواسطة عملية حسابية خاصة وتحتوي على رموز أو إشارات أو أرقام أو حروف أو أية عناصر أخرى، وتستخدم في التحقق من شخصية الموقع على المستند أو السجل الإلكتروني والتأكد من صحة وسلامة محتوى المستند او السجل الإلكتروني الأصلي.
المفتاح الخاص: أداة إلكترونية خاصة بصاحبها تنشأ بواسطة عملية حسابية خاصة وتستخدم كأداة للتوقيع الإلكتروني على المستند أو السجل الإلكتروني، ويتم الاحتفاظ بها على دعامة إلكترونية، وتكون مسئولية الحفاظ عليها لصاحبها، وترتبط بمفتاح عام.
خدمة الوقت: آلية تعنى بتنظيم الوقت ومزامنته باستمرار مع أجهزة الحاسب الآلي المرتبطة بشبكات الحاسب الآلي (Network Time Protocol (NTP)).
التوافق التشغيلي: تعامل وانسجام واتصال وتبادل المعلومات بين أنظمة معلوماتية مطورة ومشغلة في بيئات تطوير وتغشيل تقنية مختلفة.
خوارزمية التشفير: مجموعة من الخطوات الرياضية والمنطقية والمتسلسلة تستخدم في التشفير.
المادة 2 إصدار
على الجهات المعنية تنفيذ هذا القرار ويعمل به اعتبارا من تاريخ نشره في الجريدة الرسمية.
وزير الدولة لشئون مجلس الوزراء
محمد عبدالله المبارك الصباح
صدر في: 2 ربيع الأول 1436هـ.
الموافق: 24 ديسمبر 2014م.
المادة 2
يتبع لحفظ المستندات والسجلات الالكترونية ما يلي:
1 – أن يتفق الحفظ مع متطلبات الأنظمة واللوائح والإجراءات المتعلقة بحفظ السجلات والبيانات التقليدية، وبما لا يخل بالمادة (9) من القانون.
2 – يتم حفظ السجلات الصادرة بطبيعتها وبكامل بياناتها الأصلية وأرشفتها وفق أي شكل من أشكال البيانات الإلكترونية التي لا تخل بمستوى السجل وبجودته.
3 – أن يتم وفق الأنظمة أو اللوائح أو الإجراءات أو الاتفاقيات المبرمة بين طرفي التعامل الالكتروني تتعلق بتحديد المدة الزمنية الواجبة لبقاء تلك السجلات والمستندات محفوظة خلالها.
4 – مع مراعاة ما ورد بالبند (1) من هذه المادة، يجب أن يتضمن السجل الإلكتروني البيانات التي تحدد هوية السجل، وارتباطه بالتعامل الإلكتروني والسجلات الإلكترونية الأخرى، وتشمل تلك البيانات العناصر التالية بوصفها الحد الأدنى:
أ – معلومات منشئ السجل الإلكتروني.
ب – معلومات مرسل السجل الإلكتروني، إذا كان مختلفاً عن المنشئ.
ج – معلومات المرسل إليه السجل الإلكتروني.
د – المرجع أو رقم العملية التي يتضمنها السجل الإلكتروني وطبيعتها.
هـ – تاريخ ووقت إنشاء السجل الإلكتروني وفقا لخدمة الوقت أو ختم الوقت أو ما يتفق عليه الطرفان وفق أحكام المادة (15) من القانون.
و- تاريخ ووقت ارسال السجل الالكتروني وفقاً لخدمة الوقت او ختم الوقت او ما يتفق عليه الطرفان وفق احكام المادة (15) من القانون.
ز – تاريخ ووقت استلام السجل الإلكتروني وفقا لخدمة الوقت أو ختم الوقت أو ما يتفق عليه الطرفان وفق أحكام المادة (15) من القانون.
ح – معلومات إعادة الإرسال أو التعديل أو الإلغاء أو إقرار الاستلام في حالة اشتراط ذلك من قبل المرسل.
المادة 3
يراعي عند استرجاع السجلات والمستندات الإلكترونية والاطلاع عليها ما يلي: –
1 – توفير المعلومات المتعلقة بالتعامل الإلكتروني وفق صيغة الكترونية متعارف عليها أو متفق عليها صراحة بين طرفي التعامل الإلكتروني، ويجب أن تكون السجلات والمستندات الالكترونية مقروءة ومفهومة وكاملة.
2 – تطبيق الحلول الفنية المناسبة لتسجيل جميع الحالات التي يتم فيها الاطلاع على السجلات الإلكترونية، أو الوصول إليها، أو التغيير فيها أو في بياناتها.
المادة 4
في جميع الأحوال تلتزم الجهات التي تقوم بحفظ واسترجاع السجلات والمستندات الإلكترونية بتحديد صلاحيات الاطلاع والتعامل مع السجلات والمستندات الإلكترونية للعاملين بها بناءً على حاجة العمل، كما تلزم جميع العاملين بها بالمعايير المتعلقة بحماية الخصوصية المعمول بها في تلك الجهات، ولا يجوز الاطلاع على المعلومات والبيانات الخاصة بالمتعاملين إلا من قبل الموظفين المختصين بتقديم الخدمات.
المادة 5
يشترط لحجية الإثبات المقررة للتوقيع الإلكتروني المحمي ما يلي:
أولاً: – الضوابط الفنية للتوقيع الإلكتروني المحمي:
1 – أن يكون التوقيع مرتبطا بشهادة تصديق الكتروني صادرة من مزود خدمات تصديق مرخص له ويجب أن يتوافر في التوقيع الإلكتروني المحمي كحد أدنى العناصر الفنية التالية:
أ – جهة إصدار شهادة التصديق الالكتروني، بحيث تحتوي الشهادة على جميع المعلومات الدالة على مزود خدمات التصديق، وتوقيعها الإلكتروني حسب المعيار x.509v3.
ب – نوع التوقيع، ورقمه التسلسلي، ونطاق عمله.
ج – تاريخ التوقيع وفقا لمفهوم ختم الوقت، وفترة سريانه.
د – نوع خوارزمية التشفير المستخدم بالمفتاح العام وفقا لسياسة الشهادة الإلكترونية وإجراءات التصديق الإلكتروني بمزود خدمات التصديق.
هـ – نطاق استخدام التوقيع وحدود مسؤوليته النظامية، وكذلك شروط حماية سرية المعلومات وبيانات هوية الموقع، والتي تشمل اسمه وعنوانه كاملا.
2 – أن تكون شهادة التصديق المرتبطة بالتوقيع سارية المفعول وقت إجراء التوقيع.
3 – الحفاظ على سلامة بيانات هوية الموقع، وتوافقها مع شهادة التصديق الالكتروني.
4 – إذا تم التوقيع بالاشتراك مع منظومة بيانات إلكترونية لدى الموقع، فيشترط سلامة الارتباط المنطقي والفني بين منظومة التوقيع الإلكتروني، ومنظومة البيانات الإلكترونية، وخلوهما من العيوب الفنية التي تؤثر في صحة انعقاد التوقيع وإرساله.
5 – توافر الحد الأدنى من البنية الفنية والإدارية، والموارد ذات الصلة التي تتحقق بهما السيطرة على إجراءات التوقيع، وضمان سرية البيانات حسب الشروط الفنية الواردة في إجراءات التصديق الالكتروني الخاصة بمزود خدمات التصديق.
6 – التزام الموقع بجميع الشروط الواردة في إجراءات التصديق الإلكتروني الخاصة بمزود خدمات التصديق فيما يتعلق بإجراء التوقيع الإلكتروني، وبما لا يتعارض مع الأنظمة واللوائح الصادرة من الجهة المختصة.
ثانيا: – الاحتياطات اللازمة لتلافي الاستعمال غير المشروع للتوقيع الإلكتروني المحمي:
يتعين عند إجراء توقيع إلكتروني اتخاذ الاحتياطات اللازمة لتلافي أي استعمال غير مشروع لبيانات إنشاء التوقيع وللمعدات الشخصية المتعلقة بتوقيعه، وتشمل تلك الاحتياطات ما يلي:
1 – الحفاظ على شهادة التصديق الالكتروني ووثائق التوقيع الإلكتروني الصادرة من مزود خدمات التصديق التي لها طابع السرية، وعدم تمكين غير المصرح لهم بالاطلاع عليها.
2 – تطبيق حلول وتقنيات مناسبة وآمنة وغير قابلة للعبث، وفق أحكام مزاولة خدمات التصديق الالكتروني التي تصدرها الجهة المختصة.
3 – يجوز للموقع الاستعانة بجهات فنية متخصصة للمراجعة والتدقيق بما يدعم جودة عملية التوقيع وسريته، مع عدم الإخلال بأي ضوابط، أو شروط نظامية، أو تعاقدية بين أطراف التعامل.
4 – يجب على صاحب التوقيع الإلكتروني إبلاغ مزود خدمات التصديق فور علمه بوجود استعمال غير مشروع لتوقيعه، على أن يتم توثيق البيانات المتعلقة بالاستعمال غير المشروع.
ثالثاً: – إجراءات التحقق من التوقيع الإلكتروني المحمي:
يجب على من يعتمد على التوقيع الإلكتروني لطرف آخر أن يبذل العناية اللازمة للتحقق من صحة التوقيع، وذلك باستخدام بيانات التحقق من التوقيع الإلكتروني، وفق الإجراءات التالية:
1 – التأكد من منشأ شهادة مرسل الرسالة، وأنها صادرة من مزود خدمات تصديق مرخص له وفق أحكام هذه اللائحة، والتحقق من صلاحيتها، وأنها سارية.
2 – التأكد من أن البيانات المرفقة مع التوقيع الإلكتروني مطابقة لبيانات صاحب التوقيع من واقع الشهادة الصادرة له.
3 – عدم ظهور رسائل تنبيه أو تحذير تفيد عدم المطابقة الآلية للتوقيع أو أي خلل آخر ذي صلة بالمنشأ أو المحتوى، وذلك ضمن الرسالة والتوقيع الواردين.
المادة 6
يعتبر التوقيع الإلكتروني محميا ومعتمدا إذا تحقق ما يلي:
1 – إذا كانت أداة إنشاء التوقيع المستخدمة مقصورة على الموقع دون غيره.
2 – إذا كانت أداة إنشاء التوقيع وقت التوقيع تحت سيطرة الموقع دون غيره.
3 – إذا كان ممكنا كشف أي تغيير للتوقيع الإلكتروني يحدث بعد وقت التوقيع.
4 – إذا كان ممكناً كشف أي تغيير في المعلومات المرتبطة بالتوقيع يحدث بعد وقت التوقيع.
5 – إذا كان لا يمكن نسخة من الدعامة الإلكترونية التي أنشئ بها.
المادة 7
يجب أن يتوفر لدى مقدم طلب الترخيص أو التجديد لمزاولة أنشطة خدمات التصديق الالكتروني والتوقيع الالكتروني ما يلي:
أولا: – منظومة بيانات إلكترونية ومنظومة لشهادات التصديق الالكتروني ولتوقيعات إلكترونية متكاملة لا تقل عن المستوى الأمني للمعايير المحددة من الجهة المختصة، حسبما يرد في إجراءات التصديق الالكتروني والتوقيع الالكتروني، وفقا للضوابط التالية:
1 – عدم قابلية المفاتيح الخاصة أو البيانات المكونة للتوقيع الإلكتروني للاستنتاج أو الاستنباط، وتحدد الجهة المختصة المعايير اللازمة لذلك.
2 – الحفاظ على سرية البيانات، وحمايتها من التلف أو التزوير أو الاختراق، وفق المستوى الأمني المحدد من قبل الجهة المختصة.
ثانيا: بنية تحتية فنية وموارد إدارية على درجة عالية من الكفاءة وبمستوى لا يقل عن المعايير المعتمدة من الجهة المختصة، لتشغيل وإدارة جميع عمليات التصديق الالكتروني والتوقيع الالكتروني التي من أهمها:
1 – إصدار شهادات التصديق، وما يتبع ذلك من تجدد للشهادات ووقفها وإلغائها وإعادتها.
2 – إدارة عمليات التشفير وما يتبعها من حفظ للمفتاح الخاص بمزود خدمات التصديق، وكذلك للمفاتيح العامة.
3 – استخدام افضل الانظمة والمعايير العالمية في أمن المعلومات، وفقاً للضوابط التي تحددها الجهة المختصة.
ثالثا: إتاحة البيانات الخاصة بالتحقق من صحة الشهادات والتوقيعات الإلكترونية لجميع أطراف التعامل الإلكتروني، مع ضمان ربطها مباشرة بقوائم الشهادات الموقوفة والملغاة.
رابعا: تأسيس جميع الموارد الإلكترونية وتشغيلها وإدارتها وفق آلية تضمن عمليات الحفظ والأرشفة، وكذلك النقل الى منظومات وقواعد بيانات أخرى، مع توفير البدائل والخطط التي بموجبها يتم ضمان استمرار الخدمة.
خامسا: إصدار شهادة فنية من مدير جذر التصديق بالموافقة على الربط مع جذر التصديق ونص الشروط والضوابط التي يحددها مدير جذر التصديق والمعتمدة من الجهة المختصة.
المادة 8
يلتزم مزود خدمات التصديق بإعداد العقود والإجراءات التفصيلية، بما في ذلك مقابل الخدمات التي يؤديها، واعتمادها من قبل الجهة المختصة، بما يحفظ حقوق جميع الأطراف ذات العلاقة، كما يلتزم بتقديم خطة إنهاء النشاط تتضمن تفاصيل الإجراءات التي يتم إتباعها عند توقف مزود خدمات التصديق عن ممارسة نشاطه بطلب منه، أو في حالات إيقافه أو إلغاء ترخيصه أو عدم تجديده، بما يضمن حقوق جميع الأطراف ذوي الصلة.
المادة 9
على طالب الترخيص بمزاولة أنشطة التصديق الإلكتروني والتوقيع الإلكتروني أن يقدم الضمانات والتأمينات التي تحددها الجهة المختصة لتغطية أي أضرار أو أخطار تتعلق بذوي الشأن وذلك في حالة إنهاء الترخيص أو إلغائه أو وقفه لأي سبب، أو لتغطية أي إخلال او قصور من جانبه في الالتزامات الواردة في الترخيص.
المادة 10
يكون مزود خدمات التصديق مسئولا أمام عملائه من المستفيدين عن جميع الخدمات والموارد الإدارية والفنية التي تتبع له سواء بشكل مباشر أو غير مباشر.
المادة 11
يشترط للموافقة على طلب وقف النشاط، أو التنازل عن الترخيص، أو الاندماج ما يلي:
1 – أن يستمر مزود خدمات التصديق في تقديم خدماته للمستفيدين، ولا يجوز له لأي سبب التوقف عن تقديمها الى حين استيفاء الشروط التي تضعها الجهة المختصة والحصول على موافقتها، وذلك لضمان حقوق الأطراف ذات الصلة.
2 – عدم تنازل مزود خدمات التصديق أو الاندماج مع أي طرف آخر إلا بعد موافقة الجهة المختصة وتقديم دراسة شاملة، موضحاً بها المسوغات والأهداف، وأثر ذلك على الخدمات والمستفيدين.
وللجهة المختصة بناء على ما تقتضيه الأنظمة ومصلحة المستفيدين قبول الطلب أو رفضه أو تعديله.
المادة 12
تقوم الجهة المختصة وفق ما تقتضيه السياسات والإجراءات الخاصة بها بمراجعة وتقييم أداء مزود خدمات التصديق، ولها في ذلك الاستعانة بمن ترى من بيوت الخبرة المتخصصة.
ويتولى مدير جذر التصديق، بالتنسيق مع الجهة المختصة، إجراءات الرقابة والتدقيق الدوري خلال فترة الترخيص على مزودي خدمات التصديق.
المادة 13
يعتبر مزود خدمات التصديق قد أخل بالتزاماته في الحالات التالية:
1 – إذا خالف الشروط الواردة في المواد (7) أو (8) أو (10) أو (12) من هذه اللائحة.
2 – إذا تم تلقي شكوى من ذوي الشأن تتعلق بأنشطة التصديق الإلكتروني والتوقيع الإلكتروني وتم التحقق من صحتها.
3 – إذا انطبقت عليه الفقرة (و) من المادة (14) من هذه اللائحة.
4 – إذا صدرت ضده عقوبة وفقاً لأحكام المادتين (37) و(38) من القانون.
5 – إذا تكررت حالات الإيقاف المؤقت.
6 – إذا ثبت في حقه خطأ نتج عنه أضرار أو أخطار تتعلق بذوي الشأن أو بالمصلحة العامة.
المادة 14
في حال وقوع عدم التوافق التشغيلي بين مدير جذر التصديق ومزود خدمات التصديق الإلكتروني يقوم مدير جذر التصديق بالإيقاف المؤقت ويتم اتخاذ الإجراءات التالية:
أ – يخطر مدير جذر التصديق الجهة المختصة مباشرة بالإيقاف المؤقت وتحديد أسباب عدم التوافق التشغيلي.
ب – يقوم مدير جذر التصديق بشكل مباشر بالتعامل مع مزود خدمات التصديق لاتخاذ الإجراءات المطلوبة لإنهاء حالة عدم التوافق التشغيلي.
ج – يجب على مزود خدمات التصديق الإلكتروني إنهاء حالة عدم التوافق التشغيلي في فترة لا تتعدى أسبوع.
د – يجب على مدير جذر التصديق تقديم تقرير مفصل للجهة المختصة بما تم من إجراءات بينه وبين مزود خدمات التصديق خلال أسبوع من إخطاره الجهة المختصة بالإيقاف المؤقت.
هـ – إذا تبين للجهة المختصة بناء على تقرير مدير جذر التصديق أن الأسباب الفنية لعدم التوافق التشغيلي والتي أدت الى الإيقاف المؤقت لمزود خدمات التصديق قد تم معالجتها بصورة مقبولة وصحيحة، فإنها تقوم بإخطار مزود خدمات التصديق بانتهاء حالة الإيقاف المؤقت.
و- إذا تبين للجهة المختصة بناء على تقرير مدير جذر التصديق أن الأسباب الفنية لعدم التوافق التشغيلي والتي أدت الى الإيقاف المؤقت لم يتم معالجتها بصورة مقبولة وصحيحة، يحق لها اعتبار مزود خدمات التصديق قد أخل أو قصر بأعماله ويتم إخطاره بذلك، كما يتم تطبيق المادة (18) من هذه اللائحة عليه.
المادة 15
يكون استمرار الخدمة في حالة إيقاف مزود خدمات التصديق، أو إلغاء ترخيصه أو عدم تجديده وفقا لما يلي:
1 – اتخاذ التدابير اللازمة لاستمرارية تقديم الخدمات الى مستخدمي خدمات مزود خدمات التصديق الملغى، أو المنتهي ترخيصه.
2 – إذا لم يقم مزود خدمات التصديق الموقف أو الملغى أو المنتهي ترخيصه باتخاذ التدابير المحددة من قبل الجهة المختصة نحو ضمان حقوق المستفيدين له، بما في ذلك التدابير المحددة في خطة إنهاء النشاط، فإنه يجوز للجهة المختصة اتخاذ ما يلزم من إجراءات لإتمام تلك التدابير بأسرع وقت ممكن على نفقة مزود خدمات التصديق.
3 – يجوز للجهة المختصة تمديد مدة الترخيص لمزود الخدمة بالتنسيق مع مدير جذر التصديق، وذلك ليتسنى له تصفية جميع عملياته المتعلقة بعملائه من المستفيدين، على ألا يتم تحميلهم أي تكاليف مالية تتعلق بعملية التصفية.
وللجهة المختصة إضافة أي شروط أخرى للتأكد من استمرار تلقي المستفيدين للخدمة.
المادة 16
في حالة صدور قرار من الجهة المختصة بمنح مزود خدمات التصديق الموقف أو الملغى، أو المنتهي ترخيصه تمهيداً مؤقتا للترخيص الممنوح له، يتعين اتخاذ ما يلي:
أ – عدم استدراج أو قبول مستفيدين جدد أو توسعة نطاق الخدمات للمستفيدين الموجودين.
ب – اتخاذ التدابير اللازمة لإخطار المستفيدين خلال خمسة أيام عمل من تاريخ التمديد المؤقت للترخيص.
ج – اتخاذ التدابير اللازمة للنقل الآمن للمستفيدين الى مزود خدمات تصديق مرخص له.
المادة 17
يلتزم مزود خدمات التصديق في حالة الإلغاء أو عدم التجديد بما يلي:
أ – الاحتفاظ بجميع السجلات والبيانات الإلكترونية المتعلقة بشهادات التصديق الالكتروني، والبيانات الأخرى ذات الصلة وعدم تعديل محتواها، وذلك الى حين التصرف فيها من الجهة المختصة، أو من أي جهة أخرى معتمدة منها.
ب – تزويد الجهة المختصة بجميع التفاصيل الفنية التي تصف بنية البيانات ومواصفاتها وحجمها من الناحية الفنية.
ج – تحويل البيانات ونقلها سواء بشكل كلي أو جزئي وفق الضوابط الفنية التي تحددها الجهة المختصة، بما يحفظ حقوق المستفيدين.
ويجوز للجهة المختصة حجز الموارد الفنية وقواعد البيانات، واتخاذ التدابير المناسبة التي تقتضيها حماية حقوق المستفيدين.
ولا يجوز لمزود الخدمة الملغى ترخيصه أو لم يجدد له – بعد تنفيذ ما ورد في البنود أ، ب، ج – أن يحتفظ بأي نسخ من السجلات أو البيانات الإلكترونية الناتجة عن ممارسته لنشاطه قبل الإلغاء أو عدم التجديد.
المادة 18
إذا كان هناك قصور أو إخلال في أعمال مزود خدمات التصديق يستدعي الإيقاف المؤقت من قبل مدير جذر التصديق، تطبق الإجراءات التالية:
1 – يقوم مدير جذر التصديق بتقديم تقرير تفصيلي للجهة المختصة بوجود إخلال أو قصور في أعمال مزود خدمات التصديق مبينا حالات وجوانب الإخلال والقصور في الأعمال مع الإشارة الى عمليات قام بها مزود خدمة التصديق تدعم ذلك.
ويستثنى من ذلك إذا كان الإخلال أو القصور بناء على الفقرة 2 أو 4 من المادة (13) من هذه اللائحة.
2 – تقوم الجهة المختصة بدراسة تقرير مدير جذر التصديق أو الشكوى المقدمة من ذوي الشأن والبدء بالتحقيق مباشرة، ويتم ذلك بالتنسيق مع مدير جذر التصديق وباستدعاء ممثل لمزود خدمات التصديق، كما يتم استدعاء ذوي الشأن في حالة الشكوى.
3 – فيما عدا الإيقاف المؤقت بناء على الفقرة (و) من المادة (14)، لا يتم الإيقاف المؤقت لمزود خدمات التصديق إلا بإخطار من الجهة المختصة الى مدير جذر التصديق تطلب منه الإيقاف المؤقت، كما تقوم بإخطار مزود خدمات التصديق بذلك، ويترك للجهة المختصة تقدير ما إذا كانت الحالة تستدعي الإيقاف المؤقت، ويحق لها الإيقاف المؤقت قبل التحقيق أو أثناءه إذا ما ارتأت ذلك.
4 – يلتزم مزود خدمات التصديق بتطبيق الإجراءات المتبعة والخاصة بالإيقاف المؤقت والمشار إليها في المادتين (8، 15) من هذه اللائحة إذا ما تم إيقافه مؤقتا بناء على هذه المادة.
5 – يجب الانتهاء من التحقيق خلال أسبوع من تاريخ البدء فيه، فإذا تطلب التحقيق بيانات إضافية من مدير جذر التصديق أو مزود خدمات التصديق أو ذوي الشأن، جاز تمديده لأسبوع آخر غير قابل للتمديد.
6 – إذا انتهى التحقيق الى ثبوت قصور أو إخلال مزود خدمات التصديق بأعماله يجب عليه تلافي ذلك خلال فترة شهر واحد قابلة للتمديد لفترة أقصاها ثلاثة أشهر من قبل الجهة المختصة.
ويخطر مزود خدمات التصديق بنتائج التحقيق والجوانب التي يجب أن يعالجها لتلافي القصور أو الإخلال في عمله والفترة الزمنية المتاحة له لإتمام ذلك وإذا ما سيتم إيقافه مؤقتا.
وعلى مزود خدمات التصديق أن يقدم مباشرة للجهة المختصة الإجراءات التي سيقوم بها لمعالجة القصور أو الإخلال في عمله بجدول زمني بناء على المدة المحددة له، وله أن يطلب مدة زمنية إضافية بحيث لا يتعدى إجمالي المدة الزمنية ثلاثة أشهر.
وعلى الجهة المختصة بالتنسيق مع مدير جذر التصديق مراجعة تلك الإجراءات وإبداء الملاحظات عليها واعتمادها قبل البدء بها مع مزود خدمات التصديق.
7 – يعتبر الإيقاف المؤقت وفق هذه المادة الخطوة الأولى نحو إلغاء أو عدم تجديد الرخصة لمزود خدمات التصديق.
8 – تقوم الجهة المختصة، بالتنسيق مع مدير جذر التصديق، بمراجعة الإجراءات التي أنجزها مزود خدمات التصديق لمعالجة القصور أو الإخلال في عمله، بناء على تقرير مدير جذر التصديق، فإذا أتم الإجراءات بصورة صحيحة ومقبولة يتم إنهاء الإيقاف ويخطر مزود خدمات التصديق بذلك من قبل الجهة المختصة.
9 – يحق للجهة المختصة بالتنسيق مع مدير جذر التصديق التنبيه على مزود خدمات التصديق بعد التزامه بالإجراءات المطلوبة لمعالجة القصور أو الإخلال في عمله أثناء المدة الزمنية المحددة لتلك الإجراءات.
وفي حالة تلقي الشكوى من ذوي الشأن فإنه يتم اتباع ذات الإجراءات المذكورة في هذه المادة باستثناء البند (1) حيث يستعاض عن ذلك بنموذج شكوى تعده الجهة المختصة ويستخدم عند تقديم الشكوى.
المادة 19
للجهة المختصة إلغاء ترخيص مزود خدمات التصديق أو عدم التجديد له في الحالات التالية:
1 – إذا تبين للجهة المختصة أن مزود خدمات التصديق مستمر في الإخلال أو القصور في أعماله وتم إيقافه مؤقتا بناء على المادة (18) من هذه اللائحة ولم يتخذ الإجراءات المطلوبة لتلافي القصور أو الإخلال خلال المدة الزمنية المحددة له.
2 – إذا تكررت حالات الإيقاف المؤقت.
3 – إذا تكررت الشكاوى وثبتت صحتها بشكل ملحوظ.
4 – إذا صدرت ضده عقوبة وفقا لأحكام المادتين (37) و(38) من القانون.
5 – إذا ثبت في حقه خطأ نتج عنه ضررا بذوي الشأن أو بالمصلحة العامة.
وتقوم الجهة المختصة بإخطار مزود خدمات التصديق بإلغاء الترخيص أو عدم التجديد له مبينة فيه الأسباب التي دعت الى ذلك، وفي هذه الحالة تطبيق أحكام المواد (15) و(16) و(17) من هذه اللائحة.
المادة 20
في جميع الأحوال لا تزيد فترة تمديد الترخيص لمزود خدمات التصديق بناء على الحالات الواردة في هذه اللائحة على ستة أشهر غير قابلة للتجديد.
المادة 21
للجهة المختصة اعتماد الجهات الأجنبية المختصة بإصدار شهادات التصديق الإلكتروني في إحدى الحالات الآتية:
1 – أن تكون من الجهات التي وافقت دولة الكويت عليها في اتفاقية دولية نافذة باعتبارها جهة مختصة بإصدار شهادات التصديق الإلكتروني.
2 – أن يتوافر لديها القواعد والاشتراطات المبينة في البنود من أولا الى رابعا من المادة (7) من هذه اللائحة.
3 – أن تكون من ضمن الجهات المعتمدة أو المرخص لها بإصدار شهادات تصديق إلكتروني من قبل جهة الترخيص في بلدها، وبشرط أن يكون هناك اتفاق بين جهة الترخيص الأجنبية وبين الجهة المختصة على ذلك.
ويتم اعتماد هذه الجهات بناء على طلب مقدم منها أو من ذوي الشأن على النماذج التي تعدها الجهة المختصة، كما يكون للجهة المختصة في الحالتين المشار إليهما في البندين (1، 3) اعتماد تلك الجهات من تلقاء نفسها.
وفي حالة التقدم بطلب للاعتماد تقوم الجهة المختصة، بعد تسلمها للمستندات والبيانات المطلوبة، بفحصها والتأكد من سلامتها والبت فيه خلال مدة لا تجاوز ستين يوما من تاريخ استيفاء الشروط والإجراءات التي تحددها الجهة المختصة، وفي حالة انقضاء هذه المدة دون إصدار الاعتماد يعتبر الطلب مرفوضا.
ويصدر قرار اعتماد الجهة الأجنبية من الجهة المختصة، على أن يحدد شروط تجديده ومدته بأربع سنوات أو مدة سريان الاتفاقية أيهما أقل، وللجهة المختصة إلغاءه أو وقفه بقرار مسبب.
المادة 22
للجهات الأجنبية المعتمدة وفقاً للمادة السابقة أن تطلب من الجهة المختصة اعتماد أنواع او فئات شهادات التصديق الإلكتروني التي تصدرها، وتحدد الجهة المختصة عند اعتمادها لأنواع وفئات الشهادات الأجنبية ما يناظرها من شهادات تصديق إلكتروني صادرة من الجهات المرخص لها في دولة الكويت، ويتم تحديد آلية وقبول هذه الشهادات من الجهة المختصة.
المادة 23
تلتزم الجهة الأجنبية المعتمدة بجميع أحكام الاعتماد الصادر لها من الجهة المختصة، وفي حالة مخالفة الجهة الأجنبية المعتمدة لأي منها أو توقفها عن مزاولة النشاط المعتمد، أو اندماج منشآتها في جهة أخرى، أو تنازلها عن الترخيص للغير دون الحصول على موافقة كتابية مسبقة من الجهة المختصة فيكون للجهة المختصة أن تصدر قرارا بإلغاء الترخيص أو بسحب الاعتماد المقرر للجهة الاجنبية لإصدار شهادات التصديق الإلكتروني أو بوقف سريان أيهما.
وللجهة المختصة في حالات الإلغاء أو سحب الاعتماد أو الوقف أن تتخذ التدابير المناسبة في هذا الشأن لحماية حقوق ذوي الشأن.
المادة 24
تلتزم الجهات الحكومية عند إرسال المستندات الورقية المشار إليها في الفقرة (و) من المادة (27) من القانون بما يلي:
1 – يكون طلب ارسال المستندات الورقية واضحا ومعلنا الكترونيا في نفس الصفحة التي يتم فيها تنفيذ تلك المهام.
2 – اذا كان محتوى المستندات الورقية المطلوب إرسالها متوفرا كبيانات الكترونية في نظم معالجة الكترونية للبيانات لدى الجهات الحكومية المختصة بالمستندات الورقية، جاز للجهة الحكومية الطالبة استخدام تلك البيانات الكترونيا بعد موافقة الجهة الحكومية المختصة بالمستندات الورقية، والاستعاضة بذلك عن طلب ارسال المستندات الورقية للمهام الواردة في المادة (26) من القانون.
3 – يحق للجهات الحكومية المختصة بالمستندات الورقية اصدار نسخة الكترونية طبق الأصل للمستند الورقي لاستخدامها في المعاملات الالكترونية، ويجب أن تحدد الخصائص الفنية للنسخة الالكترونية طبق الأصل لحمايتها وحماية محتواها من أي تعديل أو حذف وفق معايير تحددها الجهة المختصة.
وللجهة الحكومية طلب نسخة الكترونية من أي مستند ورقي مطلوب ارساله لها من أجل تنفيذ أي مهمة واردة في المادة (26) من القانون بدلا من ارسال المستند الورقي نفسه، وذلك وفقا للخصائص والشروط والأحكام المطلوبة لهذا الغرض.
المادة 25
يتعين لاطلاع الشخص على البيانات أو المعلومات الشخصية وفقا للمادة 33 من القانون أن تكون البيانات والمعلومات الشخصية خاصة به وأن يقدم الطلب منه أو ممن ينوب عنه قانونا بعد دفع الرسوم المقررة.
المادة 26
يتعين لمحو أو تعديل أي من المعلومات الشخصية أو البيانات للأشخاص وفقا للمادة 36 من القانون ما يلي: –
1 – أن يكون طلب التعديل مقدم من الشخص المتعلقة به هذه البيانات أو المعلومات الشخصية، أو من ينوب عنه قانونا، بعد دفع الرسوم المقررة.
2 – أن يكون محو البيانات أو المعلومات الشخصية في حالة تصحيح الخطأ فقط وفق ما تقرره القوانين النافذة، ويتعين الاحتفاظ بالبيانات والمعلومات السابقة لعملية المحو دون أن يتم تداولها.
المادة 27
يسري في شأن الاطلاع والمحو والتعديل على البيانات والمعلومات الشخصية الإجراءات المقررة بالمادة 34 من القانون.
المادة 28
على كل مؤسسة مالية تمارس أعمال الدفع الإلكتروني وفقا لأحكام المواد (28) و(29) و(30) و(31) من القانون الالتزام بالتعليمات والشروط والإجراءات الخاصة بالدفع الإلكتروني الصادرة من بنك الكويت المركزي.
المادة 29
1 – لا تتقاضى الجهات الحكومية نظير البيانات أو المعلومات المسجلة في سجلاتها أو أنظمة المعالجة الإلكترونية الخاصة بها أي رسوم من الجهات الحكومية التي تتقدم بطلب الحصول على تلك البيانات أو المعلومات فيما لا يتعارض مع القوانين المنظمة لذلك.
2 – مع عدم الإخلال بأحكام أي قانون آخر، يفرض رسم مقابل الحصول على البيانات أو المعلومات المسجلة في سجلات الجهات الحكومية أو أنظمة المعالجة الإلكترونية الخاصة قدره ربع دينار كويتي.
المادة 30
مع مراعاة حكم الفقرة الأخيرة من المادة (37) من القانون، ينشر ملخص الحكم النهائي الصادر بالإدانة على شبكة الاتصالات الإلكترونية في أي من المواقع التالية:
1 – موقع إلكتروني على شبكة الانترنت معني بنشر الأحكام القضائية الصادرة بدولة الكويت.
2 – الموقع الالكتروني على شبكة الانترنت لصحيفتين محليتين يوميتين.
3 – الموقع الرسمي الالكتروني لوزارة العدل بدولة الكويت.