حددت اللائحة التنفيذية لنظام حماية البيانات الشخصية الحالات التي تلزم "جهات التحكم" الممثلين في الجهات العامة أو الشخصيات ذات صفة طبيعية أو اعتبارية بإتلاف البيانات الشخصية للأفراد، مثل الاسم، ورقم الهوية الشخصية، والعناوين، وأرقام التواصل، وأرقام الرُّخص، والسجلات، والممتلكات الشخصية، وأرقام الحسابات البنكية، والبطاقات الائتمانية، وصور الفرد الثابتة أو المتحركة، وغير ذلك من البيانات ذات الطابع الشخصي.
وشملت هذه الحالات أن يكون صاحب البيانات الشخصية هو من تقدم بطلب لإتلاف بياناته، أو إذا لم تعد البيانات الشخصية ضرورية لتحقيق الغرض الذي جُمعت من أجله، أو إذا عدل صاحب البيانات الشخصية عن موافقته على جمع بياناته الشخصية، وكانت الموافقة هي المسوّغ النظامي الوحيد للمعالجة، أو إذا تمت معالجة البيانات الشخصية بطريقة مخالفة للنظام.
ونصت اللائحة على أنه يمنع تصوير الوثائق الرسمية الصادرة من الجهات العامة التي تحدد هوية صاحب البيانات الشخصية أو نسخها، إلا بناءً على طلب من جهة عامة مختصة، أو متى ما كان ذلك تنفيذاً لأحكام نظام، مضيفة أن على جهة التحكم توفير الحماية اللازمة لتلك الوثائق، وإتلافها فور انتهاء الغرض منها؛ ما لم يكن هناك متطلب نظامي للاحتفاظ بها.
واشترطت اللائحة للإفصاح عن البيانات التي تم جمعها من مصادر متاحة للعموم، ألا تكون إتاحتها للعموم قد تمت بشكل مخالف لأحكام النظام ولوائحه، كما ألزمت اللائحة جهة التحكم عند الإفصاح عن البيانات الشخصية بناءً على طلب جهة عامة لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية، أو إذا كان الإفصاح ضرورياً لحماية الصحة العامة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم، القيام بتوثيق طلب الإفصاح، وتحديد نوع البيانات الشخصية المطلوب الإفصاح عنها بشكل دقيق.
وألزمت اللائحة جهة التحكم عند الإفصاح عن بيانات شخصية مرتبطة ببيانات شخص آخر غير صاحبها، الالتزام ببذل العناية اللازمة وتوفير الضمانات الكافية للمحافظة على خصوصية الفرد الآخر وضمان عدم انتهاكها، والحرص على الموازنة بين حقوق صاحب البيانات الشخصية وحقوق الشخص الآخر في كل حالة على حدة، وترميز البيانات الشخصية التي تدل على هوية الشخص الآخر ما أمكن ذلك.
ومنحت اللائحة لصاحب البيانات الشخصية حق الوصول إلى بياناته الشخصية المتوافرة لدى جهة التحكم بشرط ألا تؤثر ممارسة الحق في الوصول إلى البيانات الشخصية سلباً على حقوق الغير، مثل: حقوق الملكية الفكرية أو الأسرار التجارية، أو إتاحة الوصول إلى البيانات الشخصية بناءً على طلب يقدمه صاحب البيانات الشخصية، أو وسيلة توفرها جهة التحكم لتمكين صاحب البيانات من الوصول إلى بياناته الشخصية بشكل تلقائي دون الحاجة إلى تقديم طلب.
كما يحق لصاحب البيانات الشخصية الحق في طلب الحصول على نسخة من بياناته الشخصية بصيغة مقروءة وواضحة، بشرط ألا تؤثر ممارسة الحق في الحصول على البيانات الشخصية سلباً على حقوق الغير، وأن تُقدَّم البيانات الشخصية لصاحبها بصيغة إلكترونية شائعة الاستخدام، ولصاحب البيانات الشخصية طلب نسخة مطبوعة منها متى ما كان تنفيذ ذلك ممكناً.
وأكدت أنه يجوز لصاحب البيانات الشخصية في حال عدم صحة بياناته الشخصية المتوافرة لدى جهة التحكم أن يطلب تقييد معالجة بياناته لمدة يمكن لجهة التحكم خلالها التحقق من صحة البيانات الشخصية، مع مراعاة عدم سريان حق صاحب البيانات الشخصية في الحصول على التقييد المذكور إذا كان تقديم تلك البيانات يتعارض مع أحكام النظام وهذه اللائحة.
يذكر أن اللائحة منحت جهة التحكم الحق في طلب المستندات أو الوثائق الداعمة لطلب تصحيح البيانات الشخصية متى ما كان ذلك ضرورياً لتحديث أو تصحيح أو إتمام البيانات الشخصية، على أن يتم إتلاف تلك المستندات أو الوثائق بعد الانتهاء من عملية التحقق.