من نحن
أخبار ومقالات
خبراتنا
فريق العمل
تواصل معنا
English

أبرز ما ورد في نظام حماية البيانات الشخصية

  • خالد العرفج
  • فارس اليوسف

28 أكتوبر 2021م

أصدرت المملكة العربية السعودية ("المملكة") أول نظام لحماية البيانات: نظام حماية البيانات الشخصية ("النظام") لتنظيم جمع ومعالجة البيانات الشخصية.


إلى ماذا يهدف النظام وما هو نطاق تطبيقه؟


يأتي النظام مواكباً للتطور التقني في المملكة ومؤكداً على أهمية حماية البيانات الشخصية الخاصة بالأفراد، وينطبق النظام على أي عملية معالجة للبيانات الشخصية تتم عن طريق جهة التحكم وهي أي جهة تحدد الغرض من معالجة البيانات الشخصية وكيفية معالجتها ("جهة التحكم")، سواءً أباشرت معالجة البيانات بوساطتها أم بوساطة أي جهة تقوم بمعالجة البيانات بالنيابة عنها ("جهة المعالجة").

يطبق النظام على أي معالجة للبيانات تتم في المملكة، بما في ذلك المعالجة التي تتم بوساطة جهات خارج المملكة لبيانات شخصية متعلقة بأفراد مقيمين في المملكة. يجب على جهات التحكم الأجنبية تعيين ممثل لها مرخص داخل المملكة لأداء التزامات جهة التحكم بموجب النظام. كما يطبق النظام أيضًا على البيانات الشخصية للمتوفى إذا كانت ستؤدي إلى تحديد هوية المتوفى أو أحد أفراد أسرته.

يمنح النظام جهات التحكم سنة واحدة من تاريخ العمل بالنظام للامتثال له، ويمنح الجهة المختصة الحق في منح بعض جهات التحكم فترات أطول للامتثال. كما يمنح النظام الجهة المختصة الحق في مراجعة واقتراح التعديلات خلال السنة الأولى، وعلى مدى خمس سنوات فيما يخص تنفيذ بعض أحكام النظام.

ما هو الفرق بين البيانات الشخصية والبيانات الحساسة؟


عرف النظام "البيانات الشخصية" بأنها أي بيان قد يؤدي إلى معرفة الفرد على وجه التحديد أو يجعل التعرف عليه ممكناً بصفة مباشرة أو غير مباشرة. بينما عرف النظام "البيانات الحساسة" بأنها كل بيان شخصي يتضمن الإشارة إلى:

  • أصل الفرد العرقي أو أصله القبلي.
  • معتقده الديني أو الفكري أو السياسي.
  • عضويته في جمعيات أو مؤسسات أهلية.
  • البيانات الجنائية والأمنية، أو بيانات السمات الحيوية التي تحدد الهوية، أو البيانات الوراثية، أو البيانات الائتمانية، أو البيانات الصحية، أو بيانات تحديد الموقع.
  • البيانات التي تدل على أن الفرد مجهول الأبوين أو أحدهما.

ماهي الحقوق التي يمنحها النظام لصاحب البيانات الشخصية؟


يمنح النظام عددًا من الحقوق التي تضمن الحفاظ على البيانات الشخصية ومنها الحقوق الآتية:

  • الحق في العلم، ويشمل هذا الحق إحاطة صاحب البيانات علمًا بالأسباب النظامية أو العملية لجمع بياناته الشخصية والغرض من ذلك، وأن تعالج بياناته للغرض الذي تم إحاطته به فقط.
  • الحق في وصوله إلى بياناته الشخصية لدى جهة التحكم ويشمل ذلك الاطلاع عليها، والحصول على نسخة منها بصيغة واضحة ومطابقة لمضمون السجلات وبلا مقابل مادي، ولجهة التحكم أن تحدد مدد معينه لممارسة الوصول إلى البيانات.
  • الحق في طلب تصحيح بياناته الشخصية المتوافرة لدى جهة التحكم، أو إتمامها، أو تحديثها.
  • الحق في طلب إتلاف بياناته الشخصية المتوافرة لدى جهة التحكم متى ما انتهت الحاجة إليها.
  • عدم جواز معالجة البيانات الشخصية أو تغيير الغرض من معالجتها إلا بعد موافقة صاحبها، ويجوز لصاحب البيانات الشخصية الرجوع عن الموافقة في أي وقت.

هل يسمح النظام بمعالجة البيانات دون الحاجة لموافقة صاحبها؟


يسمح النظام لجهة التحكم في حالات معينه أن تقوم بمعالجة البيانات دون الحصول على موافقة صاحب البيانات ويكون ذلك في الحالات التالية:

  • في حال كانت معالجة البيانات تحقق مصلحة لصاحب البيانات وكان الاتصال به متعذراً.
  • عندما تكون المعالجة بمقتضى نظام آخر أو تنفيذاً لاتفاق سابق مع صاحب البيانات.
  • إذا كانت جهة التحكم جهة عامة وكانت تلك المعالجة مطلوبة لأغراض أمنية أو لاستيفاء متطلبات قضائية.

ماهي التزامات جهة التحكم؟


يرتب النظام التزامات متعددة على جهة التحكم، ومنها:

  1. يجب على جهة التحكم اعتماد سياسة لخصوصية البيانات الشخصية، وأن تكون السياسة متاحة للأفراد ليطلعوا عليها قبل جمع بياناتهم.
  2. يجب على جهة التحكم عند اختيارها لجهة المعالجة أن تلتزم باختيار الجهة التي توفر الضمانات اللازمة لتنفيذ أحكام النظام واللوائح، وعليها ايضاً ان تتحقق بشكل مستمر من قيام جهة المعالجة من أداء التزاماتها.
  3. على جهة التحكم في حالة جمع البيانات الشخصية من صاحبها مباشرة: أ) إحاطته علماً بالأسباب النظامية أو العملية لجمع بياناته الشخصية، ب) والغرض من جمع تلك البيانات ج) ومعلومات من يقوم بجمعها، د) والجهات التي سيتم الإفصاح لها، هـ) وهل سيتم الإفصاح عن البيانات أو نقلها أو معالجتها خارج المملكة.
  4. لا يجوز لجهة التحكم أن تعالج البيانات الشخصية دون اتخاذ خطوات كافية للتحقق من دقتها واكتمالها وحداثتها وارتباطها بالغرض الذي جمعت من أجله.
  5. على جهة التحكم إتلاف البيانات الشخصية فور انتهاء الغرض من جمعها.
    1. يجوز لجهة التحكم الاحتفاظ بتلك البيانات بعد انتهاء الغرض من جمعها إذا تمت إزالة كل ما يؤدي إلى معرفة صاحبها.
    2. يجب على جهة التحكم الاحتفاظ بالبيانات الشخصية حتى بعد انتهاء الغرض من جمعها في الحالتين التاليتين:
      1. إذا توفر سبب نظامي يوجب الاحتفاظ بها مدة محددة وفي هذه الحالة يجرى إتلافها بعد انتهاء هذه المدة أو انتهاء الغرض من جمعها، أيهما أطول.
      2. إذا كانت البيانات الشخصية متصلة بقضية منظورة أمام جهة قضائية وكان الاحتفاظ بها مطلوباً لهذا الغرض، وفي هذه الحالة يجرى إتلافها بعد استكمال الإجراءات القضائية الخاصة بالقضية.
  6. لا يجوز لجهة التحكم نقل البيانات الشخصية خارج المملكة أو الإفصاح عنها لجهة خارج المملكة إلا إذا كان ذلك تنفيذاً لالتزام بموجب اتفاقية تكون المملكة طرفاً فيها، أو لخدمة مصالح المملكة، أو لأغراض أخرى وفقاً لما تحدده اللوائح، وذلك بعد أن تتوافر الشروط التالية:
    1. أن تقدم ضمانات كافية للمحافظة على البيانات الشخصية التي سيجري نقلها أو الإفصاح عنها وعلى سريتها.
    2. ألا يترتب على النقل أو الإفصاح مساس بالأمن الوطني أو بمصالح المملكة الحيوية.
    3. أن يقتصر النقل أو الإفصاح على الحد الأدنى من البيانات الشخصية الذي تدعو الحاجة إليه.
    4. موافقة الجهة المختصة على النقل أو الإفصاح.


    متى يُسمح بالإفصاح؟


    حدد النظام الحالات الخاصة التي يُسمح لجهة التحكم الإفصاح فيها عن البيانات، ويكون الإفصاح في غيرها مخالفاً وهي:
    1. إذا وافق صاحب البيانات الشخصية على الإفصاح.
    2. إذا تم جمع البيانات الشخصية عن طريق مصدر متاح للعموم.
    3. إذا كان الإفصاح سيقتصر على معالجتها لاحقاً بطريقة لا تؤدي إلى معرفة هوية صاحب البيانات الشخصية أو أي فرد آخر على وجه التحديد.
    4. إذا كانت الجهة التي تطلب الإفصاح جهة عامة وكان لأغراض أمنية.
    5. إذا كان الإفصاح لتنفيذ نظام آخر أو استيفاء متطلبات قضائية.
    6. أو إذا كان الإفصاح ضرورياً لحماية الصحة، أو السلامة العامة، أو حماية فرد، أو أفراد معينين، أو حماية صحتهم.


    وقد منع النظام الإفصاح في الحالات الثلاث الأولى في بعض الأوضاع كأن يمثل الإفصاح خطراً أمنياً، أو يتعارض مع مصالح المملكة، أو يمنع من كشف جريمة، أو يترتب عليه انتهاك خصوصية فرد آخر، أو يؤدي إلى الكشف عن مصدر سري للمعلومات، أو غيرها من الأوضاع المنصوص عليها في النظام واللوائح. كما يحظر النظام الإفصاح عندما يتعارض الإفصاح مع مصالح المملكة أو يضر بسمعتها أو يؤثر على علاقتها مع الدول الأخرى.

    ماهي عقوبة من يخالف أحكام النظام؟



    • عقوبات جنائية:


      1. يعاقب كل من أفصح عن بيانات حساسة أو نشرها مخالفاً أحكام النظام بقصد الإضرار بصاحب البيانات أو لتحقيق مصلحة شخصية بالسجن مدة لا تزيد عن (سنتين) وبغرامة لا تزيد عن (ثلاثة ملايين ريال سعودي) أو بإحدى العقوبتين.
      2. يعاقب كل من قام بنقل بيانات شخصية خارج المملكة أو قام بالإفصاح عنها لجهة خارج المملكة دون أن يكون ذلك تنفيذاً لاتفاقية تكون المملكة جزءاً منها أو أن يكون سبب النقل خدمةً لمصالح المملكة أو عدم توافر الشروط المذكورة سابقاً بالسجن لمدة لا تزيد عن (سنة) وبغرامة لا تزيد على (مليون ريال سعودي) أو بإحداهما.

    • عقوبات إدارية:


      للجهة المختصة معاقبة منتهكي أحكام النظام بغرامة تصل إلى (خمسة ملايين ريال سعودي).

    • قرار المحكمة بمصادرة الأموال:


      للمحكمة الحق بمصادرة الأموال المتحصلة من جراء مخالفة النظام.

    • التعويض:


      للأفراد الحق في طلب التعويض عن الأضرار التي تكبدوها نتيجة لارتكاب أي من المخالفات المنصوص عليها في النظام أو اللوائح.

    خاتمة


    كما هو الحال مع قوانين حماية البيانات الدولية الأخرى، يهدف النظام إلى ضمان خصوصية البيانات الشخصية ومنع إساءة استخدامها وتنظيم مشاركتها. سيدخل النظام حيز التنفيذ في 20/08/1443هـ (الموافق 23/03/2022م). من المتوقع أن توضح اللوائح التنفيذية التي سيتم إصدارها كيفية تطبيق النظام. مع مراعاة بعض الاستثناءات، سيكون لدى جهات التحكم المحلية والأجنبية التي ينطبق عليها النظام عام واحد من تاريخ دخول النظام حيز التنفيذ للامتثال لأحكام النظام. يجب على جهات التحكم اتخاذ الخطوات اللازمة لضمان امتثالهم للنظام.
العرفج وشركاؤه — ©2020