مقدمة عن نظام حماية البيانات الشخصية
صدر نظام حماية البيانات الشخصية في المملكة العربية السعودية بالمرسوم الملكي رقم م/19 وتاريخ 1443/2/9هـ الموافق 2021/9/16م، ويُعد من أبرز التشريعات الحديثة التي تهدف إلى تنظيم عمليات جمع البيانات الشخصية ومعالجتها وحفظها، وحماية خصوصية الأفراد في ظل التحول الرقمي المتسارع الذي تشهده المملكة ضمن رؤية 2030. دخل النظام حيز التنفيذ بشكل كامل في سبتمبر 2024 بعد فترة انتقالية.
تعريفات أساسية في النظام
حدد النظام في مادته الأولى عدة تعريفات جوهرية يجب فهمها:
- البيانات الشخصية: كل بيان يتعلق بشخص طبيعي محدد الهوية أو يمكن تحديد هويته بشكل مباشر أو غير مباشر، بما في ذلك الاسم ورقم الهوية والعناوين وأرقام التواصل والسجلات الصحية والمالية
- البيانات الحساسة: البيانات التي تتعلق بالأصل العرقي أو الإثني، أو المعتقد الديني أو الفكري، أو البيانات الجينية والحيوية والصحية، والبيانات الائتمانية
- المعالجة: أي عملية تُجرى على البيانات الشخصية بما في ذلك الجمع والتسجيل والتنظيم والتخزين والتعديل والاسترجاع والاستخدام والإفصاح والنقل والمحو
- جهة التحكم: الشخص ذو الصفة الطبيعية أو الاعتبارية الذي يحدد أغراض معالجة البيانات ووسائلها
حقوق صاحب البيانات الشخصية
كفل النظام في المواد من 4 إلى 9 مجموعة واسعة من الحقوق لأصحاب البيانات الشخصية:
الحق في العلم (المادة 4)
يحق لصاحب البيانات أن يُعلَم بالمسوّغ النظامي لجمع بياناته، والغرض من ذلك، ووسائل جمعها، والجهات التي ستُفصح لها البيانات. يجب أن يكون الإعلام واضحاً ومفهوماً وبلغة سهلة.
الحق في الوصول (المادة 5)
يحق لصاحب البيانات الوصول إلى بياناته الشخصية لدى جهة التحكم، والحصول على نسخة منها بصيغة واضحة ومفهومة، ومعرفة الغرض من معالجتها.
حق التصحيح والتحديث (المادة 6)
لصاحب البيانات الحق في طلب تصحيح بياناته أو إتمامها أو تحديثها متى كانت غير دقيقة أو غير مكتملة.
حق الإتلاف (المادة 7)
يحق لصاحب البيانات طلب إتلاف بياناته الشخصية بعد انتهاء الغرض من جمعها أو عند سحب موافقته، ما لم يكن هناك مسوّغ نظامي للاحتفاظ بها.
التزامات جهة التحكم في البيانات
فرض النظام في المواد من 10 إلى 18 التزامات صارمة على الجهات التي تتحكم في البيانات الشخصية:
- الموافقة المسبقة (المادة 10): لا يجوز جمع البيانات الشخصية إلا بعد الحصول على موافقة صريحة من صاحبها، إلا في حالات محددة كتنفيذ عقد أو حماية مصلحة حيوية
- تحديد الغرض (المادة 11): يجب أن يكون جمع البيانات لأغراض محددة ومعلنة ومشروعة، ولا يجوز معالجتها لأغراض أخرى دون موافقة جديدة
- الحد الأدنى من البيانات (المادة 12): يقتصر جمع البيانات على الحد الأدنى اللازم لتحقيق الغرض المحدد
- الدقة (المادة 14): يجب التأكد من دقة البيانات واكتمالها وتحديثها
- الحفظ المحدد المدة (المادة 15): لا يجوز الاحتفاظ بالبيانات لمدة تتجاوز ما يقتضيه الغرض من جمعها
- الأمان (المادة 16): يجب اتخاذ التدابير التنظيمية والتقنية اللازمة لحماية البيانات من التسرب أو التلف أو الوصول غير المشروع
نقل البيانات خارج المملكة (المادة 29)
وضع النظام ضوابط مشددة لنقل البيانات الشخصية إلى خارج المملكة. لا يجوز نقل البيانات إلا إذا كانت الدولة المستقبلة توفر مستوى حماية كافياً، أو إذا كان النقل ضرورياً لتنفيذ التزام بموجب اتفاقية دولية، أو لحماية مصلحة حيوية لصاحب البيانات. ويجب الحصول على موافقة الجهة المختصة قبل النقل في حالات محددة.
الإفصاح عن خروقات البيانات
ألزم النظام في المادة 20 جهة التحكم بإبلاغ الجهة المختصة فور علمها بأي تسرب أو خرق للبيانات الشخصية. كما يجب إبلاغ أصحاب البيانات المتأثرين إذا كان الخرق يُحتمل أن يضر بهم.
العقوبات والجزاءات
نصت المواد من 35 إلى 40 على عقوبات صارمة لمخالفة أحكام النظام:
- غرامة مالية تصل إلى 5 ملايين ريال سعودي عن كل مخالفة
- مضاعفة العقوبة في حال تكرار المخالفة
- السجن مدة لا تزيد عن سنتين لمن يفصح عن بيانات حساسة بقصد الإضرار بصاحبها أو تحقيق منفعة شخصية
- نشر ملخص الحكم على نفقة المخالف في حال تكرار المخالفة
الجهة المختصة بالرقابة والإشراف
أُسندت مهمة الإشراف على تطبيق النظام إلى الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) بموجب الأمر الملكي رقم 57224 وتاريخ 1443/11/4هـ. وتختص سدايا بإصدار اللوائح التنفيذية وتلقي الشكاوى والتحقيق في المخالفات وإصدار العقوبات.
نصائح للامتثال للنظام
لضمان الامتثال لنظام حماية البيانات الشخصية، ننصح المنشآت والأفراد بما يلي:
- مراجعة سياسات الخصوصية وتحديثها لتتوافق مع النظام
- تعيين مسؤول لحماية البيانات الشخصية
- الحصول على الموافقات اللازمة قبل جمع أي بيانات شخصية
- تطبيق إجراءات أمنية مناسبة لحماية البيانات
- وضع خطة للاستجابة لحوادث تسرب البيانات
- الاستعانة بمحامٍ متخصص في حماية البيانات لضمان الامتثال الكامل