المملكة العربية السعودية من الدول الرائدة في مجال حماية الخصوصية وحماية البيانات الشخصية على مستوى العالم، وذلك بفضل تمكينها من الأدوات القانونية اللازمة لاستخدام التكنولوجيا بطريقة آمنة وفعالة، للحد من تعرض خصوصية وبيانات الأفراد لأية مخاطر تكون محتملة الوقوع، وعلى أثر تمكن المملكة من الاستمرار في تعزيز وتفعيل الأدوات اللازمة لحماية تلك البيانات الشخصية، أصدرت نظام حماية البيانات الشخصية، وأصدرت أيضاً اللائحة التنفيذية لنظام حماية البيانات الشخصية والتي تمت الموافقة عليها بموجب قرار الهيئة السعودية للبيانات والذكاء الاصطناعي رقم 1516بتاريخ 19/ 2/ 1445هـ، وسنقوم في هذا المقال بتسليط الضوء على أبرز الملامح التي جاءت بها هذه اللائحة في سبيل حماية البيانات الشخصية في المملكة العربية السعودية.
حيث يعد أبرز ما جاءت به اللائحة التنفيذية لنظام حماية البيانات الشخصية، أنه لا تسري أحكام النظام ولوائحه على قيام الفرد بمعالجة البيانات الشخصية لأغراض لا تتجاوز الاستخدام الشخصي أو العائلي، حيث يُقصد بالاستخدام الشخصي أو العائلي، قيام الفرد بمعالجة البيانات الشخصية داخل نطاق أسرته أو دائرته الاجتماعية المحدودة ضمن أي نشاط اجتماعي أو عائلي، كما يعد من قبيل الاستخدام الشخصي أو العائلي ما يلي:
1- قيام الفرد بنشر البيانات الشخصية للجمهور أو الإفصاح عنها لأي شخص خارج نطاق الأسرة أو الدائرة الإجتماعية المحدودة ضمن أي نشاط اجتماعي أو عائلي.
2- استخدام البيانات الشخصية لأغراض ذوات طابع مهني أو تجاري أو غير ربحي.
وأيضاً يعد من أبرز الأحكام التي جاءت بها ذات اللائحة هي الأحكام العامة لحقوق أصحاب البيانات الشخصية، حيث يكون على جهة التحكم عند تلقيها طلباً من صاحب البيانات الشخصية يتعلق بحقوقه المنصوص عليها في النظام القيام بما يلي:
1- تنفيذ طلبات ممارسة الحقوق المنصوص عليها في النظام خلال مدة لا تتجاوز ثلاثين يوماً دون تأخير، ولها تمديد ذلك في حال تطلب التنفيذ جهداً إضافياً غير متوقع أو غير معتاد أو في حال تلقيها طلبات متعددة من صاحب البيانات الشخصية، وذلك بما لا يزيد على ثلاثين يوماً إضافية، بشرط أن تُشعِر صاحب البيانات الشخصية مسبقاً بالتمديد ومبرراته.
2- تبني الوسائل التقنية والإدارية والتنظيمية اللازمة لضمان سرعة الاستجابة لطلبات ممارسة الحقوق.
3- اتخاذ الإجراءات والتدابير المناسبة للتحقق من هوية مُقدم الطلب قبل تنفيذه بما يتوافق مع الأحكام النظامية ذوات العلاقة.
4- اتخاذ الوسائل اللازمة لتوثيق وحفظ كافة الطلبات المقدمة لها، بما في ذلك الطلبات الشفهية.
كما أنه في حال كان الطلب متكرراً بشكل غير مبرر أو يتطلب تنفيذه جهداً غير عادي، يكون لجهة التحكم عدم معالجة الطلب، على أن يكون ذلك مسبباً ويُشعَر صاحب البيانات الشخصية به، وفي الحالات التي يكون صاحب البيانات الشخصية ناقصاً أو عديم الأهلية، يكون لوليه الشرعي ممارسة حقوقه نيابة عنه.
كذلك يعد أيضاً من الأحكام الهامة التي أتت بها اللائحة والواجب إبرازها هي بيان ضوابط الحق في العلم، حيث أنه في حال تم جمع البيانات الشخصية من صاحبها مباشرةً، يجب على جهة التحكم قبل أو عند جمع البيانات، اتخاذ التدابير اللازمة لإبلاغ صاحب البيانات الشخصية بالآتي:
أ- الاسم النظامي لجهة التحكم، وبيانات التواصل الخاصة بها، وأي تفاصيل أخرى تخص القنوات المُنشأة من قبل جهة التحكم لغرض التواصل المرتبط بحماية البيانات الشخصية.
ب- بيانات الاتصال بمسؤول حماية البيانات الشخصية إن وجد المعين من قبل جهة التحكم.
ج- المسوغ النظامي والغرض من جمع ومعالجة البيانات الشخصية بصورة محددة وواضحة وصريحة.
د- مدة الاحتفاظ بالبيانات الشخصية أو معايير حساب المدة في حال تعذر تحديدها مسبقاً.
هـ- توضيح حقوق صاحب البيانات الشخصية، وآلية ممارسة أي من تلك الحقوق.
و- توضيح كيفية العدول عن الموافقة الممنوحة لمعالجة أي من البيانات الشخصية.
ز- بيان ما إذا كان جمع أي من البيانات الشخصية أو معالجتها إلزامياً أو اختيارياً.
كما إنه في حال تم جمع البيانات الشخصية من غير صاحبها مباشرة، على جهة التحكم عند تلقيها للبيانات الشخصية القيام دون تأخر غير مبرر وخلال مدة لا تتجاوز ثلاثين يوماً، اتخاذ الخطوات اللازمة لإبلاغ صاحب البيانات الشخصية، إضافة إلى فئات البيانات الشخصية التي تتم معالجتها، والمصدر الذي تم من خلاله حصول جهة التحكم على البيانات الشخصية، والجدير بالإشارة أن هذا الحكم لا يطبق في أي من الأحوال الآتية:
أ- إذا كانت المعلومات متوفرة مسبقاً لصاحب البيانات الشخصية.
ب- إذا كان تنفيذ ذلك غير ممكن أو يتطلب جهداً غير معقول.
ج- إذا كان حصول جهة التحكم على البيانات قد تم تنفيذاً لنظام.
د- إذا كانت جهة التحكم جهة عامة وكان جمع البيانات الشخصية لأغراض أمنية أو لاستيفاء متطلبات قضائية، أو لتحقيق مصلحة عامة.
هـ- إذا كانت البيانات الشخصية تخضع لأحكام السرية المهنية المقررة نظاماً.
وأيضاً على جهات التحكم التي تتضمن أنشطتها على نطاق واسع أو بصورة متكررة معالجة بيانات شخصية لناقصي أو عديمي الأهلية، أو عمليات المعالجة التي تتطلب بطبيعتها مراقبة مستمرة لأصحاب البيانات الشخصية، أو معالجة بيانات شخصية باستخدام تقنيات ناشئة، أو اتخاذ قرارات مبنية على المعالجة الآلية للبيانات الشخصية، اتخاذ التدابير اللازمة لإبلاغ صاحب البيانات الشخصية، إضافة إلى ما يلي:
أ- وسائل وطرق الجمع والمعالجة للبيانات الحساسة إن تضمنت المعالجة ذلك.
ب- الوسائل والإجراءات المتخذة لحماية البيانات الشخصية.
ج- توضيح ما إذا كان سيتم اتخاذ قرارات مبنية بشكل كامل على المعالجة الآلية للبيانات الشخصية.
هذا وقد أوضحت أيضاً اللائحة التنفيذية لنظام حماية البيانات الشخصية، الأحكام الخاصة بالحق في طلب إتلاف البيانات الشخصية، حيث يكون على جهة التحكم إتلاف البيانات الشخصية في أي من الأحوال الآتية:
أ- تنفيذاً لطلب صاحب البيانات الشخصية.
ب- إذا لم تعد البيانات الشخصية ضرورية لتحقيق الغرض الذي جُمعت من أجله.
ج- إذا عدل صاحب البيانات الشخصية عن موافقته على جمع بياناته الشخصية، وكانت الموافقة هي المسوّغ النظامي الوحيد للمعالجة.
د- إذا علمت أن البيانات الشخصية تجرى معالجتها بطريقة مخالفة للنظام.
كذلك يكون على جهة التحكم عند إتلافها للبيانات الشخصية القيام بالآتي:
أ- اتخاذ الإجراءات الملائمة لإشعار الجهات الأخرى التي أفصحت لها جهة التحكم عن البيانات الشخصية ذوات الصلة، وطلب إتلافها.
ب- اتخاذ الإجراءات الملائمة لإشعار الأشخاص الذين تم الإفصاح لهم عن البيانات الشخصية بأي وسيلة كانت، وطلب إتلافها.
ج- إتلاف كافة النسخ المتعلقة بالبيانات الشخصية المخزنة في أنظمة جهة التحكم، بما في ذلك النسخ الاحتياطية، على أن تراعى المتطلبات النظامية ذوات العلاقة بهذا الشأن.
هذا ويعد أيضاً من أبرز الأمور التي جاءت بها اللائحة التنفيذية لنظام حماية البيانات الشخصية أنه يجب على جهة التحكم عند إخفائها لهوية صاحب البيانات الشخصية القيام بالآتي:
أ- التأكد من عدم إمكانية إعادة التعرف على هوية صاحب البيانات الشخصية بعد إخفاء هويته.
ب- تقويم الأثر بما في ذلك إمكانية إعادة تحديد هوية صاحب البيانات الشخصية.
ج- اتخاذ التدابير التنظيمية والإدارية والتقنية اللازمة لتجنب المخاطر، مع مراعاة التطورات التقنية وأساليب إخفاء الهوية وتحديثها ومواءمتها مع تلك التطورات.
د- تقويم فاعلية تقنيات إخفاء هوية صاحب البيانات الشخصية المُطبقة، وإجراء التعديلات اللازمة لضمان عدم إمكانية إعادة التعرف على هوية صاحب البيانات الشخصية.
كذلك تجدر الإشارة إلى أنه يعد أيضاً من أهم الأمور التي أوضحتها ذات اللائحة، أنه مع مراعاة المتطلبات النظامية ذوات العلاقة، على الولي الشرعي لصاحب البيانات الشخصية ناقص أو عديم الأهلية، أن يتصرف بما يحقق مصلحة صاحب البيانات الشخصية، وله في سبيل ذلك ما يلي:
أ- ممارسة الحقوق المقررة لصاحب البيانات الشخصية.
ب- الموافقة على معالجة بيانات صاحب البيانات الشخصية.
هذا وفى حال معالجة البيانات الشخصية لناقص أو عديم الأهلية، يُشترط في الحصول على موافقة الولي الشرعي اتخاذ الوسائل المناسبة للتحقق من صحة الولاية الشرعية لولي صاحب البيانات الشخصية ناقص أو عديم الأهلية، كما يكون على جهة التحكم عند الحصول على موافقة الولي الشرعي لناقص أو عديم الأهلية، مراعاة الأحكام الآتية:
أ- ألا ينتج عن موافقة الولي الشرعي على المعالجة أي ضرر على مصالح صاحب البيانات الشخصية.
ب- تمكين صاحب البيانات الشخصية ناقص الأهلية من ممارسة حقوقه، عند اكتمال أهليته.
هذا وتجدر الإشارة أيضاً لما بينته اللائحة، من ضوابط معالجة البيانات لغرض آخر غير الذي جُمعت من أجله ، حيث يكون على جهة التحكم عند معالجتها البيانات الشخصية لغرض آخر غير الذي جُمعت من أجله، القيام بما يأتي:
أ- تحديد أغراض المعالجة بشكل محدد وواضح.
ب- توثيق إجراءات تحديد محتوى البيانات وفقاً للأغراض المحددة، ومنها على سبيل المثال استخدام مخططات البيانات التي تبين الحاجة إلى كل بيان وربطه بكل هدف من أهداف المعالجة.
ج- اتخاذ التدابير اللازمة لضمان جمع البيانات الشخصية وفق الحد الأدنى الضروري لتحقيق الأغراض المحددة.
وأيضاً يعد من أهم الأمور التي أحاطت بها اللائحة التنفيذية لنظام حماية البيانات الشخصية، شروط الإفصاح عن البيانات الشخصية، حيث أنه يشترط في الإفصاح عن البيانات التي تم جمعها من مصادر متاحة للعموم، ألا تكون إتاحتها للعموم قد تمت بشكل مخالف لأحكام النظام ولوائحه ، كما أنه فيما عدا إذا كانت الجهة التي تطلب الإفصاح جهة عامة، وكان ذلك لأغراض المصلحة العامة أو لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء مُتطلبات قضائية ، أو إذا كان الإفصاح ضرورياً لحماية الصحة العامة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم ، على جهة التحكم عند الإفصاح عن البيانات الشخصية مراعاة ما يلي:
أ- أن يرتبط طلب الإفصاح ارتباطاً وثيقاً بغرض أو موضوع محدد وواضح.
ب- بذل العناية اللازمة للمحافظة على خصوصية صاحب البيانات الشخصية أو أي فرد آخر.
ج- أن يقتصر الإفصاح على الحد الأدنى من البيانات الشخصية اللازمة لتحقيق الغرض منه.
كما أن على جهة التحكم عند الإفصاح عن البيانات الشخصية بناءً على طلب جهة عامة لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية، أو إذا كان الإفصاح ضرورياً لحماية الصحة العامة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم، القيام بالآتي:
أ- توثيق طلب الإفصاح.
ب- تحديد نوع البيانات الشخصية المطلوب الإفصاح عنها بشكل دقيق.
أيضاً فيما عدا إذا كانت الجهة التي تطلب الإفصاح جهة عامة، وكان ذلك لأغراض المصلحة العامة أو لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء مُتطلبات قضائية، أو إذا كان الإفصاح ضرورياً لحماية الصحة العامة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم، على جهة التحكم عند الإفصاح عن بيانات شخصية مرتبطة ببيانات شخص آخر غير صاحبها، الالتزام ببذل العناية اللازمة وتوفير الضمانات الكافية للمحافظة على خصوصية الفرد الآخر وضمان عدم انتهاكها، ومن ذلك مراعاة الخطوات الآتية:
أ- الموازنة بين حقوق صاحب البيانات الشخصية وحقوق الشخص الآخر في كل حالة على حدة.
ب- ترميز البيانات الشخصية التي تدل على هوية الشخص الآخر ما أمكن ذلك.
هذا ويضاف أيضاً أنه يعد من أبرز الأمور التي جاءت بها ذات اللائحة هي ضوابط الإشعار عن حوادث تسرب البيانات الشخصية، حيث تُشعر جهة التحكم الجهة المختصة في حالة وقوع حادثة تسرب للبيانات الشخصية خلال مدة لا تتجاوز 72 ساعة من وقت علمها بالحادثة، إذا كان من شأن تلك الحادثة الإضرار بالبيانات الشخصية أو صاحب البيانات الشخصية أو كانت تتعارض مع حقوقه أو مصالحه، على أن يتضمن الإشعار ما يأتي:
أ- وصف لحادثة تسرب البيانات الشخصية ، على أن يتضمن وقتها وتاريخها وكيفية وقوعها ووقت علم جهة التحكم بها.
ب- الفئات والأعداد الفعلية أو التقريبية لأصحاب البيانات الشخصية المعنيين، ونوع البيانات الشخصية.
ج- وصف للمخاطر التي قد تنتج عن الحادثة، بما في ذلك مستوى الأثر الفعلي أو المحتمل الذي قد يلحق بالبيانات الشخصية وأصحاب البيانات الشخصية، والإجراءات والتدابير التي تم اتخاذها من قبل جهة التحكم للمنع أو الحد من آثار تلك المخاطر وتخفيفها، والتدابير المستقبلية التي ستتخذها جهة التحكم لمنع تكرار الحادثة.
د- بيان إذا تم أو سيتم إشعار صاحب البيانات الشخصية بتسرب بياناته الشخصية.
هـ- بيانات التواصل لجهة التحكم أو مسؤول حماية البيانات الشخصية لديها إن وجد أو أي مسؤول آخر تتوافر لديه معلومات فيما يخص الحادثة محل الإشعار.
كما يكون أيضاً على جهة التحكم دون تأخير غير مبرر إشعار صاحب البيانات الشخصية بحادثة تسرب بياناته الشخصية، إذا كان من شأنها أن ترتب ضرراً على بياناته أو تتعارض مع حقوقه أو مصالحه، على أن يكون الإشعار بلغة مبسطة وواضحة، وأن يتضمن ما يأتي:
أ- وصف لحادثة تسرب بياناته الشخصية.
ب- وصف المخاطر المحتملة الناشئة عن تسرب بياناته الشخصية، والتدابير المتخذة لمنع تلك المخاطر أو الحد منها وتخفيف آثارها.
ج- اسم وبيانات التواصل لجهة التحكم ومسؤول حماية البيانات لديها –إن وجد- أو أي وسائل تواصل أخرى مناسبة مع جهة التحكم.
د- التوصيات أو النصائح التي قد تساعد صاحب البيانات الشخصية على اتخاذ الإجراءات الملائمة لتجنب المخاطر المحددة أو تخفيف آثارها.
ونختم ببيان أحكام مسؤول حماية البيانات الشخصية، حيث تقوم جهة التحكم بتعيين أو تحديد شخص أو أكثر ليكون مسؤولاً عن حماية البيانات الشخصية، وذلك في أي من الحالات الآتية:
أ- أن تكون جهة التحكم جهة عامة تقدم خدمات تتضمن معالجة بيانات شخصية على نطاق واسع.
ب- أن تقوم الأنشطة الأساسية لجهة التحكم على عمليات المعالجة التي تتطلب بطبيعتها مراقبة منتظمة وممنهجة لأصحاب البيانات الشخصية.
ج- أن تقوم الأنشطة الأساسية لجهة التحكم على معالجة بيانات شخصية حساسة.
كما يجوز أن يكون مسؤول حماية البيانات الشخصية مسؤولاً أو موظفاً لدى جهة التحكم أو متعاقداً خارجياً، هذا ويتولى مسؤول حماية البيانات الشخصية في جهة التحكم متابعة تنفيذ أحكام نظام حكاية البيانات الشخصية ولوائحه، ومراقبة الإجراءات المعمول بها داخل جهة التحكم والإشراف عليها، وتلقي الطلبات المتعلقة بالبيانات الشخصية وفقاً لأحكام النظام ولوائحه، ويتولى على وجه الخصوص الآتي:
أ- العمل كمسؤول اتصال مباشر مع الجهة المختصة وتنفيذ قراراتها وتعليماتها فيما يتصل بتطبيق أحكام النظام ولوائحه.
ب- الإشراف على إجراءات تقويم الأثر وتقارير المراجعة والتدقيق المتعلقة بضوابط حماية البيانات الشخصية، وتوثيق نتائج التقويم وإصدار التوصيات اللازمة لذلك.
ج- تمكين صاحب البيانات الشخصية من ممارسة حقوقه المنصوص عليها في النظام.
د- إشعار الجهة المختصة عن حوادث تسرب البيانات الشخصية.
هـ- الرد على الطلبات المقدمة من صاحب البيانات الشخصية، والرد على الجهة المختصة في الشكاوى المقدمة.
و- متابعة قيد وتحديث سجلات أنشطة معالجة البيانات الشخصية لدى جهة التحكم.
ز- معالجة المخالفات المتعلقة بالبيانات الشخصية داخل جهة التحكم، واتخاذ الإجراءات التصحيحية حيالها.