الأسئلة الشائعة في قانون حماية البيانات
ما المقصود بالبيانات الشخصية؟
كـل بـيان - مـهما كـان مـصدره أو شـكله - مـن شـأنـه أن يـؤدي إلـى مـعرفـة الـفرد عـلى وجـه التحـديـد، أو يـجعله قـابـلاً لـلتعرف عـليه بـصفة مـباشـرة أو غـير مـباشـرة عـند دمـجه مـع بـيانـات أخـرى، ويـشمل ذلـك -عـلى سـبيل الـمثال لا الـحصر - الاسـم، وأرق ـام ال ـهوي ـات ال ـشخصية، وال ـعناوي ـن، وأرق ـام ال ـتواص ـل، وأرق ـام ال ـحساب ـات ال ـبنكية والبطاق ـات الائـتمانية، وصور المستخدم الثابتة أو المتحركة، وغير ذلك من البيانات ذات الطابع الشخصي.
- ما المقصود بالبيانات الحساسة؟
كـل بـيان شـخصي يـتضمن الإشـارة إلـى أصـل الـفرد الـعرقـي أو الـقبلي، أو مـعتقده الـديـني أو الـفكري أو السـياسـي، أو يـدل عـلى عـضويـته فـي جـمعيات أو مـؤسـسات أهـلية. وكـذلـك الـبيانـات الـجنائـية والأمـنية، أو بـيانـات الـسمات الـحيويـة الـتي تحـدد الـهويـة، أو الـبيانـات الـوراثـية، أو الـبيانـات الائـتمانـية، أو الـبيانـات الـصحية، وبـيانـات تحـديـد الـموقـع، والـبيانـات الـتي تـدل عـلى أن الفرد مجهول الأبوين أو أحدهما.
-ما هي معالجة البيانات؟
جـميع الـعمليات الـتي تُجـرى عـلى الـبيانـات الـشخصية بـأي وسـيلة كـانـت يـدويـة أو آلـية، وتـشمل هـذه الـعمليات -عـلى سـبيل الـمثال لا الـحصر- جـمع الـبيانـات ونـقلها وحـفظها وتخـزيـنها ومـشاركـتها وإتـلافـها وتحـليلها واسـتخراج أنـماطـها والاسـتنتاج منها وربطها مع بيانات أخرى.
-ما هي حقوق أصحاب البيانات الشخصية؟
1.يـحق لـصاحـب الـبيانـات إحـاطـته عـلماً بـالـغرض مـن مـعالـجة بـيانـاتـه الـشخصية، والأسـاس الـنظامـي أو الاحـتياج الـفعلي المعتبر لهذا الغرض، ومحتوى البيان ـات المطلوب معالجتها، وطريـقة جمعها، ووسيلة حفظها، ولمن سيتم الإفصاح عنها.
2.يـحق لـصاحـب الـبيانـات الـوصـول إلـى بـيانـاتـه الـشخصية لـدى الـجهة والـحصول عـلى نـسخة مـنها بـصيغة واضـحة ومـقروءة ومطابقة لمضمون السجلات وبلا مقابل مادي.
3.يحق لصاحب البيانات طلب تصحيح بياناته الشخصية التي يرى أنها غير دقيقة أو غير صحيحة أو غير مكتملة.
4.يحق لصاحب البيانات طلب إتلاف بياناته الشخصية التي انتهت الحاجة منها أو التي جمعت بطريقة غير نظامية.
5.يحق لصاحب البيانات طلب تقييد معالجة بياناته الشخصية لحالات خاصة ولفترة زمنية محدودة.
6.يـحق لـصاحـب الـبيانـات طـلب الاعـتراض عـلى مـعالـجة بـيانـاتـه الـشخصية أو الـعدول عـن مـوافـقته عـلى مـعالـجة بـيانـاتـه الشخصية.
- هل يمكن جمع البيانات الشخصية دون موافقة صاحبها؟
لا، لا يـمكن جـمع الـبيانـات الـشخصية إلا بـموافـقة صـاحـبها الـصريـحة أو الـضمنية إلا إذا كـان جـمعها أو مـعالـجتها مـطلوبـاً لـتحقيق مـتطلبات نـظامـية أو لاسـتيفاء مُـتطلبات قـضائـية أو لـتنفيذ الـتزام بـموجـب اتـفاق تـكون الـمملكة طـرفـاً فـيه أو إذا كان جمع البيانات الشخصية أو معالجتها ضرورياً لحماية الصحة أو السلامة العامة أو حماية المصالح الحيوية للأفراد.
- هل تلتزم الجهات بحد معين لجمع البيانات الشخصية؟
نعم، يجب أن يقتصر جمع البيانات الشخصية على الحد الأدنى من البيانات الذي يمكّن من تحقيق الأغراض المحددة.
- هل يوجد فتره زمنية محدده للاحتفاظ بالبيانات؟
نـعم، يـمكن لـلجهة الاحـتفاظ بـها طـالـما كـان ذلـك ضـروريـا لـتحقيق الأغـراض المحـددة الـتي جـمعت مـن أجـلها أو لـما تـقتضيه الأنظمة واللوائح والسياسات المعمول بها في المملكة فقط.
- هل يمكن للجهة الإفصاح عن البيانات الشخصية؟
1-إذا وافق صاحب البيانات الشخصية على الإفصاح وفقاً لأحكام النظام.
2-إذا كانت البيانات الشخصية قد جرى جمعها من مصدر متاح للعموم.
3-إذا كـانـت الـجهة الـتي تـطلب الإفـصاح جـهة عـامـة، وذلـك لأغـراض أمـنية أو لـتنفيذ نـظام آخـر أو لاسـتيفاء مُـتطلبات قـضائـية وفق الأحكام التي تحددها اللوائح.
4-إذا كان الإفصاح ضروريا لحماية الصحة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم.
5-إذا كـان الإفـصاح سـيقتصر عـلى مـعالـجتها لاحـقاً بـطريـقة لا تـؤدي إلـى مـعرفـة هـويـة صـاحـب الـبيانـات الـشخصية أو أي فـرد آخـر على وجه التحديد. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك.
-هل يمكن للجهة الاحتفاظ بالبيانات الشخصية بشكل دائم؟
1-عـلى جـهة الـتحكم إتـلاف الـبيانـات الـشخصية فـور انـتهاء الـغرض مـن جـمعها. ومـع ذلـك، يـجوز لـها الاحـتفاظ بـتلك الـبيانـات بـعد انتهاء الغرض من جمعها إذا تمت إزالة كل ما يؤدي إلى معرفة صاحبها على وجه التحديد.
2-على جهة التحكم الاحتفاظ بالبيانات الشخصية حتى بعد انتهاء الغرض من جمعها في الحالتين الآتيتين:
أ-إذا تـوافـر سـبب نـظامـي يـوجـب الاحـتفاظ بـها مـدة مُحـددة، وفـي هـذه الـحالـة يُجـرى إتـلافـها بـعد انـتهاء هـذه الـمدة أو انـتهاء الغرض من جمعها، أيهما أطول.
ب-إذا كـانـت الـبيانـات الـشخصية مـتصلة اتـصالاً وثـيقاً بـقضية مـنظورة أمـام جـهة قـضائـية وكـان الاحـتفاظ بـها مـطلوبـاً لهـذا الغرض، وفي هذه الحالة يُجرى إتلافها بعد استكمال الإجراءات القضائية الخاصة بالقضية.
-هل يمكن للجهة المعالجة للبيانات الشخصية إرسال المواد التسويقية أو التوعوية؟
فـيما عـدا الـمواد الـتوعـويـة الـتي تـرسـلها الـجهات الـعامـة، لا يـجوز لـلجهة اسـتخدام وسـائـل الاتـصال الـشخصية بـما فـيها الـعناويـن الـبريـديـة والإلـكترونـية ورقـم الـجوال الـخاصـة بـصاحـب الـبيانـات الـشخصية لأجـل إرسـال مـواد تـسويـقية أو تـوعـويـة، إلا وفـقاً لـما يأتي:
1-أن تؤخذ موافقة المتلقي المُستهدف على إرسال هذه المواد إليه.
2-أن يـوفـر مـرسـل الـمواد آلـية واضـحة تُـمكن الـمتلقي المسـتهدف مـن إبـداء رغـبته فـي الـتوقـف عـن إرسـالـها إلـيه عـند رغـبته فـي ذلك.
-ماهي المخالفات والعقوبات لمخالفي نظام حماية البيانات الشخصية؟
الحد الأقصى للعقوبات: السجن لمدة قد تصل سنتين، أو غرامة قد تصل إلى خمسة ملايين ريال
1.كـل مـن خـالـف حـكماً مـن أحـكام الـنظام أو الـلوائـح: يـعاقـب بـالإنـذار أو بـغرامـة لا تـزيـد عـلى خـمسة مـلايـين ريـال وتـجوز مضاعفة عقوبة الغرامة في حالة تكرار المخالفة بزيادة الحد الأقصى لها على ألا تتجاوز ضعف هذا الحد.
2.كـل مـن خـالـف شـروط الـنقل والإفـصاح عـن الـبيانـات الـشخصية لـخارج الـمملكة يـعاقـب بـالـسجن مـدة لا تـزيـد عـلى سـنة وبغرامة لا تزيد على مليون ريال، أو بإحدى هاتين العقوبتين.
-ما هي عقوبة الإفصاح عن البيانات الحساسة أو نشرها؟
كل من أفصـح عن بيـاناـت حسـاسة أو نشرها مخـالفًـا أحكـام النـظام: يعـاقب بالسـجن مدة لا تزيد علـى سنـتين وبغـرامةـ لا تـزيـد عـلى ثـلاثـة مـلايـين ريـال، أو بـإحـدى هـاتـين الـعقوبـتين؛ إذا كـان ذلـك بـقصد الإضـرار بـصاحـب الـبيانـات أو بـقصد تـحقيق منفعة شخصية.
-هل ينطبق نظام حماية البيانات الشخصية على الجهات التي تقع خارج النطاق الجغرافي للمملكة؟
إذا كـانـت الـجهات الـخارجـية تـعالـج بـيانـات أفـراد، سـواءً مـواطـنين أو مـقيمين داخـل الـمملكة فـتنطبق عـليهم السـياسـة، أمـا إذا كانت المعالجة لبيانات أفراد غير مقيمين داخل المملكة فلا تنطبق عليهم.