معلومات عن حماية البيانات الشخصية في المملكة العربية السعودية

أصدرت المملكة العربية السعودية أول قانون شامل لحماية البيانات على الإطلاق. يهدف قانون حماية البيانات الشخصية (PDPL) إلى حماية خصوصية البيانات الشخصية للأفراد وتنظيم جمع المؤسسات للبيانات الشخصية أو معالجتها أو الكشف عنه...

معلومات عن حماية البيانات الشخصية في المملكة العربية السعودية

أصدرت المملكة العربية السعودية أول قانون شامل لحماية البيانات على الإطلاق. يهدف قانون حماية البيانات الشخصية (PDPL) إلى حماية خصوصية البيانات الشخصية للأفراد وتنظيم جمع المؤسسات للبيانات الشخصية أو معالجتها أو الكشف عنها أو الاحتفاظ بها.

يوفر PDPL متطلبات شاملة تتعلق بمبادئ المعالجة ، وحقوق الأشخاص المعنيين بالبيانات ، والتزامات المؤسسات أثناء معالجة البيانات الشخصية للأفراد ، وآليات نقل البيانات عبر الحدود ، ويفرض عقوبات على المؤسسات في حالة عدم الامتثال لقانون PDPL.

تتمثل إحدى السمات البارزة لقانون PDPL في أنه لا يخل بأي حكم يمنح حقًا لموضوع البيانات أو ينص على حماية أفضل في أي قانون آخر أو اتفاقية دولية تكون المملكة العربية السعودية طرفًا فيها.

علاوة على ذلك ، أصدرت الهيئة السعودية لحماية البيانات (SDAIA) بالتعاون مع المكتب الوطني لإدارة البيانات (NDMO) نسخة مسودة من اللائحة التنفيذية في 10 مارس 2022.

دخلت PDPL حيز التنفيذ في 17 مارس 2023.

إذن ، من الذي يجب أن يلتزم بهذا القانون؟ ما هي الحقوق التي يتمتع بها أصحاب البيانات؟ من الذي يفرض هذا القانون الجديد؟ لمعرفة المزيد حول هذه الأسئلة بالإضافة إلى الكثير لزيادة جهود الامتثال ، اقرأ أدناه:

1. من يحتاج إلى الامتثال للقانون

في ما يلي كيفية تطبيق القانون الجديد على المؤسسة استنادًا إلى اختصاصها وكذلك نوع البيانات المعنية:

أ. النطاق المادي

تنطبق PDPL على معالجة البيانات الشخصية والبيانات الشخصية الحساسة المتعلقة بالأفراد المقيمين في المملكة العربية السعودية. تغطي PDPL أيضًا البيانات الشخصية للمتوفى ، إذا كان ذلك سيؤدي إلى تحديد هوية المتوفى أو أحد أفراد أسرته على وجه التحديد. تستثني PDPL معالجة البيانات الشخصية للأغراض المحلية من نطاق تطبيقها.

ب. النطاق الإقليمي

تنطبق PDPL على المؤسسات العامة أو الخاصة التي تعالج البيانات الشخصية المتعلقة بالأفراد في المملكة العربية السعودية بأي وسيلة. إذا قامت منظمة أجنبية بمعالجة البيانات الشخصية المتعلقة بالأفراد المقيمين في المملكة العربية السعودية ، فسيتم تطبيق PDPL أيضًا.

2. التزامات المنظمات بموجب هذا القانون المحدد

يوفر PDPL العديد من الالتزامات للسلطات الرقابية (مراقبو البيانات). قبل معالجة البيانات الشخصية ، يُطلب من مراقبي البيانات (المؤسسات) ضمان دقة البيانات الشخصية واكتمالها وملاءمتها. يجب أن تفي السلطات الرقابية أيضًا بمبادئ حماية البيانات (قيود التجميع ، تحديد الغرض ، أمن البيانات ، المساءلة ، تقييد الاستبقاء ، إلخ).

فيما يلي الالتزامات الهامة المنصوص عليها في PDPL والتي يجب على المؤسسات إلزامها بالبقاء ملتزمة:

أ. متطلبات الموافقة

تتطلب PDPL عدم قيام المؤسسات بمعالجة البيانات الشخصية دون موافقة مالكها باستثناء الحالات المنصوص عليها في مسودة اللائحة.

يجوز لأصحاب البيانات سحب موافقتهم على معالجة البيانات الشخصية في أي وقت ، ويجب ألا تكون الموافقة شرطًا أساسيًا لمراقب البيانات لتقديم خدمة أو فائدة (ما لم تكن الخدمة أو الميزة مرتبطة على وجه التحديد بنشاط المعالجة الذي تكون الموافقة عليه مُقتَنىً).

تنص PDPL على أن الموافقة ليست مطلوبة في السيناريوهات التالية:

إذا كانت المعالجة ستحقق فائدة واضحة وكان من المستحيل أو غير العملي الاتصال بموضوع البيانات ؛
إذا كان مطلوبًا بموجب القانون أو اتفاق مسبق يكون موضوع البيانات طرفًا فيه ؛
إذا كان المراقب كيانًا عامًا وكانت المعالجة مطلوبة لأغراض أمنية أو قضائية ؛
إذا كان المراقب يجمع البيانات لأغراض علمية أو بحثية أو إحصائية مع اتخاذ الإجراءات اللازمة المنصوص عليها في القانون.

ب. متطلبات التسجيل

يجب على المنظمات الخاضعة لقانون PDPL التسجيل في بوابة إلكترونية تشكل سجلاً وطنياً للسلطات الرقابية. سيتعين على المنظمات أيضًا دفع رسوم التسجيل السنوية التي سيتم تحديدها في الوقت المناسب.

يجب على المنظمات التي تعمل خارج المملكة العربية السعودية وتعالج البيانات الشخصية للمقيمين السعوديين تعيين ممثل في المملكة العربية السعودية يمكن للسلطة التنظيمية اللجوء إليه فيما يتعلق بالامتثال للقوانين المعمول بها.

ت. إشعار الخصوصية / متطلبات سياسة الخصوصية

تتطلب PDPL أن تتبنى المؤسسات سياسة خصوصية البيانات الشخصية وإتاحتها لموضوعات البيانات لمراجعتها قبل جمع بياناتهم. يجب أن تتضمن هذه السياسة الغرض من جمعها ، ومحتوى البيانات الشخصية التي سيتم جمعها ، وطريقة جمعها ، ووسائل تخزينها ، وكيفية معالجتها ، وكيفية إتلافها ، وحقوق مالكها في فيما يتعلق به ، وكيفية ممارسة هذه الحقوق.

يجب على المؤسسات - في حالة جمع البيانات الشخصية مباشرة من أصحاب البيانات - استخدام الوسائل الكافية لإبلاغ موضوعات البيانات بالعناصر التالية قبل البدء في جمع بياناته:

 التبرير القانوني أو العملي الصحيح لجمع بياناتهم الشخصية ؛
 الغرض من جمع بياناتهم الشخصية ، وما إذا كان جمعها كلها أو بعضها إلزاميًا أو اختياريًا ، وإبلاغهم أيضًا بأن بياناتهم لن تتم معالجتها لاحقًا بطريقة تتعارض مع الغرض من جمعها أو في غير الحالات المنصوص عليها في PDPL ؛
 هوية الشخص الذي يجمع البيانات الشخصية وعنوان المرجع عند الضرورة ، ما لم يكن الجمع لأغراض أمنية ؛
 المنظمة (المنظمات) التي سيتم الكشف عن البيانات الشخصية لها ، وصفتها ، وما إذا كان سيتم نقل البيانات الشخصية أو الكشف عنها أو معالجتها خارج المملكة ؛
 الآثار والمخاطر المحتملة لعدم استكمال إجراءات جمع البيانات الشخصية ؛
 حقوق موضوع البيانات ؛ و
 تحدد اللوائح عناصر أخرى وفقًا لطبيعة النشاط الذي تمارسه المنظمة.

ث. متطلبات الأمن

تتطلب PDPL من المنظمات اتخاذ التدابير والوسائل التنظيمية والإدارية والفنية اللازمة لضمان الحفاظ على البيانات الشخصية ، بما في ذلك عند نقلها ، وفقًا للأحكام والضوابط المحددة في مسودة اللوائح.

ج. تقييم تأثير حماية البيانات

تُلزم PDPL المؤسسات بإجراء تقييم لعواقب معالجة البيانات الشخصية لأي منتج أو خدمة يتم تقديمها للجمهور وفقًا لطبيعة أنشطة المعالجة الخاصة بهم.

ح. سجل أنشطة المعالجة

بموجب PDPL ، يجب على المؤسسات الاحتفاظ بسجلات لأنشطة المعالجة الخاصة بها ولفترة تحددها مسودة اللائحة. يجب أن تتضمن السجلات الحد الأدنى من البيانات التالية:

تفاصيل الاتصال بالمنظمة ؛
الغرض من معالجة البيانات الشخصية ؛
وصف لفئات موضوعات البيانات ؛
أي طرف تم (أو سيتم) الكشف عن البيانات الشخصية له ؛
ما إذا تم نقل البيانات الشخصية (أو سيتم نقلها) خارج المملكة العربية السعودية أو الكشف عنها لطرف خارج المملكة العربية السعودية ؛ و
الفترة الزمنية التي يُتوقع فيها الاحتفاظ بالبيانات الشخصية.

خ. متطلبات تقييم البائع / الطرف الثالث المعالجة

تنص PDPL على أنه يجب على المؤسسات - عند اختيار طرف المعالجة - اختيار كيان يوفر الضمانات اللازمة لفرض أحكام PDPL ويجب أن تتحقق باستمرار من امتثال هذا الكيان لتعليماته في جميع الأمور المتعلقة بحماية البيانات الشخصية.

س. متطلبات نقل البيانات عبر الحدود

ينص قانون حماية البيانات في المملكة العربية السعودية بصرامة على أنه لا يجوز نقل البيانات عبر الحدود إلا إذا تم إجراء تقييم صارم للأثر لتقييم مدى أمان الموقع الخارجي. بالإضافة إلى ذلك ، مطلوب أيضًا موافقة خطية من السلطة التنظيمية.

تشمل الاستثناءات الأخرى ما يلي:

نقل البيانات أمر حيوي للمصلحة العامة ؛
يعد نقل البيانات أمرًا ضروريًا للغاية لإنقاذ حياة موضوع البيانات خارج المملكة.

3. حقوق موضوع البيانات

مثل معظم لوائح حماية البيانات الأخرى على مستوى العالم ، تضمن PDPL أن جميع موضوعات البيانات مضمونة بحقوق معينة. تضمن هذه الحقوق ، المعروفة باسم حقوق موضوع البيانات ، احتفاظ جميع المستخدمين بالسيطرة على بياناتهم بمجرد جمعها. تقدم قوانين حماية البيانات المختلفة أنواعًا مختلفة من حقوق موضوع البيانات. تشمل العناصر التي تضمنها PDPL ما يلي:

الحق في المعرفة / المعلومات
يحق لأصحاب البيانات معرفة تفاصيل الاتصال بمراقب البيانات ، والسبب الدقيق لجمع البيانات ، والطرق المستخدمة لجمع البيانات ، وما إذا كانت هذه البيانات التي تم جمعها ستتم مشاركتها أو بيعها.

الحق في طلب الوصول أو النسخ
يحق لأصحاب البيانات الوصول إلى بياناتهم الشخصية من المنظمة والحصول على نسخة منها بتنسيق واضح ومقروء ، بما يتوافق مع محتوى السجلات ، دون أي تكلفة.

الحق في طلب التصحيح
يحق لأصحاب البيانات طلب تصحيح أي بيانات تم جمعها عنهم إذا كانت غير كاملة أو غير دقيقة أو قديمة.

الحق في طلب التدمير
يحق لأصحاب البيانات طلب إتلاف البيانات التي تم جمعها عنهم. يمكن أن تتراوح الأسباب من إلغاء المستخدم لموافقته على جمع البيانات إلى أن البيانات لم تعد تخدم الغرض الذي تم جمعها من أجله.

الحق في تحديد / تقييد المعالجة
يحق لأصحاب البيانات تقييد أو رفض معالجة معلوماتهم الشخصية من قبل المنظمة لحالات خاصة ولفترة زمنية محدودة. لم يتم توفير هذا الحق بشكل صريح بموجب PDPL ، ومع ذلك ، أصدرت السلطة التنظيمية مجموعة من الأسئلة الشائعة التي توفر تفاصيل هذا الحق.

مطلوب من مراقب البيانات التأكد من أن جميع موضوعات البيانات على علم بهذه الحقوق بشكل مناسب وإنشاء قنوات مخصصة لأصحاب البيانات لممارسة هذه الحقوق. يجب على مراقب البيانات تلبية هذه الطلبات في غضون 30 يومًا وتسجيل جميع طلبات موضوع البيانات الواردة.

4. هيئة التنظيم

ستكون الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) هي الهيئة الرئيسية المسؤولة عن تطبيق PDPL داخل الحدود السعودية. أكثر من مجرد فرض عقوبات على المؤسسات التي يثبت أنها تنتهك قانون PDPL ، من المتوقع أيضًا أن تقدم SDAIA المشورة للمؤسسات في عمليات نقل البيانات الداخلية وتتبع طلبات حقوق موضوع البيانات التي تتلقاها المنظمات ، من بين مسؤوليات أخرى.

ومع ذلك ، ستشرف الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) على تنفيذ التشريع الجديد لأول عامين فقط. سيتم النظر في نقل الإشراف إلى المكتب الوطني لإدارة البيانات (NDMO) في عام 2024.

5. عقوبات عدم الامتثال

ينص قانون PDPL على أن عقوبة الكشف عن البيانات الشخصية الحساسة أو نشرها قد تشمل السجن لمدة تصل إلى عامين و / أو غرامة لا تتجاوز 3 ملايين ريال سعودي (800000 دولار أمريكي) ؛ وبالتالي يمكن معاقبة كل من المنظمات والأفراد.

لانتهاك متطلبات نقل البيانات عبر الحدود ، قد يكون هناك عقوبة بالسجن لمدة تصل إلى عام واحد و / أو غرامة لا تتجاوز مليون ريال سعودي (267000 دولار). بالنسبة لانتهاكات الأحكام الأخرى لقانون PDPL ، تقتصر العقوبات على إشعار تحذير أو غرامة لا تتجاوز 5 ملايين ريال سعودي (1.3 مليون دولار أمريكي). للمحكمة أن تضاعف عقوبة الغرامة في حالة تكرار المخالفات.

6. كيف يمكن لمنظمة ما تطبيق القانون

سيُطلب من المؤسسات تعديل حالتها وفقًا لأحكام PDPL خلال فترة لا تتجاوز سنة واحدة من تاريخ دخولها حيز التنفيذ.

 فهرسة قوائم جرد البيانات الخاصة بهم وتصنيف البيانات الشخصية والبيانات الشخصية الحساسة ؛
 تقييم ما إذا كانوا بحاجة إلى تعيين ممثل في المملكة العربية السعودية ؛
 تسجيل نفسها داخل المملكة العربية السعودية ؛
 الكشف عن كيفية معالجة البيانات الشخصية من خلال سياسات رسمية شفافة وإشعارات الخصوصية ؛
 وضع سياسات وإجراءات رسمية لجمع البيانات (إطار الموافقة وما إلى ذلك) ومعالجتها ، وتحديث سياسات الخصوصية حسب الحاجة ؛
 وجود آليات قوية للإبلاغ عن خرق البيانات ؛
 وضع خريطة لعملياتهم واكتشاف تدفق البيانات عبر الحدود من المملكة العربية السعودية إلى دول أخرى ، والوفاء بالمتطلبات الصارمة عبر الحدود بموجب PDPL ؛
 أن يكون لديك إطار عمل شامل لطلبات موضوع البيانات ؛
 تطوير القدرة على مسح وتتبع نشاط معالجة البيانات وإنتاج تقارير ROPA للامتثال ؛
 وضع تدابير أمنية تقنية وتنظيمية لحماية أنشطة المعالجة الخاصة بهم ؛ و
 إجراء تقييمات تأثير حماية المعلومات الشخصية وتقييم البائعين وتقييمات المخاطر الأخرى.


تشجع لوائح الخصوصية العالمية المؤسسات على أن تكون أوصياء مسؤولين على بيانات المستهلكين وأتمتة عمليات الخصوصية والأمان. لتفعيل الامتثال ، تحتاج المؤسسات إلى دمج الأتمتة الآلية لمواكبة المشهد الرقمي الحالي. تقدم العديد من المؤسسات برامج تساعد الشركات على الامتثال للوائح الخصوصية العالمية ، ولكن هذه الحلول اقتصرت بشكل أساسي على المهام التي تعتمد على العمليات أو الوظائف الأولية التي تعتمد على البيانات.