قانون حماية البيانات الشخصية في المملكة العربية السعودية
يوماً بعد يوم، تتوسع العمليات الرقمية في العالم بشكل يثير الذهول. مما يرغب الكثير للـ تعرف على قانون حماية البيانات الشخصية وفق الانظمة السعودية في المملكة العربية السعودية، وبالتاكيد هي نقلة قانونية هامة، تساعد على الحفاظ على خصوصية المواطنين، وأمنهم الرقمي، في عالم أصبح يشهد العديد من الكوارث نتيجة عدم الحفاظ على الخصوصية المُهدرة في زمن بيع البيانات الشخصية للمستخدمين من قبل كبار شركات التقنية ولصالح المُعلنين.
أهمية قانون حماية البيانات الشخصية السعودي، لا تتوقف فقط على الحفاظ على خصوصية المواطنين، لكن أيضاً تُشرك الجميع في تحمل مسئوليتهم تجاه الحفاظ على بياناتهم، وعدم التلاعب أو استغلال البيانات الشخصية للأخرين بأي شكل ضار أو غير قانوني.
نستعرض معكم من خلال تقريرنا، أهم مواد قانون حماية البيانات الشخصية وما يمثله من أهمية في الحياة التشريعية السعودية. والحياة اليومية للمواطن السعودي.
ماهو قانون حماية البيانات الشخصية وفق الانظمة السعودية؟
هو قانون تمت الموافقة عليه من مجلس الوزراء السعودي، يعطي الحق للمواطنين بالتحكم في بياناتهم الشخصية التي يتم تداولها الكترونياً، ويعطيهم الحق في معرفة هذه البيانات، وطريقة جمعها، وكيفية معالجتها، بل والقدرة على مسح هذه البيانات بعد انتفاء الغرض من جمعها، وتعطيل الوصول لها لفترة زمنية محددة.
ولم يعطي القانون صلاحيات للوصول للمعلومات والحصول على نسخة منها فحسب، بل أيضاً يحمي المواطنين من التلاعب بالبيانات الخاصة بهم، أو استغلاله بأي طريقة مُخالفة، ومنها الاستخدامات التسويقية، التي تستهدف الناس حسب البيانات التي يتم جمعها عنهم، وتقوم الشركات بالدفع مقابل استهداف المستخدمين حسب هذه البيانات.
ويضع صدور قانون حماية البيانات الشخصية في الاعتبار، ضرورة ألا تعبر البيانات التي يتم جمعها عن المستخدمين هويتهم الشخصية، لمنع أي استغلال سيء لهذه البيانات، وبالطبع يضع القانون في الحسبان الحالات التي يجب الإفصاح فيها عن بعض البيانات الخاصة، وحينها يتم معالجة هذه البيانات بأقصى قواعد الحفاظ على الخصوصية في أضيق إطار ممكن.
وينظم قانون حماية البيانات الشخصية البيانات التي يتم معالجتها على الأراضي السعودية، بالإضافة للبيانات الخاصة بالمقيم السعودي خارج المملكة.
ما هو المقصود بالبيانات الشخصية السعودي؟
يقصد بها كافة البيانات المرتبطة بشخص ما، فعلى سبيل المثال لا الحصر، الاسم، رقم التعريف الشخصي (مثل رقم الهوية وما الى ذلك) أو الصور ومقاطع الفيديو الخاصة بالإنسان.وحسب قانون حماية البيانات الشخصية فقد تم تحديد مجموعة من البيانات التي يجب منحها حماية أكبر، والتي يمكن تصنيفها كبيانات حساسة، وهي:
- لأصل العرقي أو القبلي
- المعتقدات الدينية أو الفكرية أو السياسية
- العضوية في الجمعيات أو المؤسسات الأهلية
- البيانات الجنائية والأمنية
- البيانات الحيوية أو الجينية (مثل بصمة الوجه أو الأصابع وما الى ذلك)
- البيانات الصحية
- بيانات بطاقات الائتمان
- بيانات الموقع الجغرافي.
- البيانات التي تشير إلى أن أحد والدي الفرد أو كليهما غير معروف
كيفية معالجة البيانات في ظل قانون حماية البيانات الشخصية السعودي
وضع قانون حماية البيانات الشخصية ضابطا رئيسياً لمعالجة البيانات الشخصية من قبل الأطراف الأخرى، وهي موافقة صاحب هذه البيانات بشكل صريح على معالجة بياناته.لكن وضع القانون أيضاً بعض الحالات التي يمكن معالجة البيانات فيها دون الرجوع لصاحب البيانات مثل:
اذا كانت معالجة البيانات تحقق مصلحة حقيقية لصاحبها، ويكون التواصل معه مستحيل أو صعب.
إذا كانت معالجة البيانات تتم لصالح كيان حكومي ولأغراض قضائية أو أمنية.
يمكن معالجة البيانات لأغراض بحثية أو علمية، إذا كانت الجهات التي حصلت على موافقة سابقة من صاحب البيانات.ولم يكتفي قانون حماية البيانات الشخصية بتحديد حالات معالجة البيانات فحسب، بل أكد على قدرة المستخدم على سحب موافقتهم على معالجة بياناتهم الشخصية في أي وقت وستحدد اللوائح مزيدًا من التفاصيل المتعلقة بممارسة هذا الحق. وستحدد اللوائح أيضاً الشكل أو المعايير التي يجب أن تستوفيها الموافقة التي تم الحصول عليها.
حدد القانون السعودي مجموعة معايير لجمع المعلومات من شخص أخر غير مالك البيانات في الحالات الأتية:
- ضرورة أن يوافق مالك البيانات الشخصية على هذا الجمع.
- البيانات الشخصية يجب أن تكون متاحة للجمهور ، أو تم جمعها من مصدر متاح للجمهور.
- المراقب هو جهة حكومية ويكون هذا التحصيل لأغراض أمنية أو لتلبية المتطلبات القضائية.
- ستتضرر المصالح الحيوية لمالك البيانات إذا لم يتم جمع بياناته الشخصية من هذا الشخص الآخر.
- أن يكون جمع البيانات الشخصية ضروري لحماية الصحة العامة أو السلامة ، أو لحماية حياة أو صحة فرد معين.
- أن تكون البيانات الشخصية مجهولة المصدر.
مبادئ حماية البيانات الشخصية حسب القانون
وضع قانون حماية البيانات الشخصية مجموعة من الضوابط لحماية البيانات الشخصية وهي:
تحديد الغرض: يجب معالجة البيانات الشخصية فقط للغرض الذي تم جمعها من أجله في الأصل، رهنا بموافقة مالك البيانات على أي تغيير في تلك الأغراض، أو ما لم تنطبق إحدى الظروف المذكورة أعلاه.
الملاءمة: يجب أن يكون نوع البيانات الشخصية التي يتم جمعها مناسبًا ومحدودًا إلى الحد الأدنى الضروري لتحقيق الغرض من جمعها.
دقيقة وكاملة ومحدثة: يجب ألا يعالج المراقب البيانات الشخصية دون التحقق من دقتها واكتمالها وتوقيتها وملاءمتها للغرض الأساسي.
العدل والشفافية: يجب أن تكون الطريقة التي يتم من خلالها جمع البيانات الشخصية مباشرة وواضحة وآمنة ، ولا تنطوي على خداع أو أعمال مضللة أو ابتزاز.
لم يتم الاحتفاظ بها لفترة أطول مما هو ضروري: بمجرد أن تصبح البيانات الشخصية غير ضرورية لتحقيق الغرض ، يجب على المراقب أن يتوقف عن جمعها وتدمير البيانات التي تم جمعها مسبقًا (مع مراعاة الحق في الاحتفاظ بها في حالة وجود مبرر قانوني لـ فترة محددة ، أو إذا كانت البيانات الشخصية مرتبطة ارتباطًا وثيقًا بإجراء حتى يتم التوصل إلى نتيجة قضائية لهذا الإجراء).
التزامات المراقب حسب قانون حماية البيانات الشخصية
هناك التزامات وضعها القانون على الجهة المراقبة، وهي:
إشعار المعالجة العادلة: حيث يجب على المراقب إبلاغ مالكي البيانات بما يلي:
- المبرر القانوني أو العملي لتحصيل المعلومات
- الغرض من التجميع، وما إذا كان جمع أنواع معينة من البيانات الشخصية مطلوبًا لتلبية هذا الغرض (أي ، هل المعالجة ضرورية)3. هوية وعنوان المراقب.
- الكيان أو الكيانات التي سيتم الكشف عن البيانات الشخصية لها ، وسيتم نقل صفتها ، بما في ذلك نقلها أو الكشف عنها أو معالجتها خارج المملكة العربية السعودية
يجب على المتحكمين أيضًا تقديم تأكيدات بأن البيانات الشخصية لن تتم معالجتها لاحقًا بطريقة لا تتفق مع غرض الجمع ما لم يسمح القانون بذلك.
نلاحظ أن الكثير من هذه المعلومات سيتم تضمينها عادةً في سياسة الخصوصية ، والتي يتم تحديد عرضها كشرط منفصل بموجب القانون.سياسة الخصوصية: يجب على المتحكمين اعتماد سياسة خصوصية وتقديمها إلى مالكي البيانات لمراجعتها قبل جمع بياناتهم الشخصية. يجب أن تحدد سياسة الخصوصية على الأقل:
- الغرض من الجمع
- طبيعة البيانات الشخصية التي سيتم جمعها
- طريقة الجمع والتخزين ووسائل المعالجة
- الطريقة التي سيتم بها تدمير البيانات الشخصية
- حقوق مالكي البيانات وتفاصيل عن كيفية ممارسة هذه الحقوق.
أمان البيانات
يجب على المتحكمين تنفيذ جميع التدابير والوسائل التنظيمية والإدارية والفنية اللازمة لضمان حماية البيانات الشخصية ، بما في ذلك الاجراءات أثناء نقل هذه البيانات، وفقًا للأحكام المنصوص عليها في اللوائح.
يجب أيضا على المتحكمين إجراء تقييم لتأثيرات المعالجة المرتبطة بأي منتج أو خدمة مقدمة للجمهور ، وفقًا لمتطلبات اللوائح,
كما يجب على المتحكمين إخطار هيئة البيانات بمجرد أن يدركوا أن البيانات الشخصية قد تم تسريبها أو إتلافها أو الوصول إليها بشكل غير قانوني. ستحدد اللوائح الحالات التي يجب فيها إبلاغ مالك البيانات بخرق أمني يؤثر على بياناته الشخصية.
ويجب على المراقبين تعيين واحد على الأقل من موظفيهم ليكون مسؤولاً عن تحقيق الامتثال للقانون.
أخيرا و كما هو مذكور في قسم المبادئ أعلاه ، يجب على المتحكمين إتلاف البيانات الشخصية بمجرد توقف الغرض الأساسي من جمع البيانات ، ولكن يمكن الاحتفاظ بهذه البيانات إذا كانت مجهولة المصدر وفقًا للشروط المنصوص عليها في اللوائح.
دون الإخلال بالمتطلبات المتعلقة بإتلاف البيانات الشخصية ، يجب على المتحكمين الاحتفاظ بسجل لأنشطة المعالجة لفترة تحددها اللوائح لتكون متاحة لسلطة البيانات عند الطلب ، ويجب أن تتضمن الغرض من المعالجة ، الكيانات التي تم أو سيتم الكشف عن البيانات الشخصية لها ، سواء تم نقل البيانات الشخصية أو سيتم نقلها خارج المملكة العربية السعودية وفترة الاحتفاظ المتوقعة.
جدير بالذكر أنه بعد 23 مارس 2022 ، سيُطلب من المراقبين عقد ندوات لموظفيهم لتعريفهم بمبادئ القانون. وكيفية تطبيقه واللوائح الخاصة به.
عمليات نقل البيانات الشخصية عبر الحدود في قانون حماية البيانات الشخصية
يحظر القانون عمومًا على المتحكمين نقل البيانات الشخصية خارج المملكة العربية السعودية أو الكشف عن البيانات الشخصية إلى كيان خارج المملكة العربية السعودية ، باستثناء الحالات التالية:
- في حال أنه لن يؤثر النقل أو الكشف سلباً على الأمن القومي أو المصالح الحيوية للمملكة.
- يتم توفير ضمانات كافية لحماية البيانات المنقولة أو المفصح عنها ولحماية سريتها وأنها تستوفي الحد الأدنى من المعايير المنصوص عليها في اللائحة.
- يتم تقييد البيانات الشخصية التي يتم تصديرها إلى الحد الأدنى.
- يجب التأكد أنه تم الحصول على موافقة هيئة البيانات فيما يتعلق بالنقل أو الإفصاح المعني.
حقوق أصحاب البيانات في قانون حماية البيانات الشخصية
يمنح القانون حقوقًا معينة لمالكي البيانات فيما يتعلق ببياناتهم الشخصية ، بما في ذلك ما يلي:
الحق في أن تكون: الحق في أن تكون على علم بالتبرير القانوني أو العملي والغرض من جمع بياناتهم الشخصية.
الحق في الوصول: الحق في الحصول على نسخة من بياناتهم الشخصية التي يحتفظ بها المراقب مجانًا (باستثناء الرسوم المطلوبة للحصول على بيانات الائتمان بموجب قانون المعلومات الائتمانية). والجدير بالذكر أن القانون ينص على بعض القيود والاستثناءات لهذا الحق ، بما في ذلك عندما يكون تقديم البيانات الشخصية إلى مالك البيانات ضارًا بالمصلحة العامة أو يضر بالأمن القومي أو العام.
الحق في التصحيح: الحق في تصحيح أو استكمال أو تحديث بياناتهم الشخصية التي يحتفظ بها المراقب المالي ويجب على المراقب إخطار أي طرف تم نقل البيانات الشخصية إليه بالتصحيح.
الحق في التدمير: الحق في طلب إتلاف بياناتهم الشخصية التي يحتفظ بها المراقب المالي ، رهنا بقدرة المتحكم على إخفاء هويته لمنع تحديد مالك البيانات ويخضع لأي تبرير قانوني أو إجراءات قضائية تعني أنه يجب أن يكون المحتجزة
يلتزم المراقب المالي بالرد على الطلبات خلال الفترة الزمنية ووفقًا للشروط التي تحددها اللائحة. وتجدر الإشارة أيضًا إلى أنه قد يتم منح حقوق إضافية لمالك البيانات في اللوائح.
سجل التحكم
تعتزم هيئة البيانات إنشاء سجل وطني للمراقبين. حيث سيُطلب من جميع المتحكمين التسجيل من خلال بوابة متاحة للجمهور وسيُطلب من المتحكمين الذين هم كيانات خاصة أو أفراد عاديون دفع رسوم سنوية بحد أقصى 100,000 ريال سعودي.
فئات البيانات التي ستخضع لمزيد من التنظيم
سيتم تقديم ضوابط وإجراءات إضافية لمعالجة البيانات الصحية وبيانات الائتمان. لن تتعارض هذه الضوابط والإجراءات الإضافية مع متطلبات القانون.
عقوبات مخالفة قانون حماية البيانات الشخصية
تقضي عقوبات انتهاك قانون حماية البيانات الشخصية بالأتي:
- السجن لمدة تصل إلى سنتين و / أو دفع غرامة تصل إلى 3 مليون ريال سعودي لمن يفصح عن بيانات حساسة أو ينشرها بالمخالفة للقانون.
- السجن لمدة تصل إلى سنة واحدة و / أو غرامة تصل إلى مليون ريال سعودي لأي شخص ينتهك الحظر العام على نقل البيانات الشخصية خارج المملكة العربية السعودية.
- إنذار أو غرامة مالية تصل إلى ٥ ملايين ريال سعودي عن أي مخالفة أخرى للقانون ، ويمكن مضاعفة الغرامة إذا تكررت
مميزات وفوائد قانون حماية البيانات الشخصية
كما قلنا، فإن صدور قانون حماية البيانات الشخصية في هذا التوقيت الحساس، حيث تحولت فيه المعلومات الشخصية لسلعة تتهافت عليها المنظمات الحكومية وغير الحكومية حول العالم، من أجل الاستهداف الإعلاني أو حتى فهم طبيعة المستخدمين وسلوكياتهم اليومية والمواقع الجغرافية التي يترددون عليها باستمرار، ما يضع خصوصية الناس على المحك، وحريتهم وقدرتهم على اتخاذ قرارات حرة دون تدخل أي جهات أخرى فيها أمراً صعبا.
نجد أن القانون يعيد دفة التوازن من جديد، ويضرب بيد من حديد على من يتصور أن بإمكانه العبث في البيانات الشخصية للمواطنين السعوديين، سواء داخل المملكة أو خارجها، ومعالجتها أو بيعها أو الاستفادة منها إعلانياً أو بأي صورة أخرى، بما يضرب بمصلحة المملكة التي هي جزء لا يتجزأ من مصلحة مواطنيها.
إن صدور قانون حماية البيانات الشخصية يعتبر من أهم ركائز تحقيق أهداف رؤية ٢٠٣٠ في المملكة العربية السعودية، حيث أنه يعطي للمواطن حماية وضمان، بعدم العبث ببياناته الشخصية أو استخدامها دون الحصول على تصريح مسبق منه، مع احتفاظه بالحق في معرفة المعالجة التي ستتعرض لها هذه البيانات وسببها، مع القدرة على سحب موافقته ومسح بياناته في أي وقت شاء.
كما أن قانون حماية البيانات الشخصية السعودي يعطي اليد العليا لصاحب البيانات ليشعر بالأمان عند طلب مشاركة البيانات مع أي مزود خدمة. حيث أن هذه البيانات لا يمكن أن تستخدم ضدة أو أن يتم بيعها وتسويقها لأي أطراف أخرى، كما أنه سيتم تدمير هذه المعلومات بعد انتهاء الغرض منها، مع وضع عقوبات رادعة على من تسول له نفسه استخدام المعلومات ضد المواطنين في قضايا الابتزاز والتزوير وغيرها من الجرائم.
وبالطبع يتفهم المجتمع السعودي بكافة شرائحه الاستثناءات التي حددها القانون، للحصول على البيانات ومعالجتها في حالة الإجراءات القضائية أو الحالات التي تمس بالأمن الوطني السعودي.
وهكذا نكون استعرضها معكم ماهية قانون حماية البيانات الشخصية السعودي وأهم البنود الخاصة به، وأهميته للدولة والفرد على حد سواء، بالإضافة لاستعراض الغرامات والعقوبات التي ستلاحق من لم يمتثل لتنفيذ القانون.