تحديثات لقانون حماية البيانات الشخصية

وافق مجلس الوزراء السعودي على سلسلة من التغييرات على قانون حماية البيانات الشخصية للمملكة (PDPL) الذي صدر في عام 2021. وقد تم تنفيذ التعديلات الجديدة بموجب المرسوم الملكي رقم M147 بتاريخ 5/9/1444 هـ (الموافق 27). مارس 2023) ، والذي يؤجل أيضًا تاريخ نفاذ PDPL إلى سبتمبر 2023.

تأخذ PDPL المحدثة في الاعتبار بعض التعديلات التي تم اقتراحها في ورقة استشارية صادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) في نوفمبر 2022 ، على الرغم من عدم تنفيذ جميع هذه المقترحات. تقدم التعديلات عدة مفاهيم من شأنها مواءمة PDPL بشكل وثيق مع المعايير الدولية مثل لائحة حماية البيانات العامة للاتحاد الأوروبي (GDPR).

ما هي التغييرات الرئيسية على PDPL؟

ومن أهم التغييرات التي أدخلها المرسوم الجديد ما يلي:

 آليات نقل البيانات الأكثر ملاءمة للأعمال: تم تعديل الحظر الصارم على نقل البيانات الشخصية خارج المملكة العربية السعودية ، ولم تعد عمليات النقل الدولية تتطلب موافقة استثنائية من SDAIA. يُسمح الآن بشكل عام بالتحويلات الدولية إذا كانت تنفذ الالتزامات بموجب الاتفاقيات الدولية التي تكون المملكة العربية السعودية طرفًا فيها ، إذا كانت تخدم المصالح الوطنية ، إذا كانت تنفذ أي التزامات يكون موضوع البيانات طرفًا فيها ، أو أي دولة أخرى. الأغراض التي تحددها اللائحة التنفيذية بمجرد إصدارها. سيحتاج المتحكمون إلى غرض محدد لنقل البيانات أو الكشف عنها خارج المملكة ويبدو أن عمليات النقل مقصورة على المناطق التي تحددها SDAIA على أنها تتمتع بمستوى مناسب من الحماية للبيانات الشخصية ، والتي سيتم توضيحها بشكل أكبر بمجرد إصدار معايير التقييم لهذا الغرض. ومع ذلك ، يجب أن تحدد اللوائح التنفيذية المعلقة التي سيتم إصدارها بموجب القانون الحالات التي يجوز فيها إعفاء المراقبين من هذا الشرط.
 أسس جديدة للمعالجة: قد يعتمد المتحكمون الآن على "المصالح المشروعة" كأساس قانوني لمعالجة البيانات الشخصية والكشف عنها ، على الرغم من أن هذا لا ينطبق على البيانات الشخصية الحساسة ، أو المعالجة التي تتعارض مع الحقوق الممنوحة بموجب PDPL ولائحته التنفيذية . سيجعل هذا التغيير أسس المعالجة أكثر اتساقًا مع اللائحة العامة لحماية البيانات والتشريعات المماثلة.
 انخفاض عدد الجرائم الجنائية: تمت إزالة العقوبات الجنائية لانتهاك قيود نقل البيانات في PDPL. لا يزال هناك جريمة جنائية واحدة فقط فيما يتعلق بالكشف عن البيانات الشخصية الحساسة أو نشرها في انتهاك للقانون. وبخلاف ذلك ، ستكون العقوبات المفروضة على انتهاك قانون حماية البيانات الشخصية بمثابة تحذير أو غرامة تصل إلى 5،000،000 ريال سعودي (1،333،000 دولار أمريكي) والتي يمكن مضاعفتها في حالة تكرار المخالفات.
 إزالة شرط التسجيل لوحدات التحكم: لم يعد القانون المعدل يشير إلى إنشاء بوابة إلكترونية أو أي مطلب يلزم المتحكم بتسجيل أنشطة المعالجة الخاصة به. ومع ذلك ، فقد تم التصريح لـ SDAIA بإصدار متطلبات ممارسة الأنشطة المتعلقة بحماية البيانات ، بالتعاون مع أي سلطات أخرى ذات صلة. تتمتع SDAIA أيضًا بتفويض لمراجعي التراخيص وكيانات الاعتماد وإنشاء سجل وطني إذا قررت أنها ستكون أداة وآلية مناسبة لرصد امتثال المراقبين.
 تم تخفيف الجدول الزمني للإشعار بخرق البيانات: لم يعد من الضروري تقديم إخطارات خرق البيانات الشخصية لـ SDAIA "على الفور". من المتوقع مرة أخرى إضافة مزيد من التفاصيل في اللوائح المعلقة ، والتي يمكن أن تشمل مواعيد نهائية محددة لإخطار انتهاكات البيانات أو عتبات الأهمية النسبية. تمت إضافة مطلب جديد للمراقبين لإخطار موضوعات البيانات حيث قد يتسبب الخرق في تلف البيانات الشخصية أو ينتهك حقوق موضوع البيانات أو اهتماماته.

ما هي الجداول الزمنية للامتثال؟

من المقرر الآن أن تدخل PDPL حيز التنفيذ بعد 720 يومًا من نشر القانون الأصلي في الجريدة الرسمية ، مما يعني أنه يجب أن يكون ساريًا رسميًا اعتبارًا من 14 سبتمبر 2023. يجب إصدار اللوائح التنفيذية المكملة لقانون PDPL قبل هذا التاريخ.

توفر مقدمة PDPL لوحدات التحكم فترة سماح مدتها عام واحد للامتثال لقانون PDPL من تاريخ دخولها حيز التنفيذ. وفقًا لذلك ، سيكون أمام المؤسسات الواقعة في نطاق القانون حتى 14 سبتمبر 2024 لتعديل وضعها وفقًا لأحكام PDPL.
ماذا يجب أن تفعل الشركات بعد ذلك؟

بينما يُتوقع تقديم مزيد من التفاصيل في اللوائح (على سبيل المثال ، شروط الموافقة ، والجداول الزمنية للامتثال لطلبات الوصول إلى موضوع البيانات ، وإجراءات الإخطار بالخروقات وآليات تصدير البيانات الشخصية) ، هناك خطوات يمكن للمنظمات اتخاذها في وقت مبكر للتحضير للامتثال:

 يجب أن تبدأ جميع الشركات العاملة في المملكة العربية السعودية أو تعالج أي بيانات للمقيمين السعوديين في تقييم أنشطة معالجة البيانات الخاصة بهم ، بما في ذلك أي عمليات نقل بيانات دولية ، بهدف فهم التأثير على عملياتهم وأي تغييرات ستكون ضرورية للتوافق مع PDPL.
 ستحتاج السياسات والعمليات إلى التطوير أو التعديل ، ومراجعة العقود أو تحديثها لمراعاة الحقوق والالتزامات الجديدة.
 سيُطلب من المتحكمين تدريب الموظفين على شروط ومبادئ PDPL وسيحتاجون إلى وقت لتضمين حماية البيانات في ثقافة مؤسساتهم.

لقد عملنا مع العديد من المنظمات لمساعدتهم على فهم وتنفيذ العمليات والسياسات المطلوبة للامتثال لقوانين حماية البيانات في جميع أنحاء العالم. كان فريقنا من المتخصصين في خصوصية البيانات والأمن السيبراني في الشرق الأوسط يراقب عن كثب تطور PDPL والتشريعات الإقليمية الأخرى.