نظام حماية البيانات الشخصية
نبذة عن نظام حماية البيانات الشخصية
إن رقمنة البيانات لدى أغلب الجهات العامة والخاصة بعد ظهور الإنترنت والأجهزة الذكية أدى لجعل عملية الوصول إلى البيانات وحفظها وتداولها أمرًا في غاية السهولة حيث باتت البيانات الرقمية سلعة باهظة الثمن تطمح الشركات إلى الحصول عليها واستخدامها لأهداف إعلامية وتسويقية، فظهرت حاجة ملحة لوجود تنظيم قانوني يحمي البيانات الشخصية للأفراد، وعليه صدر نظام حماية البيانات الشخصية في المملكة العربية السعودية بالمرسوم الملكي رقم (م/١٩) وتاريخ ١٤٤٣/٠٢/٠٩هـ وقرار مجلس الوزراء رقم (۹۸) وتاريخ ١٤٤٣/٠٢/٠٧هـ، ليساهم في حماية الحقوق المتعلقة بمعالجة البيانات الشخصية ويُنظم مشاركتها بين الجهات، كما أنه يمنع إساءة استخدامها الأمر الذي يؤدي إلى دعم وازدهار الاقتصاد السعودي من خلال بناء الثقة في قطاع البيانات.
وقد عرف النظام البيانات الشخصية على أنها " كل بيان - مهما كان مصدره أو شكله - من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعل التعرف عليه ممكنا بصفة مباشرة أو غير مباشرة، ومن ذلك الاسم ورقم الهوية الشخصية والعناوين، وأرقام التواصل، وأرقام الرخص والسجلات والممتلكات الشخصية وأرقام الحسابات البنكية والبطاقات الائتمانية وصور الفرد الثابتة أو المتحركة وغير ذلك من البيانات ذات الطابع الشخصي"، كما عرف صاحب البيانات الشخصية على أنه التعريف
تم تعدليه ليكون كالآتي : " الفرد الذي تتعلق به البيانات الشخصية.
وتتمحور أهمية النظام بشكل أساسي في كونه يحافظ على خصوصية البيانات أثناء مشاركتها ومعالجتها مساهما في صناعة اقتصاد رقمي قائم على البيانات ويُرسخ احترام الحياة الشخصية، وخلق مجتمع حيوي وأمن، كما يمنع استخدام وسائل الاتصال الشخصية لأهداف تسويقية أو توعوية إلا بعد موافقة صاحبها، ويُستثنى من ذلك المواد التوعوية التي ترسلها الجهات العامة.
أحكام معالجة البيانات الشخصية
عرف النظام المعالجة بأنها: أي عملية تجرى على البيانات الشخصية بأي وسيلة كانت يدوية أو آلية، ومن ذلك عمليات الجمع، والتسجيل، الحفظ والفهرسة والترتيب والتنسيق والتخزين والتعديل والتحديث، والدمج والاسترجاع، والاستعمال، والإفصاح والنقل، والنشر، والمشاركة في البيانات أو الربط البيني، والحجب، والمسح، والإتلاف"، وعرف جهة التحكم بأنها:" أي جهة عامة، أو أي شخصية ذات صفة طبيعية أو اعتبارية خاصة تحدد الغرض من معالجة البيانات الشخصية وكيفية ذلك سواء باشرت معالجة البيانات بواسطتها أم بواسطة جهة المعالجة"، أما جهة المعالجة فهي:" أي جهة عامة، أو أي شخصية ذات صفة طبيعية أو اعتبارية خاصة، تعالج البيانات الشخصية لمصلحة جهة التحكم ونيابة عنها ".
وقد أوضح النظام العلاقة بين جهة التحكم وجهة المعالجة بالأحكام التالية:
على جهة التحكم الالتزام عند اختيارها لجهة المعالجة بأن تختار الجهة التي توفر الضمانات اللازمة لتنفيذ أحكام النظام واللوائح، وعليها التحقق من التزام تلك الجهة بأحكام النظام واللوائح، ولا يخل ذلك بمسؤولياتها تجاه صاحب البيانات الشخصية أو الجهة المختصة بحسب الأحوال، وتحدد اللوائح الأحكام اللازمة لذلك، على أن تشتمل الأحكام المتعلقة بأي تعاقدات لاحقة تقوم بها جهة المعالجة.
يجوز لجهة التحكم تحديد مدد لممارسة حق وصول صاحب البيانات الشخصية إلى بياناته الشخصية المتوافرة لدى جهة التحكم، وفق الضوابط والإجراءات التي تحددها اللوائح، ويجوز كذلك لجهة التحكم تقييد هذا الحق إذا كان ضرورياً لحماية صاحب البيانات الشخصية أو غيره من أي ضرر وفق الأحكام التي تحددها اللوائح، وإذا كانت جهة التحكم جهة عامة، وكان التقييد مطلوباً لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية.
ومن أهم أحكام معالجة البيانات الشخصية عدم جواز معالجة البيانات أو تغيير الغرض من معالجتها إلا بعد موافقة صاحبها، ويجوز لصاحب البيانات الرجوع عن الموافقة على معالجة البيانات، ولا يجوز أن تكون موافقة صاحب البيانات شرط لتقديم الخدمة إلا أنه لا يتطلب موافقة صاحب البيانات في
الأحوال
التالية:
إذا كانت
المعلومات
متوفرة
مسبقاً
لصاحب
البيانات
الشخصية.
إذا كان تنفيذ ذلك غير ممكناً أو يتطلب جهداً غير معقول.
إذا كان حصول جهة التحكم على البيانات قد تم تنفيذاً لنظام.p/>
إذا كانت جهة التحكم جهة عامة وكان جمع البيانات الشخصية لأغراض أمنية أو لاستيفاء متطلبات قضائية، أو لتحقيق مصلحة عامة.
إذا كانت البيانات الشخصية تخضع لأحكام السرية المهنية المقررة نظاماً .
أحكام تطبيق نظام حماية البيانات الشخصية
يطبق النظام على أي عملية معالجة للبيانات تتعلق بالأفراد وتتم في المملكة العربية السعودية بأي وسيلة كانت، ويشمل ذلك البيانات الشخصية المتعلقة بالأفراد المقيمين في المملكة والمتوفى إذا كانت بياناته تؤدي إلى معرفته أو معرفة أحد أفراد اسرته على وجه التحديد، إلا أنه يستثنى من تطبيق النظام الفرد الذي عالج البيانات الشخصية لأغراض لا تتجاوز الاستخدام الشخصي والعائلي، طالما أنه لم ينشرها أو يُفصح عنها للغير.
وقد كفل نظام حماية البيانات الشخصية للأفراد عددًا من الحقوق التي يتمتع بها صاحب البيانات الشخصية، حيث يحق له الاطلاع على البيانات ومعرفة الغرض من جمعها ومعالجتها، كما يستطيع الوصول إلى البيانات والحصول على نسخه منها ومن ثم له طلب تصحيحها وتحديثها وإتلافها بعد انتهاء الغرض من جمعها، ومن حقه تقييد ومعالجة البيانات الشخصية لحالات خاصة وفترة زمنية محددة، كما يحق له الاعتراض على معالجة البيانات الشخصية أو العدول عن الموافقة في الحالات التي يحددها النظام..
أحكام حصول جهة التحكم على البيانات الشخصية
نص النظام على أن الأصل هو عدم جواز حصول جهة التحكم على البيانات إلا من صاحبها مباشرة ولأجل الغرض المحدد، إلا أنه ورد استثناء على ذلك أجاز لجهة التحكم جمع البيانات الشخصية من غير صاحبها، وذلك في حال وافق صاحب البيانات أو كانت البيانات متاحة للعموم، أو إذا كان التقيد بالحظر يلحق ضررا بصاحب البيانات، أو إذا كانت البيانات لن تسجل او تحفظ بصيغة تجعل من الممكن تحديد هوية صاحبها، كما يجب أن يكون الغرض من جمع البيانات الشخصية ذات علاقة مباشرة بجهة التحكم.
وكذلك إذا كانت جهة التحكم عامة عليها عند جمعها للبيانات الشخصية من غير صاحبها مباشرة، أو معالجتها لغرض آخر غير الذي جمعت من أجله أو طلب الإفصاح عنها لتحقيق مصلحة عامة الالتزام بما يلي:
التأكد من أن ذلك بعد ضرورياً لتحقيق مصلحة عامة محددة بشكل واضح
أن تتصل المصلحة العامة بالاختصاصات المقررة لها نظاماً
اتخاذ الوسائل المناسبة للحد من الأضرار التي قد تنتج عن ذلك بما في ذلك وضع
الضوابط الإدارية والتقنية اللازمة لضمان التزام منسوبيها بأحكام المادة الحادية والأربعون من النظام.
تضمين تلك العمليات في سجلات أنشطة معالجة البيانات الشخصية.
جمع ومعالجة الحد الأدنى اللازم من البيانات الشخصية لتحقيق الغرض.
وقد أورد النظام عددًا من العناصر التي يجب على جهة التحكم إحاطة صاحب البيانات بها قبل البدء يجمع البيانات، ومن هذه العناصر الجهات التي سيجري إفصاح البيانات إليها والمسوغ النظامي لجمعها، وكذلك توضيح الغرض من جمعها وما إذا كانت عملية جمعها كلها إلزاميا، وهوية من يجمع البيانات وعنوانه - ما لم يكن جمعها لأغراض أمنية وكذلك الآثار والأخطار المحتملة التي تترتب على عدم إتمام جمع البيانات، وأي عناصر
أخرى يحددها نظام حماية البيانات الشخصية و لوائحه التنفيذية.
الإفصاح عن البيانات الشخصية وإتلافها
على الرغم من أن نظام حماية البيانات الشخصية قد نص على حالات تجيز لجهة التحكم الإفصاح عن البيانات الشخصية، إلا أنه قد نص ايضا على عدد من الأحوال التي يجب أن تلتزم فيها جهة التحكم بعدم الإفصاح متى ما اتصف
الإفصاح بأي مما يأتي:
أنه يمثل خطرا على الأمن، أو يسيء إلى سمعتة المملكة أو يتعارض مع
مصالحها.
أنه يؤثر على علاقات المملكة مع دولة أخرى.
أنه يمنع من كشف جريمة أو يمس حقوق متهم في الحصول على محاكمة عادلة أو يؤثر في سلامة إجراءات جنائية قائمة
أنه يعرض سلامة فرد أو أفراد للخطر.
أنه يترتب عليه انتهاك خصوصية فرد آخر غير صاحب البيانات الشخصية وفق ما تحدده اللوائح
أنه يتعارض مع مصلحة ناقص أو عديم للأهلية.
أنه يخل بالتزامات مهنية مقررة نظاما.
أنه ينطوي عليه إخلال بالتزام أو إجراء أو حكم قضائي.
أنه يكشف عن مصدر سري لمعلومات تحتم المصلحة العامة عدم الكشف عنه.كما ألزم النظام جهة التحكم في حال جرى تصحيح في البيانات الشخصية على جهة التحكم أن تشعر أي جهة أخرى أفصح لها سابقا عن تلك البيانات دون تأخير.
أما فيما يتعلق بإتلاف البيانات الشخصية على جهة التحكم بعد انتهاء الغرض من جمع البيانات الشخصية إتلافها دون تأخير، إلا أنه يجوز لها الاحتفاظ بتلك البيانات بعد انتهاء الغرض من جمعها إذا تم إزالة كل ما يؤدي إلى معرفة صاحبها على وجه التحديد.
إلا أنه يجب على جهة التحكم الاحتفاظ بالبيانات الشخصية حتى بعد انتهاء الغرض من جمعها وذلك في حال توافر مسوّغ نظامي يوجب الاحتفاظ بها لمدة محددة، وعندها يُجرى إتلافها بعد انتهاء هذه المدة أو انتهاء الغرض من جمعها أيهما أطول، وكذلك البيانات الشخصية المتصلة اتصالات وثيقا بقضية منظورة أمام جهة قضائية وكان الاحتفاظ بها مطلوبا لهذا الغرض. وعندها يجرى إتلافها بعد استكمال الإجراءات القضائية الخاصة بالدعوى
التزام جهة التحكم بالمحافظة على البيانات الشخصية
وفقا للائحة التنفيذية لنظام حماية البيانات الشخصية على جهة التحكم اتخاذ التدابير التنظيمية والإدارية والتقنية اللازمة لضمان أمن البيانات الشخصية وخصوصية أصحابها، والالتزام بالآتي:
تطبيق التدابير الأمنية والتقنية الضرورية للحد من المخاطر الأمنية الحدوث تسرب البيانات الشخصية
الالتزام بالضوابط والمعايير والقواعد ذوات الصلة الصادرة عن الهيئة الوطنية للأمن السيبراني، أو أفضل ممارسات ومعايير الأمن السيبراني المتعارف عليها في حال كانت جهة التحكم غير ملزمة بتطبيق الضوابط والمعايير والقواعد الصادرة عن الهيئة الوطنية للأمن السيبراني.
وفي حال وقوع حادثة تسرّب للبيانات الشخصية فا يجب على جهة التحكم إشعار الجهة المختصة خلال مدة لا تتجاوز (۷۲) ساعة من وقت علمها بالحادثة إذا كان من شأن تلك الحادثة الإضرار بالبيانات الشخصية أو صاحب البيانات الشخصية أو كانت تتعارض مع حقوقه أو مصالحه وتكون الجهة المختصة الهيئة السعودية للبيانات والذكاء الاصطناعي).كما حددت اللائحة التنفيذية لنظام حماية البيانات الشخصية في شأن معالجة البيانات الصحية والائتمانية بما يكفل المحافظة على خصوصية أصحابها وحماية حقوقهم كالآتي:التزام جهة التحكم بالمحافظة على البيانات الشخصية
معالجة البيانات الشخصية
على جهة التحكم اتخاذ الإجراءات والوسائل التنظيمية والتقنية والفنية والإدارية الكفيلة بالمحافظة على البيانات الصحية من أي استعمال غير مشروع، أو من إساءة استخدامها، أو استخدامها لغير الغرض الذي جمعت من أجله، أو تسربها، وأي إجراءات أو وسائل تضمن المحافظة على خصوصية أصحابها، وعليها بصفة خاصة اتخاذ
الضوابط والإجراءات الآتية:
تبني وتطبيق الاشتراطات والضوابط الصادرة عن وزارة الصحة والمجلس الصحي السعودي والبنك المركزي السعودي ومجلس الضمان الصحي والجهات الأخرى ذوات العلاقة بتنظيم الخدمات الصحية وخدمات التأمين الصحي، والتي تبين مهام ومسؤوليات منسوبي مقدمي الرعاية الصحية وشركات التأمين الصحي. وشركات إدارة مطالبات التأمين الصحي ومن تتعاقد معهم ممن يباشرون عمليات معالجة البيانات الصحيةتضمين الأحكام الواردة في النظام ولوائحه في السياسات الداخلية لدى جهة التحكم.
توزيع المهام والمسؤوليات بين الموظفين أو العاملين بطريقة تحول دون تداخل الاختصاصات وتشتيت المسؤولية ومراعاة تدرج إمكانية الوصول إلى البيانات بين الموظفين أو العاملين بما يكفل أعلى درجة من المحافظة على خصوصية أصحاب البيانات الشخصية.التزام جهة التحكم بالمحافظة على البيانات الشخصية
معالجة البيانات الائتمانية:
مع عدم الإخلال بأحكام نظام المعلومات الائتمانية، على جهة التحكم اتخاذ الإجراءات والوسائل التنظيمية والتقنية والفنية والإدارية التي تضمن المحافظة على البيانات الائتمانية من أي استعمال غير مشروع، أو إساءة استخدامها، أو الاطلاع عليها من غير المصرح لهم، أو استخدامها لغير الغرض الذي جمعت من أجله، أو تسربها، وعليها اتخاذ الضوابط والإجراءات الآتية:
تبني وتطبيق الاشتراطات والضوابط الصادرة من البنك المركزي السعودي والجهات الأخرى ذوات العلاقة التي تبين مهام ومسؤوليات منسوبي المنشآت التي تقدم خدمات المعلومات الائتمانية ومن تتعاقد معهم من الذين يباشرون عمليات معالجة البيانات الائتمانية.
تلتزم جهة التحكم بالحصول على موافقة صاحب البيانات الشخصية وإشعاره عند وجود أي طلب للإفصاح عن بياناته الائتمانية، وذلك وفق ما ينص عليه نظام المعلومات الائتمانية مع مراعاة ما نصت عليه الفقرة الفرعية (د) من الفقرة (1) من المادة الحادية عشرة من اللائحة
أحكام
استخدام
البيانات
الشخصية في
ارسال مواد
دعائية أو
توعوية
قيد نظام
حماية
البيانات
الشخصية
سلطة جهة
التحكم في
استخدام
البيانات
شخصية لأجل
ارسال مواد
دعائية أو
توعوية،
حيث لا يجوز
لجهة
التحكم
استخدام
وسائل
الاتصال
الشخصية
الخاصة
بصاحب
البيانات
الشخصية
لأجل ارسال
مواد
دعائية أو
توعوية،
وذلك فيما
عدا المواد
التوعوية
التي
ترسلها
الجهات
العامة حيث
يجب أن تؤخذ
موافقة
المتلقي
المستهدف
على ارسال
هذه المواد
إليه وفقا
للشروط
التي
حددتها
لائحة نظام
حماية
البيانات
الشخصية
كالآتي:
أن
تصدر
الموافقة
بإرادة
حرة، وألا
تُستخدم أي
طرق مضللة
في سبيل
الحصول
عليها.
تمكين
المتلقي من
تخصيص
الخيارات
المتعلقة
بالمواد
الدعائية
أو
التوعوية
محل
الموافقة.
أن توثق موافقة المتلقي المستهدف بوسائل تتيح التحقق منها مستقبلاً . كما على مرسل المواد أن يوفر آلية واضحة تمكن المتلقي المستهدف من إبداء رغبته في التوقف عن إرسالها إليه في حال رغبته في ذلك.
إلا أنه وفيما عدا البيانات الحساسة، تجوز معالجة البيانات الشخصية لأغراض تسويقية وذلك في حال جرى جمعها من صاحبها مباشرة وقد عرف النظام البيانات الحساسة بأنها "كل بيان شخصي يتعلق بأصل الفرد العرقي أو أصله الإثني، أو معتقده الديني أو الفكري أو السياسي، وكذلك البيانات الأمنية والجنائية أو بيانات السمات الحيوية التي تحدد الهوية، أو البيانات الوراثية أو البيانات الصحية، والبيانات التي تدل على أن الفرد مجهول الأبوين أو أحدهما.
كما أتاح النظام جمع البيانات الشخصية ومعالجتها لأغراض علمية أو بحثية أو إحصائية دون موافقة صاحبها، وذلك في حال لم تتضمن البيانات الشخصية ما يدل على هوية صاحبها على وجه التحديد
الاحتفاظ بسجلات البيانات الشخصية لدى جهة التحكم
تعد مسألة احتفاظ جهة التحكم بسجلات البيانات الشخصية من المسائل التي عالجها نظام حماية البيانات الشخصية، حيث أجاز النظام لجهة التحكم الاحتفاظ بسجلات البيانات لمدة تحددها اللوائح لأنشطة معالجة البيانات الشخصية بحسب طبيعة النشاط الذي تمارسه جهة التحكم، على أن تشمل السجلات حدًا أدنى من البيانات، من
البيانات الآتية:
- تفاصيل الاتصال الخاصة بجهة التحكم.
- الغرض من معالجة البيانات الشخصية.
- وصف فئات أصحاب البيانات الشخصية.
- أي جهة جرى أو سيجرى إفصاح البيانات الشخصية إليها.
- ما إذا جرى أو )سيجرى ) نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة.
- المدة الزمنية المتوقعة للاحتفاظ بالبيانات الشخصية.
أما ما يخص تصوير أو نسخ الوثائق الرسمية التي تحدد هوية صاحب البيانات الشخصية فلا يجوز تصوير ونسخ الوثائق الرسمية التي تحدد هوية صاحب البيانات الشخصية إلا عندما يكون ذلك تنفيذا لأحكام النظام أو عندما تطلب جهة عامة مختصة تصوير تلك الوثائق أو نسخها، وفق ما تحدده اللوائح.
عقوبات مخالفة أحكام نظام حماية البيانات الشخصية
نص نظام حماية البيانات الشخصية على المخالفات والعقوبات المقررة لكل منها، ففي حال مخالفة أحكام نقل البيانات لخارج المملكة فيعاقب بالسجن مدة لا تزيد على (سنة) وبغرامة لا تزيد على (مليون ريال) ريال أو بإحدى هاتين العقوبتين، ويعاقب بالسجن مدة لا تزيد عن (سنتين) وبغرامة لا تزيد على ثلاثة ملايين ريال أو بإحدى هاتين العقوبتين كل من أفصح عن بيانات حساسة أو نشرها بقصد الإضرار بصاحب البيانات أو بقصد تحقيق منفعة شخصية. <
وتختص النيابة العامة بمهمة التحقيق والادعاء أمام المحكمة المختصة عن المخالفات، كما يجوز للمحكمة المختصة مضاعفة عقوبة الغرامة في حالة العود حتى لو ترتب عليها تجاوز الحد الأقصى لها على ألا تتجاوز ضعف هذا الحد، وفيما لم يرد في شأنه نص خاص تكون الجهة المختصة (سدايا) لجنة تتولى النظر في المخالفات وإيقاع العقوبات سواء بالإنذار أو بغرامة لا تزيد عن خمسة ملايين ريال، عن كل شخصية ذات صفة طبيعية أو اعتبارية خالفت أحكام نظم حماية البيانات الشخصية ولائحته التنفيذية.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.