تعمل المملكة العربية السعودية على إصدار القوانين والتشريعات التي من ضمنها قانون حماية البيانات الشخصية، والتي من خلالها تحافظ على حقوق المواطنين من حماية البيانات الشخصية بشكل قانوني من التعرض للانتهاك، حيث يحق لكل مواطن في التعرف بكل ما يتعلق بطريقة جمع ومعالجة البيانات الشخصية علاوة على إمكانية الوصول إليها والقيام بتصحيحها، كما اعطتهم الحق في الاعتراض على طرق المعالجة المستخدمة، زيادة على إمكانية تخلص صاحب البيانات من تلك المعلومات أو حذفها، وسنتعرف على كافة التفاصيل حول ذلك الموضوع عبر مقالنا في موقع ركن القانون.
قانون حماية البيانات الشخصية
يتم استخدام البيانات الشخصية في الكثير من المعاملات سواء داخل أو خارج المملكة العربية السعودية، وبالطبع كلما زاد الانتشار زادت إمكانية حدوث الضرر، لذلك قامت المملكة العربية السعودية بإصدار قانون حماية البيانات الشخصية أو ما يُعرف بال Personal Data Protection Law واختصاره PDPL.
حيث يعمل هذا القانون على تنظيم العمليات المتنوعة من جمع البيانات وتخزينها ثم المعالجة والمشاركة للبيانات الشخصية سواء داخل أو خارج المملكة العربية السعودية، والهدف من إنشاء قانون حماية البيانات الشخصية هو ضمان وحماية خصوصية بيانات الأفراد وتنظيم عمليات تبادل البيانات عن طريق عمليات التنظيم المختلفة في جمع ومعالجة والاحتفاظ بتلك البيانات عن طريق العمليات التخزينية المٌتفق عليها.
بهذا لن تستطيع الشركات أن تقوم بمعالجة البيانات الشخصية المُتحصل عليها في حالة أنها لا تمتلك أي أساس قانوني للقيام بتلك العملية، ولكي تتمكن الشركات من الحصول على البيانات الشخصية من الأفراد ومعالجتها يجب على أصحاب البيانات الموافقة على ذلك أولًا، ومن حق الفرد معرفة تفاصيل معالجة الشركة للبيانات الشخصية والهدف من الحصول على تلك البيانات بشكل خاص، وهذا ما تقوم الشركة باطلاعه عليها، وفي حالة أصبحت البيانات المُتحصل عليها ليس لها معنى أو لم تعد ضرورية، فالشركة في تلك الحالة ملزمة بأن تقوم بتدمير وحذف تلك البيانات.
نظام وقانون حماية البيانات الشخصية الجديد
صدر قانون حماية البيانات الشخصية في السادس عشر من سبتمبر لعام 2021 ميلاديًا، وذلك بعدما تمت الموافقة عليه من خلال مجلس الوزراء بالسعودية، ويحتوي هذا النظام على المعايير التي تتم بها معالجة البيانات الشخصية وماهية الالتزامات الواقعة على عاتق الجهات المعنية عندما تقوم بمعالجة تلك البيانات.
كما يوضح القانون العقوبات المفروضة على الكيانات المختلفة سواء الشركات أو غيرها بداخل السعودية في حالة عدم تطبيقها لقانون حماية البيانات الشخصية، وتم العمل بذلك النظام في تاريخ الثالث والعشرين من مارس لعام 2022 ميلاديًا حتى وقتنا الحالي، والهيئة المشرفة على تنفيذ هذا النظام خلال أول عامين هي الهيئة السعودية للبيانات والذكاء الاصطناعي بالمملكة العربية السعودية، ثم تولى الإشراف بعد مرور العامين مكتب إدارة البيانات الوطنية.
ثم قامت الهيئة السعودية للبيانات والذكاء الاصطناعي برفع طلب حتى يؤجل العمل بهذا النظام، وهذا ما حدث بالفعل وأصبح التاريخ النهائي من أجل دخول نظام حماية البيانات الشخصية لحيز التنفيذ هو الثامن عشر من مارس لعام 2023 ميلاديًا.
النقاط المهمة في قانون حماية البيانات الشخصية
هناك مجموعة من النقاط التي يهتم بها القانون، وذلك لضمان سُبل الحماية والحفاظ على حقوق مواطني المملكة، والتي منها التالي:
- جهة التحكم وهي القائمة بتحصيل البيانات والتي تعمل على تحديد الغرض من عملية المعالجة أو إذا كانت جهة التحكم هي الشركة، عليها أن تقوم بتحديد وتوثيق إجراءات الخصوصية الخاصة بهم علاوة على السياسة المُتبعة، ثم يتم اعتمادها من قِبل المسؤول الأول بالجهة بعد ذلك تنشر على جميع الأطراف المعنية بعملية التطبيق.
- من اللازم إعداد إِشعار يتضمن به إجراءات الخصوصية والسياسات التي تم التحدث عنها في النقطة السابقة زيادة على الغرض من جمع ومعالجة البيانات الشخصية المطلوبة بشكل واضح ومحدد.
- من أشكال البيانات الشخصية التالي: (الاسم ورقم الهوية الوطنية والعنوان وأرقام الهاتف – الممتلكات الشخصية وأرقام الرخص المتحصل عليها والسجلات – أرقام كلا من البطاقات الائتمانية والحسابات الشخصية – صور للمواطن المتحرك منها والثابت – أي بيانات ذات طابع شخصي).
- يشترط أن يحدد لصاحب البيانات جميع الخيارات بالإضافة الحصول منه على الموافقة سواء الضمني منها أو الصريح بكل ما يتعلق بعملية التنظيم من جمع للبيانات ومعالجة وطريقة الاستخدام أو الإفصاح عن تلك البيانات لأي جهة.
- جمع البيانات يجب أن يقتصر على الأقل على الحد الأدنى من البيانات الشخصية التي يمكن عن طريقها الوصول إلى الغرض في إِشعار الخصوصية.
- يتم تقييد عملية المعالجة بناءً على الأغراض التي تم تحديدها في إِشعار الخصوصية، والتي بناءً عليها قام صاحب البيانات الشخصية بإتمام عملية الموافقة، والتي تمكن جهة التحكم في الاحتفاظ بتلك البيانات بناء على تحقيق الغرض منها والمتفق والمتوافق عليه زيادة على المطروح باللوائح والأنظمة والسياسات بالمملكة العربية السعودية، ويتم إتلاف تلك البيانات بطريقة آمنة حتى لا يحدث أي خلل وبالتالي تمنع التسريبات لتلك البيانات أو أنها تفقد أو يتم حدوث عمليات الاختلاس أو تستخدم بطريقة غير صحيحة وسيئة.
- يجب أن تتوافر كل السبل والطرق الممكنة لوصول صاحب البيانات الشخصية لتلك البيانات وسهولة عملية المعالجة لها والتعديل والتحديث إذا لزم الأمر.
- يتضمن قانون حماية البيانات الشخصية تقييد الإفصاح عن البيانات لأي طرف خارجي بمعنى أنها لا تتم عملية انتقال البيانات من مكان لمكان لإتمام عملية المعالجة.
- منع البيانات الشخصية من عمليات التسريب بمعنى توفير كل طرق الحماية للحفاظ عليها، ويتضمن ذلك منع عمليات النشر للبيانات عبر الوسائل التالية: المقروءة أو المسموعة – المرئية.
- علاوة على منع الوصول إلى البيانات بطريقة غير مصرحة أو تعرض البيانات للتلف أو الاختلاس أو الفقدان أو الاستخدام بطريقة خاطئة.
- تتم عملية حفظ البيانات بصورة كاملة على أن تكون على علاقة مباشرة بالأغراض التي تم تحديدها والموافقة عليها في إشعار الخصوصية المُرسل.
- من اللازم أن تتم عملية مراقبة الشركات وغيرها ورؤية مدى تطبيقها للقانون والإجراءات المتفق عليها، وقدرتها على حل النزعات والشكاوى التي تتعلق بالخصوصية.
حقوق أصحاب البيانات في قانون حماية البيانات الشخصية
توجد مجموعة من الحقوق التي من خلالها يتم المحافظة على البيانات الشخصية من الانتشار أو تعرض صاحبها للضرر، ومن تلك الحقوق التالي:
- يجب إعلام صاحب البيانات الشخصية بالغرض من الحصول على تلك البيانات ومعالجتها، بالإضافة إلى الطريقة المستخدمة في عمليات الجمع والحفظ، وما هي الجهات التي سيتم الإفصاح لها بالبيانات.
- من حق المواطن أن يتمكن من الوصول إلى البيانات الشخصية التابعة له، كما أنه يستطيع أن يحصل على نسخة منها بشكل واضح دون مقابل مادي على أن تكون تلك البيانات مطابقة لمضمون السجل.
- يمكن لأصحاب البيانات أن يقوموا بتصحيح البيانات في حالة أنها كانت غير صحيحة أو غير دقيقة منعًا لحدوث المشكلات.
- في حال جمع البيانات بطريقة غير قانونية (نظامية) أو لم يعد هو بحاجة لخدمة الجهة الأخرى أن يقوم بإتلاف البيانات التابعة له.
- يستطيع صاحب البيانات أن يقيد عملية المعالجة لحالة خاصة ولفترة من الزمن محددة ومعلومة.
- يمكن أن يقوم بالاعتراض أو يرجع في رأيه في عملية المعالجة لبياناته الشخصية.
الأسئلة الشائعة
ما الذي يحدث في حالة تجاهل قانون حماية البيانات الشخصية بالسعودية؟
في حالة تجاهل القانون وعدم تطبيقه أو انتهاك أي مادة من المواد النظام يحدث التالي:
- العقاب بالسجن لمدة قد تصل إلى عامين أو يعاقب بحد أقصى أن يقوم بدفع حوالي ثلاثة ملايين ريال سعودي.
- المعاقبة سواء بدفع غرامة مالية تقدر بقيمة خمسة ملايين ريال سعودي أو الإنذار في حالة المخالفة، وقد يتم تضاعف العقوبة في حالة التكرار.
- المعاقبة بمدة سنة أو بغرامة مالية مقدارها مليون ريال سعودي أو كلاهما في حالة نقل البيانات الشخصية من خلال جهة التحكم إلى خارج المملكة العربية السعودية إلا بشرط أن يكون النقل لخدمة مصلحة المملكة أو لأي هدف محدد من قِبل اللوائح.
إلى ماذا يشير مصطلح حماية البيانات الشخصية؟
يشير إلى الالتزامات التي تتحملها جهة التحكم وفقًا لقانون من أجل الحفاظ على بيانات المواطنين من التعرض لسوء الاستخدام أو الانتشار أو الاختلاس وخلافه.
ماذا تتضمن البيانات الشخصية؟
تتضمن البيانات الشخصية كل ما يخص الشخص من اسم ورقم هوية وأرقام السجلات والرقم الائتماني والحسابات البنكية وصور له سواء المتحرك منها أو الثابت أو أرقام التواصل.
يعمل قانون حماية البيانات الشخصية الجديد على حماية مواطني المملكة العربية السعودية من التعرض للمشكلات المختلفة، والتي منها الاختلاس أو انتحال الشخصية أو الاستخدام الخاطئ للبيانات، أي أن ذلك القانون هو بمثابة طريقة للحفاظ على الحقوق.