نظام حماية البيانات الشخصية السعودي الصادر بالمرسوم الملكي رقم (م/19) تاريخ 1443هـ

نظراً لأهمية الحفاظ على البيانات الشخصية من أي اعتداء أو اختراق أو مساس بها ,وكذا الاحتفاظ بها واتلافها من قبل جهة التحكم المختصة بجمع تلك البيانات ,فقد أصدر المشرع السعودي نظاماً متخصصاً لحماية تلك البيانات, بالمرسوم الملكي رقم (م/19) تاريخ 1443ه , والذي تناول فيه على وجه التفصيل أحكام حماية البيانات الشخصية من خلال تعريف تلك البيانات ,ونطاق تطبيق النظام، وعدم إخلال أحكام النظام مع أحكام أنظمة أخرى، وحقوق صاحب البيانات الشخصية، ومعالجة البيانات الشخصية أو تغيير الغرض من معالجتها، واختيار جهة المعالجة، وتحديد مدد ممارسة حق الوصول إلى البيانات، وجمع البيانات، محتوى البيانات، إتلاف البيانات، اعتماد سياسة لخصوصية البيانات، وسائل وعناصر جمع البيانات، الإفصاح عن البيانات، تعديل وتحديث البيانات، الاحتفاظ بالبيانات، المحافظة على البيانات، تسرب أو تلف البيانات، تقويم آثار معالجة البيانات، معالجة البيانات الصحية والائتمانية، وسائل الاتصال الشخصية، تصوير الوثائق الرسمية، نقل البيانات، جهة إشراف تطبيق النظام، سجلات البيانات، إنشاء بوابة إلكترونية، الشكاوى، المخالفات والعقوبات، لجنة نظر المخالفات، ضبط المخالفات، المحافظة على أسرار البيانات، إصدار اللوائح، النشر والنفاذ , وسنتناول تلك التفاصيل في المحاور والمرتكزات التالية :

أولاً: تعريف البيانات الشخصية

يتساءل الكثير من ذوي المصلحة والباحثين حول المقصود بالبيانات الشخصية التي أوجب المشرع حمايتها وعدم المساس بها , وقد عرفها المشرع السعودي في مادته الأولى فقرة (4) بالقول : بأنها كل بيان -مهما كان مصدره أو شكله- من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعل التعرف عليه ممكنًا بصفة مباشرة أو غير مباشرة، ومن ذلك: الاسم، ورقم الهوية الشخصية، والعناوين، وأرقام التواصل، وأرقام الرُّخص والسجلات والممتلكات الشخصية، وأرقام الحسابات البنكية والبطاقات الائتمانية، وصور الفرد الثابتة أو المتحركة، وغير ذلك من البيانات ذات الطابع الشخصي.

قانون حماية البيانات الشخصية — البيانات الشخصية

ثانياً: حقوق أصحاب البيانات الشخصية

أورد نظام البيانات الشخصية السعودي في مادته الرابعة مجموعة من الحقوق في إطار الحفاظ على بياناته الشخصية , كالاطلاع عليها وتعديلها وغيرها ,وهو ما سنبينه في النقاط التالية :

الحق في العلم بالبيانات الشخصية

ويشمل ذلك إحاطة صاحب البيانات علماً بالمسوغ النظامي أو العملي المعتبر لجمع بياناته الشخصية، والغرض من ذلك، وألاَّ تعالج بياناته لاحقاً بصورة تتنافى مع الغرض من جمعها أو في غير الأحوال المنصوص عليها في المادة (العاشرة) من النظام.

الحق في وصوله إلى بياناته الشخصية

منح المشرع السعودي لصاحب البيانات الحق في الوصول إلى بياناته الشخصية المتوافرة لدى جهة التحكم، ويشمل ذلك الاطلاع عليها، والحصول على نسخة منها بصيغة واضحة ومطابقة لمضمون السجلات وبلا مقابل مادي -وفقاً لما تحدده اللوائح- وذلك دون إخلال بما يقضي به نظام المعلومات الائتمانية فيما يخص المقابل المالي، ودون إخلال بما تقضي به المادة (التاسعة) من النظام.

الحق في طلب تصحيح وإتلاف بياناته الشخصية

أجاز المشرع السعودي لكل شخص من أصحاب البيانات الحق في طلب تصحيح البيانات المتوافرة لدى جهة التحكم، أو إتمامها، أو تحديثها , كما منحه الحق في طلب إتلاف بياناته الشخصية المتوافرة لدى جهة التحكم مما انتهت الحاجة إليه منها، وذلك دون إخلال بما تقضي به المادة (الثامنة عشرة) من النظام.

ثالثاً: الحالات المتاحة وغير المتاحة لكشف البيانات

أورد المشرع السعودي في مادتيه ( 15-16) الحالات التي يجوز لجهة التحكم بالبيانات الإفصاح عنها والحالات التي لا يجوز الافصاح عنها ,وذلك على النحو التالي :

حالات البيانات التي يجوز الإفصاح عنها

لم يجز المشرع لجهة التحكم الإفصاح عن البيانات الشخصية إلاَّ في الأحوال الآتية:

إذا وافق صاحب البيانات الشخصية على الإفصاح وفقاً لأحكام النظام.
إذا كانت البيانات الشخصية قد جرى جمعها من مصدر متاح للعموم.
إذا كانت الجهة التي تطلب الإفصاح جهة عامة، وذلك لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء مُتطلبات قضائية وفق الأحكام التي تحددها اللوائح.
إذا كان الإفصاح ضروريًّا لحماية الصحة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك.
إذا كان الإفصاح سيقتصر على معالجتها لاحقاً بطريقة لا تؤدي إلى معرفة هوية صاحب البيانات الشخصية أو أي فرد آخر على وجه التحديد. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك.
حلات البيانات التي لا يجوز الإفصاح عنها

لم يترك المشرع السعودي أمر الإفصاح مطلقاً لجهة التحكم بالبيانات , بل وضع عليها قيوداً في حالات معينة إذا ما ترتب على الإفصاح عنها إضراراً بالغير ,أو إضراراً بالأمن الوطني للملكة ,وذلك في الأحوال التالية :

أنه يمثل خطراً على الأمن، أو يسيء إلى سمعة المملكة، أو يتعارض مع مصالحها.
أنه يؤثر على علاقات المملكة مع دولة أخرى.
أنه يمنع من كشف جريمة أو يمس حقوق متهم في الحصول على محاكمة عادلة أو يؤثر في سلامة إجراءات جنائية قائمة.
أنه يعرض سلامة فرد أو أفراد للخطر.
أنه يترتب عليه انتهاك خصوصية فرد آخر غير صاحب البيانات الشخصية وفق ما تحدده اللوائح.
أنه يتعارض مع مصلحة ناقص أو عديم للأهلية.
أنه يخل بالتزامات مهنية مقررة نظاماً.
أنه ينطوي عليه إخلال بالتزام أو إجراء أو حكم قضائي.
أنه يكشف عن مصدر سري لمعلومات تحتم المصلحة العامة عدم الكشف عنه.

رابعاً: متى ينتهي الاحتفاظ بالبيانات ؟

يتساءل الكثير حول المدة المتاحة للاحتفاظ بالبيانات الشخصي , إذ أوجبت المادة (18) من نظام البيانات الشخصية السعودي على جهة التحكم إتلاف البيانات الشخصية فور انتهاء الغرض من جمعها. ومع ذلك، يجوز لها الاحتفاظ بتلك البيانات بعد انتهاء الغرض من جمعها إذا تمت إزالة كل ما يؤدي إلى معرفة صاحبها على وجه التحديد وفق الضوابط التي تحددها اللوائح ,وعلى جهة التحكم الاحتفاظ بالبيانات الشخصية حتى بعد انتهاء الغرض من جمعها في الحالتين الآتيتين:

إذا توافر مسوغ نظامي يوجب الاحتفاظ بها مدة مُحددة، وفي هذه الحالة يُجرى إتلافها بعد انتهاء هذه المدة أو انتهاء الغرض من جمعها، أيهما أطول.
إذا كانت البيانات الشخصية متصلة اتصالاً وثيقاً بقضية منظورة أمام جهة قضائية وكان الاحتفاظ بها مطلوباً لهذا الغرض، وفي هذه الحالة يُجرى إتلافها بعد استكمال الإجراءات القضائية الخاصة بالقضية.

خامساً: هل يجوز جمع البيانات للأغراض العلمية دون موافقة صاحبها؟

يثور تساؤل لدى الكثير من الباحثين حول جواز الاستفادة من بيانات الغير من جهة التحكم دون موافقة أصحاب البيانات , وقد أجاب على ذلك نظام البيانات الشخصية في مادته رقم (27) بجواز جمع البيانات الشخصية أو مُعالجتها لأغراض علمية أو بحثية أو إحصائية دون موافقة صاحبها، في الأحوال الآتية:

إذا لم تتضمن البيانات الشخصية ما يدل على هوية صاحبها على وجه التحديد.
إذا كان سَيُجرى إتلاف ما يدل على هوية صاحب البيانات الشخصية على وجه التحديد خلال عملية مُعالجتها وقبل الإفصاح عنها لأي جهة أُخرى ولم تكن تلك البيانات بيانات حساسة.
إذا كان جمع البيانات الشخصية أو معالجتها لهذه الأغراض يقتضيها نظام آخر أو تنفيذاً لاتفاق سابق يكون صاحبها طرفاً فيه.
وتحدد اللوائح الضوابط اللازمة لما ورد في هذه المادة.

سادساً: هل يجوز تصوير بيانات هوية الأشخاص الموجودة في أنظمة التحكم دون علم صاحبها ؟

تدور مخاوف لدى الكثير من أصحاب البيانات الموجودة في أنظمة التحكم الحكومية ,وهل يجوز لجهة التحكم تصوير وثائقهم وهوياتهم ومنحها لأي جهة عامة أو خاصة , وهو ما أجاب علية نظام حماية البيانات الشخصية في مادته (28) , إذ أكد أنه لا يجوز تصوير الوثائق الرسمية التي تحدد هوية صاحب البيانات الشخصية أو نسخها، إلاَّ عندما يكون ذلك تنفيذاً لأحكام نظام، أو عندما تطلب جهة عامة مختصة تصوير تلك الوثائق أو نسخها وفق ما تحدده اللوائح.

سابعاً: ماهي عقوبات تسريب البيانات وعدم الاحتفاظ بها ؟

لم يترك المشرع السعودي أمر حماية البيانات الشخصية مطلقا دون وضع ضوابط وعقوبات ,وقد قرر جملة من العقوبات في مادته (28) ,مع عدم الإخلال بأي عقوبة أشد منصوص عليها في نظام آخر، تكون عقوبة ارتكاب المخالفات الآتية وفقاً لما دون أمامها:

أ- كل من أفصح عن بيانات حساسة أو نشرها مخالفًا أحكام النظام: يعاقب بالسجن مدة لا تزيد على (سنتين) وبغرامة لا تزيد على (ثلاثة ملايين) ريال، أو بإحدى هاتين العقوبتين؛ إذا كان ذلك بقصد الإضرار بصاحب البيانات أو بقصد تحقيق منفعة شخصية.

ب- كل من خالف أحكام المادة (التاسعة والعشرين) من النظام: يعاقب بالسجن مدة لا تزيد على (سنة) وبغرامة لا تزيد على (مليون) ريال، أو بإحدى هاتين العقوبتين.

وتختص النيابة العامة بمهمة التحقيق، والادعاء أمام المحكمة المختصة عن المخالفات المنصوص عليها في هذه المادة ,وتتولى المحكمة المختصة النظر في الدعاوى الناشئة من تطبيق هذه المادة وإيقاع العقوبات المقررة ,ويجوز للمحكمة المختصة مضاعفة عقوبة الغرامة في حالة العود حتى لو ترتب عليها تجاوز الحد الأقصى لها على ألا تتجاوز ضعف هذا الحد.

وفي ختام مقالنا ينبغي الإشادة بما نظمه المشرع السعودي في حماية البيانات الشخصية وعدم الإفصاح عنها وحدد الحالات التي يجوز الافصاح عنها لما فيه مصلحة الناس ومصلحة الوطن من خلال الحفاظ على الأمن الوطني , وقد حدد العقوبات الرادعة لكل من سرب أي بيانات شخصية فيها إضرار بالآخرين .