نظام حماية البيانات الشخصية في المملكة العربية السعودية: نظرة قانونية

أصدر مجلس الوزراء في المملكة العربية السعودية نظام حماية البيانات الشخصية بموجب المرسوم الملكي رقم (م/19) بتاريخ 9/2/1443هـ، وتولت الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) الإشراف على تطبيقه. يهدف النظام إلى تنظيم جمع البيانات الشخصية ومعالجتها وحفظها، وضمان خصوصية الأفراد، وفرض التزامات قانونية على الجهات التي تتعامل مع هذه البيانات.

أولًا: نطاق التطبيق

ينطبق النظام على: يُعد النظام بمثابة إطار لحماية البيانات الشخصية.

• أي جهة عامة أو خاصة تقوم بجمع أو معالجة البيانات الشخصية داخل المملكة.
• الجهات خارج المملكة إذا كانت تعالج بيانات تخص أفرادًا داخل المملكة.

ثانيًا: المبادئ العامة للنظام

وفقًا للنظام، يجب أن تتم معالجة البيانات الشخصية بناءً على المبادئ التالية: وهنا يأتي دور نظام حماية البيانات الشخصية لضمان التقيد بالمبادئ.

• الشرعية: لا يجوز جمع البيانات أو معالجتها إلا لغرض مشروع.
• الشفافية: يجب إعلام صاحب البيانات بكافة التفاصيل المتعلقة بجمع البيانات واستخدامها.
• التحديد: يُشترط تحديد الغرض من جمع البيانات بوضوح.
• التقليل: لا يُجمع إلا الحد الأدنى من البيانات اللازم لتحقيق الغرض المحدد.

ثالثًا: حقوق صاحب البيانات

يمنح النظام الأفراد مجموعة من الحقوق القانونية، منها: ضمن إطار نظام حماية البيانات الشخصية.

• الحق في الوصول إلى بياناتهم الشخصية.
• الحق في تصحيح البيانات غير الدقيقة.
• الحق في طلب حذف البيانات في حالات محددة.
• الحق في سحب الموافقة على المعالجة.
• الحق في الاعتراض على استخدام البيانات لأغراض تسويقية مباشرة.

رابعًا: التزامات الجهة المتحكمة بالبيانات

كل جهة تجمع أو تعالج بيانات شخصية تُعتبر “جهة متحكمة”، وتتحمل المسؤولية القانونية التالية: وذلك ضمن نظام حماية البيانات الشخصية.

• الحصول على موافقة صريحة ومحددة من صاحب البيانات.
• حفظ البيانات في بيئة آمنة ومحمية.
• تعيين مسؤول لحماية البيانات في الجهات التي تنطبق عليها شروط التعيين.
• إعداد سياسات وإجراءات داخلية تتوافق مع متطلبات النظام.
• الإبلاغ عن أي حادث أمني يؤدي إلى تسريب أو خرق للبيانات خلال مدة لا تتجاوز 72 ساعة.
• عدم نقل البيانات الشخصية خارج المملكة إلا وفق ضوابط وشروط محددة من الهيئة.

خامسًا: العقوبات القانونية

يحتوي النظام على مواد صارمة تتعلق بالعقوبات: وتعد جزءًا من نظام حماية البيانات الشخصية.

1. 

الغرامات المالية

• جمع أو معالجة البيانات دون موافقة: غرامة تصل إلى 3 ملايين ريال سعودي.
• عدم الإبلاغ عن خرق أمني: غرامة تصل إلى 5 ملايين ريال سعودي.
• نقل البيانات خارج المملكة دون إذن: غرامة تصل إلى 1 مليون ريال سعودي.

2. 

العقوبات الجنائية

في حال ارتكاب المخالفات عمدًا بهدف الإضرار أو تحقيق مصلحة غير مشروعة: كل هذا مُعَرَّف في إطار نظام حماية البيانات الشخصية.

• السجن لمدة تصل إلى سنتين.
• أو غرامة تصل إلى 3 ملايين ريال سعودي.
• أو كلتا العقوبتين معًا.

3. 

عقوبات إضافية

• نشر اسم الجهة المخالفة في وسائل الإعلام.
• تعليق أو سحب الترخيص.
• مصادرة الأجهزة والوسائل التي استخدمت في ارتكاب المخالفة.

سادسًا: الفترة الانتقالية والتنفيذ

• دخل النظام حيز التنفيذ في مارس 2022.
• تم منح فترة انتقالية تنتهي في 14 سبتمبر 2024.
• بعد هذا التاريخ، يُعد عدم الامتثال مخالفة صريحة تعرض الجهة للعقوبات.

سابعًا: التوصيات القانونية للامتثال

ينبغي على المنشآت المبادرة بما يلي: لضمان التوافق مع نظام حماية البيانات الشخصية.

• مراجعة سياساتها الداخلية وضمان توافقها مع النظام.
• إعداد وثائق الموافقة القانونية وحقوق أصحاب البيانات.
• تعيين مستشار قانوني أو مسؤول حماية بيانات.
• مراجعة عقود الشركاء والمزودين لضمان الامتثال المشترك.

خاتمة:

يُعد نظام حماية البيانات الشخصية نقلة نوعية في البيئة القانونية الرقمية في المملكة، ويضع إطارًا واضحًا للمساءلة والشفافية وحماية الحقوق. الامتثال للنظام ليس فقط ضرورة قانونية، بل يعزز الثقة بين المنشآت والعملاء ويقي من المخاطر القانونية والمالية.

في شركة سايبر سبيس نساعد الشركات على الامتثال للضوابط. كن على بينة واحجز موعد معنا لتجنب أي تسريب أو عدم انضباط