مقدمة:

في ظل التطور التكنولوجي السريع والتحول الرقمي الذي يشهده العالم، أصبحت البيانات الشخصية عنصراً قابلاً للتسخير في شتى المجالات الاقتصادية والاجتماعية. ومع تزايد استخدام الإنترنت ووسائل التواصل الاجتماعي، برزت الحاجة الملحة لحماية البيانات الشخصية لضمان خصوصية الأفراد وتأمين معلوماتهم الحيوية.

استجابةً لهذا التحدي، أصدرت المملكة العربية السعودية نظام حماية البيانات الشخصية بموجب المرسوم الملكي رقم (م/19) بتاريخ 9/2/1443 هـ، ليكون خطوة استراتيجية تعكس التزام الدولة بحماية حقوق الأفراد وضمان مستويات عالية من الأمان السيبراني.

يهدف هذا النظام إلى تنظيم كيفية جمع واستخدام هذه البيانات، بالإضافة إلى تأمين حقوق الأفراد في الخصوصية، وتحديد الالتزامات الملقاة على عاتق الجهات المراقبة. من خلال هذا المقال، سوف نستعرض تفاصيل نظام حماية البيانات الشخصية في السعودية، بما في ذلك التعريفات الأساسية، والآليات القانونية المعمول بها، والجهات المختصة، بالإضافة إلى الفوائد والتحديات المرتبطة بتطبيق هذا النظام.

ما المقصود بالبيانات الشخصية ؟

حسب المادة الاولى من قانون حماية البيانات الشخصية ان المقصود البيانات الشخصية: كل بيان -مهما كان مصدره أو شكله- من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعل التعرف عليه ممكنًا بصفة مباشرة أو غير مباشرة، ومن ذلك: الاسم، ورقم الهوية الشخصية، والعناوين، وأرقام التواصل، وأرقام الرُّخص والسجلات والممتلكات الشخصية، وأرقام الحسابات البنكية والبطاقات الائتمانية، وصور الفرد الثابتة أو المتحركة، وغير ذلك من البيانات ذات الطابع الشخصي.

 ما هي نطاقات تطبيق نظام حماية البيانات الشخصية في المملكة العربية السعودية؟

المادة الثانية من قانون حماية البيانات الشخصية يُطبق نظام حماية البيانات الشخصية على أي عملية معالجة للبيانات الشخصية المتعلقة بالأفراد التي تتم في المملكة بواسطة أي وسيلة كانت. يتضمن ذلك معالجة البيانات الشخصية للأفراد المقيمين في المملكة من قِبل أي جهة خارج الدولة. كما يشمل النظام بيانات المتوفين إذا كانت معالجة تلك البيانات ستؤدي إلى التعرف عليهم أو على أحد أفراد أسرهم. ومع ذلك، يُستثنى من نطاق تطبيق النظام قيام الأفراد بمعالجة البيانات الشخصية لأغراض لا تتجاوز الاستخدام الشخصي أو العائلي، بشرط عدم نشرها أو الإفصاح عنها للآخرين. ستحدد اللوائح المرافقة للبرنامج طبيعة الاستخدام الشخصي والعائلي المشار إليهما.

ما هي الحقوق التي يتمتع بها صاحب البيانات الشخصية وفق قانون حماية البيانات الشخصية في المملكة ؟

1. الحق في العلم، ويشمل ذلك إحاطته علماً بالمسوغ النظامي أو العملي المعتبر لجمع بياناته الشخصية، والغرض من ذلك، وألاَّ تعالج بياناته لاحقاً بصورة تتنافى مع الغرض من جمعها أو في غير الأحوال المنصوص عليها في المادة (العاشرة) من النظام.
2. الحق في وصوله إلى بياناته الشخصية المتوافرة لدى جهة التحكم، ويشمل ذلك الاطلاع عليها، والحصول على نسخة منها بصيغة واضحة ومطابقة لمضمون السجلات وبلا مقابل مادي -وفقاً لما تحدده اللوائح- وذلك دون إخلال بما يقضي به نظام المعلومات الائتمانية فيما يخص المقابل المالي، ودون إخلال بما تقضي به المادة (التاسعة) من النظام.
3. الحق في طلب تصحيح بياناته الشخصية المتوافرة لدى جهة التحكم، أو إتمامها، أو تحديثها.
4. الحق في طلب إتلاف بياناته الشخصية المتوافرة لدى جهة التحكم مما انتهت الحاجة إليه منها، وذلك دون إخلال بما تقضي به المادة (الثامنة عشرة) من النظام.
5. الحقوق الأخرى المنصوص عليها في النظام، التي تُبينها اللوائح.

ما هي الشروط والضوابط المتعلقة بمعالجة البيانات الشخصية وفقًا للنظام؟

وفقًا للنظام، لا يجوز معالجة البيانات الشخصية أو تعديل الغرض من معالجتها إلا بعد الحصول على موافقة صاحب البيانات، باستثناء الحالات المنصوص عليها في النظام. تُحدد اللوائح شروط الموافقة، والأحوال التي يجب أن تكون فيها الموافقة كتابية، بالإضافة إلى الشروط والأحكام المتعلقة بالحصول على الموافقة من الولي الشرعي إذا كان صاحب البيانات ناقصًا أو عديم الأهلية. كما يُسمح لصاحب البيانات في جميع الحالات بسحب الموافقة في أي وقت، وتحدد اللوائح الضوابط اللازمة لهذه العملية.

ما هي الحالات التي لا تخضع فيها معالجة البيانات الشخصية للموافقة في نظام حماية البيانات الشخصية في المملكة ؟

1. عندما تُحقق المعالجة مصلحة متحققة لصاحب البيانات وكان الاتصال به متعذراً أو كان من الصعب تحقيق ذلك.
2. عندما تكون المعالجة بمقتضى نظام آخر أو تنفيذاً لاتفاق سابق يكون صاحب البيانات الشخصية طرفاً فيه.
3. إذا كانت جهة التحكم جهة عامة، وكانت تلك المعالجة مطلوبة لأغراض أمنية أو لاستيفاء مُتطلبات قضائية.

ما هي الشروط التي يمكن بموجبها لجهة التحكم تقييد حق الوصول إلى البيانات الشخصية حسب المادة التاسعة من نظام حماية البيانات الشخصية؟

 يجوز لجهة التحكم تقييد حق الوصول إلى البيانات الشخصية في الأحوال التالية:

1. إذا كان ذلك ضروريًا لحماية صاحب البيانات الشخصية أو أي شخص آخر من أي ضرر، وذلك وفقًا للأحكام التي تحددها اللوائح.

2. إذا كانت جهة التحكم جهة عامة، وكان التقييد مطلوبًا لأغراض أمنية، أو لتنفيذ نظام آخر، أو لاستيفاء متطلبات قضائية.

 هل هناك مدد محددة لممارسة حق الوصول إلى البيانات الشخصية؟

 نعم، يجوز لجهة التحكم تحديد مدد لممارسة حق الوصول إلى البيانات الشخصية، وتتولى الجهة المختصة تحديد المدة المناسبة لذلك. كما يجب على جهة التحكم أن تمتنع عن تمكين صاحب البيانات الشخصية من الوصول إليها إذا تحقق أي من الأحوال المنصوص عليها في الفقرات (1) إلى (6) من المادة (السادسة عشرة) من النظام.

هل يجوز لجهة التحكم جمع البيانات الشخصية من غير صاحب البيانات مباشرة؟

 لا يجوز لجهة التحكم جمع البيانات الشخصية إلا من صاحبها مباشرة، إلا في حالات محددة، مثل:

1. إذا وافق صاحب البيانات الشخصية على ذلك.

2. إذا كانت البيانات الشخصية متاحة للعموم أو تم جمعها من مصدر متاح للجميع.

3. إذا كانت جهة التحكم جهة عامة وكان جمع البيانات مطلوبًا لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية وفقًا للأحكام المنصوص عليها في اللوائح.

4. إذا كان التقيد بهذا الحظر قد يُلحق ضررًا بصاحب البيانات الشخصية أو يؤثر على مصالحه الحيوية.

5. إذا كان جمع البيانات الشخصية أو معالجتها ضروريًّا لحماية الصحة أو السلامة العامة أو حماية حياة أفراد معينين.

6. إذا كانت البيانات الشخصية لن تُسجل أو تُحفظ في صيغة تسمح بتحديد هوية صاحب البيانات بشكل مباشر أو غير مباشر.

ما هي الشروط والمعايير المتعلقة بجمع البيانات الشخصية، وما الواجب على جهة التحكم في حال أصبحت هذه البيانات غير ضرورية؟

 يجب أن يكون الغرض من جمع البيانات الشخصية ذا علاقة مباشرة بأغراض جهة التحكم وألا يتعارض مع أي حكم مقرر نظامًا. كما يجب أن تتماشى طرق جمع البيانات ووسائلها مع القوانين، وأن تكون ملائمة لظروف صاحب البيانات ومباشرة وواضحة وآمنة، وخالية من أساليب الخداع أو الابتزاز. أيضًا، يجب أن يكون محتوى البيانات مقتصرًا على الحد الأدنى اللازم لتحقيق الغرض، مع عدم تضمين ما يؤدي إلى معرفة صاحبها بشكل محدد. وإذا أصبحت البيانات التي تم جمعها غير ضرورية لتحقيق الغرض منه، فعلى جهة التحكم التوقف عن جمعها وإتلاف ما سبق جمعه فورًا.

ما هي المتطلبات التي يجب على جهة التحكم اتباعها عند جمع البيانات الشخصية من صاحبها مباشرة؟

 يجب على جهة التحكم اتخاذ الوسائل الكافية لإحاطة صاحب البيانات علماً بالعناصر التالية قبل البدء في جمع بياناته:

1. المسوغ النظامي أو العملي لجمع بياناته الشخصية.

2. الغرض من جمع بياناته الشخصية، وما إذا كان جمعها إلزاميًا أم اختياريًا، وإبلاغه بأن بياناته لن تعالج لاحقًا بصورة تتنافى مع الغرض من جمعها أو في غير الأحوال المنصوص عليها في المادة (العاشرة) من النظام.

3. هوية من يجمع البيانات الشخصية وعنوان مرجعه عند الاقتضاء، ما لم يكن جمعها لأغراض أمنية.

4. الجهة أو الجهات التي سيفصح لها عن البيانات الشخصية، وصفتها، وما إذا كانت البيانات ستنقل أو تُعالج خارج المملكة.

5. الآثار والأخطار المحتملة التي تترتب على عدم إتمام جمع البيانات الشخصية.

6. حقوقه المنصوص عليها في المادة (الرابعة) من النظام.

7. العناصر الأخرى التي تحددها اللوائح بحسب طبيعة النشاط الذي تمارسه جهة التحكم.

متى يجوز الافصاح عن البيانات الشخصية وفق نظام حماية البيانات الشخصية في المملكة ؟

1. إذا وافق صاحب البيانات الشخصية على الإفصاح وفقاً لأحكام النظام.
2. إذا كانت البيانات الشخصية قد جرى جمعها من مصدر متاح للعموم.
3. إذا كانت الجهة التي تطلب الإفصاح جهة عامة، وذلك لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء مُتطلبات قضائية وفق الأحكام التي تحددها اللوائح.
4. إذا كان الإفصاح ضروريًّا لحماية الصحة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك.
5. إذا كان الإفصاح سيقتصر على معالجتها لاحقاً بطريقة لا تؤدي إلى معرفة هوية صاحب البيانات الشخصية أو أي فرد آخر على وجه التحديد. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك.

متى يجوز الافصاح عن البيانات الشخصية وفق نظام البيانات الشخصية في المملكة ؟

يتم الافصاح عن البيانات الشخصية في الحالات التالية:

1. اذا كان يمثل خطراً على الأمن، أو يسيء إلى سمعة المملكة، أو يتعارض مع مصالحها.
2. اذا كان يؤثر على علاقات المملكة مع دولة أخرى.
3. انه يمنع من كشف جريمة أو يمس حقوق متهم في الحصول على محاكمة عادلة أو يؤثر في سلامة إجراءات جنائية قائمة.
4. أنه يعرض سلامة فرد أو أفراد للخطر.
5. أنه يترتب عليه انتهاك خصوصية فرد آخر غير صاحب البيانات الشخصية وفق ما تحدده اللوائح.
6. أنه يتعارض مع مصلحة ناقص أو عديم للأهلية.
7. أنه يخل بالتزامات مهنية مقررة نظاماً.
8. أنه ينطوي عليه إخلال بالتزام أو إجراء أو حكم قضائي.
9. أنه يكشف عن مصدر سري لمعلومات تحتم المصلحة العامة عدم الكشف عنه.

ما هي المتطلبات المتعلقة بإتلاف البيانات الشخصية من قبل جهة التحكم بعد انتهاء الغرض من جمعها ومتى يجوز الاحتفاظ بها ؟

 يجب على جهة التحكم إتلاف البيانات الشخصية فور انتهاء الغرض من جمعها. ومع ذلك، يجوز لها الاحتفاظ بتلك البيانات بعد انتهاء الغرض إذا تمت إزالة كل ما يؤدي إلى معرفة صاحبها بشكل محدد وفق الضوابط التي تحددها اللوائح. كما يجب على جهة التحكم الاحتفاظ بالبيانات الشخصية في حالتين:

1. إذا توافر مسوغ نظامي يوجب الاحتفاظ بها لمدة محددة، وفي هذه الحالة يجب إتلافها بعد انتهاء هذه المدة أو انتهاء الغرض من جمعها، أيهما أطول.

2. إذا كانت البيانات الشخصية مرتبطة بقضية منظورة أمام جهة قضائية وكان الاحتفاظ بها مطلوبًا لهذا الغرض، فيجب إتلافها بعد استكمال الإجراءات القضائية الخاصة بالقضية.

 ما هي الضوابط والإجراءات المحددة في اللوائح بشأن معالجة البيانات الصحية لحماية خصوصية أصحابها؟

الجواب: تُحدد اللوائح الضوابط والإجراءات الإضافية في شأن معالجة البيانات الصحية بما يكفل المحافظة على خصوصية أصحابها وحماية حقوقهم، على أن تشتمل على ما يلي:

1. قصر حق الاطلاع على البيانات الصحية، بما في ذلك الملفات الطبية، على أقل عدد ممكن من الموظفين أو العاملين وبالقدر اللازم فقط لتقديم الخدمات الصحية الضرورية.

2. تقييد إجراءات وعمليات معالجة البيانات الصحية إلى أقل عدد ممكن من الموظفين والعاملين اللازمين لتقديم الخدمات الصحية أو توفير برامج التأمين الصحي.

 في أي الحالات يجوز جمع البيانات الشخصية أو معالجتها لأغراض علمية أو بحثية أو إحصائية دون موافقة صاحبها؟

يجوز جمع البيانات الشخصية أو معالجتها لأغراض علمية أو بحثية أو إحصائية دون موافقة صاحبها في الحالات التالية:

1. إذا لم تتضمن البيانات الشخصية ما يدل على هوية صاحبها بشكل محدد.

2. إذا كان سيتم إتلاف ما يدل على هوية صاحب البيانات الشخصية بشكل محدد خلال عملية معالجتها وقبل الإفصاح عنها لأي جهة أخرى، ولم تكن تلك البيانات تعتبر بيانات حساسة.

3. إذا كان جمع البيانات الشخصية أو معالجتها لهذه الأغراض يقتضيها نظام آخر أو من خلال تنفيذ اتفاق سابق يكون صاحبها طرفًا فيه.

ماذا تتضمن المادة التاسعة والعشرون من نظام حماية البيانات الشخصية بشأن نقل البيانات الشخصية خارج المملكة؟

 تتضمن المادة التاسعة والعشرون أنه لا يجوز لجهة التحكم نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة، إلا في حالات الضرورة القصوى لحماية حياة صاحب البيانات أو مصالحه الحيوية، أو للوقاية من عدوى مرضية. يسمح بالنقل أو الإفصاح في الحالات التالية:

1. إذا كان ذلك تنفيذاً لالتزام بموجب اتفاقية تكون المملكة طرفاً فيها.

2. إذا كان لخدمة مصالح المملكة.

3. إذا كان لأغراض أخرى وفقاً لما تحدده اللوائح، بعد التحقق من الشروط الآتية:

  - ألا يترتب على النقل أو الإفصاح مساس بالأمن الوطني أو بمصالح المملكة الحيوية.

  - تقديم ضمانات كافية لحماية البيانات الشخصية وسريتها، بحيث تكون معايير الحماية لا تقل عن المعايير المنصوص عليها في النظام واللوائح.

  - تقييد النقل أو الإفصاح على الحد الأدنى من البيانات الشخصية اللازمة.

  - الحصول على موافقة الجهة المختصة على النقل أو الإفصاح حسبما تحدده اللوائح.

كما يمكن للجهة المختصة أن تعفي جهة التحكم من الالتزام بأحد الشروط المذكورة في كل حالة على حدة، بشرط أن تقدر الجهة أن البيانات الشخصية لها مستوى مقبول من الحماية خارج المملكة، وأن البيانات ليست حساسة.

ما هي متطلبات السجلات التي يجب على جهة التحكم الاحتفاظ بها حسب المادة الحادية والثلاثون من نظام حماية البيانات الشخصية؟

وفقًا للمادة الحادية والثلاثون، يجب على جهة التحكم الاحتفاظ بسجلات لأنشطة معالجة البيانات الشخصية تحتوي على المعلومات التالية:

1. تفاصيل الاتصال الخاصة بجهة التحكم.

2. الغرض من معالجة البيانات الشخصية.

3. وصف فئات أصحاب البيانات الشخصية.

4. الجهات التي جرى أو سَيُجرى الإفصاح عن البيانات الشخصية إليها.

5. ما إذا جرى أو سَيُجرى نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة.

6. المدة الزمنية المتوقعة للاحتفاظ بالبيانات الشخصية.

يجب أن تكون هذه السجلات متاحة للجهة المختصة عند الطلب، ويجب على جهة التحكم الاحتفاظ بها لمدة تحددها اللوائح.

ما هي العقوبات التي فرضها النظام السعودي على من يخالف احكام نظام حماية البيانات الشخصية ؟

أ- كل من أفصح عن بيانات حساسة أو نشرها مخالفًا أحكام النظام: يعاقب بالسجن مدة لا تزيد على (سنتين) وبغرامة لا تزيد على (ثلاثة ملايين) ريال، أو بإحدى هاتين العقوبتين؛ إذا كان ذلك بقصد الإضرار بصاحب البيانات أو بقصد تحقيق منفعة شخصية.

ب- كل من خالف أحكام المادة (التاسعة والعشرين) من النظام: يعاقب بالسجن مدة لا تزيد على (سنة) وبغرامة لا تزيد على (مليون) ريال، أو بإحدى هاتين العقوبتين.

تختص النيابة العامة بمهمة التحقيق، والادعاء أمام المحكمة المختصة عن المخالفات المنصوص عليها في هذه المادة.

تتولى المحكمة المختصة النظر في الدعاوى الناشئة من تطبيق هذه المادة وإيقاع العقوبات المقررة.

يجوز للمحكمة المختصة مضاعفة عقوبة الغرامة في حالة العود حتى لو ترتب عليها تجاوز الحد الأقصى لها على ألا تتجاوز ضعف هذا الحد.

بعض الاسئلة الشائعة حول نظام حماية البيانات الشخصية في المملكة :

ما هي حقوق الأفراد بموجب قانون حماية البيانات الشخصية؟

تشمل حقوق الوصول، التصحيح، الحذف، والاعتراض على معالجة البيانات الشخصية.

هل يوجد فتره زمنية محدده للاحتفاظ بالبيانات؟

نـعم، يـمكن لـلجهة الاحـتفاظ بـها طـالـما كـان ذلـك ضـروريـا لـتحقيق الأغـراض المحـددة الـتي جـمعت مـن أجـلها أو لـما تـقتضيه الأنظمة واللوائح والسياسات المعمول بها في المملكة فقط.

من هي الجهة المسؤولة عن استقبال البلاغات والشكاوى؟

تستقبل الهيئة السعودية للبيانات والذكاء الاصطناعي، جميع البلاغات والشكاوى الخاصة بالنظام.