تواصل مجلة مباشر
TV مباشر
اتصل بنا اعلن معنا   ENGLISH

يتضمن الحق بإتلافها.. السعودية تُقر نظاماً لحماية البيانات الشخصية "رسمياً"

يتضمن الحق بإتلافها.. السعودية تُقر نظاماً لحماية البيانات الشخصية "رسمياً"
السعودية - أرشيفية

الرياض - مباشر: أقر مجلس الوزراء السعودي نظاماً لحماية البيانات الشخصية رسمياً، يتضمن الحق في إتلاف البيانات المتوافرة لدى جهة التحكم ما انتهت الحاجة إليه منها.

وأوضح قرار مجلس الوزراء المنشور في الجريدة الرسمية "أم القرى"، اليوم الجمعة، أن تكون الجهة المختصة عن النظام هي الهيئة السعودية للبيانات والذكاء الاصطناعي، وذلك لمدة سنتين، ينظر خلالها –في ضوء ما ينتج عن تطبيق أحكام نظام حماية البيانات الشخصية ولوائحه التنفيذية وفي ضوء مستوى النضج في قطاع البيانات– في نقل اختصاص الإشراف على تطبيق أحكام النظام ولوائحه التنفيذية إلى مكتب إدارة البيانات الوطنية.

وأفادت المادة الثانية من النظام الجديد، أنه يطبق النظام على أي عملية معالجة لبيانات شخصية تتعلق بالأفراد تتم في المملكة بأي وسيلة كانت، بما في ذلك معالجة البيانات الشخصية المتعلقة بالأفراد المقيمين في المملكة بأي وسيلة كانت من أي جهة خارج المملكة.

ويشمل ذلك بيانات المتوفى إذا كانت ستؤدي إلى معرفته أو معرفة أحد أفراد أسرته على وجه التحديد.

ويُستثنى من نطاق تطبيق النظام، قيام الفرد بمعالجة البيانات الشخصية لأغراض لا تتجاوز الاستخدام الشخصي أو العائلي، ما دام أنه لم ينشرها أو يفصح عنها للغير. وتحدد اللوائح المقصود بالاستخدام الشخصي والعائلي المنصوص عليهما في هذه الفقرة.

وألمحت المادة الثالثة، إلى أنه لا تخل الأحكام والإجراءات المنصوص عليها في النظام بأي حكم يمنح حقاً لصاحب البيانات الشخصية أو يقرر حماية أفضل لها، ينص عليه نظام آخر أو اتفاقية دولية تكون المملكة طرفاً فيها.

ويكون لصاحب البيانات الشخصية -وفقاً للأحكام الواردة في النظام- الحقوق الآتية:

- الحق في العلم، ويشمل ذلك إحاطته علماً بالمسوغ النظامي أو العملي المعتبر لجمع بياناته الشخصية، والغرض من ذلك، وألا تعالج بياناته لاحقاً بصورة تتنافى مع الغرض من جمعها أو في غير الأحوال المنصوص عليها في المادة (العاشرة) من النظام.

- الحق في وصوله إلى بياناته الشخصية المتوافرة لدى جهة التحكم، ويشمل ذلك الاطلاع عليها، والحصول على نسخة منها بصيغة واضحة ومطابقة لمضمون السجلات وبلا مقابل مادي -وفقاً لما تحدده اللوائح- وذلك دون إخلال بما يقضي به نظام المعلومات الائتمانية فيما يخص المقابل المالي، ودون إخلال بما تقضي به المادة (التاسعة) من النظام.

- الحق في طلب تصحيح بياناته الشخصية المتوافرة لدى جهة التحكم، أو إتمامها، أو تحديثها.

- الحق في طلب إتلاف بیاناته الشخصية المتوافرة لدى جهة التحكم مما انتهت الحاجة إليه منها، وذلك دون إخلال بما تقضي به المادة (الثامنة عشرة) من النظام.

- الحقوق الأخرى المنصوص عليها في النظام، التي تبينها اللوائح.

وأشارت المادة الخامسة، إلى أنه فيما عدا الأحوال المنصوص عليها في النظام، لا تجوز معالجة البيانات الشخصية أو تغيير الغرض من معالجتها إلا بعد موافقة صاحبها.

وتبين اللوائح شروط الموافقة، والأحوال التي يجب فيها أن تكون الموافقة كتابية، والشروط والأحكام المتعلقة بالحصول على الموافقة من الولي الشرعي إذا كان صاحب البيانات الشخصية ناقص أو عديم الأهلية.

وفي جميع الأحوال، يجوز لصاحب البيانات الشخصية الرجوع عن الموافقة المشار إليها في الفقرة (1) من هذه المادة في أي وقت، وتحدد اللوائح الضوابط اللازمة لذلك.

وبينت المادة الثامنة، أنه مع مراعاة ما ينص عليه النظام واللوائح في شأن الإفصاح عن البيانات الشخصية، على جهة التحكم عند اختيارها جهة المعالجة أن تلتزم باختيار الجهة التي توفر الضمانات اللازمة لتنفيذ أحكام النظام واللوائح، وعليها التحقق بصفة مستمرة من التزام تلك الجهة بالتعليمات التي توجهها إليها في جميع ما يتعلق بحماية البيانات الشخصية بما لا يتعارض مع أحكام النظام واللوائح.

ولا يخل ذلك بمسؤولياتها تجاه صاحب البيانات الشخصية أو الجهة المختصة بحسب الأحوال، وتحدد اللوائح الأحكام اللازمة لذلك، على أن تشتمل على الأحكام المتعلقة بأي تعاقدات لاحقة تقوم بها جهة المعالجة.

ويجوز لجهة التحكم تحديد مدد لممارسة حق الوصول إلى البيانات الشخصية المقرر في الفقرة (2) من المادة (الرابعة) من النظام، وتتولى الجهة المختصة تحديد المدة المناسبة لذلك. ويجوز كذلك لجهة التحكم تقييد هذا الحق في الأحوال الآتية:

- إذا كان ذلك ضرورياً لحماية صاحب البيانات الشخصية أو غيره من أي ضرر؛ وفق الأحكام التي تحددها اللوائح.
- إذا كانت جهة التحكم جهة عامة، وكان التقييد مطلوباً لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية.
- يجب على جهة التحكم ألا تمكن صاحب البيانات الشخصية من الوصول إليها متى تحقق أيّ من الأحوال المنصوص عليها في الفقرات (1) و(2) و(3) و(4) و(5) و(6) من المادة (السادسة عشرة) من النظام.

ولا يجوز لجهة التحكم جمع البيانات الشخصية إلا من صاحبها مباشرةً، ولا تجوز كذلك معالجة تلك البيانات إلا لتحقيق الغرض الذي جمعت من أجله، ومع ذلك، يجوز لجهة التحكم جمع البيانات الشخصية من غير صاحبها مباشرة، أو معالجتها لغرض آخر غير الذي جمعت من أجله، وذلك في الأحوال الآتية:

- إذا وافق صاحب البيانات الشخصية على ذلك، وفقاً لأحكام النظام.
- إذا كانت البيانات الشخصية متاحة للعموم، أو جرى جمعها من مصدر متاح للعموم.
- إذا كانت جهة التحكم جهة عامة، وكان جمع البيانات الشخصية من غير صاحبها مباشرةً، أو معالجتها لغرض آخر غير الذي جمعت من أجله؛ مطلوباً لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية وفق الأحكام التي تحددها اللوائح.
- إذا كان التقيد بهذا الحظر قد يلحق ضرراً بصاحب البيانات الشخصية أو يؤثر على مصالحه الحيوية؛ وفق الأحكام التي تحددها اللوائح.
- إذا كان جمع البيانات الشخصية أو معالجتها ضرورياً لحماية الصحة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك.
- إذا كانت البيانات الشخصية لن تسجل أو تحفظ في صيغة تجعل من الممكن تحديد هوية صاحبها ومعرفته بصورة مباشرة أو غير مباشرة. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك.

وأفادت المادة الثالثة عشرة، أنه على جهة التحكم، في حالة جمع البيانات الشخصية من صاحبها مباشرةً، اتخاذ الوسائل الكافية لإحاطته علماً بالعناصرالآتية قبل البدء في جمع بياناته:

- المسوغ النظامي أو العملي المعتبر لجمع بياناته الشخصية.
- الغرض من جمع بياناته الشخصية، وما إذا كان جمعها كلها أو بعضها إلزامياً أم اختيارياً، وإحاطته كذلك بأن بياناته لن تعالج لاحقاً بصورة تتنافى مع الغرض من جمعها أو في غير الأحوال المنصوص عليها في المادة (العاشرة) من النظام.
- هوية من يجمع البيانات الشخصية وعنوان مرجعه عند الاقتضاء، ما لم يكن جمعها لأغراض أمنية.
- الجهة أو الجهات التي سيجرى إفصاح البيانات الشخصية إليها، وصفتها، وما إذا كانت البيانات الشخصية ستنقل أو سيفصح عنها أو ستعالج خارج المملكة.
- الآثار والأخطار المحتملة التي تترتب على عدم إتمام إجراء جمع البيانات الشخصية.
- حقوقه المنصوص عليها في المادة (الرابعة) من النظام.
- العناصر الأخرى التي تحددها اللوائح بحسب طبيعة النشاط الذي تمارسه جهة التحكم.

وأكدت المادة الرابعة عشرة، أنه لا يجوز لجهة التحكم أن تعالج البيانات الشخصية دون اتخاذ خطوات كافية للتحقق من دقتها واكتمالها وحداثتها وارتباطها بالغرض الذي جمعت من أجله وفقاً لأحكام النظام.

ولفتت المادة الخامسة عشرة، إلى أنه لا يجوز لجهة التحكم الإفصاح عن البيانات الشخصية إلا في الأحوال الآتية:

- إذا وافق صاحب البيانات الشخصية على الإفصاح وفقاً لأحكام النظام.
- إذا كانت البيانات الشخصية قد جرى جمعها من مصدر متاح للعموم.
- إذا كانت الجهة التي تطلب الإفصاح جهة عامة، وذلك لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية وفق الأحكام التي تحددها اللوائح.
- إذا كان الإفصاح ضرورياً لحماية الصحة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم. وتبين اللوائح الضوابط والإجراءات المتعلقة بذلك.
- إذا كان الإفصاح سيقتصر على معالجتها لاحقاً بطريقة لا تؤدي إلى معرفة هوية صاحب البيانات الشخصية أو أي فرد آخر على وجه التحديد. وتبين اللوائح الضوابط والإجراءات المتعلقة بذلك.

وذكرت المادة السادسة عشرة، أن على جهة التحكم ألا تفصح عن البيانات الشخصية في الأحوال المنصوص عليها في الفقرات (1) و(2) و(5) من المادة (الخامسة عشرة) من النظام، متى اتصف الإفصاح بأيّ مما يأتي:

- أنه يمثل خطراً على الأمن، أو يسيء إلى سمعة المملكة، أو يتعارض مع مصالحها.
- أنه يؤثر على علاقات المملكة مع دولة أخرى.
- أنه يمنع من كشف جريمة أو يمس حقوق متهم في الحصول على محاكمة عادلة أو يؤثر في سلامة إجراءات جنائية قائمة.
- أنه يعرض سلامة فرد أو أفراد للخطر.
- أنه يترتب عليه انتهاك خصوصية فرد آخر غير صاحب البيانات الشخصية وفق ما تحدده اللوائح.
- أنه يتعارض مع مصلحة ناقص أو عديم الأهلية.
- أنه يخل بالتزامات مهنية مقررة نظاماً.
- أنه ينطوي عليه إخلال بالتزام أو إجراء أو حكم قضائي.
- أنه يكشف عن مصدر سري لمعلومات تحتم المصلحة العامة عدم الكشف عنه.

وألمحت المادة السادسة والعشرون، إلى أنه فيما عدا البيانات الحساسة، تجوز معالجة البيانات الشخصية لأغراض تسويقية، إذا جرى جمعها من صاحبها مباشرة ووافق على ذلك وفق أحكام النظام. وتحدد اللوائح الضوابط اللازمة لذلك.

ويجوز جمع البيانات الشخصية أو معالجتها لأغراض علمية أو بحثية أو إحصائية دون موافقة صاحبها، في الأحوال الآتية:

- إذا لم تتضمن البيانات الشخصية ما يدل على هوية صاحبها على وجه التحديد.
- إذا كان سيجرى إتلاف ما يدل على هوية صاحب البيانات الشخصية على وجه التحديد خلال عملية معالجتها وقبل الإفصاح عنها لأي جهة أخرى ولم تكن تلك البيانات بيانات حساسة.
- إذا كان جمع البيانات الشخصية أو معالجتها لهذه الأغراض يقتضيها نظام آخر أو تنفيذاً لاتفاق سابق يكون صاحبها طرفاً فيه.

وأشارت المادة الخامسة والثلاثون، إلى أنه مع عدم الإخلال بأي عقوبة أشد منصوص عليها في نظام آخر، تكون عقوبة ارتكاب المخالفات الآتية وفقاً لما دون أمامها:

- كل من أفصح عن بيانات حساسة أو نشرها مخالفاً أحكام النظام: يعاقب بالسجن مدة لا تزيد على (سنتين) وبغرامة لا تزيد على (ثلاثة ملايين) ريال، أو بإحدى هاتين العقوبتين؛ إذا كان ذلك بقصد الإضرار بصاحب البيانات أو بقصد تحقيق منفعة شخصية.

- كل من خالف أحكام المادة (التاسعة والعشرين) من النظام: يعاقب بالسجن مدة لا تزيد على (سنة) وبغرامة لا تزيد على (مليون) ريال، أو بإحدى هاتين العقوبتين.

- تختص النيابة العامة بمهمة التحقيق والادعاء أمام المحكمة المختصة عن المخالفات المنصوص عليها في هذه المادة.
- تتولى المحكمة المختصة النظر في الدعاوى الناشئة من تطبيق هذه المادة وإيقاع العقوبات المقررة.
- يجوز للمحكمة المختصة مضاعفة عقوبة الغرامة في حالة العود حتى لو ترتب عليها تجاوز الحد الأقصى لها على ألا تتجاوز ضعف هذا الحد.

ويتولى الموظفون أو العاملون –الذين يصدر بتسميتهم قرار من رئيس الجهة المختصة– ضبط المخالفات المنصوص عليها في النظام أو اللوائح.

وللجهة المختصة الحق في حجز الوسائل أو الأدوات المستخدمة في ارتكاب المخالفة إلى حين البت فيها، وفقاً للنظام.

ونصت المادة الثالثة والأربعون، على أن "يُعمل بالنظام بعد 180 يوماً من تاريخ نشره في الجريدة الرسمية".