مع التوسع الهائل في استخدام التقنية وزيادة الاعتماد على المنصات الرقمية في شتى المعاملات، باتت البيانات الشخصية أحد أهم الأصول التي تستوجب الحماية والتنظيم، وفي إطار هذا التوجه، أقرت المملكة العربية السعودية نظام حماية البيانات الشخصية بموجب المرسوم الملكي رقم (م/19) بتاريخ 9/2/1443 هـ، واضعةً بذلك منظومة قانونية متكاملة تُنظم آليات جمع ومعالجة وحفظ البيانات، وتكفل خصوصية الأفراد عبر ضوابط واضحة وعقوبات رادعة لكل من يتجاوز حدودها.

مع شركة ميثاق العربية للمحاماة أفضل شركة محاماة سعودية نقدم قراءة شاملة لأهم أحكام هذا النظام وأهم الجزاءات المقررة بحق المخالفين.

أولًا ما المقصود بالبيانات الشخصية؟

بحسب ما ورد في المادة الأولى من نظام حماية البيانات الشخصية، يقصد بالبيانات الشخصية كل معلومة، أيًا كان مصدرها أو شكلها، يمكن أن تُعرف بالفرد تحديدًا أو تتيح التعرف عليه بشكل مباشر أو غير مباشر، ويشمل ذلك معلومات الهوية مثل الاسم ورقم الهوية الوطنية، وبيانات الإقامة والعناوين وأرقام الاتصال وأرقام الرخص والسجلات والممتلكات، وكذلك البيانات المالية مثل أرقام الحسابات البنكية والبطاقات الائتمانية، إضافة إلى الصور الثابتة أو المتحركة، وأي بيانات أخرى ذات صلة بالشخص على نحو فردي.

ما هو نظام حماية البيانات الشخصية؟

نظام حماية البيانات الشخصية هو الإطار النظامي الذي ينظم كيفية جمع ومعالجة وحفظ وتداول البيانات المتعلقة بالأفراد، بما يكفل حماية هذه البيانات، وضمان عدم استخدامها إلا في الأغراض المشروعة.

هذا النظام مسؤول عن وضع الضوابط التي تُلزم الجهات العامة والخاصة باحترام خصوصية الأفراد، وعدم إفشاء بياناتهم أو إساءة استخدامها، ويرتبط تطبيق هذا النظام برؤية المملكة 2030 في التحول الرقمي وتعزيز الشفافية ودعم الابتكار.

أهم مواد لائحة نظام حماية البيانات الشخصية

تضم اللائحة التنفيذية لنظام حماية البيانات الشخصية ثماني وثلاثون مادة، سنتطرق لشرح أهم هذه المواد:

المادة الثانية: الاستخدام الشخصي أو العائلي

لا تخضع لمعالجة أحكام النظام ولوائحه الحالات التي يقوم فيها الفرد بمعالجة البيانات الشخصية لأغراض لا تتجاوز حدود الاستخدام الشخصي أو العائلي، ويُقصد بالاستخدام الشخصي أو العائلي وفقًا لما نصت عليه المادة الثانية من النظام قيام الفرد بمعالجة البيانات الشخصية في إطار أسرته أو ضمن دائرته الاجتماعية المحدودة.

لا يُعتبر من قبيل الاستخدام الشخصي أو العائلي في تطبيق أحكام هذه المادة ما يلي:

  •  نشر البيانات الشخصية على الجمهور أو إفشائها لأي طرف خارج النطاق المحدد مسبقًا.
  • استخدام البيانات الشخصية لأغراض مهنية أو تجارية أو ذات طبيعة غير ربحية.

المادة الخامسة: الحق في الوصول إلى البيانات الشخصية

مع مراعاة أحكام المادتين التاسعة والسادسة عشر من النظام، يحق لصاحب البيانات الشخصية الاطلاع على بياناته المتوافرة لدى جهة التحكم، وذلك وفق الضوابط الآتية:

  • ألا يترتب على ممارسة هذا الحق أي مساس بحقوق الغير، بما في ذلك حقوق الملكية الفكرية أو الأسرار التجارية.
  • أن يتم إتاحة الوصول إلى البيانات الشخصية بناءً على طلب يقدمه صاحب البيانات، أو من خلال وسيلة تتيحها جهة التحكم لتمكينه من الوصول التلقائي إلى بياناته دون الحاجة لتقديم طلب.

يتعين على جهة التحكم، عند تمكين صاحب البيانات من الوصول إلى بياناته الشخصية، التأكد من أن هذا الإجراء لا يترتب عليه كشف بيانات شخصية يمكن أن تحدد هوية فرد آخر.

المادة السادسة: الحق في طلب الحصول على البيانات الشخصية

مع مراعاة أحكام المادة السادسة عشر من النظام، يتمتع صاحب البيانات الشخصية بحق طلب الحصول على نسخة من بياناته بصيغة مقروءة وواضحة، وفق الضوابط الآتية:

  • ألا يترتب على ممارسة هذا الحق أي تأثير سلبي على حقوق الغير، مثل حقوق الملكية الفكرية أو الأسرار التجارية.
  • تُسلم البيانات الشخصية إلى صاحبها بصيغة إلكترونية وله حق أن يطلب نسخة مطبوعة منها متى أمكن ذلك.

المادة الثانية عشرة: العدول عن الموافقة

يحق لصاحب البيانات الشخصية سحب موافقته على معالجة بياناته في أي وقت، وله إشعار جهة التحكم بذلك عبر أي من الوسائل المحددة في المادة الرابعة من هذه اللائحة، ويتعين على جهة التحكم، قبل الحصول على موافقة صاحب البيانات، وضع إجراءات تُمكن من العدول عن تلك الموافقة، مع اتخاذ التدابير اللازمة لضمان تنفيذها.

عند العدول عن الموافقة، يجب على جهة التحكم إيقاف المعالجة فورًا، دون تأخير غير مبرر، مع عدم المساس بمشروعية أي عملية معالجة تمت استنادًا إلى الموافقة قبل سحبها، وتلتزم جهة التحكم، عند عدول صاحب البيانات عن موافقته على المعالجة، باتخاذ ما يلزم لإشعار جميع من تم الإفصاح لهم عن تلك البيانات بأي وسيلة وطلب إتلافها.

ما هي نطاقات تطبيق قانون حماية البيانات الشخصية في السعودية؟

وفقًا للمادة الثانية يُطبق النظام على أي نشاط لمعالجة البيانات الشخصية المتعلقة بالأفراد يتم داخل المملكة، وبأي وسيلة كانت، بما في ذلك المعالجة التي تستهدف بيانات الأفراد المقيمين في المملكة من قبل جهات تقع خارجها، ويمتد نطاق التطبيق ليشمل بيانات الأشخاص المتوفين إذا كانت معالجة تلك البيانات تفضي إلى التعرف عليهم أو على أحد أفراد أسرهم.

ويُستثنى من نطاق التطبيق المعالجة التي يقوم بها الأفراد لبيانات شخصية لأغراض شخصية أو عائلية بحتة، شريطة ألا يتم نشر تلك البيانات أو إفشائها للغير، وتتولى اللوائح التنفيذية تحديد ماهية الاستخدام الشخصي أو العائلي في هذا السياق.
حقوق صاحب البيانات الشخصية وفق نظام حماية البيانات الشخصية السعودي

يتمتع صاحب البيانات الشخصية بموجب نظام حماية البيانات الشخصية بالحقوق الآتية:

  • الحق في العلم: يحق لصاحب البيانات إحاطته بالمسوغ النظامي أو العملي الذي جمعت البيانات من أجله، وبيان الغرض من ذلك، مع عدم جواز معالجة بياناته لاحقًا بما يخالف الغرض، أو في غير الحالات المنصوص عليها في المادة العاشرة من النظام.
  • الحق في الوصول: تمكينه من الاطلاع على بياناته الشخصية المتوافرة لدى جهة التحكم، والحصول على نسخة منها بصيغة واضحة ومطابقة لمضمون السجلات.
  • الحق في التصحيح والتحديث: يحق لصاحب البيانات طلب تصحيح بياناته الشخصية أو إتمامها أو تحديثها لدى جهة التحكم.
  • الحق في الإتلاف: لصاحب البيانات الحق في طلب إتلاف البيانات الشخصية التي انتهت الحاجة إليها لدى جهة التحكم، وذلك دون الإخلال بما تنص عليه المادة الثامنة عشر من النظام.

لائحة نظام حماية البيانات الشخصية

حالات لا تخضع فيها معالجة البيانات للموافقة في نظام حماية البيانات الشخصية الجديد

يجوز لجهة التحكم القيام بمعالجة البيانات الشخصية دون حاجة للحصول على موافقة صاحبها في الأحوال الآتية:

  • إذا كانت معالجة البيانات ضرورية لتحقيق منفعة مباشرة لصاحب البيانات، وكان التواصل معه غير ممكن أو صعب.
  • إذا استندت المعالجة إلى حكم نظامي نافذ، أو جاءت تنفيذًا لاتفاق قائم يكون صاحب البيانات أحد أطرافه.
  • إذا باشرت جهة عامة المعالجة وكان الغرض منها متعلقًا بالمهام الأمنية أو بتنفيذ أحكام قضائية واجبة.

قد يهمك قراءة المزيد عن نظام مكافحة الجرائم المعلوماتية في السعودية وأهم عقوباته

ما هي متطلبات جمع البيانات الشخصية من صاحبها مباشرة؟

عند قيام جهة التحكم بجمع بيانات شخصية بشكل مباشر من صاحبها، تلتزم قبل البدء في عملية الجمع باتخاذ التدابير الكفيلة بإحاطته علمًا بالآتي:

  • الأساس النظامي أو المبرر العملي الذي تستند إليه عملية جمع البيانات
  • الغاية من جمع البيانات، مع بيان ما إذا كان تقديمها إلزاميًا أو اختياريًا، والتنويه بعدم معالجتها لاحقًا بما يخالف الغرض المعلن، إلا في الحالات المقررة بالمادة العاشرة من النظام.
  • تعريف الجهة القائمة على جمع البيانات وذكر عنوانها عند اللزوم، ما لم يكن الغرض من الجمع أمنيًا.
  • تحديد الأطراف التي سيتم الإفصاح لها عن البيانات وبيان صفتها، وذكر ما إذا كان سيتم نقل البيانات أو معالجتها خارج المملكة.
  • توضيح النتائج والمخاطر المحتملة حال عدم استكمال عملية جمع البيانات.
  • بيان الحقوق المقررة لصاحب البيانات بموجب المادة الرابعة من النظام.

حالات يجوز فيها الإفصاح عن البيانات الشخصية وفق اللائحة التنفيذية لقانون حماية البيانات الشخصية؟

يجوز الإفصاح عن البيانات الشخصية وفق ما ورد في نظام حماية البيانات الشخصية السعودي في الحالات الآتي ذكرها:

  • إذا كان الإفصاح ضروريًا لدفع خطر على الأمن، أو لمنع ما قد يسيء إلى سمعة المملكة أو يتعارض مع مصالحها العليا.
  • إذا كانت من شأن هذه البيانات التأثير على علاقات المملكة بدولة أخرى.
  • إذا ترتب على الإفصاح منع كشف جريمة، أو كان له مساس بحقوق متهم في محاكمة عادلة، أو أثر على سلامة إجراءات جنائية جارية.
  • إذا كان الغرض من هذا الإفصاح حماية سلامة شخص.
  • إذا أدى عدم الإفصاح إلى انتهاك خصوصية شخص آخر غير صاحب البيانات، وذلك وفق ما تنص عليه اللوائح.
  • إذا كان في الإفصاح مراعاة لمصلحة قاصر أو عديم أهلية.
  • إذا انطوى عدم الإفصاح على مخالفة لالتزام أو إجراء أو حكم قضائي.

ما هي عقوبة ارتكاب مخالفات قانون حماية البيانات الشخصية؟

وفق النظام السعودي لحماية البيانات الشخصية العقوبات على المخالفين، تكون كالآتي:

  • الإفصاح أو نشر بيانات حساسة مخالفًا لأحكام النظام وبقصد الإضرار بصاحب البيانات أو لتحقيق منفعة شخصية يعاقب بالسجن مدة لا تتجاوز سنتين أو بغرامة لا تتجاوز ثلاثة ملايين ريال أو بالعقوبتين معًا.
  • مخالفة أحكام المادة التاسعة والعشرين يعاقب بالسجن مدة لا تتجاوز سنة أو بغرامة لا تتجاوز مليون ريال أو بالعقوبتين معًا.
  • النيابة العامة هي الجهة المختصة بالتحقيق والادعاء في هذه المخالفات والمحكمة المختصة تتولى نظر الدعاوى وتوقيع العقوبات، ويجوز للمحكمة المختصة مضاعفة عقوبة الغرامة في حالة العود حتى ضعف الحد الأقصى.

احمي بياناتك الشخصية وتعرف على الإجراءات القانونية من خلال أفضل محامي مختص لدى ميثاق العربية للمحاماة، اطلب استشارتك الآن.

الأسئلة الشائعة حول نظام حماية البيانات الشخصية

كيف يمكنني حماية بياناتي الشخصية؟

يُمكنك حماية بياناتك الشخصية من خلال إنشاء كلمات مرور قوية وفريدة لكل حساب وتفعيل المصادقة الثنائية، والحذر بشأن مشاركة معلوماتك الشخصية عبر الإنترنت مع تحديث برامج الحماية بانتظام.

متى يسري نظام حماية البيانات الشخصية؟

بدأ سريان نظام حماية البيانات الشخصية في المملكة العربية السعودية في 14 سبتمبر 2023، وذلك بعد انتهاء فترة انتقالية مدتها عام واحد من تاريخ نشره في الجريدة الرسمية.

ما هو قانون حماية البيانات؟

قانون حماية البيانات هو مجموعة من القواعد والتشريعات التي تهدف إلى تنظيم كيفية جمع البيانات الشخصية واستخدامها وحمايتها من قبل الجهات المختلفة ويهدف إلى حماية خصوصية الأفراد وضمان عدم إساءة استخدام بياناتهم الشخصية.