الرئيسيةتكنولوجيا

43 مادة تحدد نظام حماية البيانات الشخصية في السعودية

هاشتاق عربي

شارك هذا الموضوع:

حددت 43 مادة ملامح نظام حماية البيانات الشخصية، الذي أقره مجلس الوزراء، ويطبق على أي عملية معالجة لبيانات شخصية تتعلق بالأفراد تتم في المملكة بأي وسيلة كانت، بما في ذلك معالجة البيانات الشخصية المتعلقة بالأفراد المقيمين في المملكة بأي وسيلة كانت من أي جهة خارج المملكة. ويشمل ذلك بيانات المتوفى إذا كانت ستؤدي إلى معرفته أو معرفة أحد أفراد أسرته على وجه التحديد.
ويستثنى من نطاق تطبيق النظام، قيام الفرد بمعالجة البيانات الشخصية لأغراض لا تتجاوز الاستخدام الشخصي أو العائلي، ما دام أنه لم ينشرها أو يفصح عنها للغير.
والبيانات الشخصية: كل بيان – مهما كان مصدره أو شكله – من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعل التعرف عليه ممكنا بصفة مباشرة أو غير مباشرة، ومن ذلك: الاسم، ورقم الهوية الشخصية، والعناوين، وأرقام التواصل، وأرقام الرخص والسجلات والممتلكات الشخصية، وأرقام الحسابات البنكية والبطاقات الائتمانية، وصور الفرد الثابتة أو المتحركة، وغير ذلك من البيانات ذات الطابع الشخصي.
أما المعالجة فهي أي عملية تجرى على البيانات الشخصية بأي وسيلة كانت يدوية أو آلية، ومنها عمليات الجمع، والتسجيل، والحفظ، والفهرسة، والترتيب، والتنسيق، والتخزين، والتعديل والتحديث، والدمج، والاسترجاع، والاستعمال، والإفصاح، والنقل، والنشر، والمشاركة في البيانات أو الربط البيني، والحجب، والمسح، والإتلاف.
وبحسب ما نشرته جريدة “أم القرى”، أمس، لا تخل الأحكام والإجراءات المنصوص عليها في النظام بأي حكم يمنح حقا لصاحب البيانات الشخصية أو يقرر حماية أفضل لها، ينص عليه نظام آخر أو اتفاقية دولية تكون المملكة طرفا فيها.
ويكون لصاحب البيانات الشخصية – وفقا للأحكام الواردة في النظام – الحق في العلم، ويشمل ذلك إحاطته علما بالمسوغ النظامي أو العملي المعتبر لجمع بياناته الشخصية، والغرض من ذلك، وألا تعالج بياناته لاحقا بصورة تتنافى مع الغرض من جمعها أو في غير الأحوال المنصوص عليها في النظام.
وذلك علاوة على الحق في وصوله إلى بياناته الشخصية المتوافرة لدى جهة التحكم، ويشمل ذلك الاطلاع عليها، والحصول على نسخة منها بصيغة واضحة ومطابقة لمضمون السجلات وبلا مقابل مادي -وفقا لما تحدده اللوائح – وذلك دون إخلال بما يقضي به نظام المعلومات الائتمانية فيما يخص المقابل المالي.
وجهة التحكم أي جهة عامة، وأي شخصية ذات صفة طبيعية أو اعتبارية خاصة، تحدد الغرض من معالجة البيانات الشخصية وكيفية ذلك، سواء أباشرت معالجة البيانات بوساطتها أم بوساطة جهة المعالجة.
وأيضا الحق في طلب تصحيح بياناته الشخصية المتوافرة لدى جهة التحكم، أو إتمامها، أو تحديثها، والحق في طلب إتلاف بياناته الشخصية المتوافرة لدى جهة التحكم مما انتهت الحاجة إليه منها.
وفيما عدا الأحوال المنصوص عليها في النظام، لا تجوز معالجة البيانات الشخصية أو تغيير الغرض من معالجتها إلا بعد موافقة صاحبها. وتبين اللوائح شروط الموافقة، والأحوال التي يجب فيها أن تكون الموافقة كتابية، والشروط والأحكام المتعلقة بالحصول على الموافقة من الولي الشرعي إذا كان صاحب البيانات الشخصية ناقص أو عديم الأهلية.
ومع مراعاة ما ينص عليه النظام واللوائح في شأن الإفصاح عن البيانات الشخصية، على جهة التحكم عند اختيارها جهة المعالجة أن تلتزم باختيار الجهة التي توفر الضمانات اللازمة لتنفيذ أحكام النظام واللوائح، وعليها التحقق بصفة مستمرة من التزام تلك الجهة بالتعليمات التي توجهها إليها في جميع ما يتعلق بحماية البيانات الشخصية بما لا يتعارض مع أحكام النظام واللوائح، ولا يخل ذلك بمسؤولياتها تجاه صاحب البيانات الشخصية أو الجهة المختصة بحسب الأحوال.
وتحدد اللوائح الأحكام اللازمة لذلك، على أن تشتمل على الأحكام المتعلقة بأي تعاقدات لاحقة تقوم بها جهة المعالجة.
ويجوز لجهة التحكم تحديد مدد لممارسة حق الوصول إلى البيانات الشخصية المقرر في الفقرة (2) من المادة (الرابعة) من النظام، وتتولى الجهة المختصة تحديد المدة المناسبة لذلك.
ويجوز كذلك لجهة التحكم تقييد هذا الحق إذا كان ذلك ضروريا لحماية صاحب البيانات الشخصية أو غيره من أي ضرر، وفق الأحكام التي تحددها اللوائح، وإذا كانت جهة التحكم جهة عامة، وكان التقييد مطلوبا لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية.
ويجب على جهة التحكم ألا تمكن صاحب البيانات الشخصية من الوصول إليها متى تحقق أي من الأحوال المنصوص عليها في الفقرات (1) و(2) و(3) و(4) و(5) و(6) من المادة (السادسة عشرة) من النظام.
ولا يجوز لجهة التحكم جمع البيانات الشخصية إلا من صاحبها مباشرة، ولا تجوز كذلك معالجة تلك البيانات إلا لتحقيق الغرض الذي جمعت من أجله.
ومع ذلك، يجوز لجهة التحكم جمع البيانات الشخصية من غير صاحبها مباشرة، أو معالجتها لغرض آخر غير الذي جمعت من أجله، وذلك إذا وافق صاحب البيانات الشخصية على ذلك، وفقا لأحكام النظام، وإذا كانت البيانات الشخصية متاحة للعموم، أو جرى جمعها من مصدر متاح للعموم.
علاوة على إذا كانت جهة التحكم جهة عامة، وكان جمع البيانات الشخصية من غير صاحبها مباشرة، أو معالجتها لغرض آخر غير الذي جمعت من أجله، مطلوبا لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية وفق الأحكام التي تحددها اللوائح.
ويجوز لجهة التحكم جمع البيانات الشخصية إذا كان التقيد بهذا الحظر قد يلحق ضررا بصاحب البيانات الشخصية أو يؤثر في مصالحه الحيوية، وفق الأحكام التي تحددها اللوائح، وإذا كان جمع البيانات الشخصية أو معالجتها ضروريا لحماية الصحة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم. وتبين اللوائح الضوابط والإجراءات المتعلقة بذلك.
وأيضا إذا كانت البيانات الشخصية لن تسجل أو تحفظ في صيغة تجعل من الممكن تحديد هوية صاحبها ومعرفته بصورة مباشرة أو غير مباشرة. وتبين اللوائح الضوابط والإجراءات المتعلقة بذلك.
ويجب أن يكون الغرض من جمع البيانات الشخصية ذا علاقة مباشرة بأغراض جهة التحكم، وألا يتعارض مع أي حكم مقرر نظاما، كما يجب ألا تتعارض طرق جمع البيانات الشخصية ووسائلها مع أي حكم مقرر نظاما، وأن تكون ملائمة لظروف صاحبها، ومباشرة وواضحة وآمنة، وخالية من أساليب الخداع أو التضليل أو الابتزاز.
فيما عدا البيانات الحساسة، تجوز معالجة البيانات الشخصية لأغراض تسويقية، إذا جرى جمعها من صاحبها مباشرة ووافق على ذلك وفق أحكام النظام. وتحدد اللوائح الضوابط اللازمة لذلك.
ويجوز جمع البيانات الشخصية أو معالجتها لأغراض علمية أو بحثية أو إحصائية دون موافقة صاحبها، في الأحوال الآتية، إذا لم تتضمن البيانات الشخصية ما يدل على هوية صاحبها على وجه التحديد، وإذا كان سيجرى إتلاف ما يدل على هوية صاحب البيانات الشخصية على وجه التحديد خلال عملية معالجتها وقبل الإفصاح عنها لأي جهة أخرى ولم تكن تلك البيانات بيانات حساسة، وإذا كان جمع البيانات الشخصية أو معالجتها لهذه الأغراض يقتضيها نظام آخر أو تنفيذا لاتفاق سابق يكون صاحبها طرفا فيه.
وبحسب النظام الذي سيتم العمل به بعد 180 يوما من تاريخ نشره في الجريدة الرسمية، لا يجوز تصوير الوثائق الرسمية التي تحدد هوية صاحب البيانات الشخصية أو نسخها، إلا عندما يكون ذلك تنفيذا لأحكام نظام، أو عندما تطلب جهة عامة مختصة تصوير تلك الوثائق أو نسخها وفق ما تحدده اللوائح.
وفيما عدا حالات الضرورة القصوى للمحافظة على حياة صاحب البيانات خارج المملكة أو مصالحه الحيوية أو الوقاية من عدوى مرضية أو فحصها أو معالجتها، لا يجوز لجهة التحكم نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة إلا إذا كان ذلك تنفيذا لالتزام بموجب اتفاقية تكون المملكة طرفا فيها، أو لخدمة مصالح المملكة، أو لأغراض أخرى وفقا لما تحدده اللوائح.
ويأتي ذلك بعد أن تتوافر شروط، أولها ألا يترتب على النقل أو الإفصاح مساس بالأمن الوطني أو بمصالح المملكة الحيوية، أن تقدم ضمانات كافية للمحافظة على البيانات الشخصية التي سيجري نقلها أو الإفصاح عنها وعلى سريتها، حيث لا تقل معايير حماية البيانات الشخصية عن المعايير الواردة في النظام واللوائح
وبحسب النظام، مع عدم الإخلال بأي عقوبة أشد منصوص عليها في نظام آخر، تكون عقوبة ارتكاب مخالفة كل من أفصح عن بيانات حساسة أو نشرها مخالفا أحكام النظام: يعاقب بالسجن مدة لا تزيد على (عامين) وبغرامة لا تزيد على (ثلاثة ملايين) ريال، أو بإحدى هاتين العقوبتين، إذا كان ذلك بقصد الإضرار بصاحب البيانات أو بقصد تحقيق منفعة شخصية.
وكل من خالف أحكام المادة (التاسعة والعشرين) من النظام: يعاقب بالسجن مدة لا تزيد على (عام) وبغرامة لا تزيد على (مليون) ريال، أو بإحدى هاتين العقوبتين.
وتختص النيابة العامة بمهمة التحقيق والادعاء أمام المحكمة المختصة عن المخالفات المنصوص عليها في هذه المادة، وتتولى المحكمة المختصة النظر في الدعاوى الناشئة من تطبيق هذه المادة وإيقاع العقوبات المقررة.
ويجوز للمحكمة المختصة مضاعفة عقوبة الغرامة في حالة العود حتى لو ترتب عليها تجاوز الحد الأقصى لها على ألا تتجاوز ضعف هذا الحد.

مقالات ذات صلة

أترك رداً

زر الذهاب إلى الأعلى