صدرت موافقة مجلس الوزراء السعودي، مؤخرًا، على نظام حماية البيانات الشخصية، حيث يُسهم هذا النظام في تعزيز المسؤولية لدى الأفراد والجهات، وترسيخ احترام الحياة الخاصة، مما يمكِّن من خلق مجتمع حيوي وآمن، ويساعد على صناعة اقتصاد رقمي قائم على البيانات. ويأتي هذا النظام في إطار التحوُّل الرقمي، الذي يُعد إحدى الركائز الرئيسة لتحقيق أهداف رؤية المملكة 2030، من خلال تطوير البنية التحتية الرقمية الداعمة للابتكار. ويسعى النظام إلى حماية الحقوق المتعلقة بمعالجة البيانات الشخصية، وينظِّم طريقة مشاركتها بين الجهات، ويحدُّ من إساءة استخدامها. ضبط الحقوق والصلاحيات وفي إطاره العام، يحرص النظام على أن يقتصر جمع البيانات الشخصية على الحد الأدنى من البيانات الذي يمكِّن من تحقيق الأغراض المحددة. كما يكفل لأصحاب البيانات الشخصية الحق في الاطلاع على بياناتهم، ومعرفة الغرض من جمعها ومعالجتها، ويعطيهم صلاحية الوصول إليها أو الحصول على نسخة منها، وطلب تصحيحها وتحديثها وإتلافها بعد انتهاء الغرض من جمعها. إلى جانب ذلك، يكفل النظام لصاحب البيانات طلب حصر معالجة بياناته الشخصية على حالات خاصة أو فترة زمنية محدودة، كما يُعطيه الحق في طلب الاعتراض على معالجة بياناته الشخصية، أو العدول عن موافقته في حالات معيَّنة.
ما هي عقوبة من يفصح عن بيانات حساسة في نظام حماية البيانات الشخصية الجديد؟ وبداية دعونا نتعرف على حقوق صاحب البيانات، و التي أقرها مجلس الوزراء السعودي في جلسته الأخيرة، و منها على سبيل المثال: له كل الحق في معرفة المسوغ النظامي الذي تم به جمع بياناته حتى لا يتم معالجتها لاحقاً بشكل يتنافى مع هذا المسوغ، كما إن له الحق أيضا في الوصول الى جميع بياناته الشخصية الموجودة عند جهة التحكم، فيمكنه الاطلاع عليها، و يمكنه أيضا استخراج نسخة منها بدون مقابل. هذا بالإضافة إلى أن له الحق في تقديم طلب من أجل تصحيح أي بيانات خاصة به متوافرة عند جهة التحكم، أو تحديث أو إتلاف ما لا يحتاج اليه، مع العلم بأنه لا يمكن معالجة أي بيانات شخصية لأي فرد دون موافقته شخصيا، مع العلم بأن هناك استثناء حتى يتم معالجة البيانات الشخصية دون موافقة صاحبها، وهي: في حالة أن تحقق معالجة تلك البيانات مصلحة لصاحبها ولا يمكن الاتصال به. عندما تكون المعالجة نتيجة اتفاق سابق مع صاحبها. إذا كانت المعالجة الهدف منها أغراض أمنية أو أغراض قضائية. ما هي المسؤولية التي تقع على عاتق جهة التحكم ؟ وقد أقر نظام حماية البيانات بأن جهة التحكم يقع على عاتقها ، اختيار الجهة المناسبة التي يمكنها توفير كافة الضمانات اللازمة من أجل تنفيذ كافة الأحكام المدرجة في النظام واللوائح، والعمل على التحقق من التزامها التام بتعليمات حماية البيانات الشخصية.
وأوضح النظام أنه لا تجوز معالجة البيانات الشخصية أو تغيير الغرض من معالجتها إلا بعد موافقة صاحبها، فيما عدا الحالات التي تحقق فيها المعالجة مصلحة متحققة لصاحب البيانات وكان الإتصال به متعذراً، أو عندما تكون المعالجة بمقتضی نظام آخر أو تنفيذ لإتفاق سابق يكون صاحب البيانات الشخصية طرفاً فيه، أو إذا كانت تلك المعالجة مطلوبة لأغراض أمنية أو لاستیفاء متطلبات قضائية. وفرض النظام على الجهات التي تقوم بجمع ومعالجة البيانات الشخصية أن تعتمد سياسة لخصوصية البيانات الشخصية، وأن تجعلها متاحة لأصحابها ليطلعوا عليها قبل جمع بياناتهم، على أن تشتمل تلك السياسة على تحديد الغرض من جمعها، ومحتوى البيانات الشخصية المطلوب جمعها، وطريقة جمعها، ووسيلة حفظها، وكيفية معالجتها، وكيفية إتلافها، وحقوق صاحبها فيما يتعلق بها، وكيفية ممارسة هذه الحقوق. كما حظر النظام على هذه الجهات الإفصاح عن البيانات الشخصية، وإتخاذ ما يلزم من إجراءات ووسائل تنظيمية وإدارية وتقنية تضمن المحافظة على البيانات الشخصية من التسرب أو التلف أو الوصول غير المشروع إليها. وفرض النظام عقوبات متنوعة في حالة مخالفة أحكامه تتراوح من الإنذار إلى الغرامة والسجن، ويجوز للمحكمة تضمين حكمها عقوبة التشهير، وذلك بالنشر على نفقة المحكوم عليه، على أن يكون نشر الحكم بعد إكتسابه الصفة القطعية.
الحق في طلب إتلاف بياناته الشخصية المتوافرة لدى جهة التحكم متى ما انتهت الحاجة إليها. عدم جواز معالجة البيانات الشخصية أو تغيير الغرض من معالجتها إلا بعد موافقة صاحبها، ويجوز لصاحب البيانات الشخصية الرجوع عن الموافقة في أي وقت. يسمح النظام لجهة التحكم في حالات معينه أن تقوم بمعالجة البيانات دون الحصول على موافقة صاحب البيانات ويكون ذلك في الحالات التالية: في حال كانت معالجة البيانات تحقق مصلحة لصاحب البيانات وكان الاتصال به متعذراً. عندما تكون المعالجة بمقتضى نظام آخر أو تنفيذاً لاتفاق سابق مع صاحب البيانات. إذا كانت جهة التحكم جهة عامة وكانت تلك المعالجة مطلوبة لأغراض أمنية أو لاستيفاء متطلبات قضائية. يرتب النظام التزامات متعددة على جهة التحكم، ومنها: يجب على جهة التحكم اعتماد سياسة لخصوصية البيانات الشخصية، وأن تكون السياسة متاحة للأفراد ليطلعوا عليها قبل جمع بياناتهم. يجب على جهة التحكم عند اختيارها لجهة المعالجة أن تلتزم باختيار الجهة التي توفر الضمانات اللازمة لتنفيذ أحكام النظام واللوائح، وعليها ايضاً ان تتحقق بشكل مستمر من قيام جهة المعالجة من أداء التزاماتها. على جهة التحكم في حالة جمع البيانات الشخصية من صاحبها مباشرة: أ) إحاطته علماً بالأسباب النظامية أو العملية لجمع بياناته الشخصية، ب) والغرض من جمع تلك البيانات ج) ومعلومات من يقوم بجمعها، د) والجهات التي سيتم الإفصاح لها، هـ) وهل سيتم الإفصاح عن البيانات أو نقلها أو معالجتها خارج المملكة.
ألا يترتب على النقل أو الإفصاح مساس بالأمن الوطني أو بمصالح المملكة الحيوية. أن يقتصر النقل أو الإفصاح على الحد الأدنى من البيانات الشخصية الذي تدعو الحاجة إليه. موافقة الجهة المختصة على النقل أو الإفصاح. حدد النظام الحالات الخاصة التي يُسمح لجهة التحكم الإفصاح فيها عن البيانات، ويكون الإفصاح في غيرها مخالفاً وهي: إذا وافق صاحب البيانات الشخصية على الإفصاح. إذا تم جمع البيانات الشخصية عن طريق مصدر متاح للعموم. إذا كان الإفصاح سيقتصر على معالجتها لاحقاً بطريقة لا تؤدي إلى معرفة هوية صاحب البيانات الشخصية أو أي فرد آخر على وجه التحديد. إذا كانت الجهة التي تطلب الإفصاح جهة عامة وكان لأغراض أمنية. إذا كان الإفصاح لتنفيذ نظام آخر أو استيفاء متطلبات قضائية. أو إذا كان الإفصاح ضرورياً لحماية الصحة، أو السلامة العامة، أو حماية فرد، أو أفراد معينين، أو حماية صحتهم. وقد منع النظام الإفصاح في الحالات الثلاث الأولى في بعض الأوضاع كأن يمثل الإفصاح خطراً أمنياً، أو يتعارض مع مصالح المملكة، أو يمنع من كشف جريمة، أو يترتب عليه انتهاك خصوصية فرد آخر، أو يؤدي إلى الكشف عن مصدر سري للمعلومات، أو غيرها من الأوضاع المنصوص عليها في النظام واللوائح.
وبالنسبة للفحص النافي للجهالة والافصاح عن البيانات الائتمانية بناء على المادة ٢٤ من النظام يشترط التحقق من توافر الموافقة الكتابية من صاحب البيانات الشخصية وفق أحكام النظام ونظام المعلومات الائتمانية وإشعار صاحب البيانات الشخصية عند ورود طلب الإفصاح عن بياناته الائتمانية من أي جهة وإرسال الايميلات الترويجية والتوعوية بناء على المادة ٢٥ من النظام يشترط: أن تؤخذ موافقة المتلقي على إرسال هذه المواد إليه. أن يتمكن المتلقي من إبداء رغبته في التوقف عن إرسالها إليه عند رغبته في ذلك. وسوف تنظم اللائحة تفاصيل ذلك وحالات يمنع فيها الإفصاح عن البيانات في حال كان الإفصاح كان يمثل خطرا على الامن، او يسيء الى سمعة المملكة، او يتعارض مع مصالحها، أو يؤثر على علاقتها مع دولة أخرى يمنع كشف جريمة، او يمس بحق متهم في الحصول على محاكمة عادلة، او يؤثر في سلامة إجراءات جنائية قائمة. يعرض سلامة فرد او افراد للخطر يخل بالتزامات مهنية مقررة نظاماً، أو ينطوي عليه اخلال بالتزام او اجراء او حكم قضائي او ان يكشف عن مصدر سري للمعلومات تحتم المصلحة العامة عدم الكشف عنه. ومن اهم من أهم مسؤوليات جهة التحكم التي تجمع البيانات الشخصية ويجب على جهة التحكم المحافظة على البيانات الشخصية واتخاذ ما يلزم من إجراءات ووسائل تنظيمية وإدارية وتقنية تضمن المحافظة على البيانات الشخصية بما في ذلك عند نقلها وذلك وفقا للأحكام والضوابط التي تحددها اللائحة.