أمْهَل هذا القانون المؤسسات عاماً واحداً منذ دخوله حيز التنفيذ في 14 سبتمبر 2023 لتحقيق الامتثال مع مضمونه ولوائحه، وأصبح قانوناً ملزماً للجميع بتاريخ 14 من سبتمبر 2024.
من الذي يُطبّق عليه هذا القانون الجديد ومن المسؤول عن فرضه وتنفيذه؟ تابعوا القراءة لمعرفة المزيد ولتعزيز جهودكم في الامتثال لهذا القانون.
من يجب عليه الامتثال لقانون حماية البيانات الشخصية؟
ينطبق قانون حماية البيانات الشخصية على مؤسستكم إذا كنتم تقومون بمعالجة البيانات الشخصية أو البيانات الشخصية الحساسة المتعلقة بالأفراد المقيمين في المملكة العربية السعودية.
وينطبق هذا القانون على المؤسسات العامة أو الخاصة على حد سواء طالما تعلقت البيانات بأفراد في المملكة العربية السعودية، كما ينطبق كذلك على المؤسسات الأجنبية التي تعالج بيانات شخصية تتعلق بأفراد يقيمون في المملكة العربية السعودية.
من المسؤول عن فرض وتنفيذ قانون حماية البيانات الشخصية؟
الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) هي الجهة الرئيسية المسؤولة عن فرض تطبيق قانون حماية البيانات الشخصية داخل حدود المملكة. وبالإضافة إلى دور الهيئة في معاقبة المؤسسات المخالفة لهذا القانون، يُرتجى من الهيئة تقديم النصح والمشورة للمؤسسات حول الضوابط المطلوب وجودها لتطبيق أنظمة حماية البيانات بشكل صحيح.
تشرف الهيئة على تنفيذ هذا القانون الجديد حالياً، وسيتم نقل مسؤولية الإشراف في العام 2025 إلى مكتب إدارة البيانات الوطنية.
ماهي عقوبات مخالفة قانون حماية البيانات الشخصية؟
يمكن أن تصل مخالفات انتهاك قانون حماية البيانات الشخصية إلى 5 ملايين ريال سعودي، ويمكن للسلطات القضائية المختصة مضاعفة هذا الحد في حال الانتهاكات المتكررة. كما تُفرض عقوبات جنائية تصل إلى السجن لمدة عامين في حال الإفصاح عن البيانات الحساسة أو نشرها بما يخالف هذا القانون وبغرض تحقيق مصالح شخصية أو لإلحاق الضرر بأصحاب البيانات.
ماهي الأدوار والمسؤوليات في المؤسسات الخاضعة لهذا القانون؟
يحدد قانون حماية البيانات الشخصية نوعين من الأدوار لتصنيف المؤسسات فيما يتعلق بإدارة البيانات الشخصية - جهة التحكم وجهة المعالجة.
المتحكم هو مؤسسة تتخذ القرارات بشأن أغراض ووسائل معالجة البيانات الشخصية، وهو المسؤول النهائي عن المعالجة تحت هذا القانون.
المعالج هو مؤسسة تقوم بمعالجة البيانات الشخصية بالنيابة عن المتحكم، وعلى عكس المتحكم لا يتخذ المعالج أي قرارات بشأن أغراض وطرق معالجة البيانات الشخصية ويكتفي بتلقي التوجيهات من المتحكم.
يشمل القانون عدداً من الالتزامات الرئيسية وهي:
إدارة الموافقة
يتطلب قانون حماية البيانات الشخصية من المؤسسات عدم معالجة البيانات الشخصية دون موافقة صاحبها باستثناء الحالات المنصوص عليها في اللوائح التنفيذية. يجب على المؤسسات الحصول على موافقة يمنحها صاحب البيانات الشخصية طوعاً دون إرغام، ويجب الحصول على موافقة مستقلة لكل غرض من أغراض المعالجة.
سياسة الخصوصية
يتطلب قانون حماية البيانات الشخصية من المؤسسات اعتماد سياسة خصوصية البيانات الشخصية وتوفيرها لأصحاب البيانات لمراجعتها قبل جمع بياناتهم. يجب أن تتضمن هذه السياسة الغرض من الجمع ومحتوى البيانات الشخصية التي سيتم جمعها وطريقة جمعها ووسائل تخزينها وكيف ستتم معالجتها وكيف سيتم اتلافها وحقوق صاحبها عليها وكيف ستتم ممارسة هذه الحقوق.
ضوابط الأمان
يتطلب قانون حماية البيانات الشخصية من المؤسسات اتخاذ التدابير والوسائل التنظيمية والإدارية والفنية اللازمة للحفاظ على البيانات الشخصية، بما في ذلك عند تخزينها أو نقلها.
التعامل مع خروقات البيانات
يتطلب قانون حماية البيانات الشخصية من المؤسسات إخطار الهيئة التنظيمية بخروقات البيانات خلال مدة لا تتجاوز 72 ساعة من لحظة علم المؤسسة بحدوث الخرق. وبالإضافة إلى ذلك، يجب على مسؤول البيانات تزويد الهيئة التنظيمية بتحليل مفصل للانتهاك والخطوات التي يتم اتخاذها لضمان عدم تكرار مثل هذا الحادث.
تعيين مسؤول حماية البيانات
لضمان الالتزام بقانون حماية البيانات الشخصية، وضعت الهيئة قواعد لتعيين مسؤول حماية البيانات الشخصية. عليكم مراجعة هذه القواعد لتحديد ما إذا كانت مؤسستكم ملزمة بتعيين مسؤول حماية البيانات الشخصية أم لا.
تقييم تأثير حماية البيانات
يلزم قانون حماية البيانات الشخصية المؤسسات بتقييم عواقب معالجة البيانات الشخصية لأي منتج أو خدمة مقدمة للجمهور، وذلك وفقاً لطبيعة أنشطة المعالجة الخاصة بكل مؤسسة.
سجل أنشطة المعالجة
بموجب قانون حماية البيانات الشخصية، يجب على المؤسسات الاحتفاظ بسجلات لكافة أنشطة معالجة البيانات الشخصية لديها أثناء فترة المعالجة ولمدة خمس سنوات إضافية من تاريخ استكمال أنشطة المعالجة.
متطلبات تقييم الموردين والجهات الخارجية
عند اختيار المؤسسات للموردين والجهات الخارجية للقيام بمعالجة البيانات، يستوجب القانون اختيار مؤسسات توفر الضمانات اللازمة فيما يتعلق بالتزامها بقانون حماية البيانات الشخصية، كما يجب التحقق باستمرار من امتثال تلك المؤسسات لتعليمات القانون في جميع الأمور المتعلقة بحماية البيانات الشخصية.
متطلبات نقل البيانات عبر الحدود
يسمح قانون حماية البيانات الشخصية بنقل البيانات خارج حدود المملكة العربية السعودية ولكنه يتطلب من الدولة المتلقية أن يكون لديها تشريعات تضمن الحماية المناسبة للبيانات الشخصية وأن يكون لديها جهة مشرفة على تنفيذ الإجراءات والتدابير المناسبة على المتحكمين لحماية البيانات الشخصية.
كيف يمكن للمؤسسات ضمان الامتثال مع قانون حماية البيانات الشخصية؟
ستكون هناك جداول زمنية مختلفة لتنفيذ القانون على المؤسسات العاملة في قطاعات محددة (مثل المؤسسات المالية والشركات الخاصة التي تعمل بشكلٍ رئيسي مع الحكومة والمؤسسات العامة، إلخ) وستقوم السلطة المختصة في كل قطاع بالإعلام عن ذلك. وفي هذه الأثناء يتوجب على الشركات والمؤسسات أن تبقى على أهبة الاستعداد في جهودها لضمان الامتثال لهذا القانون لتحقيق حماية وسرية البيانات الشخصية.
وفرت الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) وكذلك مكتب إدارة البيانات الوطنية مجموعة من المراجع والأدوات لمساعدة المؤسسات في تطبيق القانون:
المراكز المعرفية
مكتب إدارة البيانات الوطنية - المركز المعرفي
سدايا - الأنظمة واللوائح
أدوات التقييم الذاتي
التقييم الذاتي للالتزام بنظام حماية البيانات الشخصية
تم تصميم هذا التقييم لمساعدة المؤسسات في معرفة مدى التزامها بأحكام نظام حماية البيانات الشخصية ولوائحه.
تساعد حماية البيانات على بناء الثقة بين المؤسسات وعملائها وتوفر منصة قوية لإطلاق الشراكات الناجحة. وهذا ما نوفره نحن في يونيفونك حيث تتمثل جميع منتجاتنا وخدماتنا مع قوانين ولوائح حماية البيانات، وهذا أيضاً ما يجعلنا الجهة الأمثل لمساعدة عملائنا على التعامل مع أي صعوبات أو تعقيدات في الامتثال لهذه المعايير الجديدة.
كان هذا استعراضاً عاماً لقانون حماية البيانات الشخصية، و سنشرح في مدونتنا القادمة كيف ومتى يجب الحصول على موافقة العملاء، خاصةً وأن القانون قد دخل الآن حيز التنفيذ.
يمثل ما ذكرناه أعلاه ملخصاً لقانون حماية البيانات الشخصية، إلا أن يونيفونك لا تقدم المشورة القانونية، ويجب عليكم استشارة فريقكم القانوني قبل اتخاذ أي إجراءات تتعلق بامتثالكم لقانون حماية البيانات الشخصية.
