Back
Back

نشرة العملاء – نظام حماية البيانات الشخصية السعودي

On

25.11.21

Reading Time:

time

min

Share On

مقدمة

وافقت المملكة العربية السعودية (المملكة) في السادس عشر من سبتمبر لعام 2021م على نظام حماية البيانات الشخصية (النظام) الذي رتّب آثار مهمة على نشاط الجهات القائمة في المملكة وعلى المستثمرين الذين يطمحون إلى عقد صفقات في المملكة.

يدخل النظام حيز النفاذ بعد مضي 180 يومًا من تاريخ نشره في الجريدة الرسمية (أي في 23 مارس 2022م تقريبًا)، وينبغي أن تنشر الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) اللوائح التنفيذية للنظام قبل نفاذه، بَيد أن الجهات ستتمتع بمهلة مدتها عام من تاريخ نفاذ النظام وذلك لتعديل أوضاعها وامتثالها للنظام.

شمل النظام جوانب عديدة، منها على سبيل المثال لا الحصر الأحكام التي تتطرق إلى خصوصية البيانات وحمايتها، والحقوق المتعلقة بصاحب البيانات الشخصية والتزاماته ومسؤولياته بالإضافة إلى مسؤوليات الجهات. كما يهدف النظام إلى حماية البيانات الشخصية بضمانه الشفافية بين الجهات وصاحب البيانات الشخصية، وكذلك مشروعية الأنشطة في الجهات فيما يتعلق بالبيانات الشخصية.

تعريفات مصطلحات النظام الرئيسة

"جهة التحكم" أي جهة عامة، وأي شخصية ذات صفة طبيعية أو اعتبارية خاصة؛ تحدد الغرض من معالجة البيانات الشخصية وكيفية ذلك، سواء أباشرت معالجة البيانات بوساطتها أم بوساطة جهة المعالجة.

"الجمع" حصول جهة التحكم على البيانات الشخصية وفقًا لأحكام النظام، سواء من صاحبها مباشرة أو ممن يمثله أو ممن له الولاية الشرعية عليه أو من طرف آخر.

"صاحب البيانات الشخصية" الفرد الذي تتعلق به البيانات الشخصية أو من يمثله أو من له الولاية الشرعية عليه.

"البيانات الشخصية" كل بيان -مهما كان مصدره أو شكله- من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعل التعرف عليه ممكنًا بصفة مباشرة أو غير مباشرة، ومن ذلك: الاسم، ورقم الهوية الشخصية، والعناوين، وأرقام التواصل، وأرقام الرخص والسجلات والممتلكات الشخصية، وأرقام الحسابات البنكية، والبطاقات الائتمانية، وصور الفرد الثابتة أو المتحركة، ووغير ذلك من البيانات ذات الطابع الشخصي.

"المعالجة" أي عملية تجرى على البيانات الشخصية بأي وسيلة كانت يدوية أو آلية، ومن ذلك: عمليات الجمع، والتسجيل، والحفظ، والفهرسة، والترتيب، والتنسيق، والتخزين، والتعديل، والتحديث، والدمج، والاسترجاع، والاستعمال، والإفصاح، والنقل، والنشر، والمشاركة في البيانات أو الربط الجيني، والحجب، والمسح، والإتلاف.

"جهة المعالجة" أي جهة عامة، وأي شخصية ذات صفة طبيعية أو اعتبارية خاصة؛ تعالج البيانات الشخصية لمصلحة جهة التحكم ونيابة عنها.

نطاق التطبيق

يطبق النظام على:

  • أي عملية معالجة لبيانات شخصية تتعلق بالأفراد تتم في المملكة بأي وسيلة كانت.
  • أي معالجة لبيانات شخصية تتعلق بالأفراد المقيمين في المملكة بأي وسيلة كانت من أي جهة خارج المملكة، وفي هذه الحالة تعين الجهة ممثلًا مفوضًا للوفاء بالتزاماتها في المملكة بموجب النظام.

يستثنى من تطبيق النظام قيام الفرد بمعالجة البيانات الشخصية لأغراض لا تتجاوز الاستخدام الشخصي أو العائلي، طالما لم ينشرها أو يفصح عنها للغير. (تحدد اللوائح المقصود بالاستخدام الشخصي والعائلي).

علاوة على ذلك، لا تخل أحكام النظام بأي حكم يمنح حقًّا لصاحب البيانات الشخصية أو يقرر حماية أفضل لها، ينص عليه أي نظام آخر أو اتفاقية دولية تكون المملكة طرفًا فيها.

حقوق صاحب البيانات الشخصية

يعزز النظام من الحماية المتعلقة بالبيانات الشخصية بموجب الأنظمة السعودية، حيث يضمن -في بعض الحالات ووفق استثناءات معينة- الحقوق الآتية لصاحب البيانات الشخصية في علاقته مع جهتي المعالجة والتحكم:

  1. حق العلم بالمسوغ النظامي لجمع البيانات الشخصية.
  2. الموافقة على معالجة البيانات الشخصية.
  3. حق الوصول إلى البيانات الشخصية لدى جهة التحكم والحصول على نسخة منها.
  4. حق طلب تصحيح البيانات الشخصية أو تحديثها.
  5. حق طلب إتلاف البيانات الشخصية التي انتهى الغرض من جمعها أو معالجتها.

التزامات جهة التحكم

حدد النظام أيضًا -في بعض الحالات وبموجب استثناءات معينة- عدة التزامات على جهة التحكم، تشمل:

  1. حفظ البيانات الشخصية داخل المملكة.
  2. اختيار جهات معالجة تقدم الضمانات اللازمة لتنفيذ النظام ولوائحه التنفيذية.
  3. وضع سياسة خصوصية البيانات وتنفيذها.
  4. التحقق من دقة وصحة الغرض الذي تجمع من أجله أي بيانات شخصية.
  5. عدم الإفصاح عن البيانات الشخصية باستثناء حالات محددة ينص عليها النظام.
  6. اتخاذ الاحتياطات الإدارية والتنظيمية والتقنية لحماية البيانات الشخصية.
  7. إخطار الجهة المختصة (سدايا حاليًا) فورًا حال تسرب البيانات الشخصية أو تلفها أو الوصول غير المشروع إليها.
  8. الاستجابة لطلب صاحب البيانات الشخصية لممارسة حقوقه التي نص عليها النظام.
  9. إجراء تقويم للآثار المترتبة على أنشطة المعالجة.
  10. عدم استخدام وسائل الاتصال الشخصية (مثل العنوان البريدي أو الإلكتروني) لأغراض تسويقية إلا بعد الحصول على موافقة صاحب البيانات الشخصية، أو أن يقدم المرسِل آلية واضحة تمكّن المستقبل من إلغاء هذا التواصل.
  11. عدم نسخ الوثائق الرسمية التي تحدد هوية صاحب البيانات الشخصية (مثل جواز السفر أو بطاقة الهوية الوطنية أو الإقامة) إلا في حال كان تنفيذًا لأحكام النظام أو بطلب من جهة مختصة عامة.
  12. تعيين موظف أو أكثر من منسوبيها ليكون مسؤولًا عن الالتزام بتطبيق النظام.
  13. عقد جلسات عمل للموظفين لتعريفهم بالنظام وما ورد فيه.
  14. الاحتفاظ بسجلات أنشطة معالجة البيانات الشخصية.
  15. التسجيل في البوابة الإلكترونية المتاحة، ودفع رسوم سنوية، سواء كانت جهة التحكم جهة خاصة أو أفراد، لا تزيد على مئة ألف ريال.

تحدد لوائح النظام التنفيذية ضوابط الحماية لمعالجة البيانات الصحية والائتمانية.

العقوبات

مع عدم الإخلال بأي عقوبة أشد ينص عليها نظام آخر، تكون عقوبة ارتكاب المخالفات الآتية حسب ما دوّن أمامها:

  • يعاقب كل من أفصح عن بيانات تشير إلى أصل الفرد العرقي أو القبلي أو معتقده الديني أو رأيه السياسي أو الفكري أو ما من شأنه أن يدل على عضويته في جمعيات أو مؤسسات أهلية، وكذلك البيانات الأمنية والجنائية وبيانات السمات الحيوية التي تحدد الهوية أو البيانات الوراثية أو البيانات الائتمانية أو البيانات الصحية أو بيانات تحديد الموقع أو البيانات التي من شأنها أن تدل على أن الفرد مجهول الأبوين أو أحدهما، مخالفًا فيها النظام؛ بالسجن مدة لا تزيد على (سنتين) وغرامة لا تتجاوز (ثلاثة ملايين) ريال أو إحداهما.
  • يعاقب كل من نقل البيانات الشخصية إلى خارج المملكة مخالفًا أحكام النظام؛ بالسجن مدة لا تزيد على (سنة) وغرامة لا تتجاوز (مليون) ريال أو بإحداهما.
  • في ما لم يرد في شأنه النظام أو لوائحه التنفيذية تعاقب كل شخصية ذات صفة طبيعية أو اعتبارية خاصة -مشمولة بأحكام النظام- خالفت أيًّا من أحكام النظام أو اللوائح بالإنذار أو بغرامة لا تزيد على (خمسة ملايين) ريال.

كما أجاز النظام مضاعفة عقوبة غرامة مخالفة النظام في حال تكرارها.

وختامًا، ودون الإخلال بما نص عليه النظام من عقوبات، يحق لمن لحقه أي ضرر نتيجة مخالفة للنظام المطالبة بالتعويض عن الضرر المادي أو المعنوي

Key Contact Person

Practices

No items found.

Sectors

There are no sectors at the moment.

You may also be interested in:

K&A Successfully Brings Saudi Aramco Base Oil Company (Luberef) to Market
K&A Names Private Equity Law Firm of the Year
K&A Ranked as Top Tier Firm in Saudi Arabia by Legal 500
رجوع
رجوع

نشرة العملاء – نظام حماية البيانات الشخصية السعودي

في

25.11.21

وقت القراءة:

وقت

دقيقة

شارك علي

مقدمة

وافقت المملكة العربية السعودية (المملكة) في السادس عشر من سبتمبر لعام 2021م على نظام حماية البيانات الشخصية (النظام) الذي رتّب آثار مهمة على نشاط الجهات القائمة في المملكة وعلى المستثمرين الذين يطمحون إلى عقد صفقات في المملكة.

يدخل النظام حيز النفاذ بعد مضي 180 يومًا من تاريخ نشره في الجريدة الرسمية (أي في 23 مارس 2022م تقريبًا)، وينبغي أن تنشر الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) اللوائح التنفيذية للنظام قبل نفاذه، بَيد أن الجهات ستتمتع بمهلة مدتها عام من تاريخ نفاذ النظام وذلك لتعديل أوضاعها وامتثالها للنظام.

شمل النظام جوانب عديدة، منها على سبيل المثال لا الحصر الأحكام التي تتطرق إلى خصوصية البيانات وحمايتها، والحقوق المتعلقة بصاحب البيانات الشخصية والتزاماته ومسؤولياته بالإضافة إلى مسؤوليات الجهات. كما يهدف النظام إلى حماية البيانات الشخصية بضمانه الشفافية بين الجهات وصاحب البيانات الشخصية، وكذلك مشروعية الأنشطة في الجهات فيما يتعلق بالبيانات الشخصية.

تعريفات مصطلحات النظام الرئيسة

"جهة التحكم" أي جهة عامة، وأي شخصية ذات صفة طبيعية أو اعتبارية خاصة؛ تحدد الغرض من معالجة البيانات الشخصية وكيفية ذلك، سواء أباشرت معالجة البيانات بوساطتها أم بوساطة جهة المعالجة.

"الجمع" حصول جهة التحكم على البيانات الشخصية وفقًا لأحكام النظام، سواء من صاحبها مباشرة أو ممن يمثله أو ممن له الولاية الشرعية عليه أو من طرف آخر.

"صاحب البيانات الشخصية" الفرد الذي تتعلق به البيانات الشخصية أو من يمثله أو من له الولاية الشرعية عليه.

"البيانات الشخصية" كل بيان -مهما كان مصدره أو شكله- من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعل التعرف عليه ممكنًا بصفة مباشرة أو غير مباشرة، ومن ذلك: الاسم، ورقم الهوية الشخصية، والعناوين، وأرقام التواصل، وأرقام الرخص والسجلات والممتلكات الشخصية، وأرقام الحسابات البنكية، والبطاقات الائتمانية، وصور الفرد الثابتة أو المتحركة، ووغير ذلك من البيانات ذات الطابع الشخصي.

"المعالجة" أي عملية تجرى على البيانات الشخصية بأي وسيلة كانت يدوية أو آلية، ومن ذلك: عمليات الجمع، والتسجيل، والحفظ، والفهرسة، والترتيب، والتنسيق، والتخزين، والتعديل، والتحديث، والدمج، والاسترجاع، والاستعمال، والإفصاح، والنقل، والنشر، والمشاركة في البيانات أو الربط الجيني، والحجب، والمسح، والإتلاف.

"جهة المعالجة" أي جهة عامة، وأي شخصية ذات صفة طبيعية أو اعتبارية خاصة؛ تعالج البيانات الشخصية لمصلحة جهة التحكم ونيابة عنها.

نطاق التطبيق

يطبق النظام على:

  • أي عملية معالجة لبيانات شخصية تتعلق بالأفراد تتم في المملكة بأي وسيلة كانت.
  • أي معالجة لبيانات شخصية تتعلق بالأفراد المقيمين في المملكة بأي وسيلة كانت من أي جهة خارج المملكة، وفي هذه الحالة تعين الجهة ممثلًا مفوضًا للوفاء بالتزاماتها في المملكة بموجب النظام.

يستثنى من تطبيق النظام قيام الفرد بمعالجة البيانات الشخصية لأغراض لا تتجاوز الاستخدام الشخصي أو العائلي، طالما لم ينشرها أو يفصح عنها للغير. (تحدد اللوائح المقصود بالاستخدام الشخصي والعائلي).

علاوة على ذلك، لا تخل أحكام النظام بأي حكم يمنح حقًّا لصاحب البيانات الشخصية أو يقرر حماية أفضل لها، ينص عليه أي نظام آخر أو اتفاقية دولية تكون المملكة طرفًا فيها.

حقوق صاحب البيانات الشخصية

يعزز النظام من الحماية المتعلقة بالبيانات الشخصية بموجب الأنظمة السعودية، حيث يضمن -في بعض الحالات ووفق استثناءات معينة- الحقوق الآتية لصاحب البيانات الشخصية في علاقته مع جهتي المعالجة والتحكم:

  1. حق العلم بالمسوغ النظامي لجمع البيانات الشخصية.
  2. الموافقة على معالجة البيانات الشخصية.
  3. حق الوصول إلى البيانات الشخصية لدى جهة التحكم والحصول على نسخة منها.
  4. حق طلب تصحيح البيانات الشخصية أو تحديثها.
  5. حق طلب إتلاف البيانات الشخصية التي انتهى الغرض من جمعها أو معالجتها.

التزامات جهة التحكم

حدد النظام أيضًا -في بعض الحالات وبموجب استثناءات معينة- عدة التزامات على جهة التحكم، تشمل:

  1. حفظ البيانات الشخصية داخل المملكة.
  2. اختيار جهات معالجة تقدم الضمانات اللازمة لتنفيذ النظام ولوائحه التنفيذية.
  3. وضع سياسة خصوصية البيانات وتنفيذها.
  4. التحقق من دقة وصحة الغرض الذي تجمع من أجله أي بيانات شخصية.
  5. عدم الإفصاح عن البيانات الشخصية باستثناء حالات محددة ينص عليها النظام.
  6. اتخاذ الاحتياطات الإدارية والتنظيمية والتقنية لحماية البيانات الشخصية.
  7. إخطار الجهة المختصة (سدايا حاليًا) فورًا حال تسرب البيانات الشخصية أو تلفها أو الوصول غير المشروع إليها.
  8. الاستجابة لطلب صاحب البيانات الشخصية لممارسة حقوقه التي نص عليها النظام.
  9. إجراء تقويم للآثار المترتبة على أنشطة المعالجة.
  10. عدم استخدام وسائل الاتصال الشخصية (مثل العنوان البريدي أو الإلكتروني) لأغراض تسويقية إلا بعد الحصول على موافقة صاحب البيانات الشخصية، أو أن يقدم المرسِل آلية واضحة تمكّن المستقبل من إلغاء هذا التواصل.
  11. عدم نسخ الوثائق الرسمية التي تحدد هوية صاحب البيانات الشخصية (مثل جواز السفر أو بطاقة الهوية الوطنية أو الإقامة) إلا في حال كان تنفيذًا لأحكام النظام أو بطلب من جهة مختصة عامة.
  12. تعيين موظف أو أكثر من منسوبيها ليكون مسؤولًا عن الالتزام بتطبيق النظام.
  13. عقد جلسات عمل للموظفين لتعريفهم بالنظام وما ورد فيه.
  14. الاحتفاظ بسجلات أنشطة معالجة البيانات الشخصية.
  15. التسجيل في البوابة الإلكترونية المتاحة، ودفع رسوم سنوية، سواء كانت جهة التحكم جهة خاصة أو أفراد، لا تزيد على مئة ألف ريال.

تحدد لوائح النظام التنفيذية ضوابط الحماية لمعالجة البيانات الصحية والائتمانية.

العقوبات

مع عدم الإخلال بأي عقوبة أشد ينص عليها نظام آخر، تكون عقوبة ارتكاب المخالفات الآتية حسب ما دوّن أمامها:

  • يعاقب كل من أفصح عن بيانات تشير إلى أصل الفرد العرقي أو القبلي أو معتقده الديني أو رأيه السياسي أو الفكري أو ما من شأنه أن يدل على عضويته في جمعيات أو مؤسسات أهلية، وكذلك البيانات الأمنية والجنائية وبيانات السمات الحيوية التي تحدد الهوية أو البيانات الوراثية أو البيانات الائتمانية أو البيانات الصحية أو بيانات تحديد الموقع أو البيانات التي من شأنها أن تدل على أن الفرد مجهول الأبوين أو أحدهما، مخالفًا فيها النظام؛ بالسجن مدة لا تزيد على (سنتين) وغرامة لا تتجاوز (ثلاثة ملايين) ريال أو إحداهما.
  • يعاقب كل من نقل البيانات الشخصية إلى خارج المملكة مخالفًا أحكام النظام؛ بالسجن مدة لا تزيد على (سنة) وغرامة لا تتجاوز (مليون) ريال أو بإحداهما.
  • في ما لم يرد في شأنه النظام أو لوائحه التنفيذية تعاقب كل شخصية ذات صفة طبيعية أو اعتبارية خاصة -مشمولة بأحكام النظام- خالفت أيًّا من أحكام النظام أو اللوائح بالإنذار أو بغرامة لا تزيد على (خمسة ملايين) ريال.

كما أجاز النظام مضاعفة عقوبة غرامة مخالفة النظام في حال تكرارها.

وختامًا، ودون الإخلال بما نص عليه النظام من عقوبات، يحق لمن لحقه أي ضرر نتيجة مخالفة للنظام المطالبة بالتعويض عن الضرر المادي أو المعنوي

محامون الاتصال

زياد خشيم

رئيس المحامين والمستشارين القانونيين

حمدان فان دين برول

كبير المستشارين القانونيين

دانا الضويحي

محامية و مستشارة قانونية

دعاء عامر

مستشارة قانونية

يوسف طوله

مستشار قانوني

نورة العبدالجبار

مستشارة قانونية

المجالات

No items found.

القطاعات

There are no sectors at the moment.

You may also be interested in:

Saudi Arabia: The Ministry of Commerce and Investments launches the Unified Register for Commercial Pledges and publishes its procedural rules
K&A advises on FinTech startup investment
K&A Names Private Equity Law Firm of the Year