علمت «عكاظ»، عن صدور الموافقة على تأجيل نفاذ نظام حماية البيانات الشخصية لمدة 540 يوما من تاريخ نشره في الجريدة الرسمية.
وأوضحت مصادر «عكاظ»، أن الهيئة السعودية للبيانات والذكاء الاصطناعي رفعت إلى الجهات المختصة طلبا لتأجيل العمل بالنظام لتكون بداية سريانه منتصف 2023م.
ويعد نظام حماية البيانات الشخصية أوّل قانون شامل لحماية البيانات الشخصية في السعودية. ويهدف النظام إلى حماية الخصوصية الفردية من خلال تنظيم عملية جمع البيانات الشخصية ومعالجتها والإفصاح عنها والاحتفاظ بها.
ويقدم النظام إطاراً مُفصَّلاً لمعايير معالجة البيانات، وحقوق أصحاب البيانات، والتزامات الهيئات المعنيّة عند معالجة البيانات الشخصية، والسيادة على البيانات، والعقوبات في حال مخالفة النظام.
وتعرف البيانات الشخصية، طبقا للنظام، بأنها كل بيان -مهما كان مصدره أو شكله- من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعل التعرف عليه ممكناً بصفة مباشرة أو غير مباشرة، ومن ذلك الاسم، ورقم الهوية الشخصية، والعناوين، وأرقام التواصل، وأرقام الرُّخص والسجلات والممتلكات الشخصية، وأرقام الحسابات البنكية والبطاقات الائتمانية، وصور الفرد الثابتة أو المتحركة، وغير ذلك من البيانات ذات الطابع الشخصي.
وكشف النظام عقوبة الإفصاح عن البيانات الحساسة أو نشرها، إذ إن كل من أفصح عن بيانات حساسة أو نشرها مخالفا لأحكام النظام فيعاقب بالسجن مدة لا تزيد على سنتين وبغرامة لا تزيد على ثلاثة ملايين ريال، أو بإحدى هاتين العقوبتين؛ إذا كان ذلك بقصد الإضرار بصاحب البيانات أو بقصد تحقيق منفعة شخصية. وتختص النيابة العامة بمهمة التحقيق، والادعاء أمام المحكمة المختصة عن المخالفات المنصوص عليها نظاماً، كما تتولى المحكمة المختصة النظر في الدعاوى الناشئة من تطبيق هذه المادة وإيقاع العقوبات المقررة.
ويجوز للمحكمة المختصة مضاعفة عقوبة الغرامة في حالة العودة حتى لو ترتب عليها تجاوز الحد الأقصى لها على ألا تتجاوز ضعف هذا الحد.
وقنن النظام الاحتفاظ بالبيانات الشخصية بشكل دائم، وأوضح أن على جهة التحكم إتلاف البيانات الشخصية فور انتهاء الغرض من جمعها. ومع ذلك، يجوز لها الاحتفاظ بتلك البيانات بعد انتهاء الغرض من جمعها إذا تمت إزالة كل ما يؤدي إلى معرفة صاحبها على وجه التحديد.
وبين نظام حماية البيانات الشخصية أن على جهة التحكم الاحتفاظ بالبيانات الشخصية حتى بعد انتهاء الغرض من جمعها في حالتين؛ الأولى إذا توافر سبب نظامي يوجب الاحتفاظ بها مدة ُمحددة، وفي هذه الحالة يجرى إتلافها بعد انتهاء هذه المدة أو انتهاء الغرض من جمعها، أيهما أطول، والثانية إذا كانت البيانات الشخصية متصلة اتصالاً وثيقاً بقضية منظورة أمام جهة قضائية وكان الاحتفاظ بها مطلوباً لهذا الغرض، وفي هذه الحالة، يجرى إتلافها بعد استكمال الإجراءات القضائية الخاصة بالقضية.
وأجاز نظام حماية البيانات الشخصية، جمع البيانات الشخصية أو مُعالجتها لأغراض علمية أو بحثية أو إحصائية دون موافقة صاحبها، ما لم تتضمن البيانات الشخصية ما يدل على هوية صاحبها على وجه التحديد، أو إذا كان سَيُجرى إتلاف ما يدل على هوية صاحب البيانات الشخصية على وجه التحديد خلال عملية مُعالجتها وقبل الإفصاح عنها لأي جهة أُخرى ولم تكن تلك البيانات بيانات حساسة، أو في حال كان جمع البيانات الشخصية أو معالجتها لهذه الأغراض يقتضيها نظام آخر أو تنفيذاً لاتفاق سابق يكون صاحبها طرفاً فيه.
حالتان للاحتفاظ بالبيانات
«نظام البيانات الشخصية»
وأوضحت مصادر «عكاظ»، أن الهيئة السعودية للبيانات والذكاء الاصطناعي رفعت إلى الجهات المختصة طلبا لتأجيل العمل بالنظام لتكون بداية سريانه منتصف 2023م.
ويعد نظام حماية البيانات الشخصية أوّل قانون شامل لحماية البيانات الشخصية في السعودية. ويهدف النظام إلى حماية الخصوصية الفردية من خلال تنظيم عملية جمع البيانات الشخصية ومعالجتها والإفصاح عنها والاحتفاظ بها.
ويقدم النظام إطاراً مُفصَّلاً لمعايير معالجة البيانات، وحقوق أصحاب البيانات، والتزامات الهيئات المعنيّة عند معالجة البيانات الشخصية، والسيادة على البيانات، والعقوبات في حال مخالفة النظام.
وتعرف البيانات الشخصية، طبقا للنظام، بأنها كل بيان -مهما كان مصدره أو شكله- من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعل التعرف عليه ممكناً بصفة مباشرة أو غير مباشرة، ومن ذلك الاسم، ورقم الهوية الشخصية، والعناوين، وأرقام التواصل، وأرقام الرُّخص والسجلات والممتلكات الشخصية، وأرقام الحسابات البنكية والبطاقات الائتمانية، وصور الفرد الثابتة أو المتحركة، وغير ذلك من البيانات ذات الطابع الشخصي.
وكشف النظام عقوبة الإفصاح عن البيانات الحساسة أو نشرها، إذ إن كل من أفصح عن بيانات حساسة أو نشرها مخالفا لأحكام النظام فيعاقب بالسجن مدة لا تزيد على سنتين وبغرامة لا تزيد على ثلاثة ملايين ريال، أو بإحدى هاتين العقوبتين؛ إذا كان ذلك بقصد الإضرار بصاحب البيانات أو بقصد تحقيق منفعة شخصية. وتختص النيابة العامة بمهمة التحقيق، والادعاء أمام المحكمة المختصة عن المخالفات المنصوص عليها نظاماً، كما تتولى المحكمة المختصة النظر في الدعاوى الناشئة من تطبيق هذه المادة وإيقاع العقوبات المقررة.
ويجوز للمحكمة المختصة مضاعفة عقوبة الغرامة في حالة العودة حتى لو ترتب عليها تجاوز الحد الأقصى لها على ألا تتجاوز ضعف هذا الحد.
وقنن النظام الاحتفاظ بالبيانات الشخصية بشكل دائم، وأوضح أن على جهة التحكم إتلاف البيانات الشخصية فور انتهاء الغرض من جمعها. ومع ذلك، يجوز لها الاحتفاظ بتلك البيانات بعد انتهاء الغرض من جمعها إذا تمت إزالة كل ما يؤدي إلى معرفة صاحبها على وجه التحديد.
وبين نظام حماية البيانات الشخصية أن على جهة التحكم الاحتفاظ بالبيانات الشخصية حتى بعد انتهاء الغرض من جمعها في حالتين؛ الأولى إذا توافر سبب نظامي يوجب الاحتفاظ بها مدة ُمحددة، وفي هذه الحالة يجرى إتلافها بعد انتهاء هذه المدة أو انتهاء الغرض من جمعها، أيهما أطول، والثانية إذا كانت البيانات الشخصية متصلة اتصالاً وثيقاً بقضية منظورة أمام جهة قضائية وكان الاحتفاظ بها مطلوباً لهذا الغرض، وفي هذه الحالة، يجرى إتلافها بعد استكمال الإجراءات القضائية الخاصة بالقضية.
وأجاز نظام حماية البيانات الشخصية، جمع البيانات الشخصية أو مُعالجتها لأغراض علمية أو بحثية أو إحصائية دون موافقة صاحبها، ما لم تتضمن البيانات الشخصية ما يدل على هوية صاحبها على وجه التحديد، أو إذا كان سَيُجرى إتلاف ما يدل على هوية صاحب البيانات الشخصية على وجه التحديد خلال عملية مُعالجتها وقبل الإفصاح عنها لأي جهة أُخرى ولم تكن تلك البيانات بيانات حساسة، أو في حال كان جمع البيانات الشخصية أو معالجتها لهذه الأغراض يقتضيها نظام آخر أو تنفيذاً لاتفاق سابق يكون صاحبها طرفاً فيه.
حالتان للاحتفاظ بالبيانات
«نظام البيانات الشخصية»