طرحت الهيئة السعودية للبيانات والذكاء الاصطناعي، مشروعاً لتعديل لائحة نقل البيانات الشخصية إلى خارج المملكة، لبيان الأحكام والإجراءات التفصيلية المتعلقة بذلك، بما يضمن توافر مستوى مناسب لحماية البيانات الشخصية وخصوصية أصحابها لدى الدول خارج المملكة.
ونص المشروع على أن تكون الأغراض الأخرى لنقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة؛ على النحو الآتي: إجراء العمليات التشغيلية الضرورية للمعالجة المركزية لتمكين جهة التحكم من ممارسة أنشطتها، تقديم خدمة أو منفعة لصاحب البيانات الشخصية، وإجراء البحوث والدراسات العلمية.
معايير الحماية
وتضمنت إجراءات ومعايير تقويم مستوى حماية البيانات الشخصية خارج المملكة، أن تنشر الجهة المختصة على موقعها الرسمي قائمة الدول أو المنظمات الدولية التي توفر مستوى مناسب لحماية البيانات الشخصية، وتقوم الجهة المختصة بمراجعة القائمة - كل أربع سنوات أو عند الاقتضاء - عند وجود أنظمة تكفل حماية البيانات الشخصية وحقوق أصحابها المتعلقة بها، بما يشمل الحق في طلب التعويض عن الضرر المترتب على الإخلال بهذه الحقوق، وذلك بما لا يقل عن مستوى الحماية المقرر في النظام واللوائح، وفي حال وجود جهة مشرفة تتولى مسؤولية إنفاذ أحكام حماية البيانات الشخصية.
حالات الإعفاء
وبين المشروع حالات إعفاء جهات التحكم من شروط الالتزام بمستوى الحماية المناسب والحد الأدنى لنقل البيانات الشخصية، إذ تعفى جهة التحكم من الشرطين الواجب توافرهما عند نقل البيانات الشخصية أو الإفصاح عنها إلى جهة خارج المملكة، ويكون نقل البيانات الشخصية أو الإفصاح عنها إلى جهة خارج المملكة مُقيّداً بالضمانات المناسبة، ومنها إذا كان النقل أو الإفصاح عن البيانات الشخصية سيُجرى بين الجهات العامة لتنفيذ اتفاقية كون المملكة طرفاً فيها أو كان ذلك لخدمة مصالح المملكة، على أن تلتزم جهات التحكم بتضمين بنود قياسية لحماية البيانات الشخصية في الاتفاقيات أو مذكرات التفاهم ذات الصلة.
وإذا كان النقل أو الإفصاح سيُجرى بصفة غير متكررة أو لفترة محدودة ولعدد محدود من أصحاب البيانات الشخصية، أن يكون النقل أو الإفصاح لجهة صدرت لها شهادة اعتماد من جهة مرخصة من الجهة المختصة، وألا تكون تلك البيانات حساسة.
وإذا كان النقل أو الإفصاح عن البيانات الشخصية ضرورياً لإجراء العمليات التشغيلية المركزية وكانت جهة التحكم ضمن مجموعة كيانات متعددة الجنسيات، مختصة، وإذا كان النقل أو الإفصاح سيُجرى لتقديم خدمة أو منفعة لصاحب البيانات الشخصية بصورة مباشرة؛ بما لا يخالف توقعاته أو يتعارض مع مصالحه، وإذا كان نقل البيانات الشخصية أو الإفصاح عنها ضرورياً لإجراء البحوث والدراسات العلمية على أن يقتصر النقل أو الإفصاح على الحد الأدنى من البيانات الشخصية الذي تدعو الحاجة إليه، وأن تلتزم جهة التحكم بالبنود التعاقدية القياسية أو أن يكون النقل أو الإفصاح لجهة صدرت لها شهادة اعتماد من جهة مرخصة من الجهة المختصة، وألا تكون تلك البيانات حساسة.
ضمانات والتزامات
ويجب أن تتضمن الضمانات المناسبة التزامات جهات التحكم المنصوص عليها في النظام ولوائحه، وحقوق أصحاب البيانات الشخصية، بما في ذلك الحق في طلب التعويض عن الضرر المترتب على الإخلال بهذه الحقوق، وللجهة المختصة مراجعة مدى كفاية تطبيق الضمانات المناسبة لكل حالة من حالات الإعفاء كل سنتين أو عند الاقتضاء، وتقويم مخاطر نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة.
وعلى جهة التحكم إجراء تقويم مخاطر قبل نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة، عند نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة وفقاً للمادة الرابعة من اللائحة، وفي حال نقل بيانات حساسة أو الإفصاح عنها لجهات خارج المملكة بصفة مستمرة أو على نطاق واسع.
ويجب أن يتضمن تقويم مخاطر نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة عدة عناصر، هي الغرض من عملية نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة والمسوغ النظامي لها، ووصف لطبيعة عملية نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة التي سيتم تنفيذها، بما يشمل أنشطة معالجة البيانات الشخصية، والنطاق الجغرافي لها، والوسائل والضمانات المناسبة المتخذة لنقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة ومدى كفايتها في تحقيق مستوى حماية البيانات الشخصية المناسب، والتدابير المتبعة للتأكد من أن عملية نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة ستقتصر على الحد الأدنى المطلوب من البيانات الشخصية لتحقيق الأغراض، والآثار المادية أو المعنوية التي قد تترتب نتيجةً لعملية نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة واحتمالية حدوثها، إضافة إلى التدابير أو الضوابط التي سيتم تطبيقها لمنع حدوث المخاطر المحتملة على أصحاب البيانات الشخصية أو الحد من آثارها عند حدوثها.
ونص المشروع على أن تكون الأغراض الأخرى لنقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة؛ على النحو الآتي: إجراء العمليات التشغيلية الضرورية للمعالجة المركزية لتمكين جهة التحكم من ممارسة أنشطتها، تقديم خدمة أو منفعة لصاحب البيانات الشخصية، وإجراء البحوث والدراسات العلمية.
معايير الحماية
وتضمنت إجراءات ومعايير تقويم مستوى حماية البيانات الشخصية خارج المملكة، أن تنشر الجهة المختصة على موقعها الرسمي قائمة الدول أو المنظمات الدولية التي توفر مستوى مناسب لحماية البيانات الشخصية، وتقوم الجهة المختصة بمراجعة القائمة - كل أربع سنوات أو عند الاقتضاء - عند وجود أنظمة تكفل حماية البيانات الشخصية وحقوق أصحابها المتعلقة بها، بما يشمل الحق في طلب التعويض عن الضرر المترتب على الإخلال بهذه الحقوق، وذلك بما لا يقل عن مستوى الحماية المقرر في النظام واللوائح، وفي حال وجود جهة مشرفة تتولى مسؤولية إنفاذ أحكام حماية البيانات الشخصية.
حالات الإعفاء
وبين المشروع حالات إعفاء جهات التحكم من شروط الالتزام بمستوى الحماية المناسب والحد الأدنى لنقل البيانات الشخصية، إذ تعفى جهة التحكم من الشرطين الواجب توافرهما عند نقل البيانات الشخصية أو الإفصاح عنها إلى جهة خارج المملكة، ويكون نقل البيانات الشخصية أو الإفصاح عنها إلى جهة خارج المملكة مُقيّداً بالضمانات المناسبة، ومنها إذا كان النقل أو الإفصاح عن البيانات الشخصية سيُجرى بين الجهات العامة لتنفيذ اتفاقية كون المملكة طرفاً فيها أو كان ذلك لخدمة مصالح المملكة، على أن تلتزم جهات التحكم بتضمين بنود قياسية لحماية البيانات الشخصية في الاتفاقيات أو مذكرات التفاهم ذات الصلة.
وإذا كان النقل أو الإفصاح سيُجرى بصفة غير متكررة أو لفترة محدودة ولعدد محدود من أصحاب البيانات الشخصية، أن يكون النقل أو الإفصاح لجهة صدرت لها شهادة اعتماد من جهة مرخصة من الجهة المختصة، وألا تكون تلك البيانات حساسة.
وإذا كان النقل أو الإفصاح عن البيانات الشخصية ضرورياً لإجراء العمليات التشغيلية المركزية وكانت جهة التحكم ضمن مجموعة كيانات متعددة الجنسيات، مختصة، وإذا كان النقل أو الإفصاح سيُجرى لتقديم خدمة أو منفعة لصاحب البيانات الشخصية بصورة مباشرة؛ بما لا يخالف توقعاته أو يتعارض مع مصالحه، وإذا كان نقل البيانات الشخصية أو الإفصاح عنها ضرورياً لإجراء البحوث والدراسات العلمية على أن يقتصر النقل أو الإفصاح على الحد الأدنى من البيانات الشخصية الذي تدعو الحاجة إليه، وأن تلتزم جهة التحكم بالبنود التعاقدية القياسية أو أن يكون النقل أو الإفصاح لجهة صدرت لها شهادة اعتماد من جهة مرخصة من الجهة المختصة، وألا تكون تلك البيانات حساسة.
ضمانات والتزامات
ويجب أن تتضمن الضمانات المناسبة التزامات جهات التحكم المنصوص عليها في النظام ولوائحه، وحقوق أصحاب البيانات الشخصية، بما في ذلك الحق في طلب التعويض عن الضرر المترتب على الإخلال بهذه الحقوق، وللجهة المختصة مراجعة مدى كفاية تطبيق الضمانات المناسبة لكل حالة من حالات الإعفاء كل سنتين أو عند الاقتضاء، وتقويم مخاطر نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة.
وعلى جهة التحكم إجراء تقويم مخاطر قبل نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة، عند نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة وفقاً للمادة الرابعة من اللائحة، وفي حال نقل بيانات حساسة أو الإفصاح عنها لجهات خارج المملكة بصفة مستمرة أو على نطاق واسع.
ويجب أن يتضمن تقويم مخاطر نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة عدة عناصر، هي الغرض من عملية نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة والمسوغ النظامي لها، ووصف لطبيعة عملية نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة التي سيتم تنفيذها، بما يشمل أنشطة معالجة البيانات الشخصية، والنطاق الجغرافي لها، والوسائل والضمانات المناسبة المتخذة لنقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة ومدى كفايتها في تحقيق مستوى حماية البيانات الشخصية المناسب، والتدابير المتبعة للتأكد من أن عملية نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة ستقتصر على الحد الأدنى المطلوب من البيانات الشخصية لتحقيق الأغراض، والآثار المادية أو المعنوية التي قد تترتب نتيجةً لعملية نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة واحتمالية حدوثها، إضافة إلى التدابير أو الضوابط التي سيتم تطبيقها لمنع حدوث المخاطر المحتملة على أصحاب البيانات الشخصية أو الحد من آثارها عند حدوثها.