تعمل الهيئة السعودية للبيانات والذكاء الاصطناعي، على ضبط حماية البيانات الشخصية في المملكة، ووضعت اللمسات النهائية لتفعيل اللائحة التنفيذية لنظام الحماية بهدف بيان الأحكام والإجراءات المتعلقة بالنظام لتمكين المخاطبين بأحكامه من معرفة حقوقهم والتزاماتهم النظامية المتعلقة بالبيانات الشخصية.
ويشمل ذلك التسويق المباشر من خلال التواصل مع صاحب البيانات الشخصية بأي وسيلة مادية أو إلكترونية بهدف توجيه مادة تسويقية، ويشمل ذلك على سبيل المثال لا الحصر الإعلانات أو العروض الترويجية حتى وإن لم يتضمن ذلك تسويقاً لبيع منتجٍ أو خدمة.
وكشفت مسودة اللائحة (اطلعت «عكاظ» على نسخة منها)، أنه قبل القيام بمعالجة البيانات الشخصية لأغراض التسويق المباشر، يكون على الجهة الوسيطة الحصول على موافقة صاحب البيانات وإحاطته عند الحصول على موافقته بأنواع بياناته الشخصية التي ستستخدم في التسويق المباشر وتوفير آلية تتيح لصاحب البيانات العدول عن موافقته على معالجة بياناته الشخصية لغرض التسويق المباشر، وإيقاف تلقي المواد التسويقية ذات العلاقة في أي وقت، على أن تكون الآلية مبسطة وسريعة دون مقابل مالي، وأن تكون إجراءات العدول عن الموافقة مماثلة أو أكثر سهولةً من إجراءات الحصول عليها.
وأفصح النظام الجديد عن منع تصوير الوثائق الرسمية الصادرة من الجهات العامة التي تحدد هوية صاحب البيانات الشخصية أو نسخها، إلا بناء على طلب من جهة عامة مختصة، أو متى ما كان ذلك تنفيذاً لأحكام نظام، وعلى جهة التحكم توفير الحماية اللازمة لتلك الوثائق، وإتلافها فور انتهاء الغرض منها، ما لم يكن هناك متطلب نظامي للاحتفاظ بها.
واشترط النظام على الجهة الوسيطة قبل إرسال مواد دعائية أو توعوية الحصول على الموافقة الصريحة للمتلقي المستهدف، في حال عدم وجود تعامل مسبق بين جهة التحكم والمتلقي المستهدف. ومنحت اللائحة صاحب البيانات الشخصية تقديم شكوى إلى الجهة المختصة خلال مدة لا تتجاوز 90 يوماً من تاريخ الحادثة محل الشكوى أو علم صاحب البيانات الشخصية بها، وللجهة المختصة تقدير قبول الشكوى من عدمه بعد تجاوز هذه المدة في الحالات التي يتبين لها وجود أسباب واقعية منعت صاحب البيانات الشخصية من تقديم شكواه خلال هذه الفترة. وألزمت اللائحة جهة التحكم باتخاذ الإجراءات والوسائل التنظيمية والتقنية والفنية والإدارية التي تضمن المحافظة على البيانات الائتمانية من أي استعمال غير مشروع، أو من إساءة استخدامها، أو الاطلاع عليها من غير المصرح لهم، أو استخدامها لغير الغرض الذي جُمعت من أجله. كما ألزمت اللائحة جهات التحكم الجهة المختصة في حالة وقوع حادثة تسرّب للبيانات الشخصية خلال مدة لا تتجاوز 72 ساعة من وقت علمها بالحادثة، إذا كان من شأن تلك الحادثة الإضرار بالبيانات الشخصية أو صاحب البيانات الشخصية أو كانت تتعارض مع حقوقه أو مصالحه.
ويشمل ذلك التسويق المباشر من خلال التواصل مع صاحب البيانات الشخصية بأي وسيلة مادية أو إلكترونية بهدف توجيه مادة تسويقية، ويشمل ذلك على سبيل المثال لا الحصر الإعلانات أو العروض الترويجية حتى وإن لم يتضمن ذلك تسويقاً لبيع منتجٍ أو خدمة.
وكشفت مسودة اللائحة (اطلعت «عكاظ» على نسخة منها)، أنه قبل القيام بمعالجة البيانات الشخصية لأغراض التسويق المباشر، يكون على الجهة الوسيطة الحصول على موافقة صاحب البيانات وإحاطته عند الحصول على موافقته بأنواع بياناته الشخصية التي ستستخدم في التسويق المباشر وتوفير آلية تتيح لصاحب البيانات العدول عن موافقته على معالجة بياناته الشخصية لغرض التسويق المباشر، وإيقاف تلقي المواد التسويقية ذات العلاقة في أي وقت، على أن تكون الآلية مبسطة وسريعة دون مقابل مالي، وأن تكون إجراءات العدول عن الموافقة مماثلة أو أكثر سهولةً من إجراءات الحصول عليها.
وأفصح النظام الجديد عن منع تصوير الوثائق الرسمية الصادرة من الجهات العامة التي تحدد هوية صاحب البيانات الشخصية أو نسخها، إلا بناء على طلب من جهة عامة مختصة، أو متى ما كان ذلك تنفيذاً لأحكام نظام، وعلى جهة التحكم توفير الحماية اللازمة لتلك الوثائق، وإتلافها فور انتهاء الغرض منها، ما لم يكن هناك متطلب نظامي للاحتفاظ بها.
واشترط النظام على الجهة الوسيطة قبل إرسال مواد دعائية أو توعوية الحصول على الموافقة الصريحة للمتلقي المستهدف، في حال عدم وجود تعامل مسبق بين جهة التحكم والمتلقي المستهدف. ومنحت اللائحة صاحب البيانات الشخصية تقديم شكوى إلى الجهة المختصة خلال مدة لا تتجاوز 90 يوماً من تاريخ الحادثة محل الشكوى أو علم صاحب البيانات الشخصية بها، وللجهة المختصة تقدير قبول الشكوى من عدمه بعد تجاوز هذه المدة في الحالات التي يتبين لها وجود أسباب واقعية منعت صاحب البيانات الشخصية من تقديم شكواه خلال هذه الفترة. وألزمت اللائحة جهة التحكم باتخاذ الإجراءات والوسائل التنظيمية والتقنية والفنية والإدارية التي تضمن المحافظة على البيانات الائتمانية من أي استعمال غير مشروع، أو من إساءة استخدامها، أو الاطلاع عليها من غير المصرح لهم، أو استخدامها لغير الغرض الذي جُمعت من أجله. كما ألزمت اللائحة جهات التحكم الجهة المختصة في حالة وقوع حادثة تسرّب للبيانات الشخصية خلال مدة لا تتجاوز 72 ساعة من وقت علمها بالحادثة، إذا كان من شأن تلك الحادثة الإضرار بالبيانات الشخصية أو صاحب البيانات الشخصية أو كانت تتعارض مع حقوقه أو مصالحه.