السجن عامين و3 ملايين ريال غرامة مخالفة نظام البيانات الشخصية

وبدأت القطاعات ذات الصلة بالتنفيذ الكامل لنظام حماية البيانات الشخصية في 14 سبتمبر 2024، مع تحديد موعد للتنفيذ الكامل للنظام بعد انتهاء الفترة الانتقالية الحالية للامتثال. وعملت جميع الشركات المشمولة على مخاطبة عملائها من خلال تحديث سياسة الخصوصية، حيث يعد نظام حماية البيانات الشخصية أول نظام شامل لحماية البيانات في المملكة العربية السعودية وتشرف عليه الهيئة السعودية للبيانات والذكاء الاصطناعي. يهدف نظام حماية البيانات الشخصية إلى ضمان الحفاظ على خصوصية أصحاب البيانات الشخصية، وتنظيم تبادل البيانات الشخصية ونشرها بين الشركات بشكل منهجي، ومنع إساءة استخدام البيانات الشخصية والحد من سوء السلوك. كشف المستشار القانوني المحامي عبدالعزيز بن دبشي أن المادة 35 نصت على عقوبات مخالفات النظام لكل من يفصح أو ينشر بيانات حساسة بالمخالفة لأحكام النظام: يعاقب بالسجن مدة لا تزيد على سنتين بغرامة لا تزيد على ثلاثة ملايين ريال أو بإحدى هاتين العقوبتين. إذا تم ذلك بقصد الإضرار بصاحب البيانات أو بقصد الحصول على منفعة شخصية ومعاقبة كل من يخالف أحكام المادة (التاسعة والعشرين) من النظام: ويعاقب بالحبس مدة لا تزيد على سنة وبالغرامة التي لا تزيد على مليون ريال أو بإحدى هاتين العقوبتين، ويجوز للمحكمة المختصة مضاعفة العقوبة في حالة الانتكاس، ولو ترتب على ذلك تجاوز الحد الأقصى. الحد، بشرط أن يكون الأمر كذلك، لا يتجاوز ضعف هذا الحد. وأوضح أن نظام حماية البيانات يوفر آلية قانونية لحماية البيانات الشخصية من الاختراق والتعدي والإفصاح بأي شكل من الأشكال، بهدف منع أي خرق لبيانات الأفراد والمنظمات. وقال: إن نظام حماية البيانات ينص على فرض عقوبات صارمة على كل من يحاول استغلال هذه البيانات. يتم تنظيم جمع البيانات ومعالجتها وتخزينها واستخدامها ونقلها من خلال عدد من التدابير الأمنية. بالإضافة إلى ذلك، يوفر النظام الحماية للبيانات الشخصية سواء في شكل إلكتروني أو ورقي.

وأكد عبدالعزيز بن دبشي أن المادة 15 نصت على أنه لا يجوز للشركة المسيطرة الإفصاح عن البيانات الشخصية إلا إذا وافق الشخص الذي لديه البيانات الشخصية على الإفصاح وفقاً لأحكام النظام وتم جمع البيانات الشخصية من مصدر متاح لديها. علناً، أو إذا طلبت الشركة الإفصاح من جهة عامة لأسباب أمنية، لتطبيق نظام آخر أو لتلبية متطلبات قضائية وفقاً للأحكام التي تحددها اللائحة.

يُسمح بالإفصاح، من بين أمور أخرى، عندما يكون الإفصاح ضروريًا لحماية الصحة العامة أو السلامة العامة أو لحماية حياة أو صحة شخص واحد أو أكثر. وتحدد القواعد الضوابط والإجراءات بهذا الشأن أو ما إذا كان الإفصاح يقتصر على المعالجة اللاحقة بما لا يؤدي إلى الكشف عن هوية صاحب البيانات أو أي شخص طبيعي آخر. وتحدد اللائحة الضوابط والإجراءات في هذا الشأن.

الكشف عن البيانات الشخصية بموافقة

تعزيز المسؤولية المشتركة

ويهدف النظام إلى رفع مستوى الوعي بالبيانات الشخصية، وزيادة الوعي بالمسؤولية المشتركة للأفراد والمنظمات لحمايتها والحفاظ على الخصوصية المرتبطة بها، وتوضيح دور المشاركة الواعية للبيانات الشخصية في تسهيل الخدمات المقدمة للأفراد. الأفراد والشركات تحسين نوعية حياتهم، وهو ما ينعكس على نوعية حياتهم.

وسبق أن نفذت الهيئة حملة ترتكز على هدفين رئيسيين: توعية الأفراد حول حماية بياناتهم الشخصية والحقوق المتعلقة بها المكفولة لهم في النظام، بالإضافة إلى المصالح التي يعززها النظام، وزيادة وعيهم من قرار نقل البيانات الشخصية بشكل موثوق.

النظام ذو نطاق واسع للغاية وينطبق على جميع الشركات العاملة في المملكة العربية السعودية، وكذلك الشركات خارج المملكة التي تقوم بمعالجة البيانات الشخصية للأفراد في المملكة العربية السعودية (دون الحاجة إلى استهداف الأفراد أو مراقبتهم).

ويتضمن النظام الجديد أي بيان أياً كان شكله ومصدره من شأنه أن يؤدي إلى تحديد هوية الشخص بشكل محدد أو من شأنه أن يتيح التعرف عليه بشكل مباشر أو غير مباشر، وتشمل هذه البيانات الاسم والهوية الوطنية والعنوان والشخصية أرقام الاتصال والسجلات والممتلكات وأرقام الحسابات المصرفية وبطاقات الائتمان والصور الثابتة أو المتحركة للشخص وغيرها من البيانات ذات الطبيعة الشخصية.

الضمان القانوني لحماية البيانات

وأضاف بن دبشي: «تشمل البيانات التي يحميها النظام النصوص والصور الثابتة ومقاطع الفيديو التي تم إنشاؤها باستخدام الكاميرات الثابتة. كما يعتبر النظام ضمانة قانونية لحماية البيانات وضمان حقوق الأفراد في الخصوصية والأمان. ويؤكد أنه لا يجوز للجهة المسيطرة جمع البيانات الشخصية إلا مباشرة من مالكها، ولن يتم استخدام هذه البيانات إلا من أجل ذلك تحقيق ما يمكن معالجته للغرض الذي تم جمعها من أجله.”

وأوضح أنه في عدة حالات قد تقوم الجهة الرقابية بجمع البيانات الشخصية مباشرة من شخص آخر غير مالكها أو معالجتها لغرض آخر غير الذي جمعت من أجله، أي إذا وافق صاحب البيانات الشخصية على أحكام النظام نظام.

إذا كانت البيانات الشخصية متاحة للجمهور أو تم جمعها من مصدر متاح للجمهور أو إذا كانت وحدة التحكم هيئة عامة ويتم جمع البيانات الشخصية مباشرة من شخص آخر غير صاحب البيانات أو معالجتها لغرض آخر غير الغرض الذي تم جمعها من أجله تم جمعها تكون ضرورية لأسباب أمنية أو لتطبيق نظام آخر أو لتلبية المتطلبات القضائية وفقاً للأحكام التي تحددها اللائحة.