قواعد ملزمة لنقل البيانات الشخصية إلى خارج السعودية
بشائر: الدمام
طرحت الهيئة السعودية للبيانات والذكاء الاصطناعي، القواعد المُشتركة المُلزِمة لنقل البيانات الشخصية بغرض وضع آلية لنقل البيانات إلى خارج المملكة لدولة أو منظمة دولية ليست ضمن قائمة الدول أو المنظمات التي توفر مستوى مناسب لحماية البيانات وذلك لضمان مستوى مناسب لحماية البيانات الشخصية خارج المملكة بما لا يقل عن المستوى المقرر في نظام حماية البيانات الشخصية ولوائحه التنفيذية.
والغرض من القواعد ضمان تطبيق مستوى حماية يعادل مستوى الحماية المطبق بموجب النظام واللوائح، وذلك من خلال تحديد التزامات أطراف عملية النقل إلى إحدى الدول أو المنظمات الدولية التي لا يتوفر لديها مستوى مناسب لحماية البيانات الشخصية، كما تُعد القواعد أحد الضمانات الملائمة التي يجوز لجهات التحكم وجهات المعالجة استخدامها.
وتخضع القواعد للأنظمة المعمول بها في المملكة وينعقد الاختصاص القضائي لأي نزاع ينشأ عن تطبيق أحكام القواعد لمحاكمها، ووفق الدليل يجب على مجموعة الجهات التأكد من أن القواعد المشتركة المُلزِمة الخاصة بها تتضمن التزامات جهات التحكم المنصوص عليها في النظام واللوائح، إضافة إلى تضمين ما يتعلق بحقوق أصحاب البيانات الشخصية والمطالبة بالتعويض عن الضرر الناتج عن انتهاك هذه الحقوق.
ويجب على مجموعة الجهات التعاون مع الجهة المختصة والالتزام بجميع طلباتها لضمان الالتزام بالقواعد الملزمة، وتلتزم الجهة المستوردة للبيانات بالإجابة عن جميع الاستفسارات الواردة من الجهة المختصة وتقديم الوثائق والمعلومات اللازمة لها عند طلبها.
ويجب أن تتم الموافقة على القواعد المُلزِمة داخلياً من صاحب الصلاحية في مجموعة الجهات على أن تشمل العملية مراجعة كافة التدابير التي سيتم اتخاذها حيال حماية البيانات الشخصية وآليات الالتزام والتحقق منها. كما يجب أن تكون القواعد مُلزمة قانونياً على كل عضو داخل مجموعة الجهات، وأن توفر معياراً ثابتاً لحماية البيانات الشخصية. ويجب على كل عضو في المجموعة التي تتلقى البيانات الشخصية ذات الصلة أن يلتزم بالأحكام المنصوص عليها في النظام واللوائح.
وشدد الدليل مع وجود وثائق القواعد المشتركة المُلزِمة، إعداد سياسات مفصلة بشأن حماية البيانات الشخصية وحقوق أصحابها والتدابير الأمنية وبرامج التدقيق وآليات التعامل مع حوادث تسرب البيانات الشخصية والشكاوى.
وبين الدليل وصف البيانات الشخصية في القواعد المُشتركة الملزمة من نوع أو فئات البيانات الشخصية التي سيتم نقلها وتغطيتها بمُوجب القواعد وتحديد أنواع أو فئات البيانات الشخصية التي سيتم نقلها بموجب القواعد المشتركة المُلزِمة ويتضمن ذلك وصفاً واضحاً لأنواع البيانات، مثل: «بيانات الائتمان»، والبيانات الصحية، والبيانات الجينية، وعلى سبيل المثال: البيانات الصحية، بما في ذلك سجلات المرضى والتاريخ الطبي وعن فئات أصحاب البيانات الذين سيتم نقل بياناتهم الشخصية، إضافة إلى المتأثرين من عملية النقل، مثل: «البيانات الشخصية للموظفين» أو «البيانات الشخصية للعملاء» أو «البيانات الشخصية لمستخدم موقع الويب»، على سبيل المثال: البيانات الشخصية للموظفين، بما في ذلك تحديد هوية الموظفين وسجلات التوظيف، والبيانات الشخصية للعميل، بما في ذلك سجل الشراء وتفاعلات خدمة العملاء.
لمرة واحدة.. مستمر.. دوري
وفي أغراض نقل البيانات الشخصية، يتم توضيح أسباب نقل البيانات الشخصية خارج المملكة، وشرح أنشطة المعالجة التي ستحدث بعد نقل البيانات، مثل نقل البيانات من أجل الإدارة المركزية للموارد البشرية ومعالجة كشوف المرتبات، وتتضمن معالجة ما بعد النقل تحليل البيانات لتقييم الأداء وإدارة الفوائد.
وعن الدول المراد نقل البيانات الشخصية إليها، إدراج جميع الدول التي سيتم نقل البيانات الشخصية إليها بموجب القواعد المشتركة المُلزِمة والتأكد من تحديد كل دولة بدقة، ويتم تحديد عدد مرات نقل البيانات الشخصية، الاختيار من بين «لمرة واحدة» أو «مستمر» أو «دوري»، وتقديم مزيد من التفاصيل إذا لزم الأمر.