السجن عامين و3 ملايين ريال غرامة مخالفة نظام البيانات الشخصية
بشائر: الدمام
باشرت القطاعات المختصة في التطبيق الكامل، لنظام حماية البيانات الشخصية، اعتبارا من 14 سبتمبر 2024، الذي حدد موعدا للإنفاذ الكامل للنظام، بعد انتهاء الفترة الانتقالية الحالية للامتثال. وعملت جميع الكيانات المشمولة على مخاطبة عملائها بتحديث سياسة الخصوصية، إذ يُعد نظام حماية البيانات الشخصية أول نظام شامل لحماية البيانات في السعودية، وتشرف عليه الهيئة السعودية للبيانات والذكاء الاصطناعي. ويهدف نظام حماية البيانات الشخصية إلى ضمان المحافظة على خصوصية أصحاب البيانات الشخصية، وتنظيم مشاركة البيانات الشخصية وتداولها بين الجهات بطريقة نظامية، ومنع إساءة استعمال البيانات الشخصية، والحد من الممارسات الخاطئة. وكشف المستشار القانوني المحامي عبدالعزيز بن دبشي، أن المادة الخامسة والثلاثين، ضمت العقوبات لمخالفي النظام لكل من أفصح عن بيانات حساسة أو نشرها مخالفًا أحكام النظام: يعاقب بالسجن مدة لا تزيد على سنتين، بغرامة لا تزيد على 3 ملايين ريال، أو بإحدى هاتين العقوبتين؛ إذا كان ذلك بقصد الإضرار بصاحب البيانات أو بقصد تحقيق منفعة شخصية، ومعاقبة كل من خالف أحكام المادة (التاسعة والعشرين) من النظام: يعاقب بالسجن مدة لا تزيد على سنة وبغرامة لا تزيد على مليون ريال، أو بإحدى هاتين العقوبتين، ويجوز للمحكمة المختصة مضاعفة عقوبة الغرامة في حالة العود حتى لو ترتب عليها تجاوز الحد الأقصى لها على ألا تتجاوز ضعف هذا الحد. وبين أن النظام يوفر حماية البيانات آلية قانونية لحماية البيانات الشخصية من الانتهاك، والتعدي، والإفشاء، بأي صورة من الصور، بهدف منع أي انتهاك لبيانات الأفراد والهيئات. وقال:«يتضمن نظام حماية البيانات عقوبات صارمة لأي شخص يحاول استغلال تلك البيانات. يتم تنظيم عمليات جمع البيانات، ومعالجتها، وتخزينها، واستخدامها، ونقلها من خلال مجموعة من الإجراءات الوقائية، إضافة إلى ذلك، يوفر النظام حماية للبيانات الشخصية سواء في شكلها الإلكتروني أو الورقي».
وشدد عبدالعزيز بن دبشي، على أن المادة الخامسة عشرة، قد نصت أنه لا يجوز لجهة التحكم الإفصاح عن البيانات الشخصية إلا إذا وافق صاحب البيانات الشخصية على الإفصاح وفقاً لأحكام النظام، وإذا كانت البيانات الشخصية قد جرى جمعها من مصدر متاح للعموم، أو إذا كانت الجهة التي تطلب الإفصاح جهة عامة، وذلك لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء مُتطلبات قضائية وفق الأحكام التي تحددها اللوائح.
ومن الحالات التي يجوز الإفصاح فيها، إذا كان الإفصاح ضروريا لحماية الصحة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك، أو إذا كان الإفصاح سيقتصر على معالجتها لاحقاً بطريقة لا تؤدي إلى معرفة هوية صاحب البيانات الشخصية أو أي فرد آخر على وجه التحديد. وتبين اللوائح الضوابط والإجراءات المتعلقة بذلك.
الإفصاح عن البيانات الشخصية بموافقة
تعزيز المسؤولية المشتركة
يعمل النظام على رفع الوعي بالبيانات الشخصية، وتعزيز الوعي بالمسؤولية المشتركة بين الأفراد والجهات في حمايتها والمحافظة على خصوصية الأفراد المتعلقة بها، وإيضاح الدور الذي تلعبه مشاركة البيانات الشخصية بوعي في تسهيل الخدمات المقدمة للأفراد وتحسين جودتها، بما ينعكس على جودة حياتهم.
وسبق أن نفذت الهيئة، حملة ارتكزت على محورين رئيسيين هما: رفع مستوى وعي الأفراد حول حماية بياناتهم الشخصية، وحقوقهم المتعلقة بها المكفولة لهم في النظام، إضافةً إلى المصالح التي رعاها النظام، وتعزيز وعيهم حول قرار مشاركة البيانات الشخصية بموثوقية.
ويتمتع النظام بنطاق واسع للغاية وينطبق على جميع الكيانات العاملة في السعودية، وكذلك الكيانات خارج المملكة التي تعالج البيانات الشخصية للأفراد في المملكة العربية السعودية (دون الحاجة إلى استهداف الأفراد أو مراقبتهم).
ويشمل النظام الجديد، كل بيان مهما كان شكله ومصدره ومن شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعل التعرف عليه ممكناً بصورة مباشرة أو غير مباشرة، ومن بين تلك البيانات، الاسم، والهوية الوطنية، والعنوان، وأرقام التواصل الشخصية، والسجلات والممتلكات الشخصية، وأرقام الحسابات البنكية والبطاقات الائتمانية، وصور الفرد الثابتة أو المتحركة، وغير ذلك من البيانات ذات الطابع الشخصي.
ضمان قانوني لحماية البيانات
أضاف بن دبشي: «تشمل البيانات المحمية بواسطة النظام النصوص والصور الثابتة ومقاطع الفيديو التي تم إنتاجها باستخدام كاميرات التصوير، كما أن النظام يُعتبر ضمانًا قانونيًا لحماية البيانات وضمان حقوق الأفراد في الخصوصية والأمان، وقد أكدت المادة العاشرة منه أنه لا يجوز لجهة التحكم جمع البيانات الشخصية إلا من صاحبها مباشرةً، ولا تجوز كذلك مُعالجة تلك البيانات إلاَّ لتحقيق الغرض الذي جُمعت من أجله».
وأوضح، أنه يجوز لجهة التحكم جمع البيانات الشخصية من غير صاحبها مباشرةً، أو مُعالجتها لغرض آخر غير الذي جمعت من أجله، وذلك في عده أحوال وهي إذا وافق صاحب البيانات الشخصية على ذلك، وفقاً لأحكام النظام.
وإذا كانت البيانات الشخصية متاحة للعموم، أو جرى جمعها من مصدر متاح للعموم، أو إذا كانت جهة التحكم جهة عامة، وكان جمع البيانات الشخصية من غير صاحبها مباشرةً، أو مُعالجتها لغرض آخر غير الذي جمعت من أجله؛ مطلوباً لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء مُتطلبات قضائية وفق الأحكام التي تحددها اللوائح.