بدأ سريان تطبيق نظام حماية البيانات الشخصية يوم الخميس، بتاريخ 28/2/1445هـ الموافق 14/9/2023م، إذ نصت المادة 43 من النظام والمعدلة بموجب المرسوم الملكي رقم م/148 وتاريخ 5/9/1444ه، "يُعمل بالنظام بعد سبعمائة وعشرين يوماً من التاريخ الذي نشر به في الجريدة الرسمية"، وقد تم نشره في الجريدة الرسمية بتاريخ 17/2/1443هـ الموافق 24/9/2021م.
وعن النظام ومواده يقول المستشار القانوني الدكتور ماجد بن زيد الفياض: "لعل ظهور الحواسيب وثورة المعلومات والإنترنت أعطى زخماً خاصاً، لاسيما بعد انتشار بنوك المعلومات، وما يسمى بهستيريا التواصل الاجتماعي عبر شبكة الإنترنت، إذ لا يتوانى الناس كباراً وصغاراً في استخدام كثير من بياناتهم الشخصية، مما يشكل خطراً لا يستهان به".
ويضيف: "وإدراكاً من القيادة الحكيمة في بذل جهود بارزة في تحديث وتطوير الأنظمة لتحقيق المصلحة العامة وحماية المواطنين والمقيمين ومصالحهم، والعمل على تنمية المجتمع، بما يسهم في تحقيق مستهدفات رؤية المملكة 2030م من رفع تصنيف مؤشر الحكومة الإلكترونية للمملكة من 36 إلى أعلى من ٥، ورفع تصنيف مؤشر فاعلية الحكومة السعودية من المركز 80 إلى المركز 20، وكذلك تحقيق الهدف الإستراتيجي لرؤية المملكة 2030م، وهو تحسين أداء الجهاز الحكومي في الهدف رقم 5.2 والتفاعل بشكل فعال مع المواطنين في الهدف رقم 3,5، والتي يتابعها بشكل مباشر صاحب السمو الملكي الأمير محمد بن سلمان بن عبدالعزيز رئيس مجلس الوزراء ولي العهد حفظه الله، تم وضع نظام حماية البيانات الشخصية الصادر بموجب المرسوم الملكي رقم م/19 وتاريخ 9/2/1443هـ وقرار مجلس الوزراء رقم 98 وتاريخ 7/2/1443هـ".
وحول مواد النظام وأبرز معالمها، أشار "الفياض" أن المادة الأولى من النظام قد تناولت تعاريف الألفاظ والعبارات الواردة في هذا النظام، أما المادة الثانية فقد تناولت نطاق تطبيق هذا النظام وهي "أي عملية معالجة لبيانات شخصية تتعلق بالأفراد تتم في المملكة بأي وسيلة كانت"، والمادة (الثالثة) تضمنت عدم الإخلال بأي حكم يمنح حقاً لصاحب البيانات الشخصية أو يقرر حماية أفضل لها، ينص عليه نظام آخر أو اتفاقية دولية تكون المملكة طرفاً فيها، وأما المادة (الرابعة) فقد وضعت لصاحب البيانات الشخصية عددًا من الحقوق لا يجوز التعدي عليها، وأما المادة (الخامسة) فقد جاءت لتقرر عدم جواز معالجة البيانات الشخصية أو تغيير الغرض من معالجتها إلا بعد الموافقة الصريحة من صاحبها.
وأضاف: "المادة (السادسة) قد تضمنت معالجة البيانات الشخصية دون موافقة صاحبها في أربع حالات، وهي: تحقق مصلحة متحققة لصاحب البيانات، عندما تكون المعالجة بمقتضي نظام آخر أو تنفيذاً لاتفاق سابق، إذا كانت جهة التحكم جهة عامة وكانت تلك المعالجة مطلوبة لأغراض أمنية أو لاستيفاء متطلبات قضائية؛ لتحقيق مصالح مشروعة لجهة التحكم ولا تتعارض مع مصالح صاحب البيانات الشخصية".
ولفت "الفياض" أن المادة (السابعة) أشارت إلى أنه لا يجوز أن تكون موافقة صاحب البيانات الشخصية أو الولي الشرعي شرطاً لإسداء خدمة أو تقديم منفعة، ما لم تكن الخدمة أو المنفعة ذات علاقة بمعالجة البيانات الشخصية التي صدرت الموافقة عليها.
وتابع "المادة (الثامنة) قد ألزمت جهة التحكم عند اختيارها جهة معالجة البيانات أن تلتزم باختيار الجهة التي توفر الضمانات اللازمة لتنفيذ أحكام النظام ولوائحه وعليها التحقق من التزامها".
وأكمل قائلاً: "في المادة (التاسعة) يجوز لجهة التحكم تحديد مدد لممارسة حق الوصول إلى البيانات الشخصية المقررة وفق ما تحدده اللوائح، ويجوز لجهة التحكم تقييد هذا الحق في بعض الأحوال".
وأضاف "المادة (العاشرة) تضمنت على عدم الجواز لجهة التحكم جمع البيانات الشخصية إلا من صاحبها مباشرةً، ولا تجوز مُعالجة تلك البيانات إلا لتحقيق الغرض الذي جُمعت من أجله. إلا أنه المادة أجازت لجهة التحكم جمع البيانات الشخصية في (7) أحوال".
وأشار إلى أن المادة (الحادية عشرة) قررت ضوابط جمع البيانات الشخصية ومعالجتها، أما المادة (الثانية عشرة) فقد ألزمت جهة التحكم اعتماد سياسة خصوصية البيانات الشخصية، وأن تجعلها متاحة لأصحابها ليطلعوا عليها عند جمع بياناتهم.
وأردف قائلاً: "المادة (الثالثة عشرة) قد أوجبت على جهة التحكم في حالة جمع البيانات الشخصية من صاحبها مباشرة اتخاذ الوسائل الكافية لإحاطته بمجموعة من العناصر، ومنها: المسوغ النظامي لجمع البيانات والغرض وهوية من يجمع".
وأضاف "المادة (الرابعة عشرة) أشارت بعدم جواز معالجة البيانات الشخصية من جهة التحكم دون اتخاذ خطوات كافية للتحقق من دقتها واكتمالها وحداثتها وارتباطها بالغرض الذي جُمعت له".
وبين الفياض أن المادة (الخامسة عشرة) قد حددت (6) حالات يجوز لجهة التحكم الإفصاح عن البيانات الشخصية، أما المادة (السادسة عشرة) فقد تناولت (9) حالات لا يجوز لجهة التحكم الإفصاح عن البيانات الشخصية، أما المادة (السابعة عشرة) فقد ألزمت جهة التحكم بضرورة إبلاغ أي جهة انتقلت إليها البيانات بما طرأ عليها من تصحيح أو تعديل أو تحديث، أما المادة (الثامنة عشرة) فقد تناولت ضرورة قيام جهة التحكم بإتلاف البيانات الشخصية عند انتهاء الغرض من جمعها، وحددت الحالتين التي يجوز لجهة التحكم الاحتفاظ بها.
وقال: "المادة (التاسعة عشرة) قد ألزمت جهة التحكم بضرورة اتخاذ الإجراءات والوسائل التنظيمية والإدارية والتقنية للمحافظة على البيانات الشخصية، بما في ذلك نقلها، أما المادة (العشرون) فقد ألزمت جهة التحكم بإشعار الجهة المختصة عند علمها بحدوث تسرب لبيانات شخصية أو تلفها أو وصول غير مشروع إليها، وإشعار صاحب البيانات الشخصية إذا ترتب ضررٌ على بياناته أو تعارض مع حقوقه أو مصالحه".
وأوضح أن المادة (الحادية والعشرين) ألزمت جهة التحكم الاستجابة لطلبات صاحب البيانات الشخصية المتعلقة بحقوقه خلال مدة محددة وعبر وسيلة مناسبة تبينهما اللوائح، في حين أن المادة (الثانية والعشرين) تناولت ضرورة قيام جهة التحكم بإجراء تقويم للآثار المترتبة على معالجة البيانات الشخصية.
وقال: "أما المادة (الثالثة والعشرون) والمادة (الرابعة والعشرون) قد تناولت ضوابط وإجراءات معالجة البيانات الصحية والائتمانية بما يكفل المحافظة على خصوصية أصحابها ويحمي حقوقهم".
وأضاف: "المادة (الخامسة والعشرون) والمادة (السادسة والعشرون) والمادة (السابعة والعشرون) فقد تناولت ضوابط استخدام البيانات الشخصية لأجل إرسال مواد دعائية أو توعوية أو تسويقية أو علمية أو بحثية أو إحصائية، كما أكدت المادة (الثامنة والعشرون) على ضرورة عدم جواز تصوير الوثائق الرسمية التي تحدد هوية صاحب البيانات الشخصية أو نسخها إلا عندما يكون تنفيذاً لأحكام نظام، أو عندما تُطلب من جهة عامة مختصة".
وأردف: "أما المادة (التاسعة والعشرون) فقد حددت ضوابط نقل أو الإفصاح عن البيانات الشخصية إلى خارج المملكة، أما المادة (الثلاثون) فقد حددت الجهة المختصة بموجب أحكام النظام واللوائح، أما المادة (الحادية والثلاثون) فقد قيدت المدة بما تحدده اللوائح لاحتفاظ جهة التحكم بالسجلات لأنشطة معالجة البيانات الشخصية؛ لتكون متاحة عندما تطلبها الجهة المختصة".
وواصل قائلاً: "المادة (الثانية والثلاثون) قد ألغيت هذه المادة بموجب المرسوم الملكي رقم (م/148) وتاريخ 5/9/1444هـ، وأما المادة (الثالثة والثلاثون) فقد حددت اشتراطات الأنشطة المرتبطة بحماية البيانات الشخصية، والتراخيص لإصدار شهادات اعتماد لجهة التحكم وجهة المعالجة والتدقيق والفحص، وتحديد الأدوات والآليات المناسبة لمتابعة التزام الجهات، أما المادة (الرابعة والثلاثون) فقد حددت ضوابط معالجة الجهة المختصة للشكوى التي قد يقدمها صاحب البيانات الشخصية الناشئة إلى الجهة المختصة".
وأكد أن المادة (الخامسة الثلاثين) قد حددت عقوبة السجن والغرامة لمن أفصح عن بيانات حساسة أو نشرها مخالفاً أحكام هذا النظام وتختص النيابة العامة لمهمة التحقيق والادعاء أمام المحكمة المختصة، وأما (السادسة الثلاثون) قد حددت عدد لجنة النظر في مخالفات أحكام نظام حماية البيانات الشخصية وعقوباتها الإنذار والغرامة وتقدر بحسب نوع المخالفة المرتكبة وجسامتها ومدى تأثيرها، وجواز مضاعفة العقوبة في حال تكرار المخالفة، ويحق لمن صدر ضده قرار من اللجنة التظلم منه أمام المحكمة المختصة.
وأشار إلى أن المادة (السابعة والثلاثين) فقد حددت الموظفين أو العاملين المختصين بالضبط والتفتيش وأحقيتهم في الاستعانة بجهات الضبط الجنائي أو الجهات المختصة، ويصدر رئيس الجهة المختصة قواعد وإجراءات عملهم، وللجهة المختصة الحق في حجز الوسائل أو الأدوات المستخدمة في ارتكاب المخالفة إلى حين البت فيها، كما نصت المادة (الثامنة والثلاثون) على عقوبة مصادرة الأموال المتحصلة وعقوبة نشر الحكم على نفقة مرتكب المخالفة.
وأوضح الفياض أن المادة (التاسعة والثلاثين) قد تناولت المساءلة التأديبية لمنسوبي الجهات العامة في حال مخالفته أياً من أحكام النظام واللوائح، أما المادة (الأربعون) فقد تناولت حق المطالبة لمن لحقه ضرر أمام المحكمة المختصة بالتعويض عن الضرر المادي أو المعنوي بما يتناسب مع حجم الضرر، في حين أن المادة (الحادية والأربعين) فقد ألزمت كل من باشر عملاً من أعمال معالجة البيانات الشخصية بالمحافظة على الأسرار المتعلقة بالبيانات حتى بعد انتهاء علاقته الوظيفية أو التعاقدية.
واختتم الدكتور الفياض حديثه قائلاً: "المادة (الثانية والأربعون) ألزمت رئيس الجهة المختصة بإصدار اللوائح في مدة لا تتجاوز (سبعمائة وعشرين) يوماً من تاريخ صدور النظام على أن يُنسِّق قبل إصدارها مع عدد من الجهات الحكومية".