السلام عليكم ورحمة الله وبركاتة
قامت مؤخرا هيئه الهيئة السعودية للبيانات والذكاء الاصطناعي(سدايا | SDAIA) بنشر النسخة الأخيرة من نظام حماية البيانات الشخصية السعودي.
الفكرة بشكل عام مشابهه جدا لقانون GDPR الأوروبي, الذي يعطي حقوق اضافيه للمستخدم, كالاضطلاع على معلوماته, وحذفها او تعديلها.
بالإضافة لاشتراطات خاصه للتعامل مع البيانات الحساسة والخ.
نظرا لأهميته, أحببت اخذ نظره سريعة عليه, واظهرا اهم ما فيه, خاصه ان اللغة القانونيه المستخدمة بسيطة وسهله الفهم نسبيا.
انا لست محامي, وليس لدي علاقة بالقانون, لذلك هذه الإراء يجب عدم الاتخاذ بها ابدا كنصيحة قانونيه.
تواصل مع محاميك الخاصة اذا جهتك متأثرة بالنظام الجديد.
يذكر ان النظام ليس كامل, لان اللوائح النهائية التي ستحدد أشياء مثل مدة بقاء البيانات, او الفترة الاجبارية للرد على طلبات حول البيانات الشخصية وغيرها لم تصدر بعد
بسم الله.
النظام يطبق على من؟
القانون يطبق على جميع البيانات القادمه من المملكة العربية السعودية, سواء مقيم او سعودي.
والاستثناء الوحيد, هو الاستخدام الشخصي او العائلي دون نشر.
حق الحصول على البيانات المجمعة, وتعديلها او حذفها
هنا اول شرط يؤثر بالمنصات والخدمات, وهو بشكل عام شبيه بقانون GDPR
وهذا جيد, لان قد تستطيع استخدام طرق التوافق مع الGDPR للتوافق مع القانون في هذا الشرط.
طلب الموافقه من اجل معالجه البيانات
في المادة الخامسة, يوضح كيف ان موافقه المستخدمه شرط أساسي لإمكانية معالجه البيانات, وقد ينتج عن هذا الشرط طلبات الكوكيز المشهوره في المواقع الأوروبية.
في الفقرة السادسة والسابعة تحدد تفاصيل واستثناءات لهذا الشرط.
ويذكر بالمادة العشر الطرق المسموحة لجمع المعلومات من جهات اخرى غير الشخص نفسه.
وهي محدده وتشمل اذا كانت عامة, او اذا كانت ضروريه وغيرها من الحالات.
وجود سياسة خصوصية اصبح اجباري
الاحتياج لتجهيل البيانات لحفظها
يوضح في المادة الثامنه عشر, ان لا يمكن ان يتم حفظ البيانات اذا تم الانتهاء من استخدمها, الا في حالة تجهيلها, اي بمعنى حذف اي تفاصيل عن الشخص نفسه.
وطبعا هناك استثنائات خاصة.
إلزام الإفصاح للجهات المختصة و المستخدم عند حدوث تسرب للمعلومات
عدم السماح بالرسائل الاعلانية دون موافقة مباشرة من المستخدم, مع ضروره وجود طريقة لالغاء الاشتراك بها
هذا يحل فعلا مشكلة الرسائل الاعلانيه, التي تستهدف المستخدمين عادة عبر الSMS, وعمليه إلغاء الاشتراك فيه انما تكون متعطلة او غير موجودة أساسا.
السماح بجمع البيانات الإحصائية بشروط
كما ذكر سابقا, لجمع البيانات وبقائها لوظيفه اخرى غير أساسية, يجب ان يتم تجهيلها.
وهذا المذكور في المادة السابعة والعشرون, بحيث يشترط تجهيل البيانات, بالإضافة لموافقه مباشرة من المستخدم لهذا الغرض.
اشتراط وجود حماية مشابهه للقانون عند استخدام مشغل خارج المملكة.
هذا الشرط قريب للGDPR, لكن تابعاته كبيرة جدا, إذ قد يصل الموضوع الى حجب شركات الاستضافة الأجنبية كما حصل بالاتحاد الأوروبي, لأنهم لا يرون ان الولايات المتحدة تقدم نفس الالتزامات بحماية الخصوصية الرقمية.
سجن سنتين و غرامة تصل الى ثلاث ملايين ريال لمن يكشف عن معلومات حساسة.
المعلومات الحساسة يذكر تعريفها أعلى القانون, وهي تشمل أشياء مثل الآراء السياسية, السجل الأمني والصحي وغيرها من المعلومات التي تعدّ اكثر من كونها مجرد شخصية.
غرامات تصل لخمس ملايين ريال سعودي للمعلومات الشخصية
عند مخالفة النظام, قد تصل الغرامات الى خمس ملايين ريال سعودي, لكن يذكر انه ليس من الضروري وجود غرامه, لان النظام يسمح بإصدار إنذار دون غرامة.
تاريخ صدور اللوائح العامة
يجب ان تصدر اللوائح العامة خلال مدة من اقل من ثلاث سنين, بعد التنسيق مع الجهات المختصة الاخرى كهيئة الاتصالات.
