زهير بن سليمان الحربش

مع التطوُّر المطّرد في التقنية وسهولة الحصول على البيانات ومشاركتها، تتضاعف أهمية المحافظة على خصوصية البيانات الشخصية مما دعا أغلب الدول إلى سن الأنظمة والتشريعات التي تنظم جمع ومعالجة ومشاركة البيانات الشخصية بما يضمن المحافظة على خصوصية أصحاب هذه البيانات وحماية حقوقهم، وكذلك المحافظة على السيادة الوطنية الرقمية على هذه البيانات. وتحقيقاً لكل تلك الأهداف صدر نظام حماية البيانات الشخصية بموجب المرسوم الملكي رقم (م-19) وتاريخ 09-03-1443هـ، حيث عرَّف ذلك النظام البيانات الشخصية بأنها تعني كل بيان -مهما كان مصدره أو شكله- من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعل التعرف عليه ممكنًا بصفة مباشرة أو غير مباشرة، ومن ذلك: الاسم، ورقم الهوية الشخصية، والعناوين، وأرقام التواصل، وأرقام الرُّخص والسجلات والممتلكات الشخصية، وأرقام الحسابات البنكية والبطاقات الائتمانية، وصور الفرد الثابتة أو المتحركة، وغير ذلك من البيانات ذات الطابع الشخصي.

نظّمت أحكام النظام كيفية جمع ومعالجة البيانات الشخصية وكل الأمور الأخرى المتعلّقة بتلك البيانات مثل الإفصاح عنها ونقلها ونشرها وإتلافها. كما حدّد النظام جهات التحكّم والمعالجة وكذلك تضمّن أحكاماً تتعلّق بحقوق صاحب البيانات الشخصية.

يُطبّق النظام على أي عملية مُعالجة لبيانات شخصية تتعلق بالأفراد تتم في المملكة بأي وسيلة كانت، بما في ذلك معالجة البيانات الشخصية المتعلقة بالأفراد المقيمين في المملكة بأي وسيلة كانت من أي جهة خارج المملكة. ويشمل ذلك بيانات المتوفى إذا كانت ستؤدي إلى معرفته أو معرفة أحد أفراد أُسرته على وجه التحديد. ويُستثنى من نطاق تطبيق النظام، قيام الفرد بمعالجة البيانات الشخصية لأغراض لا تتجاوز الاستخدام الشخصي أو العائلي بشرط عدم نشرها أو الإفصاح عنها للغير، على أن تحدِّد اللّوائح المقصود بالاستخدام الشخصي والعائلي.

في شأن حقوق صاحب البيانات الشخصية، فقد نص النظام على أن تكون لصاحب البيانات الشخصية الحقوق الآتية:

1- الحق في العلم، ويشمل ذلك إحاطته علماً بالمسوغ النظامي أو العملي المعتبر لجمع بياناته الشخصية، والغرض من ذلك، وألَّا تعالج بياناته لاحقاً بصورة تتنافى مع الغرض من جمعها أو في غير الأحوال المنصوص عليها في النظام.

2- الحق في وصوله إلى بياناته الشخصية المتوافرة لدى جهة التحكم، ويشمل ذلك الاطلاع عليها، والحصول على نسخة منها بصيغة واضحة ومطابقة لمضمون السجلات وبلا مقابل مادي -وفقاً لما تحدِّده اللوائح- وذلك دون إخلال بما يقضي به نظام المعلومات الائتمانية فيما يخص المقابل المالي، ودون إخلال بما تضمّنه النظام من ضوابط وقيود في هذا الشأن.

3- الحق في طلب تصحيح بياناته الشخصية المتوافرة لدى جهة التحكم، أو اتمامها، أو تحديثها.

4- مع مراعاة بعض الاستثناءات التي نص عليها النظام، الحق في طلب إتلاف بياناته الشخصية المتوافرة لدى جهة التحكم مما انتهت الحاجة إليه منها.

5- الحقوق الأخرى المنصوص عليها في النظام، التي تُبينها اللوائح.

أمّا في شأن معالجة البيانات، فقد نصّ النظام على أنّه فيما عدا الأحوال المنصوص عليها في النظام لا تجوز معالجة البيانات الشخصية أو تغيير الغرض من معالجتها إلاَّ بعد موافقة صاحبها. وتُبيّن اللّوائح شروط الموافقة، والأحوال التي يجب فيها أن تكون الموافقة كتابية، والشروط والأحكام المتعلّقة بالحصول على الموافقة من الولي الشرعي إذا كان صاحب البيانات الشخصية ناقصاً أو عديم الأهلية. وفي جميع الأحوال، يجوز لصاحب البيانات الشخصية الرجوع عن هذه الموافقة وفي أي وقت، وفقاً لما تحدّده اللّوائح.

ولكن لا تخضع معالجة البيانات الشخصية للموافقة المشار إليها أعلاه في الأحوال الآتية:

1- عندما تُحقّق المعالجة مصلحة متحقّقة لصاحب البيانات وكان الاتصال به متعذّراً أو كان من الصعب تحقيق ذلك.

2- عندما تكون المعالجة بمقتضى نظام آخر أو تنفيذاً لاتفاق سابق يكون صاحب البيانات الشخصية طرفاً فيه.

3- إذا كانت جهة التحكم جهة عامة، وكانت تلك المعالجة مطلوبة لأغراض أمنية أو لاستيفاء مُتطلبات قضائية.

وفقاً للنظام لا يجوز لجهة التحكم جمع البيانات الشخصية إلَّا من صاحبها مباشرةً، ولا تجوز كذلك مُعالجة تلك البيانات إلاَّ لتحقيق الغرض الذي جُمعت من أجله. ومع ذلك، يجوز لجهة التحكم جمع البيانات الشخصية من غير صاحبها مباشرةً، أو مُعالجتها لغرض آخر غير الذي جمعت من أجله، وذلك في الأحوال الآتية:

1 - إذا وافق صاحب البيانات الشخصية على ذلك، وفقاً لأحكام النظام.

2 - إذا كانت البيانات الشخصية متاحة للعموم، أو جرى جمعها من مصدر متاح للعموم.

3 - إذا كانت جهة التحكم جهة عامة، وكان جمع البيانات الشخصية من غير صاحبها مباشرةً، أو مُعالجتها لغرض آخر غير الذي جمعت من أجله؛ مطلوباً لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء مُتطلبات قضائية وفق الأحكام التي تحددها اللوائح.

4 - إذا كان التقيد بهذا الحظر قد يُلحق ضرراً بصاحب البيانات الشخصية أو يؤثر على مصالحه الحيوية؛ وفق الأحكام التي تحددها اللوائح.

5 - إذا كان جمع البيانات الشخصية أو معالجتها ضروريّاً لحماية الصحة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك.

6 - إذا كانت البيانات الشخصية لن تُسجّل أو تُحفظ في صيغة تجعل من الممكن تحديد هوية صاحبها ومعرفته بصورة مباشرة أو غير مباشرة. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك.

كذلك ينص النظام أنّ على جهة التحكم أن تعتمد سياسة لخصوصية البيانات الشخصية، وأن تجعلها متاحة لأصحابها ليطلعوا عليها قبل جمع بياناتهم. على أن تشتمل تلك السياسة على تحديد الغرض من جمعها، ومُحتوى البيانات الشخصية المطلوب جمعها، وطريقة جمعها، ووسيلة حفظها، وكيفية معالجتها، وكيفية إتلافها، وحقوق صاحبها فيما يتعلق بها، وكيفية ممارسة هذه الحقوق.

ولا يجوز لجهة التحكم أن تعالج البيانات الشخصية دون اتخاذ خطوات كافية للتحقق من دقتها واكتمالها وحداثتها وارتباطها بالغرض الذي جُمعت من أجله وفقاً لأحكام النظام. كما لا يجوز لجهة التحكم الإفصاح عن البيانات الشخصية إلاَّ في الأحوال الآتية:

1 - إذا وافق صاحب البيانات الشخصية على الإفصاح وفقاً لأحكام النظام.

2 - إذا كانت البيانات الشخصية قد جرى جمعها من مصدر متاح للعموم.

3 - إذا كانت الجهة التي تطلب الإفصاح جهة عامة، وذلك لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء مُتطلبات قضائية وفق الأحكام التي تحددها اللوائح.

4 - إذا كان الإفصاح ضروريّاً لحماية الصحة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك.

5 - إذا كان الإفصاح سيقتصر على معالجتها لاحقاً بطريقة لا تؤدي إلى معرفة هوية صاحب البيانات الشخصية أو أي فرد آخر على وجه التحديد. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك.

وعلى جهة التحكم ألاّ تُفصح عن البيانات الشخصية في الأحوال المنصوص عليها في الفقرات (1) و(2) و(5) أعلاه متى اتصف الإفصاح بأيٍّ مما يأتي:

1 - أنّه يمثّل خطراً على الأمن، أو يسيء إلى سمعة المملكة، أو يتعارض مع مصالحها.

2 - أنّه يؤثّر على علاقات المملكة مع دولة أخرى.

3 - أنه يمنع من كشف جريمة أو يمس حقوق متهم في الحصول على محاكمة عادلة أو يؤثر في سلامة إجراءات جنائية قائمة.

4 - أنه يعرض سلامة فرد أو أفراد للخطر.

5 - أنه يترتب عليه انتهاك خصوصية فرد آخر غير صاحب البيانات الشخصية وفق ما تحدده اللوائح.

6 - أنه يتعارض مع مصلحة ناقص أو عديم للأهلية.

7 - أنه يخل بالتزامات مهنية مقررة نظاماً.

8 - أنه ينطوي عليه إخلال بالتزام أو إجراء أو حكم قضائي.

9 - أنه يكشف عن مصدر سري لمعلومات تحتم المصلحة العامة عدم الكشف عنه.

يجب على جهة التحكم إتلاف البيانات الشخصية فور انتهاء الغرض من جمعها. ومع ذلك، يجوز لها الاحتفاظ بتلك البيانات بعد انتهاء الغرض من جمعها إذا تمت إزالة كل ما يؤدي إلى معرفة صاحبها على وجه التحديد وفق الضوابط التي تحددها اللوائح.

ولكن يجب على جهة التحكم الاحتفاظ بالبيانات الشخصية حتى بعد انتهاء الغرض من جمعها في الحالتين الآتيتين:

أ‌- إذا توافر مسوغ نظامي يوجب الاحتفاظ بها مدة مُحددة، وفي هذه الحالة يُجرى إتلافها بعد انتهاء هذه المدة أو انتهاء الغرض من جمعها، أيهما أطول.

ب‌- إذا كانت البيانات الشخصية متصلة اتصالاً وثيقاً بقضية منظورة أمام جهة قضائية وكان الاحتفاظ بها مطلوباً لهذا الغرض، وفي هذه الحالة يُجرى إتلافها بعد استكمال الإجراءات القضائية الخاصة بالقضية.

أخيراً، تجدُر الإشارة إلى أنّ مكتب إدارة البيانات الوطنية -بصفته الجهة التنظيمية للبيانات الوطنية- قام بتطوير إطار مؤقّت لحوكمة البيانات على المستوى الوطني يُحدّد السياسات الخاصة بتصنيف البيانات، ومشاركتها، وتنظيم جمع ومعالجة البيانات الشخصية، وكيفية ممارسة حق الاطلاع أو الحصول على المعلومات العامة لدى الجهات الحكومية، والبيانات المفتوحة لحين صدور الأنظمة والتشريعات المتعلّقة بتصنيف البيانات، ومشاركة البيانات، وحماية البيانات الشخصية، وحرية المعلومات. ويُعد صدور النظام نقلة نوعية على الصعيد القانوني الأمر الذي يُعزز من قوة ومتانة المنظومة التشريعية للمملكة العربية السعودية ويُساهم في دفع عجلة التنمية على جميع الأصعدة وبما يتفق مع رؤية المملكة 2030 والله الموفِّق.

** **

- مستشار قانوني ومحكّم