“لائحة نظام حماية البيانات الشخصية” تحدد طرق الجمع والمعالجة والحفظ وصلاحيات الضبط

  • 3/13/2022
  • 11:32
  • 8
  • 0
  • 0
news-picture

طرحت الهيئة السعودية للبيانات والذكاء الاصطناعي “سدايا” مؤخراً مشروع اللائحة التنفيذية لنظام حماية البيانات الشخصية، داعية الأفراد والجهات إلى إبداء مرئياتهم حياله. ويُعنى النظام المطروح من خلال “منصة استطلاع”؛ بحماية حقوق الأفراد، وتعزيز المسؤولية لدى الأفراد والجهات، وترسيخ احترام الحياة الخاصة، ما يمكّن من بناء مجتمع حيوي وآمن، يسهم في صناعة اقتصاد رقمي متين. وفيما يلي نستعرض أبرز ما تضمنه مشروع اللائحة التنفيذية للنظام: حقوق صاحب البيانات الشخصية يجب على الجهات المختلفة قبل وأثناء جمع البيانات الشخصية، تزويد صاحب البيانات باسم جهة التحكم في البيانات، ومحتوى البيانات المراد معالجتها، والغرض من ذلك، وتعريفه بطرق جمع البيانات وكيفية استخدامها، والجهات التي سيتم مشاركة البيانات معها. وعلى جهة التحكم تمكين صاحب البيانات من الوصول إلى بياناته الشخصية أو الحصول على نسخة منها، وعدم الكشف عن بيانات شخصية تحدد هوية شخص آخر ؛ إلاّ بإذن منه. الحق في طلب الإتلاف في حال تقدم صاحب البيانات بطلب كتابي لإتلافها فإنه يجب على الجهة تنفيذ الطلب، وذلك في عدة حالات منها: لم تعد البيانات ضرورية، أو عدل صاحبها موافقته السابقة على جمع بياناته، إذا كانت البيانات قد عولجت بطريقة مخالفة لأحكام النظام. الموافقة على جمع البيانات يجب أخذ الموافقة الصريحة وتوثيقها، ويجب على الجهة مراعاة عدة جوانب منها: أن تكون الموافقة مكتوبة من الشخص المعني، أو من الولي أو الوكيل الشرعي إذا كان صاحب البيانات ناقص أو عديم الأهلية أو متوفى. وفي حالة حصول جهة التحكم على موافقة تتعلق بالطفل، فيجب أن تكون الجهة مسؤولة عن إثبات عدة أشياء منها أن هذه الموافقة تتفق في جميع الجوانب مع متطلبات النظام واللوائح. الافصاح عن البيانات لأغراض أمنية يشترط عند جمع بيانات من غير صاحبها مباشرة، أو معالجتها لأي غرض آخر غير الذي جُمعت من أجله لأغراض أمنية أو قضائية؛ تحقُّق عدة أشياء، منها أن تكون المعالجة بشكل محدد وواضح، وأن تكون مرتبطة بالهدف الذي جمعت من أجله، وأن يكون محتوى البيانات مقتصراً على الحد الأدنى من البيانات اللازمة لتحقيق الغرض. جمع البيانات للأغراض العلمية والبحثية يجب عند جمع البيانات أو معالجتها للأغراض البحثية أو العلمية دون موافقة صاحبها، الالتزام بتحديد محتوى البيانات وفقاً للأغراض المحددة، وألاّ تتضمن البيانات ما يدل على هوية صاحبها، بالإضافة إلى تقييم الآثار السلبية والمخاطر المحتملة؛ ومنها المخاطر المتعلقة بإمكانية التعرف على هوية صاحب البيانات على وجه التحديد. البيانات الصحية على جهة التحكم اتخاذ الإجراءات اللازمة للحفاظ على البيانات الصحية من إساءة استخدامها أو تسريبها أو إتلافها، والحرص على عدم وصول أو اطلاع أي جهة أو فرد على هذه البيانات باستثناء الفريق الطبي المعني بالحال، وقصر معالجة البيانات على أقل قدر ممكن من الموظفين ممن يتصفون بالأمانة والمسؤولية، وإلزامهم بالتوقيع على تعهد بالمحافظة على سرية البيانات. تصوير ونسخ الوثائق الرسمية على الجهة الامتناع عن نسخ أو تصوير الوثائق الرسمية التي تحدد هوية صاحبها، إلاّ بناء على متطلب وارد من ضمن اختصاصاتها، أو تنفيذًا لمتطلب نظامي، وفي جميع الأحوال يجب إشعار صاحب البيانات قبل تصوير وثائقه الرسمية أو نسخها. تسرُّب البيانات على جهة التحكم أن تُشعِر الجهة المختصة بأي حادثـة تسرُّب أو تلف أو وصول غير مشروع للبيانات فوراً بما لا يتجاوز 72 ساعة، مع إرفاق تقرير يتضمن شرح الواقعة وكيفية حدوثها، ووصف المخاطر المحتملة، والآثار السلبية المتوقعة، وغير ذلك من تفاصيل منصوص عليها. ويجب إشعار صاحب البيانات بتسرُّب بياناته أو تلفها فوراً، وشرح طبيعة الحادثـة والمخاطر المحتملة المترتبة على ذلك. الإفصاح عن البيانات لجهات خارجية يجب على الجهة تخزين البيانات داخل حدود المملكة، ولا يجوز تخزينها أو معالجتها بالخارج إلاّ بعد تقييم الآثار والحصول على الموافقة المطلوبة. ويجوز نقل البيانات الشخصية إلى الخارج في حالتين: إذا كان تقديم الخدمة يتطلب نقل البيانات إلى الخارج بما لا يخالف توقعات الأفراد بشرط الحصول على موافقتهم، أو في حال كان نقل البيانات للخارج يتم لأغراض تحقيق المصلحة العامة. مدة الاحتفاظ بسجلات معالجة البيانات يتم الاحتفاظ بسجلات أنشطة معالجة البيانات لمدة خمس سنوات، أو انتهاء الغرض من جمعها؛ أيهما أطول. تقديم الشكاوى والبلاغات يحق لصاحب البيانات الشخصية تقديم شكوى للجهة المختصة في غضون 60 يوماً من تاريخ الواقعة محل الشكوى أو علم صاحب البيانات بها، وعلى الجهة المختصة تلقِّي الشكاوى والبلاغات وفق إجراءات تكفل السرعة والجودة في التعامل معها، وتقييد الشكاوى ضد من يُشتبَه في مخالفتهم، في سجل يُعدُّ لذلك، ومن ثم اتخاذ الإجراءات النظامية تجاه الشكوى أو البلاغ. صلاحيات رجال الضبط يكون للموظفين المكلفين بأعمال الضبط، تنفيذ الزيارات الرقابية للمنشآت، أو مخاطبتها لطلب الإفادة أو طلب مستندات، ولهم صلاحيات فحص السجلات والبيانات لدى المنشآت المشتبه بها، وضبط الوسائل والأدوات المستخدمة في ارتكاب المخالفة والتحفظ عليها، وتسجيل إفادة ممثل الجهة أو أي شخص له معلومات تفيد بكشف المخالفة، كما لهم الحق في الاستعانة بالجهات الأمنية عند الحاجة.

مشاركة :