يتمتع نظام حماية البيانات الشخصية بنطاق واسع خارج الحدود الإقليمية وعقوبات كبيرة في حال عدم الامتثال، مع توقع بدء سريان النظام الكامل في سبتمبر.
يُعد نظام حماية البيانات الشخصية (النظام) أول نظام شامل لحماية البيانات في المملكة العربية السعودية. من المتوقع أن تبدأ الهيئة السعودية للبيانات والذكاء الاصطناعي (الهيئة) في الإنفاذ الكامل للنظام اعتبارًا من 14 سبتمبر 2024، بعد انتهاء الفترة الانتقالية الحالية للامتثال. وأكدت الهيئة على أنها تتوقع من الكيانات اتخاذ تدابير لتحقيق الامتثال للنظام بحلول الموعد النهائي لشهر سبتمبر.
النطاق
يتمتع النظام بنطاق واسع للغاية وينطبق على جميع الكيانات العاملة في المملكة العربية السعودية، وكذلك الكيانات خارج المملكة العربية السعودية التي تعالج البيانات الشخصية للأفراد في المملكة العربية السعودية (دون الحاجة إلى استهداف الأفراد أو مراقبتهم). سيتعين على جميع الكيانات المشمولة في النطاق تنفيذ برنامج امتثال قبل 14 سبتمبر 2024.
العقوبات
قد يؤدي عدم الامتثال للنظام إلى فرض غرامات تصل إلى 1.3 مليون دولار أمريكي (والتي يمكن مضاعفتها بسبب تكرار المخالفات)، والسجن المحتمل لبعض عمليات الإفصاح عن البيانات الشخصية الحساسة، والتحذيرات، ومصادرة الأموال التي تم الحصول عليها نتيجة الانتهاك، ومطالبات التعويض من الأفراد. قد يؤدي عدم الامتثال أيضًا إلى الإضرار بالسمعة والمطالبات التعاقدية.
نقل البيانات الشخصية خارج المملكة
حتوي النظام على متطلبات مفصلة لنقل البيانات الشخصية خارج المملكة، والتي تنطبق بالإضافة إلى متطلبات أقلمة البيانات الخاصة بكل القطاع. تختلف خطوات الامتثال المطلوبة لنقل البيانات الشخصية خارج المملكة بناءً على الاختصاص القضائي للمتلقي وطبيعة البيانات الشخصية المنقولة. ونحن في انتظار إصدار الهيئة لقائمة بالاختصاصات القضائية “المناسبة” لعمليات نقل البيانات الشخصية، بالإضافة إلى مزيد من التفاصيل حول آليات النقل البديلة، مثل البنود التعاقدية القياسية، التي يمكن الاعتماد عليها لعمليات النقل إلى اختصاصات قضائية غير مناسبة.
خطوات الامتثال ذات الأولوية العالية
ستعتمد الخطوات التي يجب على أي كيان اتخاذها لكي يصبح متوافقًا مع النظام على برنامج الامتثال العالمي الحالي لحماية البيانات، وما إذا كان يمكن توسيع هذا البرنامج ليشمل البيانات الشخصية في نطاق النظام. على سبيل المثال، يستخدم النظام نفس المفاهيم والمبادئ التي تستخدمها اللائحة العامة لحماية البيانات في الاتحاد الأوروبي، مع وجود مجالات تباين. إذا كان لدى الكيان بالفعل برنامج امتثال للائحة العامة لحماية البيانات، فيمكن توسيع هذا البرنامج ليسري على البيانات المشمولة في نطاق النظام، مع إجراء تعديلات وإضافات خاصة بالمملكة العربية السعودية.
فيما يلي قائمة غير شاملة بالخطوات الأولية ذات الأولوية العالية التي يجب على الكيانات اتخاذها، بناءً على حالة برنامج الامتثال الحالي لحماية البيانات.
برنامج امتثال محدود لحماية البيانات
ستحتاج الكيانات التي لديها برنامج امتثال محدود لحماية البيانات إلى اتخاذ خطوات امتثال أكثر أهمية، مما قد يتطلب موارد كبيرة والمزيد من الوقت للتنفيذ. تشمل الخطوات الأولية ذات الأولوية العالية ما يلي:
- تحديد الأفراد أو الفرق المناسبة للمساعدة في حماية البيانات وتحمل المسؤولية عنها
- فهم وتوثيق أنشطة معالجة البيانات الشخصية، في سجل أنشطة المعالجة، والذي يتضمن أيضًا فهم دور المؤسسة كمراقب أو معالج
- تخطيط عمليات النقل الدولي للبيانات الشخصية خارج المملكة، تمهيدًا لتنفيذ آلية نقل صالحة، بمجرد إصدار الهيئة مزيدًا من التفاصيل
- صياغة إخطارات الخصوصية للأفراد المعنيين (على سبيل المثال، زوار الموقع الإلكتروني والعملاء والموظفين)
- تنفيذ عمليات للتعرّف على طلبات حقوق أصحاب البيانات، واتخاذ الإجراءات اللازمة بشأنها، والاستجابة لها، مثل القدرة على البحث عن البيانات الشخصية واستردادها وتحديثها وحذفها
- تحديد أنشطة المعالجة عالية المخاطر وإجراء تقييمات الأثر وتقييم ما إذا كان مسؤول حماية البيانات مطلوبًا
- تنفيذ عمليات للكشف عن انتهاكات البيانات الشخصية ومعالجتها والاستجابة لها، بما في ذلك إخطار الهيئة والأفراد
- مراجعة أنشطة التسويق المباشر والأساس القانوني المعتمد عليه، لضمان الحصول على الموافقات المناسبة
- مراجعة وتحديث الاتفاقيات مع معالجي البيانات لضمان أنها تتضمن متطلبات تعاقدية إلزامية (وأحكام النقل الدولي، عند الاقتضاء)
برنامج مكتمل للامتثال للائحة العامة لحماية البيانات
قد تتمكن الكيانات التي لديها برنامج للائحة العامة لحماية البيانات من الاستفادة من المواد والعمليات الموجودة للامتثال للنظام، ومع ذلك، يجب مراجعة هذه المواد والعمليات وتحديثها لمراعاة مجالات الاختلاف بين اللائحة العامة لحماية البيانات والنظام. تشمل الخطوات الأولية ذات الأولوية العالية ما يلي:
- تقييم البيانات الشخصية التي تقع ضمن نطاق النظام
- إجراء تحليل الفجوة بين متطلبات اللائحة العامة لحماية البيانات مقابل متطلبات النظام
- توسيع برنامج اللائحة العامة لحماية البيانات ليشمل البيانات الشخصية في نطاق النظام (وفقًا لتحليل الفجوة الذي تم إجراؤه)، على سبيل المثال، توسيع سجل أنشطة المعالجة لتغطية أيضًا بيانات النظام المشمولة في النطاق وعمليات حقوق أصحاب البيانات لتشمل أيضًا الأفراد في المملكة العربية السعودية
- إجراء مسح لعمليات النقل الدولي للبيانات الشخصية خارج المملكة، تمهيدًا لتنفيذ آلية نقل صالحة، بمجرد إصدار الهيئة مزيدًا من التفاصيل
- مراجعة الأساس القانوني للمعالجة والإفصاح عن البيانات الشخصية، ومراعاة الاختلافات مع اللائحة العامة لحماية البيانات
- مراجعة المعالجة التي تتم كمراقب مشترك، لضمان استيفاء جميع متطلبات الامتثال بشكل مستقل، نظرًا لعدم وجود مفهوم مراقب مشترك بموجب النظام
- مراجعة وتحديث الاتفاقيات مع معالجي البيانات (والاتفاقيات فيما بين أعضاء المجموعة) لضمان أن هذه الاتفاقيات تشمل المتطلبات التعاقدية الإلزامية (وأحكام النقل الدولي، عند الاقتضاء)، بالنظر إلى الاختلافات مع اللائحة العامة لحماية البيانات
- مراجعة حدود إجراء تقييم أثر حماية البيانات، نظرًا لأن تقييمات أثر حماية البيانات مطلوبة لجميع عمليات معالجة البيانات الشخصية الحساسة بموجب النظام، ومراجعة متطلبات توفير تقييمات أثر حماية البيانات لمعالجي البيانات
- مراجعة إجراءات الاستجابة لخرق البيانات وتحديثها، بالنظر إلى الحد الأدنى لإشعار الانتهاك بموجب النظام (“من المحتمل أن يسبب ضررًا”)