حماية البيانات الشخصية في السعودية: نظام 2021 وتطبيقاته
أقرّت المملكة العربية السعودية نظام حماية البيانات الشخصية بالمرسوم الملكي رقم م/19 بتاريخ 1442/6/18هـ (يناير 2021)، ليصبح الإطار القانوني الأساسي لحماية بيانات الأفراد في القطاعين العام والخاص. يُعدّ هذا النظام ركيزة أساسية في منظومة الاقتصاد الرقمي السعودي، خاصة مع التوسع السريع في التعاملات الإلكترونية والخدمات الرقمية.
نطاق تطبيق النظام والتعريفات الأساسية
يسري نظام حماية البيانات الشخصية (المادة 2) على أي معالجة لبيانات شخصية يقوم بها كيان حكومي أو جهة خاصة داخل السعودية أو خارجها، بشرط أن تتعلق بسكان السعودية أو تستهدف تقديم خدمات لهم. البيانات الشخصية تُعرّف بأنها: أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد (المادة 1).
يستثنى من النطاق (المادة 2/ج): البيانات المعالجة لأغراض أمنية أو جنائية، والبيانات المعالجة من قبل الأشخاص الطبيعيين لأغراض شخصية بحتة. محامي تجارة إلكترونية الرياض يؤكد أن هذه الاستثناءات لا تطبق على الجهات التي تعالج بيانات بحجم كبير أو بشكل منتظم.
حقوق صاحب البيانات: الركيزة الأساسية
يكفل النظام لصاحب البيانات حقوقاً أساسية (المادة 4):
- الحق في الوصول: الحصول على تأكيد بمعالجة بياناته واطلاعه على محتوى البيانات
- الحق في التصحيح: تعديل البيانات الخاطئة أو الناقصة دون تأخير
- الحق في الحذف: حذف البيانات في حالات محددة مثل انتهاء الغرض من المعالجة
- الحق في الاعتراض: الاعتراض على معالجة بياناته لأغراض معينة
- الحق في عدم الخضوع للقرارات الآلية: عدم الخضوع لقرار يبني على معالجة آلية وحدها (المادة 5)
يجب على مسؤول البيانات الاستجابة لطلبات صاحب البيانات خلال 30 يوماً (المادة 4/ج)، قابلة للتمديد 30 يوماً إضافياً عند التعقيد.
التزامات معالج البيانات والمتطلبات القانونية
يتحمل مسؤول البيانات التزامات صارمة (المادة 6):
- المعالجة على أساس قانوني صحيح (الموافقة الصريحة أو الضرورة القانونية)
- توضيح الغرض من المعالجة بشكل دقيق ومحدد
- عدم معالجة البيانات لأغراض غير متوقعة دون موافقة جديدة
- ضمان دقة البيانات وحداثتها
- تطبيق إجراءات أمان تقنية وتنظيمية كافية (المادة 7)
استشارة محامي تجارة إلكترونية الرياض ضرورية للمتاجر الإلكترونية والشركات الرقمية لضمان توثيق نموذج الموافقة على البيانات وتوقيعه قبل أي معالجة.
التزام تقييم الأثر والإخطار بالانتهاكات
يجب على الجهات التي تعالج بيانات حساسة بشكل كبير إجراء تقييم تأثير حماية البيانات (المادة 8). يشمل ذلك المتاجر الإلكترونية الكبرى والشركات المالية والصحية.
عند حدوث انتهاك أمني يؤثر على البيانات الشخصية، يجب على مسؤول البيانات إخطار الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) فوراً وفي جميع الأحوال خلال 72 ساعة (المادة 9/أ). إذا كان الانتهاك يشكل خطراً كبيراً على حقوق صاحب البيانات، يُخطَّر الأخير أيضاً (المادة 9/ب).
العقوبات والجزاءات
يفرض النظام عقوبات رادعة على المخالفين (المادة 17):
- غرامة مالية تصل إلى 5 ملايين ريال سعودي
- إيقاف الخدمات الرقمية مؤقتاً أو نهائياً
- مصادرة المعدات المستخدمة في الانتهاك
- الحظر من معالجة البيانات الشخصية لفترة محددة
المخالفات الجسيمة مثل المعالجة بدون موافقة أو نقل البيانات بشكل غير قانوني تُعرّض الجهة لغرامات أعلى وتعويضات مدنية (المادة 18).
تطبيق عملي: التزامات المتاجر الإلكترونية
يجب على أي محل تجارة إلكترونية في السعودية:
- نشر سياسة خصوصية واضحة تفصل معالجة البيانات
- الحصول على موافقة صريحة قبل جمع بيانات العملاء
- توفير آليات آمنة لتخزين البيانات (تشفير، نسخ احتياطية)
- تعيين مسؤول حماية بيانات لدى الجهات الكبرى
- الإبلاغ الفوري عن أي اختراق أمني
تنبيه قانوني
هذا المحتوى بغرض التوعية القانونية فحسب ولا يشكل استشارة قانونية متخصصة. كل جهة لها ظروفها الفريدة والمعقدة التي تستوجب مراجعة قانونية مباشرة من متخصص معتمد.
الخطوة التالية: تأمين امتثالك القانوني
إذا كنت تدير متجراً إلكترونياً أو شركة تجارة رقمية في الرياض، فإن المراجعة القانونية الدورية لممارساتك في معالجة البيانات ضرورية لتجنب الغرامات والعقوبات. مكتب المحامي دحيّان الدحيّان للاستشارات القانونية متخصص في تقديم استشارات شاملة لحماية البيانات وتدقيق الامتثال النظامي. تواصل معنا على 0536047719 لتحصيل استشارة قانونية مخصصة لنشاطك التجاري الرقمي.
