المملكة العربية السعودية توافق على تعديلات لقانون حماية البيانات الشخصية وتؤكد سريانها في سبتمبر 2023 | Akin Gump Strauss Hauer & Feld LLP

في 27 مارس 2023 ، وافق مجلس وزراء المملكة العربية السعودية (المملكة العربية السعودية) على سلسلة من 27 تعديلاً (تعديلات) على قانون حماية البيانات الشخصية للمملكة العربية السعودية (PDPL) بموجب المرسوم الملكي رقم M148 لعام 1444/09/05 هـ. (نص التعديلات متاح باللغة العربية فقط هنا ونص PDPL الموحد الذي يعكس التغييرات متاح باللغة العربية فقط هنا). يشكل قانون حماية البيانات الشخصية أول تشريع وطني شامل لحماية البيانات في البلاد ، وقد تم نشره في الأصل في 24 سبتمبر 2021 ، بموجب المرسوم الملكي م / 19 بتاريخ 9/2/1443 هـ. منذ نشره الأولي ، كانت هناك سلسلة من التطورات ، بما في ذلك إعلان الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) عن تأجيل التطبيق الكامل للقانون ، ونشر مسودة اللوائح التنفيذية المكملة لقانون PDPL ، ونشر عام التشاور حول التعديلات المقترحة على PDPL من قبل SDAIA في نوفمبر 2022 (انظر للحصول على منشور المدونة السابق هنا). تعكس التغييرات بعض ، وليس كل ، التغييرات المقترحة من خلال التعليق العام ، كما تمت مناقشته بمزيد من التفصيل أدناه.

ينظم قانون حماية البيانات الشخصية معالجة البيانات الشخصية المتعلقة بالفرد في المملكة العربية السعودية بأي وسيلة ، بما في ذلك عندما يتم تنفيذ هذه المعالجة من قبل طرف خارج المملكة العربية السعودية ، كما ينص على بعض الحقوق الجديدة للأفراد فيما يتعلق بالمخاوف المتعلقة ببياناتهم الشخصية. تتم معالجتها بواسطة مراقبي البيانات (تكون الموافقة في المقدمة) ، وينشئ التزامات جديدة يجب على مراقبي البيانات الامتثال لها. بعد الموافقة على التعديلات ، يجب على المنظمات العاملة في المملكة العربية السعودية أن تبدأ بسرعة في اتخاذ خطوات عملية لضمان الامتثال. في حين أن الامتثال لقوانين حماية البيانات الدولية الحالية ، مثل اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR) ، يمكن أن يكون مفيدًا ، يجب مراعاة الميزات الفريدة لقانون حماية البيانات الشخصية.

تنفذ التعديلات تغييرات كبيرة من الإصدار السابق من PDPL ، بما في ذلك:

• تغيير التعريفات: تعمل التعديلات على تعديل عدد من التعريفات الواردة في القسم 1 من PDPL ، بما في ذلك تضييق تعريف “البيانات الشخصية الحساسة” عن طريق إزالة المراجع السابقة للعضوية في جمعية أو مؤسسة مدنية ، وبيانات الائتمان والموقع (والآن تشير فقط إلى البيانات الشخصية المتعلقة بالأصل العرقي أو العرقي للفرد ، والمعتقدات الدينية أو الفكرية أو السياسية ، والبيانات الجنائية والأمنية ، والبيانات البيومترية ، والبيانات الجينية ، والبيانات الصحية والبيانات التي تشير إلى أن أحد الوالدين أو كليهما غير معروفين) ، وتعديل تعريف “مالك البيانات الشخصية” لإزالة الامتداد السابق للممثل القانوني أو الوصي على شخص (لذا فهو يشير الآن فقط إلى الشخص الذي تتعلق به البيانات الشخصية).
• الموافقة الكتابية مقابل الموافقة السريعة: لم تعد التعديلات تتطلب الموافقة على أن تكون خطية ، بل تتطلب بدلاً من ذلك أن تكون الموافقة “صريحة”.
• المصالح المشروعة الأساس القانوني: أحد أهم التعديلات التي تمت الموافقة عليها من خلال التعديلات هو إدراج المصالح المشروعة كأساس قانوني لمعالجة البيانات ، على الرغم من أن المصطلح لم يتم تعريفه بشكل أكبر في PDPL. وفقًا للتعديلات ، (1) لا تخضع معالجة البيانات الشخصية بموجب PDPL لمتطلبات الموافقة المنصوص عليها في المادة 5 من PDPL حيث تكون المعالجة ضرورية لتحقيق المصالح المشروعة للمتحكم ، و (2) قد يقوم المتحكم بجمع البيانات الشخصية مباشرة من شخص آخر غير المالك أو قد يعالج تلك البيانات لأغراض أخرى غير تلك التي تم جمعها من أجلها حيث يكون هذا الجمع أو هذه المعالجة ضروريًا لتحقيق المصالح المشروعة لمراقب البيانات ، في كل حالة ما لم تؤثر هذه المعالجة سلبًا على حقوق مالك البيانات الشخصية أو تتعارض مع مصالحه وشريطة ألا تكون هذه البيانات بيانات شخصية حساسة. علاوة على ذلك ، في حين أن المتحكم في السابق كان بإمكانه فقط الكشف عن البيانات الشخصية في خمسة ظروف محددة ، فإن التعديلات تسمح الآن أيضًا بالكشف إذا لزم الأمر لمتابعة المصالح المشروعة للمراقب ، شريطة أن: هذا الكشف لا يؤثر على حقوق مالك البيانات. أو تتعارض مع مصالحهم أو تشكل بيانات شخصية حساسة.
• عمليات نقل البيانات الدولية: تعديل مهم آخر تمت الموافقة عليه بموجب التعديلات هو تمديد أحكام نقل البيانات. في السابق ، كان مراقبو البيانات ممنوعين من نقل البيانات الشخصية خارج المملكة العربية السعودية (باستثناء حالات الضرورة القصوى للحفاظ على حياة موضوع البيانات خارج المملكة العربية السعودية أو مصالحه الحيوية ، أو للوقاية من المرض أو التحقيق فيه أو علاجه) ، ما لم يكن هذا النقل تم الوفاء بالتزام بموجب اتفاقية كانت المملكة العربية السعودية طرفًا فيها أو لتعزيز مصالح المملكة العربية السعودية وفقط بعد استيفاء أربعة شروط محددة ، بما في ذلك موافقة السلطة المختصة على النقل أو الإفصاح. وفقًا للتعديلات ، يجوز لمراقب البيانات نقل البيانات الشخصية خارج المملكة العربية السعودية من أجل تحقيق أغراض محددة محددة (الاحتفاظ بالأسباب السابقة بموجب مسودة PDPL الأصلية ، وهي خدمة مصالح المملكة العربية السعودية أو في أداء التزام بموجب اتفاقية تكون المملكة العربية السعودية طرفًا فيها ، وباستثناء حالات الضرورة القصوى ، المصالح الحيوية للشخص المعني والمتعلقة بالمرض) ، ولا سيما الآن بما في ذلك ما إذا كان ذلك هو أداء لالتزام من قبل المالك من البيانات الشخصية طرف وإذا تم تنفيذها لأغراض أخرى محددة في اللوائح (والتي لم تكن في السابق أسبابًا للسماح بنقل البيانات). تم تأكيد الشروط التي يجب استيفاؤها عند نقل البيانات الشخصية أو الكشف عنها خارج المملكة العربية السعودية (الاحتفاظ بالمتطلب السابق بأن النقل يجب أن يقتصر على الحد الأدنى من البيانات الشخصية المطلوبة وأن النقل لن يضر بالأمن القومي أو المصالح المملكة العربية السعودية) ، على الرغم من إزالة شرط الحصول على موافقة السلطة المختصة فيما يتعلق بالنقل أو الكشف وأن التعديلات تشمل الآن شرط وجود مستوى مناسب من الحماية للبيانات الشخصية خارج المملكة العربية السعودية ( التي يجب ألا تقل عن مستوى الحماية المنصوص عليه في PDPL واللوائح ذات الصلة – كانت PDPL تتطلب سابقًا توفير ضمانات كافية للحفاظ على البيانات الشخصية المنقولة والحفاظ على سرية هذه البيانات إلى مستوى لا يقل عن ذلك المنصوص عليه بواسطة PDPL أو اللوائح). تحدد اللوائح التنفيذية المكملة لقانون PDPL الأحكام والمعايير والإجراءات المتعلقة بتطبيق الأحكام المتعلقة بنقل البيانات ، بما في ذلك تحديد الظروف التي يجوز فيها إعفاء المتحكم من الامتثال لأحد الشروط المنصوص عليها.
• الغاء شرط التسجيل الالكتروني: تلغي التعديلات المادة 32 من PDPL ، التي كانت تنص سابقًا على أن السلطة المختصة يجب أن تنشئ بوابة إلكترونية لغرض إنشاء سجل وطني لوحدات التحكم وإلزام جميع المتحكمين بالتسجيل في البوابة.
• إشعار خرق البيانات: في السابق ، إذا تسبب التسرب أو التلف أو الوصول غير المصرح به إلى البيانات الشخصية في إلحاق ضرر جسيم بالبيانات الشخصية أو لمالك البيانات الشخصية ، كان على المراقب إبلاغ هذا الشخص “على الفور”. تمت إزالة متطلب الوقت هذا بموجب التعديلات ؛ بدلاً من ذلك ، يجب على المتحكم إخطار مالك البيانات الشخصية بأي تسرب أو تلف أو وصول غير مصرح به إلى البيانات الشخصية التي قد تؤدي إلى إتلاف تلك البيانات أو تعارضها مع حقوق أو مصالح الفرد ، مثل ما سيتم تحديده في أنظمة.
• عقوبات عدم الامتثال: في السابق ، كان أي شخص يتبين أنه انتهك أحكام نقل البيانات الواردة في القسم 29 من قانون حماية البيانات الشخصية معرضًا لعقوبة سجن لا تزيد عن سنة واحدة و / أو غرامة لا تزيد عن سنة واحدة ولا تزيد عن 1،000،000 ريال سعودي. لم تعد التعديلات تتضمن هذه العقوبة ، ولكنها تحتفظ بعقوبة السجن لمدة عامين و / أو غرامة لا تتجاوز 3.000.000 ريال سعودي عندما يقوم شخص بالإفصاح عن بيانات شخصية حساسة أو نشرها بما ينتهك قانون حماية البيانات الشخصية (حيث يكون هذا الكشف أو النشر بقصد الإضرار بمالك البيانات أو الحصول على منفعة شخصية). قد يتم أيضًا فرض غرامات إدارية تصل إلى 5،000،000 ريال سعودي عن أي انتهاكات أخرى لقانون PDPL.
• تاريخ نفاذ جديد: وفقًا للتعديلات ، ستدخل PDPL حيز التنفيذ الآن بعد 720 يومًا من نشر القانون الأصلي في الجريدة الرسمية للمملكة العربية السعودية ، لذلك ستدخل PDPL حيز التنفيذ اعتبارًا من 14 سبتمبر 2023. ومع ذلك ، فإن مراقبي البيانات لديهم فترة سماح مدتها عام واحد للامتثال لقانون PDPL (أي 14 سبتمبر 2014). يجب نشر اللوائح التنفيذية المكملة لقانون PDPL قبل هذا التاريخ الفعلي ومن المرجح أن توفر مزيدًا من التفاصيل والتوضيح لأحكام PDPL.

مع اقتراب التاريخ الفعلي ، يجب على الشركات التي يتعين عليها الامتثال لقانون PDPL الجديد أن تبدأ في مراجعة أنشطة معالجة البيانات الخاصة بها ، بما في ذلك أي عمليات نقل بيانات عبر الحدود ، لضمان الامتثال في الوقت المناسب مع PDPL. لتحقيق ذلك ، قد ترغب الشركات في:

1. إنشاء أو تحديث السياسات والإجراءات الحالية المتعلقة بحماية البيانات.
2. توفير التدريب للموظفين على الأحكام الرئيسية وأهمية PDPL.
3. تعيين مسؤول حماية البيانات للإشراف على جهود الامتثال (مع ملاحظة أن PDPL تنص صراحة على أن اللوائح التنفيذية يجب أن تحدد الظروف التي يجب على مراقب البيانات فيها تعيين أو تعيين شخص كمسؤول حماية البيانات البيانات الشخصية).
4. إجراء عمليات تدقيق وتقييم منتظمة لممارسات حماية البيانات.
5. تنفيذ مبادئ الخصوصية حسب التصميم والخصوصية الافتراضية في المشاريع والأنظمة الجديدة.
6. إنشاء عملية للتعامل مع طلبات موضوع البيانات ، مثل الوصول إلى البيانات أو تصحيحها أو حذفها.
7. وضع إجراء واضح للإبلاغ عن انتهاكات البيانات إلى السلطات المختصة.
8. قم بتحديث ومراجعة إجراءات حماية البيانات بانتظام لتظل متوافقة مع المشهد القانوني المتغير.

نواصل مراقبة التطورات في هذا المجال.

المرفقات