تعديلات المملكة العربية السعودية (“العربية السعودية“) قانون حماية البيانات الشخصية (“PDPL“) ، الذي تم إصداره في عام 2021 ، تم تأكيده. هذه التعديلات الجديدة تحل بعض الصعوبات العملية المتضمنة في النص الأصلي للقانون وتساعد على جعله أكثر انسجاما مع المعايير الدولية. ومع ذلك ، لا تزال هناك بعض المراوغات المثيرة للاهتمام في القانون ، مما يعني أن “رفع وتحويل” ممارسات اللائحة العامة لحماية البيانات ، على سبيل المثال ، لن يضمن بالضرورة الامتثال.
العد التنازلي للامتثال
تم تنفيذ التغييرات الجديدة بموجب المرسوم الملكي رقم م 147 وتاريخ 5/9/1444 هـ (الموافق 27 مارس 2023). ستدخل PDPL الآن حيز التنفيذ بعد 720 يومًا من نشر القانون الأصلي في الجريدة الرسمية ؛ وهذا يعني تاريخًا ساريًا في 14 سبتمبر 2023. ومن المتوقع نشر اللوائح التنفيذية المكملة لقانون PDPL قبل هذا التاريخ.
ستحصل المنظمات التي تقع ضمن نطاق PDPL على فترة سماح مدتها عام واحد للامتثال لقانون PDPL من تاريخ سريانه ، أي حتى 14 سبتمبر 2024.
التعديلات الرئيسية
يتم وصف بعض التغييرات الرئيسية التي تم إدخالها أدناه.
إدخال أسس المصالح المشروعة
- أحد التغييرات الرئيسية التي تربط PDPL هذا بشكل وثيق مع اللائحة العامة لحماية البيانات هو إضافة أساس واضح “للمصالح المشروعة”. في السابق ، كانت PDPL تقدم الموافقة فقط باعتبارها الأساس الأساسي لمعالجة البيانات الشخصية ، وفقط في ظروف محدودة للغاية لن تكون الموافقة مطلوبة. ومع ذلك ، سيتمكن مراقبو البيانات من الاعتماد على هذا الأساس القانوني الجديد لمعالجة البيانات الشخصية. لا يمتد الأساس إلى معالجة البيانات الشخصية الحساسة ويبدو أنه يتطلب مزيدًا من الصقل وفقًا للأحكام التنفيذية للقانون.
تنص الصياغة الجديدة على ما يلي:عندما تكون المعالجة ضرورية لتحقيق المصالح المشروعة للكيان المسيطر ، شريطة ألا يؤثر ذلك سلبًا على حقوق مالك البيانات الشخصية أو يتعارض مع مصالحهم وما لم تكن هذه البيانات حساسة. تحدد اللائحة الأحكام والضوابط ذات الصلة.
(الأقسام 6 و 10 و 15 من PDPL)
تخفيف نظام النقل الدولي للبيانات الشخصية
- كان من الانتقادات الموجهة إلى نص PDPL الأصلي هو الحظر الصارم على نقل البيانات الشخصية خارج المملكة العربية السعودية ، إلا في ظروف محدودة للغاية. تم تغيير هذا الآن بحيث لم تعد عمليات النقل الدولية تتطلب موافقة استثنائية من الهيئة السعودية للبيانات والذكاء الاصطناعي (“SDAIA”) ولا تخضع لمثل هذه المعايير الإضافية الصارمة. ومع ذلك ، لا يزال المخطط أكثر تقييدًا ، في انتظار اللوائح التنفيذية ، من العديد من الأنظمة الأخرى.
- تسمح PDPL المنقحة أساسًا جديدًا لعمليات النقل الدولية إذا كانت ضرورية للوفاء بالتزام يعتبر مالك البيانات الشخصية طرفًا فيه. من الواضح أن هذا أمر مرحب به للغاية لمقدمي الخدمات ، خاصة لمقدمي الخدمات عبر الإنترنت الذين يحتاجون إلى اتصالات وتحويلات دولية (منصات الوسائط الاجتماعية ، ومواقع مشاركة المحتوى ، والتجارة الإلكترونية ، وما إلى ذلك). ومع ذلك ، لا يزال هذا أساسًا ضيقًا نسبيًا ، حيث يعتمد على ما إذا كان موضوع البيانات طرفًا في العقد الجاري تنفيذه. من أجل الحصول ، على سبيل المثال ، على نقل بيانات الموظفين من كيان واحد إلى كيان شركة خدمات تابعة ومقرها في الخارج لأغراض خدمات دعم تكنولوجيا المعلومات ، ستحتاج الشركة المحولة إلى إثبات أنها ضروري استخدام خدمات دعم تكنولوجيا المعلومات في الخارج (للوهلة الأولى قد يكون من العملي ، وفي الواقع من الناحية الاقتصادية والعملية ، القيام بذلك ، ولكن “ضروري” يعني عدم وجود بديل وطني). وبالتالي ، فإن مدى التطبيق العملي لهذا الأساس سيعتمد إلى حد كبير على التفسير التنظيمي لكلمة “ضروري”.
- قد توفر اللوائح التنفيذية المعلقة مزيدًا من السبل لإجراء عمليات النقل الدولية بطريقة متوافقة ، ونأمل أن توضح بشكل أكبر كيفية فهم نظام التحويل.
(القسم 29 من PDPL)
تخفيف العقوبات الجنائية
- لن يعد انتهاك أحكام PDPL المتعلقة بالنقل الدولي للبيانات جريمة جنائية.
- الجريمة الوحيدة في القانون المعدل هي جريمة الكشف عن بيانات شخصية حساسة أو نشرها بالمخالفة للقانون. لذلك يجب على الشركات التي تتعامل مع مثل هذه البيانات من حيث الحجم توخي الحذر بشكل خاص. العقوبة الجنائية التي سيتم تطبيقها هي غرامة مالية تصل إلى 3،000،000 ريال سعودي والسجن لمدة تصل إلى سنتين.
- تشمل العقوبات الإدارية على مخالفات قانون حماية المستهلك (PDPL) تحذيرًا أو غرامة مالية تصل إلى 5،000،000 ريال سعودي ، ويمكن مضاعفة الغرامات في حالة تكرار المخالفات.
- من الغريب أن الحد الأقصى للغرامة المرتبطة بالجريمة الجنائية أقل من الغرامة الإدارية المرتبطة بالجرائم المدنية وليس من الواضح تمامًا كيف سيتم تطبيق العقوبات الجنائية المرتبطة بالاحتجاز على معاملة غير قانونية جنائية يتم تنفيذها بشكل منهجي من قبل منظمة.
- سيتم الترحيب بإزالة جريمة انتهاك أحكام النقل الدولي من قبل الشركات العالمية.
عرض مسئول حماية البيانات
- ستحدد اللوائح التنفيذية الحالات التي يقوم فيها كيان رقابي بتعيين أو تعيين مسؤول (أو أكثر) لحماية البيانات الشخصية ، كما ستحدد مسؤولياتهم. لم يشر النص الأصلي للقانون بشكل صريح إلى “مسؤول حماية البيانات” كمفهوم.
(المادتان 30 و 35 من PDPL)
بيانات الموقع ليست بيانات شخصية حساسة
- تم تعديل تعريف البيانات الشخصية الحساسة لإزالة الإشارة إلى بيانات “الموقع” التي ظهرت في النص الأصلي للقانون. هذا مهم للغاية ، مع ملاحظة أن الأساس الجديد لمعالجة المصالح المشروعة لا ينطبق على معالجة البيانات الشخصية الحساسة ، مع ملاحظة أن الجريمة الوحيدة المتبقية تتعلق بالبيانات الشخصية الحساسة.
تغييرات أخرى
إلغاء شرط التسجيل للمراقبين وممثلي الكيانات الأجنبية
- ألغت PDPL الجديدة مطلب السلطة الإشرافية لإنشاء بوابة إلكترونية والمتطلبات الصريحة لوحدة التحكم لتسجيل أنشطة المعالجة الخاصة بها. ومع ذلك ، لا تزال المادة 30 المنقحة تنص على أنه يجوز للسلطة الإشرافية إنشاء سجل وطني أو وحدات تحكم ، بالإضافة إلى أدوات وآليات أخرى مناسبة.
- في السابق ، كانت PDPL تلزم الكيانات الأجنبية الخاضعة للقانون بتعيين ممثل في المملكة العربية السعودية. لا تتضمن PDPL المنقحة هذا الالتزام ، ولكنها تنص على السلطة الإشرافية لتحديد الأدوات والآليات المناسبة لمراقبة امتثال الكيانات خارج المملكة العربية السعودية لالتزاماتها بموجب PDPL.
(المادة 30 من PDPL)
الموعد النهائي للإخطار بخرق البيانات المبسط
- بموجب PDPL الجديد ، تمت إزالة المطلب الصريح بأن يتم إرسال إشعارات خرق البيانات الشخصية إلى SDAIA “على الفور” ، على الرغم من أن الإخطار لا يزال إلزاميًا.
- ستوفر القواعد التنفيذية تفاصيل وتوضيحات إضافية ، والتي من المحتمل أن تشمل تحديد موعد نهائي جديد للإخطار بانتهاكات البيانات.
- تمت إضافة التزام جديد لمراقبي البيانات لإبلاغ موضوعات البيانات عندما يتسبب الانتهاك في إتلاف البيانات الشخصية أو انتهاك حقوق أو مصالح موضوع البيانات. لم يتم تحديد جدول زمني ، لذلك ، مرة أخرى ، نتوقع أن توضح اللوائح التنفيذية بشكل أكبر.
(المادة 20 من PDPL)
الإيحاء بأنه لا يلزم “كتابة” الموافقة
- نص الإصدار الأصلي من PDPL على أن اللوائح ستحدد شروط الموافقة الصالحة ومتى تكون الموافقة “الكتابية” مطلوبة. تم تعديل هذا ليشير بدلاً من ذلك إلى الحالات التي تتطلب موافقة “صريحة”. من المفترض أن يُقصد بهذا التعديل الاعتراف بإمكانية منح الموافقة بخلاف الخطية.
لا يزال المحيط الإقليمي واسعًا جدًا
لم تغير التعديلات الجديدة على PDPL النطاق الخارجي لـ PDPL. ينطبق القانون العام لحماية البيانات (بالإضافة إلى التقديم على مؤسسات الاتحاد الأوروبي) فقط على الكيانات المنشأة خارج الاتحاد الأوروبي التي تشارك في توفير السلع أو الخدمات في الاتحاد الأوروبي أو مراقبة الأشخاص المقيمين في الاتحاد الأوروبي. بعبارة أخرى ، فإن مجرد المعالجة العرضية من قبل شركة “أجنبية” لبيانات مواطني الاتحاد الأوروبي أو المقيمين فيه لا يلزم الشركة بالامتثال للقانون العام لحماية البيانات (GDPR). يجب أن يجتاز اختبارًا يقيس ، في جوهره ، ما إذا كان كذلك بالفعل محاولة لمعالجة البيانات الشخصية لهؤلاء الأشخاص. في المقابل ، تنطبق PDPL على أي كيان موجود خارج (أو داخل) المملكة العربية السعودية يعالج البيانات الشخصية للأفراد المقيمين في المملكة العربية السعودية.
بدون الاختبارات النوعية للائحة العامة لحماية البيانات (GDPR) ، فإن هذا يخلق السيناريو الإشكالي للشركات الخاضعة لقانون PDPL بشكل سلبي أو حتى بدون وعي. على سبيل المثال ، تخضع شركة الاستضافة السحابية التي لديها خوادم في الهند لقانون PDPL إذا كان أي من عملائها يتعامل مع المستخدمين النهائيين المقيمين في المملكة العربية السعودية ويستخدم خدمات مزود الخدمة السحابية للمعالجة. بياناتهم الشخصية ؛ من الأمثلة الواضحة على مكان حدوث ذلك في سياق أنظمة CRM المستضافة. ونأمل أن تتناول اللائحة التنفيذية هذه النقطة بمزيد من التفصيل.
الكلمة الأخيرة
نرحب بالتغييرات التي تم إجراؤها على PDPL ، ولكن التفاصيل الإضافية للقواعد التنفيذية ، مثل توضيح شروط الموافقة ، وإجراءات إشعار الخرق ، وآليات تصدير البيانات الشخصية ، ستكون مطلوبة للمساعدة في المعالجة والمعالجات على الامتثال الكامل للقانون. .
شارك في كتابته بيثانيا برهان ، محامية متدربة في CMS.
“هواة الإنترنت المتواضعين بشكل يثير الغضب. مثيري الشغب فخور. عاشق الويب. رجل أعمال. محامي الموسيقى الحائز على جوائز.”