قانون حماية البيانات في السعودية: انتهاك صارخ للحق في الخصوصية

وذكرت المنظمة أن “نظام حماية البيانات الشخصية” يعتبر أوّل قانون شامل لحماية البيانات في السعودية، يهدف إلى حماية الخصوصية الفردية من خلال تنظيم عملية جمع البيانات الشخصية ومعالجتها والإفصاح عنها والاحتفاظ بها.

ونشرت المنظمة إطاراً مُفصَّلاً يشمل معايير معالجة البيانات، وحقوق أصحاب البيانات، والتزامات الهيئات المعنيّة عند معالجة البيانات الشخصية، والسيادة على البيانات، والعقوبات في حالات عدم الامتثال.

وأظهر تحليل المنظمة لـ”نظام حماية البيانات الشخصية” أنّه يبدو منسجماً مع المعايير الدولية في نواحٍ معيّنة، لكنَّ بعض المواد مثيرة للقلق وتحتوي على ثغرات قد تسمح بانتهاك الحقّ في الخصوصية وحماية البيانات.

وقالت “لا تكمُن المشكلة في نصّ القانون بحدّ ذاته بل في إمكانية تطبيقه وتنفيذه في المملكة العربية السعودية، نظراً للحُكم القمعي في البلاد”.

ونُفِّذَ النظام بموجب المرسوم الملكي رقم م/19 تاريخ 1443/2/9هـ في 16 أيلول/سبتمبر 2021، وهو مرسوم ينصّ على الموافقة على القرار رقم 98 بتاريخ 1443/2/7هـ المُقترَح في 14 أيلول/سبتمبر 2021. ونُشِرَ في الجريدة الرسمية في 24 أيلول/سبتمبر 2021.

يعمل بالنظام بعد 180 يوماً من تاريخ نشره في الجريدة الرسمية (المادّة 43 من النظام)، في 23 آذار/مارس 2022.

تشرف “الهيئة السعودية للبيانات والذكاء الاصطناعي” على تنفيذ هذا النظام خلال أوّل عامَيْن. وبعد ذلك، يتولّى “مكتب إدارة البيانات الوطنية” الإشراف على تنفيذه.

كيف يُقارَن النظام بالمعايير الدولية؟

يتضمّن “نظام حماية البيانات الشخصية” السعودي معظم المعايير الدولية الأساسية في مجال حماية البيانات.

ومنها على سبيل المثال: حقوق أصحاب البيانات، والأساس القانوني لمعالجة البيانات (الخاضعة وغير الخاضعة للموافقة)، ومتطلّبات سياسات الخصوصية، وواجب الإبلاغ في حال انتهاك خصوصية البيانات.

وضرورة تقييم الأثر قبل معالجة البيانات الشخصية، والأحكام المحدّدة بشأن البيانات الصحّية، وبيانات الائتمان، والتزامات جهات التحكُّم وإجراءات العناية الواجبة، وإنشاء جهة مشرفة، والعقوبات في حالات الانتهاكات؛ والقائمة تطول.

تتوافق العديد من خصائص “نظام حماية البيانات الشخصية” السعودي مع المعايير والمبادئ الواردة في قوانين حماية البيانات الدولية الأخرى، مثل “اللائحة العامّة الأوروبية لحماية البيانات” 2016/679 (GDPR)، أي اللائحة التي ينصّ عليها قانون الاتّحاد الأوروبي حول حماية البيانات والخصوصية في الاتّحاد الأوروبي والمنطقة الاقتصادية الأوروبية.

وتوِفر “اللائحة العامّة الأوروبية لحماية البيانات” أوسع حماية للبيانات الشخصية ولها تأثير مهمّ على القوانين واللوائح خارج الاتّحاد الأوروبي، إذ أنَّ التشريعات الناشئة تستند إلى اللائحة الأوروبية كـ”نقطة انطلاق” للقوانين التي تنصّ عليها.

وبالعودة إلى “نظام حماية البيانات الشخصية” السعودي، يبدو أنَّ هناك فترة انتقالية مدّتها 18 شهراً قبل أن يصبح سارياً بالكامل على الهيئات المحلّية، ولمدّةٍ أطول من ذلك للمنظّمات التي يقع مقرُّها خارج المملكة.

وينبغي إصدار تفاصيل وتوجيهات إضافية في الفترة التي تسبق دخول نظام حماية البيانات الشخصية حيّز التنفيذ.

وأكدت منظمة سمكس أن النظام السعودي المذكور يشكل خطوةً مهمّة إلى الأمام في مجال حماية البيانات، ونقطة انطلاق للمملكة.

لكنْ، تُعتبَر بعض المواد والاستثناءات المتعلّقة بالأمن، الإضافة إلى سمعة المملكة والعلاقات الدبلوماسية للمملكة، ومصادر المعلومات السرّية والاستثناءات المتعلّقة بالسلطات العامّة، وغيرها من الاعتبارات، من الأمور المثيرة للقلق بسبب غموضها.

واعتبرت أن هذه الاستثناءات والثغرات، إلى جانب سجلّ المملكة السيء في حقوق الإنسان وممارساتها في مجال المراقبة، تبدو كمحاولةٍ أخرى للسيطرة على الفضاء الرقمي.

وحتّى لو بدا النظام “جيّداً على الورق”، تبقى العبرة في طريقة تنفيذه.

وختمت المنظمة “نعتقد أنَّ هذا النظام قد أُقِرَّ من أجل استقطاب الشركات الدولية، لا سيما تلك التي تعمل في مجال التقنيات الجديدة، ولمواكبة دول الخليج الأخرى، مثل الإمارات العربية المتّحدة”.