تعديلات نظام حماية البيانات الشخصية


1- تعديل تعريف (الإتلاف) الوارد في الفقرة (7) من المادة (الأولى)؛ ليكون بالنص الآتي:
«7- الإتلاف: أي إجراء يتم على البيانات الشخصية ويجعل من المتعذر الاطلاع عليها أو استعادتها مرة أخرى أو معرفة صاحبها على وجه التحديد».
2- تعديل تعريف (الإفصاح) الوارد في الفقرة (8) من المادة (الأولى)؛ ليكون بالنص الآتي:
«8- الإفصاح: تمكين أي شخص –عدا جهة التحكم أو جهة المعالجة بحسب الأحوال- من الحصول على البيانات الشخصية أو استعمالها أو الاطلاع عليها بأي وسيلة ولأي غرض».
3- تعديل تعريف (البيانات الحساسة) الوارد في الفقرة (11) من المادة (الأولى)؛ ليكون بالنص الآتي: «البيانات الحساسة: «كل بيان شخصي يتعلق بأصل الفرد العرقي أو أصله الإثني، أو معتقده الديني أو الفكري أو السياسي. وكذلك البيانات الأمنية والجنائية، أو بيانات السمات الحيوية التي تحدد الهوية، أو البيانات الوراثية، أو البيانات الصحية، والبيانات التي تدل على أن الفرد مجهول الأبوين أو أحدهما».
4- تعديل تعريف (صاحب البيانات الشخصية) الوارد في الفقرة (61) من المادة (الأولى)؛ ليكون بالنص الآتي: «صاحب البيانات الشخصية: الفرد الذي تتعلق به البيانات الشخصية».
5- تعديل المادة (الرابعة)؛ لتكون بالنص الآتي: «يكون لصاحب البيانات الشخصية –وفقاً للأحكام الواردة في النظام وما تحدده اللوائح- الحقوق الآتية:
1- الحق في العلم، ويشمل ذلك إحاطته علماً بالمسوغ النظامي لجمع بياناته الشخصية والغرض من جمعها.
2- الحق في وصوله إلى بياناته الشخصية المتوافرة لدى جهة التحكم، وفق الضوابط والإجراءات التي تحددها اللوائح، ودون إخلال بما ورد في المادة (التاسعة) من النظام.
3- الحق في طلب الحصول على بياناته الشخصية المتوافرة لدى جهة التحكم بصيغة مقروءة وواضحة، وفق الضوابط والإجراءات التي تحددها اللوائح.
4- الحق في طلب تصحيح بياناته الشخصية المتوافرة لدى جهة التحكم، أو إتمامها، أو تحديثها.
5- الحق في طلب إتلاف بياناته الشخصية المتوافرة لدى جهة التحكم مما انتهت الحاجة إليه منها، وذلك دون إخلال بما تقضي به المادة (الثامنة عشرة) من النظام».
6- إحلال كلمة «صريحة» محل كلمة «كتابية» الواردة في الفقرة (1) من المادة (الخامسة).
7- إضافة فقرة (4) إلى المادة (السادسة)، بالنص الآتي: «4- عندما تكون المعالجة ضرورية لتحقيق مصالح مشروعة لجهة التحكم، ما لم يخل ذلك بحقوق صاحب البيانات الشخصية أو يتعارض مع مصالحه ولم تكن تلك البيانات بيانات حساسة. وتبين اللوائح الأحكام والضوابط المتعلقة بذلك».
8- تعديل المادة (الثامنة)، لتكون بالنص الآتي: «مع مراعاة ما ينص عليه النظام واللوائح في شأن الإفصاح عن البيانات الشخصية، على جهة التحكم عند اختيارها جهة المعالجة أن تلتزم باختيار الجهة التي توفر الضمانات اللازمة لتنفيذ أحكام النظام واللوائح، وعليها التحقق من التزام تلك الجهة بأحكام النظام واللوائح، ولا يخل ذلك بمسؤولياتها تجاه صاحب البيانات الشخصية أو الجهة المختصة بحسب الأحوال. وتحدد اللوائح الأحكام اللازمة لذلك، على أن تشتمل على الأحكام المتعلقة بأي تعاقدات لاحقة تقوم بها جهة المعالجة».
9- تعديل الفقرة (1) من المادة (التاسعة)، لتكون بالنص الآتي: «1- يجوز لجهة التحكم تحديد مدد لممارسة حق الوصول إلى البيانات الشخصية المقرر في الفقرة (2) من المادة (الرابعة) من النظام؛ وفق ما تحدده اللوائح. ويجوز كذلك لجهة التحكم تقييد هذا الحق في الأحوال الآتية:
أ- إذا كان ذلك ضرورياً لحماية صاحب البيانات الشخصية أو غيره من أي ضرر؛ وفق الأحكام التي تحددها اللوائح.
ب- إذا كانت جهة التحكم جهة عامة، وكان التقييد مطلوباً لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء مُتطلبات قضائية».
10- تعديل المادة (العاشرة)، لتكون بالنص الآتي: «لا يجوز لجهة التحكم جمع البيانات الشخصية إلا من صاحبها مباشرةً، ولا يجوز كذلك معالجة تلك البيانات إلا لتحقيق الغرض الذي جُمعت من أجله. ومع ذلك، يجوز لجهة التحكم جمع البيانات الشخصية من غير صاحبها مباشرةً، أو مُعالجتها لغرض آخر غير الذي جمعت من أجله، وذلك في الأحوال الآتية:
1- إذا وافق صاحب البيانات الشخصية على ذلك، وفقاً لأحكام النظام.
2- إذا كانت البيانات الشخصية متاحة للعموم، أو جرى جمعها من مصدر متاح للعموم.
3- إذا كانت جهة التحكم جهة عامة، وكان جمع البيانات الشخصية أو معالجتها؛ مطلوباً لأغراض المصلحة العامة أو لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء مُتطلبات قضائية.
4- إذا كان التقيد بهذا الحظر قد يُلحق ضرراً بصاحب البيانات الشخصية أو يؤثر على مصالحه الحيوية.
5- إذا كان جمع البيانات الشخصية أو معالجتها ضرورياً لحماية الصحة العامة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم.
6- إذا كانت البيانات الشخصية لن تُسجل أو تُحفظ في صيغة تجعل من الممكن تحديد هوية صاحبها ومعرفته بصورة مباشرة أو غير مباشرة.
7- إذا كان جمع البيانات الشخصية أو معالجتها ضرورياً لتحقيق مصالح مشروعة لجهة التحكم، ما لم يخل ذلك بحقوق صاحب البيانات الشخصية أو يتعارض مع مصالحه، ولم تكن تلك البيانات بيانات حساسة.
وتبيّن اللوائح الأحكام والضوابط والإجراءات المتعلقة بما ورد في الفقرات من (2) إلى (7) من هذه المادة».
11- تعديل الفقرة (4) من المادة (الحادية عشرة)، لتكون بالنص الآتي: «4- إذا اتضح أن البيانات الشخصية التي تجمع لم تعد ضرورية لتحقيق الغرض من جمعها، فعلى جهة التحكم التوقف عن جمعها، وإتلاف ما سبق أن جمعته منها دون تأخير».
12- تعديل المادة (الثانية عشرة)، لتكون بالنص الآتي: «على جهة التحكم أن تعتمد سياسة للخصوصية، وأن تجعلها متاحة لأصحاب البيانات الشخصية ليطّلعوا عليها عند جمع بياناتهم. على أن تشتمل تلك السياسة على تحديد الغرض من جمعها، ومُحتوى البيانات الشخصية المطلوب جمعها، وطريقة جمعها، ووسيلة حفظها، وكيفية معالجتها، وكيفية إتلافها، وحقوق صاحبها فيما يتعلق بها، وكيفية ممارسة هذه الحقوق».
13- تعديل المادة (الثالثة عشرة)، وذلك على النحو الآتي:
أ- تعديل ديباجة المادة، لتكون بالنص الآتي: «على جهة التحكم، في حالة جمع البيانات الشخصية من صاحبها مباشرة، اتخاذ الوسائل الكافية لإحاطته علماً بالعناصر الآتية عند جمع بياناته:...».
ب- تعديل الفقرة (1) من المادة، لتكون بالنص الآتي: «1- المسوغ النظامي لجمع بياناته الشخصية».
14- تعديل المادة (الخامسة عشرة)، لتكون بالنص الآتي: «لا يجوز لجهة التحكم الإفصاح عن البيانات الشخصية إلا في الأحوال الآتية:
1- إذا وافق صاحب البيانات الشخصية على الإفصاح وفقاً لأحكام النظام.
2- إذا كانت البيانات الشخصية قد جرى جمعها من مصدر متاح للعموم.
3- إذا كانت الجهة التي تطلب الإفصاح جهة عامة، وكان ذلك لأغراض المصلحة العامة أو لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء مُتطلبات قضائية.
4- إذا كان الإفصاح ضرورياً لحماية الصحة العامة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم.
5- إذا كان الإفصاح سيقتصر على معالجتها لاحقاً بطريقة لا تؤدي إلى معرفة هوية صاحب البيانات الشخصية أو أي فرد آخر على وجه التحديد.
6- إذا كان الإفصاح ضرورياً لتحقيق مصالح مشروعة لجهة التحكم، ما لم يخل ذلك بحقوق صاحب البيانات الشخصية أو يتعارض مع مصالحه ولم تكن تلك البيانات بيانات حساسة.
وتبيّن اللوائح الأحكام والضوابط والإجراءات المتعلقة بما ورد في الفقرات من (2) إلى (6) من هذه المادة».
15- تعديل ديباجة المادة (السادسة عشرة)، لتكون بالنص الآتي: «على جهة التحكم ألا تفصح عن البيانات الشخصية في الأحوال المنصوص عليها في الفقرات (1) و(2) و(5) و(6) من المادة (الخامسة عشرة) من النظام، متى اتصف الإفصاح بأيّ مما يأتي...».
16- تعديل الفقرة (1) من المادة (الثامنة عشرة)، لتكون بالنص الآتي: «1- على جهة التحكم إتلاف البيانات الشخصية بعد انتهاء الغرض من جمعها دون تأخير. ومع ذلك، يجوز لها الاحتفاظ بتلك البيانات بعد انتهاء الغرض من جمعها إذا تمت إزالة كل ما يؤدي إلى معرفة صاحبها على وجه التحديد وفق الضوابط التي تحددها اللوائح».
17- تعديل المادة (العشرين)، لتكون بالنص الآتي:
«1- تشعر جهة التحكم الجهة المختصة عند علمها بحدوث تسرب لبيانات شخصية أو تلفها أو وصول غير مشروع إليها؛ وفقاً لما تحدده اللوائح.
2- تشعر جهة التحكم صاحب البيانات الشخصية إذا كان من شأن حدوث تسرب لبيانات شخصية أو تلفها أو وصول غير مشروع إليها أن يرتب ضرراً على بياناته أو يتعارض مع حقوقه أو مصالحه؛ وفقاً لما تحدده اللوائح».
18- إحلال كلمة «الصريحة» محل كلمة «الكتابية» الواردة في الفقرة (1) من المادة (الرابعة والعشرين).
19- تعديل المادة (التاسعة والعشرين)؛ لتكون بالنص الآتي:
«1- مع مراعاة ما ورد في الفقرة (2) من هذه المادة، يجوز لجهة التحكم نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة، وذلك لتحقيق أيّ من الأغراض الآتية:
أ- إذا كان ذلك تنفيذاً لالتزام بموجب اتفاقية تكون المملكة طرفاً فيه.
ب- إذا كان ذلك لخدمة مصالح المملكة.
ج- إذا كان ذلك تنفيذاً لالتزام يكون صاحب البيانات الشخصية طرفاً فيه.
د- إذا كان ذلك تنفيذاً لأغراض أخرى وفق ما تحدده اللوائح.
2- تكون الشروط الواجب توافرها عند نقل البيانات الشخصية أو الإفصاح عنها -وفق ما ورد في الفقرة (1) من هذه المادة- على النحو الآتي:
أ- ألا يترتب على النقل أو الإفصاح مساس بالأمن الوطني أو بمصالح المملكة الحيوية.
ب- أن يتوافر مستوى مناسب لحماية البيانات الشخصية في خارج المملكة؛ بما لا يقل عن مستوى الحماية المقرر في النظام واللوائح، وفقاً لنتائج تقويم تجريه الجهة المختصة في هذا الشأن بالتنسيق مع من تراه من الجهات المعنية.
ج- أن يقتصر النقل أو الإفصاح على الحد الأدنى من البيانات الشخصية الذي تدعو الحاجة إليه.
3- لا يسري ما ورد في الفقرة (2) من هذه المادة على حالات الضرورة القصوى للمحافظة على حياة صاحب البيانات الشخصية أو مصالحه الحيوية أو الوقاية من عدوى مرضية أو فحصها أو معالجتها.
4- تحدد اللوائح الأحكام والمعايير والإجراءات المتعلقة بتطبيق ما ورد في هذه المادة، بما في ذلك تحديد حالات إعفاء جهات التحكم من الالتزام بأي من الشروط المشار إليها في الفقرتين الفرعيتين (ب) و(ج) من الفقرة (2) من هذه المادة، وكذلك ضوابط وإجراءات ذلك الإعفاء والعدول عنه».
20- تعديل المادة (الثلاثين)، لتكون بالنص الآتي:
«1- مع عدم الإخلال بأحكام النظام، وما للبنك المركزي السعودي من صلاحيات وفقاً لما تقضي به النصوص النظامية ذات العلاقة، تكون الجهة المختصة الجهة المشرفة على تطبيق أحكام النظام واللوائح.
2- تحدد اللوائح الأحوال التي يجب فيها على جهة التحكم تعيين أو تحديد شخص (أو أكثر) يتولى دور مسؤول حماية البيانات الشخصية، وتبيّن اللوائح كذلك مسؤولياته بما يتفق مع أحكام النظام واللوائح.
3- على جهة التحكم التعاون مع الجهة المختصة في سبيل مباشرتها مهماتها المتعلقة بالإشراف على تطبيق أحكام النظام واللوائح، وعليها كذلك اتخاذ ما يلزم من إجراءات حيال المسائل المتعلقة بذلك التي تحيلها الجهة المختصة إليها.
4- للجهة المختصة في سبيل مباشرتها مهماتها المتعلقة بالإشراف على تطبيق أحكام النظام واللوائح، اتخاذ ما يأتي:
أ- طلب الوثائق أو المعلومات اللازمة من جهة التحكم للتأكد من التزامها بأحكام النظام واللوائح.
ب- الاستعانة بأي جهة أخرى لأغراض المساندة في مباشرتها مهماتها المتعلقة بالإشراف على تطبيق أحكام النظام واللوائح.
ج- تحديد الأدوات والآليات المناسبة في شأن مراقبة ومتابعة التزام جهات التحكم بأحكام النظام واللوائح، بما في ذلك بناء سجل وطني لهذا الغرض عن جهات التحكم.
د- تقديم الخدمات المتعلقة بحماية البيانات الشخصية من خلال السجل الوطني المشار إليه في الفقرة الفرعية (ج) من هذه الفقرة أو من خلال أي وسيلة أخرى؛ وفقاً لما تراه مناسباً. وللجهة المختصة استحصال مقابل مالي عن الخدمات التي تقدمها المتعلقة بحماية البيانات الشخصية.
5- يجوز للجهة المختصة –وفق ما تقدره- تفويض غيرها من الجهات في مباشرة بعض المهمات الموكولة إليها المتعلقة بالإشراف على تطبيق أحكام النظام واللوائح».
21- إلغاء المادة (الثانية والثلاثين).
22- تعديل المادة (الثالثة والثلاثين)، لتكون بالنص الآتي:
«1- تضع الجهة المختصة اشتراطات ممارسة الأنشطة التجارية أو المهنية أو غير الربحية المرتبطة بحماية البيانات الشخصية في المملكة، بالتنسيق مع الجهات المعنية، وبما لا يخل بما تضعه تلك الجهات من اشتراطات أخرى بحسب اختصاصاتها.
2- للجهة المختصة الترخيص لجهات تتولى إصدار شهادات اعتماد لجهة التحكم وجهة المعالجة. وتضع الجهة المختصة القواعد المنظمة لإصدار تلك الشهادات.
3- للجهة المختصة الترخيص لجهات تتولى أعمال التدقيق أو الفحص لأنشطة معالجة البيانات الشخصية بحسب طبيعة النشاط الذي تمارسه جهة التحكم؛ وفق الأحكام التي تحددها اللوائح. وتضع الجهة المختصة شروط ومتطلبات إصدار تلك التراخيص، والقواعد المنظّمة لها.
4- تتولى الجهة المختصة تحديد الأدوات والآليات المناسبة لمتابعة التزام الجهات التي في خارج المملكة بالتزاماتها المقررة بموجب أحكام النظام واللوائح عند معالجتها لبيانات شخصية متعلقة بالأفراد المقيمين في المملكة بأي وسيلة كانت، والإجراءات المتعلقة بإنفاذ أحكام النظام واللوائح خارج المملكة».
23- تعديل المادة (الخامسة والثلاثين)، لتكون بالنص الآتي:
«1- مع عدم الإخلال بأي عقوبة أشد منصوص عليها في نظام آخر، يُعاقب بالسجن مدة لا تزيد على (سنتين) وبغرامة لا تزيد على (ثلاثة ملايين) ريال، أو بإحدى هاتين العقوبتين؛ كل من أفصح عن بيانات حساسة أو نشرها مخالفاً أحكام النظام، إذا كان ذلك بقصد الإضرار بصاحب البيانات أو بقصد تحقيق منفعة شخصية.
2- تختص النيابة العامة بمهمة التحقيق، والادعاء أمام المحكمة المختصة، عن المخالفة المنصوص عليها في الفقرة (1) من هذه المادة.
3- تتولى المحكمة المختصة النظر في الدعاوى الناشئة من تطبيق هذه المادة وإيقاع العقوبات المقررة.
4- يجوز للمحكمة المختصة مضاعفة عقوبة الغرامة المنصوص عليها في الفقرة (1) من هذه المادة في حالة العود حتى لو ترتب عليها تجاوز الحد الأقصى لها، على ألا تتجاوز ضعف هذا الحد».
24- تعديل الفقرة (2) من المادة (السادسة والثلاثين)، لتكون بالنص الآتي: «2- تكوّن بقرار من رئيس الجهة المختصة لجنة (أو أكثر) لا يقل عدد أعضائها عن (ثلاثة)، ويسمى أحدهم رئيساً، ويكون منهم مختص فني ومستشار نظامي؛ تتولى النظر في المخالفات وإيقاع عقوبة الإنذار أو الغرامة المنصوص عليها في الفقرة (1) من هذه المادة، وذلك بحسب نوع المخالفة المرتكبة وجسامتها ومدى تأثيرها، على أن يعتمد قرار اللجنة رئيس الجهة المختصة أو من يفوضه بذلك. ويصدر رئيس الجهة المختصة -بقرار منه- قواعد عمل اللجنة، وتحدد فيها مكافآت أعضائها».
25- تعديل المادة (السابعة والثلاثين)، لتكون بالنص الآتي:
«1- يتولى الموظفون أو العاملون –الذين يصدر بتسميتهم قرار من رئيس الجهة المختصة- صلاحيات الضبط والتفتيش المتعلقة بالمخالفات المنصوص عليها في النظام أو اللوائح. ويُصدر رئيس الجهة المختصة قواعد وإجراءات عملهم بما يتفق مع النصوص النظامية ذات الصلة.
2- للموظفين أو العاملين –المنصوص عليهم في الفقرة (1) من هذه المادة- الاستعانة بجهات الضبط الجنائي أو الجهات المختصة الأخرى؛ وذلك في سبيل قيامهم بمهمات وإجراءات الضبط والتفتيش المتعلقة بالمخالفات المنصوص عليها في النظام أو اللوائح.
3- للجهة المختصة الحق في حجز الوسائل أو الأدوات المستخدمة في ارتكاب المخالفة إلى حين البت فيها».
26- تعديل المادة (الثانية والأربعين)، لتكون بالنص الآتي: «يصدر رئيس الجهة المختصة اللوائح، وذلك في مدة لا تتجاوز (سبعمائة وعشرين) يوماً من تاريخ صدور النظام، على أن يُنسق -قبل إصدارها- مع: (وزارة الاتصالات وتقنية المعلومات، ووزارة الخارجية، وهيئة الاتصالات والفضاء والتقنية، وهيئة الحكومة الرقمية، والهيئة الوطنية للأمن السيبراني، والمجلس الصحي السعودي، والبنك المركزي السعودي)، كلّ فيما يخصه».
27- تعديل المادة (الثالثة والأربعين)، لتكون بالنص الآتي: «يُعمل بالنظام بعد (سبعمائة وعشرين) يوماً من التاريخ الذي نشر به في الجريدة الرسمية».