قراءة في نظام حماية البيانات الشخصية
الأربعاء - 01 فبراير 2023
Wed - 01 Feb 2023
صدر نظام حماية البيانات الشخصية والموافقة عليه من قبل مجلس الوزراء بتاريخ 9/2/1443هـ، وقد تم تأجيل العمل به حتى تاريخ 25/8/1444هـ، وذلك بعد الملاحظات والتقارير التي تلقتها سدايا من قبل المختصين في هذا الشأن.
تعرف البيانات الشخصية كما صدر في النظام بأنها «كل بيان - مهما كان مصدره أو شكله - من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعله قابلا للتعرف عليه بصفة مباشرة أو غير مباشرة عند دمجه مع بيانات أخرى، ويشمل ذلك - على سبيل المثال لا الحصر - الاسم، وأرقام الهويات الشخصية، والعناوين، وأرقام التواصل، وأرقام الحسابات البنكية والبطاقات الائتمانية، وصور المستخدم الثابتة أو المتحركة، وغير ذلك من البيانات ذات الطابع الشخصي».
الحقيقة أن المملكة تعتبر متأخرة جدا في إصدار هذا النظام كونه يحدد الحقوق والواجبات اللازم اتخاذها من قبل أي جهة، حكومية أو خاصة، تقوم بجمع بيانات الأشخاص في المملكة.
هذه الواجبات تتمثل في عدة نقاط مهمة تتلخص في تحديد الحدود التي تستطيع الجهة الجامعة للبيانات باستخدام البيانات. هذا النظام يطبق على جميع الجهات والشركات التي تقوم بأي عملية معالجة لبيانات الأفراد كما نصت المادة الثانية على ذلك، وإن كانت الوسيلة المستخدمة على ذلك من خارج المملكة. فعلى سبيل المثال، لنفترض أن شركة من شركة التقنية المالية، والتي تقوم بجمع بيانات المواطنين الخاصة، تستخدم تقنيات الحوسبة السحابية المقدمة من شركة أمازون في أمريكا، فحسب النظام، ينبغي على هذه الشركة أن تلتزم بالمواد الصادرة في نظام حماية البيانات الشخصية.
جدير بالذكر أن النظام لم يقم باستثناء الأفراد الذين يقومون بجمع البيانات الشخصية بغرض معالجتها للاستخدام الشخصي والعائلي. فإذا قام شخص ما بأخذ عنوانك الشخصي على أساس الاحتفاظ به للاستخدام الشخصي، ثم تبين لك وجود العنوان على أحد المواقع بدون علمك، فهذه مخالفه صريحة للنظام.
من واجبات الجهات الجامعة للبيانات أيضا أن لا تشترط على صاحب البيانات الشخصية أن يقوم بالموافقة وتفويض الجهة بمعالجة البيانات حسب الطريقة التي تراها مناسبة لكي يحصل على الخدمة. بل ويحق لصاحب البيانات العدول عن الموافقة في أي وقت. وهذا يقودنا إلى المادة التاسعة من النظام والتي تنص على جواز تحديد مدة تمكن صاحب البيانات من الوصول لبياناته بدون مقابل مالي طالما أن الوصول للبيانات لا يسبب ضررا لصاحبها أو كانت الجهة الجامعة عامة أو أمنية.
من الضروري الإشارة هنا إلى وجوب أخذ الإذن من صاحب البيانات قبل جمع البيانات والاحتفاظ بها أو تخزينها، وهذا يقودنا إلى تساؤل مهم حول جمع البيانات عن طريق ملفات تعريف الارتباط، أو ما يعرف بملفات الكوكيز في متصفحات الإنترنت، حيث إن الجهات والمؤسسات بإمكانها التعرف على الأشخاص عن طريق هذه البيانات، واستغلالها لأغراض تجارية وتسويقية. لم يتطرق النظام إلى هذا النوع من الملفات أو الإشارة إلى مدى جواز جمع هذه البيانات بدون أخذ إذن صاحبها.
من الملاحظ أن النظام لم يتطرق إلى حدود مسؤولية الجهة المتحكمة أو الجامعة للبيانات الشخصية في حال تسرب البيانات عمدا أو بدون عمد. فعلى سبيل المثال، ماذا إذا تسربت أرقام الهويات والجوالات من أحد جهات البريد لدينا، وأصبحت تباع في الإنترنت المظلم وتم استغلال البيانات من أجل تنفيذ عمليات احتيال مالي (وأدعوكم لقراءة مقالنا السابق بعنوان «الاحتيال المالي: تعددت الطرق والهدف واحد».
إن تحديد حدود مسؤولية الجهة المتحكمة والجامعة للبيانات الشخصية سيتطلب تحديد حد أدنى لمستوى الأمن السيبراني بحسب ما تحدده الهيئة الوطنية للأمن السيبراني، والذي سيقتضي إلى تخفيف الأثر وعدم تمكين الهجمات السيبرانية من تحقيق أهدافها بكل سهولة كما حدث مع بعض الجهات في السابق.
هذه الضوابط ينبغي أن تشمل على حد أدنى من مستويات تشفير البيانات، طرق تخزينها، من الذي يمكنه الوصول إليها من الموظفين والعاملين في الجهة، إجراءات التحقيق والتدخل في حال اكتشاف تسريب للبيانات، وغيرها من الإجراءات المتعارف عليها، والتي نستعرضها معكم في مقال مستقبلي إن شاء الله.
abdul_sa1615@
تعرف البيانات الشخصية كما صدر في النظام بأنها «كل بيان - مهما كان مصدره أو شكله - من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعله قابلا للتعرف عليه بصفة مباشرة أو غير مباشرة عند دمجه مع بيانات أخرى، ويشمل ذلك - على سبيل المثال لا الحصر - الاسم، وأرقام الهويات الشخصية، والعناوين، وأرقام التواصل، وأرقام الحسابات البنكية والبطاقات الائتمانية، وصور المستخدم الثابتة أو المتحركة، وغير ذلك من البيانات ذات الطابع الشخصي».
الحقيقة أن المملكة تعتبر متأخرة جدا في إصدار هذا النظام كونه يحدد الحقوق والواجبات اللازم اتخاذها من قبل أي جهة، حكومية أو خاصة، تقوم بجمع بيانات الأشخاص في المملكة.
هذه الواجبات تتمثل في عدة نقاط مهمة تتلخص في تحديد الحدود التي تستطيع الجهة الجامعة للبيانات باستخدام البيانات. هذا النظام يطبق على جميع الجهات والشركات التي تقوم بأي عملية معالجة لبيانات الأفراد كما نصت المادة الثانية على ذلك، وإن كانت الوسيلة المستخدمة على ذلك من خارج المملكة. فعلى سبيل المثال، لنفترض أن شركة من شركة التقنية المالية، والتي تقوم بجمع بيانات المواطنين الخاصة، تستخدم تقنيات الحوسبة السحابية المقدمة من شركة أمازون في أمريكا، فحسب النظام، ينبغي على هذه الشركة أن تلتزم بالمواد الصادرة في نظام حماية البيانات الشخصية.
جدير بالذكر أن النظام لم يقم باستثناء الأفراد الذين يقومون بجمع البيانات الشخصية بغرض معالجتها للاستخدام الشخصي والعائلي. فإذا قام شخص ما بأخذ عنوانك الشخصي على أساس الاحتفاظ به للاستخدام الشخصي، ثم تبين لك وجود العنوان على أحد المواقع بدون علمك، فهذه مخالفه صريحة للنظام.
من واجبات الجهات الجامعة للبيانات أيضا أن لا تشترط على صاحب البيانات الشخصية أن يقوم بالموافقة وتفويض الجهة بمعالجة البيانات حسب الطريقة التي تراها مناسبة لكي يحصل على الخدمة. بل ويحق لصاحب البيانات العدول عن الموافقة في أي وقت. وهذا يقودنا إلى المادة التاسعة من النظام والتي تنص على جواز تحديد مدة تمكن صاحب البيانات من الوصول لبياناته بدون مقابل مالي طالما أن الوصول للبيانات لا يسبب ضررا لصاحبها أو كانت الجهة الجامعة عامة أو أمنية.
من الضروري الإشارة هنا إلى وجوب أخذ الإذن من صاحب البيانات قبل جمع البيانات والاحتفاظ بها أو تخزينها، وهذا يقودنا إلى تساؤل مهم حول جمع البيانات عن طريق ملفات تعريف الارتباط، أو ما يعرف بملفات الكوكيز في متصفحات الإنترنت، حيث إن الجهات والمؤسسات بإمكانها التعرف على الأشخاص عن طريق هذه البيانات، واستغلالها لأغراض تجارية وتسويقية. لم يتطرق النظام إلى هذا النوع من الملفات أو الإشارة إلى مدى جواز جمع هذه البيانات بدون أخذ إذن صاحبها.
من الملاحظ أن النظام لم يتطرق إلى حدود مسؤولية الجهة المتحكمة أو الجامعة للبيانات الشخصية في حال تسرب البيانات عمدا أو بدون عمد. فعلى سبيل المثال، ماذا إذا تسربت أرقام الهويات والجوالات من أحد جهات البريد لدينا، وأصبحت تباع في الإنترنت المظلم وتم استغلال البيانات من أجل تنفيذ عمليات احتيال مالي (وأدعوكم لقراءة مقالنا السابق بعنوان «الاحتيال المالي: تعددت الطرق والهدف واحد».
إن تحديد حدود مسؤولية الجهة المتحكمة والجامعة للبيانات الشخصية سيتطلب تحديد حد أدنى لمستوى الأمن السيبراني بحسب ما تحدده الهيئة الوطنية للأمن السيبراني، والذي سيقتضي إلى تخفيف الأثر وعدم تمكين الهجمات السيبرانية من تحقيق أهدافها بكل سهولة كما حدث مع بعض الجهات في السابق.
هذه الضوابط ينبغي أن تشمل على حد أدنى من مستويات تشفير البيانات، طرق تخزينها، من الذي يمكنه الوصول إليها من الموظفين والعاملين في الجهة، إجراءات التحقيق والتدخل في حال اكتشاف تسريب للبيانات، وغيرها من الإجراءات المتعارف عليها، والتي نستعرضها معكم في مقال مستقبلي إن شاء الله.
abdul_sa1615@
