نصّت لائحة نقل البيانات الشخصية إلى خارج المملكة والصادر بها مرسوم ملكي، على أنه يجوز لجهة التحكم نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة، ما لم يؤثر ذلك على الأمن الوطني أو مصالح المملكة الحيوية، أو كان مخالفاً لنظام آخر في المملكة.
وألزمت اللائحة جهة التحكم بقصر نقل البيانات الشخصية خارج المملكة أو الإفصاح عنها لجهة خارج المملكة على الحد الأدنى اللازم لتحقيق الغرض من العملية، ويحدد ذلك من خلال استخدام وسائل ملائمة، كما يجب التأكد أن عملية نقل البيانات أو الإفصاح لن تؤثر على خصوصية أصحابها أو على مستوى الحماية المكفول للبيانات الشخصية وفق النظام ولوائحه.
وتطرقت المادة الثالثة لتوفير مستوى مناسب لحماية البيانات الشخصية، بأن تقوم الجهة المختصة والجهات المعنية التي يتم التنسيق معها بتقويم مستوى حماية البيانات الشخصية خارج المملكة، وفق عدة معايير، منها وجود أنظمة تضمن حماية البيانات الشخصية والمحافظة على حقوق أصحابها بما لا يقل عن مستوى الحماية الذي يكفله النظام ولوائحه.
ويجب أن يضمن أصحاب البيانات الشخصية إمكانية قيامهم بممارسة حقوقهم، وأن تتوفر لهم الوسائل اللازمة لتقديم شكوى أو متطلبات متعلقة بمعالجة البيانات الشخصية، مع وجود جهة مشرفة تتولى مسؤولية متابعة التزام جهات التحكم بمتطلبات حماية البيانات الشخصية، ومدى استعداد الجهة المشرفة للتعاون مع الجهة المختصة بالمملكة في المسائل المتصلة بحماية البيانات الشخصية.
وتقوم الجهة المختصة برفع نتائج تقويم مستوى حماية البيانات الشخصية خارج المملكة لرئيس مجلس الوزراء، مبيناً فيها كافة التفاصيل المتعلقة به، بما في ذلك آراء الجهات المشاركة في التقويم، وتوصيات الجهة المختصة.
وتراجع الجهة كل 4 سنوات أو عند الاقتضاء تقويم مستوى الحماية لدى الدول أو القطاعات أو المنظمات التي صدر لها قرارات اعتماد أو تم توقيع اتفاقيات دولية معها، وترفع لرئيس مجلس الوزراء باقتراح إلغاء أو تعديل أو تعليق أي من القرارات المتخذة بشأن مستوى حماية البيانات خارج المملكة.
ووضعت اللائحة حالات للإعفاء من نقل البيانات، وذلك في حال عدم وجود مستوى مناسب لحمايتها خارج المملكة، أو تعذر استخدام جهة التحكم لأي من الضمانات الملائمة لنقل البيانات، وأجازت نقل البيانات أو الإفصاح عنها للخارج إذا كان النقل ضرورياً لإبرام أو تنفيذ اتفاق، أو إن كان ضرورياً لحماية الأمن الوطني للمملكة، أو ضرورياً للكشف عن الجرائم وملاحقة مرتكبيها.
وحددت حالات تلزم جهة التحكم بالتوقف عن نقل البيانات أو الإفصاح عنها لجهة خارج المملكة، إذا تبين أن عملية النقل أو الإفصاح تمس الأمن الوطني أو مصالح المملكة الحيوية، أو اكتُشف أن عملية النقل أو الإفصاح سينتج عنها مخاطر عالية على خصوصية أصحاب البيانات، أو توقف سريان الضمانات الملائمة المطبقة من قبل جهة التحكم.
كما يجب على جهة التحكم التوقف عن نقل البيانات في حال عدم إمكانية التزامها بالضمانات الملائمة المطبقة من قبلها، ويجب عليها إعادة تقويم مخاطر نقل البيانات أو الإفصاح عنها إلى خارج المملكة، كما تقوم بمراجعة وتقييم أحوال وإجراءات العدول عن الإعفاءات بشكل مستمر.