وافق مجلس الوزراء على نظام حماية البيانات الشخصية، الذي يهدف لتعزيز ثقافة حماية تلك البيانات، والمحافظة على خصوصيات الأفراد أثناء مشاركة ومعالجة بياناتهم.

ويطبَّق النظام على أي عملية معالجة لبيانات شخصية تتعلق بالأفراد في المملكة بما فيها معالجة بيانات المقيمين فيها بأي وسيلة كانت من أي جهة خارج المملكة، بما فيها بيانات المتوفى إذا كانت ستؤدي إلى معرفته أو أحد أفراد أسرته.

ويُستثنى من ذلك قيام الفرد بمعالجة البيانات الشخصية لأغراض لا تتجاوز الاستخدام الشخصي أو العائلي، ما لم ينشرها أو يفصح عنها للغير.

حقوق صاحب البيانات

- يكون لصاحب البيانات الشخصية الحق في العلم بالمسوغ النظامي لجمع بياناته والغرض منه وألا تعالج بياناته لاحقاً بصورة تتنافى مع ذلك المسوغ، أو في غير أحوال المادة 10 من هذا النظام، وله الحق في الوصول لبياناته الشخصية لدى جهة التحكم، والاطلاع عليها، والحصول على نسخة منها بلا مقابل.

- كما أن له الحق في طلب تصحيح بياناته الشخصية المتوافرة لدى جهة التحكم، أو إتمامها، أو تحديثها، وطلب إتلاف ما انتهت الحاجة إليه منها، دون إخلال بالمادة 18 من النظام، ولا يجوز معالجة البيانات الشخصية أو تغيير الغرض من معالجتها إلا بموافقة صاحبها.

- لا تخضع معالجة البيانات الشخصية للموافقة كما ورد أعلاه عندما تحقق المعالجة مصلحة متحققة لصاحب البيانات وتعذر الاتصال به، وعندما تكون المعالجة بمقتضى نظام آخر أو تنفيذاً لاتفاق سابق مع صاحب البيانات، أو كانت المعالجة مطلوبة لأغراض أمنية أو قضائية.

مسؤولية جهة التحكم

- تلتزم جهة التحكم باختيار الجهة التي توفر الضمانات اللازمة لتنفيذ أحكام النظام واللوائح، وبالتحقق من التزامها بتعليمات حماية البيانات الشخصية بما لا يتعارض مع أحكام النظام واللوائح.

- يجوز لجهة التحكم تحديد مدد لممارسة حق الوصول إلى البيانات الشخصية، وتقييد هذا الحق إذا كان ضرورياً لحماية صاحب البيانات أو غيره من أي ضرر، أو إذا كانت جهة التحكم جهة عامة، وكان التقييد مطلوباً لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية.

حالات منع الوصول للبيانات

- يجب على جهة التحكم ألا تمكن صاحب البيانات الشخصية من الوصول إليها إذا مثل خطراً على الأمن، أو يسيء إلى سمعة المملكة، أو يتعارض مع مصالحها، أو يؤثر على علاقات المملكة مع دولة أخرى، أو يمنع من كشف جريمة أو يمس حقوق متهم في الحصول على محاكمة عادلة أو يعرض سلامة أفراد للخطر، أو يترتب عليه انتهاك خصوصية فرد آخر أو كان الوصول يتعارض مع مصلحة ناقص أو عديم الأهلية، أو يخل بالتزامات مهنية نظامية أو ينطوي على إخلال بالتزام أو إجراء أو حكم قضائي، أو كشف مصدر سري لمعلومات تحتم المصلحة العامة عدم الكشف عنه.

- ولا يجوز لجهة التحكم جمع البيانات الشخصية إلا من صاحبها مباشرةً، ولا تجوز كذلك معالجتها إلا لتحقيق الغرض الذي جُمعت من أجله، ويُستثنى من ذلك إذا وافق صاحب البيانات أو كانت البيانات الشخصية متاحة للعموم، وإذا كانت جهة التحكم جهة عامة، وكان جمع البيانات ومعالجتها لغرض آخر غير الذي جمعت من أجله؛ مطلوباً لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية.

مهام جهة التحكم

- يجب أن يكون الغرض من جمع البيانات الشخصية ذا علاقة مباشرة بأغراض جهة التحكم، وألا يتعارض مع أي حكم مقرر نظاماً، وأن تكون ملائمة لظروف صاحبها، ومباشرة وواضحة وآمنة، وخالية من أساليب الخداع أو التضليل أو الابتزاز.

- على جهة التحكم أن تعتمد سياسة لخصوصية البيانات الشخصية، وأن تجعلها متاحة لأصحابها ليطلعوا عليها قبل الجمع، على أن تشتمل على تحديد الغرض من جمعها، ومحتواها وطريقة جمعها، ووسيلة حفظها، وكيفية معالجتها، وإتلافها، وحقوق صاحبها فيما يتعلق بها، وكيفية ممارسة هذه الحقوق.

- وعليها أن تبلغ صاحب البيانات مباشرةً، بالمسوغ النظامي لجمع بياناته، والغرض منه وإحاطته بأن بياناته لن تعالج لاحقاً بصورة تتنافى مع الغرض من جمعها، وإبلاغه بهوية من يجمع البيانات وعنوان مرجعه ما لم يكن جمعها لأغراض أمنية، وبالجهة التي سيجرى إفصاح البيانات الشخصية إليها، وما إذا كانت ستنقل أو سيفصح عنها أو ستعالج خارج المملكة.

- وعليها إتلاف البيانات الشخصية فور انتهاء الغرض من جمعها، ويجوز لها الاحتفاظ بها بعد انتهاء الغرض من جمعها إذا تمت إزالة كل ما يؤدي إلى معرفة صاحبها، في حالتين: الأولى توفر مسوغ نظامي ويجري إتلافها بعد انتهاء المدة أو الغرض من جمعها، الثانية إذا كانت البيانات الشخصية متصلة اتصالاً وثيقاً بقضية منظورة أمام القضاء ويجرى إتلافها بعد استكمال الإجراءات القضائية.

- كما أن عليها اتخاذ ما يلزم من إجراءات ووسائل تضمن المحافظة على البيانات الشخصية، على أن تشعر الجهة المختصة فور علمها بحدوث تسرب أو تلف لبيانات شخصية أو وصول غير مشروع إليها، كما يتم إشعار صاحب البيانات في تلك الحالات.

معالجة البيانات لأغراض تسويقية وعلمية

- نص النظام على أنه فيما عدا البيانات الحساسة، تجوز معالجة البيانات الشخصية لأغراض تسويقية بموافقة صاحبها، إذا جرى جمعها من صاحبها مباشرة، ولأغراض علمية وبحثية دون موافقته، إذا لم تتضمن ما يدل على هويته، أو إذا كان جمعها أو معالجتها لهذه الأغراض يقتضيها نظام آخر أو تنفيذاً لاتفاق سابق مع صاحبها.

- ولا يجوز تصوير الوثائق الرسمية التي تحدد هوية صاحب البيانات الشخصية أو نسخها، إلا عندما يكون ذلك تنفيذاً لأحكام نظام، أو عندما تطلب جهة عامة مختصة تصوير تلك الوثائق أو نسخها وفق ما تحدده اللوائح.

- تقوم الجهة المختصة بإنشاء بوابة إلكترونية لغرض بناء سجل وطني عن جهات التحكم، تهدف إلى مراقبة ومتابعة التزام تلك الجهات بأحكام النظام واللوائح، وتقديم الخدمات المرتبطة بإجراءات حماية البيانات الشخصية لجهات التحكم؛ وذلك وفق ما تحدده اللوائح.

كما تضمن النظام قصر حق الاطلاع والمعالجة للبيانات الصحية، على أقل عدد ممكن من الموظفين أو العاملين وبالقدر اللازم فقط لتقديم الخدمات الصحية اللازمة، وتضمن المحافظة على خصوصية معالجة البيانات الائتمانية للمحافظة على خصوصية أصحابها، وحماية حقوقهم الواردة في النظام ونظام المعلومات الائتمانية.

العقوبات

أ- كل من أفصح عن بيانات حساسة أو نشرها مخالفاً أحكام النظام يعاقب بالسجن مدة لا تزيد على سنتين وبغرامة لا تزيد على 3 ملايين ريال، أو بإحداهما إذا كان ذلك بقصد الإضرار بصاحب البيانات أو تحقيق منفعة شخصية.

ب- كل من خالف أحكام المادة 29 والخاصة بنقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارجها، يعاقب بالسجن مدة لا تزيد على سنة وبغرامة لا تزيد على مليون ريال، أو بإحداهما.

ويجوز للمحكمة المختصة مضاعفة عقوبة الغرامة في حالة العود، حتى لو ترتب عليها تجاوز الحد الأقصى لها على ألا تتجاوز ضعف هذا الحد.

وفيما لم يرد في شأنه نص خاص في النظام تعاقب بالإنذار أو بغرامة لا تزيد على 5 ملايين ريال، كل شخصية ذات صفة طبيعية أو اعتبارية خاصة خالفت أياً من أحكام النظام أو اللوائح. وتجوز مضاعفة الغرامة في حالة التكرار، حتى لو ترتب عليها تجاوز الحد الأقصى لها على ألا تتجاوز ضعف هذا الحد.

- مع عدم الإخلال بحقوق الغير حسن النية، يجوز للمحكمة المختصة مصادرة الأموال المتحصلة من ارتكاب المخالفات المنصوص عليها في النظام، ويجوز لها أو للجنة المنصوص عليها في المادة 36 م النظام، في تضمين الحكم بتحديد العقوبة، النصَّ على نشر ملخصه على نفقة المحكوم عليه أو المخالف في صحيفة محلية بمكان إقامته.

وتصدر الجهة المختصة اللوائح، في مدة لا تتجاوز 180 يوماً من تاريخ صدور النظام، ويُنسق قبل إصدارها مع الجهات المعنية، كلٌّ فيما يخصه، على أن يُعمل بالنظام بعد 180 يوماً من تاريخ نشره في الجريدة الرسمية.