أصدرت الهيئة السعودية للبيانات والذكاء الاصطناعي "سدايا"، الدليل الإجرائي لمعالجة حوادث تسرب البيانات الشخصية؛ بهدف تحديد الإجراءات اللازمة للتعامل مع هذا النوع من الحوادث.
يجب إشعار الهيئة خلال مدة لا تتجاوز 72 ساعة من الحادث
وحددت "سدايا" 3 مراحل رئيسية للتعامل مع حوادث تسرب البيانات الشخصية، تبدأ بـ "إشعار الهيئة"، والذي ينص الدليل على حتمية حدوثه خلال مدة لا تتجاوز 72 ساعة من وقت وقوع الحادث، على أن يتضمن الإشعار وصفًا لحادثة تسرب البيانات يشمل الوقت والتاريخ والكيفية.
وتتطلب هذه المرحلة تقديم وصف للمخاطر والفئات والأعداد الفعلية لأصحاب البيانات الشخصية المعنيين بالحادث، مع بيان إذا ما سيتم إشعارهم بتسريب البيانات.
وتعنى المرحلة الثانية، التي وصفها الدليل بـ"احتواء حادثة التسرب"، بالإجراءات الواجب اتباعها في هذه الحالة من قبل جهة التحكم، بما يشمل تحديد نوع وحجم البيانات الشخصية، ونوعية البيانات المسربة والقابلة للتغيير مثل البريد الإلكتروني وكلمة المرور والأسئلة السرية وأرقام البطاقات الائتمانية، والعمل على تغييرها.
وتشمل المرحلة أيضًا تحديد الأفراد المتضررين من حادثة التسرب، وقيام جهة التحكم بإشعار صاحب البيانات الشخصية دون تأخير غير مبرر، حال ترتب على ذلك ضرر في البيانات أو تعارض مع حقوقه ومصالحه.
وأوضح الدليل في هذا الصدد وسائل إشعار صاحب البيانات الشخصية، والتي تشمل أي وسيلة مناسبة مثل الرسائل النصية أو البريد الإلكتروني، وفي حال اتساع الضرر ليشمل مجموعة كبيرة من الأشخاص على المستوى الوطني، يمكن لجهة التحكم إشعار صاحب البيانات بوسائل أخرى، مثل الموقع الإلكتروني الخاص بالجهة، أو حساباتها الرسمية على منصات التواصل الاجتماعي، أو وسائل الإعلام.
وتقتضي المرحلة الثالثة "التوثيق"، من جهة التحكم الاحتفاظ بنسخ المستندات التي يتم تقديمها بشأن حوادث تسرب البيانات الشخصية لديها، وتوثيق الإجراءات التصحيحية المتخذة حيالها، وأي مستندات أو وثائق داعمة لذلك.