“سدايا” تنشر مشروع نقل البيانات الشخصية: تعويض المتضررين من انتهاك الحقوق ووضع آليات للتعامل مع تسرب المعلومات

دعت الهيئة السعودية للبيانات و الذكاء الاصطناعي ” سدايا ” قطاع المواصلات والاتصالات للمشاركة في رفع المرئيات والملاحظات بخصوص مشروع ” دليل إعداد القواعد المشتركة الملزمة لنقل البيانات الشخصية” خلال الفترة 15-30/ أغسطس 2024، مشيرة إلى أن المشروع يهدف إلى وضع آلية لإعداد القواعد المشتركة الملزمة عند نقل البيانات الشخصية الى خارج المملكة لدولة او منظمة دولية ليست ضمن قائمة الدول او المنظمات الدولية التي توفر مستوى مناسب لحماية البيانات الشخصية، وذلك لضمان مستوى مناسب لحماية البيانات الشخصية خارج المملكة، بما لا يقل عن المستوى المقرر في نظام حماية البيانات الشخصية و لوائحه التنفيذية.

وحسب المشروع، فان القواعد المشتركة الملزمة تمثل مجموعة القواعد و الالتزامات التي تطبق على كل طرف معني في مجموعة الجهات التي تعمل في نشاط اقتصادي مشترك بما في ذلك موظفوها، موضحة، أن مجموعة الجهات تمثل الجهات التي تمارس أنشطة اقتصادية مشتركة مثل حقوق الامتياز وتعمل هذه الكيانات تحت سيطرة مشتركة، مؤكدا، أن القواعد تكون ملزمة قانونيا و قابلة للتنفيذ من قبل جميع أعضاء مجموعة الجهات لضمان النقل القانوني و الامن للبيانات خارج المملكة بهدف المحافظة على خصوصية أصحاب البيانات الشخصية و تطبيق معايير عالية لحماية البيانات الشخصية اثناء عمليات النقل خارج المملكة، مشددا على ضرورة قيام مجموعة الجهات بضمان متطلبات القواعد المشتركة الملزمة في سياساتها دون الاكتفاء بالإشارة الى احكام النظام.

وحدد المشروع 5 متطلبات للقواعد المشتركة الملزمة و التي تشمل التزام مجموعة الجهات التحكم المنصوص عليها في النظام و اللوائح، بالإضافة الى تضمين ما يتعلق بحقوق أصحاب البيانات الشخصية و المطالبة بالتعويض عن الضرر الناتج عن انتهاك هذه الحقوق، فضلا عن تعاون مجموعة الجهات مع الجهة المختصة و الالتزام بجميع طلباتها لضمان الالتزام بالقواعد المشتركة الملزمة، و تلتزم الجهة المستوردة للبيانات بالإجابة على جميع الاستفسارات الواردة من الجهة المختصة و تقديم الوثائق و المعلومات اللازمة لها عند طلبها، وكذلك الموافقة على القواعد المشتركة الملزمة داخليا من قبل صاحب الصلاحية في مجموعة الجهات، على ان تشمل هذه العملية مراجعة لكافة التدابير التي سيتم اتخاذها حيال حماية البيانات الشخصية و آليات الالتزام و التحقق منها، و أيضا ان تكون القواعد ملزمة قانونيا على كل عضو داخل مجموعة الجهات و ان توفر معيارا ثابتا لحماية البيانات الشخصية، و يجب على كل عضو في المجموعة التي تتلقى البيانات الشخصية ذات الصلة بان تلتزم بالأحكام المنصوص عليها في النظام اللوائح، أخيرا اعداد سياسات مفصلة بشأن حماية البيانات الشخصية و حقوق أصحابها و التدبير الأمنية و برامج التدقيق و آليات التعامل مع حوادث تسرب البيانات الشخصية و الشكاوى، بما يتوافق مع احكام نظام حماية البيانات الشخصية و لوائحه التنفيذية.

واجاز المشروع إجراء التعديلات – بموافقة الجهة المختصة- على القواعد المشتركة الملزمة بغرض مواءمتها مع التغييرات التنظيمية لمجموعة الجهات على ان يتم إخطار جميع أعضاء القواعد المشتركة الملزمة بهذه التغييرات فور حدوثها، ويجب ألا تؤثر هذه التعديلات على مستوى الحماية للبيانات الشخصية الذي تقرره القواعد الملزمة وفقا للنظام و اللوائح، كما منح المشروع اجراء تحديثات على قائمة أعضاء القواعد المشتركة الملزمة وفقا للشروط التالية: أ- الاحتفاظ بسجل محدث لأعضاء القواعد المشتركة الملزمة و جهات المعالجة و جهان المعالجة الفرعية المشاركة في أنشطة معالجة البيانات الشخصية و تسهيل وصول أصحاب البيانات الشخصية الى قائمة أعضاء القواعد المشتركة الملزمة. ب-الاحتفاظ بتقرير يحتوي على شرح للأسباب التي أدت الى التحديث او التغيير. وأعطى المشروع الجهة المختصة سحب الإعفاء الممنوح في حالة الفشل في تطبيق القواعد المشتركة الملزمة وفي حال تبين ان القواعد المشتركة الملزمة غير كافية بناء على نتائج المراجعة الدورية للقواعد المشتركة الملزمة، فإنه يجب على جهة التحكم تعليق نقل البيانات الشخصية او الإفصاح عنها واخطار الجهة التي تم نقل البيانات الشخصية اليها.