في ظل التحول الرقمي المتسارع الذي تشهده المملكة العربية السعودية ضمن رؤية 2030، أصبح تنظيم وحوكمة البيانات الشخصية والأمن السيبراني من القضايا الجوهرية التي تفرض على الشركات التزامات قانونية وأخلاقية صارمة، وقد أدرك المنظم السعودي هذه الأهمية، فأصدر عدة أنظمة تشريعية تهدف إلى ضمان حماية خصوصية الأفراد، وتأمين بيئة إلكترونية آمنة للشركات والمتعاملين معها ، ومن أهم تلك الأنظمة نظام حماية البيانات الشخصية لعام 1443 ه ، وخلال هذا المقال سيتم بيان كيف يقع على الشركات عاتق الالتزام بحماية البيانات الشخصية للمستخدمين وحماية الأمن السيبراني.
اولاً:- معالجة البيانات الشخصية.
أن أساس معالجة البيانات الشخصية أو تعديل الغرض من معالجتها لا يجوز إلا بموافقة صاحب البيانات، إلا في الأحوال التي نص عليها النظام صراحة؛ ويستفاد من ذلك أن الأصل في المعالجة هو الحظر، ولا يجوز الخروج عن هذا الأصل إلا بإرادة صريحة وواضحة من صاحب البيانات، تعكس علمه الكامل بنطاق المعالجة وغرضها، ويقع على اللوائح التنفيذية مهمة تحديد الشروط التي يجب أن تتوافر في هذه الموافقة، بما في ذلك الحالات التي تستوجب أن تكون الموافقة صريحة (Explicit Consent)، لاسيما إذا كانت البيانات المعالجة من النوع الحساس، أو إذا كان استخدامها قد يُنتج آثارًا قانونية على صاحبها. كما تتناول اللوائح كيفية الحصول على الموافقة من الولي الشرعي في حال كان صاحب البيانات ناقص أو عديم الأهلية، مثل القُصَّر أو فاقدي الأهلية بموجب حكم قضائي. فعلى سبيل المثال، إذا أرادت شركة تأمين صحية جمع بيانات طبية من طفل دون سن الثامنة عشرة، فإنها لا تستطيع المضي في ذلك إلا بعد الحصول على موافقة صريحة من ولي أمره، وفقًا لما تحدده اللوائح من ضوابط وشروط. وهذه الموافقة يجب أن تكون مسبوقة بإعلام واضح ومفهوم للولي الشرعي بطبيعة البيانات وأغراض استخدامها.
يوجد مبدأ أساسيًا في حماية الحقوق الرقمية، حيث تمنح صاحب البيانات الشخصية الحق في سحب أو الرجوع عن الموافقة التي منحها مسبقًا، في أي وقت يشاء، دون أن يُرتب عليه ذلك ضرر أو عبء قانوني. وتقوم اللوائح التنظيمية بتحديد الإجراءات التي تضمن تنفيذ هذا الحق دون تعسف من جهة التحكم، ويُعد هذا الحق تعبيرًا عن مبدأ “السيادة المعلوماتية” الذي يُمكِّن الأفراد من التحكُّم الكامل في بياناتهم، على سبيل المثال، إذا قام مستخدم تطبيق إلكتروني بالموافقة على مشاركة بياناته التسويقية مع طرف ثالث، ثم رغب لاحقًا في إلغاء تلك الموافقة، فإن على التطبيق تمكينه من ذلك فورًا، ويجب وقف استخدام البيانات وفقًا لطلبه.
أما الاستثناءات الواردة على وجوب الحصول على الموافقة، ، فقد جاء بها المنظم السعودي لتوازن بين حماية الحقوق الفردية ومتطلبات الواقع العملي، فنص على حالات لا تتطلب موافقة مسبقة من صاحب البيانات:-
- إذا كانت المعالجة تحقق مصلحة متحققة لصاحب البيانات وتعذر الاتصال به، كما هو الحال في الطوارئ الطبية؛ فإذا تعرض شخص لحادث مروري وكان فاقدًا للوعي، جاز لمقدمي الخدمة الصحية معالجة بياناته الطبية الضرورية دون موافقة مسبقة، لأن المصلحة المباشرة له تقتضي ذلك.
- إذا كانت المعالجة تستند إلى نظام آخر نافذ أو إلى اتفاق تعاقدي يكون فيه صاحب البيانات طرفًا، كما في حالات الجهات المالية التي تجمع بيانات العميل لتطبيق نظام مكافحة غسل الأموال، أو شركات الاتصالات التي تعالج بيانات العملاء لتنفيذ اشتراكاتهم الهاتفية.
- عندما تكون جهة التحكم جهة عامة، وكانت المعالجة لأغراض أمنية أو قضائية، كما في حالة وزارة الداخلية التي تقوم بتحليل بيانات الدخول والخروج للأفراد لأغراض الأمن الوطني، أو في حال تنفيذ أوامر قضائية تتطلب جمع أو استخدام بيانات الأطراف.
- عندما تكون المعالجة ضرورية لتحقيق مصالح مشروعة لجهة التحكم، ما لم تتعارض مع مصالح صاحب البيانات أو تنتهك حقوقه، بشرط ألا تكون البيانات حساسة. على سبيل المثال، قد تقوم شركة تجارية بجمع بيانات استخدام العملاء لتطوير خدماتها ومنتجاتها، وهو أمر مشروع طالما تم ضمن حدود واضحة ولا يخل بخصوصية الأفراد أو يؤدي إلى استغلالهم. وقد أحال النظام إلى اللوائح لتحديد الضوابط الدقيقة التي تحكم تطبيق هذا الاستثناء، ضمانًا لتوازن المصالح وحماية الحقوق.
ثانياً:- الاستثناءات الواردة على حماية البيانات الشخصية.
يوجد مجموعة من الاستثناءات بحيث يجوز جمع البيانات الشخصية من غير صاحبها مباشرةً، أو مُعالجتها لغرض آخر غير الذي جمعت من أجله، وذلك في الأحوال الآتية:
- إذا وافق صاحب البيانات الشخصية على ذلك، وفقاً لأحكام النظام.
- إذا كانت البيانات الشخصية متاحة للعموم، أو جرى جمعها من مصدر متاح للعموم.
- إذا كانت جهة التحكم جهة عامة، وكان جمع البيانات الشخصية ومعالجتها؛ مطلوباً لأغراض المصلحة العامة، أو لأغراض أمنية ،أو لتنفيذ نظام آخر ،أو لاستيفاء مُتطلبات قضائية.
- إذا كان التقيد بهذا الحظر قد يُلحق ضرراً بصاحب البيانات الشخصية أو يؤثر على مصالحه الحيوية.
- إذا كان جمع البيانات الشخصية أو معالجتها ضروريا ً لحماية الصحة العامة، أو السلامة العامة ،أو حماية حياة فرد ،أو أفراد معينين ،أو حماية صحتهم.
- إذا كانت البيانات الشخصية لن تُسجل أو تُحفظ في صيغة تجعل من الممكن تحديد هوية صاحبها ومعرفته بصورة مباشرة أو غير مباشرة.
- إذا كان جمع البيانات الشخصية أو معالجتها ضرورياً لتحقيق مصالح مشروعة لجهة التحكم، ما لم يخل ذلك بحقوق صاحب البيانات الشخصية أو يتعارض مع مصالحه ولم تكن تلك البيانات بيانات حساسة.
في ختام المقال : تُعدّ حماية البيانات الشخصية وتعزيز الأمن السيبراني من أهم التحديات القانونية التي تواجه الشركات في العصر الرقمي، وقد حرص النظام السعودي على وضع قواعد قانونية صارمة تنظم هذه الجوانب، بما يكفل حماية الأفراد وتعزيز ثقة المجتمع في المنظومة الرقمية، ومن هنا فإن على الشركات الالتزام الحازم بهذه الأنظمة، من خلال إنشاء بنية تحتية تقنية وتشريعية متكاملة، واعتماد سياسات خصوصية فعالة، وإجراء التدقيقات المنتظمة، حتى لا تقع تحت طائلة المسؤولية القانونية أو تتعرض لغرامات أو تهديدات إلكترونية تؤثر على سمعتها ومركزها المالي.
