المركز المعرفي

المقدمة

نظراً للدور الذي تضطلع به الهيئة السعودية للبيانات والذكاء الاصطناعي في رفع مستوى الوعي لدى الجهات المشمولة بأحكام نظام حماية البيانات الشخصية (النظام) ولوائحه التنفيذية ولتمكينهم من معرفة التزاماتهم الواردة في المادة (الخامسة عشرة) والمادة (السادسة عشرة) من النظام، وما ورد في شأنه في المادة (العشرون) من اللائحة التنفيذية، أصدرت الهيئة السعودية للبيانات والذكاء الاصطناعي هذا الدليل الاسترشادي بغرض مساعدة الجهات في تحديد حالات الإفصاح عن البيانات الشخصية وموانعه.
كما يقدم هذا الدليل الإيضاحات المتعلقة بموانع الإفصاح عن البيانات الشخصية، ويمكن الرجوع إلى النظام ولوائحه التنفيذية لتحديد المقصود بالألفاظ والعبارات الواردة في هذا الدليل، وتحديد المتطلبات النظامية، فلا يمكن أن يُغني الاطلاع على هذا الدليل عن الرجوع إلى أحكام النظام ولوائحه التنفيذية، ولا يُعدّ هذا الدليل نصاً نظامياً ملزماً؛ إذ تُمثَّل أحكام النظام ولوائحه المرجعية النظامية لجميع ما يتعلق بتطبيق أحكامه.

الأهداف

يهدف هذا الدليل إلى الآتي:

1. دعم الجهات في تطبيق أحكام النظام.
2. تشجيع الجهات على تبني أفضل ممارسات الإفصاح عن البيانات الشخصية.
3. تقديم بعض الايضاحات لجهات التحكم لمساعدتها في تطبيق أحكام الإفصاح عن البيانات الشخصية الواردة في النظام ولوائحه التنفيذية.
4. المحافظة على خصوصية أصحاب البيانات الشخصية.

حالات الإفصاح عن البيانات الشخصية

لا يجوز لجهة التحكم الإفصاح عن البيانات الشخصية إلا في الأحوال التالية:-

أولاً: موافقة صاحب البيانات الشخصية

إذا كانت موافقة صاحب البيانات الشخصية على الإفصاح وفقاً لأحكام النظام.

ثانياً: البيانات الشخصية التي جرى جمعها من مصدر متاح للعموم

إذا كانت البيانات الشخصية قد جرى جمعها من مصدر متاح للعموم. بشرط ألا تكون إتاحتها للعموم قد تمت بشكل مخالف لأحكام النظام ولوائحه التنفيذية. وعلى جهة التحكم مراعاة أن يرتبط طلب الإفصاح ارتباطاً وثيقاً بغرض أو موضوع محدد وواضح. وأن يتم بذل العناية اللازمة للمحافظة على خصوصية صاحب البيانات الشخصية أو أي فرد آخر. وأن يقتصر الإفصاح على الحد الأدنى من البيانات الشخصية اللازمة لتحقيق الغرض منه. وعلى جهة التحكم عند الإفصاح عن بيانات شخصية مرتبطة ببيانات شخص آخر غير صاحبها الالتزام ببذل العناية اللازمة وتوفير الضمانات الكافية للمحافظة على خصوصية الفرد الآخر وضمان عدم انتهاكها، ومن ذلك مراعاة الموازنة بين حقوق صاحب البيانات الشخصية وحقوق الشخص الآخر في كل حالة على حدة، وترميز البيانات الشخصية التي تدل على هوية الشخص الآخر ما أمكن ذلك.

ثالثاً: الجهة العامة الطالبة للإفصاح، وكان ذلك لأغراض المصلحة العامة أو لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية

إذا كانت الجهة التي تطلب الإفصاح جهة عامة، وكان ذلك لأغراض المصلحة العامة أو لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية. وعلى جهة التحكم توثيق طلب الإفصاح، وتحديد نوع البيانات الشخصية المطلوب الإفصاح عنها بشكل دقيق. مع مراعاة أنه على الجهة العامة عند طلب الإفصاح عن البيانات الشخصية لتحقيق مصلحة عامة الالتزام بما يلي:

• التأكد من أن ذلك يعد ضرورياً لتحقيق مصلحة عامة محددة بشكل واضح.
• أن تتصل المصلحة العامة بالاختصاصات المقررة لها نظاماً.
• اتخاذ الوسائل المناسبة للحد من الأضرار التي قد تنتج عن ذلك، بما في ذلك وضع الضوابط الإدارية والتقنية اللازمة لضمان التزام منسوبيها بأحكام المادة (الحادية والأربعون) من النظام.
• تضمين تلك العمليات في سجلات أنشطة معالجة البيانات الشخصية.
• جمع ومعالجة الحد الأدنى اللازم من البيانات الشخصية لتحقيق الغرض.

رابعاً: ضرورة الإفصاح لحماية الصحة العامة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم

إذا كان الإفصاح ضرورياً لحماية الصحة العامة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم. وعلى جهة التحكم توثيق طلب الإفصاح، وتحديد نوع البيانات الشخصية المطلوب الإفصاح عنها بشكل دقيق.

خامساً: اقتصار الإفصاح على معالجة البيانات الشخصية لاحقاً بطريقة لا تؤدي إلى معرفة هوية صاحب البيانات الشخصية أو أي فرد آخر على وجه التحديد

إذا كان الإفصاح سيقتصر على معالجة البيانات الشخصية لاحقاً بطريقة لا تؤدي إلى معرفة هوية صاحب البيانات الشخصية أو أي فرد آخر على وجه التحديد. وعلى جهة التحكم مراعاة أن يرتبط طلب الإفصاح ارتباطاً وثيقاً بغرض أو موضوع محدد وواضح. وأن يتم بذل العناية اللازمة للمحافظة على خصوصية صاحب البيانات الشخصية أو أي فرد آخر. وأن يقتصر الإفصاح على الحد الأدنى من البيانات الشخصية اللازمة لتحقيق الغرض منه. وعلى جهة التحكم عند الإفصاح عن بيانات شخصية مرتبطة ببيانات شخص آخر غير صاحبها الالتزام ببذل العناية اللازمة وتوفير الضمانات الكافية للمحافظة على خصوصية الفرد الآخر وضمان عدم انتهاكها، ومن ذلك مراعاة الموازنة بين حقوق صاحب البيانات الشخصية وحقوق الشخص الآخر في كل حالة على حدة، وترميز البيانات الشخصية التي تدل على هوية الشخص الآخر ما أمكن ذلك.

سادساً: ضرورة الإفصاح لتحقيق مصالح مشروعة لجهة التحكم

إذا كان الإفصاح ضرورياً لتحقيق مصالح مشروعة لجهة التحكم، ما لم يخل ذلك بحقوق صاحب البيانات الشخصية أو يتعارض مع مصالحه ولم تكن تلك البيانات بيانات حساسة. وعلى جهة التحكم مراعاة أن يرتبط طلب الإفصاح ارتباطاً وثيقاً بغرض أو موضوع محدد وواضح. وأن يتم بذل العناية اللازمة للمحافظة على خصوصية صاحب البيانات الشخصية أو أي فرد آخر. وأن يقتصر الإفصاح على الحد الأدنى من البيانات الشخصية اللازمة لتحقيق الغرض منه. وعلى جهة التحكم عند الإفصاح عن بيانات شخصية مرتبطة ببيانات شخص آخر غير صاحبها الالتزام ببذل العناية اللازمة وتوفير الضمانات الكافية للمحافظة على خصوصية الفرد الآخر وضمان عدم انتهاكها، ومن ذلك مراعاة الموازنة بين حقوق صاحب البيانات الشخصية وحقوق الشخص الآخر في كل حالة على حدة، وترميز البيانات الشخصية التي تدل على هوية الشخص الآخر ما أمكن ذلك.
بالإضافة إلى ما سبق، عند قيام جهة التحكم بالإفصاح عن البيانات الشخصية لتحقيق مصلحة مشروعة لابد من توفر الشروط الآتية:

‌أ-ألا يكون الغرض مخالفاً لأي من الأنظمة في المملكة.
‌ب- الموازنة بين حقوق ومصالح صاحب البيانات الشخصية والمصلحة المشروعة لجهة التحكم، بحيث لا تؤثر مصالح جهة التحكم على حقوق ومصالح صاحب البيانات الشخصية.
‌ج-ألا تتضمن المعالجة بيانات حساسة.
‌د-أن تكون المعالجة ضمن التوقعات المعقولة لصاحب البيانات الشخصية.

مثال : يعد من المصالح المشروعة كشف عمليات الاحتيال وحماية أمن الشبكة والمعلومات.

على جهة التحكم قبل معالجة البيانات الشخصية ومن ضمنها الإفصاح لمصلحة مشروعة إجراء وتوثيق تقويم للمعالجة المقترحة وأثرها على حقوق ومصالح أصحاب البيانات الشخصية، على أن يتضمن التقويم على وجه التحديد ما يلي:

‌أ-‌ ‌تحديد المعالجة المقترحة وأغراضها، ونوع البيانات وفئات أصحاب البيانات الشخصية.
‌ب- تقويم الغرض من خلال التأكد من مشروعيته وعدم مخالفته لأي من الأنظمة في المملكة.
‌ج-‌ التحقق من أن معالجة البيانات الشخصية ضرورية لتحقيق الغرض المشروع لدى جهة التحكم.
‌د-‌ تقويم ما إذا كانت المعالجة المقترحة سيترتب عليها أي ضرر على مصالح أصحاب البيانات الشخصية أو قدرتهم على ممارسة حقوقهم المقررة نظاماً.
‌ه- تقويم ما إذا كانت هناك أي تدابير يتطلب اتخاذها لتجنب المخاطر أو الأضرار المحتملة، وذلك وفقا لما نصت عليه الفقرة (2) من المادة (الخامسة والعشرون) من اللائحة التنفيذية.

إذا أظهر التقويم أن المعالجة المقترحة ستؤدي بأي شكل من الأشكال إلى مخالفة أي من الأنظمة أو المساس بحقوق ومصالح أصحاب البيانات الشخصية أو ترتيب أي ضرر عليهم أو على أي طرف آخر، فيكون على جهة التحكم تعديل المعالجة المقترحة وإجراء تقويم جديد، أو النظر في الاعتماد على مسوغ نظامي آخر.

القيود المانعة للإفصاح عن البيانات الشخصية

على جهة التحكم ألاّ تفصح عن البيانات الشخصية متى اتصف الإفصاح بأيٍّ مما يأتي:

1. أنه يمثل خطراً على الأمن، أو يسيء إلى سمعة المملكة، أو يتعارض مع مصالحها.
2. أنه يؤثر على علاقات المملكة مع دولة أخرى.
3. أنه يمنع من كشف جريمة أو يمس حقوق متهم في الحصول على محاكمة عادلة أو يؤثر في سلامة إجراءات جنائية قائمة.
4. أنه يعرض سلامة فرد أو أفراد للخطر.
5. أنه يترتب عليه انتهاك خصوصية فرد آخر غير صاحب البيانات الشخصية وفق ما تحدده اللوائح.
6. أنه يتعارض مع مصلحة ناقص أو عديم للأهلية.
7. أنه يخل بالتزامات مهنية مقررة نظاماً.
8. أنه ينطوي عليه إخلال بالتزام أو إجراء أو حكم قضائي.
9. أنه يكشف عن مصدر سري لمعلومات تحتم المصلحة العامة عدم الكشف عنه.

ولا تسري هذه القيود على عمليات الإفصاح في الحالات الآتية:

1. إذا كانت الجهة التي تطلب الإفصاح جهة عامة، وكان ذلك لأغراض المصلحة العامة أو لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية.
2. إذا كان الإفصاح ضرورياً لحماية الصحة العامة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم.

إرشادات عامة

1. على جهة التحكم تضمين عمليات الإفصاح عن البيانات الشخصية في سجلات أنشطة معالجة البيانات الشخصية وتوثيق تواريخها وطرقها والغرض منها.
2. على جهات التحكم الالتزام بمتطلبات عملية نقل البيانات الشخصية خارج المملكة عند الإفصاح عن البيانات الشخصية وفق المتطلبات والأحوال المنصوص عليها في النظام ولوائحه التنفيذية.