:مقدِّمَه

تُعدُّ حماية البيانات الشخصية أحد أبرز التحدِّيات التي تواجه الدول في هذا العصر، ولذلك؛ أصدرت المملكة العربية السعودية مؤخَّرًا لائحة نقل البيانات الشخصية إلى خارج المملكة بتاريخ 28/2/1446هـ، الموافق 1/9/2024م، بناءً على قرار رئيس الهيئة السعودية للبيانات والذكاء الاصطناعي رقم (1840). تهدُف اللائحة إلى تعزيز الحماية القانونية للبيانات الشخصية، وضمان استخدامها بطريقةٍ تراعي الخصوصية والأمان عند نقلها، أو الإفصاح عنها خارج الحدود، مع مراعاة التوازن بين تسهيل تدفُّق البيانات عالميًّا وحماية حقوق الأفراد.

:أولًا: أهداف اللائحة وأهميتها

تهدُف اللائحة إلى تحقيق مجموعة من الغايات الرئيسية، ومنها:

1.     ضمان حماية البيانات الشخصية: توفير مستوى حماية لا يقل عن المعايير المطبقة داخل المملكة.

2.     تنظيم عمليات نقل البيانات عبر الحدود: الحد من المخاطر المرتبطة بنقل البيانات الشخصية إلى جهات خارجية.

3.     تعزيز الثقة الرقمية: طمأنة الأفراد والمؤسسات بأن بياناتهم ستظل محمية، حتى في حال نقلها خارج المملكة.

4.     الامتثال للمعايير الدولية: تحقيق التوافُق مع الاتفاقيات العالمية في مجال حماية البيانات الشخصية.

 

:ثانيًا: تعريفات محورية في اللائحة

ركّزت المادة (الأولى) من اللائحة على تحديد المصطلحات الأساسية التي تساعد في فهم الإطار التنظيمي، ومن أهمها:

1.     الضمانات المناسبة: متطلبات تفرضها الجهة المختصة على جهات التحكم تتضمن الإلزام بأحكام النظام واللوائح، عند نقل البيانات الشخصية أو الإفصاح عنها لجهات خارج المملكة، وذلك في حالات الإعفاء من شروط توافر مستوى مناسب لحماية البيانات الشخصية أو الحد الأدنى منها، بحسب الأحوال.

2.     البنود التعاقدية القياسية: بنود إلزامية تُستخدم عند نقل البيانات الشخصية خارج المملكة تكفُل مستوى مناسبًا لحماية البيانات الشخصية عند نقلها خارج المملكة بما لا يقل عن مستوى الحماية المقرر في النظام واللوائح.

3.     القواعد المشتركة الملزمة: تُطبَّق على كل جهة تحكم ومعالجة طرف في مجموعة كيانات متعددة الجنسيات، تكفل مستوى مناسبًا لحماية البيانات الشخصية عند نقلها خارج المملكة بما لا يقل عن مستوى الحماية المقرر في النظام واللوائح.

:ثالثًا: نطاق تطبيق اللائحة

. الأغراض المشروعة لنقل البيانات:

تناولت المادة (الثانية) الحالات التي يُسمَح فيها بنقل البيانات الشخصية خارج المملكة، ومنها:

1.     إجراء العمليات التشغيلية الضرورية؛ لتمكين جهة التحكم من ممارسة أنشطتها.

2.     تقديم خدمة أو منفعة لصاحب البيانات الشخصية.

3.     إجراء البحوث والدراسات العلمية.

2. معايير اختيار الدُّول والجهات الخارجية:

بحسب المادة (الثالثة) من اللائحة، يتم نقل البيانات فقط إلى دول أو منظمات تضمن مستوى حماية مماثل أو أعلى من مستوى الحماية داخل المملكة. وتخضع القائمة للمراجعة كل "أربع" سنوات وفقًا لمعايير محددة، مثل:

1.     وجود أنظمة تكفُل حماية البيانات الشخصية وحقوق أصحابها المتعلقة بها.

2.      وجود جهات إشرافية تضمن الامتثال للقوانين.

3.     تعاون الجهات الخارجية مع الجهات المختصة في المملكة.

4.     أحكام عمليات النقل اللاحق للبيانات؛ وَفق المادة (5) من اللائحة.

للجهة المختصَّة تعليق النقل أو الإفصاح إلى أيٍّ من الدول أو المنظمات المدْرجة في القائمة؛ طبقًا للإجراءاتِ النظامية.

:رابعًا: استثناءاتُ وشروط الإعفاء

نصَّت المادة (الرابعة) على الحالات التي يُمكن فيها إعفاء الجهات من بعض الشروط المتعلقة بنقل البيانات الشخصية، مع الالتزام بالضمانات المناسبة، مثل:

1.     النقل لخدمة مصالح المملكة: في حال ارتباط النقل باتفاقيات دولية.

2.     النقل غير المتكرر: عند الحاجة لنقل بيانات عدد محدود من الأفراد لفترة زمنية قصيرة.

3.     النقل لأغراض البحث العلمي: مع ضمان الحد الأدنى من البيانات المطلوبة.

:خامسًا: إجراءات تعزيز الحماية

1. العدول عن الإعفاء:

 قرَّرَت المادة (السادسة) عدم سريان أيٍّ من الإعفاءات إذا أخلَّت الجهة بتطبيق الضمانات المناسبة، أو عدم كفايتها، وإذا تَم ذلك؛ يجب التوقُّف عن نقل البيانات الشخصية وإشعار الجهات التي جرى نقل البيانات إليها أو جرى الإفصاح لها عن البيانات الشخصية.

2. تقويم مخاطر نقل البيانات:

ألْزَمَت المادة (السابعة) الجهات التي ترغب في نقل البيانات الشخصية بإجراء تقويم شامل للمخاطر، وفقًا للآتي:

حالات إعداد التقويم:

• نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة وفقًا للمادة (الرابعة) من اللائحة.

• نقل بيانات حسَّاسَة أو الإفصاح عنها لجهات خارج المملكة بصفة مستمرة، أو على نطاق واسع.

مشتملات التقويم الأساسية:

• الغرض من نقل البيانات.

• طبيعة البيانات المنقولة، ومدى حساسيتها.

• الوسائل المستخدمة لضمان الحماية.

• الآثار المادية أو المعنوية التي قد تترتّب على نقل البيانات الشخصية.

• التدابير أو الضوابط؛ لمنع حدوث المخاطر على أصحاب البيانات الشخصية أو الحد من آثارها عند حدوثها.

3. النقل اللاحق للبيانات الشخصية:

شرَحَت المادة (الخامسة) من اللائحة تطبيق أحكام النظام واللوائح على عمليات النقل اللاحق للبيانات الشخصية التي جرى نقلها أو الإفصاح عنها لجهة خارج المملكة، وأوضَحَت اللائحة أنَّ ذلك لا يُخِل بأحكام المواد (الثامنة) و(الخامسة عشرة) من النظام و(السابعة عشرة) من اللائحة التنفيذية لنظام حماية البيانات الشخصية.

4. دور الأدلة الإرشادية:

فرَضَت المادة (الثامنة) من اللائحة على الجهات المختصة إصدار أدلة تفصيلية وإرشادات للجهات المعنية؛ لضمان الالتزام بأحكام اللائحة وتحقيق الحماية المطلوبة.

:سادسًا: نفاذ اللائحة

قرَّرَت المادة (التاسعة) من اللائحة سريان كافة أحكامها من تاريخ نشرها في الجريدة الرسمية.

الخاتمة:

تُمثِّل لائحة نقل البيانات الشخصية إلى خارج المملكة خطوة مهمة نحو بناء نظام رقمي متكامل يحمي خصوصية الأفراد ويتماشَى مع أفضل الممارسات الدولية وأهداف رؤية المملكة 2030، فمن خلال تطبيق هذه اللائحة؛ تُؤكِّد المملكة التزامها بتعزيز الثقة الرقمية وخلْق بيئة قانونية وتنظيمية تحمِي حقوق الأفراد وتدعم الابتكار.