وافق مجلس الوزراء على 27 تعديلاً على نظام حماية البيانات الشخصية الصادر في 9 / 2/ 1443هـ، وشملت التعديلات 23 مادة، مع إلغاء مادة واحدة.
وتضمنت التعديلات ما يتعلق بالبيانات الحسّاسة وحقوق صاحب البيانات الشخصية، وما يتعلق بمدد ممارسة حق الوصول لتلك البيانات، وعدم السماح لجهة التحكم بجمع البيانات الشخصية إلا من صاحبها، مع وجود استثناءات في ذلك.
كما شملت ضرورة اعتماد جهة التحكم سياسة للخصوصية وإتاحتها لأصحاب البيانات الشخصية للاطلاع عليها، وعدم جواز الإفصاح عنها إلا بموافقة صاحبها، وما يتعلق بتسرب البيانات الشخصية أو الحاجة إلى نقلها لخارج المملكة.
أبرز التعديلات
الإتلاف والإفصاح
تناولت التعديلات تعريف الإتلاف كأي إجراء على البيانات الشخصية يجعل من المتعذر الاطلاع عليها أو استعادتها أو معرفة صاحبها على وجه التحديد، وتعريف الإفصاح بأنه تمكين أي شخص عدا جهة التحكم أو المعالجة من الحصول على البيانات الشخصية أو استعمالها أو الاطلاع عليها بأي وسيلة ولأي غرض.
البيانات الحسّاسة
وعرفت التعديلات البيانات الحسّاسة بـ “كل بيان شخصي يتعلق بأصل الفرد العرقي أو أصله الاثني أو معتقده الديني أو الفكري أو السياسي. وكذلك البيانات الأمنية أو الجنائية أو بيانات السمات الحيوية التي تحدد الهوية أو البيانات الوراثية أو البيانات الصحية والبيانات التي تدل على الفرد مجهول الأبوين أو أحدهما”.
حقوق صاحب البيانات
عُدلت المادة 4 لتعطي صاحب البيانات الشخصية – وفقاً للأحكام الواردة في النظام وما تحدده من لوائح – الحق في الوصول لبياناته الشخصية وفق الضوابط وطلب الحصول عليها مقروءة وواضحة وحق طلب تصحيحها أو تحديثها وطلب إتلاف بياناته لدى جهة التحكم مما انتهت الحاجة إليه.
وألزم تعديلٌ للمادة 8 جهة التحكم عند اختيار جهة المعالجة بأن توفر تلك الجهة الضمانات اللازمة لتنفيذ أحكام النظام واللوائح.
تحديد مدة للوصول للبيانات
وأجاز تعديل آخر في المادة 9 لجهة التحكم تحديد مدد لممارسة حق الوصول إلى البيانات كما يجوز لها تقييد ذلك إذا كان ضرورياً لحماية صاحب البيانات أو غيره أو إذا كان التقييد لأغراض أمنية أو لاستيفاء متطلبات قضائية.
جمع البيانات والتعامل معها
وتناول تعديل على المادة 10 عدم السماح لجهة التحكم بجمع البيانات الشخصية إلا من صاحبها ولا تعالج إلا للغرض الذي جمعت من أجله، إلا أنه يجوز جمعها من غير صاحبها او معالجتها لغرض آخر بموافقة صاحب البيانات أو كانت البيانات متاحة للعموم أو مطلوبة للمصلحة العامة أو لأغراض أمنية أو لتنفيذ نظام آخر أو لمتطلبات قضائية.
سياسة الخصوصية
أوجب تعديل على المادة 12 بجهة التحكم باعتماد سياسة للخصوصية وإتاحتها لأصحاب البيانات للاطلاع على أن تشمل الغرض من جمعها ومحتواها وطريقة جمعها وحفظها ومعالجتها وإتلافها وحقوق صاحبها.
تسرب البيانات
ونص تعديل على المادة 20 بأن تشعر جهة التحكم الجهة المختصة عند علمها بحدوث تسرب للبيانات أو تلفها أو وصول غير مشروع لها، وتشعر صاحب البيانات إذا كان يترتب على ذلك التسرب ضررٌ على بياناته أو يتعارض مع حقوقه أو مصالحه.
نقل البيانات خارج المملكة
أجاز تعديل على المادة 29 لجهة التحكم نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة لأغراض منها تنفيذ التزام بموجب اتفاقية أو خدمة لمصالح المملكة او تنفيذ التزام يكون صاحب البيانات طرفاً فيه، على ألا يترتب على ذلك مساس بالأمن الوطني أو مصالح المملكة الحيوية، وتوفر مستوى مناسب لحماية البيانات في الخارج وأن يكون بالحد الأدنى من البيانات.
الأنشطة وحماية البيانات
وأوضحت المادة 33 بعد تعديلها أن تضع الجهة المختصة اشتراطات ممارسة الأنشطة التجارية أو المهنية أو غير الربحية المرتبطة بحماية البيانات الشخصية في المملكة، وللجهة المختصة الترخيص لجهات تصدر شهادات اعتماد لجهة التحكم وجهة المعالجة، وتضع الجهة المختصة القواعد المنظمة لإصدارها، ولها أن ترخص لمن يتولى التدقيق والفحص لأنشطة معالجة البيانات الشخصية.
وتناول تعديل على المادة 36 تشكيل لجنة لا يقل عدد أعضائها عن 3 أحدهم رئيس ويكون منهم فني ومستشار نظامي للنظر في المخالفات وإيقاع عقوبة الإنذار أو الغرامة حسب جسامة المخالفة.
وحدد تعديل على المادة 37 تولي موظفين أو عاملين صلاحيات الضبط والتفتيش المتعلقة بالمخالفات وفق النظام وأن لهم الاستعانة بجهات الضبط الجنائي لتنفيذ مهمتهم.
كما نصت المادة 43 بعد التعديل على أن يُعمل بالنظام بعد 720 يوماً من التاريخ الذي نُشر به في الجريدة الرسمية.