طرحت الهيئة السعودية للبيانات والذكاء الاصطناعي “سدايا”، تعديلات على اللائحة التنفيذية لنظام حماية البيانات الشخصية، لتعزيز وضوح الإجراءات والضوابط؛ مما يسهل على الجهات والأفراد المعنيين الامتثال لأحكام النظام، ودعم آليات إنفاذ النظام، وتحقيق الهدف الأساسي المتمثل بحماية البيانات الشخصية، وضمان حقوق أصحابها، وتعزيز الثقة في الخدمات القائمة على معالجة البيانات الشخصية.
وشملت التعديلات المطروحة على منصة “استطلاع” لأخذ مرئيات العموم بشأنها تمهيداً لإقرارها، إزالة الفقرة المتعلقة بالتسويق المباشر، المعنية بالتواصل مع صاحب البيانات الشخصية بأي وسيلة مادية أو إلكترونية مباشرة بهدف توجيه مادة تسويقية؛ ويشمل ذلك على سبيل المثال لا الحصر الإعلانات أو العروض الترويجية.
وتمت إضافة مادة جديدة تلزم جهة التحكم بأن تراعي عند إعدادها لسياسة الخصوصية؛ أن تتم صياغتها بلغة واضحة ومبسطة ومفهومة تراعي مستويات الفهم المختلفة بين فئات أصحاب البيانات الشخصية، وأن تتوافق مع اللغة المستخدمة في سياق تقديم الخدمات، أو المنتجات لمختلف فئات أصحاب البيانات الشخصية المستهدف معالجة بياناتهم من خلال ذلك.
وأدخلت تعديلات على الفقرة المتعلقة بمعالجة البيانات الشخصية لأغراض إرسال المواد الدعائية أو التوعوية، حيث ألزمت جهة التحكم بالحصول على موافقة المتلقي المستهدف، على أن تصدر الموافقة بإرادة حرة، وألّا تُستخدم أي طرق مُضللة في سبيل الحصول عليها. وتمكين المتلقي من تخصيص الخيارات المتعلقة بالمواد الدعائية أو التوعوية محل الموافقة. وتوثيق موافقة المتلقي المستهدف بوسائل تتيح التحقق منها مستقبلاً.
وفيما يتعلق بمعالجة البيانات الشخصية للأغراض التسويقية، ألزمت التعديلات جهة التحكم بالحصول على موافقة صاحب البيانات الشخصية وفقاً لأحكام هذه اللائحة. وتوفير آلية تمكّن صاحب البيانات الشخصية من العدول عن موافقته. وفي حال عدول صاحب البيانات الشخصية عن موافقته على معالجة البيانات الشخصية للأغراض التسويقية، فيكون على جهة التحكم التوقف دون تأخير غير مبرر.
وعلى جهة التحكم تزويد الجهة المختصة ببيانات التواصل الخاصة بمسؤول حماية البيانات الشخصية فور تعيينه من خلال المنصة الخاصة بالجهة المختصة، وتحديث بياناته عند تغييره.
ويتولى مسؤول حماية البيانات الشخصية في جهة التحكم متابعة التطبيق السليم لأحكام نظام حماية البيانات الشخصية ولوائحه التنفيذية. ويشمل ذلك مراقبة الإجراءات الداخلية المعمول بها والإشراف عليها، بالإضافة إلى استقبال الطلبات المنصوص عليها في النظام.
وتتضمن مهام مسؤول حماية البيانات الشخصية، العمل كمسؤول اتصال مباشر مع الجهة المختصة، وتنفيذ قراراتها وتعليماتها فيما يتصل بتطبيق أحكام النظام ولوائحه. وتقديم الدعم والمشورة داخل جهة التحكم بشأن كيفية تطبيق هذه الأحكام، ورفع الوعي.
كما يقع على عاتقه، مسؤولية تمكين أصحاب البيانات من ممارسة حقوقهم التي نص عليها النظام. وفي الحالات التي قد تشهد تسربًا للبيانات الشخصية، يكون ملزمًا بإشعار الجهة المختصة. كما يتولى مسؤولية الرد على الطلبات المقدمة من أصحاب البيانات، وكذلك الرد على الجهة المختصة في الشكاوى المقدمة وفقاً لأحكام النظام واللائحة.
ومن المهام الأخرى لمسؤول حماية البيانات الشخصية متابعة عمليات قيد وتحديث سجلات أنشطة معالجة البيانات الشخصية لدى جهة التحكم. ومعالجة أي مخالفات تتعلق بالبيانات الشخصية، واتخاذ الإجراءات التصحيحية اللازمة .
أخيرًا، يشرف مسؤول حماية البيانات الشخصية على إجراءات تقويم الأثر لضوابط حماية البيانات الشخصية، وتقارير المراجعة والتدقيق المتعلقة بها. وتوثيق نتائج التقويم وتقديم التوصيات اللازمة.
وتمت إضافة مادة تتعلق بزمن الاستجابة للطلبات، حيث ألزمت جهة التحكم بالاستجابة على الطلبات التي تحيلها إليها الجهة المختصة في شأن تطبيق أحكام النظام واللوائح خلال مدة لا تزيد على 10 أيام عمل من تاريخ استقبال كل طلب.
وحذف التعديل الفقرة التي تنص على التالي: “لصاحب البيانات الشخصية تقديم شكوى إلى الجهة المختصة خلال مدة لا تتجاوز (90) يوماً من تاريخ الحادثة محل الشكوى أو علم صاحب البيانات الشخصية بها، وللجهة المختصة تقدير قبول الشكوى من عدمه بعد تجاوز هذه المدة في الحالات التي يتبين لها وجود أسباب واقعية منعت صاحب البيانات الشخصية من تقديم شكواه خلال هذه الفترة”.
