طرحت الهيئة السعودية للبيانات والذكاء الاصطناعي، دليل إعداد القواعد المُشتركة المُلزِمة لنقل البيانات الشخصية، عبر منصة ”استطلاع“، بهدف وضع آلية لإعداد القواعد المشتركة الملزمة عند نقل البيانات الشخصية إلى خارج المملكة لدولة أو منظمة دولية ليست ضمن قائمة الدول أو المنظمات الدولية التي توفر مستوى مناسب لحماية البيانات.
وحددت الهيئة متطلبات القواعد المشتركة، حيث يجب على مجموعة الجهات التأكد من تضمين ما يتعلق بحقوق أصحاب البيانات الشخصية والمطالبة بالتعويض عن الضرر الناتج عن انتهاك هذه الحقوق.
حقوق المستفيد والشفافية.. أبرز القواعد المُشتركة المُلزِمة لنقل البيانات الشخصية- مشاع إبداعي
وتضمن القواعد المشتركة المُلزِمة قدرة أصحاب البيانات الشخصية على ممارسة حقوقهم المنصوص عليها في النظام واللوائح من خلال توفير آليات واضحة لمعالجة الشكاوى والتعويض، إذ يتم إبلاغ أصحاب البيانات بحقوقهم من خلال إشعارات الخصوصية وتوضيح آلية التواصل مع مسؤول حماية البيانات الشخصية لتمكينهم من ممارسة تلك الحقوق، وتتضمن القواعد المشتركة المُلزِمة أحكاماً لحل النزاعات والتعاون مع الجهة المختصة وفقاً للنظام الحاكم والاختصاص القضائي المنصوص عليه في هذا الدليل.
وأكدت اللائحة على الشفافية في القواعد المشتركة الملزمة وصف لوسائل التواصل والقنوات المستخدمة لجعل القواعد المُلزِمة في متناول أصحاب البيانات الشخصية.
حقوق المستفيد والشفافية.. أبرز القواعد المُشتركة المُلزِمة لنقل البيانات الشخصية- مشاع إبداعي
وألزمت اللائحة ”الجهات“ بالتعاون مع الجهة المختصة والالتزام بجميع طلباتها لضمان الالتزام بالقواعد المشتركة الملزمة، وتلتزم الجهة المستوردة للبيانات بالإجابة على جميع الاستفسارات الواردة من الجهة المختصة وتقديم الوثائق والمعلومات اللازمة لها عند طلبها.
وأوجبت أن تكون القواعد مُلزمة قانونياً على كل عضو داخل مجموعة الجهات وأن توفر معياراً ثابتاً لحماية البيانات الشخصية، ويجب على كل عضو في المجموعة التي تتلقى البيانات الشخصية ذات الصلة بأن تلتزم بالأحكام المنصوص عليها في النظام واللوائح.
وألزمت بإعداد سياسات مفصلة بشأن حماية البيانات الشخصية وحقوق أصحابها والتدابير الأمنية وبرامج التدقيق وآليات التعامل مع حوادث تسرب البيانات الشخصية والشكاوى.
حقوق المستفيد والشفافية.. أبرز القواعد المُشتركة المُلزِمة لنقل البيانات الشخصية- مشاع إبداعي
وتتضمن الاشتراطات أيضًا تزويد الجهة المختصة - عند طلبها - ما يثبت التزامها بالقواعد المشتركة المُلزِمة والنظام واللوائح، ووضع خطة سريعة وفعالة للاستجابة لحوادث تسرب البيانات الشخصية أو تلفها أو الوصول غير المشروع لها.
حقوق المستفيد والشفافية.. أبرز القواعد المُشتركة المُلزِمة لنقل البيانات الشخصية- مشاع إبداعي
وأكد اللائحة على تحديد نوع أو فئات البيانات الشخصية التي سيتم نقلها وتغطيتها ويجب أن يتضمن ذلك وصفاً واضحاً لأنواع البيانات، مثل: ”بيانات الائتمان“، والبيانات الصحية ”، والبيانات الجينية“، على سبيل المثال: البيانات الصحية، بما في ذلك سجلات المرضى والتاريخ الطبي.
وأوضحت أنه من ضمن المتطلبات الوصفية، تحديد فئات وأعراض أصحاب البيانات الذين سيتم نقل بياناتهم الشخصية، مثل مستخدمي الويب أو الموظفين، أو العميل.
وشددت اللائحة على تحديد الدول المراد نقل البيانات الشخصية إليها والتأكد من تحديد كل دولة بدقة، وتحديد عدد مرات نقل، وذكر أي ترتيبات تعاقدية بالتفصيل تتعلق باستخدام جهات المعالجة والتزامها بالقواعد المشتركة الملزمة، والمستندات الإضافية التي سيتم تقديمها كملحق.
وحددت الهيئة متطلبات القواعد المشتركة، حيث يجب على مجموعة الجهات التأكد من تضمين ما يتعلق بحقوق أصحاب البيانات الشخصية والمطالبة بالتعويض عن الضرر الناتج عن انتهاك هذه الحقوق.
حقوق المستفيد
ونبهت ”الهيئة“ على حقوق المستفيد من الطرف الثالث للتعاقد: مثل وصف الإجراءات المتخذة التي تمكن أصحاب البيانات الشخصية من ممارسة حقوقهم والمطالبة بالتعويض، وتضمين تفاصيل حول كيفية مراعاة هذه الحقوق وكيفية المطالبة بالتعويض لأصحاب البيانات الشخصية عند انتهاك حقوقهم.وتضمن القواعد المشتركة المُلزِمة قدرة أصحاب البيانات الشخصية على ممارسة حقوقهم المنصوص عليها في النظام واللوائح من خلال توفير آليات واضحة لمعالجة الشكاوى والتعويض، إذ يتم إبلاغ أصحاب البيانات بحقوقهم من خلال إشعارات الخصوصية وتوضيح آلية التواصل مع مسؤول حماية البيانات الشخصية لتمكينهم من ممارسة تلك الحقوق، وتتضمن القواعد المشتركة المُلزِمة أحكاماً لحل النزاعات والتعاون مع الجهة المختصة وفقاً للنظام الحاكم والاختصاص القضائي المنصوص عليه في هذا الدليل.
وأكدت اللائحة على الشفافية في القواعد المشتركة الملزمة وصف لوسائل التواصل والقنوات المستخدمة لجعل القواعد المُلزِمة في متناول أصحاب البيانات الشخصية.
وألزمت اللائحة ”الجهات“ بالتعاون مع الجهة المختصة والالتزام بجميع طلباتها لضمان الالتزام بالقواعد المشتركة الملزمة، وتلتزم الجهة المستوردة للبيانات بالإجابة على جميع الاستفسارات الواردة من الجهة المختصة وتقديم الوثائق والمعلومات اللازمة لها عند طلبها.
وأوجبت أن تكون القواعد مُلزمة قانونياً على كل عضو داخل مجموعة الجهات وأن توفر معياراً ثابتاً لحماية البيانات الشخصية، ويجب على كل عضو في المجموعة التي تتلقى البيانات الشخصية ذات الصلة بأن تلتزم بالأحكام المنصوص عليها في النظام واللوائح.
وألزمت بإعداد سياسات مفصلة بشأن حماية البيانات الشخصية وحقوق أصحابها والتدابير الأمنية وبرامج التدقيق وآليات التعامل مع حوادث تسرب البيانات الشخصية والشكاوى.
حماية البيانات
واشترطت على جهة التحكم موافقة الجهة المختصة مراجعة القواعد المشتركة المُلزِمة «BCR» وتحديثها بانتظام لضمان الالتزام بأحكام النظام واللوائح، والتأكد من الاحتفاظ بالتغييرات السابقة، على أن لا يخل ذلك بالحماية الممنوحة لأصحاب البيانات الشخصية بموجب القواعد المشتركة المُلزِمة.وتتضمن الاشتراطات أيضًا تزويد الجهة المختصة - عند طلبها - ما يثبت التزامها بالقواعد المشتركة المُلزِمة والنظام واللوائح، ووضع خطة سريعة وفعالة للاستجابة لحوادث تسرب البيانات الشخصية أو تلفها أو الوصول غير المشروع لها.
وأكد اللائحة على تحديد نوع أو فئات البيانات الشخصية التي سيتم نقلها وتغطيتها ويجب أن يتضمن ذلك وصفاً واضحاً لأنواع البيانات، مثل: ”بيانات الائتمان“، والبيانات الصحية ”، والبيانات الجينية“، على سبيل المثال: البيانات الصحية، بما في ذلك سجلات المرضى والتاريخ الطبي.
وأوضحت أنه من ضمن المتطلبات الوصفية، تحديد فئات وأعراض أصحاب البيانات الذين سيتم نقل بياناتهم الشخصية، مثل مستخدمي الويب أو الموظفين، أو العميل.
وشددت اللائحة على تحديد الدول المراد نقل البيانات الشخصية إليها والتأكد من تحديد كل دولة بدقة، وتحديد عدد مرات نقل، وذكر أي ترتيبات تعاقدية بالتفصيل تتعلق باستخدام جهات المعالجة والتزامها بالقواعد المشتركة الملزمة، والمستندات الإضافية التي سيتم تقديمها كملحق.