طرحت الهيئة السعودية للبيانات والذكاء الاصطناعي، البنود التعاقدية القياسية لنقل البيانات الشخصية، عبر منصة ”استطلاع“؛ بهدف وضع بنود تعاقدية قياسية عند نقل البيانات الشخصية إلى خارج المملكة لدولة أو منظمة دولية ليست ضمن قائمة الدول أو المنظمات الدولية التي توفر مستوى مناسب لحماية البيانات.
وحددت الوثيقة 10 قواعد للبنود التعاقدية الأساسية، تتضمن توفير حماية للبيانات الشخصية وضمان عدم نقلها وفق أحكام النظام أو الإفصاح عنها لجهات خارج المملكة من الجهة المصدرة للبيانات إلى الجهة المستوردة للبيانات.
وحظرت نقل البيانات الشخصية بموجب البنود التعاقدية القياسية، إذا كانت القوانين والقواعد في الدولة المتلقية أو المنظمة الدولية تمنع الجهة المستوردة للبيانات من الالتزام بالبنود التعاقدية القياسية.
وتتضمن القواعد أن تحدد البنود التعاقدية القياسية العناصر التي يمكن تضمينها في عقد أو اتفاقية بين الجهة المصدرة للبيانات والجهة المستوردة للبيانات أو وضعها في عقد أو اتفاقية مستقلة.
وأكد ”الوثيقة“ على أنه يجب ألا يخل اعتماد البنود التعاقدية القياسية بالتزامات الأطراف بموجب النظام واللوائح عند معالجة البيانات الشخصية.
وفي حال تضمين البنود التعاقدية القياسية في عقد أو اتفاقية، يجب ألا يتعارض أي شرط أو حكم صريح أو ضمني في هذا العقد أو الاتفاقية مع البنود التعاقدية القياسية أو يحد من نطاق تطبيقها أو الحماية المتوقعة منها، بالإضافة إلى أحقية الأطراف المتعاقدة في تضمين أي شروط إضافية تتعلق بمعالجة البيانات الشخصية، على ألا تتعارض هذه الشروط الإضافية مع أو تقوض أياً من متطلبات البنود التعاقدية القياسية أو النظام واللوائح.
وأتاحت الهيئة أن تشمل البنود التعاقدية القياسية أكثر من طرفين، لذا يمكن لجهات التحكم وجهات المعالجة الإضافية الانضمام إلى هذه البنود كجهات مُصدرة أو جهات مُستوردة للبيانات بحسب طبيعة دورها طوال مدة سريان العقد.
10 قواعد لحماية البيانات الشخصية.. حظر النقل للمنظمات غير الملتزمة بالبنود القياسية
ووفقا للوثيقة تخضع الجهة المستوردة للبيانات للاختصاص القضائي في المملكة، وتتعهد بالالتزام وتنفيذ أي قرار ملزم بموجب أنظمة المملكة المعمول بها.
وألزمت الوثيقة الجهة المستوردة للبيانات بالموافقة على الاستجابة لطلبات الجهة المختصة والتعاون معها في إجراءات التدقيق ومتابعة الالتزام بالتدابير المعتمدة لديها، بما في ذلك التدابير والإجراءات التصحيحية والتأكيد كتابياً للجهة المختصة بأنه تم اتخاذ الإجراءات اللازمة.
10 قواعد لحماية البيانات الشخصية.. حظر النقل للمنظمات غير الملتزمة بالبنود القياسية
وأقرّت الهيئة سياسة التعويض في حال نشأ أي نزاع بين صاحب البيانات الشخصية وأحد الأطراف فيما يتعلق بالالتزام بالبنود التعاقدية القياسية، يبذل هذا الطرف جميع الوسائل اللازمة لتسوية النزاع ودياً مع صاحب البيانات الشخصية، على أن يبلغ جميع الأطراف بعضهم بوجود هذا النزاع لضمان تسويته بالتعاون فيما بينهم.
وأجازت لصاحب البيانات الشخصية التقدم إلى الجهة المختصة بأي شكوى ناشئة عن تطبيق أحكام هذه البنود التعاقدية القياسية، وذلك وفق إجراءات تقديم الشكاوى المحددة من قبل الجهة المختصة.
وبحسب الوثيقة يحق المطالبة أمام المحكمة المختصة بالتعويض عن الضرر المادي أو المعنوي بما يتناسب مع حجم الضرر الناشئ من تطبيق هذه البنود التعاقدية القياسية.
وشددت الهيئة على أن يتخذ جميع الأطراف التدابير التنظيمية والإدارية والتقنية اللازمة للحفاظ على خصوصية أصحاب البيانات وأمن البيانات الشخصية والحماية من أي انتهاك في جميع مراحل المعالجة، بما في ذلك أمن البيانات أثناء عملية النقل.
وحددت الوثيقة 10 قواعد للبنود التعاقدية الأساسية، تتضمن توفير حماية للبيانات الشخصية وضمان عدم نقلها وفق أحكام النظام أو الإفصاح عنها لجهات خارج المملكة من الجهة المصدرة للبيانات إلى الجهة المستوردة للبيانات.
وحظرت نقل البيانات الشخصية بموجب البنود التعاقدية القياسية، إذا كانت القوانين والقواعد في الدولة المتلقية أو المنظمة الدولية تمنع الجهة المستوردة للبيانات من الالتزام بالبنود التعاقدية القياسية.
10 قواعد لحماية البيانات الشخصية.. حظر النقل للمنظمات غير الملتزمة بالبنود القياسية
قواعد نقل البيانات
وتتضمن القواعد أن تحدد البنود التعاقدية القياسية العناصر التي يمكن تضمينها في عقد أو اتفاقية بين الجهة المصدرة للبيانات والجهة المستوردة للبيانات أو وضعها في عقد أو اتفاقية مستقلة.وأكد ”الوثيقة“ على أنه يجب ألا يخل اعتماد البنود التعاقدية القياسية بالتزامات الأطراف بموجب النظام واللوائح عند معالجة البيانات الشخصية.
وفي حال تضمين البنود التعاقدية القياسية في عقد أو اتفاقية، يجب ألا يتعارض أي شرط أو حكم صريح أو ضمني في هذا العقد أو الاتفاقية مع البنود التعاقدية القياسية أو يحد من نطاق تطبيقها أو الحماية المتوقعة منها، بالإضافة إلى أحقية الأطراف المتعاقدة في تضمين أي شروط إضافية تتعلق بمعالجة البيانات الشخصية، على ألا تتعارض هذه الشروط الإضافية مع أو تقوض أياً من متطلبات البنود التعاقدية القياسية أو النظام واللوائح.
وأتاحت الهيئة أن تشمل البنود التعاقدية القياسية أكثر من طرفين، لذا يمكن لجهات التحكم وجهات المعالجة الإضافية الانضمام إلى هذه البنود كجهات مُصدرة أو جهات مُستوردة للبيانات بحسب طبيعة دورها طوال مدة سريان العقد.
ووفقا للوثيقة تخضع الجهة المستوردة للبيانات للاختصاص القضائي في المملكة، وتتعهد بالالتزام وتنفيذ أي قرار ملزم بموجب أنظمة المملكة المعمول بها.
وألزمت الوثيقة الجهة المستوردة للبيانات بالموافقة على الاستجابة لطلبات الجهة المختصة والتعاون معها في إجراءات التدقيق ومتابعة الالتزام بالتدابير المعتمدة لديها، بما في ذلك التدابير والإجراءات التصحيحية والتأكيد كتابياً للجهة المختصة بأنه تم اتخاذ الإجراءات اللازمة.
التزام بالبنود
ونصّت الوثيقة على أنه في حال تبين للجهة المصدرة للبيانات أن الجهة المستوردة للبيانات ليست قادرة أو لم تعد قادرة على الوفاء بالالتزامات المنصوص عليها في هذه البنود، أو قامت الجهة المستوردة للبيانات بإشعار الجهة المصدرة للبيانات في حال وجد سبب يستدعي الاعتقاد بعدم القدرة على الوفاء بالالتزامات المنصوص عليها في هذه البنود، فيجب على الجهة المصدرة للبيانات تعليق عمليات النقل ما لم تعتمد تدابير أو ضمانات بديلة تستوفي المتطلبات المنصوص عليها في النظام واللوائح.وأقرّت الهيئة سياسة التعويض في حال نشأ أي نزاع بين صاحب البيانات الشخصية وأحد الأطراف فيما يتعلق بالالتزام بالبنود التعاقدية القياسية، يبذل هذا الطرف جميع الوسائل اللازمة لتسوية النزاع ودياً مع صاحب البيانات الشخصية، على أن يبلغ جميع الأطراف بعضهم بوجود هذا النزاع لضمان تسويته بالتعاون فيما بينهم.
وأجازت لصاحب البيانات الشخصية التقدم إلى الجهة المختصة بأي شكوى ناشئة عن تطبيق أحكام هذه البنود التعاقدية القياسية، وذلك وفق إجراءات تقديم الشكاوى المحددة من قبل الجهة المختصة.
وبحسب الوثيقة يحق المطالبة أمام المحكمة المختصة بالتعويض عن الضرر المادي أو المعنوي بما يتناسب مع حجم الضرر الناشئ من تطبيق هذه البنود التعاقدية القياسية.
وشددت الهيئة على أن يتخذ جميع الأطراف التدابير التنظيمية والإدارية والتقنية اللازمة للحفاظ على خصوصية أصحاب البيانات وأمن البيانات الشخصية والحماية من أي انتهاك في جميع مراحل المعالجة، بما في ذلك أمن البيانات أثناء عملية النقل.