ما الذي يُعدّ اختراقاً للبيانات بموجب النظام السعودي؟
اختراق البيانات الشخصية بموجب نظام حماية البيانات الشخصية هو أي حادثة تؤدي أو يُرجَّح أن تؤدي إلى وصول غير مصرح به إلى البيانات الشخصية، أو فقدانها، أو إتلافها، أو تعديلها، أو الإفصاح عنها. ويشمل ذلك على سبيل المثال:
- اختراق قاعدة بيانات إحدى الشركات
- إرسال موظف خطأً لبياناتك الشخصية إلى شخص غير مقصود
- فقدان جهاز يحتوي على بيانات شخصية غير مشفرة
- الوصول الداخلي غير المصرح به إلى سجلاتك
المعيار الجوهري هو احتمالية الضرر الواقع عليك بوصفك صاحب البيانات. فليس كل حادثة تقنية تستوجب تلقائياً الإخطار بها، غير أن كل ما من شأنه المساس بمصالحك بصورة واقعية يستدعي ذلك.
---
قاعدة الإخطار خلال 72 ساعة
من أبرز أحكام نظام حماية البيانات الشخصية التي تعنى بحقوق أصحاب البيانات اشتراط الإخطار بالاختراق خلال 72 ساعة. إذ تنص المادة الثالثة عشرة على ما يلي:
- عند وقوع اختراق يُرجَّح أن يتسبب في ضرر، يتعين على المتحكم في البيانات إخطار الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) خلال 72 ساعة من اكتشافه
- يتعين على المتحكم كذلك إخطار أصحاب البيانات المتضررين — بمن فيهم أنت — دون إبطاء غير مبرر، متى كان الاختراق مرجَّحاً أن يُفضي إلى ضرر جسيم
يعني ذلك أنك إذا تعرضت بياناتك للاختراق، ينبغي أن تتلقى إشعاراً من الجهة المسؤولة. ويجب أن يتضمن هذا الإشعار:
- وصفاً لطبيعة الاختراق
- فئات البيانات المتضررة والحجم التقريبي لها
- التداعيات المحتملة للاختراق
- الإجراءات التي تتخذها الجهة لمعالجة الاختراق
- ما يمكنك فعله لحماية نفسك
---
الالتزامات المفروضة على الجهات عقب وقوع الاختراق
عقب وقوع الاختراق، يتعين على المتحكم في البيانات:
- احتواء الاختراق ومنع أي وصول غير مصرح به أو فقدان إضافي للبيانات
- تقييم المخاطر التي يتعرض لها الأفراد المتضررون
- إخطار سدايا خلال 72 ساعة
- إبلاغ الأفراد المتضررين إذا كان الاختراق يُشكّل خطراً جسيماً على حقوقهم ومصالحهم
- توثيق الاختراق — بما يشمل ملابسات الحادثة، والأفراد المتضررين، والإجراءات التصحيحية المتخذة
- التعاون مع سدايا طوال مراحل التحقيق
قد يترتب على الإخفاق في الإخطار أو التعاون عقوبات إضافية جسيمة، تتجاوز تلك المقررة للاختراق ذاته.
---
الخطوات الواجب اتخاذها إذا اشتبهت في تعرض بياناتك للاختراق
إذا كنت تعتقد أن جهة في المملكة العربية السعودية قد تعرضت لاختراق يمس بياناتك:
1. التواصل المباشر مع الجهة المعنية
تواصل مع المتحكم في البيانات — أو مسؤول حماية البيانات المعيَّن لديه إن وُجد — واستفسر عما يلي:
- ما إذا كان قد وقع اختراق
- ما إذا كانت بياناتك قد تأثرت
- الإجراءات المتخذة في هذا الشأن
aطلب الحصول على رد خطي واحتفظ بنسخة منه.
2. مراقبة حساباتك
- ترقَّب أي نشاط غير معتاد على حساباتك المصرفية وبطاقات الائتمان والبريد الإلكتروني
- كن يقظاً لمؤشرات سرقة الهوية، ولا سيما إذا كانت بيانات حساسة كرقم هويتك أو معلوماتك المالية قد تضمنتها الاختراقة
- فكّر في تغيير كلمات المرور الخاصة بالحسابات المرتبطة بالخدمة التي تعرضت للاختراق
3. تقديم شكوى إلى سدايا
إذا أخفقت الجهة في إبلاغك باختراق ملزَمة قانوناً بالإبلاغ عنه، أو لم تتخذ الإجراءات الكافية لحماية مصالحك، يحق لك:
- تقديم شكوى مباشرة إلى سدايا عبر قنواتها الرسمية
- طلب من سدايا التحقق من مدى التزام الجهة بواجبات الإخطار ومتطلبات الأمن
4. الاستعانة بمستشار قانوني
إذا لحق بك ضرر فعلي — سواء أكان خسارة مالية أم ضرراً بالسمعة أم أذىً نفسياً — جراء الاختراق، فإن استشارة محامٍ تُعينك على تقييم ما إذا كانت لديك أسس قانونية لاتخاذ إجراءات إضافية.
---
العقوبات المقررة للجهات التي تُخفق في إدارة الاختراقات بصورة سليمة
تواجه الجهات التي لا تمتثل لمتطلبات الإخطار بالاختراق أو التي تُقصّر في اتخاذ تدابير أمنية كافية العقوبات التالية:
- غرامات مالية تبلغ 5 ملايين ريال سعودي كحد أقصى
- مضاعفة الغرامات إذا تعلق الأمر بـالبيانات الحساسة
- عقوبات جزائية تشمل السجن مدةً تصل إلى سنتين، في حالات الإفصاح المتعمد أو الخبيث عن البيانات الشخصية
- نشر العقوبة علناً، مما قد يُلحق ضرراً جسيماً بسمعة الجهة المخالفة
---
نصائح وقائية عملية للمقيمين الأجانب
- اقتصر على الحد الأدنى الضروري من البيانات الشخصية عند التعامل مع الجهات المختلفة
- استخدم كلمات مرور قوية وفريدة للبوابات الحكومية الإلكترونية السعودية وحسابات الخدمات
- فعّل المصادقة الثنائية كلما أتاحت الخدمة ذلك
- احذر من محاولات التصيد الاحتيالي — إذ قد يستغل المحتالون الاختراقات لانتحال صفة جهات سعودية رسمية
- احتفظ بسجل للجهات التي تحتفظ ببياناتك حتى تعرف من تتواصل معه في حالات الطوارئ