ما المقصود بـ'المتحكم في البيانات' ولماذا يهمك ذلك؟
بموجب نظام حماية البيانات الشخصية، تُسمى كل جهة تحدد كيفية معالجة بياناتك الشخصية والغرض منها المتحكم في البيانات (Controller). وقد تكون هذه الجهة صاحب العمل، أو مستشفى، أو جهة حكومية، أو شركة إدارة عقارات تابعة لمالك العقار، أو أي منشأة تجارية تتعامل معها في المملكة العربية السعودية.
أما المعالج (Processor) فهو طرف ثالث يتولى معالجة البيانات نيابةً عن المتحكم — كشركة معالجة الرواتب أو مزود خدمة التخزين السحابي. ويتحمل كلٌّ من المتحكم والمعالج مسؤوليات قانونية، غير أن المتحكم هو الجهة الأساسية المسؤولة أمامك.
---
المبادئ الجوهرية الواجبة على الجهات الملزمة
يشترط نظام حماية البيانات الشخصية أن تتم معالجة البيانات الشخصية وفق مبادئ صارمة، أبرزها:
- تحديد الغرض: يجب أن تُجمع البيانات لـغرض محدد وواضح ومشروع. ولا يحق للشركة جمع بياناتك لغرض معين ثم استخدامها في غرض مختلف كليًا.
- الحد الأدنى من البيانات: لا يجوز جمع سوى الحد الأدنى من البيانات اللازمة لتحقيق الغرض المحدد، وليس للجهات المعنية المطالبة بمعلومات شخصية مفرطة.
- الدقة: يتعين على المتحكمين اتخاذ الإجراءات الكفيلة بضمان بقاء بياناتك دقيقة ومحدَّثة طوال فترة المعالجة.
- تحديد مدة الاحتفاظ: لا يجوز الاحتفاظ بالبيانات لفترة أطول مما هو ضروري، وبمجرد تحقق الغرض يجب إتلافها بصورة آمنة.
- الأمن والحماية: يجب على الجهات تطبيق تدابير تقنية وتنظيمية لحماية بياناتك من الضياع أو الوصول غير المصرح به أو الاختراق.
---
الأسس المشروعة لمعالجة بياناتك
تحتاج الجهات في الغالب إلى موافقتك لمعالجة بياناتك الشخصية. بيد أن النظام يُجيز المعالجة دون موافقة في حالات بعينها، منها:
- عندما تكون المعالجة ضرورية لحماية المصالح الحيوية (كحالات الطوارئ الطبية)
- عندما تخدم مصلحة عامة مشروعة
- عندما تقتضيها التزامات قانونية
- عندما تكون لازمة لتنفيذ عقد أنت طرف فيه
بوصفك مقيمًا وافدًا، ستصادف ذلك في الغالب في سياقات العمل — إذ قد يعالج صاحب العمل بعض بياناتك لإتمام إجراءات الرواتب أو التأشيرات أو الالتزامات القانونية دون الحاجة إلى موافقة منفصلة على كل إجراء.
---
حماية البيانات بحكم التصميم وبحكم الافتراض المسبق
من أبرز المتطلبات المستقبلية التي أرساها نظام حماية البيانات الشخصية، إلزام المتحكمين بتطبيق مبدأ حماية البيانات بحكم التصميم وبحكم الافتراض المسبق، ويعني ذلك:
- يجب أن تُدمج ضمانات الخصوصية في الأنظمة والإجراءات منذ البداية، لا أن تُضاف لاحقًا
- يجب أن تكون الإعدادات الافتراضية لأي منصة أو خدمة هي الأكثر حمايةً للخصوصية المتاحة
- يتعين على الجهات إجراء تقييم أثر حماية البيانات (DPIA) قبل الشروع في أي معالجة قد تُشكّل مخاطر جسيمة على خصوصيتك
ويكتسب هذا المتطلب أهمية بالغة عند التعامل مع التطبيقات والخدمات الحكومية الرقمية والمنصات الصحية في المملكة العربية السعودية.
---
مسؤول حماية البيانات (DPO)
في حالات بعينها تحددها لوائح الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، يُلزَم بعض الجهات بتعيين مسؤول حماية البيانات (DPO). وتشمل مهام هذا المسؤول:
- تقديم التوجيه الداخلي في شأن الامتثال
- رصد الالتزام بأحكام نظام حماية البيانات الشخصية
- التواصل مع أصحاب البيانات وهيئة سدايا
- تنفيذ برامج التدريب والتوعية
إن كانت لديك مخاوف تتعلق بالبيانات إزاء إحدى الشركات، فإن الاستفسار عما إذا كانت تضم مسؤول حماية بيانات والتواصل معه مباشرةً يُعدّ خطوة عملية أولى.
---
الإفصاح عن بياناتك ومشاركتها مع الغير
لا يحق للجهات الإفصاح عن بياناتك الشخصية لأطراف ثالثة دون موافقتك، إلا إذا انطبق عليها استثناء قانوني محدد. ويعني ذلك:
- لا يحق لصاحب العمل مشاركة بياناتك الشخصية بحرية مع شركات أخرى
- لا يحق للمستشفى إحالة سجلاتك الطبية إلى شركات التأمين دون علمك
- لا يحق للمالك مشاركة بيانات هويتك مع شركات التسويق
إن اكتشفت أن بياناتك قد شُورِكت دون سند قانوني، فإن لك الحق في تقديم شكوى إلى هيئة سدايا.
---
خطوات عملية للمقيمين الوافدين
- اطلب إشعار الخصوصية في كل مرة تشترك فيها بخدمة أو تبدأ عملًا جديدًا في المملكة العربية السعودية
- اشكّك في طلبات البيانات المفرطة — إذا طلبت منك جهةٌ ما معلومات تبدو أكثر مما يقتضيه الأمر، فمن حقك الاستفسار عن مبرر ذلك
- اطلب بياناتك كتابيًا إذا شككت في إساءة استخدامها
- وثّق كل شيء: احتفظ بسجلات نماذج الموافقة وسياسات الخصوصية وأي مراسلات تتعلق ببياناتك
- أبلغ عن المخالفات إلى هيئة سدايا إذا رفضت جهةٌ ما التعاون أو ثبت انتهاكها للنظام بصورة جلية