حماية البيانات الشخصية في المملكة العربية السعودية، الاتحاد الأوروبي والمملكة المتحدة البريطانية: دراسة مقارنة

Abstract: The Saudi Personal Data Protection policy is relatively new. It has been into effect on 15/09/2021. Then it has been revised on 30/03/2023. The purpose of this study is to shed light on the Saudi policy of personal data protection. By conducting a comparison between the Saudi Personal Data Protection policy with the European and British General Data Protection Regulations (GDPR), this paper aims to illustrate what are there in place in the European policies not yet in the Saudi. This will help identify the gabs in the Saudi policy and how those gabs are to be addressed. This makes the Saudi policy always proactive as it is going to be in alignment with scientific and technological progresses and advances. This paper undertook a literature review and visited policy and guidance documents by the relevant Saudi governmental agencies. Findings show that there are some points the Saudi Personal Data Protection does not cover such as Privacy by design and privacy impact assessment. In addition, since personal data protection and cybersecurity are new to the Kingdom of Saudi Arabia, most organizations perform without relevant policies and without hiring a dedicated personal data protection officer.  This paper highlights these points and their vital role in compliance and risks management. This paper recommends considering Privacy in Design and Default, every organization has to create their own personal data protection policy and hire a dedicated officer for that. This paper also presents the tool of Privacy Impact Assessment to support evaluating personal data protection related matters.  

Keywords: Personal Data Controller, Personal Data Processor, General Data Protection Principles, Fair Processing, Data Subject Rights, Privacy in Design and Default, General Data Protection Regulations (GDPR), Privacy Impact Assessment (PIA).

المستخلص: يعتبر نظام حماية البيانات الشخصية في المملكة العربية السعودية حديثاَ؛ فقد صدرت الموافقة عليه وأقر في 09/02/1443 وجرى تعديل نظام حماية البيانات الشخصية السعودي في 5/9/1444ه برقم (م/148). والغرض من هذه الدراسة هو التعرف على سياسة حماية البيانات الشخصية السعودية وأهميتها والجهات الراعية لها والمسؤولة عنها. والتعرف أيضاَ على الطريقة والأدوات التي تتبعها السياستين الأوروبية والبريطانية لضمان تطبيق القانون ومواكبة التقدم العلمي والتقني ومقارنتها بالأدوات السعودية بغية التطوير والتحديث اللازم في هذا المجال الحساس. لم تعتمد هذه الدراسة على استعراض الدراسات السابقة فقط، إنما استعانت بوثائق الجهات الحكومية الراعية لسياسة حماية البيانات الشخصية التي تشرح وتفسر القوانين ذات الصلة. تشير النتائج الى أن السياسة السعودية لم تتطرق الى موضوع Privacy in Design and Default أو خصوصية البيانات منذ المراحل الأولي لعملية تصميم قواعد البيانات والمواقع الإلكترونية وتطبيقات الأجهزة الذكية التي تعتمد في عملها على جمع البيانات الشخصية ومعالجتها وحفظها ومشاركتها مع الغير وأرشفتها. وأيضاً، نتيجة لحداثة عمر سياسة البيانات الشخصية والأمن السيبراني في المملكة العربية السعودية، افتقار أغلب المنظمات الحكومية وغيرها إلى سياسة لحماية البيانات الشخصية وعدم وجود مختص أو مسؤول عن سياسة حماية البيانات الشخصية. وأوصت هذه الدراسة المشرع في المملكة العربية السعودية على إدراج هذا الإجراء Privacy in Design and Default  وجعله من الأولويات حيث أنه يسلط الضوء على كيفية ومستوى حماية وصيانة البيانات الشخصية وحث جميع المنظمات الى إنشاء سياسة لحماية البيانات الشخصية وتوظيف من لدية الكفاءة لمتابعة الأعمال والقيام بالتحديثات الازمة. ولكي نصل الى المستوى المطلوب، قدمت هذه الورقة أداة تقييم الأثر على الخصوصية أو ما يسمى Privacy Impact Assessment  وبعض الإجراءات الإدارية المعينة على تنفيذ القانون بالشكل الصحيح.

الكلمات المفتاحية: البيانات الشخصية، جهة التحكم، الجهة المعالجة، المبادئ العامة، المعالجة العادلة، حقوق أصحاب البيانات الشخصية، الخصوصية منذ التصميم، قانون حماية البيانات الشخصية الأوروبي، تقييم المخاطر