يُعتبر “نظام حماية البيانات الشخصية” أوّل قانون شامل لحماية البيانات في المملكة العربية السعودية. يهدف النظام إلى حماية الخصوصية الفردية من خلال تنظيم عملية جمع البيانات الشخصية ومعالجتها والإفصاح عنها والاحتفاظ بها. يُقدِّم هذا النظام إطاراً مُفصَّلاً يشمل معايير معالجة البيانات، وحقوق أصحاب البيانات، والتزامات الهيئات المعنيّة عند معالجة البيانات الشخصية، والسيادة على البيانات، والعقوبات في حالات عدم الامتثال.
أظهرَ تحليلُنا لـ”نظام حماية البيانات الشخصية” أنّه يبدو منسجماً مع المعايير الدولية في نواحٍ معيّنة، لكنَّ بعض المواد مثيرة للقلق وتحتوي على ثغرات قد تسمح بانتهاك الحقّ في الخصوصية وحماية البيانات. لا تكمُن المشكلة في نصّ القانون بحدّ ذاته بل في إمكانية تطبيقه وتنفيذه في المملكة العربية السعودية، نظراً للحُكم القمعي في البلاد.
نُفِّذَ النظام بموجب المرسوم الملكي رقم م/19 تاريخ 1443/2/9هـ في 16 أيلول/سبتمبر 2021، وهو مرسوم ينصّ على الموافقة على القرار رقم 98 بتاريخ 1443/2/7هـ المُقترَح في 14 أيلول/سبتمبر 2021. ونُشِرَ في الجريدة الرسمية في 24 أيلول/سبتمبر 2021. يُعمَل بالنظام بعد 180 يوماً من تاريخ نشره في الجريدة الرسمية (المادّة 43 من النظام)، في 23 آذار/مارس 2022. تُشرِف “الهيئة السعودية للبيانات والذكاء الاصطناعي” على تنفيذ هذا النظام خلال أوّل عامَيْن. وبعد ذلك، يتولّى “مكتب إدارة البيانات الوطنية” الإشراف على تنفيذه.
كيف يُقارَن النظام بالمعايير الدولية؟
يتضمّن “نظام حماية البيانات الشخصية” السعودي معظم المعايير الدولية الأساسية في مجال حماية البيانات، ومنها على سبيل المثال: حقوق أصحاب البيانات، والأساس القانوني لمعالجة البيانات (الخاضعة وغير الخاضعة للموافقة)، ومتطلّبات سياسات الخصوصية، وواجب الإبلاغ في حال انتهاك خصوصية البيانات، وضرورة تقييم الأثر قبل معالجة البيانات الشخصية، والأحكام المحدّدة بشأن البيانات الصحّية، وبيانات الائتمان، والتزامات جهات التحكُّم وإجراءات العناية الواجبة، وإنشاء جهة مشرفة، والعقوبات في حالات الانتهاكات؛ والقائمة تطول.
تتوافق العديد من خصائص “نظام حماية البيانات الشخصية” السعودي مع المعايير والمبادئ الواردة في قوانين حماية البيانات الدولية الأخرى، مثل “اللائحة العامّة الأوروبية لحماية البيانات” 2016/679 (GDPR)، أي اللائحة التي ينصّ عليها قانون الاتّحاد الأوروبي حول حماية البيانات والخصوصية في الاتّحاد الأوروبي والمنطقة الاقتصادية الأوروبية. نُوضّح في الجدول أدناه الاختلافات بين “النظام السعودي لحماية البيانات الشخصية” و”اللائحة العامّة الأوروبية لحماية البيانات” التي تُعتبَر معياراً دولياً. تُوفِّر “اللائحة العامّة الأوروبية لحماية البيانات” أوسع حماية للبيانات الشخصية ولها تأثير مهمّ على القوانين واللوائح خارج الاتّحاد الأوروبي، إذ أنَّ التشريعات الناشئة تستند إلى اللائحة الأوروبية كـ”نقطة انطلاق” للقوانين التي تنصّ عليها.
وبالعودة إلى “نظام حماية البيانات الشخصية” السعودي، يبدو أنَّ هناك فترة انتقالية مدّتها 18 شهراً قبل أن يصبح سارياً بالكامل على الهيئات المحلّية، ولمدّةٍ أطول من ذلك للمنظّمات التي يقع مقرُّها خارج المملكة. وينبغي إصدار تفاصيل وتوجيهات إضافية في الفترة التي تسبق دخول نظام حماية البيانات الشخصية حيّز التنفيذ.
يُشكِّل هذا النظام خطوةً مهمّة إلى الأمام في مجال حماية البيانات، ونقطة انطلاق للمملكة العربية السعودية.
ولكنْ، تُعتبَر بعض المواد والاستثناءات المتعلّقة بالأمن، الإضافة إلى سمعة المملكة والعلاقات الدبلوماسية للمملكة، ومصادر المعلومات السرّية والاستثناءات المتعلّقة بالسلطات العامّة، وغيرها من الاعتبارات، من الأمور المثيرة للقلق بسبب غموضها. هذه الاستثناءات والثغرات، إلى جانب سجلّ المملكة السيء في حقوق الإنسان وممارساتها في مجال المراقبة، تبدو كمحاولةٍ أخرى للسيطرة على الفضاء الرقمي.
وحتّى لو بدا النظام “جيّداً على الورق”، تبقى العبرة في طريقة تنفيذه.
نعتقد أنَّ هذا النظام قد أُقِرَّ من أجل استقطاب الشركات الدولية، لا سيماتلك التي تعمل في مجال التقنيات الجديدة، ولمواكبة دول الخليج الأخرى، مثل الإمارات العربية المتّحدة.
(لتنزيل الجدول بصيغة PDF، انقروا هنا.)
| المادّة 2 | نطاق القانون: ينطبق نظام حماية البيانات الشخصية على جميع عمليات المعالجة في المملكة العربية السعودية وعلى جميع الأفراد الذين يعيشون في المملكة العربية السعودية (حتّى لو كانَت هذه المعالجة عبر جهة موجودة في الخارج)، بما في ذلك البيانات الشخصية للأفراد المتوفّين، على عكس قوانين حماية البيانات الدولية الأخرى. |
| المادّة 3 | تنصّ هذه المادّة على أنَّ الأولوية تُعطى للنظام القانوني الأكثر “حمايةً” للبيانات الشخصية (قرار قضائي، نظام قانوني آخر، معاهدة دولية تكون المملكة العربية السعودية طرفاً فيها). |
| المادّتان 4 و5 | حقوق صاحب البيانات: من حقّ أصحاب البيانات أن يتمّ إبلاغهم بمعالجة البيانات الشخصية والمُسوِّغ القانوني لهذه المعالجة، كما لهم الحقّ في الوصول إلى بياناتهم الشخصية (بما في ذلك الحقّ في الحصول على نسخة مجانية)، والحقّ في تصحيح أو تحديث بياناتهم الشخصية، والحقّ في طلب إتلافها متى انتهت الحاجة إليها، مع مراعاة بعض الاستثناءات. يمكن لأصحاب البيانات أيضاً تقديم شكاوى إلى الهيئة التنظيمية حول كيفية تنفيذ نظام حماية البيانات الشخصية. ويحقّ لأصحاب البيانات سحب موافقتهم على معالجة البيانات الشخصية في أيّ وقت. |
| المادّة 6 | المعالجة غير الخاضعة للموافقة: بغضّ النظر عن الأحكام المتعلّقة بسحب الموافقة، يوضح نظام حماية البيانات الشخصية أنَّ معالجة البيانات لا تتطلّب دائماً موافقة صاحب البيانات. فالموافقة غير ضرورية في الحالات التالية: عندما تُحقِّق المعالجة مصلحةً واضحة لصاحب البيانات وإذا كانَ الاتّصال به متعذّراً أو صعباً، وعندما تكون المعالجة بمقتضى نظام آخر أو تنفيذاً لاتّفاق سابق يكون صاحب البيانات الشخصية طرفاً فيه؛ وإذا كانت جهة التحكُّم جهةً عامّة وكانت تلك المعالجة مطلوبة لأغراض أمنية أو لاستيفاء متطلّبات قضائية (جهة التحكُّم: الشخص الطبيعي أو الاعتباري، أو السلطة العامّة، أو أيّ وكالة أو هيئة أخرى تُحدِّد بمفردها أو بالاشتراك مع آخرين، أغراض ووسائل معالجة البيانات الشخصية). |
| المادّة 8 | على جهة التحكُّم، عند اختيارها جهة المعالجة، أن تلتزم باختيار الجهة التي تُوفِّر الضمانات اللازمة لتنفيذ أحكام النظام واللوائح، وعليها التحقُّق من التزام تلك الجهة بالتعليمات والإرشادات التي تُوجِّهُها إليها فيما يتعلّق بحماية البيانات الشخصية. ولا يخلّ ذلك بمسؤولياتها تجاه الجهة المختصّة وصاحب البيانات الشخصية. |
| المادّة 9 | يجوز لجهة التحكُّم تحديد مدّة زمنية لممارسة حقّ الوصول إلى البيانات الشخصية إذا: كانَ ذلك ضرورياً لحماية صاحب البيانات الشخصية أو غيره من أيّ ضرر؛ وإذا كانت جهة التحكُّم جهةً عامّة وكانَ التقييد مطلوباً لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلّبات قضائية. وتنطبق القيود نفسها في المادّة 23 من اللائحة العامّة الأوروبية لحماية البيانات، لكنَّ هذه اللائحة تُوفِّر المزيد من الاستثناءات والأحكام للحدّ من الحقّ في الوصول إلى البيانات الشخصية. |
| المادّة 10 | ينبغي أن يكون جمع البيانات مباشراً: من صاحب البيانات. يقبل النظام جمع البيانات بطريقة غير مباشرة ولكنْ في بعض الحالات المحصورة فقط. ويجوز معالجة هذه البيانات لغرض آخر غير الذي جُمِعَت من أجله. تُحدِّد المادّة 10 الحالات التي تُجيز ذلك قانوناً. |
| المادّة 11 | يجب أن يكون الغرض من جمع البيانات الشخصية ذا علاقة مباشرة بأغراض جهة التحكُّم، وألَّا يتعارض مع أيّ أحكام أخرى. ويجب ألَّا تتعارض طرق جمع البيانات مع أيّ حكم مُقرَّر نظاماً، وأن تكون خالية من أساليب الخداع أو التضليل أو الابتزاز. ويجب أن يكون محتوى البيانات الشخصية محصوراً بـالحدّ الأدنى. وإذا اتَّضح أنَّ البيانات الشخصية التي تُجمَع لم تعد ضرورية لتحقيق الغرض من جمعها، فيجب التوقُّف عن جمعها، وإتلاف ما سبق أن جُمِعَ منها. |
| المادّة 12 | وفقاً لنظام حماية البيانات الشخصية، على جهة التحكُّم أن تعتمد سياسة للخصوصية، وأن تجعلها متاحة للمعنيّين ليطّلعوا عليها قبل جمع بياناتهم الشخصية. ويُحدِّد النظام الحدّ الأدنى من المعلومات التي يجب إدراجها في سياسة الخصوصية، بما في ذلك الحالات التي يتمّ فيها جمع البيانات الشخصية مباشرةً من صاحب البيانات. |
| المادّة 13 | تنصّ هذه المادّة على المعلومات المختلفة التي ينبغي تقديمها إلى صاحب البيانات قبل معالجة البيانات: الإطار القانوني، والأساس القانوني للمعالجة، وهوية جهة التحكُّم وعنوان مرجعها (ما لم يكن جمعها لأغراض أمنية)، وهوية مُعالِجي البيانات، والجهات الأخرى التي لديها حقّ الوصول إلى البيانات، ومخاطر المعالجة، وحقوق صاحب البيانات، إلخ. |
| المادّة 14 | لا يجوز لجهة التحكُّم أن تُعالِج البيانات بدون اتّخاذ خطوات كافية للتحقُّق من دقّتها واكتمالها وحداثتها وارتباطها بالغرض الذي جُمِعَت من أجله وفقاً لأحكام النظام. |
| المادّة 15 | تُعدِّد هذه المادّة الحالات التي يجب فيها على جهة التحكُّم الإفصاح عن البيانات الشخصية: إذا وافقَ صاحب البيانات؛ وإذا جُمِعَت البيانات من مصدر متاح للعموم؛ وإذا كانت الجهة التي تطلب الإفصاح جهة عامّة، وذلك لأغراض أمنية أو لتنفيذ نظام آخر أو حتّى لاستيفاء متطلّبات قضائية؛ وإذا كانَ الإفصاح ضرورياً لحفظ النظام وحماية الصحّة العامّة أو حماية حياة فرد أو أفراد معيّنين أو حماية صحّتهم؛ وإذا كانَ الإفصاح لا يؤدّي إلى معرفة هوية صاحب البيانات. |
| المادّة 16 | لا تنطبق الاستثناءات (1) و(2) و(5) من المادّة 15 في حالات معيّنة، وتحديداً: إذا كانَ هذا الإفصاح يُسيء إلى سمعة المملكة أو مصالحها؛ أو إذا كانَ يُمثِّل خطراً على الأمن؛ أو إذا كانَ يؤثّر على العلاقات الدبلوماسية للمملكة؛ أو إذا كانَ يكشف عن مصدر سرّي لمعلومات تُحتِّم المصلحة العامّة عدم الكشف عنها إلخ. |
| المادّة 17 | الحقّ في تصحيح البيانات أو إكمال نقص فيها أو إجراء تحديث لها، والمُهَل الزمنية للقيام بذلك. |
| المادّة 18 | يتوجَّب على جهة التحكُّم إتلاف البيانات الشخصية فور انتهاء الغرض من معالجتها. ومع ذلك، يجوز لها الاحتفاظ بتلك البيانات في ظروف معيّنة إذا تمّت إزالة كلّ ما يؤدّي إلى معرفة صاحبها، أو في حال وجود مُسوِّغ نظامي أو إجراءات قضائية تستدعي الاحتفاظ بالبيانات الشخصية.في المادّة 5 من اللائحة العامّة الأوروبية لحماية البيانات، يمكن لجهة التحكُّم الاحتفاظ بالبيانات لفترة زمنية تُحدِّدُها هذه الجهة بنفسها. وبموجب اللائحة العامّة الأوروبية لحماية البيانات، يجوز لجهة التحكُّم الاحتفاظ بالبيانات الشخصية التي تمّ جمعُها إذا كانت البيانات ذات مصلحة إدارية للمؤسّسة أو في حال وجود التزام قانوني يستوجب ذلك. ويمكن حتّى أرشفة البيانات. لكنَّ هاتين الخطوتَيْن تتطلّبان إجراء تقييم خاصّ. |
| المادّة 19 | على جهة التحكُّم اتّخاذ ما يلزم من إجراءات تضمن المحافظة على البيانات الشخصية. |
| المادّة 20 | خرق البيانات: يجب إبلاغ الجهة المختصّة/الجهة المشرفة فوراً بحالات تسرُّب البيانات الشخصية أو الوصول غير المشروع إليها، ويجب إبلاغ صاحب البيانات بالحوادث التي تُسبِّب ضرراً مادّياً للبيانات. تُعتبَر الأحكام المتعلّقة بالإبلاغ عن الانتهاكات أكثر صرامةً من الأحكام التي تنصّ عليها العديد من القوانين الدولية، بما في ذلك اللائحة العامّة الأوروبية لحماية البيانات، مع شرط الإبلاغ “الفوري” وليس خلال فترة محدّدة. كما يجب إصدار اللوائح التنفيذية المُكمِّلة للنظام خلال هذه المهلة الزمنية (قد يتمّ تمديد هذه المهلة النهائية لهيئات معيّنة). (المادّتان 33 و34 من اللائحة العامّة الأوروبية لحماية البيانات) |
| المادّة 21 | على جهة التحكُّم الاستجابة لطلبات صاحب البيانات المتعلّقة بحقوقه خلال مدّة محدّدة وعبر وسيلة مناسبة تُبيِّنهما اللوائح. |
| المادّة 22 | تقييم الأثر: على جهة التحكُّم إجراء تقييم للآثار المترتّبة على معالجة البيانات الشخصية، وإذا لم تعد البيانات الشخصية مطلوبة لتحقيق الغرض المنشود، يجب أن تتوقّف جهة التحكُّم عن جمع تلك البيانات. |
| المادّة 23 | أحكام خاصّة للبيانات الصحّية: يجب أن يقتصر حقّ الاطّلاع على البيانات الصحّية – بما فيها الملفّات الطبّية – على أقلّ عدد ممكن من الموظّفين أو العاملين وبالقدر اللازم فقط لتقديم الخدمات الصحّية اللازمة. ويجب أيضاً تقييد إجراءات وعمليات معالجة البيانات الصحّية إلى أقلّ قدر ممكن من الموظّفين والعاملين لتقديم الخدمات الصحّية أو توفير برامج التأمين الصحّي. ولم تُذكَر أيّ شهادة محدّدة لتخزين البيانات الصحّية، مثل شهادة Hébergeur de Données de Santé في القانون الأوروبي. |
| المادّة 24 | أحكام خاصّة للبيانات الائتمانية: يجب اتّخاذ ما يلزم للتحقُّق من توافر الموافقة الكتابية من صاحب البيانات الشخصية على جمع هذه البيانات أو تغيير الغرض من جمعها أو الإفصاح عنها أو نشرها وفق أحكام النظام ونظام المعلومات الائتمانية. ويجب على جهة التحكُّم إشعار صاحب البيانات الشخصية عند ورود طلب الإفصاح عن بياناته الائتمانية من أيّ جهة. |
| المادّتان 25 و26 | يمكن استخدام البيانات الشخصية لأغراض تسويقية، ولكنْ هناك قواعد تُعتمَد في هذا الإطار. وهذا يعني أنَّه لا يجوز لجهة التحكُّم استخدام عناوين الاتّصال الشخصية الخاصّة بصاحب البيانات، بما في ذلك العناوين البريدية والإلكترونية، لإرسال مواد ترويجية أو توعوية بدون الحصول أوّلاً على موافقة صاحب البيانات وتزويد صاحب البيانات بآلية معيّنة لإلغاء هذا الأمر. تنطبق المبادئ نفسها في اللائحة العامّة الأوروبية لحماية البيانات. |
| المادّة 27 | يجوز معالجة البيانات لأغراض بحثية أو إحصائية بدون موافقة صاحبها في الحالات التالية: إذا لم تتضمّن البيانات ما يدلّ على هوية صاحبها؛ وإذا كانَ سيتمّ إتلاف ما يدلّ على هوية صاحب البيانات قبل الإفصاح عنها (ما لم تكن تلك البيانات بيانات حسّاسة)؛ وإذا كانَت هذه المعالجة ناتجة عن متطلّبات يقتضيها قانونٌ/نظامٌ آخر أو تنفيذاً لاتّفاق يكون صاحبها طرفاً فيه. من ناحية أخرى، تسمح اللائحة العامّة الأوروبية لحماية البيانات بمعالجة البيانات بدون موافقة صاحبها تحقيقاً “للمصالح المشروعة”. ولم يتمّ تحديد البحث بشكل صريح كسبب قانوني خاصّ للمعالجة، ولكنَّه قد يُعتبَر بمثابة مصلحة مشروعة لجهة التحكُّم بموجب المادّة 6(1)(و) في بعض الحالات. وبالتالي، في حين تسمح اللائحة العامّة الأوروبية لحماية البيانات صراحةً بإعادة تحديد غرض البيانات التي تمّ جمعها لأغراض البحث، تسمح أيضاً لجهة التحكُّم بجمع البيانات الشخصية لأغراض البحث بدون طلب موافقة صاحب البيانات. |
| المادّة 28 | لا يجوز نسخ الوثائق الرسمية التي تُحدِّد هوية صاحب البيانات الشخصية، إلَّا عندما يكون ذلك تنفيذاً لقرار محكمة، أو عندما تطلب جهة عامّة مختصّة تصوير تلك الوثائق أو نسخها. |
| المادّة 29 | سيادة البيانات: لا يجوز لجهة التحكُّم نقل البيانات الشخصية إلى خارج المملكة، إلَّا إذا كانَ ذلك تنفيذاً لالتزام بموجب اتّفاق تكون المملكة طرفاً فيه، أو لخدمة مصالح المملكة، أو لأغراض أخرى وفقاً لما تُحدِّده اللوائح. ويجب أيضاً ألَّا يؤدّي النقل أو الإفصاح عن البيانات (لجهة خارج المملكة) إلى أيّ مساس بالأمن الوطني أو بمصالح المملكة العربية السعودية. ويجب على جهة التحكُّم الحصول على الموافقة من الهيئة السعودية للبيانات والذكاء الاصطناعي. علاوةً على ذلك، فيما يتعلّق بالإفصاح عن البيانات الشخصية، يُنظَر في التحفّظات إذا كانَ الإفصاح سيُشكِّل خطراً أمنياً أو يُسيء لسمعة المملكة أو يؤثّر على علاقاتها مع البلدان الأخرى. في اللائحة العامّة الأوروبية لحماية البيانات، تتناول المواد 44 إلى 50 تنظيم عمليات نقل البيانات خارج الاتّحاد الأوروبي. ويُحدِّد الفصل 5 شرطَيْن يُسمَح بموجبهما بنقل البيانات خارج الاتّحاد الأوروبي/المنطقة الاقتصادية الأوروبية: – عندما تُقرِّر المفوّضية الأوروبية أنَّ البلد المعنيّ يعتمد قوانين مناسبة لحماية البيانات؛ وفي حال عدم صدور قرار من هذا القَبيل، تُترَك المسألة لجهة التحكُّم والجهة المُعالِجة للتوصُّل إلى اتّفاق يحمي حقوق أصحاب البيانات وسُبُل الانتصاف بنفس الطريقة التي تعمل بها اللوائح. تُثير هذه النقطة عدّة تساؤلات في بيئةٍ يمكن فيها بسهولة تبرير عمليات نقل البيانات من خلال لوائح مثل قانون السحابة الأميركي (“يسمح قانون السحابة للجهات المعنيّة بتطبيق القانون الأميركي بإجبار شركات التكنولوجيا التي تتّخذ من الولايات المتّحدة مقرّاً لها، عبر أمر قضائي أو أمر استدعاء، لتقديم البيانات المطلوبة المُخزَّنة على سيرفرات، بغضّ النظر عمّا إذا كانت البيانات مُخزَّنة في الولايات المتّحدة أو على أرض أجنبية، ويُحاوِل معالجة صراع قانوني طويل الأمد بين “شركات التكنولوجيا الكبرى” والجهات المعنيّة بإنفاذ القانون.”)، لا سيّما بالنظر إلى عدد الشركات الأميركية التي تتعامل مع الحوسبة السحابية من المملكة العربية السعودية (AWS، غوغل). يدور هذا النقاش أيضاً في الاتّحاد الأوروبي. يتّخذ نظام حماية البيانات السعودي نهجاً أكثر صرامةً حيال مسألة سيادة البيانات. |
| المادّة 30 | تنصّ هذه المادّة على أنَّ الجهة المختصّة هي الجهة المُشرِفة على تنفيذ وتطبيق هذا النظام. على جهة التحكُّم التعاون مع الجهة المختصّة لضمان تطبيق نظام حماية البيانات الشخصية. وللجهة المختصّة/المشرفة طلب الوثائق أو المعلومات اللازمة من جهة التحكُّم للتأكُّد من التزامها بأحكام النظام. وعلى جهة التحكُّم أن تُعيِّن أو تُحدِّد شخصاً مختصّاً بحماية البيانات ليكون مسؤولاً عن التزامها بتطبيق احكام النظام واللوائ، لا سيما نظام حماية البيانات الشخصية. |
| المادّتان 31 و32 | تسجيل جهة التحكُّم: يُطلَب من الجهات التي تجمع البيانات الشخصية وتُحدِّد الغرض منها وطريقة معالجتها (جهات التحكُّم) التسجيل في بوّابة إلكترونية تُشكِّل سجلّاً وطنياً لجهات التحكُّم. ويُعتمَد رسم تسجيل سنوي تُحدِّده اللوائح التنفيذية (التي تصدر في الوقت المناسب). وتُفرَض على جهات التحكُّم أيضاً التزامات تتعلّق بدقّة البيانات الشخصية واكتمالها وكفايتها قبل المعالجة، والاحتفاظ بسجلّ للمعالجة لمدّة تُحدِّدها اللائحة التنفيذية، وضمان حصول الموظّفين على التدريب الكافي حول نظام حماية البيانات الشخصية ومبادئ حماية البيانات. |
| المواد 32 و33 و34 | الجهة المختصّة بالإشراف: الجهة التي تتولّى مراقبة/الإشراف على الامتثال لهذا النظام، والمعاقبة على انتهاكاته، والتي يجوز للأشخاص المعنيّين تقديم الشكاوى إليها لتأكيد حقوقهم.يجب على الجهة التي تُعالِج البيانات من خارج المملكة العربية السعودية تعيين ممثّل داخل المملكة، على أن تُوافِق الجهة المختصّة على هذا الممثّل وتُرخِّص له. لكنَّ المرسوم التطبيقي ينصّ على ما يلي: يُؤجَّل تطبيق الأحكام التي تفرض على الكيانات الموجودة خارج المملكة والتي تُعالِج البيانات الشخصية للمقيمين في السعودية تعيين ممثّل في المملكة والامتثال لنظام حماية البيانات الشخصية، لمدّة لا تتجاوز خمس سنوات من تاريخ نفاذ النظام (تُحدِّدها الهيئة السعودية للبيانات والذكاء الاصطناعي). ويجوز لأصحاب البيانات تقديم شكوى أمام الجهة المختصّة فيما يتعلّق بتطبيق القانون. |
| المواد 35 إلى 40 | العقوبات: يُعاقَب كلّ مَنْ أفصحَ عن بيانات حسّاسة أو نشرها مُخالِفاً أحكام النظام بالسجن لمدّة لا تزيد على سنتَيْن أو بغرامة لا تزيد على ثلاثة ملايين ريال (800 ألف دولار أميركي). ويُعاقَب كلّ مَنْ خالفَ الأحكام المتعلّقة بنقل البيانات بالسجن لمدّة لا تزيد على سنة وبغرامة لا تزيد على مليون ريال (266.600 دولار أميركي). ويُعاقَب كلّ مَنْ خالفَ الأحكام الأخرى من نظام حماية البيانات الشخصية بالإنذار أو بغرامة لا تزيد على خمسة ملايين ريال (1.333.000 دولار أميركي). وفي حال تكرار المخالفة، يجوز مضاعفة أيّ من الغرامات، ويجوز للمحكمة الحُكم بمصادرة الأموال المتحصّلة من جرّاء ارتكاب المخالفات المنصوص عليها في النظام، بالإضافة إلى نشر الحُكم على نفقة المحكوم عليه في صحيفة أو في أيّ وسيلة أخرى. ولمَنْ لحقه ضرر نتيجة ارتكاب أيّ من المخالفات حقّ المطالبة بالتعويض. |
| المادّة 41 | يلتزم كلّ من باشرَ عملاً من أعمال معالجة البيانات بالمحافظة على خصوصية هذه البيانات حتّى بعد انتهاء المعالجة/انتهاء وظيفته. |
| المادّة 42 | تصدر المراسيم التطبيقية في مدّة لا تتجاوز (مائة وثمانين) يوماً من تاريخ صدور النظام. |
| المادّة 43 | يُعمَل بالنظام بعد (مائة وثمانين) يوماً من تاريخ نشره في الجريدة الرسمية. |
