كيفية كتابة سياسة الخصوصية

تُعد سياسة الخصوصية من الأمور التي تحتل درجة عالية من الأهمية والتي يتعين على المواقع الإلكترونية أن تحرص على صياغتها بصورة تغطي كافة جوانب حصولها على معلومات روادها حتى لا تتعرض للمسائل القانونية وتُصبح مُلزمة بدفع مبالغ طائلة كتعويضات للرواد ممن تم انتهاك خصوصيتهم على نحو يُخالف أحكام القوانين سواء أكانت المحلية أم الدولية.

فوضع سياسة الخصوصية من شأنه أن يحيط من يرتاد الموقع الإلكتروني علماً بالبيانات الشخصية المتعلقة به والتي يكون للموقع حق الحصول عليها وحق استخدامها استخداماً يحقق المصلحة لكل من الموقع والزائر الذي يرتاد زيارة الموقع. وبذلك يكون الموقع قد حصن نفسه من الناحية القانونية وذلك بحصوله على إذن من زائريه بأنهم يوافقون على أن يكون للموقع حق الحصول على بعض معلوماتهم الشخصية واستخدامها وفقاً لما تم بيانه في سياسة خصوصية الموقع.

أولاً: التعريف بسياسة الخصوصية:

يمكن تعريف سياسية الخصوصية بأنها البيان الصادر عن الموقع الإلكتروني الذي يبين من خلاله كيفية جمعه لبيانات زواره فضلاً عن تحديد البيانات التي يتم جمعها وسبل ووسائل استخدامها حتى يكون الزائر على علم بالبيانات الشخصية المتعلقة به والتي يكون للموقع الذي يرتاده حق جمعها واستخدامها على النحو المبين في بيان سياسة الخصوصية.

فلقد أتاح التطور التكنولوجي الهائل الذي طرأ على البيئة الرقمة للعديد من المواقع مكنة جمع معلومات وبيانات خاصة بزوارها واستخدامها في وسائل شتى سواء في الترويج للموقع نفسه من خلال عرضه على ذات الأشخاص الحاملين لبيانات شخصية متقاربة مع الأشخاص الأكثر زيارة للموقع، أو في تطوير وسائل الاستهداف التي يستخدمها المسوقون للإعلان عن خدماتهم وبضائعهم لرواد المواقع الإلكترونية.

فالمتمعن في آلية عمل المواقع الإلكترونية خاصة تلك التي تهدف إلى تحقيق الربح من خلال عرض الإعلانات والترويجات عليها يجد أنها تعتمد بصورة أساسية على جمع معلومات عن زوارها بُغية تحقيق أفضل النتائج المتعلقة باستهداف الأشخاص المهتمين بالإعلان الذي يتم ترويجه.

وعلى الرغم أن مُعالجة البيانات الشخصية تُعد من متطلبات التجارة الإلكترونية إلا أن هذا الإجراء قد يُهدد خصوصية مستخدمي شبكات الإنترنت خاصة في ظل الطابع المفتوح لهذه الشبكة، وعدم خضوعها لسيطرة جهة أو دولة بعينها،[1] الأمر الذي يجعل بيانات الأشخاص ومعلوماتهم الشخصية عُرضة للانتهاك واستخدامها بوسائل غير مشروعة قد تُلحق بهم أضرار جمة.

ثانياً: ضرورة بيان سياسة الخصوصية من الناحية الشرعية:

اهتمت الشريعة الإسلامية اهتمام بالغ بخصوصية الأفراد، وأوجبت صونها وحرمت انتهاكها بصورة غير مشروعية، فلقد نهى المولى عز وجل في كتابه الحكيم عن التجسس بقوله: ” وَلَا تَجَسَّسُوا وَلَا يَغْتَبْ بَعْضُكُمْ بَعْضًا “.[2]

فالآية الكرية تؤكد نهي الشارع عن التجسس وانتهاك حرمة الحياة الخاصة، سواء أكان ذلك بالمعنى التقليدي المتعلق باستراق النظر أو التنصت أو بالحصول على معلومات الأفراد الشخصية دون علمهم ودون الحصول على إذن مسبق منهم.

ثالثاً: أهمية كتابة سياسة الخصوصية:

1- أهمية سياسة الخصوصية على النطاق المحلي:

لقد أكد النظام السعودي على ضرورة عدم الحصول على البيانات الشخصية للأفراد دون الحصول على إذن منهم بذلك، وهذا ما تقرر بموجب (المادة 4/1) من نظام حماية البيانات الشخصية والتي نصت على أن: (يكون لصاحب البيانات الشخصية -وفقاً للأحكام الواردة في النظام- الحقوق الآتية: 1- الحق في العلم، ويشمل ذلك إحاطته علماً بالمسوغ النظامي أو العملي المعتبر لجمع بياناته الشخصية، والغرض من ذلك، وألاَّ تعالج بياناته لاحقاً بصورة تتنافى مع الغرض من جمعها أو في غير الأحوال المنصوص عليها في المادة (العاشرة) من النظام)، فضلاً عما تقرر بموجب (المادة 5/1) من ذات النظام والتي نصت على أن: (فيما عدا الأحوال المنصوص عليها في النظام، لا تجوز معالجة البيانات الشخصية أو تغيير الغرض من معالجتها إلاَّ بعد موافقة صاحبها. وتُبين اللوائح شروط الموافقة، والأحوال التي يجب فيها أن تكون الموافقة كتابية، والشروط والأحكام المتعلقة بالحصول على الموافقة من الولي الشرعي إذا كان صاحب البيانات الشخصية ناقص أو عديم الأهلية).

فيتضح مما سبق أن النظام ألزم كافة الجهات التي يكون لها إمكانية جمع معلومات أو بيانات عن الأشخاص أن تحصل مسبقاً منهم على إذن بالحصول على بياناتهم الشخصية، فضلاً عن ضرورة إعلام هؤلاء الأشخاص بآلية جمع معلوماتهم الشخصية والغرض من جمعها، ولا يكون للجهة جامعة المعلومات حق استخدام تلك المعلومات إلا وفقاً للأغراض التي بينتها في سياسة الخصوصية والتي وافق عليها المستخدم.

ولقد قرر النظام عقوبات رادعة لكل جهة تحصلت على معلومات شخصية للأفراد أو استخدمت تلك المعلومات دون الحصول على إذن مسبق منهم، حيث نصت (المادة 36/1) من النظام على أن: (فيما لم يرد في شأنه نص خاص في المادة (الخامسة والثلاثين) من النظام، ودون إخلال بأيِّ عقوبة أشد منصوص عليها في نظام آخر؛ تُعاقَب بالإنذار أو بغرامة لا تزيد على (خمسة ملايين) ريال، كلُّ شخصية ذات صفة طبيعية أو اعتبارية خاصة -مشمولة بأحكام النظام- خالفت أيًّا من أحكام النظام أو اللوائح. وتجوز مضاعفة عقوبة الغرامة في حالة تكرار المخالفة، حتى لو ترتب عليها تجاوز الحد الأقصى لها على ألا تتجاوز ضعف هذا الحد)، ويكون أيضاً للمحكمة المختصة التي تتولى نظر الدعوى الحق في الحكم على الجهة التي تُخالف أحكام هذا النظام بمصادرة الأموال التي تم التحصل عليها بالمخالفة لأحكام النظام مع مراعاة حقوق الغير حسن النية.

كما قررت (المادة 40) من النظام أحقية من لحقه ضرر جراء استخدام معلوماته الشخصية دون الحصول على إذن مسبق منه بإقامة دعواه مطالباً فيها بالتعويض، حيث نصت المادة المذكورة على أن: (مع عدم الإخلال بإيقاع العقوبات المنصوص عليها في النظام، لمن لحقه ضرر -نتيجةَ ارتكاب أي من المخالفات المنصوص عليها في النظام أو اللوائح- حق المطالبة أمام المحكمة المختصة بالتعويض عن الضرر المادي أو المعنوي بما يتناسب مع حجم الضرر).

2- أهمية سياسة الخصوصية على الصعيد الدولي:

اهتمت معظم المواثيق الدولية بفكرة الخصوصية وأكدت على ضرورة الالتزام بتوفير المكنات القانونية التي من شأنها توفير الحماية للأشخاص فيما يتعلق ببياناتهم ومعلوماتهم الشخصية، ويأتي على رأس تلك المواثيق الإعلان العالمي لحقوق الإنسان لعام 1948 والذي تناولت (المادة 12) النص على التأكيد على حماية خصوصية الأشخاص بصورة العامة والتأكيد على حماية خصوصيتهم المعلوماتية بصورة خاصة، حيث نصت المادة المذكورة على أن: (لا يجوز تعريضُ أحد لتدخُّل تعسُّفي في حياته الخاصة أو في شؤون أسرته أو مسكنه أو مراسلاته، ولا لحملات تمسُّ شرفه وسمعته. ولكلِّ شخص حقٌّ في أن يحميه القانونُ من مثل ذلك التدخُّل أو تلك الحملات).

كذلك نجد أن العهد الدولي للحقوق المدنية والسياسية سار على نفس الطريق الذي سار عليه الإعلان العالمي لحقوق الإنسان للعام 1948، في (المادة 17) من هذا العهد حيث أشار إلى ضرورة عدم تعريض أي شخص وبصورة تعسفية أو غير قانونية للتدخل بخصوصياته وضرورة المحافظة على خصوصية الأشخاص ومن ضمنها الخصوصية الرقمية من مراسلات وأي شيء آخر في هذا الإطار يمكن أن يمس سمعته وشرفه.[3]

هذا فضلاً عما أوردته منظمة الأمم المتحدة من خلال جمعيتها العامة فيما يتعلق بالخصوصية والحق في سرية المعلومات، بالإضافة إلى جهود منظمة اليونسكو وغيرها من المواثيق الدولية والإقليمية والتي أوردت نصوص خاصة تستهدف الإلزام بالحفاظ على الخصوصية وعلى وجه التحديد الخصوصية الرقمية أو المعلوماتية نظراً لما طرأ على وسائل التواصل من تطورات هائلة أتاحت الحصول – وبكل سهولة – على معلومات الأشخاص وبياناتهم الشخصية.

ودون الخوض في نصوص تلك المواثيق وسرد الالتزامات التي أوردتها فيما يتعلق بضرورة حماية الخصوصية، فيمكن أن نؤكد على أن تلك النصوص قد لاقت التطبيق العملي الصارم وانطباقها على كل جهة تنتهك أحكام الخصوصية، ومن تلك التطبيقات ما فرضته اللجنة الوطنية لتكنولوجيا المعلومات والحريات في 3 يناير 2014 من غرامة مالية قدرها 150 ألف يورو ضد شركة جوجل لرفضها الالتزام بما جاء في القانون الفرنسي من ضرورة احترام خصوصية البيانات، هذا فضلاً عن التحقيق الذي أجراه الكونجرس مع شركة فيس بوك بشأن خصوصية البيانات.

رابعاً: لماذا تحتاج المواقع الإلكترونية إلى كتابة سياسة الخصوصية:

تبدو الأهمية بالغة فيما يتعلق بضرورة كتابة سياسة الخصوصية من قبل المواقع الإلكترونية خصوصاً تلك التي تجمع بيانات روداها ومستخدميها لاستخدامها في مجالات تجارية أو كوسائل تطورية لقواعد بيانات تلك المواقع لتحسين أدائها.

فكتابة سياسة الخصوصية من شأنه أن يضع تلك المواقع في موضع قانوني آمن يقيها إثارة مسئوليتها القانونية عن ثمة انتهاك لمعلومات الأشخاص أو بياناتهم، ذلك أنها بكتابة سياسة خصوصيتها تُلزم روادها على قبول تلك السياسة أو عدم استخدام الموقع، مما يؤدي إلى تقنين موفقها وذلك بسبق حصولها على إذن من قبل الأشخاص يتيح لها الحق في جمع بعض معلوماتهم الشخصية واستخدامها في المجالات المنصوص عليها في سياسية الخصوصية.

خامساً: نصائح هامة عند كتابة سياسية الخصوصية:

يجب على مالكي الموقع عند الشروع في كتابة سياسة الخصوصية مراعاة بعض الأمور والتي تتمثل فيما يلي:

1- ضرورة بيان المعلومات الشخصية التي يقوم الموقع بجمعها بصورة دقيقة، وذلك من خلال بيان من الذي يمكنه الاتصال بالمعلومات الشخصية، فضلاً عن ماهية المعلومات التي يتم جمعها، بالإضافة إلى مجالات استخدام تلك المعلومات.

2- يجب بيان الجهات التي يمكن للموقع أن يُشارك معها تلك المعلومات.

3- يتعين على الموقع أن يحيط روداه علماً بوسائل الأمان التي يتيحها للأفراد والتي من خلالها يتم الحفاظ على معلوماتهم الشخصية، حيث إن نظام حماية البيانات الشخصية ألزم جهة التحكم بالحفاظ على البيانات التي يتم جمعها بموجب ما ورد (بالمادة 19) والتي نصت على أن: (على جهة التحكم اتخاذ ما يلزم من إجراءات ووسائل تنظيمية وإدارية وتقنية تضمن المحافظة على البيانات الشخصية، بما في ذلك عند نقلها؛ وذلك وفقاً للأحكام والضوابط التي تحددها اللوائح).

4- يتعين على الموقع أن يبين إلى أي مدى يتم الاحتفاظ بمعلومات الأشخاص والتي تم جمعها عنهم.

وهذا ما تم التأكيد عليه بموجب (المادة 12) من نظام حماية البيانات الشخصية والتي نصت على أن: (على جهة التحكم أن تعتمد سياسة لخصوصية البيانات الشخصية، وأن تجعلها متاحة لأصحابها ليطلعوا عليها قبل جمع بياناتهم. على أن تشتمل تلك السياسة على تحديد الغرض من جمعها، ومُحتوى البيانات الشخصية المطلوب جمعها، وطريقة جمعها، ووسيلة حفظها، وكيفية معالجتها، وكيفية إتلافها، وحقوق صاحبها فيما يتعلق بها، وكيفية ممارسة هذه الحقوق).

5- يجب على الموقع أن ينشئ حقل مُخصص للإجابة على تساؤلات الأشخاص وتخوفاتهم حول خصوصية بياناتهم ومعلوماتهم.

حيث إن النظام السعودي ألزم جهة التحكم – وهي الجهة التي تتولى جمع بيانات شخصية للأفراد – ببعض الالتزامات والتي وردت بموجب (المادة 13) من نظام حماية البيانات الشخصية، حيث نصت على أن: (على جهة التحكم، في حالة جمع البيانات الشخصية من صاحبها مباشرةً، اتخاذ الوسائل الكافية لإحاطته علماً بالعناصر الآتية قبل البدء في جمع بياناته:

أ- المسوغ النظامي أو العملي المعتبر لجمع بياناته الشخصية.

ب- الغرض من جمع بياناته الشخصية، وما إذا كان جمعها كلها أو بعضها إلزاميًّا أم اختياريًّا، وإحاطته كذلك بأن بياناته لن تعالج لاحقاً بصورة تتنافى مع الغرض من جمعها أو في غير الأحوال المنصوص عليها في المادة (العاشرة) من النظام.

ج- هوية من يجمع البيانات الشخصية وعنوان مرجعه عند الاقتضاء، ما لم يكن جمعها لأغراض أمنية.

د- الجهة أو الجهات التي سَيُجرى إفصاح البيانات الشخصية إليها، وصفتها، وما إذا كانت البيانات الشخصية ستنقل أو سيفصح عنها أو ستعالج خارج المملكة.

هـ – الآثار والأخطار المحتملة التي تترتب على عدم إتمام إجراء جمع البيانات الشخصية.

و- حقوقه المنصوص عليها في المادة (الرابعة) من النظام.

ز- العناصر الأخرى التي تحددها اللوائح بحسب طبيعة النشاط الذي تمارسه جهة التحكم.

6- يجب على الموقع التحوط من التأكيد على أن من يوافق على سياسة الخصوصية يجب أن يكون قد تخطى السن القانوني الذي يمكنه من ذلك.

سادساً: تحذيرات مهمة عند صياغة سياسية الخصوصية:

1- يحذر على الموقع الذي يتولى جمع بيانات ومعلومات شخصية لرواده أن يستخدمها في غير الأغراض التي بينها في بيان سياسة الخصوصية.

2- يحذر على الموقع أن يجمع بيانات مغايرة لتلك التي سبق وأعلن عن طلب جمعها وحصل على إذن من الرواد بذلك، حيث لا يجوز للموقع أن يتخطى حدود هذا الإذن إلا بالحصول على إذن لاحق.

3- يحذر على الموقع مشاركة البيانات التي تم جمعها إلا مع الجهات التي سبق وأعلن عن إمكانية مشاركة تلك البيانات معها وحصل على إذن من مستخدمي الموقع بذلك.

4- يحظر على الموقع تغيير سياسة خصوصيته دون أن يحصل على موافقة من مستخدميه على رضائهم بالسياسة الجديدة.

5- يحظر على الموقع أن يستخدم البيانات الشخصية في أغراض تتنافى مع طبيعة عمله.

6- يحظر جمع بيانات يترتب عليها معرفة صاحبها بصورة دقيقة إذا كان ذلك يتنافى مع أغراض عمل الجهة الجامعة لتلك البيانات.

7- يتعين على الجهة التي تتولى جمع البيانات أو تتلفها أو تُعدمها إذا تبين عدم صلاحيتها لتحقيق أغراضها.

8- يجب على الجهة التي تتولى جمع البيانات أن تتأكد من صحة البيانات قبل الشروع في استعمالها، وهذا ما قررته (المادة 14) من النظام والتي نصت على أن: (لا يجوز لجهة التحكم أن تعالج البيانات الشخصية دون اتخاذ خطوات كافية للتحقق من دقتها واكتمالها وحداثتها وارتباطها بالغرض الذي جُمعت من أجله وفقاً لأحكام النظام).

سابعاً: تعريفات هامة تتعلق بسياسة الخصوصية:

1- الخصوصية الرقمية: هي حق الأفراد أو المؤسسات أو المجموعات أن يحددوا لأنفسهم متى وكيف وإلى أي مدى يمكن لمعلوماتهم أن تصل إلى الآخرين.[4]

2- انتهاك الخصوصية: هو الاطلاع على خصوصية الآخرين دون علمهم أو إذن منهم ” حتى وإن لم تكن أسراراً “.[5]

3- البيانات الرقمية: هي البيانات التي يتم إدخالها إلى الآلات بداية من الصراف الآلي ووصولاً إلى أجهزة الحاسب الآلي.

4- البيانات الشخصية الرقمية: هي البيانات الشخصية الناشئة عن معالجة تقنية أو فنية خاصة تتعلق بالخصائص الجسدية أو الفسيولوجية أو السلوكية للشخص الطبيعي والتي تمكن من تحديد هويته من خلال صورة الوجه أو البيانات الخاصة ببصمات الإصبع.[6]

ثامناً: كيفية كتابة سياسة الخصوصية:

يتعين على المواقع أو التطبيقات الإلكترونية وهي بصدد كتابة سياسة الخصوصية أن توضح ما يلي:

1- المعلومات والبيانات الشخصية التي يتم جمعها وكيفية جمعها:

حيث يكون على الموقع أن يبين ما هي المعلومات التي يتم جمعها عن الأشخاص سواء تمثلت في أسمائهم، أو مواطن إقامتهم، أو حالتهم الاجتماعية، أو هواياتهم المفضلة والمواقع التي يرتادونها أو الصفحات التي يزورونها.

فضلاً عن ضرورة إفصاح الموقع عن كيفية جمع تلك البيانات سواء تم ذلك من خلال استطلاعات الرأي أو الأسئلة التي يتم طرحها على المستخدمين أو الاستبيانات المتعلقة ببعض المنتجات والسلع والخدمات والمواقع الأخرى.

أو أن يكون جمع تلك البيانات قد تم من خلال تتبع ما يشاهده المستخدم من صور أو فيديوهات تخص جهات أو مواقع معينة، أو من خلال ما يقوم المستخدم بمشاركته مع الجمهور، أو من خلال طلبات المستخدم الشرائية الإلكترونية، وغيرها من الوسائل التي يمكن استخدامها في جمع المعلومات.

2- سبب جمع المعلومات:

يتعين في سياسة الخصوصية أن يتم الإشارة إلى سبب جمع تلك المعلومات سواء أكان ذلك من أجل إنشاء حسابات شخصية وإدارتها، أو لتأدية التزامات عقدية، أو لتوفير الخدمات، أو لإجراء معاملات شرائية، أو لتقديم خدمات لدعم الزبائن والعمل على تحسين تلك الخدمات، أو لسهولة التواصل مع المستخدم واستهدافه السليم من قبل المواقع التي تقدم خدمات تتوافق واهتماماته.

3- تحديد الجهة التي يمكنها الاطلاع على تلك البيانات:

حيث يجب عند صياغة سياسة الخصوصية تحديد من هي الجهة أو الجهات التي يمكنها أن تتطلع على البيانات الشخصية التي تم جمعها عن المستخدم سواء أكانت الشركات التي تتولى إدارة الموقع أو شركات أخرى يتم مشاركة البيانات معها.

4- بيان وسائل أمان البيانات الشخصية:

فيجب أن يتم بيان ما هي وسائل الأمان التي يتم استخدامها من قبل الشركة التي تتولى إدارة الموقع والتي من شأنها أن توفر للمستخدم حماية خصوصية معلوماته.

5- بيان المدة الزمنية التي يتم خلالها الاحتفاظ بالمعلومات:

حيث يتعين أن يتم التأكيد على أن البيانات الشخصية للمستخدم يتم الاحتفاظ بها طيلة المدة الزمنية الضرورية لتحقيق الأغراض التي تم بيانها.

6- بيان حقوق المستخدم:

يتعين عند صياغة سياسة الخصوصية بيان حقوق المستخدم سواء تمثلت في حقه في الوصول إلى المعلومات التي تم مشاركتها أو الحق في تصحيح معلوماته الشخصية أو حقه في حذف بعض تلك المعلومات أو حقه في إلغاء موافقته على انتهاج سياسة الخصوصية التي سبق له وأن وافق عليها.

تاسعاً: أسئلة شائعة عن سياسية الخصوصية:

1- ما هي المعلومات الشخصية التي يمكن لجهة التحكم جمعها؟

يجوز لجهة التحكم جمع البيانات الشخصية المتعلقة بالاسم والعنوان البريدي ورقم الهاتف وبعض المعلومات البنكية ورقم جواز السفر ورقم الهوية واللغة أو اللغات التي يتحدثها المستخدم وجهة عمل وجهة دراسة المستخدم فضلاً عن هواياته الفنية أو الأدبية أو الرياضية واهتماماته الشخصية. وغيرها من البيانات التي يتم الإفصاح عن جمعها من قبل جهة التحكم.

2- هل يوجد بيانات يحظر على جهة التحكم جمعها؟

لا يجوز لجهة التحكم جمع بيانات تؤدي إلى تحديد هوية المستخدم بصورة دقيقة ما لم يكن ذلك متعلقاً بالغرض الذي من أجله تتولى جهة التحكم جمع بيانات الرواد، فضلاً عن ضرورة الحصول على موافقتهم وإعلامهم بذلك.

3- هل يجوز لجهة التحكم مشاركة البيانات الشخصية مع جهات أخرى؟

يجوز لجهة التحكم مشاركة البيانات الشخصية مع جهات أخرى شريطة أن يُحاط المستخدم علماً بذلك، فضلاً عن ضرورة ألا يترتب على تلك المشاركة نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة.

4- هل يجوز لجهة التحكم مشاركة البيانات الشخصية مع جهات أجنبية خارج المملكة؟

الأصل أن ذلك محظور على جهة التحكم، ولكن يباح لها مشاركة البيانات الشخصية مع جهات خارج المملكة في عدة حالات وهي:

أ- حالات الضرورة القصوى للمحافظة على حياة صاحب البيانات خارج المملكة أو مصالحه الحيوية أو الوقاية من عدوى مرضية أو فحصها أو معالجتها.

ب- إذا كان ذلك تنفيذاً لالتزام بموجب اتفاقية تكون المملكة طرفاً فيه.

ج- أو لخدمة مصالح المملكة.

على أن يكون نقل تلك البيانات للخارج وفقاً لعدة ضوابط تتمثل فيما يلي:

أ- ألاَّ يترتب على النقل أو الإفصاح مساس بالأمن الوطني أو بمصالح المملكة الحيوية.

ب- أن تقدم ضمانات كافية للمحافظة على البيانات الشخصية التي سَيُجرى نقلها أو الإفصاح عنها وعلى سريتها، بحيث لا تقل معايير حماية البيانات الشخصية عن المعايير الواردة في النظام واللوائح.

ج- أن يقتصر النقل أو الإفصاح على الحد الأدنى من البيانات الشخصية الذي تدعو الحاجة إليه.

د- موافقة الجهة المختصة على النقل أو الإفصاح وفقاً لما تحدده اللوائح.

5- هل يمكن جمع البيانات الشخصية دون الحصول على موافقة المستخدم؟

الأصل أن جمع البيانات الشخصية لا يجوز أن يتم إلا بعد إحاطة المستخدم علماً بأن جهة التحكم ستقوم بجمع بياناته الشخصية، وتبين له أوجه استخدام تلك البيانات، إلا أن هناك عدة حالات يمكن فيها لجهة التحكم جمع البيانات الشخصية دون علم المستخدم، وهي:

أ- إذا لم تتضمن البيانات الشخصية ما يدل على هوية صاحبها على وجه التحديد.

ب- إذا كان سَيُجرى إتلاف ما يدل على هوية صاحب البيانات الشخصية على وجه التحديد خلال عملية مُعالجتها وقبل الإفصاح عنها لأي جهة أُخرى ولم تكن تلك البيانات بيانات حساسة.

ج- إذا كان جمع البيانات الشخصية أو معالجتها لهذه الأغراض يقتضيها نظام آخر أو تنفيذاً لاتفاق سابق يكون صاحبها طرفاً فيه.

6- هل يجوز لجهة التحكم أن تتعرض للبيانات الائتمانية للمستخدم؟

يجوز ذلك شريطة اتخاذ ما يلزم للتحقق من توافر الموافقة الكتابية من صاحب البيانات الشخصية على جمع هذه البيانات أو تغيير الغرض من جمعها أو الإفصاح عنها أو نشرها وفق أحكام النظام ونظام المعلومات الائتمانية، فضلاً عن ضرورة إشعار صاحب البيانات الشخصية عند ورود طلب الإفصاح عن بياناته الائتمانية من أي جهة. (“نظام حماية البيانات الشخصية | موقع نظام”)

7- ماذا يترتب على تسريب تلك المعلومات لأسباب خارج عن إرادة جهة التحكم؟

في هذه الحالة يتعين على جهة التحكم أن تخطر الجهة المختصة، وأن تخطر صاحب البيانات بحدوث تسريب بياناته في الأحوال التي تحددها اللوائح.

8- هل يجوز لجهة التحكم الإفصاح عن المعلومات التي تولت جمعها؟

الأصل أن ذلك غير جائز إلا في الأحوال التالية:

أ- إذا وافق صاحب البيانات الشخصية على الإفصاح وفقاً لأحكام النظام.

ب- إذا كانت البيانات الشخصية قد جرى جمعها من مصدر متاح للعموم.

ج- إذا كانت الجهة التي تطلب الإفصاح جهة عامة، وذلك لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء مُتطلبات قضائية وفق الأحكام التي تحددها اللوائح.

د- إذا كان الإفصاح ضروريًّا لحماية الصحة، أو السلامة العامة، أو حماية حياة فرد، أو أفراد معينين، أو حماية صحتهم. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك.

هـ – إذا كان الإفصاح سيقتصر على معالجتها لاحقاً بطريقة لا تؤدي إلى معرفة هوية صاحب البيانات الشخصية أو أي فرد آخر على وجه التحديد.

9- هل يجوز للمستخدم الرجوع عن موافقته على جمع معلوماته الشخصية؟

يجوز للمستخدم أن يعدل عن موافقته على جمع معلوماته الشخصية في أي وقت.

10- ما هي العقوبات التي يمكن توقيعها على جهة التحكم إذا أخلت بالتزاماتها تجاه خصوصية بيانات الأفراد؟

بداية يكون لمن لحقه ضرر جراء انتهاك خصوصيته أن يُطالب جهة التحكم بالتعويضات التي تكفل جبر ما لحقه من ضرر.

بالإضافة إلى إمكانية مصادرة كافة الأموال التي تحصلت عليها جهة التحكم بالمخالفة لأحكام نظام حماية البيانات الشخصية، فضلاً عن أن النظام قرر معاقبة جهة التحكم بالإنذار أو بغرامة لا تزيد على (خمسة ملايين) ريال حال مخالفتها أحكام هذا النظام.

ويكون العقاب بالسجن مدة لا تزيد على (سنتين) وبغرامة لا تزيد على (ثلاثة ملايين) ريال، أو بإحدى هاتين العقوبتين على كل من أفصح عن بيانات حساسة أو نشرها مخالفًا أحكام النظام إذا كان ذلك بقصد الإضرار بصاحب البيانات أو بقصد تحقيق منفعة شخصية.

ويوقع على كل من نقل بيانات المستخدمين إلى الخارج بالمخالفة لأحكام النظام عقوبة السجن مدة لا تزيد على (سنة) وبغرامة لا تزيد على (مليون) ريال، أو بإحدى هاتين العقوبتين.

إعداد/ أحمد منصور.

[1] د. أيمن مصطفى أحمد البقلي، حماية خصوصية المعلوماتية لمستخدمي الإنترنت في مواجهة متطلبات التجارة الإلكترونية، المجلة القانونية، ص 1002.

[2] سورة الحجرات، الآية 12.

[3] د. واثق عبد الكريم محمود، الخصوصية الرقمية في نطاق القانون الدولي العام، مجلة الباحث للعلوم القانونية، ص 243.

[4] د. واثق عبد الكريم محمود، مرجع سابق، ص 236.

[5] بارق منتظر عبد الوهاب لامي، جريمة انتهاك الخصوصية عبر الوسائل الإلكترونية في التشريع الأردني: دراسة مقارنة، 2017، ص 6.

[6] أنظر د. محمد أحمد المعداوي، حماية الخصوصية المعلوماتية للمستخدم عبر شبكات مواقع التواصل الاجتماعي: دراسة مقارنة، ص 1943.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني.