مبادئ حماية البيانات الشخصية والاستثناءات الواردة عليها: قراءة تحليلية قانونية 

لا تقتصر حماية الشخص على حفظ أمنه وماله على أرض الواقع؛ بل إن الإشكالية الكبرى التي باتت الدول تواجهها في عصرنا الحالي هي حماية الأشخاص في فضاء آخر مواز. فالشخص الخاضع لحماية الدولة قد لا يتعرض لاعتداء لفظي، أو جسدي، أو سرقة، أو احتيال، لكنه قد يصبح عرضة لهدر كرامته والإساءة لسمعته والاستيلاء على أمواله؛ كل ذلك في الفضاء الإلكتروني دون أي وجود مادي لهذه الوقائع.

والسبب أن وجود الشخص على شبكات التواصل واستخدامه للمنصات الإلكترونية لم يعد خيارًا أو ترفًا، بل إنه قد أصبح واقعًا شبه إلزاميّ في ظل تحديد الصيغة الالكترونية للعديد من الخدمات الحكومية، وفي ظل ضرورات الواقع التي تحتم على كل شخص التعامل معها بغرض التعريف عن نفسه والتواصل مع المجتمع والتسويق لمشاريعه.

وهنا نضع يدنا على حلقة الوصل الأساسية بين هوية الشخص الموجود ماديًا في المجتمع، وبين كيان الشخص الافتراضي الموجود على الشبكات ومنصات التواصل الاجتماعي؛ إن حلقة الوصل هذه هي “البيانات الشخصية”.

تماشياً مع التحولات الرقمية المتسارعة وتزايد الاعتماد على تقنيات الذكاء الاصطناعي وتحليل البيانات، برزت حماية البيانات الشخصية كأحد الحقوق الأساسية التي تستدعي تنظيمًا تشريعيًا دقيقًا يوازن بين متطلبات التنمية الرقمية وصون الخصوصية الفردية. وقد أولت المملكة العربية السعودية هذا الموضوع أهمية خاصة، انعكست في إصدار نظام حماية البيانات الشخصية بموجب المرسوم الملكي رقم (م/19) وتاريخ 9/2/1443هـ، كخطوة رائدة تهدف إلى تقنين المعالجة النظامية للبيانات الشخصية وضمان حماية الأفراد من أي انتهاك لخصوصيتهم.

تنطلق هذه المقالة، التي ستُنشر على جزئين، من الحاجة إلى فهم الأطر القانونية والتنظيمية التي أقرها النظام السعودي في مجال حماية البيانات الشخصية. ويُخصص الجزء الأول من المقالة لقراءة تحليلية معمقة تستعرض الجهات المختصة بحماية البيانات، والمبادئ القانونية الأساسية التي يقوم عليها نظام حماية البيانات الشخصية في المملكة، مع بيان ماهية البيانات الشخصية وحدود الخصوصية التي يكفلها النظام. أما الجزء الثاني، فيتناول التمييز الذي يقرّه النظام بين البيانات الشخصية والبيانات الحساسة في إطار تطبيق الخصوصية، ويحلل الإشكالات القانونية المرتبطة بالاستثناءات من الحماية، لا سيما في سياق المعالجة الرضائية. كما يناقش أبرز التحديات العملية التي تواجه حماية البيانات في ظل التوسع الرقمي المتسارع.

الجهات المرتبطة بحماية البيانات الشخصية:

تقوم حماية البيانات الشخصية في المملكة العربية السعودية على منظومة متكاملة من المسؤوليات المتدرجة بين عدد من الجهات التي تتعامل مع البيانات بمستويات مختلفة. ويعكس هذا التعدد في الجهات حجم التعقيد الذي تفرضه البيئة الرقمية الحديثة، والتي تقتضي تنظيم الأدوار وتوزيعها بوضوح لضمان الحماية الفعالة للبيانات الشخصية في جميع مراحل جمعها ومعالجتها وتخزينها.

وقد حدد نظام حماية البيانات الشخصية السعودي الأطر النظامية التي تُلزم كل جهة مسؤولة عن البيانات بأداء دورها ضمن معايير دقيقة تضمن التوازن بين استثمار البيانات وتحصين الخصوصية الفردية من الانتهاك أو سوء الاستخدام.

وقد قام نظام حماية البيانات الشخصية بتصنيف الجهات المتعاملة مع البيانات، بدءًا من جهة التحكم، مرورًا بالجهات المستقبلة والمخزنة والمعالجة للبيانات، وصولاً إلى الجهات الإشرافية والرقابية التي تضمن الالتزام بالأحكام التشريعية ذات الصلة.

(1) جهة التحكم بالبيانات: وهي الجهة التي تًصدر القرار إزاء تحديد أغراض ووسائل جمع البيانات الشخصية ومعالجتها. فهي التي تصدر القرارات المتعلقة باستقبال البيانات، وتحديد آليات تخزينها، وشروط معالجتها أو الإفصاح عنها. ويتحمل هذا الطرف المسؤولية النظامية الأولى عن حماية البيانات وضمان التزام كافة العمليات المرتبطة بها بالضوابط المنصوص عليها في نظام حماية البيانات الشخصية

(2) الجهة المستقبلة للبيانات: وهي الجهة التي يتعامل معها صاحب البيانات بشكل مباشر، حيث يقدم لها بياناته الشخصية بهدف الحصول على خدمة أو منتج معين. وتضطلع هذه الجهة بمسؤولية التأكد من جمع البيانات ومعالجتها ضمن الأغراض المصرح بها وبما يتوافق مع متطلبات النظام.

(3) الجهة المخزنة للبيانات: وهي الجهة القادرة على تخزين كميات هائلة من البيانات بما يتجاوز قدرة الجهة المستقبلة، فتتعاقد الجهتان على تخزين البيانات وجعلها تحت تصرف الجهة المستقبلة.

(4) الجهة المعالجة للبيانات: وهي جهة متعاقدة مع الجهة المستقبلة للبيانات، بحيث يكون عملها في إعادة النظر والدراسة والتدقيق والسبر للبيانات بغرض الخروج بمعلومات جديدة من عملية المعالجة، وتحتاج هذه المعالجة إلى تجهيزات وخبرات قد لا تكون متوفرة لدى كل من الجهتين المستقبلة والمخزنة للبيانات، لذا يتم التعاقد مع جهة معالجة مستقلة وخبيرة.

(5) الجهات المشرفة على الجهات السابقة: فأية إدارة أو وزارة أو هيئة تخضع جهات المعالجة والتحكم بالبيانات لإشرافها، هي بدورها جهة مسؤولة عن حماية البيانات الشخصية.

المبادئ الأساسية في حماية البيانات الشخصية:

على اعتبار أن البيانات الشخصية هي جزء لا يتجزأ من هوية كل شخص، فقد كان يجب على نظام حماية البيانات وضع مبادئ أساسية تشبه الدستور الخاص بهذه الحماية، كما يلي:

(1) تحديد إطار الحماية في مفهوم بيانات التعريف بالشخص أو التعرف عليه (المادة الأولى من نظام حماية البيانات الشخصية)؛ فالتعريف الذي يقود إلى معرفة رسمية بالشخص مثل بيانات هويته ورقمه الوطني هي بيانات محمية، وكذلك البيانات التي تقود إلى التعرف على الشخص مثل صورته أو نسبه هي أيضا بيانات محمية.

(2) منح صاحب البيانات مجموعة حقوق فرعية عن حقه بحماية بياناته، وهذه الحقوق الفرعية (المادة الرابعة من نظام حماية البيانات الشخصية).

(أ) الحق بالعلم بالمسوغ من جمع البيانات: كأن يطلب نظام التوصيل الآلي للطلبات مجموعة من البيانات الشخصية للراغبين باستخدام خدمة التوصيل، فيكون المسوغ منها جميعها معرفة عنوان الشخص وتقديم أفضل خدمة له.

(ب) الحق في وصول الشخص إلى بياناته الشخصية لدى جهة التحكم؛ فمثلا الجهة التي تقد خدمة توثيق التوقيع الالكتروني يجب أن تسمح للأشخاص الذين قاموا بتثبيت تواقيعهم مراجعة ملفاتهم المحفوظة لدى جهات التوثيق، بغرض تأكد الشخص من صحة توثيق توقيعه.

(ج) الحق في طلب الحصول على البيانات الشخصية المحفوظة لدى جهة التحكم؛ فمثلا، يستطيع الشخص الذي يطلب الخدمات على المنصات الإلكترونية أن يطلب كشفًا بجميع الطلبات التي قدمها والبيانات الشخصية التي أفصح عنها قبل الحصول على تلك الخدمات.

(د) الحق في طلب تصحيح البيانات الشخصية: وهو حق تابع لحق الاطلاع على البيانات؛ حيث إن الاطلاع قد يفضي لاكتشاف خطأ في البيانات الأمر الذي يمنح الحق لصاحبها بطلب التصحيح.

(هـ) الحق في إلغاء البيانات؛ فإذا ألغى الشخص حسابه لدى جهة تقديم خدمات الإلكترونية، فمن حقه أن يطلب إلغاء كافة البيانات الشخصية التي حصلت عليها تلك الجهة خلال تقديم الخدمة.

(3) عدم جواز معالجة البيانات إلا بعد الحصول على إذن صاحبها؛ فالمعالجة وفق النظام تتضمن التخزين والسبر وباقي العمليات التي تجري على البيانات الضخمة والتي تتضمن الكشف عن سجلات الأشخاص، الأمر الذي يفترض أن يكون بعد الحصول على إذن صاحب البيانات.

معضلة الاستثناءات من حماية البيانات:

في عالم البيانات الشخصية لا توجد حقوق مطلقة، أي أن صاحب البيانات لا يتمتع بالحق بإخفاء بياناته بشكل كامل عن كافة الجهات. لذلك، فإن الحماية المطلقة للبيانات الشخصية من غير الكشف عنها هي حماية غير موجودة وغير مقبولة أساسا وفق النظام، إلا في حدود ضيقة ضمن ما يسمى بـ: “البيانات الحساسة” التي يحق لصاحبها أن يحافظ على سريتها مثل البيانات الائتمانية أو الصحية أو الوراثية (المادة الأولى من نظام حماية البيانات الشخصية).

في هذه النقطة تنشأ إشكالية قانونية محل جدال واسع؛ وهي الاستثناءات من الحماية البيانات الشخصية. فإذا كانت البيانات الشخصية غير سرية ولا حساسة، فما الذي يحكم الإطار النظامي للإفصاح عنها أو كشفها؟ هل هو قبول صاحب البيانات دائماً؟

بالتأكيد لا، فالبيانات الشخصية ضرورية لمعرفة الأشخاص وتحديد هويتهم؛ وهي من الأمور التي لا تتطلب قبول الأشخاص في كل الأحوال، بل قد تقوم بها السلطات من تلقاء نفسها توخياً للمصلحة العامة.

فإذا، كان لا بد لنظام حماية البيانات الشخصية أن يحدد إطار الاستثناءات من هذه الحماية، وأن يحل معضلة التعارض بين الحماية التي صدر من أجلها النظام، وبين الاستثناءات التي إذا كانت واسعة أو بضوابط فضفاضة فإن الحماية بحد ذاتها ستصبح من غير جدوى. وعليه، فقد جاءت الاستثناءات عن حماية البيانات الشخصية والتي سمحت بمعالجة البيانات بغير إذن صاحبها (المادة السادسة من نظام حماية البيانات الشخصية)، كالتالي:

(1) المعالجة بناء على نظام؛ فقد ينص نظام معين على فتح سجل للشركات المهنية، فهنا لا يعتبر معالجة بيانات تلك الشركات بغرض افتتاح ذلك السجل انتهاكا لحماية البيانات.

(2) المعالجة بناء على اتفاق؛ فقد ينص الاتفاق المبرم بين المحامي وموكله على السماح للمحامي بالاطلاع على معلوماته الصحية التاريخية التي تعتبر من البيانات الحساسة وفق النظام، ففي هذه الحالة لا يعتبر اطلاع هذا المحامي عليها مخالفا لحماية البيانات. لكن يخشى في هذه الحالة من التفسير الواسع للاتفاق وتقويل صاحب البيانات ما لم يقل بغرض الكشف عن بياناته بما يتجاوز رضاه.

(3) مقتضيات المصلحة العامة وذلك حصراً في الإطار الأمني أو القضائي ووفق تقدير الجهة العامة.

(4) تحقق مصلحة صاحب البيانات مع استحالة أو تعذر الاتصال به؛ وهنا لا ينحصر تقدير هذه المصلحة بالجهات العامة، بل يكون لأية جهة عامة أو خاصة تقدير تحقق المصلحة؛ وهو ما يجعل هذا الاستثناء خطرا حقيقيا على حماية البيانات الشخصية.

فمثلا، إذا كانت شركة توصيل الطلبات تخزن عناوين عملائها، فقد ترى إدارة الشركة أن من مصلحة عملائها المحققة تنزيل تلك العناوين لديها على خرائط موقع جوجل، وتعميمها على جميع موظفيها حتى يسرع توصيل الطلبات ويصبح أكثر دقة، لكن قد يكون أحد عملائها من الشخصيات العامة أو أن لديه وضع عائلي معين فلا يريد تثبيت موقعه بشكل إلكتروني، بل يريد توصيل الطلب عبر الهاتف العادي.

في مثل هذه الحالات يظهر اختلاف تقدير المصلحة المتحققة للشخص في معالجة بياناته، فحتى وإن كان التواصل معه مستحيلا فقد كان من الأفضل عدم إتاحة المجال لجهات معالجة البيانات أن تتصرف من تلقاء نفسها وأن تقدر مصلحة صاحب البيانات دون الرجوع إليه.

(5) ضرورات تشغيل العمل في جهة التحكم بالبيانات؛ كأن تكون منصة التواصل الاجتماعي مضطرة للكشف عن اسم العميل وعنوانه الالكتروني إلى جهات تخزين ومعالجة المعلومات التي تساعدها في تشغيل المنصة، وبدون هذه المشاركة لن تتم الخدمة التي طلبها العميل أصلاً، ففي هذه الحالة لا حاجة للحصول على موافقة العميل صاحب البيانات إلا إذا أدى هذا الأمر إلى الإخلال بحقوق صاحب البيانات أو مصالحه كأن يتعلق البيان بتعاقدات توريد تفيد المنافسين، أو كان بياناً حساساً كأن يتعلق بمعتقدات صاحب البيان الدينية.