أصدرت الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) البنود التعاقدية القياسية لنقل البيانات الشخصية على منصة استطلاع بتاريخ 15/08/2024؛ وتغطي الوثيقة إحدى الضمانات الأربع المذكورة في اللائحة التنفيذية لنقل البيانات الشخصية إلى خارج المملكة.
سنورد في هذا الملخص البنود التعاقدية القياسية المقترحة من الهيئة (النماذج) وبعض طرق النقل الأخرى المحتملة وفقًا لنظام حماية البيانات الشخصية (نظام حماية البيانات الشخصية).
نطاق التطبيق
جميع الكيانات والأفراد (جهات التحكم وجهات المعالجة) ضمن نطاق نظام حمايةالبيانات الشخصية التي تنقل البيانات الشخصية إلى خارج المملكة.
ملخص
تُقدم البنودالتعاقدية القياسية متطلبات إحدى الضمانات الأربع لنقل البيانات الشخصية إلى خارج المملكة. ولكن قبل تلخيص البنود التعاقدية القياسية، نود أن نطلعك على الطرق الممكنة لنقل البيانات الشخصية إلى خارج المملكة، والتي تشمل:
- نقل البيانات الشخصية إلى دولة مدرجة في قائمة الدول أو المنظمات الدولية التي توفر مســــتوى مناســــب لحماية البيانات الشــــخصــــية. لم يتم نشر هذه القائمة بعد.
- في حالة عدم وجود مستوى مناسب لحماية البيانات الشخصية خارج المملكة، يجوز لجهة التحكم نقل البيانات الشخصية أو الإفصاح عنها خارج المملكة، بشرط ألا تمس المتطلبات التنظيمية في الدولة أو المنظمة الدولية خصوصية أصحاب البيانات الشخصية أو القدرة على فرض الضمانات المناسبة: قد تكون الضمانات المناسبة أيًا مما يلي (وفقًا لمتطلبات إضافية معينة بموجب اللوائح):
- القواعد المشتركة الملزمة: والتي تنطبق على الأطراف (داخل المملكة وخارجها) المشاركة في/مع الكيانات التي تشارك في نشاط اقتصادي مشترك (يجب الموافقة على هذه القواعد من قبل الهيئة العامة للاستثمار (أو السلطة المختصة المعنية) على أساس كل حالة على حدة)؛
- شهادات الالتزام: والتي تصدر من جهة مرخصة من قبل الهيئة السعودية للبيانات والذكاء الاصطناعي (أو السلطة المختصة المعنية إلى كيان خارج المملكة يطبق الضمانات المناسبة، إلى جانب الالتزامات القابلة للتنفيذ من جهة التحكم أو جهة المعالجة في الدولة الثالثة لتطبيق الضمانات المناسبة؛
- قواعد السلوك الملزمة: والتي توافق عليها الهيئة السعودية للبيانات والذكاء الاصطناعي (أو السلطة المختصة المعنية) وفق طلبات تقدم لها في كل حالة على حدة، مع التزام جهة التحكم أو جهة المعالجة خارج المملكة الضمانات الملائمة؛ و
- البنود التعاقدية القياسية: حيث يتم إضافة بنود إلى العقود المعمول
- البنود التعاقدية القياسية: حيث يتم إضافة بنود إلى العقود المعمول بها لضمان المستوى الكافي لحماية البيانات الشخصية عند نقلها خارج المملكة (إلى أي جهة أو فرد)، وفقًا لنموذج قياسي تصدره الهيئة السعودية للبيانات والذكاء الاصطناعي (أو السلطة المختصة المعمول بها). تتناول النماذج المقترحة هذا الضمان.
ملاحظة هامة: لا تسمح الضمانات المنصوص عليها في البنود التعاقدية القياسية بنقل البيانات الشخصية إذا كانت قوانين وأنظمة البلد المتلقي أو المنظمة الدولية تمنع صاحب البيانات من الامتثال للبنود التعاقدية القياسية.
- إذا لم تنطبق أي من الضمانات، فقد يبقى نقل البيانات الشخصية ممكنًا إلى الحد الذي تنطبق عليه أي من الاستثناءات أدناه:
- نقل البيانات في حالات الضرورة القصوى للحفاظ على حياة أو مصالح حيوية تتعلق بصاحب البيانات أو للوقاية من الأمراض أو فحصها أو علاجها.
- يعد النقل ضروريًا لغرض تنفيذ اتفاقية يكون صاحب البيانات طرفًا فيها.
- إذا كانت جهة التحكم كيانًا عامًا وكان النقل ضروريًا لحماية الأمن الوطني للمملكة أو المصلحة العامة.
- إذا كانت جهة التحكم كيانًا عامًا وكان النقل (أو الإفصاح) ضروريًا للتحقيق في الجرائم أو اكتشافها، أو مقاضاة مرتكبيها، أو لتنفيذ العقوبات الجزائية.
فيما يتعلق بالنماذج، فإنها تهدف إلى تنظيم وتوفير حل لتمكين الكيانات من نقل البيانات الشخصية إلى كيانات/ جهات أو أفراد خارج المملكة في مكان تواجد هذه الكيانات في ولايات قضائية قد لا توفر بالضرورة مستوى مكافئًا من الحماية كما هو مطلوب بموجب النظام السعودي. يجب على الكيانات أو الأفراد الراغبين في نقل البيانات الشخصية إلى مثل هذه الكيانات الأجنبية أو الأفراد الأجانب دمج النماذج المعمول بها في عقودهم مع هذا الطرف الأجنبي لضمان التعامل مع هذه البيانات بأعلى مستوى من الأمان والالتزام.
نلاحظأن هناك بنودًا عامة تنطبق على كافة الحالات التعاقدية، بالإضافة إلى بنود أخرىذات طبيعة محددة وفقًا للأدوار المختلفة التالية:
- أن تكون جهة التحكم في المملكة بحيث تقوم بنقل البيانات إلى جهة تحكم أخرى في الخارج؛
- أن تكون جهة التحكم في المملكة بحيث تقوم بنقل البيانات إلى جهة معالجة في الخارج؛
- أن تكون جهة المعالجة في المملكة بحيث تقوم بنقل البيانات إلى جهة معالجة أخرى في الخارج؛ و
- أن تكون جهة المعالجة في المملكة بحيث تقوم بنقل البيانات إلى جهة تحكم في الخارج.
يعود سبب الاختلاف في البنود إلى المتطلبات المختلفة لجهات التحكم وجهات المعالجة بموجب النظام ولوائحه التنفيذية، حيث إن جهة التحكم هي الطرف الذي يحدد غرض وطريقة معالجة البيانات الشخصية، في حين أن جهة المعالجة هي الطرف الذي يعالج البيانات الشخصية لصالح جهة التحكم ونيابة عنها.
نظرًا لأن الأطراف قد يكون لها أكثر من دور بموجب اتفاقيات نقل البيانات، فقد يكون هناك أكثر من شرط قابل للتطبيق وسيكون من اللازم تضمينه في الاتفاقيات المعمول بها بين الأطراف.
يجدر الإشارة إلى ملاحظة مهمة أخرى وهي أن استخدام النماذج )وضمانات البنود التعاقدية القياسية) يعتمد على حقيقة أن مستورد البيانات يجب أن يخضع لاختصاص المحاكم واللجان القضائية في المملكة ويجب أن يتعهد بالامتثال لأي قرار ملزم يصدر بموجب الأنظمة المعمول بها في المملكة.
الأثر المتوقع
حتى تقوم الهيئة السعودية للبيانات والذكاء الاصطناعي بنشر قائمة الدول أو المنظمات الدولية التي توفر مســــتوى مناســــب لحماية البيانات الشــــخصــــية والقواعد والمبادئ التوجيهية المتوقعة الأخرى فيما يتعلق ببقية الضمانات، توفر البنود التعاقدية القياسية لجهات التحكم والمعالجة في المملكة طرقًا ووسائلًا لنقل البيانات الشخصية إلى جهات التحكم والمعالجة خارج المملكة والذي قد لا تكون مدرجة في قائمة الدول.
رابط القرار
البنود التعاقدية القياسيةلنقل البيانات الشخصية
النشر في الجريدة الرسمية
لا ينطبق
تاريخ السريان
الوثيقة متاحة على منصة استطلاع من تاريخ 15/08/2024م وحتى 30/08/2024م، وبعد ذلك ستقوم الجهة المختصة بتطبيق الملاحظات الواردة عليها ونشر النسخة النهائية المعتمدة على موقعها الإلكتروني، ولكن لم يتم تحديد هذا التاريخ بعد.
ملاحظة: تحمل المصطلحات المكتوبة بالخط العريض والمستخدمة هنا المعاني الواردة في نظام حماية البيانات الشخصية ولوائحه التنفيذية.