English
العربية
لا يتحقق الامتثال لنظام حماية البيانات الشخصية في المملكة من خلال وثيقة واحدة فحسب. إذ يُرسّخ النظام إطارًا متدرجًا للمساءلة يقتضي من المنشآت حوكمة البيانات الشخصية داخليًا، وضبط آلية معالجتها من قبل الأطراف الثالثة، وتقييم المخاطر قبل الشروع في المعالجة. وضمن هذا الإطار، تؤدي ثلاث أدوات أدوارًا متميزة وذات أهمية نظامية واضحة، وهي: سياسة حماية البيانات (DPP)، واتفاقية معالجة البيانات (DPA)، وتقييم أثر حماية البيانات (DPIA). وهذه الأدوات ليست قابلة للاستبدال فيما بينها، إذ يستجيب كل منها لالتزام نظامي مختلف بموجب أحكام النظام.
تُعد سياسة حماية البيانات نقطة الانطلاق في امتثال المنشآت لنظام حماية البيانات الشخصية. إذ يُلزم النظام المتحكمين باتخاذ التدابير التنظيمية المناسبة لضمان معالجة البيانات الشخصية بما يتوافق مع أحكام النظام ولوائحه التنفيذية. ومن الناحية العملية، لا يمكن الوفاء بهذا الالتزام دون وجود سياسة داخلية تُحدد المسؤوليات، وآليات الاعتماد والموافقة، ومتطلبات الحماية، ومسارات التصعيد. كما يُنظر إلى مدى إنشاء المنشأة لهياكل حوكمة قادرة على ضمان المعالجة المشروعة بوصفه مؤشرًا جوهريًا على الامتثال. وتمثل سياسة حماية البيانات دليلًا على أن المنشأة قد ترجمت الالتزامات النظامية إلى قواعد داخلية تُوجّه الموظفين وصنّاع القرار. وفي غيابها، يصبح الامتثال عرضة للاجتهادات الفردية ويصعب إثباته أو الدفاع عنه.
وتكون اتفاقية معالجة البيانات مطلوبة متى ما استعان المتحكم بطرف ثالث لمعالجة بيانات شخصية نيابةً عنه. ويؤكد نظام حماية البيانات الشخصية ولوائحه التنفيذية أن المتحكم يظل مسؤولًا نظاميًا عن البيانات الشخصية حتى في حال إسناد المعالجة إلى الغير. وللوفاء بهذا الالتزام، يتعين على المتحكم التأكد من أن المعالج يقدم ضمانات كافية لحماية البيانات الشخصية، وأن يلتزم بالمعالجة وفقًا لتعليمات موثقة. وتمثل اتفاقية معالجة البيانات الأداة النظامية التي تُفرض من خلالها هذه الضمانات؛ إذ تحدد نطاق المعالجة، وتقيد استخدام البيانات، وتلزم باتخاذ تدابير أمنية مناسبة، وتنظم الإبلاغ عن الحوادث وحقوق المراجعة والتدقيق. ومن دون هذه الاتفاقية، يتعذر على المتحكم إثبات ممارسته لمستوى الرقابة المطلوب نظامًا على أعمال المعالجين.
ويتناول تقييم أثر حماية البيانات التزامًا نظاميًا مختلفًا. إذ يُلزم نظام حماية البيانات الشخصية المتحكمين بتقييم المخاطر المرتبطة بأنشطة المعالجة، ولا سيما في الحالات التي قد يترتب عليها ضرر على أصحاب البيانات. وقد أكدت اللوائح التنفيذية هذا الالتزام من خلال اشتراط تقييم طبيعة المعالجة ونطاقها وسياقها وأغراضها، واتخاذ التدابير اللازمة للتخفيف من المخاطر التي يتم تحديدها. ويُعد تقييم أثر حماية البيانات المنهجية المنظمة لإجراء هذا التقييم، ويكتسب أهمية خاصة في الأنشطة عالية المخاطر، مثل معالجة البيانات الشخصية الحساسة، أو المعالجة على نطاق واسع، أو استخدام التقنيات الجديدة. كما يتزايد التركيز التنظيمي على ضرورة توافر ما يثبت أن المخاطر قد جرى تقييمها قبل بدء المعالجة، وليس بعد وقوع حادثة.
ومن منظور تنظيمي، تؤدي هذه الأدوات وظائف متكاملة فيما بينها. فسياسة حماية البيانات تُرسّخ إطار الحوكمة الداخلي، بينما تمتد اتفاقية معالجة البيانات بهذا الإطار إلى الأطراف الثالثة، ويُظهر تقييم أثر حماية البيانات أن المنشأة قد قامت فعليًا بتحديد المخاطر وتقييمها واتخاذ التدابير اللازمة لمعالجتها. ويؤدي غياب أي من هذه العناصر إلى نشوء فجوة في الامتثال يصعب تبريرها في سياق أي مراجعة أو إجراء إنفاذ.
وفي المملكة العربية السعودية، لا يُقاس الامتثال لنظام حماية البيانات الشخصية بمجرد الإقرار بالالتزامات النظامية، وإنما بمدى تفعيلها وتشغيلها عمليًا ضمن هياكل المنشأة وإجراءاتها. فالمنشآت التي تدرك الغاية النظامية من كل أداة من هذه الأدوات تكون في موقع أفضل لإثبات المساءلة، والحد من مخاطر الإنفاذ، والمواءمة مع التوقعات التنظيمية للجهة المختصة مع استمرار نضوج الإطار التنظيمي.
محمد الأحمد وبتانيا ألو
فريق تقنية المعلومات والإعلام والاتصالات (TMT) | التقنية والبيانات والأمن السيبراني وحوكمة الذكاء الاصطناعي
