البيئة القانونية السارية
يحظر نظام حماية البيانات الشخصية في المملكة العربية السعودية نقل البيانات الشخصية خارج المملكة ما لم تُستوفَ شروط محددة. يستشرف الإطار أن تصدر هيئة البيانات والذكاء الاصطناعي قائمةً بالدول التي تقدم حماية كافية للبيانات الشخصية، وأن تجري عمليات النقل إلى تلك الدول استناداً إلى قرار الكفاية ذاك. وحتى تاريخ كتابة هذا المقال، لم تُنشر أي قائمة من هذا القبيل. هذا ليس فجوةً انتقالية — إنه بيئة التشغيل الفعلية، وكل منظمة تنقل بيانات شخصية خارج المملكة تعمل في ظلها.
غياب قائمة الكفاية لا يعني أن النقل العابر للحدود محظور. يعني أن كل عملية نقل يجب إجراؤها استناداً إلى أحد الأسس القانونية الأخرى المتاحة، وأن على المنظمة توثيق ذلك الأساس قبل إجراء النقل. السؤال الامتثالي ليس هل يمكن إجراء النقل، بل هل أتمّت المنظمة ما يقتضيه القانون لجعله مشروعاً.
الأسس القانونية الثلاثة المتاحة
في غياب قرار كفاية، يوفر نظام حماية البيانات ولوائحه التنفيذية ثلاثة أسس قانونية بديلة للنقل العابر للحدود:
- الضرورة التعاقدية: النقل ضروري لتنفيذ عقد يكون صاحب البيانات طرفاً فيه، أو لتطبيق إجراءات ما قبل التعاقد اتخذت بناءً على طلبه. هذا الأساس ضيق النطاق، ويغطي عمليات النقل الضرورية فعلاً لتقديم خدمة بعينها للفرد — كنقل البيانات الشخصية إلى شركة شحن دولية لتنفيذ توصيل. لا يشمل عمليات النقل المستمرة إلى مزودي الخدمات السحابية أو مراكز الخدمات المشتركة أو كيانات المجموعة التي هي عناصر هيكلية في طريقة المنظمة العامة لمعالجة البيانات، لا ضرورات خاصة بمعاملة بعينها.
- المصلحة العامة: النقل ضروري لأداء التزام يفرضه القانون أو لحماية المصلحة العامة. ينطبق هذا الأساس على النقل المطلوب بموجب التزامات المعاهدات الدولية، أو التنسيق التنظيمي بين الجهات السعودية ونظيراتها الأجنبية، أو غيرها من مسوغات المصلحة العامة الحقيقية. لا يتاح بوصفه أساساً عاماً للمعالجة التجارية.
- الموافقة الصريحة: أعطى صاحب البيانات موافقته الصريحة على نقل بياناته الشخصية إلى دولة الاستقبال أو الجهة المستقبلة تحديداً، بعد إعلامه بغياب الحماية الكافية في وجهة النقل والمخاطر التي ينطوي عليها ذلك. هذا الأساس الأكثر سوء تطبيقاً على أرض الواقع. يجب أن تكون الموافقة وفق نظام حماية البيانات حرةً وخاصةً ومستنيرةً ولا لبس فيها. الموافقة المدفونة في إشعار الخصوصية، أو المقترنة بالموافقة على أنشطة معالجة أخرى، أو المشروطة بالحصول على الخدمة، لا تستوفي هذا المعيار. بالنسبة لعمليات النقل التجارية الاعتيادية — كبيانات الموارد البشرية إلى منصة HRIS عالمية، أو بيانات العملاء إلى نظام إدارة علاقات عملاء دولي — الحصول على موافقة صريحة صحيحة لكل عملية نقل أمرٌ غير عملي عموماً وليس الأساس القانوني المناسب.
البنود التعاقدية النموذجية في ظل القانون السعودي
يُشير إطار نظام حماية البيانات إلى "الضمانات الملائمة" آليةً للنقل العابر للحدود، بالتماثل مع آلية البنود التعاقدية النموذجية في اللائحة الأوروبية العامة لحماية البيانات. غير أن هيئة البيانات والذكاء الاصطناعي لم تُصدر حتى الآن مجموعةً من البنود التعاقدية النموذجية المعتمدة للاستخدام بموجب القانون السعودي. يُفرز ذلك تحدياً امتثالياً محدداً: يجب على المنظمات الراغبة في الاستناد إلى الضمانات التعاقدية تحديد المضمون الموضوعي الذي يجب أن تتضمنه تلك الأحكام التعاقدية لتشكّل ضمانات كافية بموجب نظام حماية البيانات، في غياب نموذج منشور.
استناداً إلى ما تصفه اللوائح التنفيذية من مضمون يجب أن تغطيه الضمانات الملائمة، ينبغي أن تتناول أحكام النقل التعاقدية بموجب القانون السعودي، كحدٍّ أدنى: تقييد الغرض ملزماً للمستقبِل، والتزامات أمنية مكافئة على الأقل لتلك التي تطبقها الجهة الناقلة، وحقوق أصحاب البيانات التي يكفلها المستقبِل، وحق الجهة الناقلة في التدقيق أو التحقق من الامتثال، والتزام المستقبِل بإخطار الجهة الناقلة بأي خرق للبيانات الشخصية ضمن مهلة تُمكّن الجهة الناقلة من الوفاء بالتزاماتها تجاه سدايا في الإخطار، والتزامات الاحتفاظ بالبيانات وحذفها المنسجمة مع التزامات الجهة الناقلة بموجب نظام حماية البيانات.
التوثيق المطلوب اليوم
بصرف النظر عن الأساس القانوني الذي تستند إليه المنظمة، تُلزم اللوائح التنفيذية لنظام حماية البيانات بحفظ توثيق محدد قبل أي عملية نقل عابر للحدود وخلالها:
- مدخلة في سجل معالجة البيانات تُحدد النقل والأساس القانوني والمستقبِل ودولة الاستقبال
- بالنسبة للضمانات التعاقدية: الاتفاقية المُبرمة أو الأحكام التعاقدية المحددة التي تُشكّل صك الضمان
- بالنسبة للنقل القائم على الموافقة: سجلات الموافقة، بما يشمل المعلومات المقدمة لصاحب البيانات عن دولة الاستقبال والمخاطر، والآلية التي جرى من خلالها الحصول على الموافقة
- بالنسبة لنقل المصلحة العامة: الالتزام القانوني المحدد أو مسوّغ المصلحة العامة مع الإشارة إلى القانون أو الاشتراط التنظيمي المنطبق
- سجل بأي تقييم أثر على حماية البيانات أُجري في سياق عملية النقل
الالتزام بالتوثيق ليس شكلية. في الإجراءات التنفيذية، عاملت هيئة البيانات والذكاء الاصطناعي غيابَ التوثيق دليلاً على انعدام الأساس القانوني وقت النقل — حتى حيث حدّدت المنظمة لاحقاً أساساً قانونياً كان متاحاً. يجب أن يوجد السجل الامتثالي معاصراً لعملية النقل.
متى نتوقع قائمة الكفاية؟
أشارت هيئة البيانات والذكاء الاصطناعي في توجيهاتها العامة إلى أنها تطور بنشاط إطاراً لقرارات الكفاية، يشمل تقييمات لأنظمة حماية البيانات في الدول التي تربط المملكة بها علاقات تجارية واستثمارية وثيقة. غير أنه لم يُعلَن عن أي جدول زمني، ولم تُنشر أي قائمة أولية للتشاور بشأنها. المنظمات التي تفترض وشك صدور قائمة الكفاية — وأن عبء الامتثال الانتقالي سيُقنَّن بمجرد نشرها — تقبل مخاطرة لا تسندها البيئة التنفيذية الراهنة. الدلالة العملية هي أن البنية التحتية الامتثالية التي تبنيها المنظمة اليوم لمواجهة بيئة غياب قائمة الكفاية هي ذاتها البنية التي ستُؤسّس امتثالها متى صدرت القائمة: حين تصدر قائمة الكفاية، ستُبسّط التزامات توثيق النقل لا تُلغيها.