قدمت شركة كي بي إم جي للاستشارات المهنية، في السعودية، في ورقة جديدة (نشرة )، توصيات للشركات حول ما يمكن أن تتوقعه من تطبيق قانون حماية البيانات الشخصية الجديد (PDPL) في المملكة العربية السعودية، ومساعدتها على تجنب المخاطر والعقوبات المحتملة والإضرار بسمعتها.
ولقد تم نشر القانون الجديد الذي طالَ انتظاره في الجريدة الرسمية في السعودية، بتاريخ 24 سبتمبر 2021. وبعد الإعلان الأخير، سيصبح قانون PDPL نشطًا بشكل رسمي اعتبارًا من 14 سبتمبر 2023، مما يمثل علامة فارقة مهمة في التزام المملكة بالخصوصية.
ومنحت الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA)، التي تمثل الجهة الرئيسة المنظمة لقانون PDPL، الشركات فترة سماح مدتها عام واحد، بدءًا من تاريخ نفاذ القانون، حيث توفر فترة السماح التي تمتد حتى 14 سبتمبر 2024، فرصة حيوية للشركات للامتثال الكامل لأحكام القانون الجديد.
وبهذه المناسبة، قال تون ديمونت، رئيس استشارات الأمن السيبراني وخصوصية البيانات لدى شركة كي بي إم جي في السعودية: "يعد تمهيد الطريق لتنفيذ قانون PDPL وبرنامج إدارة الامتثال المستمر منذ البداية خطوة إستراتيجية أساسية لضمان النجاح والاستدامة على المدى الطويل في قطاع الأعمال المعتمد على البيانات في عصرنا الحالي."
وتجري شركة كي بي إم جي مقارنة مع اللائحة العامة لحماية البيانات (GDPR) في الاتحاد الأوروبي، وهو قانون يحمل أوجه تشابه في البنية والمفاهيم والمبادئ وإطار العمل. كما يعد GDPR أحد قوانين حماية البيانات الأكثر شمولًا في العالم حتى الآن وقد ترك تأثيرًا كبيرًا على العديد من قوانين حماية البيانات في الدول والسلطات القضائية على نطاق واسع؛ مما يجعله نموذجًا يحتذى به لقوانين خصوصية البيانات وحمايتها في جميع أنحاء العالم.
في حين أنَّ هيئات حماية البيانات في الاتحاد الأوروبي يمكنها فرض غرامات تصل إلى 20 مليون يورو، أو 4٪ من حجم التداول العالمي، أيهما أعلى، حيث تُحدد الغرامات ويتم إصدارها بناءً على الإيرادات الدولية للشركة.
وأشارت الورقة إلى أنَّه بعد إطلاق اللائحة العامة لحماية البيانات (GDPR)، ظهرت العديد من التحديات المستمرة، بما في ذلك التحول الثقافي والصعوبات التقنية والاستجابة لطلبات المستخدمين في الوقت المناسب والتدريب على الامتثال متعدد المستويات وتخطيط الميزانية المعدلة.
وأضاف ديمونت قائلًا: "بغضِّ النظر عن الاختلافات في المواقف بين الاتحاد الأوروبي والمملكة العربية السعودية تجاه البيانات الشخصية، فهناك احتمال قوي بأن يصبح المستهلكون من المملكة أكثر وعيًا بالخصوصية".
وفي حين أنَّ التركيز الأولي سيكون على الشركات المحلية لتصبح متوافقة مع قانون حماية البيانات الشخصية (PDPL)، سيكون هناك في نهاية المطاف مطالبات بالامتثال لقانون PDPL للمؤسسات خارج المملكة والتي تقوم بمعالجة البيانات الشخصية للمكونات السعودية.
من جهته، أشار أحمد شكر، قائد استشارات خصوصية البيانات لدى شركة كي بي إم جي في السعودية، قائلًا: "في الوقت الحالي، تم تأجيل هذا المطلب لمدة تصل إلى خمس سنوات من تاريخ إصدار القانون. لذلك، ننصح الشركات بالاستعداد لهذا الاحتمال في الوقت المناسب لضمان استمرارية الأعمال."
واختتم ديمونت حديثه قائلًا: "من المرجح أن يتطور قانون PDPL بمرور الوقت، مع توقع تعديلات ومراجعات إضافية بعد تقديم القانون لأول مرة؛ وبالتالي، يجب أن يكون مراقبو البيانات ومديرو الخطط مستعدين لإجراء المزيد من التغييرات والتعديلات والتحديثات لضمان الامتثال الكامل لقانون PDPL."
ولقد تم نشر القانون الجديد الذي طالَ انتظاره في الجريدة الرسمية في السعودية، بتاريخ 24 سبتمبر 2021. وبعد الإعلان الأخير، سيصبح قانون PDPL نشطًا بشكل رسمي اعتبارًا من 14 سبتمبر 2023، مما يمثل علامة فارقة مهمة في التزام المملكة بالخصوصية.
ومنحت الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA)، التي تمثل الجهة الرئيسة المنظمة لقانون PDPL، الشركات فترة سماح مدتها عام واحد، بدءًا من تاريخ نفاذ القانون، حيث توفر فترة السماح التي تمتد حتى 14 سبتمبر 2024، فرصة حيوية للشركات للامتثال الكامل لأحكام القانون الجديد.
وبهذه المناسبة، قال تون ديمونت، رئيس استشارات الأمن السيبراني وخصوصية البيانات لدى شركة كي بي إم جي في السعودية: "يعد تمهيد الطريق لتنفيذ قانون PDPL وبرنامج إدارة الامتثال المستمر منذ البداية خطوة إستراتيجية أساسية لضمان النجاح والاستدامة على المدى الطويل في قطاع الأعمال المعتمد على البيانات في عصرنا الحالي."
وتجري شركة كي بي إم جي مقارنة مع اللائحة العامة لحماية البيانات (GDPR) في الاتحاد الأوروبي، وهو قانون يحمل أوجه تشابه في البنية والمفاهيم والمبادئ وإطار العمل. كما يعد GDPR أحد قوانين حماية البيانات الأكثر شمولًا في العالم حتى الآن وقد ترك تأثيرًا كبيرًا على العديد من قوانين حماية البيانات في الدول والسلطات القضائية على نطاق واسع؛ مما يجعله نموذجًا يحتذى به لقوانين خصوصية البيانات وحمايتها في جميع أنحاء العالم.
في حين أنَّ هيئات حماية البيانات في الاتحاد الأوروبي يمكنها فرض غرامات تصل إلى 20 مليون يورو، أو 4٪ من حجم التداول العالمي، أيهما أعلى، حيث تُحدد الغرامات ويتم إصدارها بناءً على الإيرادات الدولية للشركة.
وأشارت الورقة إلى أنَّه بعد إطلاق اللائحة العامة لحماية البيانات (GDPR)، ظهرت العديد من التحديات المستمرة، بما في ذلك التحول الثقافي والصعوبات التقنية والاستجابة لطلبات المستخدمين في الوقت المناسب والتدريب على الامتثال متعدد المستويات وتخطيط الميزانية المعدلة.
وأضاف ديمونت قائلًا: "بغضِّ النظر عن الاختلافات في المواقف بين الاتحاد الأوروبي والمملكة العربية السعودية تجاه البيانات الشخصية، فهناك احتمال قوي بأن يصبح المستهلكون من المملكة أكثر وعيًا بالخصوصية".
وفي حين أنَّ التركيز الأولي سيكون على الشركات المحلية لتصبح متوافقة مع قانون حماية البيانات الشخصية (PDPL)، سيكون هناك في نهاية المطاف مطالبات بالامتثال لقانون PDPL للمؤسسات خارج المملكة والتي تقوم بمعالجة البيانات الشخصية للمكونات السعودية.
من جهته، أشار أحمد شكر، قائد استشارات خصوصية البيانات لدى شركة كي بي إم جي في السعودية، قائلًا: "في الوقت الحالي، تم تأجيل هذا المطلب لمدة تصل إلى خمس سنوات من تاريخ إصدار القانون. لذلك، ننصح الشركات بالاستعداد لهذا الاحتمال في الوقت المناسب لضمان استمرارية الأعمال."
واختتم ديمونت حديثه قائلًا: "من المرجح أن يتطور قانون PDPL بمرور الوقت، مع توقع تعديلات ومراجعات إضافية بعد تقديم القانون لأول مرة؛ وبالتالي، يجب أن يكون مراقبو البيانات ومديرو الخطط مستعدين لإجراء المزيد من التغييرات والتعديلات والتحديثات لضمان الامتثال الكامل لقانون PDPL."
