وطبقاً للمحامية خلود ماجد الأحمدي، فإن البيانات الشخصية هي كل بيان مهما كان مصدره أو شكله من شأنه أن يؤدي إلى التعريف بشكل محدد، أو يجعل التعرف عليه ممكناً بصفة مباشرة أو غير مباشرة، ومن ذلك الاسم، ورقم الهوية الشخصية، والعناوين، وأرقام التواصل، وأرقام الرُّخص والسجلات والممتلكات الشخصية، وأرقام الحسابات البنكية والبطاقات الائتمانية، وصور الفرد الثابتة أو المتحركة، وغير ذلك من البيانات ذات الطابع الشخصي فضلاً عن البيانات الحساسة التي تشير إلى أصل الفرد العرقي أو أصله القبلي، أو معتقده الديني أو الفكري، أو يدل على عضويته في جمعيات أو مؤسسات أهلية، وكذلك البيانات الجنائية والأمنية، أو بيانات السمات الحيوية التي تحدد الهوية، أو البيانات الوراثية، أو البيانات الائتمانية، أو البيانات الصحية، وبيانات تحديد الموقع، والبيانات التي تدل على أن الفرد مجهول الأبوين أو أحدهما. يضاف لذلك نشر أي من البيانات الوراثية والصحية والائتمانية، ويجرم النظام نشر أو بث أي من تلك البيانات الشخصية عبر وسيلة نشر مقروءة أو مسموعة أو مرئية، أو إتاحتها ويحال المخالفون للنيابة ومن ثم للمحكمة.
5 استثناءات للإفصاح
المحامي خالد أبوراشد لفت إلى أن النظام أكد عدم جواز معالجة البيانات الشخصية أو تغيير الغرض من معالجتها إلا بعد موافقة صاحبها كما لا يجوز لجهة التحكم جمع البيانات الشخصية إلا من صاحبها مباشرةً وبحسب النظام لا يجوز لجهة التحكم الإفصاح عن البيانات الشخصية إلا في حالات خمس، أولها إذا وافق صاحب البيانات الشخصية على الإفصاح وفقاً لأحكام النظام، أو إذا كانت البيانات الشخصية جرى جمعها من مصدر متاح للعموم. أو إذا كانت الجهة التي تطلب الإفصاح جهة عامة لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية أو إذا كان الإفصاح ضرورياً لحماية الصحة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم. وإذا كان الإفصاح سيقتصر على معالجتها لاحقاً بطريقة لا تؤدي إلى معرفة هوية صاحب البيانات الشخصية أو أي فرد آخر على وجه التحديد. وتبين اللوائح الضوابط والإجراءات المتعلقة بذلك.
وفي ما يتعلق بالعقوبات أفاد أبوراشد: النظام أكد أن كل من أفصح عن بيانات حساسة أو نشرها مخالفاً أحكام النظام يعاقب بالسجن مدة لا تزيد على (سنتين) وبغرامة لا تزيد على (ثلاثة ملايين) ريال، أو بإحدى هاتين العقوبتين؛ إذا قصد الإضرار بصاحب البيانات أو بقصد تحقيق منفعة شخصية. وتختص النيابة العامة بمهمة التحقيق والادعاء أمام المحكمة عن المخالفات المنصوص عليها في النظام. ويجوز للمحكمة مضاعفة عقوبة الغرامة في حالة العودة حتى لو ترتب عليها تجاوز الحد الأقصى لها على ألا تتجاوز ضعف هذا الحد.
لا تبعث مواد دعائية على البريد الإلكتروني
المحامية نسرين على الغامدي عضو الهيئة السعودية للمحامين وعضو لجنة تراحم، قالت: إن النظام أكد على جهة التحكم إتلاف البيانات الشخصية فور انتهاء الغرض من جمعها، في حين قصر حق الاطلاع على البيانات الصحية بما فيها الملفات الطبية على أقل عدد ممكن من الموظفين أو العاملين وبالقدر اللازم لتقديم الخدمات الصحية اللازمة، وفيما عدا المواد التوعوية التي ترسلها الجهات العامة، لا يجوز لجهة التحكم استخدام وسائل الاتصال الشخصية بما فيها العناوين البريدية والإلكترونية الخاصة بصاحب البيانات الشخصية لأجل إرسال مواد دعائية أو توعوية، إلا بعد أخذ موافقة المتلقي المستهدف على أن يوفر مرسل المواد آلية واضحة تمكن المتلقي المستهدف من إبداء رغبته في التوقف عن إرسالها إليه عند رغبته.