صورة للتوضيح فقط تصوير: mayam_studio-shutterstock
بهدف تحديد الإجراءات اللازمة للتعامل مع هذا النوع من الحوادث.
وحددت "سدايا" 3 مراحل رئيسية للتعامل مع حوادث تسرب البيانات الشخصية، تبدأ بـ:
إشعار الهيئة: والذي ينص الدليل على حتمية حدوثه خلال مدة لا تتجاوز 72 ساعة من وقت وقوع الحادث، على أن يتضمن الإشعار وصفًا لحادثة تسرب البيانات يشمل الوقت والتاريخ والكيفية، وتتطلب هذه المرحلة تقديم وصف للمخاطر والفئات والأعداد الفعلية لأصحاب البيانات الشخصية المعنيين بالحادث، مع بيان إذا ما سيتم إشعارهم بتسريب البيانات.
الدليل بـ"احتواء حادثة التسرب": وتعني هذه المرحلة التي وصفها بالإجراءات الواجب اتباعها في هذه الحالة من قبل جهة التحكم، بما يشمل تحديد نوع وحجم البيانات الشخصية، ونوعية البيانات المسربة والقابلة للتغيير مثل (البريد الإلكتروني وكلمة المرور والأسئلة السرية وأرقام البطاقات الائتمانية)، والعمل على تغييرها، وتشمل هذه المرحلة أيضًا (تحديد الأفراد المتضررين من حادثة التسرب، وقيام جهة التحكم بإشعار صاحب البيانات الشخصية دون تأخير غير مبرر، حال ترتب على ذلك ضرر في البيانات أو تعارض مع حقوقه ومصالحه)، وقد أوضح الدليل في هذا الصدد (وسائل إشعار صاحب البيانات الشخصية، والتي تشمل أي وسيلة مناسبة مثل الرسائل النصية أو البريد الإلكتروني، وفي حال اتساع الضرر ليشمل مجموعة كبيرة من الأشخاص على المستوى الوطني، يمكن لجهة التحكم إشعار صاحب البيانات بوسائل أخرى، مثل الموقع الإلكتروني الخاص بالجهة، أو حساباتها الرسمية على منصات التواصل الاجتماعي، أو وسائل الإعلام).
التوثيق: وتقتضي هذه المرحلة من جهة التحكم الاحتفاظ بنسخ المستندات التي يتم تقديمها بشأن حوادث تسرب البيانات الشخصية لديها، وتوثيق الإجراءات التصحيحية المتخذة حيالها، وأي مستندات أو وثائق داعمة لذلك.
وأوضحت الهيئة السعودية للبيانات والذكاء الاصطناعي، أنه يمكن الاطلاع على الدليل الإجرائي لمعالجة حوادث تسرب البيانات الشخصية من خلال الرابط.