تسجيل الدخول
الرقم الموحد 939 939

الأحكام والإشتراطات

سياسة حماية البيانات الشخصية

المبادئ الرئيسية لحماية البيانات الشخصية:

المبدأ الأول: المسؤولية

أن يتم تحديد وتوثيق سياسات وإجراءات الخصوصية الخاصة بجهة التحكم واعتمادها من قبل المسؤول الأول بالجهة (أو من يفوضه)، ونشرها إلى جميع الأطراف المعنية بتطبيقها.

المبدأ الثاني: الشفافية

أن يتم إعداد إشعار عن سياسات وإجراءات الخصوصية الخاصة بجهة التحكم يحدد فيه الأغراض التي من أجلها تم معالجة البيانات الشخصية وذلك بصورة محددة وواضحة وصريحة.

المبدأ الثالث: الاختيار والموافقة

أن يتم تحديد جميع الخيارات الممكنة لصاحب البيانات الشخصية والحصول على موافقته (الضمنية أو الصريحة) فيما يتعلق بجمع بياناته واستخدامها أو الإفصاح عنها.

المبدأ الرابع: الحد من جمع البيانات

أن يقتصر جمع البيانات الشخصية على الحد الأدنى من البيانات الذي يمكّن من تحقيق الأغراض المحددة في إشعار الخصوصية.

المبدأ الخامس: الحد من استخدام البيانات والاحتفاظ بها والتخلص منها

أن يتم تقييد معالجة البيانات الشخصية بالأغراض المحددة في إشعار الخصوصية والتي من أجلها قدّم صاحب البيانات موافقته الضمنية أو الصريحة، والاحتفاظ بها طالما كان ذلك ضرورياً لتحقيق الأغراض المحددة أو لما تقتضيه الأنظمة واللوائح والسياسات المعمول بها في المملكة وإتلافها بطريقة آمنه تمنع التسرب، أو الفقدان، أو الاختلاس، أو إساءة الاستخدام، أو الوصول غير المصرّح به نظاماً.

المبدأ السادس: الوصول إلى البيانات

أن يتم تحديد وتوفير الوسائل التي من خلالها يمكن لصاحب البيانات الوصول إلى بياناته الشخصية لمراجعتها وتحديثها وتصحيحها.

المبدأ السابع: الحد من الإفصاح عن البيانات

أن يتم تقييد الإفصاح عن البيانات الشخصية للأطراف الخارجية بالأغراض المحددة في إشعار الخصوصية والتي من أجلها قدّم صاحب البيانات موافقته الضمنية أو الصريحة.

المبدأ الثامن: أمن البيانات

أن يتم حماية البيانات الشخصية من التسرب، أو التلف، أو الفقدان، أو الاختلاس، أو إساءة الاستخدام، أو التعديل أو الوصول غير المصرّح به –وفقاً لما يصدر من الهيئة الوطنية للأمن السيبراني والجهات ذات الاختصاص.

المبدأ التاسع: جودة البيانات

أن يتم الاحتفاظ بالبيانات الشخصية بصورة دقيقة، وكاملة، وذات علاقة مباشرة بالأغراض المحددة في إشعار الخصوصية.

المبدأ العاشر: المراقبة والامتثال

أن يتم مراقبة الامتثال لسياسات وإجراءات الخصوصية الخاصة بجهة التحكم، ومعالجة الاستفسارات والشكاوى والنزاعات المتعلقة بالخصوصية.

 

حقوق صاحب البيانات:

أولاً: الحق في العلم ويشمل ذلك إشعاره بالأساس النظامي أو الاحتياج الفعلي لجمع بياناته الشخصية، والغرض من ذلك، وألَّا تعالج بياناته لاحقاً بصورة تتنافى مع الغرض من جمعها والذي من أجله قدّم موافقته الضمنية أو الصريحة.

ثانياً: الحق في الرجوع عن موافقته على معالجة بياناته الشخصية – في أي وقت – مالم يكن هناك أغراض مشروعة تتطلب عكس ذلك.

ثالثاً: الحق في الوصول إلى بياناته الشخصية لدى جهة التحكم، وذلك للاطلاع عليها، وطلب تصحيحها، أو إتمامها، أو تحديثها وطلب إتلاف ما انتهت الحاجة إليه منها، والحصول على نسخة منها بصيغة واضحة.

 

التزامات جهة التحكم:

1. أن تكون جهة التحكم مسؤولة عن إعداد وتطبيق السياسات والإجراءات المتعلقة بحماية البيانات الشخصية، ويكون المسؤول الأول بالجهة –أو من يفوضه – مسؤول عن الموافقة عليها واعتمادها.

2. أن تقوم جهة التحكم بإنشاء وحدة لحوكمة البيانات تكون (مرتبطة بمكاتب إدارة البيانات في الجهات الحكومية التي تم تأسيسها بموجب الأمر السامي الكريم رقم 59766 وتاريخ 20/11/1439هـ) أو مستقلة (في جهات القطاع الخاص) ويسند لها مسؤولية تطوير وتوثيق ومراقبة تنفيذ السياسات والإجراءات المعتمدة من الإدارة العليا بالجهة، على أن تتضمن مهام ومسؤوليات الوحدة وضع المعايير المناسبة لتحديد مستويات حساسية البيانات الشخصية.

3. أن تقوم جهة التحكم بتقييم المخاطر والآثار المحتملة لأنشطة معالجة البيانات الشخصية وعرض نتائج التقييم على المسؤول الأول بالجهة – أو من يفوضه – لتحديد مستوى قبول المخاطر وإقرارها.

4. أن تقوم جهة التحكم بمراجعة وتحديث العقود واتفاقات مستوى الخدمة والتشغيل بما يتوافق مع سياسات وإجراءات الخصوصية المعتمدة من الإدارة العليات للجهة.

5. أن تقوم جهة التحكم بإعداد وتوثيق الإجراءات اللازمة لإدارة ومعالجة انتهاكات الخصوصية وتحديد المهام والمسؤوليات المتعلقة بفريق العمل المختص، والحالات التي يتم بها إشعار الجهة التنظيمية والمكتب حسب التسلسل الإداري – بناءً على قياس شدة الآثر.

6. أن تقوم جهة التحكم بإعداد برامج توعوية لتعزيز ثقافة الخصوصية ورفع مستوى الوعي وفقاً لسياسات وإجراءات الخصوصية المعتمدة من الإدارة العليا للجهة.

7. أن يتم إشعار صاحب البيانات – بطريقة ملائمة وقت جمع البيانات – بالغرض والأساس النظامي/الاحتياج الفعلي والوسائل والطرق المستخدمة لجمع ومعالجة ومشاركة البيانات الشخصية وكذلك التدابير الأمنية لضمان حماية الخصوصية حسب الأنظمة واللوائح والسياسات المعمول بها في المملكة.

8. أن يتم إشعار صاحب البيانات عن المصادر الأخرى التي يتم استخدامها في حال تم جمع بيانات إضافية بطريقة غير مباشرة (من جهات أخرى).

9. أن يتم تزويد صاحب البيانات بالخيارات المتاحة فيما يتعلق بمعالجة البيانات الشخصية والآلية المستخدمة لممارسة هذه الخيارات، ومنها على سبيل المثال (Preferences, Otp-in and Otp-out).

10. أن يتم أخذ موافقة صاحب البيانات على معالجة البيانات الشخصية بعد تحديد نوع الموافقة (صريحة أو ضمنية) بناءً على طبيعة البيانات وطرق جمعها.

11. أن تكون يكون الغرض من جمع البيانات متوافقاً مع الأنظمة واللوائح والسياسات المعمول بها في المملكة وذو علاقة مباشرة بنشاط الجهة.

12. أن يكون محتوى البيانات مقتصراً على الحد الأدنى من البيانات اللازمة لتحقيق الغرض من جمعها.

13. أن يتم تقييد جمع البيانات على المحتوى المعد سلفاً (الموضح في القاعدة 12) ويكون بطريقة عادلة (مباشرة وواضحة وآمنة وخالية من أساليب الخداع أو التضليل).

14. أن يقتصر استخدام البيانات على الغرض التي جُمعت من أجله.

15. أن تقوم جهة التحكم بإعداد وتوثيق سياسة وإجراءات الاحتفاظ بالبيانات وفقاً للأغراض المحددة والأنظمة واللوائح والسياسات ذات العلاقة.

16. أن تقوم جهة التحكم بتخزين البيانات الشخصية ومعالجتها داخل الحدود الجغرافية للمملكة لضمان المحافظة على السيادة الوطنية الرقمية لهذه البيانات، ولا يجوز معالجتها خارج المملكة إلا بعد حصول جهة التحكم على موافقة كتابية من الجهة التنظيمية، بعد تنسيق الجهة التنظيمية مع المكتب.

17. أن تقوم جهة التحكم بإعداد وتوثيق سياسة وإجراءات التخلص من البيانات لإتلاف البيانات بطريقة آمنة تمنع فقدانها أو إساءة استخدامها أو الوصول غير المصرح به – وتشمل البيانات التشغيلية، المؤرشفة، والنسخ الاحتياطية – وذلك وفقاً لما يصدر من الهيئة الوطنية للأمن السيبراني.

18. أن تقوم جهة التحكم بتضمين أحكام سياستي الاحتفاظ والتخلص من البيانات في العقود في حال إسناد هذه المهام إلى جهات معالجة أخرى.

19. أن تقوم جهة التحكم بتحديد وتوفير الوسائل التي من خلالها يمكن لصاحب البيانات الوصول إلى بياناته الشخصية وذلك لمراجعتها وتحديثها.

20. أن تقوم جهة التحكم بالتحقق من هوية الأفراد قبل منحهم الوصول إلى بياناتهم الشخصية وفقاً للضوابط المعتمدة من قبل الهيئة الوطنية للأمن السيبراني والجهات ذات الاختصاص.

21. يحظر مشاركة البيانات الشخصية مع جهات أخرى إلا وفقاً للأغراض المحددة بعد موافقة صاحب البيانات ووفقاً للأنظمة واللوائح والسياسات على أن يتم تزويد الجهات الأخرى بسياسات وإجراءات الخصوصية المتبعة وتضمينها في العقود والاتفاقيات.

22. أن يتم إشعار أصحاب البيانات وأخذ الموافقة منهم في حال مشاركة البيانات مع جهات أخرى لاستخدامها في غير الأغراض المحددة.

23. أن تقوم جهة التحكم بأخذ موافقة المكتب – بعد التنسيق مع الجهة التنظيمية – قبل مشاركة البيانات الشخصية مع جهات أخرى خارج المملكة.

24. أن تقوم جهة التحكم بإعداد وتوثيق وتطبيق الإجراءات اللازمة لضمان دقة البيانات الشخصية واكتمالها وحداثتها وارتباطها بالغرض الذي جُمعت من أجله.

25. أن يتم استخدام الضوابط الإدارية والتدابير التقنية المعتمدة في سياسات الجهة لأمن المعلومات لضمان حماية البيانات الشخصية ومنها على سبيل المثال لا الحصر:

  • منح صلاحيات الوصول إلى البيانات وفقاً لمهام ومسؤوليات العاملين بطريقة تحول دون تداخل الاختصاص وتتلافى تشتيت المسؤوليات.
  • تطبيق الإجراءات الإدارية والتدابير التقنية التي توثق مراحل معالجة البيانات وتوفر إمكانية تحديد المستخدم المسؤول عن كل مرحلة من هذه المراحل (سجلات الاستخدام).
  • توقيع العاملين الذين يباشرون عمليات معالجة البيانات على تعهد للمحافظة على البيانات وعدم الإفصاح عنها إلا وفقاً للسياسات والإجراءات والأنظمة والتشريعات.
  • اختيار العاملين الذين يباشرون عمليات معاجلة البيانات ممن يتصفون بالأمانة والمسؤولية ووفقاً لطبيعة وحساسية البيانات وسياسة الوصول المعتمدة من قبل الجهة.
  • استخدام التدابير الأمنية المناسبة – كالتشفير، وعزل بيئة التطوير والاختبار عن بيئة التشغيل -  لأمن البيانات الشخصية وحمايتها بما يتناسب مع طبيعتها وحساسيتها والوسائط المستخدمة لنقلها وتخزينها وفقاً لما يصدر من الهيئة الوطنية للأمن السيبراني والجهات ذات الاختصاص.

 

26. أن تكون جهة التحكم مسؤولة عن مراقبة الامتثال لسياسات وإجراءات الخصوصية بشكل دوري ويتم عرضها على المسؤول الأول للجهة – أو من يفوضه – كما يتم تحديد وتوثيق الإجراءات التصحيحية التي سيتم اتخاذها في حال عدم الامتثال وإشعار الجهة التنظيمية والمكتب حسب التسلسل التنظيمي.

 

أحكام عامة:

أولاً: تتولى الجهات التنظيمية مواءمة أحكام هذه السياسة مع وثائقها التنظيمية وتعميمها على جميع الجهات التابعة لها أو المرتبطة بها بما يحقق التكامل ويضمن تحقيق الهدف المنشود من إعداد هذه السياسة.

ثانياً: تقوم الجهات التنظيمية بمراقبة الامتثال لهذه السياسة بشكل دوري.

ثالثاً: يجب على الجهات التحكم الامتثال لهذه السياسة وتوثيق الامتثال وفقاً للآليات والإجراءات التي تحددها الجهات التنظيمية.

رابعاً: يجب على جهات التحكم إبلاغ الجهات التنظيمية فوراً ودون تأخير وبما لا يتجاوز 72 ساعة من وقوع أو اكتشاف أي حادثة تسريب للبيانات الشخصية وفقاً للآليات والإجراءات التي تحددها الجهات التنظيمية.

خامساً: يجب على جهات التحكم عند تعاقدها مع جهات المعالجة أن تتحقق بشكل دوري من امتثال جهات المعاجلة لهذه السياسة وفقاً للآليات والإجراءات التي تحددها الجهات التنظيمية، على أن يشمل ذلك أي تعاقدات لاحقة تقوم بها جهات المعالجة.

سادساً: يمارس المكتب أدوار ومهام الجهات التنظيمية على جهات التحكم غير الخاضعة لجهات تنظيمية.

سابعاً: يحق للجهات التنظيمية وضع قواعد إضافية لمعالجة أنواع محددة من البيانات الشخصية وفقاً لطبيعة وحساسية هذه البيانات بعد التنسيق مع المكتب.

ثامناً: تقوم الجهات التنظيمية – بعد التنسيق مع المكتب – بإعداد الآليات والإجراءات التي تنظم عملية معالجة الشكاوى وفقاً لإطار زمني محدد وحسب التسلسل التنظيمي للجهات.

تاسعاً: يقوم المكتب بوضع المعايير اللازمة التي تساعد جهات التحكم على معرفة ما إذا كان تعيين مسؤول حماية بيانات يعتبر متطلب أساسي أو اختياري.

 

  • التشريعات والسياسات المرتبطة:

    طبقا الى سياسات حوكمة البيانات الوطنية المعلنة من قبل الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا):

https://sdaia.gov.sa/ndmo/Files/PoliciesAr.pdf


  • في حالة وجود أية استفسارات أو آراء، يمكن التواصل من خلال صفحة الاتصال الموحد من هنا 




التقييم:
  • التقييم
  • آخر تقييم:
    24/01/1443 03:49 م
  • مجموع التقييم:
  • معدل التصويت
    3.0
  • عدد المصوتين
    4
آخر تعديل: 24/04/1442 01:33 م
شارك هذه الصفحة

كلمات دلالية

x
notification يحدث الاّن

notification يحدث الاّن