1 المقدمة
1.1 مقدمة عامة عن محور السياسة
تعني خصوصية البيانات في هذه السياسة حماية المعلومات الخاصة والحساسة التي تتم مشاركتها بين الأفراد والهيئات، وبمعنى آخر فإن الخصوصية تتعلق بالحقوق التي يتمتع بها الأفراد فيما يتعلق بتحكمهم في المعلومات التي يشاركونها واستخدامها، وتتضمن البيانات الخاصة والحساسة معلومات شخصية من الاسم والعنوان ورقم الهاتف والبريد الإلكتروني والمعلومات الحساسة مثل المعلومات المالية والجنائية.
1.2 الهدف من السياسة
تهدف هذه السياسة إلى ان يتم جمع واستخدام البيانات بطريقة شرعية ووفقاً للأغراض المحددة لجمعها وتحديد المدة الزمنية لحفظها والتأكيد على الالتزام بمتطلبات الأمن السيبراني والمتطلبات التشريعية والتنظيمية ذات العلاقة.
1.3 نطاق السياسة والتطبيق
تسري هذه السياسة على جميع المعلومات التي تحتفظ بها الهيئة سواء في شكل إلكتروني أو مادي بما في ذلك على سبيل المثال:
- البيانات / المعلومات الإلكترونية المخزنة والمعالجة بواسطة أجهزة الكمبيوتر الثابتة والمحمولة وأجهزة التخزين.
- المعلومات المنقولة على الشبكات.
- جميع السجلات الورقية.
- المواد المرئية والتصويرية.
كما وتسري هذه السياسة طوال دورة حياة جميع البيانات والمعلومات بد ًءا من الإنشاء والتخزين والاستخدام وحتى التخلص منها، ويشمل نطاق هذه السياسة وقابليتها للتطبيق جميع موظفي الهيئة والمقاولين وموظفي الجهات الخارجية الذين قد يكون لديهم حق الوصول إلى المعلومات المحفوظة والخاصة بالهيئة أو معالجتها.
2 بنود السياسة
2.1 البنود العامة
2.1.1 يجب على الهيئة تحديد وتوثيق قوانين ولوائح الخصوصية المعمول بها. كما يجب أن تتابع الهيئة أي تغييرات أو تحديثات فيما يتعلق بقوانين ولوائح الخصوصية المعمول بها لتعكسها على سياسة الخصوصية.
2.1.2 يجب الحصول على موافقة صريحة من المستفيدين او العاملين في الهيئة لجمع بياناتهم ومعالجتها ويستثنى لسبب واضح ما كان ضروريًا في القانون السعودي.
2.1.3 يجب معالجة معلومات تحديد الهوية الشخصية قانونيا وبشكل عادل وشفاف فيما يتعلق ببيانات المستفيدين او عاملي الهيئة.
2.1.4 يجب تطبيق ضوابط الخصوصية وآلياتها بما في ذلك الأسماء المستعارة والتشفير والإخفاء والتمييز.
2.1.5 يجب ان تتضمن ضوابط الخصوصية وآلياتها الوسائل التقنية والتي يجب تقييمها من قبل الهيئة.
2.1.6 مصادر تحديد الهوية الشخصية في الهيئة:
- مباشرة من الأشخاص.
- غير مباشرة ويجب على الهيئة إشعار الأشخاص عن طريق البريد الإلكتروني خلال شهر واحد.
2.1.7 يجب حماية البيانات الشخصية للعاملين والمستفيدين خلال مرحلة الحصول عليها ونقلها ومعالجتها والتخلص منها.
2.1.8 يجب على الهيئة تحديد وتوثيق والموافقة على تخزين البيانات الشخصية للعاملين والمستفيدين وفقا للأغراض التي جمعت لها والتي ستستخدم لها. في حال لا يوجد حاجة لتخزين هذه البيانات او استخدامها فيجب على الهيئة عدم جمع تلك البيانات. في حال جمع البيانات يجب ان يتم توضيح الأسباب التالية:
- الحاجة لجمع البيانات الشخصية وتصنيفها.
- احتياجات التشغيل والغرض من جمع كل فئة من البيانات الشخصية.
- مدة الاحتفاظ بالبيانات الشخصية.
- تفاصيل المستلمون الذين تم كشف البينات الشخصية لهم او سيتم الكشف عنها لهم.
- تفاصيل مصدر معلومات تحديد الهوية الشخصية إذا لم يتم جمع معلومات تحديد الهوية الشخصية من مصدر البيانات مباشرة.ً
2.1.9 يجب تخزين ومعالجة ونقل معلومات تحديد الهوية الشخصية بطريقة دقيقة وآمنة حسب احتياجات العمل ومدة الاحتفاظ بتلك المعلومات التي تم جمعها بموجب موافقة الأشخاص المعنيين وإشعار الخصوصية.
2.1.10 يجب عدم استخدام معلومات تحديد الهوية الشخصية الأغراض التدريب او البحوث.
2.1.11 يجب مراجعة معلومات تحديد الهوية الشخصية بشكل دائم وحذفها حسب حاجة العمل او فترة الاحتفاظ بها.
2.1.12 يجب إجراء تقييمات دورية لخصوصية البيانات لمعلومات تحديد الهوية الشخصية.
2.1.13 يجب استضافة البيانات حسب تنظيمات الهيئة الوطنية لألمن السيبراني لتكون داخل المملكة العربية السعودية اما في خوادم الجهة او مقدمي الخدمات السحابية والاستضافة الوطنيين.
2.1.14 يجب ألا تتم معالجة معلومات تحديد الهوية الشخصية المتعلقة بالإدانات والمخالفات الجنائية أو التدابير الأمنية ذات الصلة إلا تحت مراقبة السلطات الرسمية.
2.1.15 يجب معالجة معلومات تحديد الهوية الشخصية فقط داخل المملكة العربية السعودية واجبار الأطراف الخارجية للجهة على ذلك بتضمينه في بنود العقود او الوثائق ذات العلاقة. في حال رغبت الهيئة بمشاركة معلومات تحديد الهوية الشخصية مع جهات خارجية فانه يجب على الجهة الحصول على موافقة من قبل مكتب إدارة البيانات الوطنية.
2.1.16 يجب على الهيئة تخزين ومعالجة معلومات تحديد الهوية الشخصية داخل المملكة العربية السعودية فقط وفرض ذلك في عقود الأطراف الخارجية أو المستندات ذات الصلة، وعندما تحتاج الهيئة إلى مشاركة معلومات تحديد الهوية الشخصية مع كيان آخر خارج المملكة، فإنها تسعى للحصول على موافقة مكتب إدارة البيانات الوطني.
2.2 حماية المعلومات الشخصية (Personal Identifiable Information)
2.2.1 يجب على الهيئة ضمان السرية والتكامل والتوافر والمرونة المستمرة لأنظمة وخدمات المعالجة.
2.2.2 يجب على الهيئة ضمان القدرة على استعادة توافر البيانات الشخصية والوصول إليها في الوقت المناسب في حالة وقوع حادث مادي أو تقني.
2.2.3 يجب على الهيئة اختبار وتقييم فعالية الإجراءات الفنية والتنظيمية لضمان أمن المعالجة.
2.2.4 يجب ان يتم جمع معلومات تحديد الهوية الشخصية لأغراض محددة وصريحة وشرعية وأن تتم معالجتها مرة أخرى بطريقة تتوافق مع تلك الأغراض. يجب أن تكون المعالجة الإضافية لأرشفة أو المصلحة العامة أو الأغراض الإحصائية متسقة مع الأغراض الأولية.
2.2.5 يجب أن تكون معلومات تحديد الهوية الشخصية كافية وذات صلة ومحدودة بما هو ضروري للأغراض التي تتم معالجتها من أجلها.
2.2.6 يجب أن تكون معلومات تحديد الهوية الشخصية دقيقة ومناسبة ومحدثة. يجب اتخاذ التدابير لضمان محو أو تصحيح معلومات تحديد الهوية الشخصية غير الدقيقة المتعلقة بالأغراض دون تأخير.
2.2.7 يجب الاحتفاظ بمعلومات الهوية الشخصية في شكل يسمح بتحديد مصادر البيانات للوقت اللازم لأغراض معالجة المعلومات الشخصية.
2.2.8 يجب تنفيذ ضوابط أمنية مناسبة لحماية معلومات تحديد الهوية الشخصية من المعالجة غير المصرح بها أو غير القانونية والخسارة أو التلف أو التلف العرضي، باستخدام الإجراءات الفنية أو التنظيمية المناسبة.
2.2.9 إذا تم الحصول على معلومات الهوية الشخصية من مصادر أخرى غير مصدر البيانات، فيجب إبلاغ مصدر البيانات بذلك، كما يجب على الهيئة إرسال إشعار خصوصية إليه / إليها أيضًا.
2.3 حقوق أصحاب البيانات الشخصية
2.3.1 عندما يمارس صاحب البيانات الشخصية حقا بموجب قانون الخصوصية المعمول به، يجب أن تستجيب الهيئة من خلال اتخاذ أي إجراء يقتضيه قانون الخصوصية ذي الصلة، ما لم يكن الطلب واضحاً أو لا أساس له. تتخذ الهيئة الإجراءات ذات الصلة في غضون شهر واحد من الاستلام، ما لم يتم تحديد فترة زمنية مختلفة بموجب قانون الخصوصية المعمول به. وهذا ينطبق على:
- الحق في الحصول على تفويض لجمع واستخدام الاحتفاظ على وتبادل معلومات تحديد الهوية الشخصية قبل جمعها؛ أو قبل أي استخدامات جديدة أو الكشف عن معلومات تحديد الهوية الشخصية التي تم جمعها مسبقًا.
- الحق في فهم عواقب قرارات الموافقة على أو رفض الإذن بجمع معلومات الهوية الشخصية واستخدامها ونشرها الاحتفاظ بها.
- الحق في سحب موافقته في أي وقت.
- الحق في الوصول أو الحصول على نسخة من معلومات الهوية الشخصية.
- الحق في التصحيح.
- حق المحو (حق النسيان).
- الحق في تقييد معالجة البيانات.
- الحق في الإشعار.
- الحق في نقل البيانات.
- الحق في الاعتراض.
- الحق في الرد على شكواه أو مخاوفه أو أسئلته.
- الحق في تقديم شكوى إلى السلطة الإشرافية.
- الحق في الوصول إلى إشعار خصوصية الجهة.
- الحق في الوصول إلى جميع المعلومات في جرد معلومات التعريف الشخصية.
2.4 مبدأ تصميم الخصوصية
2.4.1 يجب أن تتبنى الهيئة مبدأ تصميم الخصوصية وتضمن تلبية متطلبات الخصوصية على الأنظمة الحالية أو الجديدة أو التي تم تغييرها بشكل كبير والتي تجمع معلومات تحديد الهوية الشخصية أو تعالجها.
2.4.2 يجب على الهيئة أن تُجري بانتظام تقييمًا لتأثير الخصوصية على جميع لأنظمة التي تجمع معلومات الهوية الشخصية أو تعالجها. يشمل هذا التقييم ما يلي:
- تطبيق مبادئ حماية معلومات تحديد الهوية الشخصية.
- الوفاء بمسؤوليات وحدة التحكم.
- تطبيق ضوابط أمنية لحماية المعلومات الشخصية.
- التأكد من أن الأساس القانوني لمعالجة معلومات تحديد الهوية الشخصية واضح وال لبس فيه.
- التأكد من أن جميع الموظفين المشاركين في معالجة معلومات تحديد الهوية الشخصية يفهمون مسؤولياتهم.
- ضمان جمع معلومات تحديد الهوية الشخصية أو استخدامها أو معالجتها أو تخزينها أو مشاركتها للغرض/ الأغراض المصرح بها التي تم تحديدها في إشعارات الخصوصية.
- التأكد من أن الجهة تقدم إشعاراً فعالاً للجمهور وأصحاب البيانات الشخصية فيما يتعلق بأي تغييرات في أنشطتها تؤثر على الخصوصية، بما في ذلك جمعها واستخدامها ومشاركتها وصيانتها والتخلص منها.
- اتباع القواعد المتعلقة بالموافقة الشخصية.
- إجراء مراجعات منتظمة للإجراءات التي تنطوي على معلومات تحديد الهوية الشخصية.
- اعتماد مبدأ تصميم الخصوصية لجميع لأنظمة والعمليات الجديدة أو المتغيرة.
2.4.3 يجب على الهيئة تطبيق تقنيات مناسبة لإخفاء الهوية للبيانات والتشفير لحماية معلومات تحديد الهوية الشخصية.
2.4.4 يجب على الهيئة استيفاء متطلبات التوثيق التالية وإتاحة إمكانية الوصول إليها من خلال مصادر البيانات فيما يتعلق بأنشطة المعالجة على معلومات تحديد الهوية الشخصية:
- أهداف معالجة معلومات تحديد الهوية الشخصية.
- أنشطة المعالجة التي أجريت على معلومات تحديد الهوية الشخصية.
- معالجة فئات معلومات تحديد الهوية الشخصية.
- اتفاقيات وآليات نقل معلومات تحديد الهوية الشخصية من وإلى المنظمات الأخرى بعد الحصول على موافقة أو طلب مصدر البيانات.
- جداول الاحتفاظ بالمعلومات الشخصية.
- الضوابط الأمنية الموجودة لحماية المعلومات الشخصية.
2.4.5 يجب توعية موظفي الهيئة بهذه السياسة ودورهم في حماية معلومات تحديد الهوية الشخصية.
2.5 الخصوصية الافتراضية
2.5.1 يتعين على الهيئة اتخاذ الإجراءات الفنية والتنظيمية المناسبة لضمان عدم معالجة معلومات تحديد الهوية الشخصية . ينطبق هذا على كمية معلومات تحديد الهوية الشخصية التي يتم بشكل افتراضي بدون داع جمعها، ومدى معالجتها، ومدة تخزينها ومن يمكنه الوصول إليها. على وجه الخصوص، يجب على الهيئة ضمان عدم إتاحة معلومات تحديد الهوية الشخصية افتراضيا لعدد غير محدد من الأشخاص دون اتخاذ أي إجراء من جانب مصدر البيانات.
2.5.2 يجب أن يستند أي نقل لمعلومات تحديد الهوية الشخصية إلى موافقة أو طلب صاحب المعلومات الشخصية.
2.5.3 قبل نقل معلومات تحديد الهوية الشخصية خارج الهيئة، يجب تنفيذ تحليل تأثير الخصوصية.
2.5.4 يجب إرسال إشعار مناسب إلى صاحب المعلومات الشخصية بما في ذلك المستلمين الذين سيتم نقل معلومات تحديد الهوية الشخصية إليهم، بما في ذلك: التاريخ والطبيعة والغرض من كل إفشاء للسجل؛ واسم وعنوان المستلمين الذين تم الإفصاح لهم.
2.5.5 يجب التأكد من كفاية حماية معلومات تحديد الهوية الشخصية في الطرف المستقبل؛ هذا يتضمن:
- تلقي اسم المنظمة والتفاصيل ذات الصلة.
- أهداف معالجة معلومات تحديد الهوية الشخصية.
- فئات الافراد ومعالجة معلومات تحديد الهوية الشخصية.
- فئات متلقي معلومات تحديد الهوية الشخصية.
- اتفاقات وآليات نقل معلومات تحديد الهوية الشخصية .
- جداول الاحتفاظ بالمعلومات الشخصية.
- الضوابط الفنية والتنظيمية ذات الصلة المعمول بها في الهيئة.
2.6 متطلبات الأطراف الخارجية
2.6.1 يجب أن تضع الهيئة متطلبات الخصوصية من خلال وثيقة الإجراءات لسياسة خصوصية البيانات وتوثيقها والموافقة عليها (جمعها واستخدامها ومعالجتها ومشاركتها) للمقاولين والمعالجين ومقدمي الخدمات؛ وإدراجها في العقود والوثائق الأخرى ذات الصلة.
2.6.2 عندما تحدد الهيئة ووحدات تحكم أخرى بشكل مشترك أغراض ووسائل المعالجة للبيانات، يجب أن يكونوا وحدات تحكم مشتركة. يجب عليهم تحديد مسؤوليات كل منهم بشفافية والامتثال الالتزام بموجب قوانين ولوائح الخصوصية المعمول بها.
2.6.3 في حالة تنفيذ المعالجة نيابة عن الهيئة، يجب على الهيئة استخدام المعالجات التي توفر الضمانات الكافية لتنفيذ الإجراءات الفنية والتنظيمية المناسبة بطريقة تلبي المعالجة متطلبات قوانين ولوائح الخصوصية القابلة للتطبيق وتضمن حماية حقوق أصحاب البيانات الشخصية.
2.7 معالجة السجلات ومتابعتها
2.7.1 يجب أن تسجل الهيئة أنشطة المعالجة. يجب أن يحتوي هذا السجل على سبيل المثال لا الحصر على المعلومات التالية:
- اسم وتفاصيل االتصال بمعالج البيانات (الجهة التي تعالج البيانات).
- اهداف المعالجة.
- وصف لفئات مصادر البيانات وفئات البيانات الشخصية.
2.7.2 يجب على الجهة إتاحة السجل لمدقق المنظمة والهيئة الإشرافية عند الطلب.
2.7.3 يجب على الهيئة مراجعة معلومات تحديد الهوية الشخصية المخزنة لديها بشكل دائم لضمان أن معلومات تحديد الهوية الشخصية المحددة في الإشعار فقط يتم جمعها الاحتفاظ بها، وأن معلومات تحديد الهوية الشخصية لا تزال ضرورية لتحقيق الغرض المسموح به قانونًا.
2.8 التوعية والتدريب
2.8.1 يجب أن تقوم الهيئة بتطوير برنامج تدريب وتوعية شامل وتوثيقه والموافقة عليه وتنفيذه وتحديثه بانتظام بهدف التأكد من أن الموظفين يفهمون مسؤوليات وإجراءات الخصوصية، مثل إدارة التدريب على الخصوصية الأساسي والتدريب على الخصوصية المستهدف القائم على الأدوار للموظفين الذين يتحملون مسؤولية معلومات تحديد الهوية الشخصية أو لألنشطة التي تتضمن معلومات تحديد الهوية الشخصية.
2.9 إشعار الخصوصية
2.9.1 يجب أن تحدد الهيئة وتوثق وتوافق وتنفذ المتطلبات لتقديم إشعار فعال للجمهور ومصادر البيانات فيما يتعلق بما يلي:
- أنشطتها التي تؤثر على الخصوصية، بما في ذلك جمعها واستخدامها ومشاركتها والحفاظ عليها والتخلص من معلومات تحديد الهوية الشخصية.
- السلطة الإشرافية لجمع معلومات تحديد الهوية الشخصية.
- الخيارات، إن وجدت التي قد تكون لدى الافراد فيما يتعلق بكيفية استخدام المنظمة لمعلومات تحديد الهوية الشخصية وعواقب ممارسة أو عدم ممارسة تلك الخيارات.
- الحق في الوصول وتعديل معلومات تحديد الهوية الشخصية أو تصحيحها إذا لزم الأمر.
- نوع معلومات تحديد الهوية الشخصية التي تجمعها الهيئة والغرض التي تجمع من أجلها تلك المعلومات.
- طرق استخدام الهيئة لمعلومات تحديد الهوية الشخصية.
- ما إذا كانت الهيئة تشارك معلومات تحديد الهوية الشخصية مع كيانات خارجية، وفئات تلك الكيانات، وأغراض هذه المشاركة.
- ما إذا كان الافراد لديهم القدرة على الموافقة على استخدامات محددة أو مشاركة معلومات تحديد الهوية الشخصية وكيفية ممارسة أي موافقة من هذا القبيل.
- كيف يمكن للأفراد الوصول أو الحصول على معلومات تحديد الهوية الشخصية.
- كيف سيتم حماية معلومات تحديد الهوية الشخصية.
- الفترة التي سيتم تخزين معلومات تحديد الهوية الشخصية لها.
- الحق لمعالج البيانات في طلب الوصول إلى البيانات الشخصية وتصحيحها أو محوها أو تقييد المعالجة فيما يتعلق بمصدر البيانات أو الاعتراض على معالجتها وكذلك الحق في نقل البيانات.
- حق سحب الموافقة في أي وقت من قبل أصحاب البيانات الشخصية.
- الحق في تقديم شكوى أو مخاوف أو أسئلة إلى الهيئة وتقديم شكوى إلى السلطة الإشرافية.
- ما إذا كان توفير البيانات الشخصية مطلوبًا من الناحية القانونية، أو شرطًا ضروريًا لإبرام عقد، وكذلك ما إذا كان مصدر البيانات ملز ًما بتقديم البيانات الشخصية والعواقب المحتملة لعدم تقديم هذه البيانات.
- التغييرات في الممارسات أو السياسات التي تؤثر على معلومات تحديد الهوية الشخصية أو التغييرات في أنشطتها التي تؤثر على الخصوصية، قبل أو في أقرب وقت ممكن بعد التغيير.
2.9.2 يجب أن تضمن الهيئة إتاحة ممارسات الخصوصية الخاصة بها للجمهور من خلال مواقع الويب التنظيمية.
2.9.3 يجب على الهيئة إبلاغ مصدر البيانات قبل رفع قيود المعالجة، إذا كانت المعالجة مقيدة بواسطة صاحب البيانات، يجب معالجة البيانات الشخصية، باستثناء التخزين، بموافقة صاحب البيانات فقط.
2.9.4 يجب على الهيئة إبلاغ عن أي تصحيح أو محو للبيانات الشخصية أو تقييد المعالجة لكل مستلم تم الكشف عن البيانات الشخصية له. يقوم المراقب إبلاغ صاحب البيانات الشخصية عمن تمت مشاركة بياناته معهم ان طلب هو ذلك.
2.9.5 يجب على الهيئة إبلاغ صاحب البيانات الشخصية واعطائه الضمانات المناسبة عندما يتم نقل البيانات الشخصية إلى بلد اخر أو إلى منظمة دولية.
2.9.6 يجب على الهيئة ضمان وصول الجمهور إلى معلومات حول هوية وتفاصيل الاتصال بالمنظمة.
2.9.7 يجب أن تضمن الهيئة أن يكون للجمهور حق الوصول إلى المعلومات المتعلقة بأنشطته المتعلقة بالخصوصية وقادر على التواصل مع مسؤول الخصوصية الخاص به.
2.10 انتهاك الخصوصية
2.10.1 يجب ان تقوم الهيئة بتطوير وتوثيق والموافقة على خطة الاستجابة لحوادث الخصوصية وتنفيذها عند الحاجة.
2.10.2 إذا حدث انتهاك مع احتمال أن ينتج عنه خطر على خصوصية أو حماية معلومات تحديد الهوية الشخصية، فيجب على الهيئة اتباع خطة الاستجابة وإجراءات الاستجابة كما يجب ابالغ إدارة الأمن السيبراني.
2.10.3 يجب على الهيئة أن تقوم بتطوير إجراء وتوثيقه والموافقة عليه وتنفيذه للإبلاغ عن خرق خصوصية معلومات تحديد الهوية الشخصية لأصحاب البيانات الشخصية دون تأخير.