تسجيل الدخول

favicon
heroBackgroundImg

ProjTitle.icon جدول التعديلات

التعديل المقترحالنص الحالي في اللائحة

المادة الأولى: التعريفات

تكون للألفاظ والعبارات الواردة في هذه اللائحة المعاني المبيّنة أمام كل منها في المادة (الأولى) من نظام حماية البيانات الشخصية الصادر بالمرسوم الملكي رقم (م/١٩) وتاريخ ٩/٢/١٤٤٣ه وتعديلاته، ويقصد بالألفاظ والعبارات الآتية -أينما وردت في هذه اللائحة—المعاني المبيّنة أمام كل منها، ما لم يقتضِ السياق غير ذلك:

 

  1. اللائحة: لائحة نقل البيانات الشخصية إلى خارج المملكة.
  2. الضمانات المناسبة: متطلبات تفرضها الجهة المختصة على جهات التحكم تتضمن الإلزام بأحكام النظام واللوائح، عند نقل البيانات الشخصية أو الإفصاح عنها لجهات خارج المملكة، وذلك في أي من حالات الإعفاء من شروط توافر مستوى الحماية المناسب للبيانات الشخصية أو الحد الأدنى من البيانات الشخصية، بحسب الأحوال؛ بهدف ضمان مستوى مناسب لحماية البيانات الشخصية خارج المملكة بما لا يقل عن المستوى المقرر في النظام واللوائح.

الفصل الأول: التعريفات والأحكام العامة

المادة الأولى: التعريفات

تكون للكلمات والعبارات الواردة في هذه اللائحة المعاني الموضحة أمام كل منها في المادة (الأولى) من نظام حماية البيانات الشخصية الصادر بالمرسوم الملكي رقم (م/19) وتاريخ 9/2/1443هـ والمعدل بموجب المرسوم الملكي رقم (م/148) وتاريخ 5/9/1444هـ ولائحته التنفيذية، ويقصد بالألفاظ والعبارات الآتية -أينما وردت في هذه اللائحة- المعاني الموضحة أمام كل منها، ما لم يقتضِ السياق غير ذلك:

 

  1. اللائحة: لائحة نقل البيانات الشخصية خارج المملكة.
  2. نقل البيانات الشخصية: نقل البيانات الشخصية خارج المملكة بغرض معالجتها.
  3. اللوائح: اللوائح التنفيذية لنظام حماية البيانات الشخصية.

المادة الثانية: الأغراض الأخرى لنقل البيانات الشخصية أو الإفصاح عنها لجهات خارج المملكة

تكون الأغراض الأخرى لنقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة؛ وفقاً لما ورد في الفقرة الفرعية (د) من الفقرة (١) من المادة (التاسعة والعشرين) من النظام، على النحو الآتي:

  1. إجراء العمليات التشغيلية الضرورية للمعالجة المركزية لتمكين جهة التحكم من ممارسة أنشطتها.​
  2. . تقديم خدمة أو منفعة لصاحب البيانات الشخصية.
  3. إجراء البحوث والدراسات العلمية.

المادة الثانية: الأحكام العامة لنقل البيانات الشخصية خارج المملكة

1.      مع مراعاة أحكام النظام ولوائحه، يجوز لجهة التحكم نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة، مالم يؤثر هذا النقل أو الإفصاح على الأمن الوطني أو مصالح المملكة الحيوية أو كان النقل أو الإفصاح مخالفا لنظام آخر في المملكة.

 

2.      على جهة التحكم قصر نقل البيانات الشخصية خارج المملكة أو الإفصاح عنها لجهة خارج المملكة على الحد الأدنى اللازم لتحقيق الغرض من عملية النقل أو الإفصاح، ويتم تحديد ذلك من خلال استخدام أي وسائل ملائمة، بما في ذلك مخططات البيانات التي تبيّن الحاجة لنقل كل بيان أو الإفصاح عنه وربط ذلك بكل هدف من أهداف المعالجة خارج المملكة. 

 

3. على جهة التحكم عند نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة التأكد من أن ذلك لن يؤثر على خصوصية أصحاب البيانات الشخصية أو مستوى الحماية المكفول للبيانات الشخصية وفق النظام ولوائحه، وذلك من خلال التأكد من أن عملية النقل أو الإفصاح لن تخل –كحد أدنى- بأي مما يلي:

‌أ- قدرة صاحب البيانات الشخصية على ممارسة حقوقه المكفولة في النظام.

‌ب- قدرة صاحب البيانات الشخصية على العدول عن موافقته على عملية المعالجة.

‌ج- قدرة جهة التحكم على الالتزام بمتطلبات الإشعار عن حوادث تسرب البيانات الشخصية.

‌د- قدرة جهة التحكم على الالتزام بأحكام وضوابط وإجراءات الإفصاح عن البيانات الشخصية.

‌ه- قدرة جهة التحكم على الالتزام بأحكام وضوابط إتلاف البيانات الشخصية.

‌و- قدرة جهة التحكم على اتخاذ التدابير التنظيمية والإدارية والتقنية اللازمة لضمان أمن البيانات الشخصية.

4. يجوز لجهة التحكم نقل البيانات الشخصية خارج المملكة أو الإفصاح عنها لجهة خارج المملكة وفقاً للأغراض المنصوص عليها في الفقرة (1) من المادة (التاسعة والعشرون) من النظام، إضافة إلى الأغراض الآتية:

‌أ- إجراء العمليات التشغيلية للمعالجة لتمكين جهة التحكم من ممارسة أنشطتها، بما يشمل عمليات الإدارة المركزية. 

‌ب- تقديم خدمة أو منفعة لصاحب البيانات الشخصية.

‌ج- إجراء البحوث والدراسات العلمية.

 

 

 

المادة الثالثة: إجراءات ومعايير تقويم مستوى حماية البيانات الشخصية خارج المملكة

1.     تنشر الجهة المختصة على موقعها الرسمي قائمة الدول أو المنظمات الدولية التي توفر مستوى مناسب لحماية البيانات الشخصية، وتقوم الجهة المختصة بمراجعة هذه القائمة -كل أربع سنوات أو عند الاقتضاء- وفق المعايير الآتية:

‌أ.       وجود أنظمة تكفل حماية البيانات الشخصية وحقوق أصحابها المتعلقة بها، بما يشمل الحق في طلب التعويض عن الضرر المترتب على الإخلال بهذه الحقوق، وذلك بما لا يقل عن مستوى الحماية المقرر في النظام واللوائح.

‌ب.    وجود جهة مشرفة تتولى مسؤولية إنفاذ أحكام حماية البيانات الشخصية.

‌ج.     استعداد الجهة المشرفة للتعاون مع الجهة المختصة في المملكة حول المسائل المتصلة بحماية البيانات الشخصية.

‌د.      عدم تعارض المتطلبات التنظيمية المتعلقة بالإفصاح عن البيانات الشخصية بموجب الأحكام النظامية المعمول بها لدى الدولة أو المنظمة الدولية مع أحكام الإفصاح عن البيانات الشخصية الواردة في النظام واللوائح، وعدم تعارضها مع أي أحكام نظامية أخرى معمول بها في المملكة في شأن الإفصاح.

‌ه.    الالتزامات الناشئة عن معاهدات أو اتفاقيات دولية ملزمة للدولة أو المنظمة الدولية، وعضويتها في منظمات إقليمية أو متعددة الأطراف والتي قد يتطلب تنفيذ بنودها نقلاً للبيانات الشخصية.

‌و.     الأحكام المتعلقة بعمليات النقل اللاحق للبيانات الشخصية وفقاً لما نصت عليه المادة (الخامسة) من اللائحة.

2.     للجهة المختصة تعديل قائمة الدول أو المنظمات الدولية التي تضمن مستوى حماية مناسب للبيانات الشخصية خارج المملكة، وذلك في حال تبيّن من خلال المراجعة أن أيّ من الدول أو المنظمات الدولية لم تعد تكفل مستوى مناسب لحماية البيانات الشخصية، وللجهة المختصة العمل مع الجهات المعنية في الدولة أو المنظمة الدولية لمعالجة أسباب استبعادها من القائمة.

3.     للجهة المختصة تعليق النقل أو الإفصاح إلى أي من الدول أو المنظمات المدرجة في القائمة المنصوص عليها في الفقرة (١) من هذه المادة.

الفصل الثاني: النقل بناء على توفر مستوى مناسب لحماية البيانات الشخصية

المادة الثالثة: تقويم مستوى حماية البيانات الشخصية

1.      تقوم الجهة المختصة والجهات المعنية التي يتم التنسيق معها –كل بحسب اختصاصه- بتقويم مستوى حماية البيانات الشخصية خارج المملكة، وذلك وفقًا للمعايير التالية:

‌أ-      وجود أنظمة تضمن حماية البيانات الشخصية والمحافظة على حقوق أصحابها بما لا يقل عن مستوى الحماية الذي يكفله النظام ولوائحه.

‌ب-   سيادة الأنظمة، وضمان حقوق أصحاب البيانات الشخصية والمحافظة على خصوصيتهم.

‌ج-     فاعلية تطبيق أنظمة حماية البيانات الشخصية.

‌د-     إمكانية قيام أصحاب البيانات الشخصية بممارسة حقوقهم، وأن تتوفر لهم الوسائل اللازمة لتقديم الشكاوى أو المطالبات المتصلة بمعالجة البيانات الشخصية.

‌ه-    وجود جهة مشرفة تتولى مسؤولية متابعة التزام جهات التحكم بمتطلبات حماية البيانات الشخصية.

‌و-     استعداد الجهة المشرفة للتعاون مع الجهة المختصة في المملكة في المسائل المتصلة بحماية البيانات الشخصية.

‌ز-      وضوح وملائمة المتطلبات التنظيمية المتعلقة بالإفصاح عن البيانات الشخصية للجهات الحكومية والرقابية.

2.      يجوز إجراء تقويم مستوى حماية البيانات الشخصية المشار إليه في هذه المادة للدول أو لقطاعات محددة فيها أو لمنظمات دولية.

تم حذف المادة ودمج الفقرة (3) و (4) في المادة الثالثة من مقترح التعديل بعد إعادة صياغتها.

المادة الرابعة: نتائج تقويم مستوى حماية البيانات الشخصية

1.      تقوم الجهة المختصة برفع نتائج تقويم مستوى حماية البيانات الشخصية خارج المملكة لرئيس مجلس الوزراء، مبيناً فيها كافة التفاصيل المتعلقة به، بما في ذلك آراء الجهات المشاركة في التقويم، وتوصيات الجهة المختصة.

2.      تكون توصيات الجهة المختصة المشار إليها في الفقرة (1) من هذه المادة وفقا لأي مما يلي:

‌أ-      التوصية بإصدار قرار اعتماد وفقا لنتائج تقويم مستوى حماية البيانات الشخصية، سواء تم استيفاء كل أو بعض المعايير المنصوص عليها في الفقرة (1) من المادة (الثالثة) من هذه اللائحة.

‌ب-   التوصية بعقد اتفاقية دولية –وفق الإجراءات النظامية المتبعة- وذلك بحسب الأحوال.

‌ج-     التوصية بعدم إصدار قرار اعتماد أو عقد اتفاقية دولية، مع بيان المسوغات لذلك.

3.      تقوم الجهة المختصة -كل أربع سنوات أو عند الاقتضاء- بمراجعة تقويم مستوى حماية البيانات الشخصية لدى الدول أو القطاعات أو المنظمات الدولية التي صدر لها قرارات اعتماد أو تم توقيع اتفاقية دولية معها، مع مراعاة جميع التطورات ذات الصلة في تلك الدول أو القطاعات أو المنظمات الدولية وفقًا للمعايير الواردة في الفقرة (1) من المادة (الثالثة) من هذه اللائحة.

4.       تقوم الجهة المختصة بالرفع لرئيس مجلس الوزراء باقتراح إلغاء أو تعديل أو تعليق أي من القرارات المتخذة بشأن مستوى حماية البيانات الشخصية خارج المملكة، وذلك في حال تبيّن من خلال مراجعة مستوى الحماية للبيانات الشخصية أن الدولة أو القطاع أو المنظمة الدولية لم تعد تضمن مستوى كافٍ من الحماية المكفولة للبيانات الشخصية.

 

المادة الرابعة: حالات إعفاء جهات التحكم من شروط الالتزام بمستوى الحماية المناسب والحد الأدنى لنقل البيانات الشخصية

1.      تعفى جهة التحكم من الشرطين الواجب توافرهما عند نقل البيانات الشخصية أو الإفصاح عنها إلى جهة خارج المملكة، والمنصوص عليهما في الفقرتين (ب) و(ج) من الفقرة (٢) من المادة (التاسعة والعشرين) من النظام، أو أي منهما، ويكون نقل البيانات الشخصية أو الإفصاح عنها إلى جهة خارج المملكة مُقيّداً بالضمانات المناسبة، في الحالات الآتية:

‌أ-      إذا كان النقل أو الإفصاح عن البيانات الشخصية سيُجرى بين الجهات العامة لتنفيذ اتفاقية تكون المملكة طرفًا فيها أو كان ذلك لخدمة مصالح المملكة، على أن تلتزم جهات التحكم بتضمين بنود قياسية لحماية البيانات الشخصية في الاتفاقيات أو مذكرات التفاهم ذوات الصلة.

‌ب-   إذا كان النقل أو الإفصاح سيُجرى بصفة غير متكررة أو لفترة محدودة ولعدد محدود من أصحاب البيانات الشخصية، على أن تلتزم جهة التحكم بالبنود التعاقدية القياسية أو أن يكون النقل أو الإفصاح لجهة صدرت لها شهادة اعتماد من جهة مرخصة من الجهة المختصة، وألا تكون تلك البيانات بيانات حساسة.

‌ج-    إذا كان النقل أو الإفصاح عن البيانات الشخصية ضرورياً لإجراء العمليات التشغيلية المركزية وكانت جهة التحكم ضمن مجموعة كيانات متعددة الجنسيات، على أن تلتزم جهة التحكم والجهات التابعة لها بقواعد مشتركة ملزمة أو البنود التعاقدية القياسية التي تضمن استيفاء المتطلبات المنصوص عليها في النظام واللوائح، أو حصول الجهة - التي سيُجرى نقل البيانات الشخصية إليها أو الإفصاح عن البيانات الشخصية إليها- على شهادة اعتماد صادرة من جهة مرخصة من الجهة المختصة.

‌د-     إذا كان النقل أو الإفصاح سيُجرى لتقديم خدمة أو منفعة لصاحب البيانات الشخصية بصورة مباشرة، بما لا يخالف توقعاته أو يتعارض مع مصالحه، على أن يكون النقل أو الإفصاح لجهة صدرت لها شهادة اعتماد من جهة مرخصة من الجهة المختصة، وألا تكون تلك البيانات بيانات حساسة.

 

‌ه-    إذا كان نقل البيانات الشخصية أو الإفصاح عنها ضرورياً لإجراء البحوث والدراسات العلمية على أن يقتصر النقل أو الإفصاح على الحد الأدنى من البيانات الشخصية الذي تدعو الحاجة إليه، وأن تلتزم جهة التحكم بالبنود التعاقدية القياسية أو أن يكون النقل أو الإفصاح لجهة صدرت لها شهادة اعتماد من جهة مرخصة من الجهة المختصة، وألا تكون تلك البيانات بيانات حساسة.

 

2.     يجب أن تتضمن الضمانات المناسبة التزامات جهات التحكم المنصوص عليها في النظام ولوائحه، وحقوق أصحاب البيانات الشخصية، بما في ذلك الحق في طلب التعويض عن الضرر المترتب على الإخلال بهذه الحقوق.

 

3.     للجهة المختصة مراجعة مدى كفاية تطبيق الضمانات المناسبة لكل حالة من حالات الإعفاء كل سنتين أو عند الاقتضاء.

الفصل الثالث: حالات الإعفاء

المادة الخامسة: نقل البيانات بناء على الضمانات الملائمة لنقل البيانات الشخصية خارج للمملكة

1.      في حال عدم وجود مستوى مناسب لحماية البيانات الشخصية خارج المملكة، لجهة التحكم نقل البيانات الشخصية أو الإفصاح عنها خارج المملكة شريطة ألا تتضمن المتطلبات النظامية لدى الدولة أو المنظمة الدولية ما يؤثر سلبا على خصوصية أصحاب البيانات الشخصية أو قدرة جهة التحكم على الالتزام بتطبيق الضمانات الملائمة. وتتمثل الضمانات الملائمة في أي من الآتي:

‌أ-      القواعد المشتركة الملزمة، والتي تطبق على كل طرف معني في مجموعة الجهات التي تعمل في نشاط اقتصادي مشترك، بما في ذلك موظفوها، والتي تتم الموافقة على أحكامها وبنودها من قبل الجهة المختصة وفق طلبات تقدم لها في كل حالة على حدة.

 

‌ب-   البنود التعاقدية القياسية التي تضمن المستوى الكافي لحماية البيانات الشخصية عند نقلها خارج المملكة، وفق نموذج قياسي تصدره الجهة المختصة.

 

‌ج-     شهادات الالتزام بالنظام واللائحة في المملكة، والتي تصدر من جهة مرخصة من قبل الجهة المختصة، مع التزام جهة التحكم أو جهة المعالجة خارج المملكة بتطبيق الضمانات الملائمة.

 

‌د-     قواعد السلوك الملزمة، والتي تتم الموافقة عليها من قبل الجهة المختصة وفق طلبات تقدم لها في كل حالة على حدة، مع التزام جهة التحكم أو جهة المعالجة خارج المملكة بتطبيق الضمانات الملائمة.

2.      تتضمن القواعد المشتركة الملزمة المشار إليها في الفقرة الفرعية (أ) من الفقرة (1) من هذه المادة المسائل الآتية على الأقل:

‌أ-      بيانات السجلات التجارية وتفاصيل معلومات الاتصال الخاصة بمجموعة الجهات التي تعمل في نشاط اقتصادي مشترك.

 

‌ب-   وصف عمليات نقل البيانات الشخصية أو مجموعة عمليات النقل، بما في ذلك نوع البيانات الشخصية ونوع المعالجة وأغراضها وتحديد الدولة أو الدول التي سيجري نقل البيانات إليها.

 

‌ج-     التزام كافة الأطراف في القواعد بتطبيق ما ورد فيها.

 

‌د-     أحكام حماية البيانات الشخصية الواجب تطبيقها، بما في ذلك تحديد الغرض من المعالجة، وجمع الحد الأدنى من البيانات، وفترات الاحتفاظ، والمسوغات النظامية للمعالجة، وضوابط معالجة البيانات الشخصية، والمتطلبات المتعلقة بعمليات النقل اللاحقة إلى الجهات غير الملزمة بالقواعد.

 

‌ه-    حقوق صاحب البيانات الشخصية فيما يتعلق بالمعالجة ووسائل ممارسة تلك الحقوق بما في ذلك الحق في تقديم شكوى إلى الجهة المختصة.

 

‌و-     أحكام مسؤولية جهة التحكم عن أي انتهاكات للقواعد من قبل أطرافها.

 

‌ز-      كيفية توفير المعلومات المتعلقة بالقواعد لأصحاب البيانات بالإضافة إلى المعلومات الأخرى التي سيتم تقديمها وفقًا للنظام ولوائحه.

‌ح-     مهام مسؤول حماية البيانات الشخصية –إن وجد- أو أي شخص أو جهة مسؤولة عن مراقبة الالتزام بالقواعد داخل الجهات العاملة في نشاط اقتصادي مشترك.

 

‌ط-    آلية معالجة الشكاوى، والتعامل مع حوادث تسرب البيانات الشخصية.

 

‌ي-    آليات ضمان ومتابعة الالتزام داخل مجموعة الجهات العاملة في نشاط اقتصادي مشترك لضمان التحقق من الالتزام بالقواعد بشكل مستمر وفعال، على أن تتضمن هذه الآليات عمليات التدقيق لحماية البيانات الشخصية وطرق تنفيذ الإجراءات التصحيحية، إضافة إلى الالتزام بإتاحة نتائج هذا التدقيق للجهة المختصة عند طلبها.

 

‌ك-   آلية طلب الموافقة من الجهة المختصة على أي تعديلات تطرأ على القواعد.

 

‌ل-     آلية التعاون والتواصل مع الجهة المختصة لضمان التزام كل طرف في مجموعة الجهات العاملة في النشاط الاقتصادي المشترك.

 

‌م-    توضيح أي متطلبات نظامية للإفصاح عن البيانات الشخصية تخضع لها مجموعة الجهات العاملة في النشاط الاقتصادي المشترك في دولة أخرى، والتي من المحتمل أن يكون لها أثر سلبي على الأحكام المنصوص عليها في القواعد، وآلية التعامل مع أحوال تعارض المتطلبات النظامية خارج المملكة مع أحكام النظام ولوائحه.

 

‌ن-     آلية تدريب وتأهيل الموظفين الذين لديهم وصول دائم أو منتظم إلى البيانات الشخصية والبيانات الحساسة.

 

3.      لا يخل تطبيق ما ورد في هذه المادة بمسؤوليات جهة التحكم المنصوص عليها في النظام ولوائحه.

المادة الخامسة: النقل اللاحق للبيانات الشخصية

دون الإخلال بأحكام المواد (الثامنة) و(الخامسة عشرة) من النظام و(السابعة عشرة) من اللائحة التنفيذية للنظام، تطبق أحكام النظام واللوائح على البيانات الشخصية التي جرى نقلها مسبقاً أو الإفصاح عنها لجهة خارج المملكة.

المادة السادسة: حالات تعذر استخدام الضمانات الملائمة لنقل البيانات الشخصية خارج المملكة

في حال عدم وجود مستوى مناسب لحماية البيانات الشخصية خارج المملكة وتعذر استخدام جهة التحكم لأي من الضمانات الملائمة لنقل البيانات المنصوص عليها في الفقرة (1) من المادة (الخامسة) من هذه اللائحة، يجوز نقل البيانات الشخصية خارج المملكة أو الإفصاح عنها لجهة خارج المملكة وذلك في أي من الحالات الآتية:

1.      إذا كان النقل أو الإفصاح ضروريا لإبرام أو تنفيذ اتفاق يكون صاحب البيانات الشخصية طرفا فيه.

2.      إذا كانت جهة التحكم جهة عامة وكان النقل أو الإفصاح ضروريا لحماية الأمن الوطني للمملكة أو لتحقيق مصلحة عامة.

3.      إذا كانت جهة التحكم جهة عامة وكان النقل أو الإفصاح ضروريا للتحقيق في الجرائم أو الكشف عنها أو ملاحقة مرتكبيها، أو لتنفيذ عقوبات جزائية.

4.      إذا كان النقل أو الإفصاح ضروريا لحماية المصالح الحيوية لصاحب البيانات الشخصية وكان الاتصال به متعذرا.

 

المادة السادسة: العدول عن الإعفاء

1.     للجهة المختصة العدول عن أي من الإعفاءات الممنوحة وفقاً للحالات المنصوص عليها في المادة (الرابعة) من اللائحة، إذا تحقق أي مما يأتي:

  1. الإخلال بتطبيق الضمانات المناسبة.
  2. إذا تبين للجهة المختصة عدم كفاية الضمانات المناسبة لأي من الحالات المحددة بناء على نتائج المراجعة الدورية لتلك الضمانات حسب المنصوص عليها في المادة (الرابعة) من اللائحة.

2.     على جهة التحكم في حال تحقق أي من الأحوال المنصوص عليها في الفقرتين الفرعيتين (أ) و (ب) من الفقرة (١) من هذه المادة، التوقف عن النقل أو الإفصاح، وإشعار الجهات التي جرى نقل البيانات الشخصية إليها أو جرى الإفصاح لها عن البيانات الشخصية.

المادة السابعة: العدول عن الإعفاء

1-     على جهة التحكم حال نقلها للبيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة وفقا للمادة (الخامسة) أو (السادسة) من هذه اللائحة التوقف عن نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة في أي من الأحوال الآتية:

  1. إذا تبيّن أن عملية النقل أو الإفصاح تمس الأمن الوطني أو مصالح المملكة الحيوية.
  2. إذا وضّحت نتائج تقويم مخاطر نقل البيانات الشخصية خارج المملكة أو الإفصاح عنها لجهة خارج المملكة أن عملية النقل أو الإفصاح سينتج عنها مخاطر عالية على خصوصية أصحاب البيانات الشخصية.

 

  1. توقف سريان الضمانات الملائمة المطبقة من قبل جهة التحكم.

 

  1. عدم إمكانية جهة التحكم الالتزام بالضمانات الملائمة المطبقة من قبلها.

 

2-     في حال انطباق أي من الأحوال المنصوص عليها في الفقرة (1) من هذه المادة، على جهة التحكم القيام بما يلي:

أ‌-      التوقف –دون تأخر غير مبرر- عن عملية نقل البيانات الشخصية خارج المملكة أو الإفصاح عنها لجهة خارج المملكة.

ب‌-   إعادة إجراء تقويم مخاطر نقل البيانات الشخصية خارج المملكة أو الإفصاح عنها لجهة خارج المملكة.

 

3-     تقوم الجهة المختصة بتقييم ومراجعة أحوال وإجراءات العدول عن الإعفاء بشكل مستمر.

 

المادة السابعة: تقويم مخاطر نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة

1.      على جهة التحكم إجراء تقويم مخاطر قبل نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة، وذلك في الأحوال الآتية:

  1. نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة وفقا للمادة (الرابعة) من اللائحة.
  2. نقل بيانات حساسة أو الإفصاح عنها لجهات خارج المملكة بصفة مستمرة أو على نطاق واسع.

2.     يجب أن يتضمن تقويم مخاطر نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة العناصر الآتية:

  1. الغرض من عملية نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة والمسوغ النظامي لها.
  2. وصف لطبيعة عملية نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة التي سيتم تنفيذها، بما يشمل أنشطة معالجة البيانات الشخصية، والنطاق الجغرافي لها.
  3. الوسائل والضمانات المناسبة المتخذة لنقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة ومدى كفايتها في تحقيق مستوى حماية البيانات الشخصية المناسب.
  4. التدابير المتبعة للتأكد من أن عملية نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة ستقتصر على الحد الأدنى المطلوب من البيانات الشخصية لتحقيق الأغراض، وذلك في الحالات غير المستثناة من الفقرة الفرعية (ج) من الفقرة (٢) من المادة (التاسعة والعشرين) من النظام.
  5. الآثار المادية أو المعنوية التي قد تترتب نتيجةً لعملية نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة واحتمالية حدوثها.
  6. التدابير أو الضوابط التي سيتم تطبيقها لمنع حدوث المخاطر المحتملة على أصحاب البيانات الشخصية أو الحد من أثارها عند حدوثها.

الفصل الرابع: أحكام ختامية

المادة الثامنة: تقويم مخاطر نقل البيانات الشخصية خارج المملكة أو الإفصاح عنها لجهة خارج المملكة

1.      على جهة التحكم إجراء تقويم مخاطر نقل البيانات خارج المملكة أو الإفصاح عنها لجهة خارج المملكة، وذلك في أي من الأحوال الآتية:

‌أ-      نقل البيانات خارج المملكة وفقاً للمادة (الخامسة) من هذه اللائحة.

‌ب-   نقل البيانات خارج المملكة وفقا للمادة (السادسة) من هذه اللائحة.

‌ج-     نقل بيانات حساسة خارج المملكة بصفة مستمرة أو على نطاق واسع.

 

2.      يجب أن يتضمن تقويم مخاطر نقل البيانات خارج المملكة أو الإفصاح عنها لجهة خارج المملكة العناصر الآتية كحد أدنى:

‌أ-      ‌الغرض من عملية النقل أو الإفصاح والمسوغ النظامي لها.

 

‌ب-   ‌وصف لطبيعة عملية النقل أو الإفصاح التي سيتم تنفيذها، والنطاق الجغرافي لها.

 

‌ج-     الوسائل والضمانات الملائمة المتخذة لنقل البيانات الشخصية خارج المملكة ومدى كفايتها لتحقيق المستوى المطلوب لحماية البيانات الشخصية.

 

‌د-     التدابير المتبعة للتأكد من أن عملية النقل أو الإفصاح تتم وفق الحد الأدنى من البيانات الشخصية المطلوبة لتحقيق الأغراض.

 

‌ه-    ‌الآثار المادية أو المعنوية التي قد تترتب على عملية النقل أو الإفصاح، واحتمال حدوث أي أضرار على أصحاب البيانات الشخصية.

‌و-     التدابير التي ستتخذ لمنع المخاطر المحددة لحماية البيانات الشخصية والحد منها.

المادة الثامنة: الأدلة والإرشادات

تصدر الجهة المختصة الأدلة والإرشادات المتصلة بالأحكام الواردة في هذه اللائحة.

 

المادة التاسعة: النماذج والأدلة

تصدر الجهة المختصة النماذج والأدلة الاسترشادية والإجرائية المتصلة بالأحكام الواردة في هذه اللائحة.

المادة التاسعة: النفاذ

يُعمَل باللائحة من تاريخ نشرها في الجريدة الرسمية.

 

المادة العاشرة: النفاذ

يتم العمل بهذه اللائحة ابتداءً من تاريخ نفاذ النظام.



من خلال الاستمرار في استخدام موقعنا ، فإنك تقر باستخدام ملفات تعريف الارتباط سياسة الخصوصية