المادة الرابعة: حالات إعفاء جهات التحكم من شروط الالتزام بمستوى الحماية المناسب والحد الأدنى لنقل البيانات الشخصية 1. تعفى جهة التحكم من الشرطين الواجب توافرهما عند نقل البيانات الشخصية أو الإفصاح عنها إلى جهة خارج المملكة، والمنصوص عليهما في الفقرتين (ب) و(ج) من الفقرة (٢) من المادة (التاسعة والعشرين) من النظام، أو أي منهما، ويكون نقل البيانات الشخصية أو الإفصاح عنها إلى جهة خارج المملكة مُقيّداً بالضمانات المناسبة، في الحالات الآتية: أ- إذا كان النقل أو الإفصاح عن البيانات الشخصية سيُجرى بين الجهات العامة لتنفيذ اتفاقية تكون المملكة طرفًا فيها أو كان ذلك لخدمة مصالح المملكة، على أن تلتزم جهات التحكم بتضمين بنود قياسية لحماية البيانات الشخصية في الاتفاقيات أو مذكرات التفاهم ذوات الصلة. ب- إذا كان النقل أو الإفصاح سيُجرى بصفة غير متكررة أو لفترة محدودة ولعدد محدود من أصحاب البيانات الشخصية، على أن تلتزم جهة التحكم بالبنود التعاقدية القياسية أو أن يكون النقل أو الإفصاح لجهة صدرت لها شهادة اعتماد من جهة مرخصة من الجهة المختصة، وألا تكون تلك البيانات بيانات حساسة. ج- إذا كان النقل أو الإفصاح عن البيانات الشخصية ضرورياً لإجراء العمليات التشغيلية المركزية وكانت جهة التحكم ضمن مجموعة كيانات متعددة الجنسيات، على أن تلتزم جهة التحكم والجهات التابعة لها بقواعد مشتركة ملزمة أو البنود التعاقدية القياسية التي تضمن استيفاء المتطلبات المنصوص عليها في النظام واللوائح، أو حصول الجهة - التي سيُجرى نقل البيانات الشخصية إليها أو الإفصاح عن البيانات الشخصية إليها- على شهادة اعتماد صادرة من جهة مرخصة من الجهة المختصة. د- إذا كان النقل أو الإفصاح سيُجرى لتقديم خدمة أو منفعة لصاحب البيانات الشخصية بصورة مباشرة، بما لا يخالف توقعاته أو يتعارض مع مصالحه، على أن يكون النقل أو الإفصاح لجهة صدرت لها شهادة اعتماد من جهة مرخصة من الجهة المختصة، وألا تكون تلك البيانات بيانات حساسة. ه- إذا كان نقل البيانات الشخصية أو الإفصاح عنها ضرورياً لإجراء البحوث والدراسات العلمية على أن يقتصر النقل أو الإفصاح على الحد الأدنى من البيانات الشخصية الذي تدعو الحاجة إليه، وأن تلتزم جهة التحكم بالبنود التعاقدية القياسية أو أن يكون النقل أو الإفصاح لجهة صدرت لها شهادة اعتماد من جهة مرخصة من الجهة المختصة، وألا تكون تلك البيانات بيانات حساسة. 2. يجب أن تتضمن الضمانات المناسبة التزامات جهات التحكم المنصوص عليها في النظام ولوائحه، وحقوق أصحاب البيانات الشخصية، بما في ذلك الحق في طلب التعويض عن الضرر المترتب على الإخلال بهذه الحقوق. 3. للجهة المختصة مراجعة مدى كفاية تطبيق الضمانات المناسبة لكل حالة من حالات الإعفاء كل سنتين أو عند الاقتضاء. | الفصل الثالث: حالات الإعفاء المادة الخامسة: نقل البيانات بناء على الضمانات الملائمة لنقل البيانات الشخصية خارج للمملكة 1. في حال عدم وجود مستوى مناسب لحماية البيانات الشخصية خارج المملكة، لجهة التحكم نقل البيانات الشخصية أو الإفصاح عنها خارج المملكة شريطة ألا تتضمن المتطلبات النظامية لدى الدولة أو المنظمة الدولية ما يؤثر سلبا على خصوصية أصحاب البيانات الشخصية أو قدرة جهة التحكم على الالتزام بتطبيق الضمانات الملائمة. وتتمثل الضمانات الملائمة في أي من الآتي: أ- القواعد المشتركة الملزمة، والتي تطبق على كل طرف معني في مجموعة الجهات التي تعمل في نشاط اقتصادي مشترك، بما في ذلك موظفوها، والتي تتم الموافقة على أحكامها وبنودها من قبل الجهة المختصة وفق طلبات تقدم لها في كل حالة على حدة. ب- البنود التعاقدية القياسية التي تضمن المستوى الكافي لحماية البيانات الشخصية عند نقلها خارج المملكة، وفق نموذج قياسي تصدره الجهة المختصة. ج- شهادات الالتزام بالنظام واللائحة في المملكة، والتي تصدر من جهة مرخصة من قبل الجهة المختصة، مع التزام جهة التحكم أو جهة المعالجة خارج المملكة بتطبيق الضمانات الملائمة. د- قواعد السلوك الملزمة، والتي تتم الموافقة عليها من قبل الجهة المختصة وفق طلبات تقدم لها في كل حالة على حدة، مع التزام جهة التحكم أو جهة المعالجة خارج المملكة بتطبيق الضمانات الملائمة. 2. تتضمن القواعد المشتركة الملزمة المشار إليها في الفقرة الفرعية (أ) من الفقرة (1) من هذه المادة المسائل الآتية على الأقل: أ- بيانات السجلات التجارية وتفاصيل معلومات الاتصال الخاصة بمجموعة الجهات التي تعمل في نشاط اقتصادي مشترك. ب- وصف عمليات نقل البيانات الشخصية أو مجموعة عمليات النقل، بما في ذلك نوع البيانات الشخصية ونوع المعالجة وأغراضها وتحديد الدولة أو الدول التي سيجري نقل البيانات إليها. ج- التزام كافة الأطراف في القواعد بتطبيق ما ورد فيها. د- أحكام حماية البيانات الشخصية الواجب تطبيقها، بما في ذلك تحديد الغرض من المعالجة، وجمع الحد الأدنى من البيانات، وفترات الاحتفاظ، والمسوغات النظامية للمعالجة، وضوابط معالجة البيانات الشخصية، والمتطلبات المتعلقة بعمليات النقل اللاحقة إلى الجهات غير الملزمة بالقواعد. ه- حقوق صاحب البيانات الشخصية فيما يتعلق بالمعالجة ووسائل ممارسة تلك الحقوق بما في ذلك الحق في تقديم شكوى إلى الجهة المختصة. و- أحكام مسؤولية جهة التحكم عن أي انتهاكات للقواعد من قبل أطرافها. ز- كيفية توفير المعلومات المتعلقة بالقواعد لأصحاب البيانات بالإضافة إلى المعلومات الأخرى التي سيتم تقديمها وفقًا للنظام ولوائحه. ح- مهام مسؤول حماية البيانات الشخصية –إن وجد- أو أي شخص أو جهة مسؤولة عن مراقبة الالتزام بالقواعد داخل الجهات العاملة في نشاط اقتصادي مشترك. ط- آلية معالجة الشكاوى، والتعامل مع حوادث تسرب البيانات الشخصية. ي- آليات ضمان ومتابعة الالتزام داخل مجموعة الجهات العاملة في نشاط اقتصادي مشترك لضمان التحقق من الالتزام بالقواعد بشكل مستمر وفعال، على أن تتضمن هذه الآليات عمليات التدقيق لحماية البيانات الشخصية وطرق تنفيذ الإجراءات التصحيحية، إضافة إلى الالتزام بإتاحة نتائج هذا التدقيق للجهة المختصة عند طلبها. ك- آلية طلب الموافقة من الجهة المختصة على أي تعديلات تطرأ على القواعد. ل- آلية التعاون والتواصل مع الجهة المختصة لضمان التزام كل طرف في مجموعة الجهات العاملة في النشاط الاقتصادي المشترك. م- توضيح أي متطلبات نظامية للإفصاح عن البيانات الشخصية تخضع لها مجموعة الجهات العاملة في النشاط الاقتصادي المشترك في دولة أخرى، والتي من المحتمل أن يكون لها أثر سلبي على الأحكام المنصوص عليها في القواعد، وآلية التعامل مع أحوال تعارض المتطلبات النظامية خارج المملكة مع أحكام النظام ولوائحه. ن- آلية تدريب وتأهيل الموظفين الذين لديهم وصول دائم أو منتظم إلى البيانات الشخصية والبيانات الحساسة. 3. لا يخل تطبيق ما ورد في هذه المادة بمسؤوليات جهة التحكم المنصوص عليها في النظام ولوائحه. |