الدخول من خلال النفاذ الوطني الموحد
لغرض تطبيق هذا النظام، يُقصد بالألفاظ والعبارات الآتية -أينما وردت في هذا النظام- المعاني المبينة أمام كل منها، ما لم يقتضِ السياق غير ذلك:
1- النظام: نظام حماية البيانات الشخصية.
2- اللوائح: اللوائح التنفيذية للنظام.
3- الجهة المختصة: الجهة التي يصدر بتحديدها قرار من مجلس الوزراء.
4- البيانات الشخصية: كل بيان -مهما كان مصدره أو شكله- من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعل التعرف عليه ممكنًا بصفة مباشرة أو غير مباشرة، ومن ذلك: الاسم، ورقم الهوية الشخصية، وتاريخ الميلاد، والعناوين، وأرقام التواصل، وأرقام الرُّخص والسجلات والممتلكات الشخصية، وأرقام الحسابات البنكية والبطاقات الائتمانية، وصور الفرد الثابتة أو المتحركة، وغير ذلك من البيانات ذات الطابع الشخصي.
5- المعالجة: أي عملية تُجرى على البيانات الشخصية بأي وسيلة كانت يدوية أو آلية، ومن ذلك: عمليات الجمع، والتسجيل، والحفظ، والفهرسة، والترتيب، والتنسيق، والتخزين، والتعديل، والتحديث، والدمج، والاسترجاع، والاستعمال، والإفصاح، والنقل، والنشر، والمشاركة في البيانات أو الربط البيني، والحجب، والمسح، والإتلاف.
6- الجمع: حصول جهة التحكم على البيانات الشخصية وفقاً لأحكام النظام، سواء من صاحبها مُباشرةً أو ممن يُمثله أو ممن له الولاية الشرعية عليه أو من طرف آخر.
7- الإتلاف: كل عمل يؤدي إلى إزالة البيانات الشخصية ويجعل من المتعذر الاطلاع عليها أو استعادتها مرة أخرى.
8- الإفصاح: تمكين أي شخص -عدا جهة التحكم أو جهة المعالجة- من الحصول على البيانات الشخصية أو استعمالها أو الاطلاع عليها بأي وسيلة ولأي غرض.
9- النقل: نقل البيانات الشخصية من مكان إلى آخر لمعالجتها.
10- النشر: بث أي من البيانـات الشخصية عبـر وسيلـة نشـر مقـروءة أو مسموعـة أو مرئية، أو إتاحتها.
11- البيانات الشخصية الحساسة: كل بيان شخصي يتضمن الإشارة إلى أصل الفرد العرقي أو أصله الإثني، أو معتقده الديني أو الفكري أو السياسي. وكذلك البيانات الجنائية والأمنية، أو بيانات السمات الحيوية التي تحدد الهوية، أو البيانات الوراثية، أو البيانات الائتمانية، أو البيانات الصحية، والبيانات التي تدل على أن الفرد مجهول الأبوين أو أحدهما.
12- البيانات الوراثية: كل بيان شخصي يتعلق بالخصائص الوراثية أو المكتسبة لشخص طبيعي، يحدد بشكل فريد السمات الفيسيولوجية أو الصحية لذلك الشخص، ويستخلص من تحليل عينة بيولوجية للشخص كتحليل الأحماض النووية أو تحليل أي عينة أخرى تؤدي إلى استخلاص بيانات وراثية.
13- البيانات الصحية: كل بيان شخصي يتعلق بحالة الفرد الصحية، سواء الجسدية أو العقلية أو النفسية أو المتعلقة بالخدمات الصحية الخاصة به.
14- الخدمات الصحية: الخدمات المتعلقة بصحة الفرد، ومن ذلك الخدمات الوقائية والعلاجية والتأهيلية والتنويم وتوفير الدواء.
15- البيانات الائتمانية: كل بيان شخصي يتعلق بطلب الفرد الحصول على تمويل، أو حصوله عليه، سواء لغرض شخصي أو عائلي، من جهة تُمارس التمويل، بما في ذلك أي بيان يتعلق بقدرته على الحصول على ائتمان أو بقدرته على الوفاء به أو بتاريخه الائتماني.
16- صاحب البيانات الشخصية: الفرد الذي تتعلق به البيانات الشخصية.
17- الجهة العامة: أي وزارة أو مصلحة أو مؤسسة عامة أو هيئة عامة، أو أي جهة عامة مستقلة في المملكة، أو أي من الجهات التابعة لها.
18- جهة التحكم: أي جهة عامة، وأي شخصية ذات صفة طبيعية أو اعتبارية خاصة؛ تحدد الغرض من معالجة البيانات الشخصية وكيفية ذلك؛ سواء أباشرت معالجة البيانات بوساطتها أم بوساطة جهة المعالجة.
19- جهة المعالجة: أي جهة عامة، وأي شخصية ذات صفة طبيعية أو اعتبارية خاصة؛ تعالج البيانات الشخصية لمصلحة جهة التحكم ونيابةً عنها.
1- تسري أحكام النظام على الآتي:
أ-أي عملية مُعالجة لبيانات شخصية تتم في المملكة بأي وسيلة كانت.
ب- أي عملية مُعالجة لبيانات شخصية متعلقة بالأفراد المتواجدين في المملكة -بأي وسيلة كانت- تُجرى من أي جهة خارج المملكة.
لا تخل الأحكام والإجراءات المنصوص عليها في النظام بأي حكم يمنح حقًّا لصاحب البيانات الشخصية أو يقرر حماية أفضل لها، ينص عليه نظام آخر أو اتفاقية دولية تكون المملكة طرفاً فيها.
يكون لصاحب البيانات الشخصية -وفقاً للأحكام الواردة في النظام وما تحدده اللوائح- الحقوق الآتية:
1- فيما عدا الأحوال المنصوص عليها في النظام، لا تجوز معالجة البيانات الشخصية أو تغيير الغرض من معالجتها إلاَّ بعد موافقة صاحبها. وتُبين اللوائح شروط الموافقة، والأحوال التي يجب فيها أن تكون الموافقة الصريحة، والشروط والأحكام المتعلقة بالحصول على الموافقة من الولي الشرعي إذا كان صاحب البيانات الشخصية ناقص أو عديم الأهلية.
لا تخضع معالجة البيانات الشخصية للموافقة المشار إليها في الفقرة (1) من المادة (الخامسة) من النظام، في الأحوال الآتية:
1- عندما تُحقق المعالجة مصلحة متحققة لصاحب البيانات وكان الاتصال به متعذراً أو كان من الصعب تحقيق ذلك.
لا يجوز أن تكون الموافقة المشار إليها في الفقرة (1) من المادة (الخامسة) من النظام شرطاً لإسداء خدمة أو تقديم منفعة، ما لم تكن الخدمة أو المنفعة ذات علاقة مباشرة بمعالجة البيانات الشخصية التي صدرت الموافقة عليها.
مع مراعاة ما ينص عليه النظام واللوائح في شأن الإفصاح عن البيانات الشخصية، على جهة التحكم عند اختيارها جهة المعالجة أن تلتزم باختيار الجهة التي توفر الضمانات اللازمة لتنفيذ أحكام النظام واللوائح، وعليها التحقق من التزام تلك الجهة بأحكام النظام واللوائح، ولا يخل ذلك بمسؤولياتها تجاه صاحب البيانات الشخصية أو الجهة المختصة بحسب الأحوال. وتحدد اللوائح الأحكام اللازمة لذلك، على أن تشتمل على الأحكام المتعلقة بأي تعاقدات لاحقة تقوم بها جهة المعالجة.
1- يجوز لجهة التحكم تحديد مدد لممارسة حق الوصول إلى البيانات الشخصية المقرر في الفقرة (2) من المادة (الرابعة) من النظام وفق ما تحدده اللوائح، ويجوز كذلك لجهة التحكم تقييد هذا الحق في الأحوال الآتية:
أ- إذا كان ذلك ضروريًّا لحماية صاحب البيانات الشخصية أو غيره من أي ضرر؛ وفق الأحكام التي تحددها اللوائح.
لا يجوز لجهة التحكم جمع البيانات الشخصية إلاَّ من صاحبها مباشرةً، ولا تجوز كذلك مُعالجة تلك البيانات إلاَّ لتحقيق الغرض الذي جُمعت من أجله. ومع ذلك، يجوز لجهة التحكم جمع البيانات الشخصية من غير صاحبها مباشرةً، أو مُعالجتها لغرض آخر غير الذي جمعت من أجله، وذلك في الأحوال الآتية:1- إذا وافق صاحب البيانات الشخصية على ذلك، وفقاً لأحكام النظام.2- إذا كانت البيانات الشخصية متاحة للعموم، أو جرى جمعها من مصدر متاح للعموم، بما لا يخالف أحكام النظام.3- إذا كانت جهة التحكم جهة عامة، وكان جمع البيانات الشخصية من غير صاحبها مباشرةً، أو مُعالجتها لغرض آخر غير الذي جمعت من أجله؛ مطلوباً لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء مُتطلبات قضائية وفق الأحكام التي تحددها اللوائح.4- إذا كان التقيد بهذا الحظر قد يُلحق ضرراً بصاحب البيانات الشخصية أو يؤثر على مصالحه الحيوية؛ وفق الأحكام التي تحددها اللوائح.5- إذا كان جمع البيانات الشخصية أو معالجتها ضروريًّا لحماية الصحة العامة أو السلامة العامة أو المصلحة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك.6- إذا كانت البيانات الشخصية لن تُسجل أو تُحفظ في صيغة تجعل من الممكن تحديد هوية صاحبها ومعرفته بصورة مباشرة أو غير مباشرة. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك.7- إذا كان جمع البيانات الشخصية أو معالجتها ضرورياً لتحقيق مصالح مشروعة لجهة التحكم أو أي طرف آخر، مالم يخل ذلك بحقوق صاحب البيانات الشخصية أو يتعارض مع مصالحه ولم تكن تلك البيانات بيانات شخصية حساسة، وفق الضوابط والأحكام التي تحددها اللوائح.
1- يجب أن يكون الغرض من جمع البيانات الشخصية ذا علاقة مُباشرة بأغراض جهة التحكم، وألاَّ يتعارض مع أي حكم مقرر نظاماً.
على جهة التحكم أن تعتمد سياسة للخصوصية، وأن تجعلها متاحة لأصحابها ليطلعوا عليها قبل جمع بياناتهم. على أن تشتمل تلك السياسة على تحديد الغرض من جمعها، ومُحتوى البيانات الشخصية المطلوب جمعها، وطريقة جمعها، ووسيلة حفظها، وكيفية معالجتها، وكيفية إتلافها، وحقوق صاحبها فيما يتعلق بها، وكيفية ممارسة هذه الحقوق.
على جهة التحكم، في حالة جمع البيانات الشخصية من صاحبها مباشرةً، اتخاذ الوسائل الكافية لإحاطته علماً بالعناصر الآتية قبل أو أثناء جمع بياناته:1- الأساس النظامي لجمع بياناته الشخصية.2- الغرض من جمع بياناته الشخصية، وتحديد البيانات المطلوب جمعها إلزامياً والبيانات المطلوب جمعها اختيارياً، وإحاطته كذلك بأن بياناته لن تعالج لاحقاً بصورة تتنافى مع الغرض من جمعها أو في غير الأحوال المنصوص عليها في المادة (العاشرة) من النظام.3- هوية من يجمع البيانات الشخصية وعنوان مرجعه عند الاقتضاء، ما لم يكن جمعها لأغراض أمنية.4- الجهة أو الجهات التي سَيُجرى إفصاح البيانات الشخصية إليها، وصفتها، وما إذا كانت البيانات الشخصية ستنقل أو سيفصح عنها أو ستعالج خارج المملكة.5- الآثار والأخطار المحتملة التي تترتب على عدم إتمام إجراء جمع البيانات الشخصية.6- حقوقه المنصوص عليها في المادة (الرابعة) من النظام.7- العناصر الأخرى التي تحددها اللوائح بحسب طبيعة النشاط الذي تمارسه جهة التحكم.
لا يجوز لجهة التحكم أن تعالج البيانات الشخصية دون اتخاذ خطوات كافية للتحقق من دقتها واكتمالها وحداثتها وارتباطها بالغرض الذي جُمعت من أجله وفقاً لأحكام النظام.
لا يجوز لجهة التحكم الإفصاح عن البيانات الشخصية إلاَّ في الأحوال الآتية:1- إذا وافق صاحب البيانات الشخصية على الإفصاح وفقاً لأحكام النظام.2- إذا كانت البيانات الشخصية قد جرى جمعها من مصدر متاح للعموم، بما لا يخالف أحكام النظام.3- إذا كانت الجهة التي تطلب الإفصاح جهة عامة، وذلك لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء مُتطلبات قضائية وفق الأحكام التي تحددها اللوائح.4- إذا كان الإفصاح ضروريًّا لحماية الصحة العامة أو السلامة العامة أو المصلحة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك.5- إذا كان الإفصاح سيقتصر على معالجتها لاحقاً، بطريقة لا تؤدي إلى معرفة هوية صاحب البيانات الشخصية أو أي فرد آخر على وجه التحديد. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك.6- إذا كان الإفصاح ضرورياً لتحقيق مصالح مشروعة لجهة التحكم أو أي طرف آخر، مالم يخل ذلك بحقوق صاحب البيانات الشخصية المنصوص أو يتعارض مع مصالحه ولم تكن تلك البيانات بيانات شخصية حساسة، وفق الضوابط والأحكام التي تحددها اللوائح.
على جهة التحكم ألاّ تفصح عن البيانات الشخصية في الأحوال المنصوص عليها في الفقرات (1) و(2) و(5) من المادة (الخامسة عشرة) من النظام، متى اتصف الإفصاح بأيٍّ مما يأتي:
1- إذا جرى تصحيح خطأ أو إكمال نقص أو إجراء تحديث في البيانات الشخصية، فعلى جهة التحكم أن تُشعر أي جهة أخرى انتقلت إليها تلك البيانات بأي تعديل يطرأ عليها، وأن تتيح لها ذلك التعديل.2- توضح اللوائح المدد الزمنية للتصحيح والتحديث، وأنواع التصحيح، والإجراءات المطلوبة لتفادي الآثار المترتبة على معالجة بيانات شخصية غير صحيحة أو غير دقيقة أو غير حديثة.
1- على جهة التحكم إتلاف البيانات الشخصية عند انتهاء الغرض من جمعها دون تأخير غير مبرر. ومع ذلك، يجوز لها الاحتفاظ بتلك البيانات بعد انتهاء الغرض من جمعها إذا تمت إزالة كل ما يؤدي إلى معرفة صاحبها على وجه التحديد وفق الضوابط التي تحددها اللوائح.2- على جهة التحكم الاحتفاظ بالبيانات الشخصية حتى بعد انتهاء الغرض من جمعها في الحالتين الآتيتين:أ- إذا توافر مسوغ نظامي يوجب الاحتفاظ بها مدة مُحددة، وفي هذه الحالة يُجرى إتلافها بعد انتهاء هذه المدة.ب- إذا كانت البيانات الشخصية متصلة اتصالاً وثيقاً بقضية منظورة أمام جهة قضائية وكان الاحتفاظ بها مطلوباً لهذا الغرض، وفي هذه الحالة يُجرى إتلافها بعد استكمال الإجراءات القضائية الخاصة بالقضية.
على جهة التحكم اتخاذ ما يلزم من إجراءات ووسائل تنظيمية وإدارية وتقنية تضمن المحافظة على البيانات الشخصية، بما في ذلك عند نقلها؛ وذلك وفقاً للأحكام والضوابط التي تحددها اللوائح.
على جهة التحكم عند علمها بحدوث تسرّب أو تلف لبيانات شخصية أو وصول غير مشروع إليها، وكان من شأن أي مما سبق أن يرتب ضرراً على صاحب البيانات الشخصية أو يتعارض مع حقوقه أو مصالحه؛ الالتزام بمتطلبات إشعارات تسرّب البيانات الشخصية، وفق الأحكام والضوابط والإجراءات التي تحددها اللوائح، وما تحدده الجهة المختصة في هذا الشأن.
على جهة التحكم الاستجابة لطلبات صاحب البيانات الشخصية المتعلقة بحقوقه المنصوص عليها في النظام خلال مدة محددة وعبر وسيلة مناسبة تبينهما اللوائح.
على جهة التحكم عند تقديمها لأي منتج أو خدمة معتمدة على معالجة البيانات الشخصية أو متعلقة بها إجراء تقويم للآثار المترتبة على معالجة البيانات الشخصية من هذه الخدمة أو المنتج، بحسب طبيعة النشاط الذي تمارسه جهة التحكم، وبحسب طبيعة المنتج أو الخدمة، وفق ما تحدده اللوائح في هذا الشأن.
تُحدد اللوائح الضوابط والإجراءات الإضافية -بما لا يتعارض مع أحكام النظام- في شأن معالجة البيانات الصحية بما يكفل المحافظة على خصوصية أصحابها ويحمي حقوقهم الواردة في النظام، على أن تشتمل على ما يأتي:
تُحدد اللوائح الضوابط والإجراءات الإضافية -بما لا يتعارض مع أحكام النظام- في شأن معالجة البيانات الائتمانية بما يكفل المحافظة على خصوصية أصحابها ويحمي حقوقهم الواردة في النظام ونظام المعلومات الائتمانية، على أن تشتمل على ما يأتي:1- اتخاذ ما يلزم للتحقق من توافر الموافقة الصريحة من صاحب البيانات الشخصية على جمع هذه البيانات أو تغيير الغرض من جمعها أو الإفصاح عنها أو نشرها وفق أحكام النظام ونظام المعلومات الائتمانية.2- وجوب إشعار صاحب البيانات الشخصية عند ورود طلب الإفصاح عن بياناته الائتمانية من أي جهة.
فيما عدا المواد التوعوية التي ترسلها الجهات العامة، لا يجوز لجهة التحكم استخدام وسائل الاتصال الشخصية -بما فيها العناوين البريدية والإلكترونية- الخاصة بصاحب البيانات الشخصية لأجل إرسال مواد دعائية أو توعوية، إلاَّ وفقاً لما يأتي:1- أن تؤخذ موافقة المتلقي المستهدف على إرسال هذه المواد إليه.2- أن يوفر مرسل المواد آلية واضحة -بحسب ما تحدده اللوائح- تُمكن المتلقي المستهدف من إبداء رغبته في التوقف عن إرسالها إليه عند رغبته في ذلك.وتحدد اللوائح الأحكام المتعلقة بالمواد الدعائية والتوعوية المشار إليها في هذه المادة، وشروط وأحوال موافقة المتلقي المستهدف على إرسال هذه المواد إليه.
1- تجوز معالجة البيانات الشخصية للأغراض التسويقية إذا تم توفير آلية واضحة تُمكّن المتلقي المستهدف من إبداء رغبته في التوقف عن المعالجة عند رغبته في ذلك، وتحدد اللوائح الضوابط اللازمة لذلك.
يجوز جمع البيانات الشخصية أو مُعالجتها لأغراض علمية أو بحثية أو إحصائية دون موافقة صاحبها، في الأحوال الآتية:1- إذا لم تتضمن البيانات الشخصية ما يدل على هوية صاحبها على وجه التحديد.2- إذا كان سَيُجرى إتلاف ما يدل على هوية صاحب البيانات الشخصية على وجه التحديد خلال عملية مُعالجتها وقبل الإفصاح عنها لأي جهة أُخرى ولم تكن تلك البيانات بيانات شخصية حساسة.3- إذا كان جمع البيانات الشخصية أو معالجتها لهذه الأغراض يقتضيها نظام آخر أو تنفيذاً لاتفاق سابق يكون صاحبها طرفاً فيه.وتحدد اللوائح الضوابط اللازمة لما ورد في هذه المادة.
1- يجوز لجهة التحكم نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة وفق الآتي:أ- أن يكون للدولة التي سَيُجرى نقل البيانات الشخصية إليها أنظمة تضمن الحماية اللازمة للبيانات الشخصية وتضمن المحافظة على حقوق أصحاب البيانات، ووجود جهة مُشرفة تتولى فرض الإجراءات والتدابير الملائمة لحماية البيانات الشخصية على جهات التحكم، بحيث لا تقل معايير حماية البيانات الشخصية في تلك الدولة عن المعايير الواردة في النظام واللوائح.ب- تعتمد الجهة المختصة معايير التقييم الواردة في الفقرة الفرعية (أ) من الفقرة (1) من هذه المادة.2- استثناءً مما ورد في الفقرة (1) من هذه المادة، يجوز لجهة التحكم نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة خلاف ما ورد في الفقرة الفرعية (ب) من الفقرة (1) من هذه المادة، في الحالات الآتية:
1- مع عدم الإخلال بأحكام النظام، وما للبنك المركزي السعودي من صلاحيات وفقاً لما تقضي به النصوص النظامية ذات العلاقة، تكون الجهة المختصة الجهة المشرفة على تطبيق أحكام النظام واللوائح.2- تحدد اللوائح الأحوال التي يكون فيها على جهة التحكم تعيين شخصاً (أو أكثر) يتولى أدوار مسؤول حماية البيانات الشخصية، وتحدد مسؤولياته بما يتفق مع أحكام النظام.3- على جهة التحكم التعاون مع الجهة المختصة في سبيل مباشرتها مهماتها المتعلقة بالإشراف على تطبيق أحكام النظام واللوائح، وعليها كذلك اتخاذ ما يلزم من إجراءات حيال المسائل المتعلقة بذلك التي تحيلها الجهة المختصة إليها. وللجهة المختصة طلب الوثائق أو المعلومات اللازمة من جهة التحكم للتأكد من التزامها بأحكام النظام واللوائح.4- يجوز للجهة المختصة -وفق ما تقدره- تفويض غيرها من الجهات في مباشرة بعض المهمات الموكولة إليها المتعلقة بالإشراف على تطبيق أحكام النظام واللوائح.
1- دون إخلال بما ورد في المادة (الثامنة عشرة) من النظام، تحتفظ جهة التحكم بسجلات لمدة تحددها اللوائح لأنشطة معالجة البيانات الشخصية بحسب طبيعة النشاط الذي تمارسه جهة التحكم؛ لتكون متاحة عندما تطلبها الجهة المختصة. على أن تشمل السجلات حدًّا أدنى من البيانات الآتية:أ- تفاصيل الاتصال الخاصة بجهة التحكم.ب- الغرض من معالجة البيانات الشخصية.ج- وصف فئات أصحاب البيانات الشخصية.د- أي جهة جرى (أو سَيُجرى) إفصاح البيانات الشخصية إليها.ه- ما إذا جرى (أو سَيُجرى) نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة.و- المدة الزمنية المتوقعة للاحتفاظ بالبيانات الشخصية. 2- على جهة التحكم الاحتفاظ بسجلات العمليات على سجلات البيانات الشخصية ووضع الضوابط اللازمة التي تكفل تقييد الوصول إلى هذه البيانات، وتحدد اللوائح الضوابط والإجراءات المتعلقة بكلّ من السجلات.
للجهة المختصة في سبيل مباشرتها لمهامها بالإشراف على تطبيق أحكام النظام واللوائح القيام إصدار القرارات والتعليمات والتعاميم التي تهدف إلى تمكينها من متابعة التزام جهات التحكم بأحكام النظام واللوائح، ولها بوجه خاص ما يأتي:1- متابعة الالتزام بأحكام النظام واللوائح.2- إصدار الإرشادات والتوجيهات والتعليمات والقرارات المتعلقة بإنفاذ أحكام النظام واللوائح بما في ذلك، قرارات التدابير الاحترازية والإجراءات التصحيحية لإزالة مخالفات أحكام النظام.3- الاستعانة بالجهات المختصة الأخرى لأغراض الإشراف على تطبيق أحكام النظام واللوائح.4- التعاون مع الجهات الدولية المماثلة في الأحوال التي تتطلب مهامها بالإشراف على تطبيق أحكام النظام ذلك، وبما لا يخلّ بالتزامات المملكة بموجب الاتفاقيات الدولية وما لا يضُرّ بعلاقاتها الدولية.5- اتخاذ الإجراءات اللازمة للتحقق من مخالفات أحكام النظام بما في ذلك إجراءات الضبط والتفتيش.6- تحديد الأدوات والآليات المناسبة لمتابعة التزام جهات التحكم، بما في ذلك بناء سجل وطني عن جهات التحكم وتقديم الخدمات المتعلقة بحماية البيانات الشخصية، ولها استحصال المقابل المالي عن الخدمات التي تقدمها، وذلك بالتنسيق مع وزارة المالية ومركز تنمية الإيرادات غير النفطية.7- تحديد الأدوات والآليات المناسبة لمتابعة التزام الجهات التي خارج المملكة عند معالجتها لبيانات شخصية متعلقة بالأفراد المقيمين داخل المملكة، والإجراءات المتعلقة بإنفاذ أحكام النظام خارج المملكة.
1- تضع الجهة المختصة اشتراطات ممارسة الأنشطة التجارية أو المهنية أو غير الربحية المرتبطة بحماية البيانات الشخصية في المملكة وفقاً لما تحدده اللوائح؛ بالتنسيق مع الجهات ذات العلاقة.2- يجوز للجهة المختصة الترخيص لجهات تتولى إصدار شهادات اعتماد لجهة التحكم وجهة المعالجة لإثبات أن أنشطة معالجة البيانات الشخصية لدى هذه الجهات تتم وفقاً لأحكام النظام، على أن تضع الجهة المختصة القواعد المنظمة لإصدار تلك الشهادات.3- يجوز للجهة المختصة الترخيص لجهات تتولى أعمال التدقيق المتعلقة بأنشطة معالجة البيانات الشخصية، وفق ما تحدده اللائحة ولها وضع اشتراطات ومتطلبات تلك التراخيص، والقواعد المنظّمة لها.
يجوز لصاحب البيانات الشخصية التقدم إلى الجهة المختصة أو جهة التحكم، بأي شكوى ناشئة من تطبيق النظام واللوائح، وتحدد اللوائح ضوابط معالجة الشكاوى الناشئة من تطبيق أحكام النظام واللوائح.
1- مع عدم الإخلال بأي عقوبة أشد منصوص عليها في نظام آخر، يُعاقب كل من أفصح عن بيانات شخصية حساسة أو نشرها مخالفًا أحكام النظام؛ بالسجن مدة لا تزيد على (سنتين) وبغرامة لا تزيد على (ثلاثة ملايين) ريال، أو بإحدى هاتين العقوبتين؛ إذا كان ذلك بقصد الإضرار بصاحب البيانات أو بقصد تحقيق منفعة شخصية.
1- فيما لم يرد في شأنه نص خاص في المادة (الرابعة والثلاثين) من النظام، ودون إخلال بأيِّ عقوبة أشد منصوص عليها في نظام آخر؛ تُعاقب كل شخصية ذات صفة طبيعية أو اعتبارية خاصة؛ ارتكبت أي مخالفة لأحكام النظام، بالعقوبات الآتية:أ- الإنذار.
1-يتولى الموظفون أو العاملون - الذين يصدر بتسميتهم قرار من رئيس الجهة المختصة- صلاحيات الضبط والتفتيش عن المخالفات المنصوص عليها في النظام أو اللوائح، ويُصدر رئيس الجهة المختصة قواعد وإجراءات عملهم بما يتفق مع الأنظمة ذات الصلة.2- للموظفين أو العاملين المنصوص عليهم في الفقرة (1) من هذه المادة الاستعانة بجهات الضبط الجنائي أو الجهات المختصة الأخرى في سبيل قيامهم بمهام وإجراءات الضبط والتفتيش.3- تلتزم الجهات المشمولة بتطبيق أحكام النظام واللوائح بتمكين الموظفين أو العاملين المنصوص عليهم في الفقرة (1) من هذه المادة من القيام بأعمالهم بموجب أحكام النظام واللوائح وقواعد عملهم التي يُصدرها رئيس الجهة المختصة.
يجوز للمحكمة المختصة أو اللجنة المنصوص عليها في الفقرة (4) من المادة (الخامسة والثلاثين) -بحسب الأحوال- تضمين الحكم أو القرار الصادر من أي منهما بتحديد العقوبة النصَّ على نشر ملخصه على نفقة المحكوم عليه أو المخالف في صحيفة محلية (أو أكثر) تصدر في مكان إقامته، أو في أي وسيلة أخرى مناسبة، وذلك بحسب نوع المخالفة المرتكبة وجسامتها ومدى تأثيرها، على أن يكون النشر بعد اكتساب الحكم الصفة القطعية، أو تحصن القرار بفوات ميعاد التظلم منه، أو صدور حكم نهائي برفض التظلم منه.
دون إخلال بما ورد في المادة (الرابعة والثلاثين) والفقرة (1) من المادة (الخامسة والثلاثين) من النظام، يجب على الجهة العامة مساءلة أي من منسوبيها -تأديبيًّا- في حال مخالفته أيًّا من أحكام النظام واللوائح؛ وفق أحكام وإجراءات المساءلة والتأديب المقررة نظاماً.
مع عدم الإخلال بإيقاع العقوبات المنصوص عليها في النظام، لمن لحقه ضرر -نتيجةَ ارتكاب أي من المخالفات المنصوص عليها في النظام أو اللوائح- حق المطالبة أمام المحكمة المختصة بالتعويض عن الضرر المادي أو المعنوي بما يتناسب مع حجم الضرر.
يلتزم كل من باشر عملاً من أعمال معالجة البيانات الشخصية بالمحافظة على الأسرار المتعلقة بالبيانات حتى بعد انتهاء علاقته الوظيفية أو التعاقدية.
يصدر رئيس الجهة المختصة اللوائح، وذلك في مدة لا تتجاوز (مائة وثمانين) يوماً من تاريخ صدور النظام، على أن يُنسِّق -قبل إصدارها- مع وزارة الاتصالات وتقنية المعلومات ووزارة الخارجية وهيئة الاتصالات والفضاء والتقنية والهيئة الوطنية للأمن السيبراني والمجلس الصحي السعودي والبنك المركزي السعودي، كلٌّ فيما يخصه.
يُعمل بالنظام بعد (مائة وثمانين) يوماً من تاريخ نشره في الجريدة الرسمية.
آخر تحديث : 17 نوفمبر 2022
يمكنك تصفح البوابة عن طريق إعطاء أوامر صوتية بإستخدام المايكروفون
تحدث الان...
برجاء اعطاء الاوامر الصوتية من الخيارات التالية:
إخلاء المسؤولية : الترجمة إلى لغات أخرى يعتمد على ترجمة جوجل (Google)، وبالتالي فإن المركز الوطني للتنافسية غير مسؤول عن دقة المعلومات في اللغة الجديدة.