الدخول من خلال النفاذ الوطني الموحد
يكون للكلمات والعبارات الواردة في هذه اللائحة المعاني الموضحة أمام كل منها في المادة (الأولى) من نظام حماية البيانات الشخصية الصادر بالمرسوم الملكي رقم (م/19) وتاريخ 9/2/1443هـ والمعدل بموجب المرسوم الملكي رقم (م/148) وتاريخ 5/9/1444هـ ولائحته التنفيذية، ويقصد بالألفاظ والعبارات الآتية -أينما وردت في هذه اللائحة- المعاني الموضحة أمام كل منها، ما لم يقتضِ السياق غير ذلك:1.اللائحة: لائحة نقل البيانات الشخصية خارج الحدود الجغرافية للمملكة.2.نقل البيانات الشخصية: نقل البيانات الشخصية خارج الحدود الجغرافية للمملكة بغرض معالجتها.3.اللوائح: اللوائح التنفيذية لنظام حماية البيانات الشخصية.
1.لا تخلّ الأحكام الواردة في اللائحة بأحكام الأنظمة السارية في المملكة، أو الاتفاقيات التي تكون المملكة طرفاً فيها.
2.على جهة التحكم الالتزام بأحكام جمع ومعالجة البيانات الشخصية والإفصاح عنها وفق ما نص عليه النظام ولوائحه.
3.مع مراعاة أحكام النظام واللوائح، يجوز لجهة التحكم نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة، مالم يؤثر هذا النقل أو الإفصاح على الأمن الوطني أو مصالح المملكة الحيوية أو كان النقل أو الإفصاح مخالفا لنظام آخر في المملكة.
4.على جهة التحكم قصر نقل البيانات الشخصية خارج المملكة أو الإفصاح عنها لجهة خارج المملكة على الحد الأدنى اللازم لتحقيق الغرض من عملية النقل أو الإفصاح، ويتم تحديد ذلك من خلال استخدام مخططات البيانات التي تبيّن الحاجة لنقل كل بيان أو الإفصاح عنه وربط ذلك بكل هدف من أهداف المعالجة خارج المملكة.
5.على جهة التحكم عند نقل البيانات الشخصية خارج المملكة أو الإفصاح عنها لجهة خارج المملكة التأكد من أن ذلك لن يؤثر على خصوصية أصحاب البيانات الشخصية أو مستوى الحماية المكفول للبيانات الشخصية وفق النظام ولوائحه، وذلك من خلال التأكد من أن عملية النقل أو الإفصاح لن تخل –كحد أدنى- بأي مما يلي:
أ-قدرة صاحب البيانات الشخصية على ممارسة حقوقه المكفولة في النظام.
ب-قدرة صاحب البيانات الشخصية على العدول عن موافقته على عملية المعالجة.
ج-قدرة صاحب البيانات الشخصية على تقديم شكوى تجاه أي موضوع مرتبط ببياناته الشخصية.
د-قدرة جهة التحكم على الالتزام بمتطلبات الإشعار عن حوادث تسرب البيانات الشخصية.
ه-قدرة جهة التحكم على الالتزام بأحكام وضوابط وإجراءات الإفصاح عن البيانات الشخصية.
و-قدرة جهة التحكم على الالتزام بأحكام وضوابط إتلاف البيانات الشخصية.
ز-قدرة جهة التحكم على اتخاذ التدابير التنظيمية والإدارية والتقنية اللازمة لضمان أمن البيانات الشخصية.
6.تطبق اللائحة على البيانات الوصفية والتشغيلية والاحتياطية وبيانات أنظمة المراقبة والدعم والبيانات المشتقة من البيانات الشخصية، وذلك في الأحوال التي تدل فيها تلك البيانات على هوية أصحاب البيانات الشخصية بشكل مباشر أو غير مباشر.
7.مع مراعاة أحكام المادة (الثانية) من النظام، لا تطبق أحكام اللائحة على عمليات نقل البيانات الشخصية التي لا تدل على هوية أصحابها بشكل مباشر أو غير مباشر.
1.تقوم الجهة المختصة بالتنسيق مع وزارة الخارجية ووزارة الاتصالات وتقنية المعلومات ووزارة الاستثمار والهيئة الوطنية للأمن السيبراني ورئاسة أمن الدولة والبنك المركزي السعودي لإجراء عملية تقويم مستوى حماية البيانات الشخصية خارج المملكة، وللجهة المختصة التنسيق مع أي جهات أخرى ذات علاقة.2.تضع الجهة المختصة قواعد وإجراءات العمل على تقويم مستوى حماية البيانات الشخصية خارج المملكة.3.تقوم الجهة المختصة والجهات المنصوص عليها في الفقرة (1) من هذه المادة –كل بحسب اختصاصه- بتقويم مستوى حماية البيانات الشخصية خارج المملكة، وذلك وفقًا للمعايير التالية:أ-وجود أنظمة تضمن حماية البيانات الشخصية والمحافظة على حقوق أصحابها بما لا يقل عن مستوى الحماية الذي يكفله النظام واللوائح.ب-سيادة الأنظمة، وضمان حقوق أصحاب البيانات الشخصية والمحافظة على خصوصيتهم.ج-فاعلية تطبيق أنظمة حماية البيانات الشخصية.د-إمكانية قيام أصحاب البيانات الشخصية بممارسة حقوقهم، وأن تتوفر لهم الوسائل اللازمة لتقديم الشكاوى أو المطالبات المتصلة بمعالجة البيانات الشخصية.ه-وجود جهة مشرفة تتولى مسؤولية متابعة التزام جهات التحكم بمتطلبات حماية البيانات الشخصية.و- استعداد الجهة المشرفة للتعاون مع الجهة المختصة في المملكة في المسائل المتصلة بحماية البيانات الشخصية.ز-وضوح المتطلبات التنظيمية المتعلقة بإفصاح جهات التحكم عن البيانات الشخصية للجهات الحكومية والرقابية وعدم تعارضها مع الأنظمة السارية في المملكة.4.يجوز إجراء تقويم مستوى حماية البيانات الشخصية المشار إليه في هذه المادة للدول أو لقطاعات محددة فيها أو لمنظمات دولية.
1.تقوم الجهة المختصة برفع نتائج تقويم مستوى حماية البيانات الشخصية خارج المملكة لرئيس مجلس الوزراء، مبيناً فيها كافة التفاصيل المتعلقة به، بما في ذلك آراء الجهات المشاركة في التقويم، وتوصيات الجهة المختصة.2.تكون توصيات الجهة المختصة المشار إليها في الفقرة (1) من هذه المادة وفقا لأي مما يلي:أ-التوصية بإصدار قرار اعتماد وفقا لنتائج تقويم مستوى حماية البيانات الشخصية، سواء تم استيفاء كل أو بعض المعايير المنصوص عليها في الفقرة (3) من المادة الثالثة من اللائحة، وذلك وفق ما تقدره الجهات المشاركة في تقويم مستوى حماية البيانات الشخصية.ب-التوصية بعقد اتفاقية دولية –وفق الإجراءات النظامية المتبعة- وذلك حسب الأحوال وفق ما تقدره الجهة المختصة.ج-التوصية بعدم إصدار قرار اعتماد أو عقد اتفاقية دولية، مع بيان المسوغات لذلك.3. تقوم الجهة المختصة -كل أربع سنوات أو عند الاقتضاء- بمراجعة تقويم مستوى حماية البيانات الشخصية لدى الدول أو القطاعات أو المنظمات الدولية التي صدر لها قرارات اعتماد أو تم توقيع اتفاقية دولية معها، مع مراعاة جميع التطورات ذات الصلة في تلك الدول أو القطاعات أو المنظمات الدولية وفقًا للمعايير الواردة في الفقرة (3) من المادة (الثالثة) من اللائحة.4. تقوم الجهة المختصة بالرفع لرئيس مجلس الوزراء باقتراح إلغاء أو تعديل أو تعليق أي من القرارات المتخذة بشأن مستوى حماية البيانات الشخصية خارج المملكة، وذلك في حال تبيّن من خلال مراجعة مستوى الحماية للبيانات الشخصية أن الدولة أو القطاع أو المنظمة الدولية لم تعد تضمن مستوى كافٍ من الحماية المكفولة للبيانات الشخصية.
دون الإخلال بما نصت عليه الفقرة الفرعية (أ) من الفقرة (2) من المادة (التاسعة والعشرون) من النظام، لجهة التحكم نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة في حال عدم وجود مستوى مناسب لحماية البيانات الشخصية خارج المملكة بما لا يقل عن مستوى الحماية المقرر في النظام واللوائح، وذلك وفق أي من ضمانات نقل البيانات الشخصية خارج المملكة المنصوص عليها في المادة (السادسة) من اللائحة، أو انطباق أحد الأحوال المنصوص عليها في المادة (السابعة) من اللائحة.
1.في حال عدم وجود قرار اعتماد أو اتفاقية دولية مع الدولة أو المنظمة الدولية التي ستنقل لها البيانات الشخصية، لجهة التحكم نقل البيانات الشخصية أو الإفصاح عنها شريطة ألا تتضمن المتطلبات النظامية لدى تلك الدولة أو القطاعات فيها أو المنظمة الدولية ما يؤثر سلبا على خصوصية أصحاب البيانات الشخصية أو قدرتهم على ممارسة حقوقهم، وأن تتخذ جهة التحكم أي من الضمانات الآتية:أ-القواعد المشتركة الملزمة، والتي تطبق على كل طرف معني في مجموعة الجهات التي تعمل في نشاط اقتصادي مشترك، بما في ذلك موظفيهم، والتي يتم الموافقة على أحكامها وبنودها من قبل الجهة المختصة وفق طلبات تقدم لها في كل حالة على حدة.ب-البنود التعاقدية القياسية التي تضمن المستوى الكافي لحماية البيانات الشخصية عند نقلها خارج المملكة، وفق نموذج قياسي تصدره الجهة المختصة.ج- شهادات الالتزام بالنظام واللوائح في المملكة، والتي تصدر من جهة معتمدة من قبل الجهة المختصة.د-قواعد السلوك الملزمة، والتي يتم الموافقة عليها من قبل الجهة المختصة وفق طلبات تقدم لها في كل حالة على حدة.2.تتضمن القواعد المشتركة الملزمة المشار إليها في الفقرة الفرعية (أ) من الفقرة (1) من هذه المادة المسائل الآتية على الأقل:أ-بيانات السجلات التجارية وتفاصيل معلومات الاتصال الخاصة بمجموعة الجهات العاملة في نشاط اقتصادي مشترك.ب-وصف عمليات نقل البيانات الشخصية أو مجموعة عمليات النقل، بما في ذلك نوع البيانات الشخصية ونوع المعالجة وأغراضها وتحديد الدولة أو الدول التي سيجري نقل البيانات إليها.ج- التزام كافة الأطراف في القواعد بتطبيق ما ورد فيها.د-أحكام حماية البيانات الشخصية الواجب تطبيقها، بما في ذلك تحديد الغرض من المعالجة، وجمع الحد الأدنى من البيانات، وفترات الاحتفاظ، والمسوغات النظامية للمعالجة، وضوابط معالجة البيانات الشخصية والبيانات الحساسة، والتدابير اللازمة لضمان أمن المعلومات، والمتطلبات المتعلقة بعمليات النقل اللاحقة إلى الجهات غير الملزمة بالقواعد.ه-حقوق صاحب البيانات الشخصية فيما يتعلق بالمعالجة ووسائل ممارسة تلك الحقوق بما في ذلك الحق في تقديم شكوى إلى الجهة المختصة.و-أحكام مسؤولية جهة التحكم عن أي انتهاكات للقواعد من قبل أي طرف خارج المملكة.ز-كيفية توفير المعلومات المتعلقة بالقواعد لأصحاب البيانات بالإضافة إلى المعلومات الأخرى التي سيتم تقديمها وفقًا للنظام ولوائحه.ح-مهام مسؤول حماية البيانات الشخصية –إن وجد- أو أي شخص أو جهة مسؤولة عن مراقبة الالتزام بالقواعد داخل الجهات العاملة في نشاط اقتصادي مشترك.ط-آلية معالجة الشكاوى، والتعامل مع حوادث تسرب البيانات الشخصية.ي-آليات ضمان ومتابعة الالتزام داخل مجموعة الجهات العاملة في نشاط اقتصادي مشترك لضمان التحقق من الالتزام بالقواعد بشكل مستمر وفعال، على أن تتضمن هذه الآليات عمليات التدقيق لحماية البيانات الشخصية وطرق تنفيذ الإجراءات التصحيحية، إضافة إلى الالتزام بإتاحة نتائج هذا التدقيق للجهة المختصة عند طلبها.ك-آلية طلب الموافقة من الجهة المختصة على أي تعديلات تطرأ على القواعد.ل-آلية التعاون والتواصل مع الجهة المختصة لضمان التزام كل طرف في مجموعة الجهات العاملة في النشاط الاقتصادي المشترك.م-توضيح أي متطلبات نظامية للإفصاح عن البيانات الشخصية تخضع لها مجموعة الجهات العاملة في النشاط الاقتصادي المشترك في دولة أخرى، والتي من المحتمل أن يكون لها أثر سلبي على الأحكام والضمانات المنصوص عليها في القواعد، وآلية التعامل مع أحوال تعارض المتطلبات النظامية خارج المملكة مع أحكام النظام أو اللوائح.ن-آلية تدريب وتأهيل الموظفين الذين لديهم وصول دائم أو منتظم إلى البيانات الشخصية والبيانات الحساسة.3. لا يخل تطبيق ما ورد في هذه المادة بمسؤوليات جهة التحكم المنصوص عليها في النظام ولوائحه.
في حال عدم وجود قرار اعتماد أو اتفاقية دولية لنقل البيانات الشخصية وتعذر استخدام جهة التحكم لأي من ضمانات نقل البيانات المنصوص عليها في الفقرة (1) من المادة (السادسة) من اللائحة، يجوز نقل البيانات الشخصية خارج المملكة أو الإفصاح عنها لجهة خارج المملكة وذلك في أي من الحالات الآتية:أ-إذا كان النقل أو الإفصاح ضروريا لإبرام أو تنفيذ اتفاق يكون صاحب البيانات الشخصية طرفا فيه.
على جهة التحكم حال نقلها للبيانات أو الإفصاح عنها لجهة خارج المملكة وفقا للمادة (السادسة) أو (السابعة) من اللائحة التوقف عن نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة في أي من الأحوال الآتية:أ- إذا تبيّن أن عملية النقل أو الإفصاح تمس الأمن الوطني أو مصالح المملكة الحيوية.ب-إذا تبيّن أن عملية النقل أو الإفصاح تشكل ضررا على أصحاب البيانات الشخصية.
1. على جهة التحكم إجراء تقويم مخاطر نقل البيانات خارج المملكة أو الإفصاح عنها لجهة خارج المملكة، وذلك في أي من الأحوال الآتية:أ-نقل البيانات خارج المملكة وفقا للمادة (السادسة) من اللائحة.ب-نقل البيانات خارج المملكة وفقا للمادة (السابعة) من اللائحة.ج-نقل بيانات حساسة خارج المملكة بصفة مستمرة أو على نطاق واسع.2.يجب أن يتضمن تقويم مخاطر نقل البيانات خارج المملكة أو الإفصاح عنها لجهة خارج المملكة العناصر الآتية كحد أدنى:أ-الغرض من عملية النقل أو الإفصاح والمسوغ النظامي لها.ب-وصف لطبيعة عملية النقل أو الإفصاح التي سيتم تنفيذها، والنطاق الجغرافي لها.ج-وسائل وضمانات نقل البيانات الشخصية خارج المملكة ومدى كفايتها لتحقيق مستوى حماية البيانات الشخصية المطلوب.د-التدابير المتبعة للتأكد من أن عملية النقل أو الإفصاح تتم وفق الحد الأدنى من البيانات الشخصية المطلوبة لتحقيق الأغراض.ه-الآثار المادية أو المعنوية التي قد تترتب على عملية النقل أو الإفصاح، واحتمال حدوث أي أضرار على أصحاب البيانات الشخصية.و- التدابير التي ستتخذ لمنع المخاطر المحددة لحماية البيانات الشخصية والحد منها.3.على جهة التحكم -في حال انتهت نتائج التقويم المشار إليه في الفقرة (2) من هذه المادة إلى أن عملية النقل لخارج المملكة أو الإفصاح عنها لجهة خارج المملكة ستؤدي إلى ضرر على أصحاب البيانات الشخصية أو الأمن الوطني أو مصالح المملكة الحيوية- القيام بمعالجة الأسباب التي دعت إلى ذلك وإعادة إجراء التقويم.
تصدر الجهة المختصة النماذج والأدلة الاسترشادية والإجرائية المتصلة بالأحكام الواردة في هذه اللائحة.
تقوم الجهة المختصة بمراجعة وتحديث اللائحة بعد ثلاث سنوات من تاريخ إصدارها، أو متى ما اقتضت الحاجة إلى ذلك.
يتم العمل باللائحة ابتداءً من تاريخ نفاذ النظام.
آخر تحديث : 10 يوليو 2023
يمكنك تصفح البوابة عن طريق إعطاء أوامر صوتية بإستخدام المايكروفون
تحدث الان...
برجاء اعطاء الاوامر الصوتية من الخيارات التالية:
إخلاء المسؤولية : الترجمة إلى لغات أخرى يعتمد على ترجمة جوجل (Google)، وبالتالي فإن المركز الوطني للتنافسية غير مسؤول عن دقة المعلومات في اللغة الجديدة.
