دليل إعداد القواعد المُشتركة المُلزِمة لنقل البيانات الشخصية

​​​اسـتناداً إلـى نظـام حمايـة البيانات الشـخصية، الصادر بالمرسـوم الملكــي رقــم (م19/) وتاريــخ 1443/2/9هــ ("النظــام") والمُعــدل بالمرســوم الملكــي رقــم (م148/) وتاريــخ 1444/9/5هــ، ومــا تضمنـه مـن جـواز نقـل البيانـات الشـخصية إلـى خـارج المملكـة. تحــدد لائحــة نقــل البيانــات الشــخصية خــارج المملكــة ("لائحــة النقــل")، الأحــكام الواجــب اتباعهــا عنــد النقــل، بمــا فـي ذلـك هـذه القواعد المشتركة التي يتـم تطبيقهـا فـي حـالات إعفـاء جهـات التحكـم مـن شـروط الالتــزام بمســتوى الحمايــة المناســب والحــد الأدنــى لنقــل البيانــات الشــخصية المنصــوص عليهــا فــي "المــادة التاســعة والعشـرون" مـن النظـام ولائحة نقـل البيانات الشـخصية خارج المملكة.​

​​​تحـدد هـذه الوثيقـة المتطلبـات والإرشـادات المتعلقـة بالقواعـد المشـتركة المُلزِمـة لجهـات التحكـم أو جهـات المُعالجـة عنـد نقــل البيانــات الشــخصية إلى خــارج المملكــة لدولــة أو منظمــة دوليــة لا يتوفــر لديهــا مســتوى مناسب لحمايــة البيانــات الشخصية. وتقدم هذه الوثيقة تعليمات شاملة لمجموعة الجهات العاملة داخل المملكة وخارجها بشأن إعداد القواعد المشتركة المُلزمة (BCR).

النطاق الجغرافي للقواعد المشتركة المُلزمة:

يشمل النطاق الجغرافي للقواعد المشتركة المُلزمة جميع عمليات نقل البيانات الشخصية إلى أي دولة / منظمة خارج المملكة التي تجريها جهات التحكم المتواجدة داخل المملكة.​ 

​​​​يتمثـل الغـرض مـن هذه القواعد في ضمـان تطبيـق مسـتوى حماية للبيانــات الشــخصية يعــادل مســتوى الحمايــة المطبــق بموجــب النظــام واللوائــح، وذلــك مــن خلال تحديــد التزامــات أطــراف عمليـة النقـل عنـد نقـل البيانـات الشـخصية إلـى إحـدى الـدول أو المنظمــات الدوليــة التــي لا يتوفــر لديهــا مســتوى مناســب لحمايــة البيانــات الشــخصية، كمــا تُعــد هــذه القواعد إحــدى الضمانــات الملائمــة التــي يجــوز لجهــات التحكــم وجهــات المعالجــة اســتخدامها. 

​​فــي هــذه الوثيقــة -مــا لــم يقتــضِ الســياق خلاف ذلــك- المصطلحــات والعبــارات التي يكــون أمام كل منها المعانــي المحددة التالية:

المملكة: المملكة العربية السعودية
النظام: نظـام​ حمايـة البيانـات الشـخصية، الصـادر بالمرسـوم الملكـي رقـم (م19/) وتاريـخ 1443/2/9هــ ("النظـام") والمُعـدل بالمرسـوم الملكـي رقم (م148/) وتاريخ 1444/9/5هـ.
اللوائح: اللوائــح التنفيذيــة للنظــام وتتضمــن كلاً مــن اللوائــح التنفيذيــة ولائحــة النقــل التــي توفــر ضوابــط وإجــراءات لحمايــة البيانــات الشــخصية أثنــاء معالجتهــا ومــن ضمنهــا النقــل خــارج المملكة.
الجهة المختصة: الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا).
الضمانات الملائمة: المتطلبــات التــي تفرضهــا الجهــة المختصــة علــى جهــات التحكــم بمــا يضمــن الالتــزام بأحــكام نظــام حمايــة البيانــات الشــخصية ولوائحـه التنفيذيـة، عنـد نقـل البيانـات الشـخصية أو الإفصـاح عنهـا لجهــات خــارج المملكــة فــي أي حالــة مــن حــالات الإعفــاء مــن شــروط توافــر مســتوى الحمايــة المناســب للبيانــات الشــخصية أو الحــد الأدنــى للبيانــات الشــخصية، حســب الحالــة، بهــدف ضمــان مســتوى مناســب لحمايــة البيانــات الشــخصية خــارج المملكــة العربيــة الســعودية لا يقــل عــن المســتوى المنصــوص عليــه فــي نظام حماية البيانات الشخصية ولوائحه التنفيذية.

القواعد المُشتركة الملزمة: هي مجموعة من القواعد والالتزامات التي تطبق على كل طرف معني في مجموعة الجهات التي تعمل في نشاط اقتصادي مشترك، بما في ذلك موظفوها. 

المنظمات الدولية: كيان قانوني يضـم أعضـاء مـن ثلاث دول علـى الأقـل، يعمـل فـي دول متعـددة ذات سـيادة، تنشـأ مـن خلال وثيقـة قانونيـة رسـمية، مثــل: معاهــدة أو اتفــاق يســتند إلــى القانــون الدولــي، وتحــدد هــذه الوثيقــة القانونيــة أهــداف ومقاصــد المنظمــة الدوليــة وهياكلهــا وجهــات اتخــاذ القــرار والولايــة القضائيــة، (مثــل: الأمــم المتحــدة، والبنــك الدولــي، وجامعــة الــدول العربيــة، وصنــدوق النقــد العربــي) تشــارك هــذه المنظمــات فــي أنشــطة دوليــة ويجــب أن تلتــزم بأنظمـة حمايـة البيانـات الشـخصية المختلفـة عبـر ولايـات قضائيـة مختلفة.

نقل البيانات الشخصية: نقــل البيانــات الشــخصية أو الكشــف عنهــا (أو منــح حــق الوصــول إليها) مــن المملكــة العربيــة الســعودية إلــى جهــات تحكــم أو جهــات معالجــة أو متلقيــن آخريــن فــي دول أو منظمــات دوليــة أو ولايــة قضائيــة أخــرى غيــر المملكــة العربيــة الســعودية حيــث لا تكــون الجهة المصدرة للبيانات أو الجهة المستوردة صاحبة البيانات.

الجهة المُصدرة: جهــة التحكــم (إمــا أن تكــون موجــودة فــي المملكــة أو تخضــع لنطــاق تطبيــق النظــام) التــي تنقــل البيانــات الشــخصية إلــى الجهة المستوردة للبيانات.

الجهة المُستوردة: جهـة تحكـم أو جهـة معالجـة أو جهـة معالجـة فرعيـة مؤسسـة خـارج المملكــة أو غيــر خاضعــة للنظــام ولوائحــه وتتلقــى البيانــات الشخصية من الجهة المصدرة للبيانات.

​عمليات نقل بيانات الطرف الثالث/عمليات النقل اللاحقة: نقــل البيانــات الشــخصية مــن دولــة خارجيــة أو منظمــة دوليــة إلــى جهـات تحكـم أو جهـات معالجـة فـي نفـس الدولة/المنظمـة أو فـي دولة/منظمة أخرى.

مجموعة الجهات: مجموعــة مــن الجهات التــي تمــارس أنشــطة اقتصاديــة مشـتركة، مثـل: حقـوق الامتيـاز أو المشـاريع المشـتركة أو الشـراكات المهنيـة، وتعمـل هـذه الكيانـات تحـت سـيطرة مشـتركة، علـى سـبيل المثـال: الملكيـة، أو المصالح الاقتصادية المشـتركة، أو المشـاركة المالية، أو قواعد الحوكمة.

​تخضع القواعد المشتركة المُلزمة​ للأنظمة المعمول بها في المملكة، وينعقد الاختصاص القضائي لأي نزاع ينشأ عن تطبيق أحكام القواعد لمحاكم المملكة، وتوافق الجهة/الجهات المستوردة للبيانات داخل مجموعة الجهات على الخضوع للاختصاص القضائي للمملكة.

​توفر القواعد المشتركة المُلزِمة (BCR) ضماناً مناسباً وفق أحكام النظام واللوائح لنقل البيانات الشخصية أو الإفصاح عنها لجهات خارج المملكة.​تطبق القواعد المشتركة المُلزِمة على جهات التحكم في الحالات التي يكون فيها نقل البيانات الشخصية أو الإفصاح عنها ضرورياً، والتي تطبق على مجموعة الجهات بمن في ذلك موظفوها. يجب أن تكون القواعد ملزِمةً قانونياً وقابلة للتنفيذ من قبل جميع أعضاء مجموعة الجهات لضمان النقل القانوني والآمن للبيانات الشخصية خارج المملكة بهدف المحافظة على خصوصية أصحاب البيانات الشخصية وتطبيق معايير عالية لحماية البيانات الشخصية أثناء عمليات النقل خارج المملكة. وينبغي على مجموعة الجهات أن تضمن متطلبات القواعد المشتركة المُلزِمة في سياساتها دون الاكتفاء بالإشارة إلى أحكام النظام.

1. ​​​يجــب على مجموعة الجهات التأكــد مــن أن القواعــد المشــتركة المُلزِمـة الخاصــة بهــا تتضمن التزامات جهات التحكم المنصوص عليها في النظام واللوائح، بالإضافة تضمين ما يتعلق​ بحقوق أصحاب البيانات الشخصية والمطالبة بالتعويض عن الضرر الناتج عن انتهاك هذه الحقوق.
2. يجب على مجموعة الجهات التعاون مع الجهة المختصة والالتزام بجميع طلباتها لضمان الالتزام بالقواعد المشتركة الملزمة، وتلتزم الجهة المستوردة للبيانات بالإجابة على جميع الاستفسارات الواردة من الجهة المختصة وتقديم الوثائق والمعلومات اللازمة لها عند طلبها. 
3. يجـب أن تتـم الموافقـة علـى القواعـد المشـتركة المُلزِمـة داخليــاً مــن قبــل صاحب الصلاحية في مجموعة الجهات. على أن تشـمل هـذه العمليـة مراجعـة لكافة التدابير التي سيتم اتخاذها حيال حماية البيانات الشخصية وآليات الالتزام والتحقـق منها.
4. يجـب أن تكـون القواعـد مُلزمة قانونـيـاً علــى كل عضــو داخل مجموعة الجهات وأن توفــر معيــاراً ثابتـاً لحمايـة البيانـات الشخصية، ويجـب على كل عضـو فـي المجموعـة التي تتلقى البيانـات الشـخصية ذات الصلـة بأن تلتزم بالأحــكام المنصــوص عليهــا فــي النظــام واللوائح.
5. مع وجود وثائــق القواعــد المشــتركة المُلزِمـة، يجب إعداد سياســات مفصلــة بشــأن حمايــة البيانــات الشخصية وحقــوق أصحــابها والتدابيــر الأمنيــة وبرامــج التدقيــق وآليات التعامل مع حوادث تسرب البيانات الشخصية والشكاوى. بما يتوافق مع أحكام نظام حماية البيانات الشخصية ولوائحه التنفيذية.
   

​​​​إرشادات عامة: 

1. ​الأطـراف فـي اتفاقيـة ملزِمـة (مثـل: أطراف المصالــح الاقتصاديــة المشــتركة أو المشــاركة الماليــة أو قواعــد الحوكمــة) يجــب أن تتأكــد مـن عـدم تعـارض أي مـن أحكامها مع القواعد المشـتركة المُلزِمـة أو تحد من نطاق تطبيقها.
   
2. يجــب علــى جهــة التحكــم بموافقة الجهة المختصة مراجعــة القواعــد المشــتركة المُلزِمـة (BCR) وتحديثهــا بانتظــام لضمــان الالتــزام بأحكام النظام واللوائح ، والتأكـد مـن الاحتفـاظ بالتغييرات السابقة، على أن لا يخل ذلك بالحمايــة الممنوحــة لأصحاب البيانات الشخصية بموجب القواعد المشتركة المُلزِمـة.
   
3. يجــب علــى جهــة التحكــم تزويد الجهة المختصة -عند طلبها- ما يثبت التزامها بالقواعــد المشــتركة المُلزِمـة والنظام واللوائح.
4. يجـب علـى جهـة التحكـم وضـع خطة سريعة وفعالة للاسـتجابة لحوادث  تسرب البيانــات الشخصية أو تلفها أو الوصول غير المشروع لها.
5. يجــب أن تتضمــن القواعــد المشــتركة المُلزِمـة إجــراءات إخطار الجهة المختصــة وأصحــاب البيانــات الشخصية عند اكتشاف حادثة تسرب لبياناتهم في حال كان ذلك سيترتب ضررا على بياناته أو يتعارض مع حقوقه أو مصالحه وفقــاً للنظام واللوائح.
6. يجوز إجراء التعديلات بموافقة الجهة المختصة علــى القواعــد المشــتركة المُلزِمـة بغرض مواءمتها مـع التغييـرات التنظيميـة لمجموعة الجهات على أن يتم إخطـار جميـع أعضـاء القواعـد المشـتركة المُلزِمـة بهــذه التغييــرات فــور حدوثهــا، ويجــب ألا تؤثــر هــذه التعـديلات علـى مسـتوى الحمايـة للبيانات الشخصية الذي تقرره القواعـد المشتركة المُلزِمـة وفقاً للنظام واللوائح.
   
7. يجــوز إجــراء تحديثــات علــى قائمــة أعضــاء القواعــد المشتركة المُلزِمـة وفقاً للشروط التالية:
   أ. الاحتفــاظ بســجل محــدث لأعضــاء القواعــد المشــتركة المُلزِمـة وجهــات المعالجــة وجهــات المعالجــة الفرعيــة المشــاركة فــي أنشــطة معالجــة البيانــات الشخصية وتســهيل وصــول أصحــاب البيانــات الشخصية إلــى قائمــة أعضــاء القواعــد المشــتركة المُلزِمـة.
   ب. الاحتفــاظ بتقريــر يحتــوي علــى شــرح للأسباب التي أدت إلى التحديث أو التغيير.
8. يجــوز للجهــة المختصــة ســحب الإعفــاء الممنــوح فــي حالـة الفشـل فـي تطبيـق القواعـد المشـتركة المُلزمة، وفي حال تبيــن أن القواعــد المشــتركة المُلزمة غيــر كافيــة بنــاءً علــى نتائــج المراجعــة الدوريــة للقواعــد المشــتركة المُلزمة فإنه يجـب علـى جهـة التحكـم تعليـق نقـل البيانـات الشــخصية أو الإفصــاح عنهــا وإخطــار الجهــة التــي تــم نقل البيانات الشخصية إليها.
   

​​​​​القسم الأول: 

ينبغــي اســتخدام هــذا القســم لتوثيــق تفاصيــل حــول الجهــة في مجموعة الجهات التــي تقــوم بتنفيــذ القواعــد المشتركة المُلزمة.

1. اســم المجموعــة: تقديم الاســم الرســمي لمجموعة الجهات.
2. عنــوان المقــر الرئيســي للمجموعــة: تحديد العنــوان الكامـل للمقـر الرئيسـي لمجموعة الجهات، مثــال: 123 الشــارع الرئيســي، الريــاض، المملكــة العربية السعودية."
3. اسـم الجهـة: ذكر اسم الجهة المتواجدة داخل المملكة والمسؤولة عن القواعد المشتركة الملزمة بحسب ما هو مذكور في السجل التجاري للجهة، والتأكــد مــن أن هــذه الجهــة لديهــا القــدرة الماليــة علــى توفيــر ســبل الانتصــاف و/أو دفــع تعويضـات عـن أي التزامـات بموجب القواعد المشـتركة المُلزِمـة.
4. الشــكل القانونــي للجهــة: تحديــد الشــكل القانونــي للجهة مثال: "الشركة، أو الشراكة."
5. رقــم الســجل التجــاري للجهــة: توفيــر رقــم الســجل التجـاري المخصـص للجهـة مـن قبـل الجهـة السـعودية المختصة، مثال: "123******".
6. عنــوان الجهــة فــي المملكــة العربيــة الســعودية: إدخال العنــوان الكامــل للجهــة داخــل المملكــة العربيــة الســعودية، مثــال: 457" المنطقــة الصناعيــة، جــدة، المملكة العربية السعودية."
7. رقــم تســجيل الجهــة لــدى الجهــة المختصــة: تقديــم رقــم التســجيل المخصــص مــن قبــل الجهــة المختصة (إن وجد) مثال: "123******".
8. قطــاع الأعمــال للجهــة: تحديــد قطــاع الأعمــال الــذي تعمل فيه الجهة مثال: "تقنية المعلومات."
9. الاســم والعنــوان ورقــم الســجل التجــاري لجميــع الجهــات المتواجدة في المملكــة العربيــة الســعودية للمجموعـة: إدراج جميـع الجهـات داخـل المجموعـة الموجـودة فـي المملكـة العربية السـعودية، إلــى جانــب عناوينهــا وأرقــام ســجلاتها التجاريــة.
10. موقـع الجهـة داخـل المجموعـة: وصـف دور أو موقع الجهــة داخــل في الهيكل التنظيمي لمجموعة الجهات في العالم. مثــال: "المقــر الإقليمــي للشــرق الأوسط."
11. اســم ومنصــب (ضابط الاتصــال) المســؤول عــن القواعــد المشــتركة المُلزِمـة: تقديم الاسـم الكامل والمسـمى الوظيفي للمسـؤول عـن إدارة القواعـد المشـتركة المُلزِمـة، مثال: "جون، مسؤول حماية البيانات الشخصية."
12. تفاصيــل الاتصــال بالشــخص ضابط الاتصال( - )العنــوان، والبريــد الإلكترونــي، ورقــم الهاتــف): إدخال تفاصيــل الاتصــال الخاصــة بضابط الاتصــال، بمــا فــي ذلـك العنـوان والبريـد الإلكترونـي ورقـم الهاتـف، مثـال: 789" شــارع الالتــزام، الريــاض، المملكــة العربيــة الســعودية ****00-00john@example.com ​،+966-​"
13. الاســم والمســمى الوظيفــي وتفاصيــل الاتصــال الخاصة بأي ممثل/ممثلين تـم تكليفهـم بالتصـرف نيابـة عـن الجهـة: تقديـم تفاصيـل عن أي متخصصيـن قانونيين أو استشــاريين خارجييــن يســاعدون فــي وثائــق القواعــد المشـتركة المُلزِمـة ، إن وجـدت، مثـال: "جيـن، مستشــار أول، للمستشــارين القانونييــن، ****00-00jane@example.com ،+966-​"
14. المســتندات الإضافيــة التــي ســيتم تقديمهــا كملحــق: تضميــن مخطــط تفصيلــي يوضــح الهيــكل التنظيمي والموقع الجغرافي لجميــع أعضــاء المجموعة الملتزمين بالقواعد المشتركة المُلزِمـة.

​​​القسم الثاني: 

1. نــوع أو فئــات البيانــات الشــخصية التــي ســيتم نقلهــا وتغطيتهــا بمُوجــب القواعــد المُشــتركة الملزمة: تحــديد أنــواع أو فئــات البيانــات الشــخصية التــي ســيتم نقلهــا بموجــب القواعــد المشــتركة المُلزِمـة. ويجــب أن يتضمــن ذلــك وصفــاً واضحــاً لأنــواع البيانــات، مثــل: "بيانــات الائتمــان"، والبيانات الصحيــة"، والبيانات​ الجينيــة"، علــى ســبيل المثــال: البيانــات الصحيــة، بمــا في ذلك سجلات المرضى والتاريخ الطبي.
2. فئــات أصحــاب البيانــات الذيــن ســيتم نقــل بياناتهــم الشـخصية: تحـديد فئـات أصحـاب البيانـات الشخصية الذيـن سـيتم نقــل بياناتهــم الشــخصية، بالإضافة إلى المتأثرين من عملية النقل ، مثــل: "البيانــات الشــخصية للموظفيــن" أو "البيانــات الشـخصية للعملاء" أو "البيانات الشـخصية لمسـتخدم موقـع الويـب"، علـى سـبيل المثال: البيانات الشـخصية للموظفيــن، بمــا فــي ذلــك تحديــد هويــة الموظفيــن وســجلات التوظيــف، والبيانــات الشــخصية للعميــل، بما في ذلك سجل الشراء وتفاعلات خدمة العملاء.
3. أغـراض نقـل البيانـات الشـخصية: توضيـح أسـباب نقل البيانــات الشــخصية خــارج المملكــة، وشــرح أنشــطة المعالجـة التـي سـتحدث بعـد نقـل البيانـات الشخصية، مثـال: يتـم نقــل البيانــات الشــخصية مــن أجــل الإدارة المركزيــة للمـوارد البشـرية ومعالجـة كشـوف المرتبـات، وتتضمـن معالجــة مــا بعــد النقــل تحليــل البيانــات لتقييــم الأداء وإدارة الفوائد.
4. الـدول المراد نقل البيانات الشخصية إليها:  إدراج جميـع الـدول التـي سـيتم نقـل البيانـات الشـخصية إليهـا بموجـب القواعـد المشــتركة المُلزِمـة والتأكــد مــن تحديــد كل دولــة بدقــة، مثــال: الولايــات المتحــدة والمملكــة المتحــدة وألمانيــا والهند.
5. عدد مرات النقـل: تحـديد عـدد مـرات نقـل البيانـات الشـخصية، الاختيار مــن بيــن "لمــرة واحــدة" أو "مســتمر" أو "دوري"، وتقـديم مزيـد مـن التفاصيـل إذا لـزم الأمـر، مثـال: مســتمر، مــع نقــل البيانــات فــي الوقــت الفعلي أثناء جمعها ومعالجتها.
6. ذكر أي ترتيبــات تعاقديـة بالتفصيل تتعلق باسـتخدام جهـات المعالجـة والتزامها بالقواعد المشتركة الملزمة، مثــال: يجــب علــى جميــع جهــات المعالجــة الفرعيــة الالتــزام بنفــس معاييــر حمايــة البيانــات الشخصية، مثــل: جهــات المعالجــة الأساســية، مــع وجــود بنــود محــددة فــي عقودهــم تضمــن الالتــزام بالقواعــد المشــتركة الملزِمــة وأنظمــة حمايــة البيانــات الشخصية ذات الصلة.
7. المســتندات الإضافيــة التــي ســيتم تقديمهــا كملحــق: إدراج المسـتندات الإضافيـة التـي يتطلب تضمينهـا كملحقـات لتوفيـر مزيـد مـن الوضـوح للقواعد المشتركة المُلزِمـة.
   
   
   

​8. ​الخصائــص الملزمة للقواعــد المُشــتركة الملزمة: توضيــح وتحديــد كيفيــة جعــل القواعــد ملزِمةً لأعضاء المجموعة:

      الاتفاقيــات داخــل المجموعــة: وصــف الاتفاقيـات المُلزِمـة قانونـياً داخـل المجموعـة التـي تطبــق القواعــد المشتركة المُلزِمـة، وتضميــن تفاصيــل حــول كيفيــة صياغــة هــذه الاتفاقيــات وتوقيعهــا من قبل جميع الجهات ذوات الصلة.

     • التزامات الشـركة الأم: شـرح أي التزامــات تفرضها الشــركة الأم على أعضــاء المجموعة.

     • الاشتراطات الملزمة: تحــديد الاشتراطات الملزمة التي تقع على عاتق أعضـاء المجموعــة، وتوفيــر مراجــع للوثائــق الداخليــة أو الأحكام القانونية التي تفرض هذه الاشتراطات.

    في حال تسبب أي عضو من أعضاء المجموعة المشمولين ضمن القواعد المشتركة الملزمة بالإخلال بالنصوص المتفق عليها فيحــق لجهــة التحكــم تطبيــق القواعــد المشــتركة المُلزِمـة ضـده، ويوافق جميع أعضاء المجموعة وفقاً للقواعد على هذا الشرط كجزء من التزاماتهم.

9. التنفيــذ مــن قبــل أعضــاء المجموعــة: وصــف آليــات التنفيــذ المتاحــة لأعضــاء المجموعــة داخــل المملكــة وعلــى المســتوى الدولــي، وتضميــن أي إجــراءات محددة للإبلاغ ومعالجة عدم الالتزام، مثــال: يمكــن لأي عضــو فــي المجموعــة تنفيــذ القواعــد المشـتركة المُلزِمـة مـن خلال آليـات إعـداد التقاريـر الداخليـة وبرامــج الالتــزام، لــدى الأعضــاء الموجوديــن فــي المملكــة إجـراءات محـددة لتصعيـد المشـكلات إلـى مسـؤول حمايـة البيانـات بالمجموعـة الـذي يقـوم بالتنسـيق مع الجهة المختصة لضمان التنفيذ.

10. ملزمــة للموظفيــن: شــرح كيــف ســيتم جعــل القواعــد المشــتركة ملزِمــةً لموظفــي أعضــاء المجموعة.

    • عقـد العمـل: وصـف كيفيـة إدراج التزامـات القواعـد المشتركة المُلزِمـة في عقود العمل.

    • سياســات الشــركة: شــرح كيفيــة إدراج نصوص القواعــد المشــتركة المُلزِمـة فــي سياســات الشــركة ذوات الصلة.

    • العقوبــات التأديبيــة: تقديــم تفاصيــل حــول الإجــراءات التأديبيــة عند عدم الالتــزام بالقواعــد المشتركة المُلزِمـة.

   علــى ســبيل المثــال: تعتبــر القواعــد المشــتركة ملزِمـةً للموظفيـن مـن خلال إدراج نصوصها التي تشير صراحةً إلى الالتزام بها فـي عقـود العمـل الخاصة بهم، بالإضافة إلى إدراج نصوص القواعد المشـتركة المُلزِمـة فـي سياسـات حمايـة    ​ البيانـات الشخصية الخاصـة بالشــركة، ويؤدي عــدم الالتــزام بها إلى الخضوع للإجــراءات التأديبيــة، علــى النحو المبين في [دليل الموظف/وثيقة السياسة].

11. الالتزامــات علــى جهــات المعالجــة الفرعيــة: وصــف الالتزامـات التعاقديـة المفروضـة علـى جهـات المعالجـة الفرعية، بما في ذلك الإجراءات المتخذة عند عدم الالتزام، مثــال: على المجموعــة أن تضمن التزام جهــات المعالجــة الفرعيــة بالمحافظة علــى نفــس المســتوى مــن حمايــة البيانــات الشخصية مــن خلال إدراج اشتراطات حمايـة البيانـات الشخصية فـي عقودهم، وتتضمــن هــذه العقــود الإجراءات المتعلقة بعمليــات التدقيــق، وفحوصــات الالتــزام، والإجراءات المتخذة فــي حال عــدم الالتــزام بمعايير القواعد المشتركة المُلزِمـة.

12. حقــوق المســتفيد مــن الطــرف الثالــث: وصــف الإجراءات المتخذة التي تمكن أصحــاب البيانــات الشخصية من ممارسة حقوقهــم والمطالبة بالتعويض، وتضميــن تفاصيــل حــول كيفيــة مراعاة هـذه الحقـوق وكيفية المطالبة بالتعويض لأصحـاب البيانات الشخصية عند انتهاك حقوقهم، مثــال: تضمــن القواعــد المشــتركة المُلزِمـة قــدرة أصحــاب البيانــات الشخصية علــى ممارسة حقوقهــم المنصوص عليها في النظام واللوائح مــن خلال توفيــر آليــات واضحـة لمعالجة الشـكاوى والتعويـض، إذ يتـم إبلاغ أصحـاب البيانات بحقوقهــم مــن خلال إشــعارات الخصوصيــة وتوضيح آلية التواصل مع مســؤول حمايــة البيانــات الشخصية لتمكينهم من ممارســة تلك الحقــوق، وتتضمــن القواعــد المشــتركة المُلزِمـة أحكامــاً لحـل النزاعـات والتعـاون مـع الجهـة المختصـة وفقاً للنظام الحاكم والاختصاص القضائي المنصوص عليه في هذا الدليل.​

13. الشـفافية في القواعـد المشتركة الملزمة: وصف لوسائل التواصل والقنــوات المســتخدمة لجعــل القواعــد المُلزِمـة فــي متنــاول أصحــاب البيانــات الشخصية، وتضميــن تفاصيــل حــول القنوات المتاحة لأصحاب البيانات الشخصية مثــل: المواقع الإلكترونية أو الأنظمــة الأساســية الأخــرى التــي يمكــن الوصول إليها، مثــال: يتــم إرســال المحتــوى المــادي للقواعــد المشــتركة المُلزِمـة إلـى أصحـاب البيانـات الشخصية مـن خلال وسائل وقنوات مختلفـة، مثل الموقع الإلكتروني الخــاص بالجهة والبوابــات الداخليــة لها وإشــعارات الخصوصيــة الخاصة بها. وتوفـيـر معلومــات تفصيليـة حـول القواعـد المشـتركة المُلزِمـة بعدة لغات لضمـان إمكانيـة الوصـول إليهـا، ويمكـن لأصحـاب البيانـات الشخصية أيضــاً طلــب نســخة مــن القواعــد المشــتركة المُلزِمـة أو التواصل مع مســؤول حمايــة البيانــات الشخصية بشكل مباشر للحصول على مزيد من المعلومات.

14. رفــع الوعــي والتدريــب: وصف لكيفية تدريــب موظفــي أعضــاء المجموعــة علــى الالتــزام بالمتطلبــات المنصــوص عليهــا فــي القواعــد المشــتركة المُلزِمـة وتوعيتهــم بهــا، ويجــب أن يضمـن برنامـج التدريـب أن جميـع الموظفيـن يدركون مسؤولياتهم ومتطلبات حماية البيانات الشخصية المنصوص عليها في النظام واللوائح.

15. التعامــل مــع الشــكاوى: وصف الآليـات التـي سـيتم تنفيذهـا لضمـان التعامـل بكفـاءة مــع الشــكاوى المتعلقــة بالقواعــد المشــتركة المُلزِمـة وعمليــات النقــل خــارج المملكــة ذوات الصلــة، ويلزم التوضيح لأصحــاب البيانــات الشخصية بآلية تقديــم الشــكاوى بســهولة وأن يتــم التعامــل مــع هــذه الشكاوى بسرعة وفاعلية.

16. عمليــة التدقيــق: وصف عمليــة التدقيــق التــي ســيتم تنفيذها لضمــان الالتــزام بالقواعــد المشــتركة المُلزِمـة مــن قبــل كل عضــو فــي المجموعــة، وينبغــي أن تتضمــن معلومــات كافية عن عمليات التدقيق.​

​​​يوضــح هــذا القســم مبــادئ وإجــراءات التعــاون بيــن مجموعة الجهات والجهــة المختصــة، فهــو يضمــن التــزام المجموعــة بالمتطلبــات التــي تحددها الجهــة المختصــة، ممــا يسـهل الرقابـة ​الفعالـة ويضمـن الالتـزام بالقواعد المشتركة الملزمة والانظمة واللوائح المعمول بها في المملكة.

​17.التعـاون مـع الجهـة المُختصـة: توضيح المبـادئ العامـة والتزامات مجموعة الجهات فــي التعــاون مــع الجهــة المختصــة، ويؤكــد أعضاء المجموعة بالالتزام والشــفافية والاســتجابة والتعــاون فــي جميــع الأمــور المتعلقــة بحمايــة البيانــات الشخصية ومن ذلك ما يأتي:

​​20.وصف تفصيلي لكيفيــة اتخاذ التدابيــر لحمايــة البيانــات المختلفــة مــن خلال القواعــد المشــتركة المُلزِمـة، ويجب إرفاق المستندات الداعمة والمراجع ذوات الصلة بالقواعد المشتركة الملزمة.

-تعييــن مســؤول (مســؤولين) لحمايــة البيانــات الشخصية وفق نظام حماية البيانات الشخصية ولوائحه التنفيذية: تفصيـل عملية تعييــن مســؤولي حمايــة البيانــات والمدققيــن الداخليين/الخارجييــن المســؤولين عــن الإشــراف علــى الالتــزِام بحمايــة البيانــات، و تضميــن معاييــر الاختيــار والأدوار والمســؤوليات. مثــال: "يتـم تعييـن مسـؤولي حمايـة البيانـات الشخصية والمدققيـن الداخليين/الخارجييـن بنـاءً علـى خبرتهـم فـي أنظمة ولوائــح حمايــة البيانــات الشخصية، وتتضمــن عمليــة الاختيــار تقييــم مــؤهلات المرشــحين وخبراتهم، راجــع القســم 5.1 مــن القواعــد المشــتركة الملزمة. وتتضمــن المســتندات الداعمــة خطــاب تعييــن مسؤول حماية البيانات الشخصية ووصف دور المدقق".

-التعـاون بيـن شـبكة مسـؤولي حمايـة البيانـات الشخصية و/أو المدقــق (المدققيــن) الداخلي/الخارجــي داخــل المجموعــة: وصف كيفيــة تعــاون مســؤولي حمايــة البيانــات الشخصية والمدققيــن داخــل المجموعــة لضمــان تطبيق ممارسات حمايــة البيانــات الشخصية، مثــال: "تعاون مسؤولي حمايـة البيانـات الشخصية والمدققـون عبر  المجموعــة مــن خلال الاجتماعــات المنتظمــة وأدوات الالتـزِام المشـتركة، وهـذا يضمـن التطبيـق المتســق لممارســات حمايــة البيانــات الشخصية، ارجــع إلــى القســم 5.2 مــن القواعــد المشــتركة الملزمة. وتتضمـن الوثائـق الداعمـة اتفاقيـة التعـاون ومحاضر اجتماعات (DPO) ربع سنوية".

-أدوار ومســؤوليات الأشخاص ذوي العلاقة وتعاونهــم مــع شــبكة مســؤولي حمايــة البيانــات الشخصية و/أو المدقــق الداخلي/الخارجــي داخــل المجموعـة: تحديـد أدوار ومسـؤوليات مديـري حمايـة البيانـات الشـخصية وتفاعلهم مع مسـؤولي حمايـة البيانـات الشخصية والمدققيـن.

-متطلبــات الشــفافية: تحديــد الإجــراءات المتخــذة لضمــان إظهار الشــفافية أثناء قيام الجهة بمعالجــة البيانــات الشخصية، مثـال: "إظهار الشـفافية مـن خلال إشـعارات الخصوصيــة التفصيليــة والتحديثــات المنتظمــة لأصحــاب البيانــات الشخصية، ارجــع إلــى القســم 6.1 مــن القواعــد المشــتركة المُلزِمـة، وتتضمــن الوثائــق الداعمة إشعارات الخصوصية وتقارير الشفافية".

-متطلبــات معالجة البيانات الشخصية: وصف لكيفية معالجة البيانات الشخصية والالتزام بالقواعــد المشــتركة المُلزِمـة ، مثــال: "يجــب أن يكــون لجميــع أنشــطة معالجــة البيانــات أســاس قانوني، مثــل: الموافقـة أو الضـرورة التعاقديـة، ارجـع إلـى القسـم 6.2 مــن القواعــد المشــتركة المُلزِمـة، وتتضمــن الوثائـق الداعمـة نمـاذج الموافقـة وقائمـة الأسـس القانونية للمعالجة".

-متطلبــات تحديــد الغــرض والمسوغ النظامي لها: تفصيــل كيفيــة اقتصــار معالجــة البيانــات الشخصية علــى أغــراض مشــروعة ومحــددة وفق مسوغ نظامي، مثــال: "تقتصــر معالجــة البيانــات علــى أغــراض محــددة ومشــروعة، راجــع القســم 6.3 مــن القواعــد المشــتركة المُلزِمـة، وتتضمــن الوثائــق الداعمــة اتفاقيــات معالجــة البيانــات وبيانــات الغرض."

-متطلبــات الحد الأدنى من البيانات الشخصية: تحديــد التدابيــر المتخـذة لضمـان جمـع ومعالجـة الحد الأدنى من البيانـات الشخصية الضرورية فقــط، مثــال: "يقتصــر جمــع البيانــات علــى مــا هــو ضــروري للغــرض المحــدد، راجــع القســم 6.4 مــن القواعــد المشــتركة المُلزِمـة، وتتضمــن الوثائــق الداعمة نماذج جمع البيانات وسياسات التقليل".

-مدد تخزين البيانات الشخصية وحذفها وفق نظام حماية البيانات الشخصية ولوائحه التنفيذية بالإضافة​ الى شــرح سياســات الاحتفـاظ بالبيانـات وحذفهـا، مثـال: "يتـم الاحتفـاظ بالبيانــات الشــخصية فقــط للمــدة الضروريــة ثــم يتــم حذفهــا بشــكل آمــن، راجــع القســم 6.5 مــن القواعــد المشــتركة المُلزِمـة، وتتضمــن الوثائــق الداعمة جداول الاحتفاظ وسياسات الحذف".

-متطلبـات البيانـات الحساسـة – بحسب الأحوال -: وصف التدابيــر الإضافيــة المتخذة عند معالجــة البيانــات الحساســة، مثــال: "تتطلــب معالجــة البيانــات الحساســة موافقــة صريحــة وإجــراءات وقائيــة إضافيــة، راجــع القســم 6.6 مــن القواعــد المشــتركة المُلزِمـة، وتتضمــن الوثائــق الداعمــة تقييمــات تأثيــر حمايــة البيانــات وسياســات التعامــل مــع البيانــات الحساسة".

متطلبــات الاحتفــاظ بســجلات أنشــطة معالجــة البيانـات الشـخصية: وصـف لكيفيـة الاحتفـاظ بسجلات أنشطة معالجة البيانات الشخصية.

مثــال: "يتــم الاحتفــاظ بســجلات جميــع أنشــطة معالجــة البيانــات مــن أجــل المســاءلة، ارجــع إلــى القســم 6.7 مــن القواعــد المشــتركة المُلزِمـة، وتتضمــن الوثائــق الداعمــة معالجــة ســجلات الأنشطة وسياسات حفظ السجلات".

-متطلبــات تقييم الأثر: شــرح إجــراءات عملية تقييم الأثر المتخذة لحمايــة البيانــات الشخصية، مثــال: "يتــم إجــراء عملية تقيم الأثر لحمايـة البيانـات الشـخصية عند ممارسة الأنشـطة التـي تشـكل مخاطـر عاليـة علـى أصحـاب البيانــات الشخصية، ارجــع إلــى القســم 6.8 مــن القواعــد المشــتركة المُلزِمـة، وتتضمــن الوثائــق الداعمــة نماذج حماية البيانات والتقييمات المكتملة".

-متطلبــات جــودة البيانــات الشخصية: وصف للتدابيــر المتخذة حيال دقــة البيانــات وجودتهــا، مثــال: "يتــم ضمـان جـودة البيانـات مـن خلال عمليـات التدقيـق المنتظمــة وفحوصــات الدقــة، راجــع القســم 6.9 مــن القواعــد المشــتركة المُلزِمـة، وتتضمــن الوثائــق الداعمة سياسات جودة البيانات وتقارير التدقيق".

-متطلبــات أمــن البيانــات الشخصية: وصف للإجــراءات الأمنيـة المعمـول بهـا لحمايـة البيانـات الشـخصية، مثــال: "يتــم تنفيــذ إجــراءات أمنيــة قويــة لحمايــة البيانـات الشـخصية مـن الوصـول غيـر المصـرح بـه، راجـع القسـم 6.10 مـن القواعـد المشـتركة المُلزِمـة، وتتضمــن الوثائــق الداعمــة سياســات الأمــان وأوصاف التدابير الفنية".

-متطلبـات الإشعار بحوادث تسـرب البيانات الشخصية: وصف للتدابير والإجراءات المتخذة عند اكتشاف حادثة تسرب بيانات شخصية، مثــال: "يجــب الإبلاغ عــن تسرب البيانــات الشخصية إلــى الجهة المختصة وأصحاب البيانات الشخصية المتضرريـن، ارجـع إلـى القسـم 6.11 مــن القواعــد المشــتركة المُلزِمـة، وتضمين الوثائــق الداعمــة لذلك ونمــاذج إشــعارات تسرب البيانات الشخصية وخطط الاستجابة لتلك الحوادث".

-القيــود المتعلقــة بعمليــات النقــل اللاحقــة: وصف للقيــود المفروضــة علــى نقــل البيانــات الشخصية إلـى أطـراف ثالثـة، مثـال: "تقييــد عمليــات النقــل اللاحقــة لضمــان الحفــاظ علــى معاييــر حمايــة البيانــات الشخصية، راجــع القســم 6.12 مــن القواعــد المشــتركة المُلزِمـة، وتضمين الوثائــق الداعمة لذلك".

-متطلبــات إجــراء عملية تقييم الأثر على النقــل: وصف لإجراءات تقييــم الأثر على عمليــات نقــل البيانــات الشخصية ، مثال: "يتم إجراء عملية تقييم الأثر لتخفيف حدة المخاطر المرتبطة بعمليات نقل البيانات الشخصية إلى خارج المملكة، ارجع إلى القسم 6.13 من القواعد المشتركة الملزمة، وتضمين الوثائق الداعمة ونماذج تقييم الأثر".​​