heroBackgroundImg

تعديلات اللائحة التنفيذية لنظام حماية البيانات الشخصية

إضافة تعليق ؟

يمكنك إضافة مرئياتك على المشروع بما لا يتجاوز 5000 حرف,باقي 5000 حرف

إضافة تعليق

التعليقات

(فارغة)

جدول التعديلات المقترحة

#	التعديل	النص الحالي	النص المقترح
المادة الأولى	تعديل مقدمة المادة	يكون للكلمات والعبارات الواردة في هذه اللائحة المعاني الموضحة أمام كل منها في المادة (الأولى) من نظام حماية البيانات الشخصية، الصادر بالمرسوم الملكي رقم (م/19) وتاريخ 9/2/1443هـ والمعدل بموجب المرسوم الملكي رقم (م/148) وتاريخ 5/9/1444هـ.	يكون للكلمات والعبارات الواردة في هذه اللائحة المعاني الموضحة أمام كل منها في المادة (الأولى) من نظام حماية البيانات الشخصية، الصادر بالمرسوم الملكي رقم (م/19) وتاريخ 9/2/1443هـ وتعديلاته.
المادة الأولى	إضافة فقرة	-	المنصة الخاصة بالجهة المختصة: منصة إلكترونية تابعة للجهة المختصة تهدف إلى تقديم الخدمات الداعمة والأدوات المساعدة لتطبيق أحكام النظام واللوائح، بما في ذلك الخدمات المرتبطة بالسجل الوطني لجهات التحكم.
الفقرة (2) من المادة (الأولى)	إزالة الفقرة	التسويق المباشر: التواصل مع صاحب البيانات الشخصية بأي وسيلة مادية أو إلكترونية مباشرة بهدف توجيه مادة تسويقية؛ ويشمل ذلك على سبيل المثال لا الحصر الإعلانات أو العروض الترويجية.	-
الفقرة (3) من المادة (الأولى)	إزالة الفقرة، وتعديل النصوص المتأثرة بذلك أينما وردت في اللائحة، لتشمل الإشارة إلى "تسرب البيانات الشخصية أو تلفها أو الوصول غير المشروع إليها".	تسرب البيانات الشخصية: أي حادثة تؤدي إلى الإفصاح عن البيانات الشخصية أو تلفها أو الوصول غير المشروع إليها، سواء كان ذلك بقصد أو بغير قصد، وبأي وسيلة كانت سواء آلية أو يدوية.	-
الفقرة (7) من المادة (الرابعة)	تعديل نص الفقرة	يجب على جهة التحكم أن توفر المعلومات المطلوبة وفقاً لما ورد في هذه المادة بلغة مناسبة إذا علمت أن صاحب البيانات الشخصية ناقص الأهلية.	يجب على جهة التحكم أن توفر المعلومات المطلوبة وفقاً لما ورد في هذه المادة بلغة ملائمة ومبسطة.
المادة (السادسة)	تعديل مقدمة الفقرة	مع مراعاة أحكام المادة (الرابعة) من النظام يكون لصاحب البيانات الشخصية الحق في طلب الحصول على نسخة من بياناته الشخصية بصيغة مقروءة وواضحة، مع مراعاة ما يلي:	دون الإخلال بأحكام المادة (التاسعة) والمادة (السادسة عشرة) من النظام يكون لصاحب البيانات الشخصية الحق في طلب الحصول على نسخة من بياناته الشخصية بصيغة مقروءة وواضحة، مع مراعاة ما يلي:
المادة (الثامنة عشرة مكرر)	إضافة مادة تحمل الرقم (الثامنة عشرة مكرر)	-	مع مراعاة أحكام المادة (الثانية عشرة) من النظام، على جهة التحكم أن تراعي عند إعدادها لسياسة الخصوصية، استيفاء سياسة الخصوصية للمتطلبات الآتية: ١. أن تتم صياغتها بلغة واضحة ومبسطة ومفهومة تراعي مستويات الفهم المختلفة بين فئات أصحاب البيانات الشخصية. ٢. أن تتوافق مع اللغة المستخدمة في سياق تقديم الخدمات أو المنتجات لمختلف فئات أصحاب البيانات الشخصية المستهدف معالجة بياناتهم من خلال ذلك.
الفقرة (1) من المادة (الثامنة والعشرين)	تعديل الفقرة، وإعادة صياغة الفقرات الفرعية وفقاً لذلك.	١. على جهة التحكم قبل إرسال مواد دعائية أو توعوية الحصول على موافقة المتلقي المستهدف، وذلك في حال عدم وجود تعامل مسبق بين جهة التحكم والمتلقي المستهدف. ٢. تكون شروط موافقة المتلقي المستهدف بالمواد الدعائية أو التوعوية وفقا لما يلي: ‌أ. أن تصدر الموافقة بإرادة حرة، وألّا تُستخدم أي طرق مُضللة في سبيل الحصول عليها. ‌ب. تمكين المتلقي من تخصيص الخيارات المتعلقة بالمواد الدعائية أو التوعوية محل الموافقة. ‌ج. أن توثّق موافقة المتلقي المستهدف بوسائل تتيح التحقق منها مستقبلاً.	١. على جهة التحكم قبل القيام بمعالجة البيانات الشخصية لأغراض إرسال المواد الدعائية أو التوعوية الالتزام بما يأتي: أ‌. الحصول على موافقة المتلقي المستهدف، على أن تصدر الموافقة بإرادة حرة، وألّا تُستخدم أي طرق مُضللة في سبيل الحصول عليها. ب‌. تمكين المتلقي من تخصيص الخيارات المتعلقة بالمواد الدعائية أو التوعوية محل الموافقة. ج. توثيق موافقة المتلقي المستهدف بوسائل تتيح التحقق منها مستقبلاً.
المادة (التاسعة والعشرون)	تعديل الفقرة (١) من المادة، وحذف الفقرة (٢) من المادة، وإعادة ترتيب فقرات المادة وفقاً لذلك.	١. دون الإخلال بنظام الاتصالات وتقنية المعلومات والأنظمة الأخرى ذات الصلة، على جهة التحكم قبل القيام بمعالجة البيانات الشخصية لأغراض التسويق المباشر الالتزام بالآتي: أ. الحصول على موافقة صاحب البيانات الشخصية وفقاً لأحكام المادة (الحادية عشرة) من هذه اللائحة. ب. توفير آلية تمكن صاحب البيانات الشخصية من إيقاف تلقي المواد التسويقية متى رغب في ذلك، وأن تكون إجراءات إيقاف تلقي المواد التسويقية سهلة ومبسطة ومماثلة أو أكثر سهولةً من إجراءات الحصول على الموافقة على استقبالها. ٢. عند إرسال مواد التسويق المباشر لصاحب البيانات الشخصية، يجب ‌ذكر اسم الجهة المرسلة بوضوح ودون أي إخفاء لهويتها. ٣. في حال عدول صاحب البيانات الشخصية عن موافقته على التسويق المباشر، فيكون على جهة التحكم التوقف دون تأخير غير مبرر عن توجيه المواد التسويقية له.	١. دون الإخلال بنظام الاتصالات وتقنية المعلومات والأنظمة الأخرى ذات الصلة، على جهة التحكم قبل القيام بمعالجة البيانات الشخصية للأغراض التسويقية الالتزام بالآتي: أ. الحصول على موافقة صاحب البيانات الشخصية وفقاً لأحكام المادة (الحادية عشرة) من هذه اللائحة. ب. توفير آلية تمكّن صاحب البيانات الشخصية من العدول عن موافقته، وفقاً لأحكام المادة (الثانية عشرة) من هذه اللائحة. ٢. في حال عدول صاحب البيانات الشخصية عن موافقته على معالجة البيانات الشخصية للأغراض التسويقية، فيكون على جهة التحكم التوقف دون تأخير غير مبرر.
المادة (الثانية والثلاثون)	تعديل الفقرتين (٣) و(٤) من المادة، وإضافة فقرة تحمل الرقم (٥)، وإلغاء قواعد تعيين مسؤول حماية البيانات الشخصية؛ اكتفاءً بالمتطلبات الواردة في اللائحة في شأن الموضوع.	٣. يتولى مسؤول حماية البيانات الشخصية في جهة التحكم متابعة تنفيذ أحكام النظام ولوائحه، ومراقبة الإجراءات المعمول بها داخل جهة التحكم والإشراف عليها، وتلقي الطلبات المتعلقة بالبيانات الشخصية وفقاً لأحكام النظام ولوائحه، ويتولى على وجه الخصوص الآتي: أ. العمل كمسؤول اتصال مباشر مع الجهة المختصة وتنفيذ قراراتها وتعليماتها فيما يتصل بتطبيق أحكام النظام ولوائحه. ب. الإشراف على إجراءات تقويم الأثر وتقارير المراجعة والتدقيق المتعلقة بضوابط حماية البيانات الشخصية، وتوثيق نتائج التقويم وإصدار التوصيات اللازمة لذلك. ج. تمكين صاحب البيانات الشخصية من ممارسة حقوقه المنصوص عليها في النظام. د. إشعار الجهة المختصة عن حوادث تسرب البيانات الشخصية. هـ. الرد على الطلبات المقدمة من صاحب البيانات الشخصية، والرد على الجهة المختصة في الشكاوى المقدمة وفقاً لأحكام النظام واللائحة. و. متابعة قيد وتحديث سجلات أنشطة معالجة البيانات الشخصية لدى جهة التحكم. ز. معالجة المخالفات المتعلقة بالبيانات الشخصية داخل جهة التحكم، واتخاذ الإجراءات التصحيحية حيالها. ٤- تصدر الجهة المختصة قواعد تعيين مسؤول حماية البيانات الشخصية، على أن تتضمن القواعد الأحوال التي يجب فيها تعيين مسؤول حماية البيانات الشخصية.	٣. على جهة التحكم توثيق تعيين مسؤول حماية البيانات الشخصية. ٤. مع مراعاة ما ورد في المادة (الرابعة والثلاثين) من هذه اللائحة، على جهة التحكم تزويد الجهة المختصة ببيانات التواصل الخاصة بمسؤول حماية البيانات الشخصية فور تعيينه من خلال المنصة الخاصة بالجهة المختصة، وتحديث بياناته عند تغييره. ٥. يتولى مسؤول حماية البيانات الشخصية في جهة التحكم متابعة تنفيذ أحكام النظام ولوائحه، ومراقبة الإجراءات المعمول بها داخل جهة التحكم والإشراف عليها، وتلقي الطلبات المتعلقة بالحقوق المنصوص عليها في النظام، ويتولى على وجه الخصوص الآتي: ‌أ. ‌العمل كمسؤول اتصال مباشر مع الجهة المختصة وتنفيذ قراراتها وتعليماتها فيما يتصل بتطبيق أحكام النظام ولوائحه. ‌ب. تقديم الدعم والمشورة داخل جهة التحكم فيما يتعلق بتطبيق أحكام النظام واللوائح ورفع الوعي حيال ذلك. ‌ج. ‌تمكين صاحب البيانات الشخصية من ممارسة حقوقه المنصوص عليها في النظام. ‌د. إشعار الجهة المختصة عن حوادث تسرب البيانات الشخصية. ‌هـ. الرد على الطلبات المقدمة من صاحب البيانات الشخصية، والرد على الجهة المختصة في الشكاوى المقدمة وفقاً لأحكام النظام واللائحة. ‌و. متابعة قيد وتحديث سجلات أنشطة معالجة البيانات الشخصية لدى جهة التحكم. ‌ز. معالجة المخالفات المتعلقة بالبيانات الشخصية داخل جهة التحكم، واتخاذ الإجراءات التصحيحية حيالها. ح. الإشراف على إجراءات تقويم الأثر وتقارير المراجعة والتدقيق المتعلقة بضوابط حماية البيانات الشخصية، وتوثيق نتائج التقويم وإصدار التوصيات اللازمة حيال ذلك.
المادة (الثالثة والثلاثون)	تعديل نص الفقرة (١) وإزالة الفقرتين (٢) و(٥)، وإعادة ترتيب فقرات المادة وفقاً لذلك.	١. على جهة التحكم الاحتفاظ بسجل أنشطة معالجة البيانات الشخصية أثناء فترة استمرار عمليات معالجة البيانات الشخصية، إضافة إلى خمس سنوات تبدأ من تاريخ انتهاء نشاط معالجة البيانات الشخصية. ٢. يجب أن تكون سجلات أنشطة معالجة البيانات الشخصية مكتوبة. ٣. على جهة التحكم ضمان دقة وحداثة سجلات أنشطة معالجة البيانات الشخصية. ٤. على جهة التحكم إتاحة سجلات أنشطة معالجة البيانات الشخصية للجهة المختصة عند طلبها. ٥. يتضمن سجل أنشطة معالجة البيانات الشخصية المحتويات الآتية كحد أدنى: ‌أ. اسم جهة التحكم وتفاصيل الاتصال المتعلقة بها. ‌ب. بيانات مسؤول حماية البيانات الشخصية في الأحوال التي تتطلب ذلك وفقاً لما نصت عليه الفقرة (1) من المادة (الثانية والثلاثون) من هذه اللائحة. ‌ج. أغراض معالجة البيانات الشخصية. ‌د. وصف لفئات البيانات الشخصية التي يتم معالجتها، وفئات أصحاب البيانات الشخصية. ‌هـ. مدد الاحتفاظ الخاصة بكل من فئات البيانات الشخصية، ما أمكن ذلك. ‌و. فئات الجهات التي يتم الإفصاح لها عن البيانات الشخصية. ‌ز. وصف لعمليات نقل البيانات الشخصية خارج المملكة، بما في ذلك المسوغات النظامية لعمليات النقل والجهات التي يتم نقل البيانات الشخصية لها. ح. وصف الإجراءات والوسائل التنظيمية والإدارية والتقنية التي تضمن المحافظة على البيانات الشخصية، ما أمكن ذلك. ٦. تضع الجهة المختصة نماذج استرشادية لسجلات أنشطة معالجة البيانات الشخصية.	١. على جهة التحكم الاحتفاظ بسجل أنشطة معالجة البيانات الشخصية المشار إليها في المادة (الحادية والثلاثين) من النظام طوال فترة استمرار عمليات معالجة البيانات الشخصية، إضافة إلى (خمس) سنوات تبدأ من تاريخ انتهاء كل نشاط من أنشطة معالجة البيانات الشخصية. ٢. على جهة التحكم ضمان دقة وحداثة سجلات أنشطة معالجة البيانات الشخصية. ٣. على جهة التحكم إتاحة سجلات أنشطة معالجة البيانات الشخصية للجهة المختصة عند طلبها.
المادة (الرابعة والثلاثون)	تعديل نص المادة بإضافة متطلبات التسجيل في السجل الوطني لجهات التحكم، وإلغاء القواعد المنظمة للسجل الوطني لجهات التحكم داخل المملكة؛ اكتفاءً بالمتطلبات الواردة في اللائحة في شأن الموضوع.	تصدر الجهة المختصة قواعد التسجيل في السجل الوطني لجهات التحكم، على أن تتضمن القواعد تحديد جهات التحكم الملزمة بالتسجيل.	١. تكون جهة التحكم ملزمة بالتسجيل في السجل الوطني لجهات التحكم من خلال المنصة الخاصة بالجهة المختصة، إذا تحقق أي من الأحوال الآتية: ‌أ. إذا كانت جهة التحكم جهة عامة. ‌ب. إذا كان النشاط الرئيسي لجهة التحكم قائماً على معالجة البيانات الشخصية. ‌ج. إذا كانت جهة التحكم تقوم بنقل البيانات الشخصية إلى خارج المملكة أو تفصح عنها لجهات خارج المملكة؛ بناءً على المادة (الرابعة) من لائحة نقل البيانات الشخصية إلى خارج المملكة. ‌د. إذا كانت جهة التحكم تقوم بمعالجة بيانات حساسة. ‌هـ. إذا كانت جهة التحكم تقوم بمعالجة البيانات الشخصية لناقصي أو عديمي الأهلية. ٢. يخصص في المنصة الخاصة بالجهة المختصة سجل خاص لكل جهة تحكم تدون فيه السجلات المشار إليها في المادة (الحادية والثلاثين) من النظام وغيرها من الوثائق أو المعلومات اللازمة ذوات الصلة بمعالجة البيانات الشخصية. ٣. يسري الإلزام المنصوص عليه في الفقرة (1) من هذه المادة على الفرد إذا كان مشمولاً في التعريف الوارد في الفقرة (18) من المادة (الأولى) من النظام، وذلك في الأحوال التي يباشر فيها معالجة البيانات الشخصية لأغراض تتجاوز الاستخدام الشخصي أو العائلي.
المادة (السادسة والثلاثون مكرر)	إضافة مادة تحمل الرقم (السادسة والثلاثون مكرر).	-	مع مراعاة ما ورد في الفقرة (4) من المادة (الثلاثين) من النظام، على جهة التحكم الاستجابة للطلبات التي تحيلها إليها الجهة المختصة في شأن تطبيق أحكام النظام واللوائح خلال مدة لا تزيد على (10) أيام عمل من تاريخ استقبال كل طلب.
المادة (السابعة والثلاثون)	حذف الفقرة (١) من المادة، وإعادة ترتيب فقرات المادة وفقاً لذلك، وتعديل نص الفقرة الفرعية (ب) من الفقرة (٣) من المادة.	١. لصاحب البيانات الشخصية تقديم شكوى إلى الجهة المختصة خلال مدة لا تتجاوز (90) يوماً من تاريخ الحادثة محل الشكوى أو علم صاحب البيانات الشخصية بها، وللجهة المختصة تقدير قبول الشكوى من عدمه بعد تجاوز هذه المدة في الحالات التي يتبين لها وجود أسباب واقعية منعت صاحب البيانات الشخصية من تقديم شكواه خلال هذه الفترة. ٢. تتلقى الجهة المختصة الشكاوى الواردة إليها من خلال الوسيلة التي تبيّنها، وذلك وفق إجراءات تكفل السرعة والجودة في التعامل معها. ٣. تقيد الجهة المختصة الشكاوى المقدمة في سجل يعد لهذا الغرض. ٤. يجب أن تتضمن الشكوى البيانات التالية: ‌أ. مكان وزمان المخالفة. ‌ب. اسم مقدمها، وهويته، وعنوانه، ورقم هاتفه. ‌ج. بيانات الجهة المشتكى ضدها. ‌د. وصف الفعل المخالف بشكل واضح ومحدد، والأدلة والمعلومات المقدمة مع الشكوى. ‌هـ. أي متطلبات أخرى تحددها الجهة المختصة. ٥. تتولى الجهة المختصة فحص ودراسة الشكاوى ومستنداتها، ولها التواصل مع مقدم الشكوى بحسب الحاجة لطلب المستندات والوثائق والمعلومات ذات الصلة. ٦. تتولى الجهة المختصة اتخاذ الإجراءات اللازمة حيال الشكاوى الواردة إليها وتشعر مقدم الشكوى بالنتيجة التي انتهت إليها.	١. تتلقى الجهة المختصة الشكاوى الواردة إليها من خلال الوسيلة التي تبيّنها، وذلك وفق إجراءات تكفل السرعة والجودة في التعامل معها. ٢. تقيد الجهة المختصة الشكاوى المقدمة في سجل يعد لهذا الغرض. ٣. يجب أن تتضمن الشكوى البيانات التالية: ‌أ. مكان وزمان المخالفة. ‌ب. اسم مقدمها أو من يمثله، وبيانات التحقق من هويته، وعنوانه، ورقم هاتفه. ‌ج. بيانات الجهة المشتكى ضدها. ‌د. وصف الفعل المخالف بشكل واضح ومحدد، والأدلة والمعلومات المقدمة مع الشكوى. ‌هـ. أي متطلبات أخرى تحددها الجهة المختصة. ٤. تتولى الجهة المختصة فحص ودراسة الشكاوى ومستنداتها، ولها التواصل مع مقدم الشكوى بحسب الحاجة إلى طلب المستندات والوثائق والمعلومات ذوات الصلة. ٥. تتولى الجهة المختصة اتخاذ الإجراءات اللازمة حيال الشكاوى الواردة إليها وتشعر مقدم الشكوى بالنتيجة التي انتهت إليها.
المادة (الثامنة والثلاثون)	تعديل نص المادة	تنشر هذه اللائحة في الجريدة الرسمية والموقع الرسمي للجهة المختصة، ويعمل بها من تاريخ نفاذ النظام.	يُعمل بهذه اللائحة من تاريخ نشرها في الجريدة الرسمية.

آخر تحديث : 21 أبريل 2025

من خلال الاستمرار في استخدام موقعنا ، فإنك تقر باستخدام ملفات تعريف الارتباط سياسة الخصوصية