المركز المعرفي
دليـــــــل نظام حمايــــــــة البيانـات الشـخصية
ما المقصود بحماية البيانات الشخصية؟
هي مجموعة من المبادئ والممارسات والتدابير التي تهدف إلى حماية بيانات الأفراد وضمان الالتزام بالأنظمة واللوائح، كما يعد تخصيص برنامج للالتزام بأحكام النظام ولوائحه ضرورياً لتمكين الجهات من معالجة البيانات الشخصية مع احترام حقوق الأفراد المتعلقة ببياناتهم.
حماية البيانات الشخصية ترتبط ارتباطًا وثيقًا بأهداف رؤية 2030 المتمثلة في التحول والاقتصاد الرقمي والشفافية والابتكار وبناء اقتصاد قائم على البيانات.
يشمل هذا الدليل ثلاثة أقسام توضح متطلبات النظام للجهات المشمولة بأحكامه لاستخدامه كمرجع أثناء بناء برنامج الالتزام، حيث يتضمن نبذة عن المتطلبات الرئيسية من خلال أمثلة عملية وأفضل الممارسات العالمية.
ونود التنويه بأنه تم ربط بعض الامثلة بقطاع محدد على سبيل المثال ولكن تنطبق الأمثلة على جميع الجهات المشمولة بأحكام النظام بغض النظر عن القطاع وطبيعة نشاط الجهة.
أهمية حماية البيانات الشخصية لرؤية المملكة 2030
ترتبط رؤيــة المملكة 2030 ارتباطاً وثيقاً بالتحول الرقمي. وتطوير اقتصاد قائم على المعرفة، وفي هذا السياق تعد حماية البيانات الشخصية مهمة جداً لنمو المملكة وازدهارها، وفيما يلي توضيح لكيفية ارتباط حماية البيانات الشخصية برؤية المملكة 2030:
تطوير الاقتصاد الرقمي:
تهدف رؤيــة المملكة 2030 إلــى تعزيز نمو الاقتصاد الرقمي من خلال تعزيز الابتكار والتقدم التقني، ومع انتشار التقنيات الرقمية، تصبح الحاجة إلــى حماية البيانات أمــراً بالغ الأهمية لضمان حماية البيانات الشخصية وأمن وثقة الأفراد والشركات فيما يتعلق بهذه التقنيات.
تعزيز الشفافية ضمن الأدوار الحكومية:
تــؤكــد رؤيــــة المملكة 2030 عــلــى تــطــويــر خــدمــات الحكومة الإلكترونية التي تتسم بالفاعلية والشفافية، وفي الوقت الذي تتولى فيه الجهات الحكومية جمع كميات كبيرة من البيانات الشخصية ومعالجتها، يصبح من الضروري تنفيذ تدابير وإجراءات صارمة لحماية هذه البيانات الشخصية.
تعزيز ودعم ثقافة الابتكار وريادة الاعمال:
تعمل تدابير وإجــراءات حماية البيانات الصارمة والمحكمة على تعزيز الثقة بالشركات الناشئة والجهات، مما يتيح التعامل الآمن مع البيانات الشخصية للعملاء ويحمي حقوق الملكية الفكرية.
اتخاذ القرارات القائمة على البيانات:
تفترض رؤية المملكة 2030 الاستخدام المكثف لتحليل البيانات والــــرؤى مــن أجـــل إعــــداد الـسـيـاسـات والتخطيط الاقــتــصــادي واستراتيجيات الأعــمــال؛ لذلك فــإن الحماية الفعالة للبيانات ضرورية لضمان سلامة البيانات ودقتها واستخدامها على نحو أخلاقي.
يتم تنظيم معالجة البيانات الشخصية في المملكة من قبل الهيئة السعودية للبيانات والـذكـاء االصطناعي (سـدايـا)، وهي الجهة المختصة فيما يتعلق بتطبيق نـظـام حماية البيانات الشخصية في المملكة.
يعد فهم نظام حماية البيانات الشخصية ضروريًا للالتزام بأحكامه، إذ يضمن النظام حقوق أصحاب البيانات الشخصية والتزامات جهة التحكم وجميع المتطلبات المتعلقة بمعالجة البيانات الشخصية، ويتيح للجهة فهم طرق ومتطلبات حماية البيانات الشخصية في المملكة، وتتضمن اللوائح التنفيذية تفاصيل حول كيفية تنفيذ أحكام النظام.
القسم 01
مبادئ نظام حماية البيانات الشخصية
على الرغم من أن نظام حماية البيانات الشخصية لم ينص على مبادئ حماية البيانات الشخصية صـراحـة، إلا أن هذه المبادئ توجد ضمنياً في أحكام النظام، ومعرفة تلك المبادئ يساعد الجهات على فهم المتطلبات النظامية.
يُوضح أدناه تفصيل لبعض المبادئ الرئيسية لحماية البيانات الشخصية:
• المشروعية والإنصاف والشفافية:
يجب على الجهة التأكد من معالجة البيانات الشخصية بطريقة عادلة ومشروعة وتتسم بالشفافية دائما.
• تقييد الغرض:
يجب على الجهة تحديد الغرض من معالجة البيانات الشخصية وأن يكون الغرض مشروعاً ومعيناً.
• الحد الأدنى من البيانات الشخصية:
يجب على الجهة جمع ومعالجة البيانات الشخصية اللازمة لتحقيق الغرض من المعالجة.
• الدقة:
يجب على الجهة التأكد من تحديث البيانات الشخصية واتخاذ التدابير اللازمة لتصحيح البيانات الشخصية غير الدقيقة.
• تقييد التخزين:
يجب على الجهة عدم الاحتفاظ بالبيانات الشخصية بعد انتهاء الغرض من جمعها.
• النزاهة والسرية:
يجب على الجهة وضــع تـدابـيـر أمنية كافية لحماية البيانات الشخصية من الفقد أو التلف.
• المسؤولية:
يجب على الجهة اتباع التدابير وإعــداد السجلات اللازمة لإثبات التزامها بالنظام ولوائحه ومبادئه.
ماهي حقوق أصحاب البيانات الشخصية بموجب النظام؟
أحد أهم أهداف نظام حماية البيانات الشخصية هوتمكين الأفراد من إدارة بياناتهم الشخصية، وتحديد حقوقهم تجاه معالجة بياناتهم الشخصية،علماً بأن هذه الحقوق ليست مطلقة وإنما يوجد بعض الاستثناءات على ممارسة تلك الحقوق في ظل ظروف محددة.
وفيما يلي توضيح للحقوق التي يتمتع بها أصحاب البيانات الشخصية بموجب النظام:
01 الحق في العلم:
يجب إحاطة أصحاب البياناتا لشخصية علماً بالمسوغ النظامي لمعالجة بياناتهم الشخصية والغرض منها.
02 الحق في الوصول إلى البيانات الشخصية:
يحق لأصحاب البيانات الشخصية الوصول إلى بياناتهم، مع مراعاة استيفاء متطلبات نظام حماية البيانات الشخصية ولوائحه التنفيذية.
03 الحق في طلب الحصول على البيانات الشخصية:
يحق لأصحاب البيانات الشخصية طلب الحصول على بياناتهم بصيغة مقروءة وواضحة.
04 الحق في طلب التصحيح:
يحق لأصحاب البيانات الشخصية طلب تصحيح بياناتهم (إذا كانت غيردقيقة) أو إكمالها (في حال عدم اكتمالها ) أوتحديثها
(في حال كانت غير محدثة).
05 الحق في طلب الإتلاف:
يحق لأصحاب البيانات الشخصية طلب إتلاف (حذف) بياناتهم.
06 الحق في العدول عن الموافقة:
يحق لأصحاب البيانات الشخصية العدول عن موافقتهم على معالجة بياناتهم في أي وقت.
القسم 02
معرفة البيانات الشخصية التي يتم جمعها
من خلال معرفة أنــواع البيانات الشخصية التي يتم جمعها ومعالجتها وتخزينها، يمكن إعــداد تقويم للمخاطر المحتملة المتعلقة بمعالجة هــذه البيانات ووضـــع التدابير اللازمة لحمايتها، كما يتيح تحديد الأغـــراض لمعالجتها والمسوغ النظامي وحقوق أصحابها، وتمكين الجهة من إعــداد سجل أنشطة معالجتها والاستجابة لطلبات أصحاب هذه البيانات الشخصية بفاعلية.
2.1 اجراء عملية اكتشاف البيانات الشخصية
تنويه
يمكن للجهات بغض النظر عن القطاع الذي تعمل فيه الاستفادة من إجراء عملية اكتشاف البيانات الشخصية لمعرفة البيانات الـتـي تحتفظ بها وفـهـم تدفقاتها وإنشاء سجل أنشطة معالجة البيانات وتقويم مخاطر معالجة البيانات الشخصية.
يتيح إجـراء اكتشاف البيانات الشخصية للجهة فهم البيانات التي يتم جمعها ومعالجتها وتخزينها بشكل كامل، وتمكن هذه العملية من اتخاذ قــرارات مدروسة أكثر بشأن البيانات الشخصية ومعالجتها كما ُيتيح للجهة تحديد الثغرات المحتملة.
مثال:إجراء عملية اكتشاف البيانات الشخصية
شركة تعمل فـي مجال تـجـارة التجزئة وتـديـر منصة للتجارة الإلكترونية، تنوي البدء بتنفيذ إجراءات الالتزام بأحكام نظام حماية البيانات الشخصية. لتحقيق ذلك يجب عليها أولاً فهم طبيعة البيانات الشخصية التي تتم معالجتها؛ لذا عليها القيام بتنفيذ عملية اكتشاف للبيانات الشخصية من خلال تشكيل فريق عمل متعدد التخصصات يتكون من ممثلين من قطاع تقنية المعلومات والــشــؤون القانونية والالـتــزام ووحــدات الأعمال الأخرى، ويبدأ الفريق بتحديد وتخطيط جميع البيانات الشخصية داخل الشركة.
وفيما يلي الخطوات التي يجب أن يتخذها الفريق:
01 جرد البيانات الشخصية:
يحدد الفريق مصادر البيانات المختلفة، مثل قواعد بيانات العملاء وســجلات المعاملات وتحليلات الموقع االإلكتروني وسـجلات الموظفين، كما يحدد الـمـورديـن أو الشركاء الخارجيين الذين يعالجون البيانات الشخصية بالنيابة عن الشركة العاملة بتجارة التجزئة.
02 تصنيف البيانات الشخصية:
يصنف الفريق أنـواع البيانات الشخصية التي يتم جمعها، مثل أسـمـاء الـعـملاء ومعلومات الاتصـال وتـاريـخ الـشـراء وتفاصيل الدفع، كما يتم تحديد البيانات الحساسة، مثل البيانات الصحية الـتـي تتطلب حماية إضـافـيـة بموجب نـظـام حماية البيانات الشخصية.
03 تخطيط البيانات الشخصية:
يعمل الفريق بشكل دقيق مع فريق تقنية المعلومات لتتبع تدفق البيانات الشخصية عبر أنظمة شركة تجارة التجزئة، كمًا يتم تحديد نقاط الاتصال التي يتم بها جمع البيانات الشخصية ومعالجتها وتخزينها، ســواء فـي قـواعـد البيانات الداخلية أو الأنظمة الخارجية.
04 الغرض من جمع البيانات الشخصية والمسوغ النظامي:
يتعاون الفريق مع خبراء الالتزام بالأنظمة وخبراء نظام حماية البيانات الشخصية لتحديد الأغـــراض التي جمعت مـن أجلها البيانات الشخصية والمسوغ النظامي لمثل هــذه المعالجة، ويحدد فترات الاحتفاظ بالبيانات وينفذ عمليات للتخلص االآمن من البيانات الشخصية.
05 الاحتفاظ بالبيانات الشخصية:
يقوم الفريق بتحديد البيانات الشخصية التي تم الانتهاء من غــرض جمعها ومعالجتها، ووضـــع مــدة الاحــتــفــاظ بالبيانات الشخصية الأخرى وإجراءات التخلص منها بشكل آمن.
2.2 تحديد المسوغ النظامي للمعالجة
تنويه:
يـجـب أن تـسـتـوفـي الــمــوافــقــة عـلـى جـمـع ومعالجة البيانات الشخصية ضمن معايير محددة لتعد موافقة صحيحة بموجب نظام حماية البيانات الشخصية، ويجب أن يكون قرار منحها ُأخذ بحرية ودون استخدام أساليب ُمضللة للحصول عليها، ويجب أن يعود هذا القرار بشكل كامل لأصحاب البيانات الشخصية.
تحديد المسوغ النظامي المناسب هو أساس االلتزام بنظام حماية البيانات الشخصية.
مثال: تحديد المسوغ النظامي للمعالجة
يتولى مقدم الرعاية الصحية الــذي يقدم الخدمات الطبية للمرضى جمع البيانات الشخصية ومعالجتها، بما في ذلك البيانات الحساسة، مثل السجلات الطبية.
يتخذ مقدم الرعاية الصحية الخطوات التالية:
01 تحديد الغرض:
يُـدرك مقدم الرعاية الصحية أن توفير رعاية طبية عالية الجودة وإدارة مواعيد المرضى بشكل صحيح يتطلب منه معالجة البيانات الشخصية للمرضى (بما في ذلك البيانات الحساسة)؛ لذلك يحدد مقدم الرعاية الصحية الغرض من المعالجة، مثل الوفاء بالتزاماته كمقدم للرعاية الصحية وضمان رفاهية مرضاه.
02 تحديد المسوغ النظامي:
بعد تحليل الغرض من معالجة البيانات، يحدد مقدم الرعاية الصحية المسوغ النظامي المناسب وهو“إبــرام اتفاقية يكون صاحب البيانات الشخصية طرفا فيها”كما أن معالجة البيانات الشخصية للمرضى ضرورية لتمكين مقدم الرعاية الصحية من الوفاء بالتزاماته التعاقدية مع المرضى، إذ إن تقديم الخدمات الطبية للمرضى يتطلب جمع بياناتهم الشخصية.
03 إبلاغ المرضى:
بلغ مقدم الرعاية الصحية مرضاه بأنشطة المعالجة والمسوغ النظامي المحدد ويوفر معلومات واضحة وشفافة حول طبيعة البيانات الشخصية التي سيتم جمعها ومبررات معالجتها وكيفية استخدامها.
04 الحصول على الموافقة لأغراض محددة:
على الـرغـم مـن أن المسوغ النظامي الــذي ينص على“إبــرام اتفاقية يكون صاحب البيانات الشخصية طرفا فيها”، يتضمن جوانب عملية من معالجة البيانات الشخصية اللازمة لتقديم الخدمات الطبية، إلا أن مقدم الرعاية الصحية قد يحتاج إلى إجراء معالجة للبيانات الشخصية لأغــراض محددة الا تتعلق مباشرة بالعقد، مثل إرسال النشرات الإخبارية والتقارير المتعلقة بالصحة في هذه الحالة يطلب مقدم الرعاية الصحية من المرضى تقديم موافقتهم على ذلــك لاستيفاء معالجة البيانات الشخصية لأغراض إضافية.
وفي حال االاعتماد على (المصًالح المشروعة) كمسوغ نظامي لمعالجة الـبـيـانـات الشخصية، يـجـب إجــــراء تـقـويـم للمصالح المشروعة للتأكد من أنها مسوغ نظامي مناسب لتنفيذ عمليات معالجة البيانات لدى الجهة، ويتم تحديد متطلبات هذا التقويم في اللوائح التنفيذية، ولا يمكن للجهة الاعتماد على (المصًالح المشروعة) كمسوغ نظامي في حال كانت البيانات الشخصية التي تتم معالجتها بيانات حساسة (مثل:البيانات الصحية).
2.3 إنشاء سجلات أنشطة معالجة البيانات الشخصية
تنويه:
يـجـب عـلـى الـجـهـات بـغـض الـنـظـر عــن الـقـطـاع الــذي تعمل فيه وضــع سجلات لأنشطة معالجة البيانات، إذ ُتـعــد مـسـألـة الاحــتــفــاظ بسجلات دقـيـقـة متطلباً أســاســيــاً بموجب نـظـام حماية الـبـيـانـات الشخصية بغض النظر عن حجم عمليات المعالجة أو طبيعتها
يعتبر سجل أنشطة معالجة البيانات متطلباً أســاســيــاً بموجب نظام حماية البيانات الشخصية، و ُيعرف بأنه قائمة شاملة بأنشطة معالجة البيانات الشخصية التي تقوم بها الجهة. يتيح سجل أنشطة معالجة البيانات للجهة أيضاً توثيق مخاطر معالجة البيانات الشخصية وتدابير الحماية الأمنية المناسبة للتخفيف من مخاطر حماية البيانات الشخصية.
مثال:إنشاء سجل أنشطة معالجة البيانات
أجــرت شركة تقنية تقدم برامج تدريب مخصصة في مجال اللياقة البدنية لعملائها عملية اكتشاف البيانات التي تعالجها.
وفيما يلي الخطوات التي تتخذها شركة التقنية:
01 التوثيق:
توثق الشركة كل نشاط من أنشطة معالجة البيانات في سجل أنشطة معالجة البيانات بعناية بناء على اكتشاف البيانات، بما في ذلك بيانات التواصل مع جهة التحكم، والغرض من المعالجة، وفئات البيانات الشخصية المعنية، والمسوغ النظامي للمعالجة، والمعلومات المتعلقة بمشاركة الـبـيـانـات الشخصية داخــل المملكة، وفترات الاحتفاظ بالبيانات، وأي عمليات نقل بيانات خارج المملكة.
02 الحفظ والإدارة والتحديث:
تعتمد الشركة عملية محددة لإجــراء التحديثات الـدوريـة لسجل أنشطة معالجة البيانات وحفظه وإدارتــــه، ويتولى الشخص المسؤول، مثل مسؤول حماية البيانات الشخصية مهمة مراجعة السجلات وتحديثها بانتظام، مع ضمان دقتها وملائمتها.
03 دعم الالتزام والتدقيق:
يجب استخدام سجل أنشطة معالجة البيانات لإجــراء عمليات تقييم الالـتــزام والتدقيق، ويجب أن تضمن الشركة إمكانية الوصول إلى السجلات بسهولة إلى جانب إمكانية معاينتها من قبل الجهة المختصة والمدققين، إذ ُيعد ذلك بمثابة دليل على التزام الشركة بنظام حماية البيانات الشخصية.
2.4 إعداد إشعارات الخصوصيةونشرها
تنويه:
إشعار الخصوصية هو وثيقة قابلة للتعديل والتحديث المستمر؛ لذا يجب تحديثها في حالة التغييرات علىممارسات معالجة البيانات الشخصية لدى الجهة.
يُعد إعـــداد إشــعــارات الخصوصية ونشرها مـن الممارسات الضرورية للغايةللجهات حيث تمكنها من الالتــزام بنظام حماية البيانات الشخصية، إذ تعتبرهذه االإشـعـارات بمثابة أدوات تواصل أساسية توضح كيفية جمع البياناتالشخصية واستخدامها وحمايتها، ومــن خلال تسهيل الــوصــول إلى إشعارات الخصوصية (على سبيل المثال إتاحتها في المواقع الإلكترونية وتطبيقات الهاتف المحمول) يمكن للجهة تمكين الأفـراد من اتخاذ قـرارات مدروسةبشأن بياناتهم الشخصية، ويحدد النظام بالتفصيل المعلومات التي يجب أن يتضمنها إشعار الخصوصية على سبيل المثال:المسوغ النظامي لجمع ومعالجة البيانات الشخصية والغرض من ذلك وغيرها.
مثال:إعداد إشعارات الخصوصية ونشرها
تقدم شركة برمجيات مقرها الـريـاض عـديـداً من المنتجات والــخــدمــات التقنية لـعـملائهـا، بما فــي ذلــك منصة تخزين البيانات السحابية، إذ أنشأت شركة البرمجيات سجلاً لإنشطة معالجة البيانات، ولتطبيق مبدأ الشفافية بموجب نظام حماية البيانات الشخصية ُتقرر الشركة إعداد إشعارات الخصوصية ونشرها في موقعها الإلكتروني.
وفيما يلي الخطوات التي تتخذها الشركة في هذا الشأن:
01 صياغة إشعارات الخصوصية:
يعمل الفريق القانوني التابع للشركة على صياغة إشـعـارات الخصوصية الـذي يوفر معلومات واضحة وموجزة عن أنشطة المعالجة ليتضمن على سبيل المثال:أقسام حول جمع البيانات الشخصية، وأغراض معالجة هذه البيانات والمسوغات النظامية ومشاركة البيانات الشخصية وفترة الاحتفاظ بالبيانات، وحقوق أصحاب البيانات الشخصية.
02 إمكانية الوصول واللغة:
تضمن الشركة سهولة الوصول إلى إشعارات الخصوصية في موقعها الإلكتروني انطلاقا من إدراكها لأهمية تسهيل الوصول إلى هذه الإشعارات، كما توفر الشركة الإشعارات بلغات متعددة بما يلبي احتياجات قاعدة عملائها المتنوعين.
03 نشر إشعارات الخصوصية:
تنشر الشركة إشعارات الخصوصية في موقعها الإلكتروني، ما يجعلها متاحة بسهولة لجميع الـزوار والعملاء، كما توفر الشركة روابط مباشرة لإشعارات الخصوصية ُتتيح للمستخدمين الجدد إمكانية الاستفادة منها أثناء عملية التسجيل.
04 تحديثات دورية:
تعمل الشركة على مراجعة وتحديث إشعارات الخصوصية بانتظام بما يتناسب مع التغييرات التي تتم في أنشطة معالجة البيانات الشخصية في الشركة.
القسم 03
إرساء مبادئ المسؤولية والحوكمة
من خلال إعداد إطار لحوكمة حماية البيانات الشخصية، يمكن للجهة إدارة مخاطر معالجة البيانات الشخصية بشكل فعال وتفعيل الضوابط اللازمـة وتعزيز الالتزام بمعايير ومتطلبات نظام حماية البيانات الشخصية فـي الجهة، مما يعزز ثقة الأفــراد والجهات المعنية بإمكانية الجهة من حماية البيانات الشخصية.
3.1 تقويم مدى إلزامية تعيين مسؤول حماية البيانات الشخصية
تنويه
ليس على جميع الجهات تعيين مسؤول حماية البيانات الشخصية بموجب النظام، إذ ُتحدد اللوائح التنفيذية الحالات التي يكون فيها تعيين مسؤول حماية البيانات الشخصية إلزاميا.
لا يساعد تعيين مسؤول حماية البيانات الشخصية الجهة على الالتزام بمتطلبات نظام حماية البيانات الشخصية فحسب، بـل ُيتيح للجهة تنفيذ برنامج الالـتــزام بأحكام نظام حماية البيانات الشخصية بنجاح وفاعلية.
مثال:تعيين مسؤول حماية البيانات الشخصية
تتولى شركة تجارة إلكترونية متعددة الجنسيات تعمل في المملكة معالجة البيانات الشخصية لعملائها على نطاق واسع (مثل الأسماء والعناوين ومعلومات الدفع وتاريخ الشراء وما إلـى ذلــك) وذلــك بحكم طبيعة عملها، ويتعين على الشركة بموجب نظام حماية البيانات الشخصية ولوائحه التنفيذية تعيين مسؤول حماية البيانات الشخصية.
لذا تتخذ شركة التجارة الإلكترونية الخطوات التالية:
01 الخبرات والمؤهلات:
تحدد شركة التجارة الإكترونية المؤهلات والخبرات اللازم توفرها لدى الشخص المراد تعيينه كمسؤول حماية البيانات الشخصية، مثل:المعرفة بنظام حماية البيانات الشخصية وممارسات حماية البيانات الشخصية وإدارة المخاطر.
02 تعيين مسؤول حماية البيانات الشخصية:
تقيم الشركة المرشحين الداخليين والمهنيين الخارجيين والجهات المهنية التي توفر مسؤولي حماية البيانات الشخصية الذين يتمتعون بخبرة وإلمام بنظام حماية البيانات الشخصية.
03 التدريب والدعم:
توفر شركة التجارة الإلكترونية لمسؤول حماية البيانات الشخصية الموارد والتدريب والدعم الكًافي لتمكينه من البقاء على اطلاع على نظام حماية البيانات الشخصية واللوائح وأفضل الممارسات في هــذا الجانب، كما تشجع الشركة مسؤول حماية البيانات الشخصية على المشاركة في التطوير المهني المستمر.
04 الاتصال والتعاون:
تشجع شــركــة الــتــجــارة الإلكـتـرونـيـة مــســؤول حـمـايـة البيانات الشخصية على التواصل والتعاون مع الإدارات المختلفة، بما في ذلك الشؤون القانونية وتقنية المعلومات والموارد البشرية والتسويق، ويعمل مسؤول حماية البيانات كمستشار داخلي ويساعد فـرق العمل في التعامل مع مسائل تتعلق بالبيانات الشخصية.
3.2 وضع إطار لحوكمة حماية البيانات الشخصية
تنويه:
تتطلب الحوكمة الفعالة لحماية البيانات الشخصية مشاركة الجهة بأكملها، وتتطلب اتـبـاع نهج شامل يتضمن آليات وسياسات وإجـــراءات وبرامج تدريبية تشمل جميع الموظفين والجهات/الإدارات المعنية.
ويساعد اعتماد إطار محدد لحوكمة حماية البيانات الشخصية في وضع إطار عمل لوضع سياسات وإجراءات وضوابط فاعلة وتنفيذها بما يتماشى مع نظام حماية البيانات الشخصية، إذ من شأنه تعزيز الشفافية والمسؤولية والمساهمة في بناء ثقافة تهتم بحماية البيانات الشخصية داخل الجهة.
مثال:إنشاء إطار لحوكمة حماية البيانات الشخصية
عينت شركة متعددة الجنسيات تعمل فـي قطاع التقنية مسؤول حماية بيانات شخصية نظرا إلى الكميات المتزايدة من البيانات الشخصية التي تتولى معالجتها، وترغب في إنشاء إطــار فعال لحوكمة حماية البيانات الشخصية لديها لضمان الالتزام المستمر بنظام حماية البيانات الشخصية.
وفيما يلي الخطوات التي يتخذها مسؤول حماية البيانات الشخصية في هذا الشأن:
01 تحديد الحوكمة:
يتعًاون مـسـؤول حماية البيانات الشخصية مـع الإدارة العليا للشركة لتشكيل لجنة توجيهية لحماية الـبـيـانـات الشخصية مسؤولة عن الإشــراف على مبادرات حماية البيانات الشخصية وإدارتها، وتضم اللجنة ممثلين من الإدارات الرئيسية، بما في ذلـك الشؤون القانونية وتقنية المعلومات والـمـوارد البشريةوالتسويق، بالإضافة إلى ذلك تحديد إطار إدارة حماية البيانات الشخصية داخل الشركة.
02 ملاحظة:
في حال كانت الجهة عامة و يوجد لديها لجنة لحوكمة البيانات وفقًا للمواصفة رقمD.G.4.2من وثيقة ضوابط ومواصفات إدارة البيانات الوطنية وحوكمتها وحماية البيانات الشخصية يتم الاكتفاء بها عن طريق ضم هذه الأدوار لها.
03 الأدوار والمسؤوليات:
يحدد مسؤول حماية البيانات الشخصية أدوار ومسؤوليات الإدارة فيما يتعلق بمعالجة البيانات الشخصية، ويشمل ذلك مراقبة الالتزام بالنظام، وتقديم الاستشارات والتوجيه بشأن المسائل المتعلقة بمعالجة البيانات الشخصية، والعمل كجهة اتصال بين أصحاب البيانات الشخصية والجهة المختصة، ويجب على المسؤول التأكد من مراعاة اعتبارات حماية البيانات الشخصية في جميع العمليات التجارية والمشاريع.بالأضافة إلــى إدارة أنشطة حماية البيانات الشخصية اليومية، مثل مراجعة سجل أنشطة معالجة البيانات الشخصية بشكل دوري.
04 الاستقلالية ورفع التقارير:
تضمن اللجنة التوجيهية بالتعاون مع مسؤول حماية البيانات عمل إدارة حماية البيانات الشخصية بشكل مستقل، و ُتحدد الشركة تسلسلاً إداريًا لإعداد التقارير يضمن تمتع مسؤول حماية البيانات الشخصية بالاستقاللية والصلاحيات الالزمـــة لتنفيذ المسؤوليات المنوطة به بشكل فعال.
05 إطار حوكمة حماية البيانات الشخصية:
يتولى مسؤول حماية البيانات الشخصية وضـع إطــار لحوكمة حماية البيانات الشخصية يـحـدد فيه الأدوار والمسؤوليات والتسلسل الإداري داخـــل الـجـهـة لـيـوضـح هـــذا الإطار نطاق المسؤولية عن الالتزام بأحكام نظام حماية البيانات الشخصية ويضمن المراقبة المستمرة وإعداد التقارير ومراجعة ممارسات معالجة البيانات الشخصية في الشركة.
06 وضع السياسة:
يتولى مسؤول حماية البيانات الشخصية بالتشاور مع اللجنة التوجيهية لحماية البيانات الشحصية وضع سياسات وإجــراءات شاملة تتماشى مع النظام، وتتناول هـذه السياسات أنشطة معالجة البيانات الشخصية وآليات الموافقة وحقوق أصحاب البيانات الشخصية وإجــراءات الإبلاغ عن حوادث تسرب البيانات وإدارة مخاطر الموردين.
07 تقويم الأثر:
يتولى مسؤول حماية البيانات الشخصية ترتيب عمليات تقويم الأثـر ومخاطر معالجة البيانات الشخصية المرتبطة على سبيل المثال:بالمشاريع أو الأنظمة أو العمليات الجديدة أو معالجة البيانات الحساسة، ويشارك مسؤول حماية البيانات الشخصية في تقويم المخاطر وتخفيفها وتنفيذ الضوابط المناسبة، ما يضمن مـراعـاة اعتبارات حماية البيانات الشخصية في مرحلة مبكرة مــن عملية صنع الــقــرار، كما يعكس هــذا النهج مبدأ الخصوصية بالتصميم وبشكل افتراضي.
08 المراقبة والتدقيق:
يحدد مسؤول حماية البيانات الشخصية عمليات مراقبة وتدقيق أنشطة معالجة البيانات الشخصية داخـل الشركة، إذ يتم إجراء عمليات تدقيق منتظمة لتحديد الفجوات أو مجًاالت التحسين المحتملة، و ُتستخدم نتائج عمليات التدقيق هذه لتحسين الالتزام بمتطلبات حماية البيانات الشخصية في الجهة.
09 التدريب والتوعية:
يتولى مسؤول حماية البيانات الشخصية تصميم وتنفيذ برامج تدريبية تتعلق بحماية البيانات الشخصية لموظفي الشركة في جميع المستويات، وتساهم هذه البرامج في تثقيف الموظفين حـول مسؤولياتهم المتعلقة بحماية البيانات الشخصية وفقا للنظام وسياسات الجهة الداخلية، و ُتعقد البرامج التدريبية بانتظام لاطلاع الموظفين على المتطلبات المتغيرة لحماية البيانات الشخصية.
10 مشاركة الجهات المعنية:
يتولى مسؤول حماية البيانات الشخصية مهمة تنسيق عمليات التواصل والتعاون المنتظم مع الجهات المعنية الداخلية، بما في ذلك الإدارة العليًا ورؤساء الإدارات والموظفون، بهدف ترسيخ ثقافة الوعي بحماية البيانات الشخصية.
3.3 إعداد السياسات والاجراءات وتقديم البرامج التدريبية
تنويه:
يجب مراجعة وتحديث السياسات والإجـــراءات بشكل مستمر لضمان توافقها مع الأنظمة واللوائح وأفضل الممارسات والاحتياجات التنظيمية.
تساهم السياسات والإجــراءات في حال ُأعـدت بشكل صحيح فـي توفير إرشــــادات واضـحـة حــول كيفية معالجة البيانات الشخصية داخل الجهة، ويمكن الاستفادة من هذه السياسات والإجراءات لتمكين موظفي الجهة وتوجيههم بطرق الحد من مخاطر معالجة البيانات الشخصية.
مثال:إعداد السياسات والإجراءات
شركة مالية تعالج بيانات شخصية على نطاق واسع، ولضمان الالتزام المستمر بنظام حماية البيانات الشخصية تقرر الجهة وضع سياسات وإجراءات شاملة لحماية البيانات الشخصية.
وفيما يلي الخطوات التي تتخذها الشركة المالية في هذا الخصوص:
01 سياسة حماية البيانات الشخصية
تعد الجهة سياسة داخلية لحماية البيانات الشخصية ُتحدد فيها القواعد العامة لكيفية معالجة البيانات الشخصية، إذ تتناول السياسة مجالات مثل استراتيجية حماية البيانات الشخصية، ومــبــادئ حماية البيانات الشخصية، وحوكمة حماية البيانات الشخصية في الجهة وغيرها.
02 التحقق من البيانات الشخصية:
يتحقق مسؤول حماية البيانات الشخصية من هوية العميلة للتأكد من أن ُمقدمة الطلب هي صاحبة البيانات الشخصية (مثل:إرســال رمــز تحقق لها) مع مـراعـاة ألا يترتب على هذه الخطوة جمع بيانات شخصية حساسة.
03 جمع البيانات الشخصية:
يتعاون مسؤول حماية البيانات الشخصية مع الإدارات المعنية في شركة التجارة الإلكترونية لجمع البيانات الشخصية المطلوبة بصيغة واضحة ومفهومة.
04 توفير المعلومات:
توفر الشركة للعميلة إمكانية الوصول إلـى بياناتها الشخصية المطلوبة، بما فـي ذلــك فئًات البيًانًات الشخصية التي تتم معالجتها وأي أطــراف خارجية تتم مشاركة بياناتها الشخصية معها.
05 طلب التصحيح:
بعد مراجعة البيانات الشخصية المقدمة، الحظت العملية بأن عنوانها قديم، لذا قامت بإرسًال طلب آخر عبر البريد الإلكتروني إلى الشركة تطلب فيه تصحيح العنوان.
06 التصحيح الفوري:
تعمل الشركة على الفور على تحديث عنوان العميلة في سجالتها، وإعلامها بالتصحيح الذي تم إجراؤه.
07 العدول عن الموافقة وحذفها:
قررت العميلة بعد بضعة أشهر عدم رغبتهًا في استقبًال إحدى الحملات التسويقية، ولها الحق في العدول عن موافقتها وطلب حذف بياناتها المتعلقة بتلك الحملة من قائمة المستهدفين.
08 إيقاف عملية معالجة البيانات والالتزام بطلب حذف البيانات الشخصية:
تـراجـع الشركة طلب العميلة و ُتـوقـف عملية معالجة البياناتالشخصية وتــحــذف الـبـيـانـات الشخصية للعميلة على النحوالمطلوب.
القسم 04
إجراء تقويم الأثر
تنويه:
يعد تقويم الأثــر إجـــرا ًء هـامـا لتحديد مخاطر معالجة البيانات الشخصية.
يعد تقويم الأثر عملية منهجية ُتستخدم لتقويم وإدارة المخاطر المحتملة المتعلقة بمعالجة البيانات الشخصية وتنفيذ تدابير للتخفيف منها بشكل استباقي وحماية حقوق الأفراد وتحمل مسؤولية معالجة البيانات الشخصية لدى الجهة.
كيف يمكنني إجراء تقويم الأثر؟
تقدم الهيئة السعودية للبيانات والذكاء الاصطناعي خـدمـة لتقويم الأثـــر ُمصممة لمساعدة الجهة على تقويم المخاطر المرتبطة بالمعالجة التي ُيراد إجراؤها، وتمكن خـدمـة تقويم الأثـــر الجهة مــن اتــخــاذ قـــرارات مدروسة للحد من مخاطر معالجة البيانات الشخصية.
وللقيام بإجراء تقويم الأثــر يرجى زيــارة خدمة تقويم الأثر في منصة حوكمة البيانات الوطنية، كما تم تحديد متطلبات عمليات تقويم الأثر باللوائح التنفيذية.
مثال: إجراء تقويم الأثر
تخطط شركة تطوير برمجيات تعمل في المملكة لإطلاق تقنية جديدة قائمة على برمجيات لجمع وتحليل البيانات الشخصية من مصادر مختلفة للإعلانات المستهدفة، ونظرا إلى إدراك الشركة لاحتمالية تعرض حماية البيانات الشخصية للخطر بسبب هذه التقنية، ولمراعاة متطلبات نظام حماية البيانات الشخصية، ُتقرر الشركة إجراء تقويم للأثر.
وفيما يلي الخطوات التي تتخذها الشركة في هذا الشأن:
01 النطاق والأهداف:
تحدد شركة البرمجيات نطاق تقويم الأثر والسمات والوظائف المحددة للتقنية المراد تقويمها.
02 أنشطة معالجة البيانات الشخصية:
على شركة البرمجيات أن تقوم بحصر جميع أنشطة معالجة البيانات الشخصية المرتبطة بالتقنية وعليها أن توثق أنــواع البيانات الشخصية التي يتم جمعها وأغراض معالجة تلك البيانات والمسوغ النظامي وأي عمليات مشاركة أو إفصاح عن البيانات الشخصية مع أطراف خارجية.
03 تقويم المخاطر والحد منها:
تعمل شركة البرمجيات على تقويم مخاطر معالجة البيانات الشخصية المرتبطة بالتقنية مـن خلال دراســـة عـوامـل مثل:حساسية البيانات التي يتم جمعها، وحـــوادث تسرب البيانات الشخصية المحتملة، والأثر المترتب على حقوق أصحًاب البيًانًات الشخصية، ومبادئ النظام، ومدى ضرورة المعالجة وتوافقها مع الغرض، والوضع الحالي للتقنية، كما تحدد المخاطر المحتملة، مثل:الوصول غير المصرح به إلى البيانات الشخصية، والفترات الطويلة للاحتفاظ بالبيانات الشخصية بشكل غير مبرر.
بناء على المخاطر المحددة، ُتعد شركة البرمجيات مجموعة من الإجــراءات للحد من المخاطر المكتشفة وتضمن تطوير التقنية بما يتماشى مع مبدأ الخصوصية بالتصميم وبشكل افتراضي، وقد يشمل ذلك تنفيذ آليات التشفير، واعتماد ضوابط لحماية البيانات الشخصية وآليات الموافقة، وإجراء تقويم أمني منتظم، وتقديم إشعارات خصوصية واضحة وتتسم بالشفافية.
04 مشاركة الجهات المعنية:
تشارك شركة البرمجيات الجهات المعنية، مثل خبراء حماية البيانات الشخصية وتطوير البرمجيات لجمع الملاحظات والتأكد من أن عملية تقويم الأثر تساعد الشركة فعلاً على التعامل مع المخاطر على النحو المطلوب، كمًا تأخذ الشركة في الاعتبار وجــهــات نظر أصــحــاب البيانات الشخصية الــذيــن تتم معالجة بياناتهم والفرق الداخلية المسؤولة عن تطوير التقنية وإدارتها والشركاء الخارجيين المشاركين في معالجة البيانات الشخصية.
05 التوثيق واتخاذ القرارات:
تتولى شركة البرمجيات توثيق تقويم الأثر، بما في ذلك النتائج والتوصيات والقرارات المتخذة، بناء على التقويم، كما تضمن أن يكون تقرير تقويم الأثر متاحا للمراجعة من قبل الجهة المختصة أو الجهات الأخرى ذوات العلاقة.
06 المراجعة والتعديل:
على شركة البرمجيات إدراك أن عملية تقويم الأثر ليست نشاطا ينفذ لمرة واحــدة، بل تلتزم الشركة بمراجعته وتحديثه بشكل دوري أو عند إجراء تغييرات كبيرة على التقنية، و ُيعد هذا النشاط بمثابة عملية متابعة وتقويم وتحسين مستمر لحماية البيانات الشخصية بما يتماشى مع نتائج التقويم وتوصياته.
القسم 05
الخصوصية بالتصميم وبشكل افتراضي
تنويه:
يعد التعامل مع اعتبارات حماية البيانات الشخصية في المراحل المبكرة من عملية تطوير أنظمة المعلومات أكثر كفاءة وفاعلية من حيث التكلفة مقارنة بتنفيذ تدابير لحماية البيانات الشخصية في المراحل اللاحقة.
مبدأ الخصوصية بالتصميم وبشكل افتراضي في جميع مراحل دورة حياة معالجة البيانات الشخصية في الجهة، ليس متطلبا في النظام واللوائح بشكل مباشر ولكن يوصى بتطبيقه في جميع مراحل دورة الحياة لمعالجة البيانات الشخصية للالتزام بالنظام.
و ُيقصد بتطبيق مبدأ الخصوصية بالتصميم وبشكل افتراضي مـراعـاة اعـتـبـارات حماية البيانات الشخصية فـي كـل مرحلة من مراحل عمليات ومنتجات وخدمات الجهة، ويشمل ذلك التعامل بشكل استباقي مع مخاطر معالجة البيانات الشخصية منذ البداية واعتماد ممارسات داعمة و ُمعززة لحماية البيانات الشخصية، إذ يساهم هـذا النهج في بناء الثقة بين الجهة والمستخدمين ويضمن الالـتــزام المستمر بنظام حماية البيانات الشخصية.
مثال: تطبيق مبدأ الخصوصية بالتصميم وبشكل افتراضي
يعمل مركز طبي كبير في المملكة على تطوير بوابة إلكترونية للمرضى تتيح الوصول إلى السجلات الطبية وجدولة مواعيد المرضى بسهولة و ُيسر، كما يسعى المركز إلى الاستفادة من هذه البوابة لتكون بمثابة منصة بحثية للأطباء لإجراء البحوث حول الأمراض التي تؤثر في سكان المملكة، قرر المركز الطبي تطبيق مبدأ الخصوصية بالتصميم وبشكل افتراضي لتطوير بوابة المرضى.
وفيما يلي الخطوات التي يتخذها المركز بهذا الخصوص:
ضوابط الوصول إلى البيانات الشخصية:
يطبق المركز الطبي ضوابط صارمة للوصول أثناء تطوير بوابة المرضى إلى ضمان السماح لأخصائي الرعاية الصحية المصرح لهم فقط بالوصول إلى سجلات المرضى، ويشمل ذلك تصاريح الوصول القائمة على الادوار والمصادقة المتعددة العوامل.
01 الخصوصية في واجهة المستخدم:
يصمم المركز الطبي بوابة المريض مع الأخذ الاعتبار خصوصية أصحاب البيانات الشخصية وحماية بياناتهم، لضمان عدم عرض البيانات الصحية الحساسة علنا أو عرضها على المستخدمين غير المصرح لهم، وتكشف البوابة عن البيانات الصحية ذوات الصلة بالمرضى عند تسجيل دخولهم بشكل آمن.
02 إدارة الموافقة:
ينفذ المركز الطبي نظام إدارة الموافقة وفقًا لنظام حماية البيانات الشخصية، إذ يتم إبلاغ المرضى بشكل صريح بأنشطة معالجة البيانات ويطلب موافقتهم قبل جمع بياناتهم الشخصية أو معالجتها.
03 إخفاء هوية أصحاب البيانات الشخصية:
يعمل المركز الطبي على إخـفـاء هوية المرضى قبل معالجة بياناتهم للأغراض البحثية، ويتيح ذلك للمركز وللأطباء الآخرين إجـــراء أبـحـاث قيمة حــول صحة الأفـــراد مـع الحفاظ على سرية البيانات الشخصية للمرضى.
04 تشفير البيانات:
يضمن المركز الطبي تشفير جميع البيانات الشخصية، في حال عدم معالجتها أوعند نقلها بين بوابة المريض وأنظمة المركز، وتقلل هذه العملية من خطر الوصول غير المصرح به أثناء ذلك، كما سيقوم المركز باستخدام ضوابط الترميز عند الاقتضاء.
05 عمليات التدقيق الدورية لحماية البيانات الشخصية:
يجري المركز الطبي عمليات تدقيق منتظمة لتقويم الالتزام المستمر بمتطلبًات نظًام حماية البيانات الشخصية وتحديد مجالات التحسين، وذلك طوال عملية تطوير بوابة المرضى وبعد إطالقها، وتساعد عمليات التدقيق هذه على تعامل المركز الطبي مع مخاطر معالجة البيانات الشخصية تعاملاً استباقيًا.
06 برامج تدريبية لحماية البيانات الشخصية:
يتم إعـــداد بــرامــج تدريبية لفريق تطوير الـبـوابـة والموظفين العاملين في المجال الطبي تختص بحماية البيانات الشخصية للاستزادة والإلمام بأهمية مبدأ الخصوصية بالتصميم وبشكل افتراضي، وكيفية التعامل مع بيانات المرضى وفقا لنظام حماية البيانات الشخصية.
القسم 06
وضع اجراءات التعامل مع حوادث تسرب البيانات الشخصية
تنويه:
يجب الإبلاغ عن حادثة تسرب البيانات الشخصية في الحالات التي تحددها اللوائح التنفيذية.
يـعـد تنفيذ إجـــــراءات الـتـعـامـل مــع حـــاالت تــســرب البيانات الشخصية في غاية األهمية لضمان االلتزام الفعال بأحكام نظام حماية البيانات الشخصية داخـل الجهة، إذ تمكن هذه اإلجراءات الجهة من االستجابة الفورية وبالشكل المناسب في حالة تسرب البيانات الشخصية وفقا للنظام، ومن خالل وجود إجراء واضح ومحدد للتعامل مع هذه الحالات، ويمكن للجهة الحد من آثارها بطريقة فعالة.
مثال: وضع إجراءات التعامل مع حوادث تسرب البيانات الشخصية
تدرك الجهات المالية التي تعالج البيانات الشخصية على نطاق واسع بما في ذلك البيانات االئتمانية للعمالء مدى الحاجة إلى وجود إجراء للتعامل مع حوادث تسرب البيانات الشخصية.
وفيما يلي الخطوات التي تتخذها الجهة في هذا الخصوص:
01 تشكيل فريق االستجابة للحوادث:
تشكل الجهة المالية فريقاً مختصًا للاستجابة لحوادث تسرب البيانات الشخصية على أن يشمل ممثلين من إدارات تقنية المعلومات والشؤون القانونية والالتزام والتواصل الخارجي، ويتولى الفريق مسؤولية إدارة أي حادثة تسرب بيانات شخصية مشتبه بها أو مؤكدة.
02 اكتشاف حوادث تسرب البيانات الشخصية وتقويمها:
ينفذ فريق الاستجابة للحوادث إجـــراءات المراقبة والاكتشاف لتحديد حوادث تسرب البيانات الشخصية المحتملة على الفور، وفي حالة الاشتباه في الحادثة، يتم إجراء تقويم لتحديد طبيعة الحادثة ونطًاقها.
03 تصنيف الحوادث:
بناء على التقويم، يعمل فريق الاستجابة للحوادث على تصنيف حــادثــة تـسـرب الـبـيـانـات الشخصية حسب مستوى جسامتها وخطورتها، ويأخذ في الاعتبار بعض العوامل مثل نوع البيانات المعرضة للخطر، وعدد أصحًاب البيانات الشخصية المتضررين، والضرر المحتمل الذي قد ينشأ من الحادثة.
04 إشعار الجهة المختصة:
إذا كــان مــن شــأن تلك الـحـادثـة الإضرار بالبيانات الشخصية أوصاحب البيانات الشخصية أو كانت تتعارض مع حقوقه أو مصالحه، فيجب على الجهة المالية إشعار الجهة المختصة، مع الأخذ الاعتبار تضمين جميع التفاصيل المطلوبة في الإشعار.
05 إشعار أصحاب البيانات الشخصية المتضررين:
يجب على الجهة المالية إشــعــار أصــحــاب البيانات الشخصية المتضررين إذا كان من شأن تلك الحادثة أن يترتب عليها ضرر على البيانات الشخصية للأفراد أو تتعارض مع حقوقهم أو مصالحهم.
06 التنسيق مع الجهات المختصة ذات العلاقة:
في حــال كانت حادثة تسرب البيانات الشخصية تنطوي على نشاط إجـرامـي، يتعاون فريق الاستجابة للحوادث مع الجهات المختصة ذات العلاقة للتحقيق في الحادثة واتخاذ الإجراءات النظامية اللازمة.
07 توثيق الحادثة وتحليلها:
يعمل فريق الاستجابة للحوادث على توثيق جميع الإجراءات المتخذة أثناء عملية الاستجابة لحادثة تسرب البيانات الشخصية، وانـطالقـًا من ذلك ُيجري الفريق تحليل ما بعد الحادثة لتحديد الـــدروس المستفادة وتنفيذ التحسينات اللازمة لمنع وقـوع حوادث مماثلة في المستقبل.قد تحتًاج الشركة إلى إرسًال إشعارات تسرب البيانات الشخصية إلى جهات تنظيمية أو هيئات أخرى حسب الاقتضاء.
كيف أتمكن مــن إشــعــار الجهة المختصة عــن حادثة تسرب بيانات شخصية؟
إذا وقــع لــدى الجهة تسرب لبيانات شخصية، فمن الضروري الالتزام بمتطلبات الإبلاغ عن حوادث تسرب البيانات الشخصية، إذ إن هذه المتطلبات محددة في نظام حماية البيانات الشخصية واللوائح التنفيذية، وتقدم الهيئة السعودية للبيانات والذكاء الاصطناعي خدمة للإبلاغ عن حــوادث تسرب البيانات الشخصية صممت لتقليل الوقت المستغرق في الإبلاغ، ويمكن إيجاد هذه الخدمة في منصة حوكمة البيانات الوطنية.
القسم 07
وضع تدابير تقنية وتنظيمية
تنويه:
لا تقتصر التدابير التقنية والتنظيمية على تدابير الأمنالسيبراني فحسب، بل تتجاوزها.
تعد التدابير التقنية والتنظيمية من العناصر الأساسية لأي برنامج فعال لحماية البيانات الشخصية، وتشمل التدابير التقنية ضــوابــط وتقنيات الأمـــن السيبراني، مثل تشفير البيانات وضــوابــط الــوصــول وأنـظـمـة كشف الــوصــول غير المشروع للبيانات الشخصية، كما تتضمن التدابير التنظيمية السياسات والإجــــراءات والبرامج التدريبية لضمان معرفة الموظفين والجهات المعنية لمسؤولياتهم واتـبـاع أفضل الممارسات لحماية البيانات الشخصية.
مثال: وضع تدابير تقنية وتنظيمية
عملت شركة تقنية تقدم خدمات الحوسبة السحابية وتقنية الـمـعـلـومـات لـعـديـد مــن الـــعـــملاء، بـمـا فــي ذلـــك الـشـركـات والهيئات الحكومية، على تنفيذ التدابير التقنية والتنظيمية التالية لحماية البيانات الشخصية التي تتم معالجتها.
وفيما يلي الخطوات التي اتخذتها الشركة في هذا الشأن:
01 تشفير البيانات:
تستخدم الشركة بروتوكولات تشفير البيانات لضمان حماية جميع البيانات الشخصية المخزنة والمنقولة من خلال خدماتها السحابية بشكل آمن.
02 ضوابط الوصول المعقول:
لتقييد الوصول إلـى البيانات للموظفين المصرح لهم فقط، تطبق الشركة ضوابط وصول مقيدة صارمة، إذ يُمنح الموظفون إمكانية الوصول بناء على أدوارهم ومسؤولياتهم، ويتم استخدام التحقق من الهوية المتعدد العوامل لتعزيز الأمن.
03 ضوابط الوصول المادي:
لتقييد الـوصـول االمادي إلـى مراكز البيانات الخاصة بالشركة، تستخدم الشركة كاميرات الدوائر التلفزيونية المغلقة، والإضاءة والإنذارات الأمنية، وسجلات الزوار، وإشارات الهوية ، وغيرها من التدابير لمادية الصارمة التي تحمي مراكز البيانات من الوصول غير المصرح به
04 ضوابط الإمن السيبراني:
تطبق الشركة ضوابط متقدمة للأمن السيبراني مثل جـدران الحماية وعمليات المسح الدورية للبرمجيات الضارة والحماية من الفيروسات لتقليل احتمالية حـوادث تسرب البيانات الشخصية وتحديد الثغرات.
05 تدريب الموظفين:
تـقـدم الـشـركـة بــرامــج تدريبية بشكل دوري لحماية البيانات الشخصية لجميع الموظفين، إذ يتم تثقيف الموظفين حول أفضل الممارسات للتعامل مع البيانات وسياسات حماية البياناتالشخصية والتهديدات الأمنية المحتملة.
06 خطة الإستجابة للحوادث:
في إطار مجموعة السياسات والإجــراءات الخاصة بالشركة، فقد وضعت الشركة خطة استجابة للحوادث لتحديد الإجراءات الواجب اتباعها في حالات حوادث تسرب البيانات الشخصية أو أي حادث أمني.
07 الحد الأدنى من البيانات الشخصية:
تطبق الشركة مبدأ الحد الأدنـى من معالجة البيانات الشخصية كجزء من إطار الخصوصية بالتصميم الخاص بها، إذ يتم جمع البيانات الشخصية اللازمة لتقديم خدماتها فقط وتحتفظ بها، مما يقلل من المخاطر المرتبطة بتخزين البيانات الشخصية بشكل مفرط.
08 إدارة الموردين:
تتعاون الشركة مع مورّدين خارجيين ومتعاقدين من الباطن لتنفيذ الخدمات السحابية التي تقدمها لعمالتها، ولضمان اللأتزام بحماية البيانات الشخصية على مستوى سلسلة الإمــداد، تضع الشركة متطلبات تعاقدية مقيدة فيما يتعلق بإجراءات معالجة البيانات الشخصية.
القسم 08
مشاركة البيانات الشخصية داخــــــــــــــــل المملكــــــــــــــــــة
تنويه:
يــجــب الالتزام بمتطلبات نــظــام حــمــايــة الـبـيـانـات الشخصية واعــتــمــاد التدابير التقنية والتنظيمية المناسبة عند المشاركة أو الإفــصــاح عــن البيانات الشخصية لجهة داخل المملكة.
ومـــن خلال مــشــاركــة الــبــيــانــات الشخصية داخـــل المملكة بمسؤولية وشفافية، يمكن للجهة ضمان خصوصية الأفراد وحماية بياناتهم ومعالجتها للأغراض المصرح بها فقط.
مثال: مشاركة البيانات الشخصية داخل المملكة
يــقــدم الـبـنــك الــــذي يـعـمـل داخــــل المملكة خــدمــات مالية مختلفة لعملائه، بما في ذلك إدارة الحسابات والقروض والإســتــثــمــارات، ويجمع البنك فــي إطـــار عملياته البيانات الشخصية لعملائه ويعالجها ويشاركها مع جهة المعالجة.
وفيما يلي الخطوات التي يتخذها البنك:
01 معالجة بيانات العملاء:
يجمع البنك البيانات الشخصية لعملائه ويعالجها، بما في ذلك الأسماء والعناوين والمعاملات المالية والمعاملات الإئتمانية السابقة، و وتُستخدم هذه البيانات الشخصية لتقديم الخدمات المصرفية وإدارة الحسابات وتقويم الجدارة الإئتمانية.
02 مشاركة البيانات الشخصية:
لتسهيل تقديم الخدمات للعملاء ولتشغيل الحساب البنكي للعميل يشارك البنك بيانات العميل الشخصية المحددة مع جهة المعالجة لإجراءات معرفة العميل.
03 المراجعة القانونية ومراجعة مدى اللأتزام:
قبل مشاركة البيانات الشخصية للعملاء مـع جهة المعالجة، يراجع البنك ممارسات مشاركة البيانات وفقا للنظام واللوائح التنفيذية للتأكد من وجود الضمانات اللازمة، على سبيل المثال:للتأكد من أن جهة المعالجة قد قدمت الضمانات اللازمة لحماية البيانات الشخصية، ووجود إجراءات متابعة بين الأطراف، وتحديد المسوغ النظامي للإفصاح عن البيانات، إلخ.
04 ضوابط الوصول:
يطبق البنك ضوابط وصول صارمة ضمن أنظمته الداخلية، إذ ُيمنح الموظفون حق الـوصـول فقط إلــى البيانات الشخصية اللازمة لأدوارهم، مما يقلل من مخاطر الوصول غير المصرح به ويضمن أمن البيانات الشخصية.
05 تدريب الموظفين:
لضمان الوعي بالتعامل النظامي مع البيانات الشخصية للعملاء، يقدم البنك برامج تدريبية لحماية البيانات الشخصية والإفصاح عنها.
06 التواصل بشفافية:
يـتـم تضمين مـعـلـومـات حـــول مــمــارســات مــشــاركــة البيانات الشخصية في إشعار الخصوصية، كما يتم إبلاغ العملاء بالغرض من مشاركة البيانات الشخصية والإدارات المعنية والضمانات لمتخذة لحماية بياناتهم الشخصية.
07 المراقبة المستمرة:
يراقب البنك عمليات مشاركة البيانات الخاصة به بانتظام لضمان فاعلية ضوابط الوصول واستخدام البيانات الشخصية للأغراض الموثقة فقط، كما تتم معالجة أي محاولات وصول غير مصرح بها أو أنشطة مشبوهة.
08 إتلاف أو استعادة البيانات الشخصية:
بمجرد الإنتهاء من المعالجة من قبل جهة المعالجة، يتم إتلاف البيانات الشخصية أو تمكين البنك من استعادتها.
القسم 09
نقل البيانات الشخصية خـــــــــــــارج المملكــــــــــــة
تنويه:
تخضع عمليات نقل البيانات الشخصية خارج المملكة لمتطلبات إضـافـيـة بموجب نـظـام حماية البياناتالشخصية واللوائح التنفيذية.
تضمن عملية نقل البيانات الشخصية خــارج المملكة نقلاً للبيانات الشخصية خارج الحدود الجغرافية للمملكة، وغالباً ما تكون هذه العملية ضرورية للعمليات التجارية أو لتقديم الخدمات على نطاق عالمي ( مثلاً::أثناء استخدام حلول التخزين الـسـحـابـي)، وتخضع هــذه الترتيبات للمتطلبات المحددة المنصوص عليها في نظام حماية البيانات الشخصية واللوائح التنفيذية.
مثال: نقل البيانات الشخصية خارج المملكة
تقدم شركة تقنية دولية-غير مشمولة بقائمة دول الإعتماد للمملكة-حلولاً للبرمجيات وخــدمــات تقنية المعلومات للعملاء في جميع أنحاء العالم، بما في ذلك المملكة، وفي إطار عملياتها حول العالم، تعمل الشركة على جمع البيانات الشخصية من العملاء والموظفين والشركاء ومعالجتها.
وفيما يلي الخطوات التي تتخذها الشركة:
01 التواصل مع العملاء الدوليين:
تبرم الشركة عقداً مع عميل في المملكة لتقديم خدمات تطوير برمجيات مخصصة، ويقدم العميل بيانات موظفيه الشخصية لفتح الحساب وإدارة المشروع.
02 ضرورة نقل البيانات الشخصية:
لتقديم الخدمات لعملائها بكفاءة، تحتاج الشركة إلى مشاركة بعض البيانات الشخصية لمواطنين سعوديين، بما في ذلك أســمــاء الموظفين ومـعـلـومـات الاتــصــال، مــع فـريـق التطوير الموجودة في الدولة غير المعتمدة، ولذلك قررت الشركة نقل البيانات الشخصية خارج المملكة.
03 ضرورة نقل البيانات الشخصية:
نظراً إلى أن النقل إلى دولة غير معتمدة، فعلى الشركة مراجعة المادة التاسعة والعشرين من النظام ووسائل النقل والضمانات المذكورة في لائحة نقل البيانات الشخصية خارج المملكة لضمان
الآتي، (على سبيل المثال):
◄ما إذا كان النقل سيؤثر في الأمن الوطني أو مصالح المملكة الحيوية.
◄ما إذا كان نقل البيانات الشخصية خـارج المملكة سيقتصر على الحد الأدنى االلازم لتحقيق الغرض من النقل.
◄مـا إذا كــان قـد تـم الأخــذ بالاعتبار حقوق أصـحـاب البيانات الشخصية.
◄مــا إذا كــان قــد تــم تحديد غــرض نقل البيانات الشخصية وتقييده.
◄وجــود الضمانات المناسبة، على سبيل الـمـثـال:القواعد المشتركة الملزمة والبنود التعاقدية القياسية وغيرها.
◄ما إذا كان قد تم إجراء تقويم أثر على عملية النقل.
04 إشعارات الخصوصية والشفافية:
تعمل الشركة وعميلها على تحديث إشعارات الخصوصية الخاصة بها لإعلام الجهات المعنية ذوات الصلة بنقل البيانات الشخصية خـــارج المملكة، بما فــي ذلــك الأســـس والـضـمـانـات النظامية المعمول بها.
05 الإحتفاظ بالبيانات الشخصية:
بمجرد اكتمال الاتفاق، تبادر الشركة بإتلاف أي بيانات شخصية يتم نقلها بشكل آمن، وفقاً لشروط اتفاقية مشاركة البيانات.
1 يرجى ملاحظة ان هذة الخطه مختصرة, يجب اجراء مراجعة تفصيلية لضمان الامتثال لمتطلبات نقل البيانات الشخصية خارج المملكة
القسم 10
مراجعة ومتابعة الالتزام
تنويه:
تعد عملية مراقبة ومتابعة الالتزام عملية مستمرة يجب إجراؤها بانتظام لضمان الالتزام المستمر بنظام حماية البيانات الشخصية.
تعد عملية مراقبة ومتابعة الالتزام، من الجوانب الحيوية لتحقيق الالتزام الفعال لأحكام نظام حماية البيانات الشخصية داخـل الجهة، وتتضمن إجــراء تقييم مستمر لضمان الالتزام بنظام حماية البيانات الشخصية وسياسات حماية البيانات الشخصية الداخلية، إذ تساعد المتابعة المنتظمة في الكشف عــن مخاطر معالجة الـبـيـانـات الشخصية المحتملة ونقاط الضعف في الممارسات، وتوفر عمليات التدقيق تقييماً شاملاً لبرنامج الالتزام بأحكام حماية البيانات الشخصية في الجهة، ومـن خلال المراقبة والمتابعة بشكل مستمر يمكن للجهة معالجة أي مشاكل بشكل استباقي وإجراء التحسينات اللازمة وإثبات الالتزام بنظام حماية البيانات الشخصية.
مثال: مراقبة ومتابعة الإتزام
يتعامل أحــد الفنادق الفاخرة الشهيرة مع بيانات شخصية على نطاق واســع لنزلائه، بما في ذلـك بياناتهم الشخصية وتفاصيل الدفع ومفضلاتهم، وللحفاظ على مستوى عالٍ لحماية البيانات الشخصية والالتزام بالنظام، يطبّق الفندق برنامجاً متقدماً وصارماً للمراقبة ومتابعة الالتزام.
وفيما يلي الخطوات التي يتخذها الفندق:
01 المراقبة المستمرة:
يجري الفندق عمليات مراقبة داخلية منتظمة لضمان اتباع موظفيه لسياسات وإجراءات حماية البيانات الشخصية المعمول بها، كما يتولى فريق الإدارة مراجعة ضوابط الوصول وممارسات التعامل مع البيانات الشخصية بشكل دوري لتحديد أي مشاكل محتملة فيما يتعلق بالالتزام.
02 المراقبة التنظيمية:
تعمل الإدارة القانونية فـي الفندق على متابعة أي تحديث يصدر عن الجهات التنظيمية المعنية بحماية البيانات الشخصية وتبقى على اطلاع بأحكام الإتفاقيات الدولية المتعلقة بحماية البيانات الشخصية
03 مراقبة حوادث تسرب البيانات الشخصية:
يستخدم الفندق نظاماً لمراقبة أي حــوادث لتسرب البيانات الشخصية، إذ ين ينبّه نـظـام المراقبة مــســؤول حماية البيانات الشخصية وفـريـق الإستجابة لتسرب البيانات الشحصية في الوقت الفعلي في حال اكتشاف أي أنشطة غير اعتيادية.
04 عمليات المراجعة الخارجية:
يتعاقد الفندق مع مراجع خارجي لإجراء عمليات مراجعة منتظمة لبرنامج الالتزام بأحكام نظام حماية البيانات الشخصية، وفي هذا الصدد يعمل المدقق الخارجي على تقويم فاعلية ضوابط حماية البيانات الشخصية وممارسات معالجة هذه البيانات والالتزام بمتطلبات نظام حماية البيانات الشخصية.
05 سجلات الوصول إلى بيانات النزلاء:
يحتفظ الفندق بسجلات الوصول لتتبع وصول الموظفين إلى بيانات النزلاء، ويساعد ذلك على مراقبة وكشف أي وصول غير مصرح به أو حوادث محتملة لتسرب البيانات الشخصية.
اختبار الإستجابة للحوادث:لضمان الجاهزية في حوادث تسرب البيانات الشخصية، يُجري الفندق اختبارات الإستجابة للحوادث بشكل دوري، ويتضمن ذلــك محاكاة سيناريوهات مختلفة لتقويم مدى فاعلية إجراءات الاستجابة المتبعة في الفندق.
06 إدارة المورّدين:
نظراً إلى طبيعة عمل الفندق في قطاع الضيافة، فيعتمد على عديد من المورّدين والشركاء لتقديم الخدمات، وانطلاقاً من ذلك، يطبق الفندق برنامج إدارة الموردين الذي يتضمن النص على متطلبات حماية البيانات الشخصية في العقود و ويُجريعمليات تدقيق دورية للموردين فيما يتعلق بمعالجتهم للبيانات الشخصية لضمان التزامهم.
مــا هــي الـمـصـادر المتاحة للجهات لضمان الالتزام المستمر؟
تقدم الهيئة السعودية للبيانات والذكاء االصطناعي خدمة للتقييم الـذاتـي للالتزام، وهــي أداة مساعدة للجهات لمعرفة مدى التزامهم بأحكام النظام، تتضمن المجالات الأساسية لبرنامج الالتزام بأحكام نظام حماية البيانات الشخصية، ويمكن الاستفادة من الخدمة عن طريق زيارة خدمة التقييم الذاتي للالتزام في منصة حوكمة البيانات الوطنية.