‏برنامج مشاهدة محتويات الانترنت‏

المركز المعرفي

نظام حماية البيانات الشخصية

المادة الأولى:

لغرض تطبيق هذا النظام، يُقصد بالألفاظ والعبارات الآتية -أينما وردت في هذا النظام- المعاني المبينة أمام كل منها، ما لم يقتضِ السياق غير ذلك: 

1- النظام: نظام حماية البيانات الشخصية.

2- اللوائح: اللوائح التنفيذية للنظام.

3- الجهة المختصة: الجهة التي يصدر بتحديدها قرار من مجلس الوزراء.

4- البيانات الشخصية: كل بيان -مهما كان مصدره أو شكله- من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعل التعرف عليه ممكنًا بصفة مباشرة أو غير مباشرة، ومن ذلك: الاسم، ورقم الهوية الشخصية، والعناوين، وأرقام التواصل، وأرقام الرُّخص والسجلات والممتلكات الشخصية، وأرقام الحسابات البنكية والبطاقات الائتمانية، وصور الفرد الثابتة أو المتحركة، وغير ذلك من البيانات ذات الطابع الشخصي.

5- المُعالجة: أي عملية تُجرى على البيانات الشخصية بأي وسيلة كانت يدوية أو آلية، ومن ذلك: عمليات الجمع، والتسجيل، والحفظ، والفهرسة، والترتيب، والتنسيق، والتخزين، والتعديل، والتحديث، والدمج، والاسترجاع، والاستعمال، والإفصاح، والنقل، والنشر، والمشاركة في البيانات أو الربط البيني، والحجب، والمسح، والإتلاف.

6- الجمع: حصول جهة التحكم على البيانات الشخصية وفقاً لأحكام النظام، سواء من صاحبها مُباشرةً أو ممن يُمثله أو ممن له الولاية الشرعية عليه أو من طرف آخر.

7- الإتلاف: أي إجراء يتم على البيانات الشخصية ويجعل من المتعذر الاطلاع عليها أو استعادتها مرة أخرى أو معرفة صاحبها على وجه التحديد.

8- الإفصاح: تمكين أي شخص -عدا جهة التحكم أو جهة المعالجة بحسب الأحوال- من الحصول على البيانات الشخصية أو استعمالها أو الاطلاع عليها بأي وسيلة ولأي غرض. 

9- النقل: نقل البيانات الشخصية من مكان إلى آخر لمعالجتها.

10- النشر: بث أي من البيانـات الشخصية عبـر وسيلـة نشـر مقـروءة أو مسموعـة أو مرئية، أو إتاحتها.

11- البيانات الحساسة: كل بيان شخصي يتعلق بأصل الفرد العرقي أو أصله الإثني، أو معتقده الديني أو الفكري أو السياسي. وكذلك البيانات الأمنية والجنائية، أو بيانات السمات الحيوية التي تحدد الهوية، أو البيانات الوراثية، أو البيانات الصحية، والبيانات التي تدل على أن الفرد مجهول الأبوين أو أحدهما.  

12- البيانات الوراثية: كل بيان شخصي يتعلق بالخصائص الوراثية أو المكتسبة لشخص طبيعي، يحدد بشكل فريد السمات الفيسيولوجية أو الصحية لذلك الشخص، ويستخلص من تحليل عينة بيولوجية للشخص كتحليل الأحماض النووية أو تحليل أي عينة أخرى تؤدي إلى استخلاص بيانات وراثية.

13- البيانات الصحية: كل بيان شخصي يتعلق بحالة الفرد الصحية، سواء الجسدية أو العقلية أو النفسية أو المتعلقة بالخدمات الصحية الخاصة به.

14- الخدمات الصحية: الخدمات المتعلقة بصحة الفرد، ومن ذلك الخدمات الوقائية والعلاجية والتأهيلية والتنويم وتوفير الدواء.

15- البيانات الائتمانية: كل بيان شخصي يتعلق بطلب الفرد الحصول على تمويل، أو حصوله عليه، سواء لغرض شخصي أو عائلي، من جهة تُمارس التمويل، بما في ذلك أي بيان يتعلق بقدرته على الحصول على ائتمان أو بقدرته على الوفاء به أو بتاريخه الائتماني.

16- صاحب البيانات الشخصية: الفرد الذي تتعلق به البيانات الشخصية .

17- الجهة العامة: أي وزارة أو مصلحة أو مؤسسة عامة أو هيئة عامة، أو أي جهة عامة مستقلة في المملكة، أو أي من الجهات التابعة لها.

18- جهة التحكم: أي جهة عامة، وأي شخصية ذات صفة طبيعية أو اعتبارية خاصة؛ تحدد الغرض من معالجة البيانات الشخصية وكيفية ذلك؛ سواء أباشرت معالجة البيانات بوساطتها أم بوساطة جهة المعالجة. 

19- جهة المعالجة: أي جهة عامة، وأي شخصية ذات صفة طبيعية أو اعتبارية خاصة؛ تعالج البيانات الشخصية لمصلحة جهة التحكم ونيابةً عنها.

المادة الثانية:

1- يُطبق النظام على أي عملية مُعالجة لبيانات شخصية تتعلق بالأفراد تتم في المملكة بأي وسيلة كانت، بما في ذلك معالجة البيانات الشخصية المتعلقة بالأفراد المقيمين في المملكة بأي وسيلة كانت من أي جهة خارج المملكة. ويشمل ذلك بيانات المتوفى إذا كانت ستؤدي إلى معرفته أو معرفة أحد أفراد أُسرته على وجه التحديد.

2- يُستثنى من نطاق تطبيق النظام، قيام الفرد بمعالجة البيانات الشخصية لأغراض لا تتجاوز الاستخدام الشخصي أو العائلي، ما دام أنه لم ينشرها أو يفصح عنها للغير. وتحدد اللوائح المقصود بالاستخدام الشخصي والعائلي المنصوص عليهما في هذه الفقرة.

المادة الثالثة:

لا تخل الأحكام والإجراءات المنصوص عليها في النظام بأي حكم يمنح حقًّا لصاحب البيانات الشخصية أو يقرر حماية أفضل لها، ينص عليه نظام آخر أو اتفاقية دولية تكون المملكة طرفاً فيها.  

المادة الرابعة:

يكون لصاحب البيانات الشخصية -وفقاً للأحكام الواردة في النظام وما تحدده اللوائح- الحقوق الآتية:

1- الحق في العلم، ويشمل ذلك إحاطته علماً بالمسوغ النظامي لجمع بياناته الشخصية والغرض من جمعها.

2- الحق في وصوله إلى بياناته الشخصية المتوافرة لدى جهة التحكم، وفق الضوابط والإجراءات التي تحددها اللوائح، ودون إخلال بما ورد في المادة (التاسعة) من النظام.

3- الحق في طلب الحصول على بياناته الشخصية المتوافرة لدى جهة التحكم بصيغة مقروءة وواضحة، وفق الضوابط والإجراءات التي تحددها اللوائح.

4- الحق في طلب تصحيح بياناته الشخصية المتوافرة لدى جهة التحكم، أو إتمامها، أو تحديثها.

5- الحق في طلب إتلاف بياناته الشخصية المتوافرة لدى جهة التحكم مما انتهت الحاجة إليه منها، وذلك دون إخلال بما تقضي به المادة (الثامنة عشرة) من النظام.

المادة الخامسة:

1- فيما عدا الأحوال المنصوص عليها في النظام، لا تجوز معالجة البيانات الشخصية أو تغيير الغرض من معالجتها إلاَّ بعد موافقة صاحبها. وتُبين اللوائح شروط الموافقة، والأحوال التي يجب فيها أن تكون الموافقة صريحة، والشروط والأحكام المتعلقة بالحصول على الموافقة من الولي الشرعي إذا كان صاحب البيانات الشخصية ناقص أو عديم الأهلية.

2- في جميع الأحوال، يجوز لصاحب البيانات الشخصية الرجوع عن الموافقة المشار إليها في الفقرة (1) من هذه المادة في أي وقت، وتحدد اللوائح الضوابط اللازمة لذلك.

المادة السادسة:

لا تخضع معالجة البيانات الشخصية للموافقة المشار إليها في الفقرة (1) من المادة (الخامسة) من النظام، في الأحوال الآتية:

1-    عندما تُحقق المعالجة مصلحة متحققة لصاحب البيانات وكان الاتصال به متعذراً أو كان من الصعب تحقيق ذلك.

2-    عندما تكون المعالجة بمقتضى نظام آخر أو تنفيذاً لاتفاق سابق يكون صاحب البيانات الشخصية طرفاً فيه.

3-    إذا كانت جهة التحكم جهة عامة، وكانت تلك المعالجة مطلوبة لأغراض أمنية أو لاستيفاء مُتطلبات قضائية.

4- عندما تكون المعالجة ضرورية لتحقيق مصالح مشروعة لجهة التحكم، ما لم يخل ذلك بحقوق صاحب البيانات الشخصية أو يتعارض مع مصالحه ولم تكن تلك البيانات بيانات حساسة. وتبيّن اللوائح الأحكام والضوابط المتعلقة بذلك.

المادة السابعة:

لا يجوز أن تكون الموافقة المشار إليها في الفقرة (1) من المادة (الخامسة) من النظام شرطاً لإسداء خدمة أو تقديم منفعة، ما لم تكن الخدمة أو المنفعة ذات علاقة بمعالجة البيانات الشخصية التي صدرت الموافقة عليها.

المادة الثامنة:

مع مراعاة ما ينص عليه النظام واللوائح في شأن الإفصاح عن البيانات الشخصية، على جهة التحكم عند اختيارها جهة المعالجة أن تلتزم باختيار الجهة التي توفر الضمانات اللازمة لتنفيذ أحكام النظام واللوائح، وعليها التحقق من التزام تلك الجهة بأحكام النظام واللوائح، ولا يخل ذلك بمسؤولياتها تجاه صاحب البيانات الشخصية أو الجهة المختصة بحسب الأحوال. وتحدد اللوائح الأحكام اللازمة لذلك، على أن تشتمل على الأحكام المتعلقة بأي تعاقدات لاحقة تقوم بها جهة المعالجة.

المادة التاسعة:

1- يجوز لجهة التحكم تحديد مدد لممارسة حق الوصول إلى البيانات الشخصية المقرر في الفقرة (2) من المادة (الرابعة) من النظام؛ وفق ما تحدده اللوائح. ويجوز كذلك لجهة التحكم تقييد هذا الحق في الأحوال الآتية:

أ- إذا كان ذلك ضروريًّا لحماية صاحب البيانات الشخصية أو غيره من أي ضرر؛ وفق الأحكام التي تحددها اللوائح.

ب- إذا كانت جهة التحكم جهة عامة، وكان التقييد مطلوباً لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء مُتطلبات قضائية.

2- يجب على جهة التحكم ألا تُمكِّن صاحب البيانات الشخصية من الوصول إليها متى تحقق أيٌ من الأحوال المنصوص عليها في الفقرات (1) و(2) و(3) و(4) و(5) و(6) من المادة (السادسة عشرة) من النظام.

المادة العاشرة:

لا يجوز لجهة التحكم جمع البيانات الشخصية إلا من صاحبها مباشرةً، ولا تجوز كذلك مُعالجة تلك البيانات إلا لتحقيق الغرض الذي جُمعت من أجله. ومع ذلك، يجوز لجهة التحكم جمع البيانات الشخصية من غير صاحبها مباشرةً، أو مُعالجتها لغرض آخر غير الذي جمعت من أجله، وذلك في الأحوال الآتية:

1- إذا وافق صاحب البيانات الشخصية على ذلك، وفقاً لأحكام النظام.

2- إذا كانت البيانات الشخصية متاحة للعموم، أو جرى جمعها من مصدر متاح للعموم.

3- إذا كانت جهة التحكم جهة عامة، وكان جمع البيانات الشخصية أو معالجتها؛ مطلوباً لأغراض المصلحة العامة أو لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء مُتطلبات قضائية.

4- إذا كان التقيد بهذا الحظر قد يُلحق ضرراً بصاحب البيانات الشخصية أو يؤثر على مصالحه الحيوية.

5- إذا كان جمع البيانات الشخصية أو معالجتها ضروريًّا لحماية الصحة العامة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم.

6- إذا كانت البيانات الشخصية لن تُسجل أو تُحفظ في صيغة تجعل من الممكن تحديد هوية صاحبها ومعرفته بصورة مباشرة أو غير مباشرة.

7- إذا كان جمع البيانات أو معالجتها ضروريًّا لتحقيق مصالح مشروعة لجهة التحكم، ما لم يخل ذلك بحقوق صاحب البيانات الشخصية أو يتعارض مع مصالحه ولم تكن تلك البيانات بيانات حساسة.

وتبين اللوائح الأحكام والضوابط والإجراءات المتعلقة بما ورد في الفقرات من (2) إلى (7) من هذه المادة.

المادة الحادية عشرة:

1- يجب أن يكون الغرض من جمع البيانات الشخصية ذا علاقة مُباشرة بأغراض جهة التحكم، وألاَّ يتعارض مع أي حكم مقرر نظاماً.

2- يجب ألاَّ تتعارض طُرق جمع البيانات الشخصية ووسائلها مع أي حكم مقرر نظاماً، وأن تكون ملائمة لظروف صاحبها، ومباشرة وواضحة وآمنة، وخالية من أساليب الخداع أو التضليل أو الابتزاز.

3- يجب أن يكون مُحتوى البيانات الشخصية ملائماً ومقصوراً على الحد الأدنى اللازم لتحقيق الغرض من جمعها، مع تجنب شموله على ما يؤدي إلى معرفة صاحبها بصورة محددة متى تحقق الغرض من جمعها. وتحدد اللوائح الضوابط اللازمة لذلك.

4- إذا اتضح أن البيانات الشخصية التي تجمع لم تعد ضرورية لتحقيق الغرض من جمعها، فعلى جهة التحكم التوقف عن جمعها، وإتلاف ما سبق أن جمعته منها دون تأخير.

المادة الثانية عشرة:

على جهة التحكم أن تعتمد سياسة للخصوصية، وأن تجعلها متاحة لأصحاب البيانات الشخصية ليطلعوا عليها عند جمع بياناتهم. على أن تشتمل تلك السياسة على تحديد الغرض من جمعها، ومُحتوى البيانات الشخصية المطلوب جمعها، وطريقة جمعها، ووسيلة حفظها، وكيفية معالجتها، وكيفية إتلافها، وحقوق صاحبها فيما يتعلق بها، وكيفية ممارسة هذه الحقوق.

المادة الثالثة عشرة:

على جهة التحكم، في حالة جمع البيانات الشخصية من صاحبها مباشرةً، اتخاذ الوسائل الكافية لإحاطته علماً بالعناصر الآتية عند البدء في جمع بياناته:

1- المسوغ النظامي لجمع بياناته الشخصية.

2- الغرض من جمع بياناته الشخصية، وما إذا كان جمعها كلها أو بعضها إلزاميًّا أم اختياريًّا، وإحاطته كذلك بأن بياناته لن تعالج لاحقاً بصورة تتنافى مع الغرض من جمعها أو في غير الأحوال المنصوص عليها في المادة (العاشرة) من النظام.

3- هوية من يجمع البيانات الشخصية وعنوان مرجعه عند الاقتضاء، ما لم يكن جمعها لأغراض أمنية.

4- الجهة أو الجهات التي سَيُجرى إفصاح البيانات الشخصية إليها، وصفتها، وما إذا كانت البيانات الشخصية ستنقل أو سيفصح عنها أو ستعالج خارج المملكة.

5- الآثار والأخطار المحتملة التي تترتب على عدم إتمام إجراء جمع البيانات الشخصية.

6- حقوقه المنصوص عليها في المادة (الرابعة) من النظام.

7- العناصر الأخرى التي تحددها اللوائح بحسب طبيعة النشاط الذي تمارسه جهة التحكم.

المادة الرابعة عشرة:

لا يجوز لجهة التحكم أن تعالج البيانات الشخصية دون اتخاذ خطوات كافية للتحقق من دقتها واكتمالها وحداثتها وارتباطها بالغرض الذي جُمعت من أجله وفقاً لأحكام النظام.

المادة الخامسة عشرة:

لا يجوز لجهة التحكم الإفصاح عن البيانات الشخصية إلا في الأحوال الآتية:

1- إذا وافق صاحب البيانات الشخصية على الإفصاح وفقاً لأحكام النظام.

2- إذا كانت البيانات الشخصية قد جرى جمعها من مصدر متاح للعموم.

3- إذا كانت الجهة التي تطلب الإفصاح جهة عامة، وكان ذلك لأغراض المصلحة العامة أو لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء مُتطلبات قضائية.

4- إذا كان الإفصاح ضروريًّا لحماية الصحة العامة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم.

5- إذا كان الإفصاح سيقتصر على معالجتها لاحقاً بطريقة لا تؤدي إلى معرفة هوية صاحب البيانات الشخصية أو أي فرد آخر على وجه التحديد.

6- إذا كان الإفصاح ضروريًّا لتحقيق مصالح مشروعة لجهة التحكم، ما لم يخل ذلك بحقوق صاحب البيانات الشخصية أو يتعارض مع مصالحه ولم تكن تلك البيانات بيانات حساسة.

وتبين اللوائح الأحكام والضوابط والإجراءات المتعلقة بما ورد في الفقرات من (2) إلى (6) من هذه المادة.

المادة السادسة عشرة:

على جهة التحكم ألاّ تفصح عن البيانات الشخصية في الأحوال المنصوص عليها في الفقرات (1) و(2) و(5) و(6) من المادة (الخامسة عشرة) من النظام، متى اتصف الإفصاح بأيٍّ مما يأتي:

1- أنه يمثل خطراً على الأمن، أو يسيء إلى سمعة المملكة، أو يتعارض مع مصالحها.

2- أنه يؤثر على علاقات المملكة مع دولة أخرى.

3- أنه يمنع من كشف جريمة أو يمس حقوق متهم في الحصول على محاكمة عادلة أو يؤثر في سلامة إجراءات جنائية قائمة.

4- أنه يعرض سلامة فرد أو أفراد للخطر.

5- أنه يترتب عليه انتهاك خصوصية فرد آخر غير صاحب البيانات الشخصية وفق ما تحدده اللوائح.

6- أنه يتعارض مع مصلحة ناقص أو عديم للأهلية.

7- أنه يخل بالتزامات مهنية مقررة نظاماً.

8- أنه ينطوي عليه إخلال بالتزام أو إجراء أو حكم قضائي.

9- أنه يكشف عن مصدر سري لمعلومات تحتم المصلحة العامة عدم الكشف عنه.

المادة السابعة عشرة:

1- إذا جرى تصحيح خطأ أو إكمال نقص أو إجراء تحديث في البيانات الشخصية، فعلى جهة التحكم أن تُشعر أي جهة أخرى انتقلت إليها تلك البيانات بأي تعديل يطرأ عليها، وأن تتيح لها ذلك التعديل.

2- توضح اللوائح المدد الزمنية للتصحيح والتحديث، وأنواع التصحيح، والإجراءات المطلوبة لتفادي الآثار المترتبة على معالجة بيانات شخصية غير صحيحة أو غير دقيقة أو غير حديثة.    

المادة الثامنة عشرة:

1- على جهة التحكم إتلاف البيانات الشخصية بعد انتهاء الغرض من جمعها دون تأخير. ومع ذلك، يجوز لها الاحتفاظ بتلك البيانات بعد انتهاء الغرض من جمعها إذا تمت إزالة كل ما يؤدي إلى معرفة صاحبها على وجه التحديد وفق الضوابط التي تحددها اللوائح.

2- على جهة التحكم الاحتفاظ بالبيانات الشخصية حتى بعد انتهاء الغرض من جمعها في الحالتين الآتيتين:

أ- إذا توافر مسوغ نظامي يوجب الاحتفاظ بها مدة مُحددة، وفي هذه الحالة يُجرى إتلافها بعد انتهاء هذه المدة أو انتهاء الغرض من جمعها، أيهما أطول.

ب- إذا كانت البيانات الشخصية متصلة اتصالاً وثيقاً بقضية منظورة أمام جهة قضائية وكان الاحتفاظ بها مطلوباً لهذا الغرض، وفي هذه الحالة يُجرى إتلافها بعد استكمال الإجراءات القضائية الخاصة بالقضية.

المادة التاسعة عشرة:

على جهة التحكم اتخاذ ما يلزم من إجراءات ووسائل تنظيمية وإدارية وتقنية تضمن المحافظة على البيانات الشخصية، بما في ذلك عند نقلها؛ وذلك وفقاً للأحكام والضوابط التي تحددها اللوائح.

المادة العشرون:

1- تشعر جهة التحكم الجهة المختصة عند علمها بحدوث تسرب لبيانات شخصية أو تلفها أو وصول غير مشروع إليها؛ وفقاً لما تحدده اللوائح.

2- تشعر جهة التحكم صاحب البيانات الشخصية إذا كان من شأن حدوث تسرب لبيانات شخصية أو تلفها أو وصول غير مشروع إليها أن يرتب ضرراً على بياناته أو يتعارض مع حقوقه أو مصالحه؛ وفقاً لما تحدده اللوائح.

المادة الحادية والعشرون:

على جهة التحكم الاستجابة لطلبات صاحب البيانات الشخصية المتعلقة بحقوقه المنصوص عليها في النظام خلال مدة محددة وعبر وسيلة مناسبة تبينهما اللوائح. 

المادة الثانية والعشرون:

على جهة التحكم إجراء تقويم للآثار المترتبة على معالجة البيانات الشخصية لأي منتج أو خدمة تقدم للعموم بحسب طبيعة النشاط الذي تمارسه جهة التحكم، وتحدد اللوائح الأحكام اللازمة لذلك.

المادة الثالثة والعشرون:

تُحدد اللوائح الضوابط والإجراءات الإضافية -بما لا يتعارض مع أحكام النظام- في شأن معالجة البيانات الصحية بما يكفل المحافظة على خصوصية أصحابها ويحمي حقوقهم الواردة في النظام، على أن تشتمل على ما يأتي:

1- قصر حق الاطلاع على البيانات الصحية -بما فيها الملفات الطبية- على أقل عدد ممكن من الموظفين أو العاملين وبالقدر اللازم فقط لتقديم الخدمات الصحية اللازمة.

2- تقييد إجراءات وعمليات مُعالجة البيانات الصحية إلى أقل قدر ممكن من الموظفين والعاملين لتقديم الخدمات الصحية أو توفير برامج التأمين الصحي.

المادة الرابعة والعشرون:

تُحدد اللوائح الضوابط والإجراءات الإضافية -بما لا يتعارض مع أحكام النظام- في شأن معالجة البيانات الائتمانية بما يكفل المحافظة على خصوصية أصحابها ويحمي حقوقهم الواردة في النظام ونظام المعلومات الائتمانية، على أن تشتمل على ما يأتي:

1- اتخاذ ما يلزم للتحقق من توافر الموافقة الصريحة من صاحب البيانات الشخصية على جمع هذه البيانات أو تغيير الغرض من جمعها أو الإفصاح عنها أو نشرها وفق أحكام النظام ونظام المعلومات الائتمانية.

2- وجوب إشعار صاحب البيانات الشخصية عند ورود طلب الإفصاح عن بياناته الائتمانية من أي جهة.

المادة الخامسة والعشرون:

فيما عدا المواد التوعوية التي ترسلها الجهات العامة، لا يجوز لجهة التحكم استخدام وسائل الاتصال الشخصية -بما فيها العناوين البريدية والإلكترونية- الخاصة بصاحب البيانات الشخصية لأجل إرسال مواد دعائية أو توعوية، إلاَّ وفقاً لما يأتي:

1- أن تؤخذ موافقة المتلقي المستهدف على إرسال هذه المواد إليه.

2- أن يوفر مرسل المواد آلية واضحة -بحسب ما تحدده اللوائح- تُمكن المتلقي المستهدف من إبداء رغبته في التوقف عن إرسالها إليه عند رغبته في ذلك.

وتحدد اللوائح الأحكام المتعلقة بالمواد الدعائية والتوعوية المشار إليها في هذه المادة، وشروط وأحوال موافقة المتلقي المستهدف على إرسال هذه المواد إليه.

المادة السادسة والعشرون:

فيما عدا البيانات الحساسة، تجوز معالجة البيانات الشخصية لأغراض تسويقية، إذا جرى جمعها من صاحبها مباشرةً ووافق على ذلك وفق أحكام النظام. وتحدد اللوائح الضوابط اللازمة لذلك.

المادة السابعة والعشرون:

يجوز جمع البيانات الشخصية أو مُعالجتها لأغراض علمية أو بحثية أو إحصائية دون موافقة صاحبها، في الأحوال الآتية:

1- إذا لم تتضمن البيانات الشخصية ما يدل على هوية صاحبها على وجه التحديد.

2- إذا كان سَيُجرى إتلاف ما يدل على هوية صاحب البيانات الشخصية على وجه التحديد خلال عملية مُعالجتها وقبل الإفصاح عنها لأي جهة أُخرى ولم تكن تلك البيانات بيانات حساسة.

3- إذا كان جمع البيانات الشخصية أو معالجتها لهذه الأغراض يقتضيها نظام آخر أو تنفيذاً لاتفاق سابق يكون صاحبها طرفاً فيه.

       وتحدد اللوائح الضوابط اللازمة لما ورد في هذه المادة.

المادة الثامنة والعشرون:

لا يجوز تصوير الوثائق الرسمية التي تحدد هوية صاحب البيانات الشخصية أو نسخها، إلاَّ عندما يكون ذلك تنفيذاً لأحكام نظام، أو عندما تطلب جهة عامة مختصة تصوير تلك الوثائق أو نسخها وفق ما تحدده اللوائح.

المادة التاسعة والعشرون:

1- مع مراعاة ما ورد في الفقرة (2) من هذه المادة، يجوز لجهة التحكم نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة، وذلك لتحقيق أيٍّ من الأغراض الآتية:

أ- إذا كان ذلك تنفيذاً لالتزام بموجب اتفاقية تكون المملكة طرفاً فيه.

ب- إذا كان ذلك لخدمة مصالح المملكة.

ج- ‌إذا كان ذلك تنفيذاً لالتزام يكون صاحب البيانات الشخصية طرفاً فيه.

د- ‌إذا كان ذلك تنفيذاً لأغراض أخرى وفق ما تحدده اللوائح.

2- تكون الشروط الواجب توافرها عند نقل البيانات الشخصية أو الإفصاح عنها -وفق ما ورد في الفقرة (1) من هذه المادة- على النحو الآتي:

أ- ألا يترتب على النقل أو الإفصاح مساس بالأمن الوطني أو بمصالح المملكة الحيوية.

ب- أن يتوافر مستوى مناسب لحماية البيانات الشخصية في خارج المملكة؛ بما لا يقل عن مستوى الحماية المقرر في النظام واللوائح، وفقاً لنتائج تقويم تجريه الجهة المختصة في هذا الشأن بالتنسيق مع من تراه من الجهات المعنية.

ج- أن يقتصر النقل أو الإفصاح على الحد الأدنى من البيانات الشخصية الذي تدعو الحاجة إليه.

3- لا يسري ما ورد في الفقرة (2) من هذه المادة على حالات الضرورة القصوى للمحافظة على حياة صاحب البيانات الشخصية أو مصالحه الحيوية أو الوقاية من عدوى مرضية أو فحصها أو معالجتها.

4- تحدد اللوائح الأحكام والمعايير والإجراءات المتعلقة بتطبيق ما ورد في هذه المادة، بما في ذلك تحديد حالات إعفاء جهات التحكم من الالتزام بأي من الشروط المشار إليها في الفقرتين الفرعيتين (ب) و(ج) من الفقرة (2) من هذه المادة، وكذلك ضوابط وإجراءات ذلك الإعفاء والعدول عنه.

المادة الثلاثون:

1- مع عدم الإخلال بأحكام النظام، وما للبنك المركزي السعودي من صلاحيات وفقاً لما تقضي به النصوص النظامية ذات العلاقة، تكون الجهة المختصة الجهة المشرفة على تطبيق أحكام النظام واللوائح.

2- تحدد اللوائح الأحوال التي يجب فيها على جهة التحكم تعيين أو تحديد شخص (أو أكثر) يتولى دور مسؤول حماية البيانات الشخصية، وتبين اللوائح كذلك مسؤولياته بما يتفق مع أحكام النظام واللوائح.

3- على جهة التحكم التعاون مع الجهة المختصة في سبيل مباشرتها مهماتها المتعلقة بالإشراف على تطبيق أحكام النظام واللوائح، وعليها كذلك اتخاذ ما يلزم من إجراءات حيال المسائل المتعلقة بذلك التي تحيلها الجهة المختصة إليها.

4- للجهة المختصة في سبيل مباشرتها مهماتها المتعلقة بالإشراف على تطبيق أحكام النظام واللوائح، اتخاذ ما يأتي:

أ- طلب الوثائق أو المعلومات اللازمة من جهة التحكم للتأكد من التزامها بأحكام النظام واللوائح.

ب- الاستعانة بأي جهة أخرى لأغراض المساندة في مباشرتها مهماتها المتعلقة بالإشراف على تطبيق أحكام النظام واللوائح.

 ج- تحديد الأدوات والآليات المناسبة في شأن مراقبة ومتابعة التزام جهات التحكم بأحكام النظام واللوائح، بما في ذلك بناء سجل وطني لهذا الغرض عن جهات التحكم.

د- تقديم الخدمات المتعلقة بحماية البيانات الشخصية من خلال السجل الوطني المشار إليه في الفقرة الفرعية (ج) من هذه الفقرة أو من خلال أي وسيلة أخرى؛ وفقاً لما تراه مناسباً. وللجهة المختصة استحصال مقابل مالي عن الخدمات التي تقدمها المتعلقة بحماية البيانات الشخصية.

5- يجوز للجهة المختصة -وفق ما تقدره- تفويض غيرها من الجهات في مباشرة بعض المهمات الموكولة إليها المتعلقة بالإشراف على تطبيق أحكام النظام واللوائح.

المادة الحادية والثلاثون:

دون إخلال بما ورد في المادة (الثامنة عشرة) من النظام، تحتفظ جهة التحكم بسجلات لمدة تحددها اللوائح لأنشطة معالجة البيانات الشخصية بحسب طبيعة النشاط الذي تمارسه جهة التحكم؛ لتكون متاحة عندما تطلبها الجهة المختصة. على أن تشمل السجلات حدًّا أدنى من البيانات الآتية:

1- تفاصيل الاتصال الخاصة بجهة التحكم.

2- الغرض من معالجة البيانات الشخصية.

3- وصف فئات أصحاب البيانات الشخصية.

4- أي جهة جرى (أو سَيُجرى) إفصاح البيانات الشخصية إليها.

5- ما إذا جرى (أو سَيُجرى) نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة.

6- المدة الزمنية المتوقعة للاحتفاظ بالبيانات الشخصية.

المادة الثانية والثلاثون:

مُلغاة.

المادة الثالثة والثلاثون:

1- تضع الجهة المختصة اشتراطات ممارسة الأنشطة التجارية أو المهنية أو غير الربحية المرتبطة بحماية البيانات الشخصية في المملكة، بالتنسيق مع الجهات المعنية، وبما لا يخل بما تضعه تلك الجهات من اشتراطات أخرى بحسب اختصاصاتها.

2- للجهة المختصة الترخيص لجهات تتولى إصدار شهادات اعتماد لجهة التحكم وجهة المعالجة. وتضع الجهة المختصة القواعد المنظمة لإصدار تلك الشهادات.

3- للجهة المختصة الترخيص لجهات تتولى أعمال التدقيق أو الفحص لأنشطة معالجة البيانات الشخصية بحسب طبيعة النشاط الذي تمارسه جهة التحكم؛ وفق الأحكام التي تحددها اللوائح. وتضع الجهة المختصة شروط ومتطلبات إصدار تلك التراخيص، والقواعد المنظّمة لها.

4- تتولى الجهة المختصة تحديد الأدوات والآليات المناسبة لمتابعة التزام الجهات التي في خارج المملكة بالتزاماتها المقررة بموجب أحكام النظام واللوائح عند معالجتها لبيانات شخصية متعلقة بالأفراد المقيمين في المملكة بأي وسيلة كانت، والإجراءات المتعلقة بإنفاذ أحكام النظام واللوائح خارج المملكة.

المادة الرابعة والثلاثون:

يجوز لصاحب البيانات الشخصية التقدم إلى الجهة المختصة بأي شكوى ناشئة من تطبيق النظام واللوائح. وتحدد اللوائح ضوابط معالجة الجهة المختصة للشكاوى التي يقدمها صاحب البيانات الشخصية الناشئة من تطبيق النظام واللوائح.

المادة الخامسة والثلاثون:

1- مع عدم الإخلال بأي عقوبة أشد منصوص عليها في نظام آخر، يُعاقب بالسجن مدة لا تزيد على (سنتين) وبغرامة لا تزيد على (ثلاثة ملايين) ريال، أو بإحدى هاتين العقوبتين؛ كل من أفصح عن بيانات حساسة أو نشرها مخالفًا أحكام النظام إذا كان ذلك بقصد الإضرار بصاحب البيانات أو بقصد تحقيق منفعة شخصية.

2- تختص النيابة العامة بمهمة التحقيق، والادعاء أمام المحكمة المختصة عن المخالفة المنصوص عليها في الفقرة (1) من هذه المادة.

3- تتولى المحكمة المختصة النظر في الدعاوى الناشئة من تطبيق هذه المادة وإيقاع العقوبات المقررة.

4- يجوز للمحكمة المختصة مضاعفة عقوبة الغرامة المنصوص عليها في الفقرة (1) من هذه المادة في حالة العود حتى لو ترتب عليها تجاوز الحد الأقصى لها على ألا تتجاوز ضعف هذا الحد.

المادة السادسة والثلاثون:

1- فيما لم يرد في شأنه نص خاص في المادة (الخامسة والثلاثين) من النظام، ودون إخلال بأيِّ عقوبة أشد منصوص عليها في نظام آخر؛ تُعاقَب بالإنذار أو بغرامة لا تزيد على (خمسة ملايين) ريال، كلُّ شخصية ذات صفة طبيعية أو اعتبارية خاصة -مشمولة بأحكام النظام- خالفت أيًّا من أحكام النظام أو اللوائح. وتجوز مضاعفة عقوبة الغرامة في حالة تكرار المخالفة حتى لو ترتب عليها تجاوز الحد الأقصى لها على ألا تتجاوز ضعف هذا الحد.

2- تكوّن بقرار من رئيس الجهة المختصة، لجنة (أو أكثر) لا يقل عدد أعضائها عن (ثلاثة)، ويسمى أحدهم رئيساً، ويكون من بينهم مختص فني ومستشار نظامي؛ تتولى النظر في المخالفات وإيقاع عقوبة الإنذار أو الغرامة المنصوص عليها في الفقرة (1) من هذه المادة، وذلك بحسب نوع المخالفة المرتكبة وجسامتها ومدى تأثيرها، على أن يعتمد قرار اللجنة رئيس الجهة المختصة أو من يفوضه بذلك. ويصدر رئيس الجهة المختصة -بقرار منه- قواعد عمل اللجنة، وتحدد فيها مكافآت أعضائها.

3- يحق لمن صدر ضده قرار من اللجنة المنصوص عليها في الفقرة (2) من هذه المادة التظلم منه أمام المحكمة المختصة.

المادة السابعة والثلاثون:

1- يتولى الموظفون أو العاملون -الذين يصدر بتسميتهم قرار من رئيس الجهة المختصة- صلاحيات الضبط والتفتيش المتعلقة بـالمخالفات المنصوص عليها في النظام أو اللوائح. ويُصدر رئيس الجهة المختصة قواعد وإجراءات عملهم بما يتفق مع النصوص النظامية ذات الصلة.

2- للموظفين أو العاملين -المنصوص عليهم في الفقرة (1) من هذه المادة- الاستعانة بجهات الضبط الجنائي أو الجهات المختصة الأخرى؛ وذلك في سبيل قيامهم بمهمات وإجراءات الضبط والتفتيش المتعلقة بالمخالفات المنصوص عليها في النظام أو اللوائح.

3- للجهة المختصة الحق في حجز الوسائل أو الأدوات المستخدمة في ارتكاب المخالفة إلى حين البت فيها.

المادة الثامنة والثلاثون:

1- مع عدم الإخلال بحقوق الغير حسن النية، يجوز للمحكمة المختصة الحكم بمصادرة الأموال المتحصلة من جراء ارتكاب المخالفات المنصوص عليها في النظام.

2- يجوز للمحكمة المختصة أو اللجنة المنصوص عليها في الفقرة (2) من المادة (السادسة والثلاثين) -بحسب الأحوال- تضمين الحكم أو القرار الصادر من أي منهما بتحديد العقوبة النصَّ على نشر ملخصه على نفقة المحكوم عليه أو المخالف في صحيفة محلية (أو أكثر) تصدر في مكان إقامته، أو في أي وسيلة أخرى مناسبة، وذلك بحسب نوع المخالفة المرتكبة وجسامتها ومدى تأثيرها، على أن يكون النشر بعد اكتساب الحكم الصفة القطعية، أو تحصن القرار بفوات ميعاد التظلم منه، أو صدور حكم نهائي برفض التظلم منه.

المادة التاسعة والثلاثون:

دون إخلال بما ورد في المادة (الخامسة والثلاثين) والفقرة (1) من المادة (السادسة والثلاثين) من النظام، يجب على الجهة العامة مساءلة أي من منسوبيها -تأديبيًّا- في حال مخالفته أيًّا من أحكام النظام واللوائح؛ وفق أحكام وإجراءات المساءلة والتأديب المقررة نظاماً.

المادة الأربعون:

مع عدم الإخلال بإيقاع العقوبات المنصوص عليها في النظام، لمن لحقه ضرر -نتيجةَ ارتكاب أي من المخالفات المنصوص عليها في النظام أو اللوائح- حق المطالبة أمام المحكمة المختصة بالتعويض عن الضرر المادي أو المعنوي بما يتناسب مع حجم الضرر.

المادة الحادية والأربعون:

يلتزم كل من باشر عملاً من أعمال معالجة البيانات الشخصية بالمحافظة على الأسرار المتعلقة بالبيانات حتى بعد انتهاء علاقته الوظيفية أو التعاقدية.

المادة الثانية والأربعون:

يصدر رئيس الجهة المختصة اللوائح، وذلك في مدة لا تتجاوز (سبعمائة وعشرين) يوماً من تاريخ صدور النظام، على أن يُنسِّق -قبل إصدارها- مع وزارة الاتصالات وتقنية المعلومات ووزارة الخارجية وهيئة الاتصالات والفضاء والتقنية وهيئة الحكومة الرقمية والهيئة الوطنية للأمن السيبراني والمجلس الصحي السعودي والبنك المركزي السعودي، كلٌّ فيما يخصه.

المادة الثالثة والأربعون:

يُعمل بالنظام بعد (سبعمائة وعشرين) يوماً من التاريخ الذي نشر به في الجريدة الرسمية.

 

عودة