‏برنامج مشاهدة محتويات الانترنت‏

المركز المعرفي

التصنيفات الرئيسية
السياسات والأنظمة الادلة الاجرائية والاسترشادية الأدلة والقواعد الاسئلة الشائعة لنظام حماية البيانات الشخصية

دليل نظام حماية البيانات الشخصية لجهات التحكم والمعالجة

المقدمة

الغرض

يتمثـل الغـرض مـن هـذه الوثيقـة (الدليـل الإرشـادي) التعريـف بنظـام حمايـة البيانـات الشـخصية (النظـام) فـي المملكـة
العربيــة الســعودية (المملكــة)، الــذي تمــت الموافقــة عليــه بموجــب المرســوم الملكــي رقــم م/ 19 وتاريــخ 1443/2/9
وشـرح كيفيـة تطبيقـه.

الهدف

يهـدف هـذا الدليـلالإرشـاديإلـى توضيـح أحـكام النظـام وتقديـم إرشـادات للأفـراد والجهـات لمسـاعدتهم علـى الإلتـزام
بأحكامـه، ولا يتضمـن هـذا الدليـلالإرشـاديأي قواعـد ملزمـة أو التزامـات، ولا يعـد هـذا الدليـل بديـلاً عـن أي أنظمـة أو
 تشـريعات فـي المملكـة.

حماية البيانات الشخصية في المملكة

أحـد أهـم الركائـز للمملكـة التـي تقـوم عليهـا رؤيـة 2030 إنشـاء اقتصـاد رقمـي مزدهـر، وتمثـل البيانـات الأسـاس الـذي
يُبنــى عليــه الأقتصــاد الرقمــي الحديــث؛ لذلــك يجــب تنظيــم اســتخدام البيانــات الشــخصية فــي المملكــة بمــا يضمــن
 خصوصيـة الأفـراد.

يتضمن الطار التنظيمي لحماية البيانات الشخصية في المملكة ما يلي:

  1. نظام حماية البيانات الشخصية.
  2. اللوائح التنفيذية للنظام بما في ذلك اللائحة التفيذية للنظام ولائحة نقل البيانات الشخصية خارج المملكة .
  3. اللوائح والمعايير والسياسات والوثائق النظامية الاخرى المتعلقة بحماية البيانات الشخصية الصادرة من الهيئة السعودية للبيانات والذكاء الاصطناعي (الهيئة,سدايا).
  4. المعاهدات الدولية الخاصة بالمملكة حول حماية البيانات الشخصية .

لمزيـد مـن المعلومـات عـن الجهـة المختصـة لحمايـة البيانـات الشـخصية، يُرجـى الإطـلاع علـى قسـم (مـن هـي الجهـة
المختصـة) مـن هـذا الدليـل الإرشـادي.

نطاق النظام

يتضمن التالي:

المادة (الثانية) من النظام

  1. ُيطبـق النظـام علـى أي عمليـة معالجـة لبيانـات شـخصية تتعلـق بالافـراد تتـم فـي المملكـة بـأي وسـيلة كانـت
    بمـا فـي ذلـك معالجـة البيانـات الشـخصية المتعلقـة بالافـراد المقيميـن فـي المملكـة بـأي وسـيلة كانـت مـن
    أي جهـة خـارج المملكـة، ويشـمل ذلـك بيانـات المتوفـى إذا كانـت سـتؤدي إلـى معرفتـه أو معرفـة أحـد أفـراد
    أسـرته علـى وجـه التحديـد.
  2. ُيســتثنى مــن نطــاق تطبيــق النظــام قيــام الفــرد بمعالجــة البيانــات الشــخصية لاغــراض لا تتجــاوز الاســتخدام
    الشـخصي أو العائلـي، مـا دام أنـه لـم ينشـرها أو يفصـح عنهـا للغيـر، وتحـدد اللوائـح التنفيذيـة للنظـام المقصود
    بالاسـتخدام الشـخصي والعائلـي المنصـوص عليهمـا فـي هـذه الفقـرة.

النطاق الموضوعي: ما هو نطاق النظام؟

يشمل تنظيم معالجة البيانات الشخصية التالي:

  1. البيانات الشخصية من أي نوع بما في ذلك البيانات الحساسة.
  2. البيانات الشخصية مهما كان مصدرها أو شكلها.
  3. البيانات التي خضعت للترميز.
  4. بيانات المتوفى (في حالات محدودة).

ما المقصود بالبيانات الشخصية؟

يُعرف النظام البيانات الشخصية بأنها:

الفقرة (4) من المادة (الاولى) في النظام

كـل بـيان -مـهما كـان مـصدره أو شـكله- مـن شـأنـه أن يـؤدي إلـى مـعرفـة الـفرد عـلى وجـه التحـديـد، أو يـجعل التعرف
عــليه ممكنا بــصفة مـباشــرة أو غــير مـباشــرة، ومن ذلك: الاســم، ورقم الــهويــة الــشخصية، والــعناويــن، وأرقــام
الــتواصــــل، وأرقــام الرخــص، والســجلات، والممتلــكات الشــخصية، وأرقــــام الــحسابــــات الــــبنكية والــبطاقــــات
 الائــتمانـــية، وصـــور الفـرد الثابتـة أو المتحركـة، وغيـر ذلـك مـن البيانـات ذات الطابـع الشـخصي.

يُقصـد مـن ذلـك أن البيانـات الشـخصية هـي أي بيانـات يمكـن مـن خلالهـا تحديـد الفـرد مثـلا: رقـم الهاتـف الشـخصي
 للفـرد أو اسـمه أو عنـوان بريـده اللكترونـي.

إذا تعـذر تحديـد هويـة الفـرد مـن البيانـات، فـإن هـذه البيانـات لاتعـد مـن البيانـات الشـخصية ولـن يخضـع اسـتخدامها
للنظـام

مثال | البيانات الشخصية

تقــوم إدارة المــوارد البشــرية لشــركة بتخزيــن بيانــات الموظفيــن بمــا فــي ذلــك الاســم، وتاريــخ الميــلاد، والدرجــة الوظيفيــة، ورقــم الهاتــف الشــخصي، والمؤهــلات التعليميــة، وتعــد هــذه البيانــات التــي تخزنهــا إدارة المــوارد
 البشــرية بيانــات شــخصية ويخضــع اســتخدامها للنظــام.

مثال | البيانات غير الشخصية

تحلــل إدارة التســويق فــي الشــركة ســلوك الشــراء الخــاص بعملائهــا الذيــن تتــراوح أعمارهــم بيــن 20-30 عامــا، وتتعامـل إدارة التسـويق فقـط مـع بيانـات إحصائيـة عـن المنتجـات التـي تشـتريها هـذه الفئـة العمريـة، ولـن تتمكـن
 إدارة التســويق مــن تحديــد هويــة المشــتري.

ولذلك لا تعد هذه البيانات بيانات شخصية ولا يخضع استخدامها للنظام.

مثال | البيانات غير الشخصية

تمتلــك إحــدى شــركات الســيارات قاعــدة بيانــات عــن الموزعيــن المعتمديــن لديهــا (الجهــات التجاريــة)، وتتضمــن
قاعـدة البيانـات بيانـات عـن عـدد السـيارات التـي باعهـا كل مـوزع خـلال العـام الحالـي، وتتضمـن كذلـك أسـعار شـراء
الموزعيـن للسـيارات بغـرض بيعهـا.

لاتعد البيانات عن حجم المبيعات وسعر السيارات بيانات شخصية ولا يخضع استخدامها للنظام

كيف يمكن تحديد هوية الفرد ؟

يمكن تحديد هوية الفرد:

  1. بشـكل مباشـر : مـن خـلال البيانـات التـي تجـرى معالجتهـا، مثـل: المعرفـات المميـزة بمـا فـي ذلـك رقـم الهاتـف
    الشـخصي أو الاسـم أو عنـوان البريـد الالكترونـي الشـخصي، وتخضـع معالجـة هـذه البيانـات للنظـام.
  2. بشـكل غيـر مباشـر: عـن طريـق ربـط قواعـد بيانـات مختلفـة ببعضهـا ممـا قـد ينتـج عنـه بيانـات تحـدد هويـة الفـرد،
    وعليـه تعـد هـذه البيانـات بيانـات شـخصية تخضـع للنظـام، لكـن إن لـم ينتـج عـن عمليـة الربـط بيـن البيانـات تحديـد
    هويـة الفـرد فـلا تعـد هـذه البيانـات بيانـات شـخصية ولا تخضـع لاحـكام النظـام. 
    يُرجى العلم أنه يلزم النظر في كل حالة على حدة لمعرفة إذا كان من الممكن التعرف على هوية الفرد.

مثال | البيانات الشخصية | تحديد هوية الفرد بشكل مباشر

يعمـل متجـر بيـع بالتجزئـة علـى جمـع أرقـام الهواتـف الخاصـة بـكل عميـل قبـل بيـع المنتجـات لـه بغـرض إرسـال
 رسـائل ترويجيـة عـن عـروض جديـدة إلـى العمـلاء، ولكنـه لا يجمـع أسـماء عملائـه.

ترتبـط أرقـام الهواتـف بأسـماء العملاء فـي قاعـدة بيانـات شـركات الاتصـالات؛ لذلـك يمكـن اعتبـار أرقـام الهواتـف
 مـن البيانـات الشـخصية بالنسـبة إلـى شـركات الاتصـالات.

سـتعد أرقـام الهواتـف مـن البيانـات الشـخصية أيضـا ً بالنسـبة إلـى المتجـر حتـى إن لـم يكـن مخـول لـه الوصـول إلـى
قاعـدة البيانـات الخاصـة بشـركات الاتصـالات وذلـك لان كل رقـم هاتـف يُخصـص لفـرد بعينـه، ويمكـن للمتجـر أن
يميـز الفـرد عـن العملاء الاخريـن مـن رقـم هاتفـه ويسـتخدم هـذا الرقـم فـي التواصـل معـه وتوجيـه عـروض البيـع
 لـه وحـد.

لذلك سيحتاج كل من المتجر وشركات الاتصالات إلى حماية أرقام الهواتف وفقا للنظام.

مثال | البيانات الشخصية | تحديد هوية الفرد بشكل غير مباشر

تخزن إدارة الامن في الشركة التالية في أنظمة منفصلة:

قاعـدة البيانـات رقـم (1): تتضمـن هـذه القاعـدة الاسـماء، وأرقـام الهواتـف، وأرقـام الموظفيـن، التـي تسـتخدم
لغـراض تحديـد الهويـة، وإدارة الرواتـب.

قاعــدة البيانــات رقــم(2): تتضمــن هــذه القاعــدة بيانــات عــن الســيارات التــي تدخــل إلــى مقــرات الشــركة وتخــرج
منهــا، وتســتخدم هــذه البيانــات فــي توجيــه إنــذار عــن مخالفــات الوقــوف.

مثال | البيانات الشخصية | تحديد هوية الفرد بشكل غير مباشر

فــي هــذه الحالــة، تخــزن قاعــدة البيانــات رقــم (1) البيانــات التــي يمكــن مــن خالهــا تحديــد هويــة الفــرد بشــكل
مباشــر؛ لذلــك تحتــوي علــى بيانــات شــخصية.

ولا ُيخـزن فـي قاعـدة البيانـات رقـم (2) بيانـات يمكـن مـن خالهـا تحديـد هويـة الفـرد بشـكل مباشـر، لكـن يمكـن للشــركة الربــط بيــن قاعــدة البيانــات رقــم (1) وقاعــدة البيانــات رقــم (2) معــا لتحديــد هويــة مالــك الســيارة، لذلــك
. سـتعد البيانـات فـي قاعـدة البيانـات رقـم (2) مـن البيانـات الشـخصية وسـيخضع اسـتخدامها للنظـام أيضـا

مثال | البيانات الشخصية | يتعذر تحديد هوية الفرد منها

اتخـذت إحـدى الصيدليـات قـرارا بتحليـل بياناتهـا التجاريـة عـن العـام الماضـي، قبـل إجـراء هـذا التحليـل قامـت بحـذف
البيانــات مــن ســجل المشــتريات التــي يمكــن ربطهــا بالعملاء بمــا فــي ذلــك أرقــام الهواتــف، وأرقــام البطاقــات
المصرفيـة، وبعـد حـذف هـذه البيانـات، لـم يكـن لـدى الصيدليـة سـوى البيانـات التاليـة:

  1. اسم المنتج ونوعه.
  2. البيانات الخاصة بالمنتجات التي تم بيعها خال العام الماضي.
  3. سعر المنتج.

لا تعد هذه البيانات بيانات شخصية ولا يخضع استخدامها للنظام.

ما المقصود بالبيانات الحساسة؟

يحـدد النظـام نوعـا ً خاصـا مـن البيانـات وهـي (البيانـات الحساسـة) ويتطلـب هـذا النـوع مـن البيانـات فـرض مزيـد مـن
الاجـراءات الوقائيـة وإجـراءات الحمايـة إذ إن الوصـول غيـر المصـرح بـه لهـذه البيانـات قـد يسـفر عنـه إلحـاق ضـرر جسـيم
بالفـرد.

تتضمن البيانات الحساسة ما يلي:

  1. البيانات الشخصية التي تكشف عن أصل الفرد العرقي أو أصله الاثني (مثلا لون بشرة الفرد، إلخ).
  2. البيانات الشخصية التي تكشف عن معتقد الفرد الديني أو الفكري أو السياسي.
  3. البيانات الشخصية التي تشير إلى الجرائم الجنائية أو الامنية السابقة التي ارتكبها الفرد.
  4. بيانات السمات الحيوية الخاصة بالفرد (التي تحدد الهوية).
  5. بيانات الفرد الوراثية.
  6. البيانات الشخصية المتعلقة بصحة الفرد.
  7. البيانات التي تدل على أن الفرد مجهول الابوين أو أحدهما.

ماهي الأحكام الخاصة بمعالجة البيانات الحساسة؟

عنــد معالجــة البيانــات الحساســة، يجــب الالتــزام بجميــع المتطلبــات المنصــوص عليهــا فــي النظــام التــي تســري علــى
معالجـة أي بيانـات شـخصية أخـرى. وإضافـة إلـى ذلـك ينـص النظـام علـى متطلبـات خاصـة تتعلـق بمعالجـة البيانـات
الحساســة، علــى ســبيل المثــال لا الحصــر:

  1. لا يعتـد بالمصلحـة المشـروعة كمسـوغ نظامـي لمعالجـة البيانـات الحساسـة المنصـوص عليهـا فـي الفقـرة 4 مـن
    المـادة السادسـة مـن النظـام.
  2. فـي حالـة وجـود الموافقـة مـن قبـل صاحـب البيانـات الشـخصية كمسـوغ نظامـي لمعالجـة البيانـات الحساسـة،
    فيجـب أن تكـون الموافقـة صريحـة وفقـا للمـادة الحاديـة عشـرة مـن اللائحـة التنفيذيـة للنظـام.
  3. فـي جميـع الاحـوال، لا يجـوز معالجـة البيانـات الحساسـة لاغـراض تسـويقية حتـى وإن تـم الحصـول علـى موافقـة
     الفـرد وذلـك وفقـا للمـادة السادسـة والعشـرين مـن النظـام.
  4. ينـص النظـام علـى قيـود اسـتخدام البيانـات الحساسـة لاغـراض علميـة أو بحثيـة أو إحصائيـة وفقـا للمـادة السـابعة
    والعشـرين مـن النظام.

ما هي أشكال معالجة البيانات الشخصية؟

ينطبق النظام على معالجة البيانات الشخصية بجميع أشكالها.

البيانات الشخصية في شكل غير الكتروني (مثل: البيانات الشخصية المتضمنة في وثيقة ورقية ملموسة مثلا)
تخضع ايضا لاحكام النظام.

مـن الناحيـة العمليـة ونظـرا إلـى مـدى التطـور التكنولوجـي فـي المملكـة، فـإن معظـم البيانـات الشـخصية تتـم معالجتهـا
بشـكل إلكتروني.

مثال | البيانات الشخصية | البيانات الشخصية في شكل إلكتروني

تخــزن إدارة المــوارد البشــرية البيانــات الشــخصية عــن الموظفيــن فــي أنظمــة التخزيــن الســحابية، إذا تكــون هــذه
البيانــات الشــخصية فــي شــكل إلكترونــي ويخضــع اســتخدامها للنظــام.

مثال | البيانات الشخصية | البيانات الشخصية في شكل غير إلكتروني

تخزن الجامعة اوراق اختبارات طلابها, وتتضمن اوراق الاختبار بيانات الطلاب الشخصية (على سبيل المثال:

الاسماء الكاملة , والارقام الجامعية للطلاب) , اذا تكون هذه البيانات الشخصية في شكل غير الكتروني

ويخضع استخدامها للنظام .

تسري احكام النظام على معالجة البيانات الشخصية بغض النظر عن حجمها او نوعها, بالاضافة الى ان النظام

لايفرق بين الاشكال التي تتخذها البيانات الشخصة سواء كانت بيانات منظمة (مثلا بيانات مخزنة في قاعدة

البيانات), او غير منظمة (مثلا بيانات شخصية في وثائق مختلفة), وما الى ذلك طالما انه يمكن التعرف على

هوية الفرد باستخدام هذه البيانات فتعد هذه البيانات بيانات شخصية ويخضع استخدامها للنظام .

ما هي مصادر البيانات الشخصية؟

يمكــن الحصــول علــى البيانــات الشــخصية مــن مصــادر عديــدة إمــا مباشــرة مــن الفــرد ذاتــه أو مــن جهــات أخــرى مثـلا
مـن مصـادر عامـة (مـن قواعـد البيانـات الموجـودة فـي الانترنـت والمتاحـة للعمـوم)، يحـدد النظـام فـي المـادة العاشـرة
 شـروطا معينـة للحصـول علـى البيانـات الشـخصية مـن وسـائل أخـرى غيـر مقدمـة مـن صاحبهـا مباشـرة.

هل تعد الآراء والاستنتاجات من البيانات الشخصية؟

يمكـن أن تعتبـر الآراء والاسـتنتاجات الخاصـة بالافـراد بيانـات شـخصية فـي حـال كان مـن الممكـن تحديـد هويـة الفـرد
باســتخدام هــذه الآراء أو الاســتنتاجات ســواء بشــكل مباشــر أو غيــر مباشــر، عندئــذ إذا نســبت إحــدى الجهــات الآراء أو
الاســتنتاجات إلــى فــرد معيــن، فهــي تعتبــر مــن البيانــات الشــخصية بغــض النظــر عــن مــدى صحتهــا.

مثال | البيانات الشخصية | الآراء

تجــري إدارة المــوارد البشــرية اســتطلاعا لمعرفــة مــدى رضــا الموظفيــن عــن بيئــة العمــل، واســتنادا إلــى هــذا
الاستطلاع ، تعــد الادارة تقريــرا عــن كيفيــة تحســين بيئــة العمــل، فــي هــذه الحالــة تعــد آراء الموظفيــن بيانــات
شــخصية.

مثال | البيانات الشخصية | الاستنتاجات

تحتفــظ الصيدليــة ببياناتهــا فــي قاعــدة البيانــات الخاصــة بهــا وتتضمــن بيانــات المشــتريات الخاصــة بعملائهــا،
وتربـط قاعـدة البيانـات العملاء بالادويـة التـي يشـترونها وبنـاء علـى بيانـات سـجل المشـتريات، تسـتنتج الصيدليـة
الحالــة الصحيــة لعملائهــا.

تعـد الاسـتنتاجات التـي تتوصـل إليهـا الصيدليـة عـن الحالـة الصحيـة لعملائهـا مـن البيانـات الشـخصية، فضـلا عـن
أنهـا بيانـات حساسـة حتـى إن لـم يُقـدم بعـض العمـلاء علـى شـراء الادويـة لنفسـهم (علـى سـبيل المثـال: يشـترون
هـذه الادويـة لأقاربهـم) .

ملاحظـة: فـي هـذا المثـال تتضمـن قاعـدة بيانـات العمـلاء هـذه سـجل المشـتريات الخـاص بالافـراد ولا تسـتطيع
الصيدليـة التفريـق بيـن مشـتريات العمـلاء التـي يشـترونها لنفسـهم أو للآخريـن.

معالجة بيانات المتوفى

وفقا للفقرة (1) من المادة (الثانية) من النظام

يُطبـق النظـام علـى معالجـة بيانـات المتوفـى إذا كانـت سـتؤدي إلـى معرفتـه أو معرفـة أحـد أفـراد أسـرته علـى وجـه
التحديد

لا يُقصــد مــن هــذا الحكــم مــن النظــام أن اســتخدام بيانــات المتوفــى يخضــع دائمــا للمتطلبــات التــي تنطبــق علــى
اسـتخدام البيانـات الشـخصية الخاصـة بالفـرد الحـي، بـل يُقصـد منـه أنـه إذا كان مـن شـأن بيانـات المتوفـى إلحـاق الضـرر
بأحـد أعضـاء أسـرته الذيـن هـم علـى قيـد الحيـاة (مثـل: الضـرر بسـمعته)، عندئـذ يلـزم حمايـة بيانـات المتوفـى بالاسـلوب
ذاتـه المتبـع لحمايـة البيانـات الشـخصية الخاصـة بالفـرد الحـي.

ويجـب أن يؤخـذ فـي الاعتبـار كل حالـة معينـة علـى حـدى لتحديـد متطلبـات النظـام التـي يجـب أن تنطبـق علـى بيانـات
الفـرد المتوفـى.

مثال | البيانات الشخصية | بيانات المتوفى

تقـدم إحـدى الشـركات خدمـات البحـث عـن التاريـخ العائلـي للفـرد، وعنـد إجـراء هـذا البحـث، تمكنـت الشـركة مـن
ٍ معرفـة أن والـد الفـرد المتوفـى كان يعانـي مـن مـرض معـد خطيـر، وقـد أوضـح الفـرد الـذي طلـب إجـراء هـذا البحـث
أن هـذه البيانـات قـد تلحـق الضـرر بسـمعته، وأبلـغ الشـركة التـي تجـري البحـث بهـذا الامـر وأوضـح لهـم أسـباب
ذلـك.

فـي هـذه الحالـة تلتـزم الشـركة التـي تجـري البحـث بحمايـة بيانـات الاب المتوفـى متبعـة الاسـلوب ذاتـه كمـا لـو
كانـت بيانـات شـخصية تخـص فـردا علـى قيـد الحيـاة.

هل تعد البيانات التي خضعت للترميز بيانات شخصية؟

تنص اللائحة التنفيذية للنظام على تعريف (الترميز):

الفقرة (7) من المادة (الأولى) من اللائحة التنفيذية للنظام

تحويــل المعرفــات الرئيســية التــي تــدل علــى هويــة صاحــب البيانــات الشــخصية إلــى رمــوز تجعــل مــن المتعــذر
تحديــد هويــة صاحــب البيانــات الشــخصية بشــكل مباشــر دون اســتخدام بيانــات أو معلومــات إضافيــة، وأن يتــم
الاحتفــاظ بتلــك البيانــات أو المعلومــات الاضافيــة بشــكل منفصــل ووضــع الضوابــط الفنيــة والاداريــة اللازمــة
لضمــان عــدم ربطهــا بصاحــب البيانــات بالشــكل المحــدد.

يسـتخدم الترميـز (إيجـاد األسـماء المسـتعارة) لاسـتبدال البيانـات التـي تحـدد هويـة الفـرد بشـكل مباشـر، وتظـل البيانـات
التــي خضعــت للترميــز مــن البيانــات الشــخصية ويمكــن اعتبــار الترميــز إجــراء أمنيــا فعــالا لحمايــة البيانــات، ويتضمــن
الترميــز إخفــاء البيانــات التــي تحــدد الهويــة، علــى ســبيل المثــال: مــن خــال اســتبدال البيانــات التــي تحــدد الهويــة بشــكل
مباشــر (مثــل الاســماء) بمعــرف فريــد، ولا يمكــن أن يرتبــط هــذا المعــرف بفــرد معيــن دون اســتخدام بيانــات إضافيــة

يعــد الترميــز مــن الاجــراءات التــي تتخــذ بغــرض تعزيــز حمايــة البيانــات الشــخصية وأمنهــا، ويمكــن أن يســاعد فــي الحــد
مـن المخاطـر، كمـا أنـه يُسـتخدم فـي عديـد مـن المجـالات، علـى سـبيل المثـال لا الحصـر: التجـارب السـريرية، والابحـاث
الطبيـة، والقطـاع المالـي، ومـا إلـى ذلـك.

مثال | الترميز | الخدمات المصرفية

يرغـب أحـد المصـارف فـي تقديـم عـروض خاصـة إلـى عملائـه، وتعتمـد هـذه العـروض علـى حجـم المعامـلات التـي
يجريهــا العملاء.

واتخذ المصرف الخطوات التالية:

  1. فصل أسماء عملائه عن معاملاتهم في قاعدتي بيانات منفصلتين.
    -تتضمن قاعدة البيانات الاولى أسماء العملاء.
    -وتتضمن قاعدة البيانات الثانية حجم معاملاتهم.
    -استبدل المصرف أسماء العملاء برموز في قاعدة البيانات الثانية.
  2. قدمت القاعدتان إلى فريقين منفصلين في المصرف لاجراء التحليل.
  3. أعــد كل فريــق لقاعــدة البيانــات الخاصــة بــه كلمــة مــرور حيــث لا يســتطيع أي مــن الفريقيــن الوصــول إلــى
    قاعــدة الفريــق الآخــر.
  4. وبهذا قام المصرف بإجراء الترميز لبيانات عملائه.

وفي هذه الحالة تعد البيانات عن حجم المعاملات من البيانات الشخصية، وذلك للاسباب التالية:

-من الممكن ربط حجم المعاملات بعملاء معينين عند جمع قاعدتي البيانات معاً.
-احتفـظ المصـرف ذاتـه بقاعدتـي البيانـات وهنـاك احتماليـة لجمـع قاعدتـي البيانـات معـا إذا مـا اقتضـى
الأمـر ذلـك.

مثال | الترميز | قطاع التربية والتعليم

تحتفظ الجامعة بقاعدة بيانات تتضمن بيانات طلابها وحددت لكل طالب رقماً خاصاً به.

عند اجراء الاختبارات, يجب على كل طالب ان يذكر في اوراق الاختبار الرقم الخاص به فقط, لذا عندما تطلع
لجنة الاختبارات على اوراق الاختبار لن ترى سوى رقم كل طالب, وسيتعذر عليها معرفة اسم الطالب الذي
اجرى الاختبار , وعلاوة على ذلك لايحق للجنة الاختبارات الوصول الى قاعدة البيانات التي تتضمن ارقام
الطلاب واسماءهم. وبناء عليه , فقد حرصة الجامعة في هذه الحالة على ترميز اسماء الطلاب , وستعد
ارقام الطلاب من البيانات الشخصية لانه يمكن للجامعة ان تربط بين ارقام الطلاب في قاعدة البيانات باسمائهم

هـل تعـد البيانـات التـي خضعـت لإخفـاء الهوية مـن البيانات الشخصية؟

الفقرة (8) من المادة (الولى) من اللائحة التنفيذية للنظام

إزالـة المعرفـات المباشـرة وغيـر المباشـرة التـي تـدل علـى هويـة صاحـب البيانـات الشـخصية بشـكل نهائـي يتعـذر
معـه تحديـد هويـة صاحـب البيانـات الشـخصية.

تنص اللوائح على تعريف (إخفاء الهوية):
يقصــد مــن إجــراء إخفــاء الهويــة إزالــة أي بيانــات تــدل علــى هويــة صاحــب البيانــات الشــخصية مــن قاعــدة البيانــات حيــث
يتعــذر تحديــد هويتــه بــأي وســيلة، لــذا لا تعــد البيانــات التــي خضعــت لإخفــاء الهويــة مــن البيانــات الشــخصية ولــن
اســتخدامها للنظــام، وبنــاء عليــه:

  1. لا تخضع البيانات الشخصية التي تم إخفاء هوية أصحابها للنظام.
  2. لا يمكـن للافـراد ممارسـة الحقـوق المنصـوص عليهـا فـي النظـام فيمـا يتعلـق باسـتخدام بياناتهـم الشـخصية
    التـي خضعـت لخفـاء الهويـة.

عندمـا يتـم إخفـاء الهويـة بشـكل صحيـح، سـيحد ذلـك مـن المخاطـر المتعلقـة بحمايـة البيانـات الشـخصية لأنـه يتعـذر
فـي هـذه الحالـة التعـرف علـى الفـرد بشـكل مباشـر أو غيـر مباشـر، وتحـدد المـادة التاسـعة مـن اللائحـة التنفيذيـة للنظـام
 شـروطا معينـة لعمليـة إخفـاء هويـة البيانـات الشـخصية.

ومـع ذلـك يُرجـى العلـم أن إجـراء إخفـاء هويـة البيانـات الشـخصية لا يـزال ضمـن إجـراءات معالجـة البيانـات الشـخصية؛
لذلـك تخضـع هـذه العمليـة لأحـكام النظـام.

ما هو المقصود بمعالجة البيانات الشخصية؟

يحدد النظام التعريف التالي لمعالجة البيانات الشخصية

الفقرة (5) من المادة (الأولى) من النظام

أي عمليـة تجـرى علـى البيانـات الشـخصية بـأي وسـيلة كانـت يدويـة أو آليـة، ومن ذلـك: عمليات الجمع، والتسـجيل،
والحفـظ، والفهرسـة، والترتيـب، والتنسـيق، والتخزيـن، والتعديـل، والتحديـث، والدمـج، والاسـترجاع، والاسـتعمال،
والافصـاح، والنقـل، والنشـر، والمشـاركة فـي البيانـات، أو الربـط البينـي، والحجـب، والمسـح، والإتلاف.

تتضمـن المعالجـة اتخـاذ أي إجـراء يتعلـق بالبيانـات الشـخصية، فعلـى سـبيل المثـال: الاحتفـاظ بالبيانـات الشـخصية
فقـط (تخزينهـا) يعـد مـن إجـراءات المعالجـة حتـى وإن لـم يُتخـذ أي إجـراء آخـر بشـأنها.

ويُقصد من ذلك أن أي استخدام للبيانات الشخصية يعد بمثابة معالجة لها ويخضع للنظام.

مثال | معالجة البيانات الشخصية | جمع البيانات الشخصية

يطلــب متجــر إلكترونــي مــن عملائــه التســجيل فــي موقعــه مــن أجــل شــراء المنتجــات، ويلــزم العملاء بتقديــم:
الاسـم، وعنـوان البريـد اللكترونـي، وبيانـات الدخـول للحسـاب الشـخصي، وكلمـة المـرور، بالاضافـة إلـى عنـوان
التســليم.

عندمــا يدخــل العميــل البيانــات الشــخصية أعـلاه فــي الموقــع، فــإن المتجــر الالكترونــي يعمــل علــى جمــع هــذه
البيانــات الشــخصية وذلــك بمثابــة معالجــة للبيانــات الشــخصية وتخضــع هــذه المعالجــة للنظــام.

مثال | معالجة البيانات الشخصية | تخزين البيانات الشخصية

تمتلـك شـركة التصنيـع قاعـدة بيانـات كبيـرة التـي تتضمـن البيانـات الشـخصية عـن الموظفيـن مثـل: (أسـمائهم،
وبيانـات التواصـل معهـم، ومؤهلاتهـم التعليميـة)، ولقـد تعاقـدت الشـركة مـع مقـدم الخدمـات السـحابية لتخزيـن
ً قاعـدة البيانـات للموظفيـن سـحابيا.
يُعد تخزين هذه البيانات الشخصية سحابيا من إجراءات معالجة البيانات الشخصية ويخضع للنظام.

يجـب التأكـد مـن إجـراء المعالجـة بأسـلوب عـادل، وقانونـي وبمـا يتوافـق مـع مبـادئ النظـام، ولمزيـد مـن المعلومـات
عـن مبـادئ النظـام، يُرجـى الاطلاع علـى قسـم (مبـادئ حمايـة البيانـات الشـخصية) مـن هـذا الدليـل الإرشـادي.

النطــاق المكانــي: أيــن تســري أحــكام النظــام؟

يقصــد بالنطــاق المكانــي المنطقــة الجغرافيــة التــي تســري عليهــا أحــكام النظــام، ويتضمــن النطــاق المكانــي للنظــام
معالجــة البيانــات الشــخصية ضمــن حالتيــن:

الحالة (1): معالجة البيانات الشخصية داخل المملكة.
الحالــة (2): معالجــة البيانــات الشــخصية الخاصــة بالافــراد المقيميــن فــي المملكــة مــن قبــل أي جهــة بمــا فــي ذلــك
الجهــات خــارج المملكــة.

الحالة (1): ما الذي يعتبر معالجة للبيانات داخل المملكة؟

تســري أحــكام النظــام علــى معالجــة البيانــات الشــخصية فــي جميــع الاراضــي التــي تخضــع لســلطة المملكــة بمــا فــي
ذلـك المنطقـة الجغرافيـة للمملكـة وسـفاراتها فـي الولايـات القضائيـة الاجنبيـة، وتنـدرج ضمـن نطـاق النظـام أي جهـة
تقـوم بمعالجـة البيانـات الشـخصية مثـل الجهـات العامـة أو الخاصـة أو الأشـخاص ذوي الصفـة الطبيعيـة أو الاعتباريـة
داخـل الولايـة القضائيـة للمملكـة.

مثال | النطاق المكاني | المعالجة داخل المملكة | جهة خاصة

يقوم مستشفى داخل المملكة بمعالجة البيانات الشخصية الخاصة بموظفيه ومرضاه.

تتـم جميـع إجـراءات المعالجـة داخـل المملكـة، وتتضمـن معالجـة بيانـات المرضـى الشـخصية الذيـن يرتـادون هـذا
المستشـفى مـن أجـل العلاج مـن دول أخـرى؛ لذلـك يجـب علـى المستشـفى الالتـزام بأحـكام النظـام.

مثال | النطاق المكاني | المعالجة داخل المملكة | جهة عامة

تقــوم وزارة التعليــم فــي المملكــة بمعالجــة البيانــات الشــخصية الخاصــة بموظفيهــا، والاطفــال الذيــن يرتــادون
المـدارس، والمعلميـن فـي المملكـة، وتنـدرج إجـراءات المعالجـة التـي تجريهـا الـوزارة فـي المملكـة ضمـن نطـاق
النظـام.

الحالة (2): من هم الأفراد المقيمون في المملكة؟

لا يقتصـر تعريـف الاشـخاص المقيميـن فـي المملكـة علـى جنسـية الفـرد أو وضـع إقامتـه، بـل تسـري أحـكام النظـام
علـى معالجـة البيانـات الشـخصية الخاصـة بجميـع الافـراد المقيميـن فـي المملكـة أيـا كانـت جنسـيتهم أو مـدة إقامتهـم،
ومـن هـؤلاء الاشـخاص، علـى سـبيل المثـال لا الحصـر:

  1. مواطني المملكة.
  2. المقيمين بالمملكة مثل العمال المؤقتين والدائمين.
  3. الزوار المؤقتين بما في ذلك السياح والزوار لأي سبب.
  4. أي فرد آخر مقيم في المملكة لأي سبب ولأي مدة زمنية، بغض النظر عن الأساس النظامي للإقامة.

مثال | النطاق المكاني | القامة في المملكة لغراض العمل

تمـارس إحـدى الشـركات التجاريـة نشـاطها فـي المملكـة، ويعمـل معظـم موظفيهـا فـي مكتبهـا بمدينـة الريـاض
بطريقـة دائمـة، وتخضـع معالجـة بياناتهـم الشـخصية للنظـام.

بينما يعمل بعض موظفيها في مكتبها بمدينة دبي ويزورون مكتب الرياض مرة في الشهر.

تخضــع معالجــة البيانــات الشــخصية للموظفيــن العامليــن فــي مكتــب دبــي للنظــام عنــد إقامتهــم فــي مدينــة
الريــاض.

مثال | النطاق المكاني | زيارة المملكة من أجل السياحة

قدمـت عائلـة مـن اليابـان إلـى المملكـة لأغـراض السـياحة، وتقيـم هـذه العائلـة فـي أحـد الفنـادق بمدينـة الريـاض،
ويســجل الفنــدق بياناتهــا الشــخصية بمــا فــي ذلــك الأســماء، وأرقــام الهواتــف، وأرقــام البطاقــات المصرفيــة،
وعناويـن البريـد الإلكترونـي، كمـا أنـه يخـزن بياناتهـا الشـخصية لشـهور عديـدة بعـد عودتهـا إلـى اليابـان، وسـتخضع
البيانـات الشـخصية الخاصـة بأفـراد العائلـة اليابانيـة للحمايـة بموجـب النظـام طـوال فتـرة تخزيـن الفنـدق بالريـاض
لهـذه البيانـات حتـى إن لـم تعـد العائلـة مقيمـة فـي المملكـة.

الحالة (3): ما المقصود بـ«جهة خارج المملكة»؟

أي جهـة مثـل الجهـات العامـة أو الخاصـة أو الأشـخاص ذوي الصفـة الطبيعيـة أو الإعتباريـة مهمتهـم القيـام بمعالجـة
البيانـات الشـخصية الخاصـة بالأفـراد (المقيميـن فـي المملكـة) حيـث إن عمليـات المعالجـة التـي تقـوم بهـا هـذه الجهـات
تخضـع للنظـام حتـى إذا تمـت المعالجـة خـارج الولايـة القضائيـة للمملكـة.

مثال | النطاق المكاني | الجهات خارج المملكة

  1. تقـدم إحـدى الشـركات الاستشـارية فـي ألمانيـا الخدمـات إلـى عملائهـا المقيميـن فـي مدينـة جـدة، وتتضمـن
    هــذه الخدمــات معالجــة البيانــات الشــخصية الخاصــة بالموظفيــن العامليــن لــدى عملائهــا لأغــراض تحســين
    العمـل، وتقـع معالجـة البيانـات هـذه ضمـن نطـاق النظـام ويجـب علـى الشـركة الاستشـارية الالتـزام بأحـكام
    النظـام علـى الرغـم مـن أنهـا ليسـت جهـة فـي المملكـة.
  2. يمـارس متجـر إلكترونـي نشـاطه فـي المملكـة، ويعـد عمـلاء المتجـر أفـرادا يقطنـون فـي المملكـة ويعملـون
    فيهـا، ويسـتخدم المتجـر الالكترونـي الحلـول السـحابية لتخزين البيانات الشـخصية الخاصة بعملائه، وتسـتضيف
    شـركة تكنولوجيـا أمريكيـة فـي الولايـات المتحـدة الامريكيـة الحـل السـحابي.

يخضـع جميـع الأفـراد، فـي الحالـة (1) والحالـة (2)، بغـض النظـر عـن جنسـيتهم أو وضـع إقامتهـم، للحمايـة بموجـب
النظـام.

ما هو الدور الذي تؤديه جهات التحكم وجهات المعالجة بموجب النظام؟

يتضمن النظام دورين أساسيين في معالجة البيانات: دور جهة التحكم ودور جهة المعالجة.

ويقـع علـى عاتـق كل منهمـا مسـتويات مختلفـة مـن المسـؤولية فيمـا يتعلـق بالمعالجـة، ونـص النظـام علـى تعريفهمـا
كمـا يلـي:

الفقرة (18) من المادة (الولى) من النظام

جهــة التحكــم: أي جهــة عامــة، وأي شــخصية ذات صفــة طبيعيــة أو اعتباريــة خاصــة؛ تحــدد الغــرض مــن معالجــة
البيانــات الشــخصية، وكيفيــة ذلــك؛ ســواء أباشــرت معالجــة البيانــات بوســاطتها أم بوســاطة جهــة المعالجــة.

الفقرة (19) من المادة (الولى) من النظام

جهــة المعالجــة: أي جهــة عامــة، وأي شــخصية ذات صفــة طبيعيــة أو اعتباريــة خاصــة؛ تعالــج البيانــات الشــخصية
لمصلحـة جهـة التحكـم ونيابـة عنهـا.

جهــة التحكــم هــي الجهــة التــي تتخــذ القــرارات بشــأن أغــراض المعالجــة وكيفيــة إجــراء ذلــك، ويمكــن أن تتحمــل جهــة
التحكــم وحدهــا المســؤولية عــن اتخــاذ هــذه القــرارات أو يتحملهــا عديــد مــن جهــات التحكــم (مثــلا إذا كانــت هنــاك عــدة
جهــات تحكــم لنفــس المعالجــة للبيانــات الشــخصية)، وتتولــى جهــة التحكــم مســؤولية أكبــر عــن المعالجــة التــي أجريــت
ويفــرض عليهــا عديــد مــن الالتزامــات بموجــب النظــام مقارنــة بجهــة المعالجــة.

تـؤدي جهـة المعالجـة دورا آخـر يخضـع للنظـام إذ إنهـا تعالـج البيانـات الشـخصية نيابـة عـن جهـة التحكـم، وعلـى عكـس
جهـة التحكـم، لا تتخـذ جهـة المعالجـة قـرارات عـن أغـراض المعالجـة وكيفيتهـا.

وفي جميع الأحوال يجب على جهة التحكم التأكد من الالتزام بالنظام من قبل جهة المعالجة التي تتعامل معها.

متى لا تسري أحكام النظام؟

لا يسري النظام وأحكامه في حالة معالجة البيانات الشخصية لأغراض عائلية أو شخصية.

الفقرة (2) من المادة (الثانية) من النظام

يُســتثنى مــن نطــاق تطبيــق النظــام، قيــام الفــرد بمعالجــة البيانــات الشــخصية لأغــراض لا تتجــاوز الإســتخدام
الشــخصي أو العائلــي، مــا دام أنــه لــم ينشــرها أو يفصــح عنهــا للغيــر.

ما المقصود بالاستخدام الشخصي أو العائلي؟

يقصــد بالاســتخدام الشــخصي أو العائلــي معالجــة البيانــات الشــخصية مــن قبــل فــرد داخــل نطــاق أســرته أو دائرتــه
الاجتماعيــة المحــدودة، ولا يتعلــق ذلــك بــأي اســتخدام ذي طابــع مهنــي أو تجــاري، كمــا أنــه لا يتضمــن نشــر البيانــات
الشـخصية للجمهـور أو الإفصـاح عنهـا إلـى أي فـرد خـارج النطـاق العائلـي أو الشـخصي، ويُقصـد مـن ذلـك أنـه لا يجـب
الالتــزام بأحــكام النظــام عنــد اســتخدام البيانــات الشــخصية لاغــراض شــخصية أو عائليــة خالصــة، وقــد تتضمــن، علــى
ســبيل المثــال لا الحصــر:

  1. التواصل مع الأقارب، والأصدقاء، وزملاء العمل، والأشخاص الآخرين لأغراض شخصية لا تتعلق بالعمل.
  2. التقاط الصور أو تسجيل مقاطع الفيديو لأغراض شخصية.
  3. تسجيل بيانات التواصل الخاصة بأفراد آخرين ومشاركتها لأغراض شخصية.


مثال | الاستخدام الشخصي أو العائلي | المعالجة غير الخاضعة للنظام

يقـوم مجموعـة مـن الأصدقـاء بالاحتفـال بتخـرج أحدهـم مـن الجامعـة فـي مطعـم فـي مدينـة الدمـام، وقـد قـام
الاصدقـاء أثنـاء الاحتفـال بالتقـاط صـور لهـم وتسـجيل مقاطـع فيديـو أثنـاء الاحتفـال، وفيمـا بعـد نشـر الاصدقـاء
هـذه الصـور ومقاطـع الفيديـو فـي منصـات التواصـل الاجتماعـي لأغراضهـم الشـخصية، وتعتبـر الصـور ومقاطـع
الفيديـو بيانـات شـخصية للأفـراد الموجوديـن فـي الصـور ومقاطـع الفيديـو.
فـي هـذه الحالـة لـن يقـع أخـذ الصـور وتسـجيل مقاطـع الفيديـو ونشـرها فـي منصـات التواصـل الاجتماعـي ضمـن
نطـاق النظـام ويجـب التنويـه أنـه قـد ينطبـق عليهـا أنظمـة أخـرى علـى سـبيل المثـال لا الحصـر (مكافحـة الجرائـم
المعلوماتيـة، حمايـة الملكيـة الفكريـة وغيرهـا).

مثال | الاستخدام الشخصي أو العائلي | المعالجة الخاضعة للنظام

يسـافر مـدون شـهير إلـى جميـع أنحـاء العالـم باسـتمرار وينشـر القصـص عـن رحاتـه، وفـي بعـض الأحيـان ينشـر
صــورا عــن الفنــادق والمطاعــم التــي يزورهــا فــي المملكــة والتــي تتضمــن كذلــك صــورا لأشــخاص آخريــن (علــى
سـبيل المثـال: العامليـن بالفنـادق والمطاعـم)، ثـم يتلقـى هـذا المـدون مقابـلاً ماديـا مـن هـذه الفنـادق والمطاعـم
نظيــر نشــر هــذا المحتــوى فــي منصــات التواصــل الاجتماعــي، وفــي هــذه الحالــة يتعلــق نشــر الصــور بالأنشــطة
المهنيـة والتجاريـة التـي يمارسـها المـدون، لـذا سـيقع نشـاط أخـذ هـذه الصـور ونشـرها ضمـن نطـاق النظـام.

متى يدخل النظام حيز التنفيذ؟

دخل النظام حيز التنفيذ في 14 سبتمبر 2023م.

وفقاً للبنـد (ثالثـاً) مـن المرسـوم الملكـي رقـم م/ 19 (الـذي اعتمـد النظـام)، توجـد فتـرة تصحيحيـة لمـدة عـام مـن تاريـخ
دخـول النظـام حيـز التنفيـذ لضمـان اللتـزام بـه.

ما الذي ينبغي فعله خلل الفترة التصحيحية؟

لـن تقـوم الجهـة المختصـة خـال الفتـرة التصحيحيـة بفـرض العقوبـات، وعلـى الرغـم مـن ذلـك يجـب علـى جهـات التحكـم
خـلال هـذه الفتـرة القيـام بتعديـل أوضاعهـا لضمـان الالتـزام بأحـكام النظـام بحلـول 14 سـبتمبر 2024م.

وفقـا ً للبنـد (ثالثـا) مـن المرسـوم الملكـي رقـم م/ 19 وتاريـخ 1443/2/9 يجـوز للجهـة المختصـة تمديـد الفتـرة التصحيحية
فـي حالـة تقديـم أسـباب معقولـة تسـتدعي تمديدهـا، وسـتحدد الجهـة المختصـة طبيعـة الأسـباب المعقولـة فـي كل
حالـة علـى حـدة وفقـا لتقديرهـا، ولا تعفـي الفتـرة التصحيحيـة الجهـات مـن وجـوب الالتـزام بالانظمـة واللوائـح الأخـرى
المعمـول بهـا فـي مجـال حمايـة البيانـات الشـخصية (علـى سـبيل المثـال: فـي القطـاع المالـي وقطـاع الرعايـة الصحيـة).

من هي الجهة المختصة؟

وفقـا لقـرار مجلـس الـوزراء رقـم 98 وتاريـخ 1443/2/7 الجهـة المختصـة هـي سـدايا لمـدة سـنتين، وينظـر خالهـا -فـي
ضـوء مـا ينتـج عـن تطبيـق أحـكام النظـام ولوائحـه وفـي ضـوء مسـتوى النضـج فـي قطـاع البيانـات- فـي نقـل اختصـاص
الإشـراف علـى تطبيـق أحـكام النظـام ولوائحـه إلـى مكتـب إدارة البيانـات الوطنيـة.

وتتضمن المهام الرئيسية للجهة المختصة، على سبيل المثال لا الحصر الآتي:

  1. مراقبة الالتزام بأحكام النظام والاشراف عليه وتنفيذه.
  2. تقديم المشورات حول النظام والوثائق النظامية الأخرى المتعلقة بحماية البيانات الشخصية.
  3. إدارة استقبال الشكاوى والتحقيق فيها.


حقوق الأفراد

ينـص النظـام علـى أن الأفـراد يتمتعـون بعـدد مـن الحقـوق، ويجـب علـى جهـات التحكـم التأكـد مـن أنـه يمكـن للأفـراد
ممارسـة هـذه الحقـوق.

الرقم حق الفرد وصف الحق مواد النظام
1 الحق في العلم
 يحق للأفراد إحاطتهم علماً بالمسوغ النظامي لجمع بياناتهم الشخصية والغرض من ذلك
 الفقرة 1 من المادة 4
2 الحق في الوصول إلى البيانات الشخصية
 يحق للأفراد الوصول إلى بياناتهم الشخصية المتوفرة لدى جهة التحكم
 الفقرة 2 من المادة 4
3 الحق في طلب الحصول على البيانات الشخصية
 يحق للأفراد طلب تقديم نسخة من بياناتهم الشخصية بصيغة مقروءة وواضحة
 الفقرة 3 من المادة 4
4 الحق في طلب تصحيح البيانات الشخصية
 يحق للأفراد طلب تصحيح بياناتهم الشخصية (إذا كانت غير صحيحة)، أو إتمامها (إذا كانت ناقصة)، أو تحديثها (إذا كانت غير محدثة.(
 الفقرة 4 من المادة 4
5 الحق في طلب إتلاف البيانات الشخصية
 يحق للأفراد طلب إتلاف بياناتهم الشخصية وفقا لمتطلبات النظام واللوائح التنفيذية للنظام
 الفقرة 5 من المادة 4
6 الحق في الرجوع عن الموافقة
 يحق للأفراد في أي وقت الرجوع عن موافقتهم التي قدموها من قبل عن معالجة بياناتهم الشخصية
 الفقرة 2 من المادة 5


مبادئ حماية البيانات الشخصية

علـى الرغـم مـن أن النظـام لـم ينـص صراحـة علـى أي مبـادئ تتعلـق بحمايـة البيانـات الشـخصية، فإنهـا مذكـورة ضمنـا
فـي أحـكام النظـام.

يسـاعد فهـم هـذه المبـادئ علـى فهـم متطلبـات النظـام، وثمـة سـبعة مبادئ أساسـية تتعلـق بحماية البيانات الشـخصية
وتشـكل أسـاس النظام، وهي:

الرقم المبدأ وصف المبدأ
1 النظامية والامانة والشفافية
 1.يجب التأكد من جمع البيانات الشخصية استناداً إلى مسوغ نظامي.
2.يلزم معالجة البيانات الشخصية في جميع الأوقات بما يتوافق مع النظمة واللوائح المعمول بها في المملكة.
3.ينبغي تزويد الأفراد بما يوضح لهم كيفية معالجة بياناتهم الشخصية.
2 محدودية الغرض
 1.يجب أن يكون لدى الجهة غرض محدد لمعالجة البيانات الشخصية.
2.يجب كذلك تحديد الغرض من جمع البيانات الشخصية وتوثيقه في سجل أنشطة المعالجة.
3 تقليل البيانات
 ينبغي الامتناع عن جمع بيانات شخصية بطريقة تزيد على الحاجة من أجل تحقيق الغرض من المعالجة، لذا إذا لم  تكن هنالك حاجة إلى البيانات الشخصية، يجب الامتناع عن جمعها
4 محدودية التخزين
 ينبغي الامتناع عن تخزين البيانات الشخصية لفترة أطول من الفترة المناسبة لتحقيق أغراض معالجة البيانات الشخصية أو الفترة المحددة في النظمة أو اللوائح المعمول بها
5 الدقة
 1.يجب مراجعة البيانات الشخصية بطريقة مستمرة للتاكد من لنهل صحيحة وكاملة ومحدثة.
2.ينبغي ان تمنح للأفراد فرصة لمراجعة بياناتهم الشخصية وتحديثها, اذا كانت هناك حاجة الى ذلك.
6 النزاهة والسرية
 يجب اتخاذ إجراءات تنظيمية وإدارية وتقنية كافية من أجل حماية البيانات الشخصية وضمان سريتها وسلامتها وإمكانية الوصول إليها أثناء نقلها وتخزينها.
7 المسؤولية
 يجب اتخاذ إجراءات مناسبة وتوفير السجلات اللازمة لإثبات الالتزام بالأنظمة واللوائح والمبادئ المتعلقة بحماية البيانات الشخصية


يُرجـى العلـم أن الالتـزام بالمبـادئ أعـلاه لـن يعفـي مـن الالتـزام للنظـام بشـكل كامـل، ومـن المهـم مراجعـة كل متطلبـات
النظـام واللوائـح لضمـان الامتثـال لهـا، وتشـكل المبـادئ أعـلاه الأسـاس نحـو الامتثـال الفعـال للنظـام

الملحــــق (1) أمثلــــــــة للممارســـــــات المخالفـة للنظـــــام عند التعامــــل مـــع البيانـــات الشـخصية

يرجـى العلـم أن هـذه القائمـة غيـر شـاملة ووضعـت لأغـراض التوضيـح فحسـب، ويلـزم عنـد تجنـب الممارسـات الـواردة
فـي هـذه القائمـة، الحـرص علـى اسـتيفاء جميـع المتطلبـات المنصـوص عليهـا فـي النظـام.

مثال (1) | استخدام البيانات الشخصية دون مسوغ نظامي محدد

يجمــع متجــر إلكترونــي مــن كل عميــل، قبــل إتمــام عمليــة البيــع، اســمه وبريــده الالكترونــي ورقــم هاتفــه، ولا
يحصـل العملاء علـى أي توضيحـات عـن سـبب جمـع هـذه البيانـات ولا يُطلـب منهـم أي موافقـة لمعالجـة بياناتهـم
الشــخصية.

بعد جمع البيانات الشخصية أعلاه، يعمل المتجر على:

  1. وضع البيانات الشخصية المجمعة في نظام التخزين السحابي المستضاف خارج المملكة.
  2. إرسال رسائل تسويقية إلى عناوين البريد اللكتروني المجمعة لديه بشكل مستمر.
  3. نقل البيانات الشخصية المجمعة إلى وكالة تحليل البيانات.

لـم يحـدد المتجـر أي مسـوغات نظاميـة لأي مـن الأغـراض أعـلاه فيمـا يتعلـق باسـتخدام البيانـات الشـخصية، ولا
تـدرك إدارة المتجـر مـا هـي المسـوغات النظاميـة التـي يمكـن اسـتخدامها.

تعـد هـذه مـن الممارسـات المخالفـة وينبغـي تجنبهـا، إذ إنـه يجـب دائمـا تحديـد المسـوغات النظاميـة لـكل غـرض
مـن أغـراض معالجـة البيانـات الشـخصية وفـق المـادة الخامسـة والمـادة السادسـة مـن النظـام.

مثال (2) | جمع البيانات الشخصية دون غرض محدد

تجمـع الصيدليـة أرقـام الهواتـف الخاصـة بـكل عملائهـا، وعنـد سـؤالها عـن السـبب فـي ذلـك، لـم يسـتطع موظـف
أو مديـر الصيدليـة توضيـح السـبب فـي حاجـة الصيدليـة إلـى أرقـام الهواتـف، ومـا اسـتطاعا تفسـيره هـو أن “هـذا
يعتبــر إجــراء روتينيــا للصيدليــة” ولا يوجــد فــي الصيدليــة أي وثائــق تحــدد الغــرض مــن جمــع هــذه البيانــات بصفــة
رسـمية.

تعــد هــذه مــن الممارســات المخالفــة التــي يجــب تجنبهــا، إذ إنــه يلــزم عــدم جمــع البيانــات الشــخصية إلا فــي حالــة
تحديــد أغــراض جمعهــا وتوثيــق هــذه الأغــراض وإحاطــة صاحــب البيانــات علمــا بهــا.

مثال (3) | تخزين البيانات الشخصية لفترة غير محددة

تخـزن إدارة المـوارد البشـرية فـي أنظمتهـا بيانـات عـن جميـع الموظفيـن العامليـن بالجهـة، مثـل الموظفيـن الذيـن
تركـوا العمـل، كمـا أنهـا تخـزن السـير الذاتيـة لجميـع المرشـحين الذيـن تقدمـوا بطلـب الالتحـاق بالجهـة لمـدة غيـر
محـددة ولا تحذفهـا أبـدا.

تعـد هـذه مـن الممارسـات المخالفـة التـي يجـب تجنبهـا، إذ إنـه يلـزم إتـلاف البيانـات الشـخصية التـي لـم تعـد الإدارة
بحاجـة إليهـا (مـع مراعـاة الاسـتثناء الموضـح فـي المـادة الثامنـة عشـرة مـن النظـام.)

مثال (4) | معالجة البيانات الشخصية دون تسجيل أنشطة المعالجة

تحلــل شــركة تســويق كميــة كبيــرة مــن البيانــات الشــخصية الخاصــة بعديــد مــن العمــلاء، ولــدى الشــركة عــدد مــن
الإدارات ذوات مســؤوليات مختلفــة.

لا تحـرص شـركة التسـويق علـى توثيـق أي مـن أنشـطة المعالجـة التـي تجريهـا، ونتيجـة لذلـك لا تعلـم إدارة الشـركة
أنـواع البيانـات الشـخصية التـي تعالجهـا ومـكان تخزينهـا وإلـى مـن ُتنقـل هـذه البيانـات الشـخصية.

تعــد هــذه مــن الممارســات المخالفــة التــي ينبغــي تجنبهــا، إذ إنــه يلــزم الحفــاظ علــى ســجلات الأنشــطة المعالجــة
لفهــم العمليــات المتعلقــة بالبيانــات الشــخصية فــي الجهــة.

مثال (5) | مشاركة البيانات الشخصية دون أي مسوغ نظامي ودون توجيه أي إشعار خصوصية إلى الأفراد

يحصـل العميـل علـى رقـم هاتـف جديـد مـن إحـدى شـركات الاتصـالات، وفـي اليـوم ذاتـه، تبيـع الشـركة قاعـدة
البيانـات التـي تتضمـن بيانـات العميـل الشـخصية إلـى شـركة دعائيـة، ولـم يكـن العميـل علـى درايـة بنقـل بياناتـه
الشـخصية لأغـراض دعائيـة، ثـم يتفاجـأ عندمـا يبـدأ فـي اسـتلام رسـائل دعائيـة مـن المتاجـر والمطاعـم والصيدليـات
التـي لـم يتواصـل معهـا أو يزورهـا مـن قبـل.

تعـد هـذه مـن الممارسـات المخالفـة التـي ينبغـي تجنبهـا، إذ إنـه يلـزم بالامتنـاع عـن مشـاركة البيانـات الشـخصية
مـع أي جهـة مـا لـم يكـن هنـاك مسـوغ نظامـي لذلـك ومـا لـم يكـن هنـاك امتثـال لمتطلبـات النظـام المتعلقـة
بالافصــاح عــن البيانــات الشــخصية، ويجــب أن يحصــل الفــرد الــذي تشــارك بياناتــه الشــخصية مــع الآخريــن علــى
إشـعار خصوصيـة حتـى يـدرك كيفيـة معالجـة بياناتـه الشـخصية والسـبب فـي ذلـك.

مثال (6) | عدم وجود سياسات وتدريب عن حماية البيانات الشخصية

لـم تصـدر الصيدليـة أي سياسـات أو إجـراءات تتعلـق بحمايـة البيانـات فضـلا عـن أن العامليـن فيهـا لـم يحصلـوا
علــى أي تدريــب أو توعيــة عــن ممارســات حمايــة البيانــات الشــخصية، ونتيجــة لذلــك لا يــدرك موظفوهــا كيفيــة
معالجــة البيانــات الشــخصية الخاصــة بعملائهــا بصفــة يوميــة.

تعـد هـذه مـن الممارسـات المخالفـة التـي يجـب تجنبهـا، إذ إنـه يتعيـن إصـدار سياسـات وإجـراءات تتعلـق بحمايـة
البيانــات الشــخصية وتنظيــم كيفيــة اســتخدام البيانــات الشــخصية فــي الجهــة، وعنــد إعــداد هــذه السياســات أو
الإجـراءات، مـن المهـم تنفيذهـا داخـل المؤسسـة وأن يكـون الموظفـون علـى درايـة بمسـؤولياتهم. كمـا أنـه يجـب
 تدريـب الموظفيـن الذيـن يقومـون بمعالجـة البيانـات بصفـة مسـتمرة حتـى يتسـنى لهـم فعـل ذلـك وفقـا للنظـام
وسياسـات الجهـة الداخليـة

مثال (7) | الإعلان عن بيانات المرضى الشخصية في العيادة

يوجـد فـي إحـدى العيـادات منطقـة انتظـار مخصصـة للمرضـى يجلسـون فيهـا قبـل تلقـي العـلاج، يكـون الطبيـب
 بالعيـادة جاهـزا لاسـتقبال المريـض، تأتـي الممرضـة إلـى منطقـة الانتظـار وتنـادي بصـوت مرتفـع علـى المريـض
وأســباب الزيــارة حيــث يمكــن لجميــع المرضــى الآخريــن ســماع هــذه المعلومــات، تعــد هــذه مــن الممارســات
المخالفـة التـي يجـب تجنبهـا، إذ إن اسـم المريـض (وسـبب الزيـارة) مـن البيانـات الشـخصية للمريـض ويجـب التأكـد
 مـن عـدم الفصـاح عـن اسـم المريـض إلا إذا كان ذلـك اسـتنادا إلـى المسـوغات النظاميـة المحـددة فـي المـادة
الخامســة والمــادة السادســة وشــريطة اســتيفاء المتطلبــات الإضافيــة المنصــوص عليهــا فــي المــادة الخامســة
عشـرة مـن النظـام.

عودة