المركز المعرفي

المقدمة

نظراً للدور الذي تضطلع به الهيئة السعودية للبيانات والذكاء الاصطناعي في رفع مستوى الوعي لدى الجهات المشمولة بأحكام نظام حماية البيانات الشخصية "النظام" ولوائحه التنفيذية ولتمكينهم من معرفة التزاماتهم الواردة في المادة (الحادية والثلاثون) من النظام، وما ورد في شأنه في المادة (الثالثة والثلاثون) من اللائحة التنفيذية، أصدرت الهيئة السعودية للبيانات والذكاء الاصطناعي هذا الدليل الاسترشادي بغرض مساعدة الجهات عند إعداد سجلات أنشطة معالجة البيانات الشخصية.

كما يقدم هذا الدليل نموذجاً استرشادياً لسجلات أنشطة معالجة البيانات الشخصية للعمل به، حيث يساهم هذا النموذج في مساعدة جهات التحكم على الالتزام بأحكام النظام ولوائحه التنفيذية عند إعدادها لسجلات أنشطة معالجة البيانات الشخصية، ويمكن الرجوع إلى النظام ولوائحه التنفيذية لتحديد المقصود بالألفاظ والعبارات الواردة في هذا الدليل، وتحديد المتطلبات النظامية، فلا يمكن أن يُغني الاطلاع على هذا الدليل عن الرجوع إلى أحكام النظام ولوائحه التنفيذية، ولا يعد هذا الدليل نصاً نظامياً ملزماً؛ إذ تمثل أحكام النظام ولوائحه التنفيذية المرجعية النظامية لجميع ما يتعلق بتطبيق أحكامه.

الأهداف

يهدف هذا الدليل إلى الآتي:

1. دعم الجهات في تطبيق أحكام النظام.
2. تشجيع الجهات على تبني أفضل ممارسات حماية البيانات الشخصية.
3. إيضاح العناصر الأساسية التي يجب أخذها بعين الاعتبار عند إعداد سجلات أنشطة معالجة البيانات الشخصية.
4. المحافظة على خصوصية أصحاب البيانات الشخصية.

أولاً: متطلبات سجلات أنشطة معالجة البيانات الشخصية

استناداً إلى المادة (الحادية والثلاثون) من النظام فإن على جهة التحكم الاحتفاظ بسجلات لأنشطة معالجة البيانات الشخصية بحسب طبيعة النشاط الذي تمارسه لتكون متاحة عندما تطلبها الجهة المختصة وبدون الإخلال بأحكام الإتلاف الواردة في المادة (الثامنة عشرة) من النظام، وبناءً على ما ورد في المادة (الثالثة والثلاثون) من اللائحة التنفيذية فإنه على جهة التحكم عند إعدادها لسجلات أنشطة معالجة البيانات الشخصية القيام بالآتي:

1. الاحتفاظ بسجل أنشطة معالجة البيانات الشخصية أثناء فترة استمرار عمليات معالجة البيانات الشخصية، إضافة إلى خمس سنوات تبدأ من تاريخ انتهاء نشاط معالجة البيانات الشخصية.
2. يجب أن تكون سجلات أنشطة معالجة البيانات الشخصية مكتوبة.
3. ضمان دقة وحداثة سجلات أنشطة معالجة البيانات الشخصية.
4. إتاحة سجلات أنشطة معالجة البيانات الشخصية للجهة المختصة عند طلبها.

ثانياً: محتويات سجلات أنشطة معالجة البيانات الشخصية

يجب أن يتضمن سجل أنشطة معالجة البيانات الشخصية المحتويات الآتية كحد أدنى:

1. اسم جهة التحكم وبيانات التواصل ذوات الصلة بها.
2. بيانات مسؤول حماية البيانات الشخصية في الأحوال التي تتطلب تعيين مسؤول حماية البيانات الشخصية.
3. أغراض معالجة البيانات الشخصية.
4. وصف لفئات البيانات الشخصية التي تتم معالجتها، وفئات أصحاب البيانات الشخصية.
5. المدة الزمنية المتوقعة للاحتفاظ بالبيانات الشخصية، ومدد الاحتفاظ الخاصة بكل من فئات البيانات الشخصية، ما أمكن ذلك.
6. أي جهة جرى أو سيجري إفصاح البيانات الشخصية لها وفئات الجهات التي يتم الإفصاح لها عن البيانات الشخصية.
7. ما إذا جرى أو سيجري نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة، ووصف عمليات نقل البيانات الشخصية إلى خارج المملكة، بما فيها المسوغات النظامية لعمليات النقل والجهات التي يتم نقل البيانات الشخصية إليها.
8. وصف الإجراءات والوسائل التنظيمية والإدارية والتقنية المطبقة التي تضمن المحافظة على البيانات الشخصية، ما أمكن ذلك.

ثالثاً: تفاصيل المحتويات لسجلات أنشطة البيانات الشخصية

يساهم نموذج محتويات السجلات لأنشطة معالجة البيانات الشخصية في مساعدة الجهات على إنشاء سجل كامل وشامل لأنشطة المعالجة الخاصة بها التي توثق فيها أنواع المعلومات بطريقة مفصلة وتربطها معاً بشكل هادف. وتم تقسيمها كالآتي:

• لمزيد من التفاصيل حول محتويات سجلات أنشطة البيانات الشخصية يمكنكم الاطلاع عليها من خلال زيارة الدليل الاسترشادي لسجلات أنشطة معالجة البيانات الشخصية.