‏برنامج مشاهدة محتويات الانترنت‏

المركز المعرفي

التصنيفات الرئيسية
السياسات والأنظمة الادلة الاجرائية والاسترشادية الأدلة والقواعد الاسئلة الشائعة لنظام حماية البيانات الشخصية

الدليل الاسترشادي لتقويم مخاطر نقل البيانات الشخصية إلى خارج المملكة

المقدمة

نظراً إلى ما يمثله إصدار الأدلة الاسترشادية المتعلقة بتطبيق أحكام نظام حماية البيانات الشخصية ("النظام") من أهمية في مساعدة الجهات المشمولة في نطاق تطبيق أحكام النظام، ودعم تطبيق أحكامه، فقد تم إعداد هذا الدليل من قبل الهيئة السعودية للبيانات والذكاء الاصطناعي ("الجهة المختصة")؛ لإيضاح الخطوات العملية لإجراء تقويم مخاطر نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهات خارج المملكة ("إجراء تقويم مخاطر النقل أو الإفصاح")، من خلال تحديد المفاهيم والخطوات التحضيرية للقيام بذلك؛ أخذاً بعين الاعتبار المراحل الرئيسية لتقويم الآثار السلبية والمخاطر المحتملة عن معالجة البيانات الشخصية بصفةٍ عامة.
ويكون للألفاظ والعبارات الواردة في هذا الدليل المعاني المبيّنة أمام كل منها في نظام حماية البيانات الشخصية الصادر بالمرسوم الملكي رقم (م/ ١٩) وتاريخ ٩/٢/١٤٤٣ه، وتعديلاته، ولوائحه التنفيذية.
ويُمكن الاستفادة من الأداة الداعمة لتقويم مخاطر نقل البيانات الشخصية المُقدّمة من خلال المنصة الخاصة بالجهة المختصة، والتي تهدف إلى مساعدة الجهات في إعداد هذا الإجراء.

المراحل الأساسية لإجراء تقويم مخاطر نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهات خارج المملكة

أولاً: مرحلة الإعداد

تتضمن هذه المرحلة الخطوات المطلوبة قبل البدء في إجراء تقويم مخاطر النقل أو الإفصاح، والتي تشمل تحديد ما إذا كان الأمر يتطلب إجراء تقويم للآثار المترتبة والمخاطر المحتملة عن معالجة البيانات الشخصية عند تقديم خدمة أو منتج للعموم، والخطوات المرتبطة بذلك، وفي هذه المرحلة يتم اتباع الخطوات الآتية:

أ. تحديد مدى إلزامية تقويم الآثار المترتبة والمخاطر المحتملة:

تتمثل هذه الخطوة في تقديم وصف شامل لتحديد مدى إلزامية إجراء تقويم للآثار المترتبة والمخاطر المحتملة عن معالجة البيانات الشخصية عند تقديم منتج أو خدمة للعموم، بحيث يتم التحقق من توفر أي من الأحوال المنصوص عليها في الفقرة (١) من المادة (الخامسة والعشرين) من اللائحة التنفيذية للنظام، وفقاً للآتي:

  1. في حال تضمنت المعالجة بيانات حساسة.
  2. في حال جمع أو مقارنة أو ربط مجموعتين أو أكثر من مجموعات البيانات الشخصية من مصادر متعددة.
  3. في حال كان نشاط جهة التحكم يتضمن معالجة بيانات شخصية – على نطاق واسع أو بصورة متكررة – لناقصي أو عديمي الأهلية، أو عمليات المعالجة التي تتطلب بطبيعتها مراقبة مستمرة لأصحاب البيانات الشخصية، أو معالجة بيانات شخصية باستخدام تقنيات ناشئة، أو اتخاذ قرارات مبنية على المعالجة الآلية للبيانات الشخصية.
  4. تقديم منتج أو خدمة تتضمن معالجة البيانات الشخصية التي من المحتمل أن تشكل أضراراً جسيمة على خصوصية أصحاب البيانات الشخصية.

ب. وصف المنتج أو الخدمة:

تتمثل هذه الخطوة في تقديم وصف شامل حول الخدمة أو المنتج الذي يتضمن معالجة للبيانات الشخصية، بما يساعد على تقييم مدى ارتباط المنتج أو الخدمة بنشاط الجهة، وارتباطه بالغرض الذي تم جمع البيانات الشخصية من أجله.

ج. تحديد الغرض:

تتمثل هذه الخطوة في تحديد الغرض بدقة ووضوح بما يضمن إمكانية تحديد ارتباطه بأنشطة معالجة البيانات الشخصية بصفةٍ عامة، والأنشطة المرتبطة بنقل البيانات الشخصية أو الإفصاح عنها لجهات خارج المملكة على وجه الخصوص.

د. تحديد سياق معالجة البيانات الشخصية:

تتمثل هذه الخطوة في وصف سياق المعالجة؛ في ضوء جميع المراحل الرئيسية لمعالجة البيانات الشخصية، ابتداءً من مرحلة جمع البيانات الشخصية وانتهاءً بمرحلة إتلافها، بما يشمل مراحل الاحتفاظ والاستخدام والإفصاح عن البيانات الشخصية.
ويتم وصف كل مرحلة من هذه المراحل من خلال تحديد أنشطة معالجة البيانات الشخصية المرتبطة بكل مرحلة، والعناصر الإضافية المرتبطة بكل نشاط من أنشطة المعالجة؛ بما يتناسب مع كل مرحلة، على النحو الآتي:

  1. مرحلة الجمع: يتم تحديد جميع أنشطة المعالجة ذات الصلة بجمع البيانات الشخصية، مع إيضاح العناصر المرتبطة بهذه الأنشطة، ومن بينها ما يأتي:
    أ. مصادر جمع البيانات الشخصية: يتم تحديد مصادر جمع البيانات الشخصية، سواءً تم الحصول عليها من أصحاب البيانات الشخصية مباشرةً أو من أطراف أخرى، ويتم تحديد اسم الجهة إذا كان المصدر طرفاً آخر.
    ب. وسائل جمع البيانات الشخصية: يتم تحديد جميع وسائل جمع البيانات الشخصية، بما يشمل النماذج الإلكترونية وملفات تعريف الارتباط، أو غير ذلك من الوسائل التي من الممكن جمع البيانات الشخصية من خلالها.
  2. مرحلة التخزين/ الاحتفاظ: يتم تحديد جميع أنشطة المعالجة ذات الصلة بتخزين البيانات الشخصية والاحتفاظ بها، بما يشمل الاحتفاظ بها لأغراض التشغيل أو الأرشفة أو النسخ الاحتياطية، مع إيضاح العناصر الآتية لوصف الأنشطة المرتبطة بهذه المرحلة:
    أ. الموقع الجغرافي للتخزين/ الاحتفاظ: يتم تحديد الموقع الجغرافي لتخزين البيانات الشخصية أو الاحتفاظ بها بدقة ووضوح، بما يضمن تحديد الدولة التي يتم تخزين البيانات الشخصية فيها.
    ب. مكان التخزين/ الاحتفاظ: يتم تحديد مكان تخزين البيانات أو الاحتفاظ بها، على سبيل المثال: التخزين في سحابة عامة أو في سحابة خاصة أو في مقر الجهة، أو غير ذلك من أماكن التخزين أو الاحتفاظ.
    ج. فترة الاحتفاظ بالبيانات الشخصية: يتم تحديد فترة الاحتفاظ بالبيانات الشخصية بوضوح، وما إذا كانت الفترة مستندة إلى نص نظامي يوجب الاحتفاظ بالبيانات الشخصية لفترة محددة أو كان الاحتفاظ مرتبطاً بعدم انتهاء الغرض من جمع البيانات الشخصية أو معالجتها.
  3. مرحلة الاستخدام: يتم تحديد جميع أنشطة المعالجة ذات الصلة باستخدام البيانات الشخصية، بما يشمل أنشطة "الوصول عن بعد" إلى البيانات الشخصية أي غرض، مع إيضاح ارتباط كل نشاط من أنشطة الاستخدام بالغرض الموضح في الفقرة (2) من الخطوات الواردة في هذا البند.
  4. مرحلة الإفصاح: يتم تحديد جميع أنشطة المعالجة ذات الصلة بالإفصاح عن البيانات الشخصية، إضافةً إلى الجهات التي يتم الإفصاح لها عن البيانات الشخصية، سواءً أكانت داخل أو خارج المملكة، بما يشمل عمليات الإفصاح عن البيانات الشخصية لأطراف أخرى في نطاق تعاقدات لاحقة.
  5. مرحلة الإتلاف: يتم تحديد جميع أنشطة المعالجة ذات الصلة بإتلاف البيانات الشخصية، وما إذا كان الإتلاف مبنياً على انتهاء الغرض من جمع تلك البيانات أم مبنياً على انتهاء فترة الاحتفاظ بها، مع إيضاح الوسائل المستخدمة للإشعار عن انتهاء الفترة المحددة للاحتفاظ، إضافةً إلى الوسائل المستخدمة لإتلاف البيانات الشخصية بطريقة آمنة.

ثانياً: مرحلة تقويم الآثار السلبية والمخاطر المحتملة عن معالجة البيانات الشخصية

تتضمن هذه المرحلة الخطوات المطلوبة لإجراء تقويم للآثار السلبية والمخاطر المحتملة التي قد تترتب على معالجة البيانات الشخصية عند تقديم خدمة أو منتج للعموم، والخطوات المرتبطة بذلك، وفي هذه المرحلة يمكن اتباع الخطوات الآتية:

  1. ربط العناصر المتعلقة بتقييم الآثار السلبية والمخاطر المحتملة – الموضحة أدناه - بكل نشاط من الأنشطة المحددة في سياق المعالجة المنصوص عليها في الفقرة (د) من البند (أولاً) من هذا الدليل، ويمكن تبني أحد المعايير العالمية ذات الصلة بتقييم المخاطر وتحليل التهديدات لتحديد هذه العناصر، مع الأخذ بعين الاعتبار الآتي:
    أ. الثغرات أو نقاط الضعف: تتمثل في نتائج تحليل مدى كفاية التدابير المتخذة لضمان التزام كل نشاط من أنشطة المعالجة بالأحكام والضوابط والإجراءات المنصوص عليها في النظام واللوائح.
    ب. مصدر التهديد: يتمثل في أي مصدر -داخل جهة التحكم أو جهة المعالجة أو خارجهما- يقوم بأي نشاط لمعالجة البيانات الشخصية لأغراض غير نظامية، سواءً كان ذلك بقصد أم بغير قصد.
    ج. الحدث المتوقع: أي فعل ناتج عن استغلال مصادر التهديد للثغرات أو نقاط الضعف الموجودة، ويترتب عليه آثار سلبية على أصحاب البيانات الشخصية.
    د. الأثر: مستوى الضرر الناتج عن الأحداث المتوقعة، ويمكن قياس ذلك من خلال تحليل نطاق امتداد الأثر، والذي قد يكون مقتصراً على صاحب البيانات الشخصية، أو ممتداً إلى مستوى الأسرة والأصدقاء، أو قد يكون على مستوى المجتمع بشكل عام.
    ه. احتمالية الحدوث: مدى إمكانية وقوع الحدث، ويمكن تحديد ذلك من خلال قياس مدى قابلية الموارد والقدرات المتوفرة لدى مصادر التهديد لتمكينهم من استغلال الثغرات ونقاط الضعف.
    و. مستوى الخطر: نتيجة قياس حدة الأثر نسبةً إلى احتمالية الحدوث.
  2. تحليل الأنشطة المنصوص عليها في الفقرة (د) من البند (أولاً) مع العناصر الإضافية التي تتناسب مع كل مرحلة من المراحل، وتحديد هذه العناصر المرتبطة بتقويم الآثار السلبية والمخاطر المحتملة التي قد تترتب على معالجة البيانات الشخصية -بحسب الترتيب الموضح في هذا البند- وتقييم مستوى هذه العناصر، ومنها على سبيل المثال- لا الحصر: تحليل الأنشطة المتعلقة بتمكين صاحب البيانات الشخصية من الوصول إلى بياناته لدى جهة التحكم، من خلال تحليل الإجراءات والتدابير المتخذة وتقييم مدى كفايتها لضمان التحقق من هوية صاحب البيانات الشخصية، حيث تمثّل عدم كفاية الإجراءات والتدابير المتخذة في هذا الشأن؛ ثغرة أو نقطة ضعف يمكن استغلالها من قبل أي شخص آخر غير صاحب البيانات الشخصية، وإمكانية الوصول إلى هذه البيانات واستخدامها لتحقيق منفعة شخصية أو إلحاق ضرر بصاحب البيانات الشخصية.
  3. تحديد الضوابط والتدابير المناسبة لمنع حدوث المخاطر، أو تقليل احتمالية حدوثها أو الحد من آثارها عند حدوثها، ويمكن تحقيق ذلك من خلال تطبيق الضوابط والتدابير الإدارية والتقنية والمادية ذات الصلة التزاماً بما ورد في المادة (التاسعة عشرة) من النظام والمادة (الثالثة والعشرين) من اللائحة التنفيذية للنظام.

ثالثاً: تقويم مخاطر نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهات خارج المملكة

تتضمن هذه المرحلة الخطوات المطلوبة لإجراء تقويم مخاطر نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهات خارج المملكة، والخطوات المرتبطة بذلك، وفي هذه المرحلة يتم اتباع الخطوات الآتية:

  1. إلزامية إجراء تقويم مخاطر النقل أو الإفصاح عن البيانات الشخصية:
    يتم التحقق من إلزامية إجراء تقويم مخاطر النقل أو الإفصاح عن البيانات الشخصية من خلال تقييم مدى توفر أي من الأحوال المنصوص عليها في الفقرة (١) من المادة (السابعة) من لائحة النقل، وفقاً للآتي:
    أ‌.نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهات خارج المملكة بناءً على المادة (الرابعة) من لائحة النقل.
    ب‌.نقل البيانات الحساسة إلى خارج المملكة أو الإفصاح عنها لجهات خارج المملكة بصفة مستمرة أو على نطاق واسع.
  2. في حال لم يتم القيام بالإجراءات والخطوات الموضحة في البندين (أولاً) و (ثانياً) أعلاه، يتم القيام بها ومن ثم مراجعة وتحديد الخطوات السابقة الواردة في البندين (أولاً) و (ثانياً) ، مع الأخذ بعين الاعتبار، الجوانب الآتية (عناصر إضافية متعلقة بالنقل أو الإفصاح خارج المملكة):
    أ‌.طبيعة النقل أو الإفصاح: تحليل المراحل ذات الصلة بأنشطة نقل البيانات الشخصية إلى خارج المملكة أو بأنشطة الإفصاح عنها لجهات خارج المملكة،

1نظراً لاعتمادية الخطوات اللاحقة على الخطوات السابقة الموضحة في البندين أولاً وثانياً أعلاه، فإن ضمان تحقيق الغرض من الاسترشاد بما تضمنه الدليل من خطوات يقوم على مراعاة الاعتمادية والترابط بينهما.

وما إذا كان النقل أو الإفصاح يتمثل في "الوصول عن بعد" أو كان جمع البيانات الشخصية بغرض نقلها ومعالجتها خارج المملكة بما يشمل، جمع البيانات الشخصية للأفراد المتواجدين في المملكة من جهة خارج المملكة، أو تخزين البيانات الشخصية/الاحتفاظ بها خارج المملكة، أو نقل البيانات الشخصية لمعالجتها خارج المملكة، أو نقل البيانات الشخصية لتخزينها خارج المملكة، أو الإفصاح عن البيانات الشخصية لجهات خارج المملكة، أخذاً بعين الاعتبار مدى تكرار العمليات، ونطاقها من حيث فئات أصحاب البيانات الشخصية، ومحتوى البيانات الشخصية.
ب‌.الجهة/ الجهات التي سيتم نقل البيانات الشخصية إليها: التحقق من مدى التزام الجهات التي سيتم الإفصاح لها عن البيانات الشخصية بأحكام النظام ولوائحه التنفيذية بصفةٍ عامة، والأحكام المنظمة للإفصاح والعبور والنقل اللاحق على وجه الخصوص، والنظر في مدى كفاية المعايير والتدابير التقنية المتخذة من قبل الجهة لضمان أمن البيانات، والأنظمة القانونية الذي تخضع لها الجهة/ الجهات التي سيتم نقل البيانات الشخصية إليها.
ج‌.مدى كفاية التدابير المتخذة للحد من الآثار السلبية والمخاطر المحتملة، أو مناسبة إضافة تدابير للتخفيف من مستويات المخاطر.

رابعاً: إرشادات متعلقة بتحديد العوامل المرتبطة بتحليل الآثار المترتبة على المصالح الحيوية للمملكة

تقدم هذه المرحلة إرشادات لتحديد العوامل المرتبطة بتحليل الآثار المترتبة على نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهات خارج المملكة في سياق الآثار المترتبة على المصالح الحيوية للمملكة، وذلك في ضوء ما ورد في الفقرة الفرعية (أ) من الفقرة (2) من المادة (التاسعة والعشرين) من النظام .
بعد مراجعة نتائج تقويم الآثار لجميع الأنشطة في جميع المراحل المحددة وتقويم مخاطر النقل أو الإفصاح، يتم مراعاة ما يأتي:

  1. نطاق المعالجة من حيث محتوى البيانات الشخصية، وعدد أصحاب البيانات الشخصية وفئاتهم.
  2. نطاق الأثر الذي قد يترتب على نقل البيانات الشخصية أو الإفصاح عنها لجهات خارج المملكة (مقتصراً على صاحب البيانات الشخصية، أو ممتداً إلى مستوى الأسرة والأصدقاء، أو قد يكون على مستوى المجتمع بشكل عام).
  3. مدى كفاية التدابير والإجراءات التقنية والتنظيمية والإدارية المتخذة لمنع حدوث المخاطر أو التخفيف من حدتها.
    بعد اتخاذ جميع الخطوات، ومراجعة النتائج والتدابير المتخذة لتخفيف المخاطر أو منعها أو الحد من آثارها، في حال كانت نتائج التقويم مازالت تشير إلى مستويات مخاطر عالية وآثار قد لا يمكن تداركها على المدى القريب على مصالح الأفراد في المجتمع، فإنه على جهة التحكم البحث عن أساليب أخرى قبل وقوع المخاطر من حيث تقييم مدى الحاجة إلى نشاط المعالجة في وضعه الحالي أو إمكانية الاستغناء عنه أو تعديله أو اتخاذ أي تدابير أخرى ذات كفاءة وفاعلية أعلى.

2يمكن تطبيق هذه الإرشادات لتحديد العناصر المرتبطة بتطبيق ماورد في الفقرتين (1) و (2) من المادة (السادسة عشرة) من النظام.



عودة