الدعم القانوني

نعم ، ينطبق النظام على السجلات الورقية

في البداية يجب التنبيه لخطورته حيث لا يجوز استخدام البيانات الشخصية الحساسة لغرض تسويقي ويعد ذلك مخالف لأحكام النظام، لكن حددت اللائحة التنفيذية شروط استخدام البيانات الشخصية لأغراض التسويق المباشر وهي

• موافقة صاحب البيانات الشخصية
• توضيح للمتلقي عن البيانات الشخصية المراد التسويق عنها
• تمكين صاحب البيانات الشخصية من العدول عن موافقته بأي وقت والتوقف عن استخدامها عند تلقيها الطلب
• أن يتم ذكر اسم جهة التحكم في رسائل التسويق المباشر
• أن تحتفظ جهة التحكم بسجلات تتضمن موافقة أصحاب البيانات الشخصية
• في حال تم ارسال رسائل التسويق المباشر لصاحب البيانات الشخصية من طرف ثالث يجب أن تكون الموافقة متحققة عند جمعها للبيانات الشخصية مسبقاً

لا يحدد نظام حماية البيانات الشخصية مدة الاحتفاظ بالبيانات الشخصية. ومع ذلك، يجب على الجهة اتلاف البيانات الشخصية فور انتهاء الغرض منها

نعم، مالم ينطبق أي من الظروف التالية:

• إذا توفر مسوغ نظامي يوجب الاحتفاظ بها مدة محددة. على أن يتم اتلافها بعد انتهاء هذه المدة.
• إذا كانت البيانات الشخصية متصلة اتصالاً وثيقاً بقضية منظورة أمام جهة قضائية وكان الاحتفاظ بها مطلوباً لهذا الغرض. ويجري إتلافها بعد استكمال الاجراءات القضائية الخاصة بالقضية.

نعم، مع مراعاة المتطلبات المنصوص عليها في لائحة نقل البيانات الشخصية خارج المملكة

لا، لا تحتاج الجهات دائما الى الموافقة حيث يمكن معالجة البيانات الشخصية دون الحصول على موافقة صاحب البيانات الشخصية في الحالات التالية:

• عندما تحقق المعالجة مصلحة متحققة لصاحب البيانات وكان الاتصال به متعذرا او كان من الصعب تحقيق ذلك.
• عندما تكون المعالجة بمقتضى نظام اخر أو تنفيذا لاتفاق سابق يكون صاحب البيانات الشخصية طرفا فيه.
• إذا كانت جهة التحكم جهة عامة، وكانت تلك المعالجة مطلوبة لأغراض امنية او لاستيفاء متطلبات قضائية.
• إذا كانت المعالجة ضرورية لتحقيق مصالح مشروعة لجهة التحكم او أي طرف اخر، مالم يخل ذلك بحقوق صاحب البيانات الشخصية او يتعارض مع مصالحه ولم تكن تلك البيانات بيانات شخصية حساسة، وفق الضوابط والاحكام التي تحددها اللوائح.

تلتزم الجهة بالحصول على الموافقة وإشعار صاحب البيانات الشخصية في حال كان الإفصاح لجهات خارجية

يعتبر حق الوصول إلى البيانات الشخصية من الحقوق التي كفلها نظام حماية البيانات الشخصية حيث يحق لصاحب البيانات الوصول إلى بياناته الشخصية وعلى جهة التحكم تمكين صاحب البيانات من ممارسة حقوقه، إلا أنه على الرغم من ذلك يجوز للجهة تقييد هذا الحق في حال كان الأمر ضروري لحماية صاحب البيانات الشخصية أو غيره من أي ضرر أو عندما تكون جهة التحكم جهة عامة وكان التقييد بسب أغراض أمنية أو تنفيذ نظام آخر أو استيفاء متطلبات قضائية
مع مراعاة متطلبات المادة (16) من النظام

يُعد فعل الإفصاح على البيانات الحساسة أو نشرها جريمة جنائية تقع ضمن اختصاص النيابة العامة ولا تخضع لفترة تعديل الأوضاع.

يشير مصطلح "أي نظام آخر" إلى أي قانون آخر داخل المملكة العربية السعودية. على سبيل المثال: إذا كان هناك قانون آخر داخل المملكة العربية السعودية، يوفر للأفراد مستوى أعلى من الحماية، فيجب أيضًا الالتزام بأحكام هذا القانون بالإضافة إلى قانون حماية البيانات الشخصية.

اعتبر النظام أن البيانات الصحية بيانات حساسة وكفل بما يحفظ خصوصية هذه البيانات من خلال قصر حق الاطلاع على اقل عدد ممكن من الموظفين والعاملين وتقييد عمليات معالجة هذه البيانات الى اقل قدر ممكن من الموظفين والعاملين لتقديم الخدمات الصحية

يجب على جهة التحكم التأكد من امتثالها لشروط الحصول على الموافقة والرجوع عنها بموجب المادتين 12 و13 من اللائحة التنفيذية للنظام

يجب على الجهة توجيه صاحب البيانات الشخصية إلى تقديم الشكوى عبر منصة حوكمة البيانات الوطنية الخاصة بسدايا.

لا تلتزم الجهة بالإشعار عن حادثة تسرّب إلا في حال يترتب على وقوع هذه الحادثة الإضرار بالبيانات الشخصية أو صاحب البيانات الشخصية

نعم، يمكن لجهة التحكم استخدام البيانات الشخصية المتاحة ولا يتطلب من جهة التحكم الحصول على موافقة صاحب البيانات لتحقيق هذه الاغراض لكن توجد ضوابط يجب التنويه عنها حتى لا يسيئ استخدام البيانات الشخصية وهي وفق الآتي:

• اخفاء كل ما يدل على هوية صاحب البيانات الشخصية
• إتلاف ما يدل على هوية صاحب البيانات الشخصية خلال معالجتها وقبل الافصاح عنها وألا تكون بيانات حساسة
• تحديد الأغراض بشكل واضح ودقيق
• تطبيق مبدأ الحد الأدنى من البيانات الشخصية اللازم لتحقيق الغرض
• ألا يترتب عليه إخلال بحقوق ومصالح صاحب البيانات الشخصية

لا يمكن تحميل مسؤول حماية البيانات الشخصية مسؤولية عدم الامتثال لنظام حماية البيانات الشخصية، تقع مسؤولية الامتثال للنظام على عاتق الجهة التي عينت مسؤول حماية البيانات الشخصية (DPO).

بناءً على نظام حماية البيانات الشخصية، يجب على الجهة تعيين مسؤول حماية البيانات الشخصية في أي من الحالات التالية:

• في حال كانت الجهة تقدم خدمات تتضمن معالجة بيانات شخصية على نطاق واسع
• الأنشطة الأساسية للجهة تستند إلى عملية المعالجة، والتي بطبيعتها تتطلب مراقبة منتظمة ومنهجية لأصحاب البيانات الشخصية
• ستحدد القواعد المتعلقة بتعيين مسؤول حماية البيانات الشخصية -بمجرد الانتهاء منها- الأحكام والضوابط المتعلقة

نعم، وحدد النظام الحد الأدنى من البيانات على أن تشمل تلك السجلات:

• تفاصيل الاتصال الخاصة بجهة التحكم
• الغرض من معالجة البيانات الشخصية
• وصف فئات أصحاب البيانات الشخصية
• أي جهة جرى (أو سيجرى) إفصاح البيانات الشخصية اليها
• ما إذا جرى (أو سيجرى) نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة
• المدة الزمنية المتوقعة للاحتفاظ بالبيانات الشخصية

على الجهة اتخاذ التدابير التنظيمية والإدارية والتقنية اللازمة لضمان خصوصية اصحاب البيانات الشخصية وأمن البيانات الشخصية على سبيل المثال

• منع الوصول غير المصرح به إلى البيانات الشخصية
• تدريب الموظفين المصرح لهم بمعالجة البيانات الشخصية على وسائل حماية البيانات الشخصية

• تنفيذ احكام النظام
• إذا كان الطلب من جهة عامة مختصة

على جهة التحكم أن تلتزم باختيار الجهة التي توفر الضمانات اللازمة لحماية البيانات الشخصية كاتخاذ جهة المعالجة التدابير الأمنية والتقنية للحد من مخاطر تسرب البيانات الشخصية على أن تكون جهة التحكم مسؤولة عن التحقق من التزام جهة المعالجة

• موافقة صاحب البيانات الشخصية
• على جهة التحكم تخصيص وسيلة مناسبة وان تكون واضحة تمكن صاحب البيانات الشخصية برغبته بالتوقف عن ارسال المواد الدعائية،والتوقف فوراً عند تلقيها للطلب
• أن يتم ذكر اسم جهة التحكم في المواد الدعائية المرسلة
• الاحتفاظ ما يثبت موافقة المتلقي على تلقي المواد الدعائية

حدد النظام فترة تعديل الأوضاع بمدة لا تزيد على سنة تبدأ من تاريخ نفاذه.

لا تلتزم الجهة بالإشعار عن حادثة تسرّب إلا في حال يترتب على وقوع هذه الحادثة الإضرار بالبيانات الشخصية أو صاحب البيانات الشخصية.

قد تختلف التدابير الأمنية المطلوبة اعتماداً على طبيعة البيانات الشخصية التي تقوم بمعالجتها والمخاطر المرتبطة بصاحب البيانات الشخصية. ومع ذلك ، يجب على الجهة تطبيق التدابير الأمنية التقنية الملائمة , مثل التشفير والحذف الآمن وتطبيق افضل ممارسات ومعايير الأمن السيبراني

نعم، يجب على الجهة مساءلة الموظف-تأديبياً- في حال مخالفته للنظام واللوائح.

حتى في حين انتهاء علاقة الموظف التعاقدية أو الوظيفية يجب عليه المحافظة على الأسرار المتعلقة بالبيانات.

يجب على الجهة اتخاذ جميع الخطوات اللازمة للتأكد من أن البيانات الشخصية دقيقة، وقد تحتاج الجهة إلى تحديث البيانات الشخصية باستمرار في حال كان الغرض من جمعها يستوجب ذلك. على سبيل المثال: يجب على الجهة تحديث سجلات رواتب الموظفين في حال كان هنالك زيادة في رواتبهم

• المسوغ النظامي و الشفافية
• الأغراض المحددة
• دقة البيانات
• الحد الأدنى من البيانات
• حفظ البيانات
• أمن وسرية البيانات
• المسؤولية

تختلف العقوبات باختلاف الفعل المخالف، ففي حال تم الإفصاح عن بيانات حساسة أو نشرها مخالفاً أحكام النظام يعاقب بالسجن مدة لا تزيد على (سنتين) وبغرامة لا تزيد على (ثلاثة ملايين) ريال، أو بإحدى هاتين العقوبتين؛ إذا كان ذلك بقصد الإضرار بصاحب البيانات أو بقصد تحقيق منفعة شخصية.

يميز نظام حماية البيانات الشخصية بين دورين رئيسيين: دور جهة التحكم وجهة المعالجة. هذا التمييز مهم لأن جهة التحكم تتحمل مسؤولية أكبر وعليها أن تفي بالتزامات أكثر من جهة المعالجة. يمكن أن تكون جهات التحكم بالبيانات ومعالجوها أشخاصًا طبيعيين أو اعتباريين، على سبيل المثال: شركة صغيرة ومتوسطة، أو منظمة، أو هيئة حكومية، أو جمعية، إلخ. يكمن الفرق بأنه تحدد جهة التحكم الغرض من معالجة البيانات وكيفية ذلك، بينما تقوم جهة المعالجة بمعالجة البيانات الشخصية لمصلحة جهة التحكم ونيابة عنها.

لا يجوز للجهة اشتراط تقديم الموافقة لتنفيذ خدمة أو تقديم منفعة ويمكن للجهة مراجعة المسوغات النظامية الأخرى المنصوص عليها في المادة (3) من اللائحة التنفيذية للنظام

نعم، وذلك حسب قواعد عمل المفتشين المعتمدة لدى لجهة المختصة.

لا، لا تحتاج الجهات دائماً إلى الموافقة حيث يمكن معالجة البيانات الشخصية دون الحصول على موافقة صاحب البيانات الشخصية في الحالات التالية:

• عندما تحقق المعالجة مصلحة متحققة لصاحب البيانات وكان الاتصال به متعذراً او كان من الصعب تحقيق ذلك
• عندما تكون المعالجة بمقتضى نظام آخر أو تنفيذاً لاتفاق سابق يكون صاحب البيانات الشخصية طرفاً فيه
• إذا كانت جهة التحكم جهة عامة، وكانت تلك المعالجة مطلوبة لأغراض أمنية أو لاستيفاء متطلبات قضائية
• إذا كانت المعالجة ضرورية لتحقيق مصالح مشروعة لجهة التحكم أو أي طرف آخر، مالم يخل ذلك بحقوق صاحب البيانات الشخصية أو يتعارض مع مصالحه ولم تكن تلك البيانات بيانات شخصية حساسة، وفق الضوابط والاحكام التي تحددها اللوائح