- مقدمة:
هذه السياسة تضع إطاراً موحداً لحماية البيانات الشخصية وفقاً لسياسة حوكمة البيانات الوطنية الصادرة من مكتب إدارة البيانات الوطنية وبما يتماشى مع الأنظمة والتشريعات الصادرة من مكتب إدارة البيانات الوطنية، والهيئة الوطنية للأمن السيبراني فيما يخص حماية البيانات الشخصية، وتسـاعد السياسة على تحقيـق التـوازن بيـن المزايـا والمخاطّـر المترتبـة علـى مشـاركة البيانـات بيـن الجهـات فـي القطاعيـن العـام والخـاص وتنظيم عمليـة نشـر البيانـات المفتوحـة، وإتاحـة المعلومـات العامـة وتبـادل البيانـات المحميـة بمـا فـي ذلـك البيانـات الشـخصية. مما يؤدي إلى زيــادة مســتوى الشــفافية وتعزيــز النزاهــة وإزالــة الســرية غيــر الضروريــة عــن طريــق تنظيــم ممارسـة حـق الاطلاع علـى المعلومـات العامـة أو الحصـول عليهـا باستخدام الضوابط الإدارية والتدابير التقنية المعتمدة في سياسات أمن المعلومات لضمان حماية البيانات الشخصية.
- الأهداف:
تهدف هذه السياسة إلى تطبيق الضوابط المتعلقة بحماية البيانات الشخصية وفق المتطلبات التشريعية الصادرة من قبل مكتب إدارة البيانات الوطنية بوثيقتي "ضوابط إدارة البيانات وحوكمتها وحماية البيانات الشخصية " (الإصدار 1.5 – يناير 2021م)، " وسياسة حوكمة البيانات الوطنية" (الإصدار الثاني 26/05/2021م.
-
المبادئ الرئيسة لحماية البيانات الشخصية:
| المبدأ |
الوصف |
|
|
|
المسؤولية |
يتم تحديد وتوثيق سياسات وإجراءات الخصوصية الخاصة بالمواقع، والأنظمة الإلكترونية بالجامعة، للمستخدم الداخلي، والخارجي . |
|
|
الشفافية |
يتم إعداد إشعار عن سياسات الخصوصية على جميع المواقع، والأنظمة الإلكترونية بالجامعة للمستخدم الداخلي، والخارجي يحدد فيه الأغراض التي من أجلها تمت معالجة البيانات الشخصية وذلك بصورة محددة وواضحة وصريحة. |
|
|
الاختيار والموافقة |
يتم تحديد جميع الخيارات الممكنة لصاحب البيانات الشخصية والحصول على موافقته ( الضمنية أو الصريحة ) فيما يتعلق بجمع بياناته واستخدامها أو الإفصاح عنها. |
|
|
الحد من جمع البيانات |
يتم وضع حد لجمع البيانات بحيث يقتصر على الحد الأدنى الذي يمكن من تحقيق الأغراض المحددة في إشعار الخصوصية. |
|
|
الحد من استخدام البيانات والاحتفاظ بها والتخلص منها |
يتم تقييد معالجة البيانات الشخصية بالأغراض المحددة في إشعار الخصوصية والتي من أجلها قدم صاحب البيانات موافقته الضمنية أو الصريحة، والاحتفاظ بها طالما كان ذلك ضرورياً لتحقيق الأغراض المحددة أو لما تقتضيه الأنظمة واللوائح والسياسات المعمول بها في المملكة، وأن يتم إتلافها بطريقة آمنة تمنع التسرب، أو الفقدان، أو الاختلاس، أو إساءة الاستخدام أو الوصول غير المصرح به نظاماً. |
|
|
الوصول إلى البيانات |
يتم تحديد وتوفير الوسائل التي عن طريقها يمكن لصاحب البيانات الوصول إلى بياناته الشخصية لمراجعتها، وتحديثها، وتصحيحها. |
|
|
الحد من الافصاح عن البيانات |
يجب على مسؤولي البيانات تقييد الإفصاح عن البيانات الشخصية للأطراف الخارجية بالأغراض المحددة في إشعار الخصوصية التي من أجلها قدم صاحب البيانات موافقته الضمنية أو الصريحة عليها. |
|
|
أمن البيانات |
يجب على مسؤولي البيانات حماية البيانات الشخصية من التسرب، أو التلف، أو الفقدان، أو الاختلاس، أو إساءة الاستخدام، أو التعديل أو الوصول غير المصرح به – وفقاً لما يصدر من الهيئة الوطنية للأمن السيراني والجهات ذات الاختصاص. |
|
|
جودة البيانات |
يتم الاحتفاظ بالبيانات الشخصية بصورة دقيقة، وكاملة وذات علاقة مباشرة بالأغراض المحددة في إشعار الخصوصية. |
|
|
المراقبة والامتثال |
تقم الجهات ذات العلاقة بمتابعة الامتثال لسياسات وإجراءات الخصوصية ومعالجة الشكاوى والنزاعات المتعلقة بالخصوصية . |
- ضوابط ومتطلبات حماية البيانات الشخصية:
يتكون مجال حماية البيانات الشخصية من 5 ضوابط و10 متطلبات وفقاً لضوابط ومواصفات إدارة البيانات الوطنية وحوكمتها وحماية البيانات الشخصية. وهي عبارة عن مجموعة من الأحكام والإجراءات التي تنظم معالجة البيانات الشخصية بما يكفل المحافظة على خصوصية أصحاب هذه البيانات وحماية حقوقهم.
- التخطيط
- التدريب والتوعية
- تسريب البيانات
- إدارة دورة حياة البيانات
- السجلات
- حقوق صاحب البيانات:
أولاً: الحق في العلم: يتم إشعار المستفيد الداخلي، والخارجي من مواقع وأنظمة الجامعة الإلكترونية بالأساس النظامي أو الاحتياج الفعلي لجمع بياناته الشخصية، والغرض من ذلك، وألا يتم معالجة بياناته لاحقاً بصورة تتنافى مع الغرض من جمعها، والذي من أجله قدم موافقته الضمنية أو الصريحة.
ثانياً: الحق في طلب الوصول إلى بياناته الشخصية ، والاطلاع عليها، وفق الضوابط والإجراءات التي تحددها اللوائح. دون أخلال بما ورد في (المادة التاسعة من نظام حماية البيانات الشخصية) وطلب تصحيحها، أو إتمامها، أو تحديثها، وطلب إتلاف ما انتهت الحاجة إليه منها، والحصول على نسخة منها بصيغة مقروءة وواضحة.
ثالثاً: الحق في طلب إتلاف بياناته الشخصية متى ما انتهت الحاجة أليها، وذلك دون إخلال بما تقضي به المادة (الثامنة عشرة من نظام حماية البيانات الشخصية).
- يجوز تقييد حقوق صاحب البيانات الشخصية في الأحوال التالية:
1. إذا كان ذلك ضرورياً لحماية البيانات الشخصية أو غيره من أي ضرر، وفق الأحكام التي تحددها اللوائح.
2. في حالة كان التقييد مطلوباً لأغراض أمنية، أو لتنفيذ نظام أخر، أو لاستيفاء متطلبات قضائية.
- الحالات التي يجوز الإفصاح عن البيانات الشخصية:
1. إذا وافق صاحب البيانات الشخصية على الإفصاح وفقاً لأحكام نظام حماية البيانات الشخصية.
2. إذا كانت البيانات الشخصية قد جرى جمعها من مصدر متاح للعموم.
3. إذا كان لأغراض المصلحة العامة أو لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية.
4. إذا كان الإفصاح ضرورياً لحماية الصحة العامة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين، أو حماية صحتهم.
5. إذا كان الإفصاح سيقتصر على معالجتها لاحقاً بطريقة لاتؤدي إلى معرفة هوية صاحب البيانات الشخصية أو أي فرد آخر على وجه التحديد.
6. إذا كان الإفصاح ضرورياً لتحقيق مصالح مشروعة للجامعة، مالم يخل ذلك بحقوق صاحب البيانات الشخصية أو يتعارض مع مصالحه ولم تكن تلك البيانات بيانات حساسة.
-
الحالات التي يجب عدم الإفصاح عن البيانات الشخصية:
1. أنه يمثل خطراً على الأمن، أو يسيء إلى سمعة المملكة، أو يتعارض مع مصالحها.
2. أنه يؤثر على علاقات المملكة مع دولة أخرى.
3. أنه يترتب عليه انتهاك خصوصية فرد آخر غير صاحب البيانات الشخصية وفق ما تحدده اللوائح.
4. أنه يتعارض مع مصلحة ناقص أو عديم للأهلية.
5. أنه يمنع من كشف جريمة أو يمس حقوق متهم في الحصول على محاكمة عادلة أو يؤثر في سلامة إجراءات جنائية قائمة.
6. أنه يعرض سلامة فرد أو أفراد للخطر.
7. أنه يخل بالتزامات مهنية مقررة نظاماً.
8. أنه ينطوي عليه إخلال بالتزام أو إجراء أو حكم قضائي.
9. أنه يكشف عن مصدر سري لمعلومات تحتم المصلحة العامة عدم الكشف عنه.