رسميًا..
بدء سريان #نظام_حماية_البيانات_الشخصية.
ومن أبرز ما ورد فيه:
▫️يكون لصاحب البيانات الشخصية -وفقاً للأحكام الواردة في النظام- الحقوق الآتية:
1- الحق في العلم، ويشمل ذلك إحاطته علماً بالمسوغ النظامي أو العملي المعتبر لجمع بياناته الشخصية، والغرض من ذلك، وألا تعالج بياناته لاحقاً بصورة تتنافى مع الغرض من جمعها أو في غير الأحوال المنصوص عليها في المادة (العاشرة) من النظام.
2- الحق في وصوله إلى بياناته الشخصية المتوافرة لدى جهة التحكم، ويشمل ذلك الاطلاع عليها، والحصول على نسخة منها بصيغة واضحة ومطابقة لمضمون السجلات وبلا مقابل مادي -وفقاً لما تحدده اللوائح- وذلك دون إخلال بما يقضي به نظام المعلومات الائتمانية فيما يخص المقابل المالي، ودون إخلال بما تقضي به المادة (التاسعة) من النظام.
3- الحق في طلب تصحيح بياناته الشخصية المتوافرة لدى جهة التحكم، أو إتمامها، أو تحديثها.
4- الحق في طلب إتلاف بیاناته الشخصية المتوافرة لدى جهة التحكم مما انتهت الحاجة إليه منها، وذلك دون إخلال بما تقضي به المادة (الثامنة عشرة) من النظام.
5- الحقوق الأخرى المنصوص عليها في النظام، التي تبينها اللوائح.
بدء سريان #نظام_حماية_البيانات_الشخصية.
ومن أبرز ما ورد فيه:
▫️يكون لصاحب البيانات الشخصية -وفقاً للأحكام الواردة في النظام- الحقوق الآتية:
1- الحق في العلم، ويشمل ذلك إحاطته علماً بالمسوغ النظامي أو العملي المعتبر لجمع بياناته الشخصية، والغرض من ذلك، وألا تعالج بياناته لاحقاً بصورة تتنافى مع الغرض من جمعها أو في غير الأحوال المنصوص عليها في المادة (العاشرة) من النظام.
2- الحق في وصوله إلى بياناته الشخصية المتوافرة لدى جهة التحكم، ويشمل ذلك الاطلاع عليها، والحصول على نسخة منها بصيغة واضحة ومطابقة لمضمون السجلات وبلا مقابل مادي -وفقاً لما تحدده اللوائح- وذلك دون إخلال بما يقضي به نظام المعلومات الائتمانية فيما يخص المقابل المالي، ودون إخلال بما تقضي به المادة (التاسعة) من النظام.
3- الحق في طلب تصحيح بياناته الشخصية المتوافرة لدى جهة التحكم، أو إتمامها، أو تحديثها.
4- الحق في طلب إتلاف بیاناته الشخصية المتوافرة لدى جهة التحكم مما انتهت الحاجة إليه منها، وذلك دون إخلال بما تقضي به المادة (الثامنة عشرة) من النظام.
5- الحقوق الأخرى المنصوص عليها في النظام، التي تبينها اللوائح.
▫️فيما عدا الأحوال المنصوص عليها في النظام،
1- لا تجوز معالجة البيانات الشخصية أو تغيير الغرض من معالجتها إلا بعد موافقة صاحبها. وتبين اللوائح شروط الموافقة، والأحوال التي يجب فيها أن تكون الموافقة كتابية، والشروط والأحكام المتعلقة بالحصول على الموافقة من الولي الشرعي إذا كان صاحب البيانات الشخصية ناقص أو عديم الأهلية.
2- في جميع الأحوال، يجوز لصاحب البيانات الشخصية الرجوع عن الموافقة المشار إليها في الفقرة (1) من هذه المادة في أي وقت، وتحدد اللوائح الضوابط اللازمة لذلك.
1- لا تجوز معالجة البيانات الشخصية أو تغيير الغرض من معالجتها إلا بعد موافقة صاحبها. وتبين اللوائح شروط الموافقة، والأحوال التي يجب فيها أن تكون الموافقة كتابية، والشروط والأحكام المتعلقة بالحصول على الموافقة من الولي الشرعي إذا كان صاحب البيانات الشخصية ناقص أو عديم الأهلية.
2- في جميع الأحوال، يجوز لصاحب البيانات الشخصية الرجوع عن الموافقة المشار إليها في الفقرة (1) من هذه المادة في أي وقت، وتحدد اللوائح الضوابط اللازمة لذلك.
▫️لا تخضع معالجة البيانات الشخصية للموافقة المشار إليها في الفقرة (1) من المادة (الخامسة) من النظام، في الأحوال الآتية:
1- عندما تحقق المعالجة مصلحة متحققة لصاحب البيانات وكان الاتصال به متعذراً أو كان من الصعب تحقيق ذلك.
2- عندما تكون المعالجة بمقتضی نظام آخر أو تنفيذاً لاتفاق سابق يكون صاحب البيانات الشخصية طرفاً فيه.
3- إذا كانت جهة التحكم جهة عامة، وكانت تلك المعالجة مطلوبة لأغراض أمنية أو لاستيفاء متطلبات قضائية.
▫️لا يجوز أن تكون الموافقة المشار إليها في الفقرة (1) من المادة (الخامسة) من النظام شرطاً لإسداء خدمة أو تقديم منفعة، ما لم تكن الخدمة أو المنفعة ذات علاقة بمعالجة البيانات الشخصية التي صدرت الموافقة عليها.
1- عندما تحقق المعالجة مصلحة متحققة لصاحب البيانات وكان الاتصال به متعذراً أو كان من الصعب تحقيق ذلك.
2- عندما تكون المعالجة بمقتضی نظام آخر أو تنفيذاً لاتفاق سابق يكون صاحب البيانات الشخصية طرفاً فيه.
3- إذا كانت جهة التحكم جهة عامة، وكانت تلك المعالجة مطلوبة لأغراض أمنية أو لاستيفاء متطلبات قضائية.
▫️لا يجوز أن تكون الموافقة المشار إليها في الفقرة (1) من المادة (الخامسة) من النظام شرطاً لإسداء خدمة أو تقديم منفعة، ما لم تكن الخدمة أو المنفعة ذات علاقة بمعالجة البيانات الشخصية التي صدرت الموافقة عليها.
▫️مع مراعاة ما ينص عليه النظام واللوائح في شأن الإفصاح عن البيانات الشخصية، على جهة التحكم عند اختيارها جهة المعالجة أن تلتزم باختيار الجهة التي توفر الضمانات اللازمة لتنفيذ أحكام النظام واللوائح، وعليها التحقق بصفة مستمرة من التزام تلك الجهة بالتعليمات التي توجهها إليها في جميع ما يتعلق بحماية البيانات الشخصية بما لا يتعارض مع أحكام النظام واللوائح، ولا يخل ذلك بمسؤولياتها تجاه صاحب البيانات الشخصية أو الجهة المختصة بحسب الأحوال. وتحدد اللوائح الأحكام اللازمة لذلك، على أن تشتمل على الأحكام المتعلقة بأي تعاقدات لاحقة تقوم بها جهة المعالجة.
1- يجوز لجهة التحكم تحديد مدد لممارسة حق الوصول إلى البيانات الشخصية المقرر في الفقرة (2) من المادة (الرابعة) من النظام، وتتولى الجهة المختصة تحديد المدة المناسبة لذلك. ويجوز كذلك لجهة التحكم تقييد هذا الحق في الأحوال الآتية:
أ- إذا كان ذلك ضرورياً لحماية صاحب البيانات الشخصية أو غيره من أي ضرر؛ وفق الأحكام التي تحددها اللوائح.
ب- إذا كانت جهة التحكم جهة عامة، وكان التقييد مطلوباً لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية.
2- يجب على جهة التحكم ألا تمكن صاحب البيانات الشخصية من الوصول إليها متى تحقق أيّ من الأحوال المنصوص عليها في الفقرات (1) و(2) و(3) و(4) و(5) و(6) من المادة (السادسة عشرة) من النظام.
▫️لا يجوز لجهة التحكم جمع البيانات الشخصية إلا من صاحبها مباشرةً، ولا تجوز كذلك معالجة تلك البيانات إلا لتحقيق الغرض الذي جمعت من أجله. ومع ذلك، يجوز لجهة التحكم جمع البيانات الشخصية من غير صاحبها مباشرة، أو معالجتها لغرض آخر غير الذي جمعت من أجله، وذلك في الأحوال الآتية:
1- إذا وافق صاحب البيانات الشخصية على ذلك، وفقاً لأحكام النظام.
2- إذا كانت البيانات الشخصية متاحة للعموم، أو جرى جمعها من مصدر متاح للعموم.
3- إذا كانت جهة التحكم جهة عامة، وكان جمع البيانات الشخصية من غير صاحبها مباشرةً، أو معالجتها لغرض آخر غير الذي جمعت من أجله؛ مطلوباً لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية وفق الأحكام التي تحددها اللوائح.
4- إذا كان التقيد بهذا الحظر قد يلحق ضرراً بصاحب البيانات الشخصية أو يؤثر على مصالحه الحيوية؛ وفق الأحكام التي تحددها اللوائح.
5- إذا كان جمع البيانات الشخصية أو معالجتها ضرورياً لحماية الصحة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك.
6- إذا كانت البيانات الشخصية لن تسجل أو تحفظ في صيغة تجعل من الممكن تحديد هوية صاحبها ومعرفته بصورة مباشرة أو غير مباشرة. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك.
أ- إذا كان ذلك ضرورياً لحماية صاحب البيانات الشخصية أو غيره من أي ضرر؛ وفق الأحكام التي تحددها اللوائح.
ب- إذا كانت جهة التحكم جهة عامة، وكان التقييد مطلوباً لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية.
2- يجب على جهة التحكم ألا تمكن صاحب البيانات الشخصية من الوصول إليها متى تحقق أيّ من الأحوال المنصوص عليها في الفقرات (1) و(2) و(3) و(4) و(5) و(6) من المادة (السادسة عشرة) من النظام.
▫️لا يجوز لجهة التحكم جمع البيانات الشخصية إلا من صاحبها مباشرةً، ولا تجوز كذلك معالجة تلك البيانات إلا لتحقيق الغرض الذي جمعت من أجله. ومع ذلك، يجوز لجهة التحكم جمع البيانات الشخصية من غير صاحبها مباشرة، أو معالجتها لغرض آخر غير الذي جمعت من أجله، وذلك في الأحوال الآتية:
1- إذا وافق صاحب البيانات الشخصية على ذلك، وفقاً لأحكام النظام.
2- إذا كانت البيانات الشخصية متاحة للعموم، أو جرى جمعها من مصدر متاح للعموم.
3- إذا كانت جهة التحكم جهة عامة، وكان جمع البيانات الشخصية من غير صاحبها مباشرةً، أو معالجتها لغرض آخر غير الذي جمعت من أجله؛ مطلوباً لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية وفق الأحكام التي تحددها اللوائح.
4- إذا كان التقيد بهذا الحظر قد يلحق ضرراً بصاحب البيانات الشخصية أو يؤثر على مصالحه الحيوية؛ وفق الأحكام التي تحددها اللوائح.
5- إذا كان جمع البيانات الشخصية أو معالجتها ضرورياً لحماية الصحة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك.
6- إذا كانت البيانات الشخصية لن تسجل أو تحفظ في صيغة تجعل من الممكن تحديد هوية صاحبها ومعرفته بصورة مباشرة أو غير مباشرة. وتبيّن اللوائح الضوابط والإجراءات المتعلقة بذلك.
▫️
1- يجب أن يكون الغرض من جمع البيانات الشخصية ذا علاقة مباشرة بأغراض جهة التحكم، وألا يتعارض مع أي حكم مقرر نظاماً.
2- يجب ألا تتعارض طرق جمع البيانات الشخصية ووسائلها مع أي حكم مقرر نظاماً، وأن تكون ملائمة لظروف صاحبها، ومباشرة وواضحة وآمنة، وخالية من أساليب الخداع أو التضليل أو الابتزاز.
3- يجب أن يكون محتوى البيانات الشخصية ملائماً ومقصوراً على الحد الأدنى اللازم لتحقيق الغرض من جمعها، مع تجنب شموله على ما يؤدي إلى معرفة صاحبها بصورة محددة متى تحقق الغرض من جمعها. وتحدد اللوائح الضوابط اللازمة لذلك.
4- إذا اتضح أن البيانات الشخصية التي تجمع لم تعد ضرورية لتحقيق الغرض من جمعها، فعلی جهة التحكم التوقف عن جمعها، وإتلاف ما سبق أن جمعته منها فوراً.
▫️على جهة التحكم أن تعتمد سياسة لخصوصية البيانات الشخصية، وأن تجعلها متاحة لأصحابها ليطلعوا عليها قبل جمع بياناتهم. على أن تشتمل تلك السياسة على تحديد الغرض من جمعها، ومحتوى البيانات الشخصية المطلوب جمعها، وطريقة جمعها، ووسيلة حفظها، وكيفية معالجتها، وكيفية إتلافها، وحقوق صاحبها فيما يتعلق بها، وكيفية ممارسة هذه الحقوق.
▫️على جهة التحكم، في حالة جمع البيانات الشخصية من صاحبها مباشرةً، اتخاذ الوسائل الكافية لإحاطته علماً بالعناصرالآتية قبل البدء في جمع بياناته:
1- المسوغ النظامي أو العملي المعتبر لجمع بياناته الشخصية.
2- الغرض من جمع بياناته الشخصية، وما إذا كان جمعها كلها أو بعضها إلزامياً أم اختيارياً، وإحاطته كذلك بأن بياناته لن تعالج لاحقاً بصورة تتنافى مع الغرض من جمعها أو في غير الأحوال المنصوص عليها في المادة (العاشرة) من النظام.
3- هوية من يجمع البيانات الشخصية وعنوان مرجعه عند الاقتضاء، ما لم يكن جمعها لأغراض أمنية.
4- الجهة أو الجهات التي سيجرى إفصاح البيانات الشخصية إليها، وصفتها، وما إذا كانت البيانات الشخصية ستنقل أو سيفصح عنها أو ستعالج خارج المملكة.
5- الآثار والأخطار المحتملة التي تترتب على عدم إتمام إجراء جمع البيانات الشخصية.
6- حقوقه المنصوص عليها في المادة (الرابعة) من النظام.
7- العناصر الأخرى التي تحددها اللوائح بحسب طبيعة النشاط الذي تمارسه جهة التحكم.
1- يجب أن يكون الغرض من جمع البيانات الشخصية ذا علاقة مباشرة بأغراض جهة التحكم، وألا يتعارض مع أي حكم مقرر نظاماً.
2- يجب ألا تتعارض طرق جمع البيانات الشخصية ووسائلها مع أي حكم مقرر نظاماً، وأن تكون ملائمة لظروف صاحبها، ومباشرة وواضحة وآمنة، وخالية من أساليب الخداع أو التضليل أو الابتزاز.
3- يجب أن يكون محتوى البيانات الشخصية ملائماً ومقصوراً على الحد الأدنى اللازم لتحقيق الغرض من جمعها، مع تجنب شموله على ما يؤدي إلى معرفة صاحبها بصورة محددة متى تحقق الغرض من جمعها. وتحدد اللوائح الضوابط اللازمة لذلك.
4- إذا اتضح أن البيانات الشخصية التي تجمع لم تعد ضرورية لتحقيق الغرض من جمعها، فعلی جهة التحكم التوقف عن جمعها، وإتلاف ما سبق أن جمعته منها فوراً.
▫️على جهة التحكم أن تعتمد سياسة لخصوصية البيانات الشخصية، وأن تجعلها متاحة لأصحابها ليطلعوا عليها قبل جمع بياناتهم. على أن تشتمل تلك السياسة على تحديد الغرض من جمعها، ومحتوى البيانات الشخصية المطلوب جمعها، وطريقة جمعها، ووسيلة حفظها، وكيفية معالجتها، وكيفية إتلافها، وحقوق صاحبها فيما يتعلق بها، وكيفية ممارسة هذه الحقوق.
▫️على جهة التحكم، في حالة جمع البيانات الشخصية من صاحبها مباشرةً، اتخاذ الوسائل الكافية لإحاطته علماً بالعناصرالآتية قبل البدء في جمع بياناته:
1- المسوغ النظامي أو العملي المعتبر لجمع بياناته الشخصية.
2- الغرض من جمع بياناته الشخصية، وما إذا كان جمعها كلها أو بعضها إلزامياً أم اختيارياً، وإحاطته كذلك بأن بياناته لن تعالج لاحقاً بصورة تتنافى مع الغرض من جمعها أو في غير الأحوال المنصوص عليها في المادة (العاشرة) من النظام.
3- هوية من يجمع البيانات الشخصية وعنوان مرجعه عند الاقتضاء، ما لم يكن جمعها لأغراض أمنية.
4- الجهة أو الجهات التي سيجرى إفصاح البيانات الشخصية إليها، وصفتها، وما إذا كانت البيانات الشخصية ستنقل أو سيفصح عنها أو ستعالج خارج المملكة.
5- الآثار والأخطار المحتملة التي تترتب على عدم إتمام إجراء جمع البيانات الشخصية.
6- حقوقه المنصوص عليها في المادة (الرابعة) من النظام.
7- العناصر الأخرى التي تحددها اللوائح بحسب طبيعة النشاط الذي تمارسه جهة التحكم.
▫️لا يجوز لجهة التحكم أن تعالج البيانات الشخصية دون اتخاذ خطوات كافية للتحقق من دقتها واكتمالها وحداثتها وارتباطها بالغرض الذي جمعت من أجله وفقاً لأحكام النظام.
▫️لا يجوز لجهة التحكم الإفصاح عن البيانات الشخصية إلا في الأحوال الآتية:
1- إذا وافق صاحب البيانات الشخصية على الإفصاح وفقاً لأحكام النظام.
2- إذا كانت البيانات الشخصية قد جرى جمعها من مصدر متاح للعموم.
3- إذا كانت الجهة التي تطلب الإفصاح جهة عامة، وذلك لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية وفق الأحكام التي تحددها اللوائح.
4- إذا كان الإفصاح ضرورياً لحماية الصحة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم. وتبين اللوائح الضوابط والإجراءات المتعلقة بذلك.
5- إذا كان الإفصاح سيقتصر على معالجتها لاحقاً بطريقة لا تؤدي إلى معرفة هوية صاحب البيانات الشخصية أو أي فرد آخر على وجه التحديد. وتبين اللوائح الضوابط والإجراءات المتعلقة بذلك.
▫️على جهة التحكم ألا تفصح عن البيانات الشخصية في الأحوال المنصوص عليها في الفقرات (1) و(2) و(5) من المادة (الخامسة عشرة) من النظام، متى اتصف الإفصاح بأيّ مما يأتي:
1- أنه يمثل خطراً على الأمن، أو يسيء إلى سمعة المملكة، أو يتعارض مع مصالحها.
2- أنه يؤثر على علاقات المملكة مع دولة أخرى.
3- أنه يمنع من كشف جريمة أو يمس حقوق متهم في الحصول على محاكمة عادلة أو يؤثر في سلامة إجراءات جنائية قائمة.
4- أنه يعرض سلامة فرد أو أفراد للخطر.
5- أنه يترتب عليه انتهاك خصوصية فرد آخر غير صاحب البيانات الشخصية وفق ما تحدده اللوائح.
6- أنه يتعارض مع مصلحة ناقص أو عديم الأهلية.
7- أنه يخل بالتزامات مهنية مقررة نظاماً.
8- أنه ينطوي عليه إخلال بالتزام أو إجراء أو حكم قضائي.
9- أنه يكشف عن مصدر سري لمعلومات تحتم المصلحة العامة عدم الكشف عنه.
▫️لا يجوز لجهة التحكم الإفصاح عن البيانات الشخصية إلا في الأحوال الآتية:
1- إذا وافق صاحب البيانات الشخصية على الإفصاح وفقاً لأحكام النظام.
2- إذا كانت البيانات الشخصية قد جرى جمعها من مصدر متاح للعموم.
3- إذا كانت الجهة التي تطلب الإفصاح جهة عامة، وذلك لأغراض أمنية أو لتنفيذ نظام آخر أو لاستيفاء متطلبات قضائية وفق الأحكام التي تحددها اللوائح.
4- إذا كان الإفصاح ضرورياً لحماية الصحة أو السلامة العامة أو حماية حياة فرد أو أفراد معينين أو حماية صحتهم. وتبين اللوائح الضوابط والإجراءات المتعلقة بذلك.
5- إذا كان الإفصاح سيقتصر على معالجتها لاحقاً بطريقة لا تؤدي إلى معرفة هوية صاحب البيانات الشخصية أو أي فرد آخر على وجه التحديد. وتبين اللوائح الضوابط والإجراءات المتعلقة بذلك.
▫️على جهة التحكم ألا تفصح عن البيانات الشخصية في الأحوال المنصوص عليها في الفقرات (1) و(2) و(5) من المادة (الخامسة عشرة) من النظام، متى اتصف الإفصاح بأيّ مما يأتي:
1- أنه يمثل خطراً على الأمن، أو يسيء إلى سمعة المملكة، أو يتعارض مع مصالحها.
2- أنه يؤثر على علاقات المملكة مع دولة أخرى.
3- أنه يمنع من كشف جريمة أو يمس حقوق متهم في الحصول على محاكمة عادلة أو يؤثر في سلامة إجراءات جنائية قائمة.
4- أنه يعرض سلامة فرد أو أفراد للخطر.
5- أنه يترتب عليه انتهاك خصوصية فرد آخر غير صاحب البيانات الشخصية وفق ما تحدده اللوائح.
6- أنه يتعارض مع مصلحة ناقص أو عديم الأهلية.
7- أنه يخل بالتزامات مهنية مقررة نظاماً.
8- أنه ينطوي عليه إخلال بالتزام أو إجراء أو حكم قضائي.
9- أنه يكشف عن مصدر سري لمعلومات تحتم المصلحة العامة عدم الكشف عنه.
▫️
1- إذا جرى تصحيح خطأ أو إكمال نقص أو إجراء تحديث في البيانات الشخصية، فعلى جهة التحكم أن تشعر أي جهة أخرى انتقلت إليها تلك البيانات بأي تعديل يطرأ عليها، وأن تتيح لها ذلك التعديل.
2- توضح اللوائح المدد الزمنية للتصحيح والتحديث، وأنواع التصحيح، والإجراءات المطلوبة لتفادي الآثار المترتبة على معالجة بيانات شخصية غير صحيحة أو غير دقيقة أو غير حديثة.
▫️
1- على جهة التحكم إتلاف البيانات الشخصية فور انتهاء الغرض من جمعها. ومع ذلك، يجوز لها الاحتفاظ بتلك البيانات بعد انتهاء الغرض من جمعها إذا تمت إزالة كل ما يؤدي إلى معرفة صاحبها على وجه التحديد وفق الضوابط التي تحددها اللوائح.
2- على جهة التحكم الاحتفاظ بالبيانات الشخصية حتى بعد انتهاء الغرض من جمعها في الحالتين الآتيتين:
أ - إذا توافر مسوغ نظامي يوجب الاحتفاظ بها مدة محددة، وفي هذه الحالة يجرى إتلافها بعد انتهاء هذه المدة أو انتهاء الغرض من جمعها، أيهما أطول.
ب- إذا كانت البيانات الشخصية متصلة اتصالاً وثيقاً بقضية منظورة أمام جهة قضائية وكان الاحتفاظ بها مطلوباً لهذا الغرض، وفي هذه الحالة يجرى إتلافها بعد استكمال الإجراءات القضائية الخاصة بالقضية.
▫️على جهة التحكم اتخاذ ما يلزم من إجراءات ووسائل تنظيمية وإدارية وتقنية تضمن المحافظة على البيانات الشخصية، بما في ذلك عند نقلها؛ وذلك وفقاً للأحكام والضوابط التي تحددها اللوائح.
1- إذا جرى تصحيح خطأ أو إكمال نقص أو إجراء تحديث في البيانات الشخصية، فعلى جهة التحكم أن تشعر أي جهة أخرى انتقلت إليها تلك البيانات بأي تعديل يطرأ عليها، وأن تتيح لها ذلك التعديل.
2- توضح اللوائح المدد الزمنية للتصحيح والتحديث، وأنواع التصحيح، والإجراءات المطلوبة لتفادي الآثار المترتبة على معالجة بيانات شخصية غير صحيحة أو غير دقيقة أو غير حديثة.
▫️
1- على جهة التحكم إتلاف البيانات الشخصية فور انتهاء الغرض من جمعها. ومع ذلك، يجوز لها الاحتفاظ بتلك البيانات بعد انتهاء الغرض من جمعها إذا تمت إزالة كل ما يؤدي إلى معرفة صاحبها على وجه التحديد وفق الضوابط التي تحددها اللوائح.
2- على جهة التحكم الاحتفاظ بالبيانات الشخصية حتى بعد انتهاء الغرض من جمعها في الحالتين الآتيتين:
أ - إذا توافر مسوغ نظامي يوجب الاحتفاظ بها مدة محددة، وفي هذه الحالة يجرى إتلافها بعد انتهاء هذه المدة أو انتهاء الغرض من جمعها، أيهما أطول.
ب- إذا كانت البيانات الشخصية متصلة اتصالاً وثيقاً بقضية منظورة أمام جهة قضائية وكان الاحتفاظ بها مطلوباً لهذا الغرض، وفي هذه الحالة يجرى إتلافها بعد استكمال الإجراءات القضائية الخاصة بالقضية.
▫️على جهة التحكم اتخاذ ما يلزم من إجراءات ووسائل تنظيمية وإدارية وتقنية تضمن المحافظة على البيانات الشخصية، بما في ذلك عند نقلها؛ وذلك وفقاً للأحكام والضوابط التي تحددها اللوائح.
▫️1- تشعر جهة التحكم الجهة المختصة فور علمها بحدوث تسرب أو تلف لبيانات شخصية أو حدوث وصول غير مشروع إليها.
2- تحدد اللوائح الأحوال التي يجب فيها على جهة التحكم إشعار صاحب البيانات الشخصية في حالة حدوث تسرب أو تلف لبياناته الشخصية أو حدوث وصول غير مشروع إليها. وإذا كان من شأن حدوث أيّ مما سبق أن يرتب ضرراً جسيماً على بياناته أو على نفسه، فيجب على جهة التحكم إشعاره فوراً.
▫️على جهة التحكم الاستجابة لطلبات صاحب البيانات الشخصية المتعلقة بحقوقه المنصوص عليها في النظام خلال مدة محددة وعبر وسيلة مناسبة تبينهما اللوائح.
▫️على جهة التحكم إجراء تقويم للآثار المترتبة على معالجة البيانات الشخصية لأي منتج أو خدمة تقدم للعموم بحسب طبيعة النشاط الذي تمارسه جهة التحكم، وتحدد اللوائح الأحكام اللازمة لذلك.
2- تحدد اللوائح الأحوال التي يجب فيها على جهة التحكم إشعار صاحب البيانات الشخصية في حالة حدوث تسرب أو تلف لبياناته الشخصية أو حدوث وصول غير مشروع إليها. وإذا كان من شأن حدوث أيّ مما سبق أن يرتب ضرراً جسيماً على بياناته أو على نفسه، فيجب على جهة التحكم إشعاره فوراً.
▫️على جهة التحكم الاستجابة لطلبات صاحب البيانات الشخصية المتعلقة بحقوقه المنصوص عليها في النظام خلال مدة محددة وعبر وسيلة مناسبة تبينهما اللوائح.
▫️على جهة التحكم إجراء تقويم للآثار المترتبة على معالجة البيانات الشخصية لأي منتج أو خدمة تقدم للعموم بحسب طبيعة النشاط الذي تمارسه جهة التحكم، وتحدد اللوائح الأحكام اللازمة لذلك.
▫️تحدد اللوائح الضوابط والإجراءات الإضافية -بما لا يتعارض مع أحكام النظام- في شأن معالجة البيانات الصحية بما يكفل المحافظة على خصوصية أصحابها ويحمي حقوقهم الواردة في النظام، على أن تشتمل على ما يأتي:
1- قصر حق الاطلاع على البيانات الصحية -بما فيها الملفات الطبية- على أقل عدد ممكن من الموظفين أو العاملين وبالقدر اللازم فقط لتقديم الخدمات الصحية اللازمة.
2- تقييد إجراءات وعمليات معالجة البيانات الصحية إلى أقل قدر ممكن من الموظفين والعاملين لتقديم الخدمات الصحية أو توفير برامج التأمين الصحي.
▫️تحدد اللوائح الضوابط والإجراءات الإضافية -بما لا يتعارض مع أحكام النظام- في شأن معالجة البيانات الائتمانية بما يكفل المحافظة على خصوصية أصحابها ويحمي حقوقهم الواردة في النظام ونظام المعلومات الائتمانية، على أن تشتمل على ما يأتي:
1- اتخاذ ما يلزم للتحقق من توافر الموافقة الكتابية من صاحب البيانات الشخصية على جمع هذه البيانات أو تغيير الغرض من جمعها أو الإفصاح عنها أو نشرها وفق أحكام النظام ونظام المعلومات الائتمانية.
2- وجوب إشعار صاحب البيانات الشخصية عند ورود طلب الإفصاح عن بياناته الائتمانية من أي جهة.
1- قصر حق الاطلاع على البيانات الصحية -بما فيها الملفات الطبية- على أقل عدد ممكن من الموظفين أو العاملين وبالقدر اللازم فقط لتقديم الخدمات الصحية اللازمة.
2- تقييد إجراءات وعمليات معالجة البيانات الصحية إلى أقل قدر ممكن من الموظفين والعاملين لتقديم الخدمات الصحية أو توفير برامج التأمين الصحي.
▫️تحدد اللوائح الضوابط والإجراءات الإضافية -بما لا يتعارض مع أحكام النظام- في شأن معالجة البيانات الائتمانية بما يكفل المحافظة على خصوصية أصحابها ويحمي حقوقهم الواردة في النظام ونظام المعلومات الائتمانية، على أن تشتمل على ما يأتي:
1- اتخاذ ما يلزم للتحقق من توافر الموافقة الكتابية من صاحب البيانات الشخصية على جمع هذه البيانات أو تغيير الغرض من جمعها أو الإفصاح عنها أو نشرها وفق أحكام النظام ونظام المعلومات الائتمانية.
2- وجوب إشعار صاحب البيانات الشخصية عند ورود طلب الإفصاح عن بياناته الائتمانية من أي جهة.
▫️فيما عدا المواد التوعوية التي ترسلها الجهات العامة، لا يجوز لجهة التحكم استخدام وسائل الاتصال الشخصية -بما فيها العناوين البريدية والإلكترونية- الخاصة بصاحب البيانات الشخصية لأجل إرسال مواد دعائية أو توعوية، إلا وفقاً لما يأتي:
1- أن تؤخذ موافقة المتلقي المستهدف على إرسال هذه المواد إليه.
2- أن يوفر مرسل المواد آلية واضحة -بحسب ما تحدده اللوائح- تمكن المتلقي المستهدف من إبداء رغبته في التوقف عن إرسالها إليه عند رغبته في ذلك.
وتحدد اللوائح الأحكام المتعلقة بالمواد الدعائية والتوعوية المشار إليها في هذه المادة، وشروط وأحوال موافقة المتلقي المستهدف على إرسال هذه المواد إليه.
▫️فيما عدا البيانات الحساسة، تجوز معالجة البيانات الشخصية لأغراض تسويقية، إذا جرى جمعها من صاحبها مباشرة ووافق على ذلك وفق أحكام النظام. وتحدد اللوائح الضوابط اللازمة لذلك.
1- أن تؤخذ موافقة المتلقي المستهدف على إرسال هذه المواد إليه.
2- أن يوفر مرسل المواد آلية واضحة -بحسب ما تحدده اللوائح- تمكن المتلقي المستهدف من إبداء رغبته في التوقف عن إرسالها إليه عند رغبته في ذلك.
وتحدد اللوائح الأحكام المتعلقة بالمواد الدعائية والتوعوية المشار إليها في هذه المادة، وشروط وأحوال موافقة المتلقي المستهدف على إرسال هذه المواد إليه.
▫️فيما عدا البيانات الحساسة، تجوز معالجة البيانات الشخصية لأغراض تسويقية، إذا جرى جمعها من صاحبها مباشرة ووافق على ذلك وفق أحكام النظام. وتحدد اللوائح الضوابط اللازمة لذلك.
▫️يجوز جمع البيانات الشخصية أو معالجتها لأغراض علمية أو بحثية أو إحصائية دون موافقة صاحبها، في الأحوال الآتية:
1- إذا لم تتضمن البيانات الشخصية ما يدل على هوية صاحبها على وجه التحديد.
2- إذا كان سيجرى إتلاف ما يدل على هوية صاحب البيانات الشخصية على وجه التحديد خلال عملية معالجتها وقبل الإفصاح عنها لأي جهة أخرى ولم تكن تلك البيانات بيانات حساسة.
3- إذا كان جمع البيانات الشخصية أو معالجتها لهذه الأغراض يقتضيها نظام آخر أو تنفيذاً لاتفاق سابق يكون صاحبها طرفاً فيه.
وتحدد اللوائح الضوابط اللازمة لما ورد في هذه المادة.
1- إذا لم تتضمن البيانات الشخصية ما يدل على هوية صاحبها على وجه التحديد.
2- إذا كان سيجرى إتلاف ما يدل على هوية صاحب البيانات الشخصية على وجه التحديد خلال عملية معالجتها وقبل الإفصاح عنها لأي جهة أخرى ولم تكن تلك البيانات بيانات حساسة.
3- إذا كان جمع البيانات الشخصية أو معالجتها لهذه الأغراض يقتضيها نظام آخر أو تنفيذاً لاتفاق سابق يكون صاحبها طرفاً فيه.
وتحدد اللوائح الضوابط اللازمة لما ورد في هذه المادة.
▫️لا يجوز تصوير الوثائق الرسمية التي تحدد هوية صاحب البيانات الشخصية أو نسخها، إلا عندما يكون ذلك تنفيذاً لأحكام نظام، أو عندما تطلب جهة عامة مختصة تصوير تلك الوثائق أو نسخها وفق ما تحدده اللوائح.
▫️فيما عدا حالات الضرورة القصوى للمحافظة على حياة صاحب البيانات خارج المملكة أو مصالحه الحيوية أو الوقاية من عدوى مرضية أو فحصها أو معالجتها، لا يجوز لجهة التحكم نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة إلا إذا كان ذلك تنفيذاً لالتزام بموجب اتفاقية تكون المملكة طرفاً فيه، أو لخدمة مصالح المملكة، أو لأغراض أخرى وفقاً لما تحدده اللوائح، وذلك بعد أن تتوافر الشروط الآتية:
1- ألا يترتب على النقل أو الإفصاح مساس بالأمن الوطني أو بمصالح المملكة الحيوية.
2- أن تقدم ضمانات كافية للمحافظة على البيانات الشخصية التي سيجرى نقلها أو الإفصاح عنها وعلى سريتها، بحيث لا تقل معايير حماية البيانات الشخصية عن المعايير الواردة في النظام واللوائح.
3- أن يقتصر النقل أو الإفصاح على الحد الأدنى من البيانات الشخصية الذي تدعو الحاجة إليه.
4- موافقة الجهة المختصة على النقل أو الإفصاح وفقاً لما تحدده اللوائح.
وفيما عدا الشرط الوارد في الفقرة (1) من هذه المادة، يجوز للجهة المختصة أن تعفي جهة التحكم -في كل حالة على حدة- من الالتزام بأحد الشروط المشار إليها؛ متى قدرت الجهة المختصة منفردة أو بالاشتراك مع جهات أخرى أن البيانات الشخصية سيتوافر لها مستوى مقبول من الحماية خارج المملكة، ولم تكن تلك البيانات بيانات حساسة.
▫️فيما عدا حالات الضرورة القصوى للمحافظة على حياة صاحب البيانات خارج المملكة أو مصالحه الحيوية أو الوقاية من عدوى مرضية أو فحصها أو معالجتها، لا يجوز لجهة التحكم نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة إلا إذا كان ذلك تنفيذاً لالتزام بموجب اتفاقية تكون المملكة طرفاً فيه، أو لخدمة مصالح المملكة، أو لأغراض أخرى وفقاً لما تحدده اللوائح، وذلك بعد أن تتوافر الشروط الآتية:
1- ألا يترتب على النقل أو الإفصاح مساس بالأمن الوطني أو بمصالح المملكة الحيوية.
2- أن تقدم ضمانات كافية للمحافظة على البيانات الشخصية التي سيجرى نقلها أو الإفصاح عنها وعلى سريتها، بحيث لا تقل معايير حماية البيانات الشخصية عن المعايير الواردة في النظام واللوائح.
3- أن يقتصر النقل أو الإفصاح على الحد الأدنى من البيانات الشخصية الذي تدعو الحاجة إليه.
4- موافقة الجهة المختصة على النقل أو الإفصاح وفقاً لما تحدده اللوائح.
وفيما عدا الشرط الوارد في الفقرة (1) من هذه المادة، يجوز للجهة المختصة أن تعفي جهة التحكم -في كل حالة على حدة- من الالتزام بأحد الشروط المشار إليها؛ متى قدرت الجهة المختصة منفردة أو بالاشتراك مع جهات أخرى أن البيانات الشخصية سيتوافر لها مستوى مقبول من الحماية خارج المملكة، ولم تكن تلك البيانات بيانات حساسة.
▫️1- مع عدم الإخلال بأحكام النظام، وما للبنك المركزي السعودي من صلاحيات وفقاً لما تقضي به النصوص النظامية ذات العلاقة، تكون الجهة المختصة الجهة المشرفة على تطبيق أحكام النظام واللوائح.
2- على جهة التحكم أن تعين أو تحدد شخصاً (أو أكثر) من منسوبيها ليكون مسؤولاً عن التزامها بتطبيق أحكام النظام واللوائح. وتحدد اللوائح الأحكام المتعلقة بما ورد في هذه الفقرة.
3- على جهة التحكم التعاون مع الجهة المختصة في سبيل مباشرتها مهماتها المتعلقة بالإشراف على تطبيق أحكام النظام واللوائح، وعليها كذلك اتخاذ ما يلزم من إجراءات حيال المسائل المتعلقة بذلك التي تحيلها الجهة المختصة إليها. وللجهة المختصة طلب الوثائق أو المعلومات اللازمة من جهة التحكم للتأكد من التزامها بأحكام النظام واللوائح.
4- يجوز للجهة المختصة -وفق ما تقدره- تفويض غيرها من الجهات في مباشرة بعض المهمات الموكولة إليها المتعلقة بالإشراف على تطبيق أحكام النظام واللوائح.
2- على جهة التحكم أن تعين أو تحدد شخصاً (أو أكثر) من منسوبيها ليكون مسؤولاً عن التزامها بتطبيق أحكام النظام واللوائح. وتحدد اللوائح الأحكام المتعلقة بما ورد في هذه الفقرة.
3- على جهة التحكم التعاون مع الجهة المختصة في سبيل مباشرتها مهماتها المتعلقة بالإشراف على تطبيق أحكام النظام واللوائح، وعليها كذلك اتخاذ ما يلزم من إجراءات حيال المسائل المتعلقة بذلك التي تحيلها الجهة المختصة إليها. وللجهة المختصة طلب الوثائق أو المعلومات اللازمة من جهة التحكم للتأكد من التزامها بأحكام النظام واللوائح.
4- يجوز للجهة المختصة -وفق ما تقدره- تفويض غيرها من الجهات في مباشرة بعض المهمات الموكولة إليها المتعلقة بالإشراف على تطبيق أحكام النظام واللوائح.
▫️دون إخلال بما ورد في المادة (الثامنة عشرة) من النظام، تحتفظ جهة التحكم بسجلات لمدة تحددها اللوائح لأنشطة معالجة البيانات الشخصية بحسب طبيعة النشاط الذي تمارسه جهة التحكم؛ لتكون متاحة عندما تطلبها الجهة المختصة. على أن تشمل السجلات حداً أدنى من البيانات الآتية:
1- تفاصيل الاتصال الخاصة بجهة التحكم.
2- الغرض من معالجة البيانات الشخصية.
3- وصف فئات أصحاب البيانات الشخصية.
4- أي جهة جرى (أو سيجرى) إفصاح البيانات الشخصية إليها.
5- ما إذا جرى (أو سيجری) نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة.
6- المدة الزمنية المتوقعة للاحتفاظ بالبيانات الشخصية.
1- تفاصيل الاتصال الخاصة بجهة التحكم.
2- الغرض من معالجة البيانات الشخصية.
3- وصف فئات أصحاب البيانات الشخصية.
4- أي جهة جرى (أو سيجرى) إفصاح البيانات الشخصية إليها.
5- ما إذا جرى (أو سيجری) نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة.
6- المدة الزمنية المتوقعة للاحتفاظ بالبيانات الشخصية.
▫️1-تقوم الجهة المختصة بإنشاء بوابة إلكترونية لغرض بناء سجل وطني عن جهات التحكم، تهدف إلى مراقبة ومتابعة التزام تلك الجهات بأحكام النظام واللوائح، وتقديم الخدمات المرتبطة بإجراءات حماية البيانات الشخصية لجهات التحكم؛ وذلك وفق ما تحدده اللوائح.
2- تلتزم جميع جهات التحكم بالتسجيل في البوابة المشار إليها في الفقرة (1) من هذه المادة، وتستحصل الجهة المختصة رسماً سنوياً ثابتاً بما لا يتجاوز (مائة ألف) ريال؛ عن تسجيل جهات التحكم ذات الصفة الاعتبارية الخاصة في البوابة المشار إليها في الفقرة (1) من هذه المادة، على أن تحدد اللوائح مقدار الرسم السنوي الثابت بما لا يتجاوز الحد الأقصى المقرر، وذلك بحسب طبيعة النشاط الذي تمارسه تلك الجهات.
3- يخصص في البوابة سجل خاص لكل جهة تحكم تدون فيه السجلات المشار إليها في المادة (الحادية والثلاثين) من النظام وغيرها من الوثائق أو المعلومات اللازمة ذات الصلة بمعالجة البيانات الشخصية.
2- تلتزم جميع جهات التحكم بالتسجيل في البوابة المشار إليها في الفقرة (1) من هذه المادة، وتستحصل الجهة المختصة رسماً سنوياً ثابتاً بما لا يتجاوز (مائة ألف) ريال؛ عن تسجيل جهات التحكم ذات الصفة الاعتبارية الخاصة في البوابة المشار إليها في الفقرة (1) من هذه المادة، على أن تحدد اللوائح مقدار الرسم السنوي الثابت بما لا يتجاوز الحد الأقصى المقرر، وذلك بحسب طبيعة النشاط الذي تمارسه تلك الجهات.
3- يخصص في البوابة سجل خاص لكل جهة تحكم تدون فيه السجلات المشار إليها في المادة (الحادية والثلاثين) من النظام وغيرها من الوثائق أو المعلومات اللازمة ذات الصلة بمعالجة البيانات الشخصية.
▫️1- تختص الجهة المختصة بالموافقة على ممارسة الأنشطة التجارية أو المهنية أو غير الربحية المرتبطة بحماية البيانات الشخصية في المملكة وفقاً لما تحدده اللوائح.
2- يجب على الجهة التي في خارج المملكة -عند معالجتها لبيانات شخصية تتعلق بالأفراد المقيمين في المملكة بأي وسيلة كانت- أن تعين ممثلاً لها في المملكة ترخص له الجهة المختصة لمباشرة التزاماته المقررة بموجب أحكام النظام واللوائح. ولا يخل هذا التعيين بمسؤوليات تلك الجهة تجاه صاحب البيانات الشخصية أو الجهة المختصة بحسب الأحوال. وتبين اللوائح الأحكام المتعلقة بالترخيص وحدود علاقة الممثل بالجهة التي في خارج المملكة التي يمثلها.
3- يجوز للجهة المختصة الترخيص لجهات تتولى إصدار شهادات اعتماد لجهة التحكم وجهة المعالجة، على أن تضع الجهة المختصة القواعد المنظمة لإصدار تلك الشهادات.
2- يجب على الجهة التي في خارج المملكة -عند معالجتها لبيانات شخصية تتعلق بالأفراد المقيمين في المملكة بأي وسيلة كانت- أن تعين ممثلاً لها في المملكة ترخص له الجهة المختصة لمباشرة التزاماته المقررة بموجب أحكام النظام واللوائح. ولا يخل هذا التعيين بمسؤوليات تلك الجهة تجاه صاحب البيانات الشخصية أو الجهة المختصة بحسب الأحوال. وتبين اللوائح الأحكام المتعلقة بالترخيص وحدود علاقة الممثل بالجهة التي في خارج المملكة التي يمثلها.
3- يجوز للجهة المختصة الترخيص لجهات تتولى إصدار شهادات اعتماد لجهة التحكم وجهة المعالجة، على أن تضع الجهة المختصة القواعد المنظمة لإصدار تلك الشهادات.
▫️يجوز لصاحب البيانات الشخصية التقدم إلى الجهة المختصة بأي شكوى ناشئة من تطبيق النظام واللوائح. وتحدد اللوائح ضوابط معالجة الجهة المختصة للشكاوى التي يقدمها صاحب البيانات الشخصية الناشئة من تطبيق النظام واللوائح.
▫️1- مع عدم الإخلال بأي عقوبة أشد منصوص عليها في نظام آخر، تكون عقوبة ارتكاب المخالفات الآتية وفقاً لما دون أمامها:
أ- كل من أفصح عن بيانات حساسة أو نشرها مخالفاً أحكام النظام: يعاقب بالسجن مدة لا تزيد على (سنتين) وبغرامة لا تزيد على (ثلاثة ملايين) ريال، أو بإحدى هاتين العقوبتين؛ إذا كان ذلك بقصد الإضرار بصاحب البيانات أو بقصد تحقيق منفعة شخصية.
ب- كل من خالف أحكام المادة (التاسعة والعشرين) من النظام: يعاقب بالسجن مدة لا تزيد على (سنة) وبغرامة لا تزيد على (مليون) ريال، أو بإحدى هاتين العقوبتين.
2- تختص النيابة العامة بمهمة التحقيق والادعاء أمام المحكمة المختصة عن المخالفات المنصوص عليها في هذه المادة.
3- تتولى المحكمة المختصة النظر في الدعاوى الناشئة من تطبيق هذه المادة وإيقاع العقوبات المقررة.
4- يجوز للمحكمة المختصة مضاعفة عقوبة الغرامة في حالة العود حتى لو ترتب عليها تجاوز الحد الأقصى لها على ألا تتجاوز ضعف هذا الحد.
▫️1- مع عدم الإخلال بأي عقوبة أشد منصوص عليها في نظام آخر، تكون عقوبة ارتكاب المخالفات الآتية وفقاً لما دون أمامها:
أ- كل من أفصح عن بيانات حساسة أو نشرها مخالفاً أحكام النظام: يعاقب بالسجن مدة لا تزيد على (سنتين) وبغرامة لا تزيد على (ثلاثة ملايين) ريال، أو بإحدى هاتين العقوبتين؛ إذا كان ذلك بقصد الإضرار بصاحب البيانات أو بقصد تحقيق منفعة شخصية.
ب- كل من خالف أحكام المادة (التاسعة والعشرين) من النظام: يعاقب بالسجن مدة لا تزيد على (سنة) وبغرامة لا تزيد على (مليون) ريال، أو بإحدى هاتين العقوبتين.
2- تختص النيابة العامة بمهمة التحقيق والادعاء أمام المحكمة المختصة عن المخالفات المنصوص عليها في هذه المادة.
3- تتولى المحكمة المختصة النظر في الدعاوى الناشئة من تطبيق هذه المادة وإيقاع العقوبات المقررة.
4- يجوز للمحكمة المختصة مضاعفة عقوبة الغرامة في حالة العود حتى لو ترتب عليها تجاوز الحد الأقصى لها على ألا تتجاوز ضعف هذا الحد.
▫️1-فيما لم يرد في شأنه نص خاص في المادة (الخامسة والثلاثين) من النظام، ودون إخلال بأيّ عقوبة أشد منصوص عليها في نظام آخر؛ تعاقب بالإنذار أو بغرامة لا تزيد على (خمسة ملايين) ريال، كل شخصية ذات صفة طبيعية أو اعتبارية خاصة -مشمولة بأحكام النظام- خالفت أياً من أحكام النظام أو اللوائح. وتجوز مضاعفة عقوبة الغرامة في حالة تكرار المخالفة حتى لو ترتب عليها بتجاوز الحد الأقصى لها على ألا تتجاوز ضعف هذا الحد.
2- تكوّن بقرار من رئيس الجهة المختصة، لجنة (أو أكثر) لا يقل عدد أعضائها عن (ثلاثة)، ويسمى أحدهم رئيساً، ويكون من بينهم مستشار شرعي أو نظامي؛ تتولى النظر في المخالفات وإيقاع عقوبة الإنذار أو الغرامة المنصوص عليها في الفقرة (1) من هذه المادة، وذلك بحسب نوع المخالفة المرتكبة وجسامتها ومدى تأثيرها، على أن يعتمد قرار اللجنة رئيس الجهة المختصة أو من يفوضه بذلك. ويصدر رئيس الجهة المختصة –بقرار منه– قواعد عمل اللجنة، وتحدد فيها مكافآت أعضائها.
3- يحق لمن صدر ضده قرار من اللجنة المنصوص عليها في الفقرة (2) من هذه المادة التظلم منه أمام المحكمة المختصة.
2- تكوّن بقرار من رئيس الجهة المختصة، لجنة (أو أكثر) لا يقل عدد أعضائها عن (ثلاثة)، ويسمى أحدهم رئيساً، ويكون من بينهم مستشار شرعي أو نظامي؛ تتولى النظر في المخالفات وإيقاع عقوبة الإنذار أو الغرامة المنصوص عليها في الفقرة (1) من هذه المادة، وذلك بحسب نوع المخالفة المرتكبة وجسامتها ومدى تأثيرها، على أن يعتمد قرار اللجنة رئيس الجهة المختصة أو من يفوضه بذلك. ويصدر رئيس الجهة المختصة –بقرار منه– قواعد عمل اللجنة، وتحدد فيها مكافآت أعضائها.
3- يحق لمن صدر ضده قرار من اللجنة المنصوص عليها في الفقرة (2) من هذه المادة التظلم منه أمام المحكمة المختصة.
▫️1- يتولى الموظفون أو العاملون –الذين يصدر بتسميتهم قرار من رئيس الجهة المختصة– ضبط المخالفات المنصوص عليها في النظام أو اللوائح.
2- للجهة المختصة الحق في حجز الوسائل أو الأدوات المستخدمة في ارتكاب المخالفة إلى حين البت فيها.
▫️1- مع عدم الإخلال بحقوق الغير حسن النية، يجوز للمحكمة المختصة الحكم بمصادرة الأموال المتحصلة من جراء ارتكاب المخالفات المنصوص عليها في النظام.
2- يجوز للمحكمة المختصة أو اللجنة المنصوص عليها في الفقرة (2) من المادة (السادسة والثلاثين) -بحسب الأحوال- تضمين الحكم أو القرار الصادر من أي منهما بتحديد العقوبة النصَّ على نشر ملخصه على نفقة المحكوم عليه أو المخالف في صحيفة محلية (أو أكثر) تصدر في مكان إقامته، أو في أي وسيلة أخرى مناسبة، وذلك بحسب نوع المخالفة المرتكبة وجسامتها ومدى تأثيرها، على أن يكون النشر بعد اكتساب الحكم الصفة القطعية، أو تحصن القرار بفوات ميعاد التظلم منه، أو صدور حكم نهائي برفض التظلم منه.
▫️دون إخلال بما ورد في المادة (الخامسة والثلاثين) والفقرة (1) من المادة (السادسة والثلاثين) من النظام، يجب على الجهة العامة مساءلة أي من منسوبيها –تأديبياً– في حال مخالفته أياً من أحكام النظام واللوائح؛ وفق أحكام وإجراءات المساءلة والتأديب المقررة نظاماً.
▫️مع عدم الإخلال بإيقاع العقوبات المنصوص عليها في النظام، لمن لحقه ضرر -نتيجة ارتكاب أي من المخالفات المنصوص عليها في النظام أو اللوائح- حق المطالبة أمام المحكمة المختصة بالتعويض عن الضرر المادي أو المعنوي بما يتناسب مع حجم الضرر.
▫️يلتزم كل من باشر عملاً من أعمال معالجة البيانات الشخصية بالمحافظة على الأسرار المتعلقة بالبيانات حتى بعد انتهاء علاقته الوظيفية أو التعاقدية.
▫️يصدر رئيس الجهة المختصة اللوائح، وذلك في مدة لا تتجاوز (مائة وثمانين) يوماً من تاريخ صدور النظام، على أن يُنسق -قبل إصدارها- مع وزارة الاتصالات وتقنية المعلومات ووزارة الخارجية وهيئة الاتصالات وتقنية المعلومات والهيئة الوطنية للأمن السيبراني والمجلس الصحي السعودي والبنك المركزي السعودي، كلٌّ فيما يخصه.
2- للجهة المختصة الحق في حجز الوسائل أو الأدوات المستخدمة في ارتكاب المخالفة إلى حين البت فيها.
▫️1- مع عدم الإخلال بحقوق الغير حسن النية، يجوز للمحكمة المختصة الحكم بمصادرة الأموال المتحصلة من جراء ارتكاب المخالفات المنصوص عليها في النظام.
2- يجوز للمحكمة المختصة أو اللجنة المنصوص عليها في الفقرة (2) من المادة (السادسة والثلاثين) -بحسب الأحوال- تضمين الحكم أو القرار الصادر من أي منهما بتحديد العقوبة النصَّ على نشر ملخصه على نفقة المحكوم عليه أو المخالف في صحيفة محلية (أو أكثر) تصدر في مكان إقامته، أو في أي وسيلة أخرى مناسبة، وذلك بحسب نوع المخالفة المرتكبة وجسامتها ومدى تأثيرها، على أن يكون النشر بعد اكتساب الحكم الصفة القطعية، أو تحصن القرار بفوات ميعاد التظلم منه، أو صدور حكم نهائي برفض التظلم منه.
▫️دون إخلال بما ورد في المادة (الخامسة والثلاثين) والفقرة (1) من المادة (السادسة والثلاثين) من النظام، يجب على الجهة العامة مساءلة أي من منسوبيها –تأديبياً– في حال مخالفته أياً من أحكام النظام واللوائح؛ وفق أحكام وإجراءات المساءلة والتأديب المقررة نظاماً.
▫️مع عدم الإخلال بإيقاع العقوبات المنصوص عليها في النظام، لمن لحقه ضرر -نتيجة ارتكاب أي من المخالفات المنصوص عليها في النظام أو اللوائح- حق المطالبة أمام المحكمة المختصة بالتعويض عن الضرر المادي أو المعنوي بما يتناسب مع حجم الضرر.
▫️يلتزم كل من باشر عملاً من أعمال معالجة البيانات الشخصية بالمحافظة على الأسرار المتعلقة بالبيانات حتى بعد انتهاء علاقته الوظيفية أو التعاقدية.
▫️يصدر رئيس الجهة المختصة اللوائح، وذلك في مدة لا تتجاوز (مائة وثمانين) يوماً من تاريخ صدور النظام، على أن يُنسق -قبل إصدارها- مع وزارة الاتصالات وتقنية المعلومات ووزارة الخارجية وهيئة الاتصالات وتقنية المعلومات والهيئة الوطنية للأمن السيبراني والمجلس الصحي السعودي والبنك المركزي السعودي، كلٌّ فيما يخصه.
جاري تحميل الاقتراحات...