ثانياً: محتوى البيانات الشخصية المطلوبة

تحرص الهيئة على أن يقتصر محتوى البيانات الشخصية التي يتم جمعها ومعالجتها على الحد الأدنى من البيانات الشخصية التي من شأنها تمكين الهيئة من أداء مهامها وضمان تقديم الخدمة المناسبة للمستفيد، حيث يتم جمع بعض البيانات الشخصية الإلزامية عن طريق موقع الهيئة الإلكتروني على الإنترنت من خلال استرداد بيانات اعتماد تسجيل الدخول الإلكتروني، ومن خلال المنصة الوطنية (نفاذ)، أو ملفات تعريف الارتباط (Cookies)، أو ملفات بروتوكولات الإنترنت (IP)، أو البيانات التي يقدمها المستفيد مباشرة للهيئة خلال تقديم طلبه، ومن هذه البيانات الشخصية: الاسم الأول، الاسم الأخير، رقم الهوية الوطنية ، أو الإقامة ، تاريخ الميلاد، العنوان الوطني، البريد الالكتروني، رقم الجوال الشخصي.

ثالثاً: وسيلة الحفظ

تعتمد الهيئة نهجًا شاملاً لحماية البيانات عبر تبني أحدث المعايير والتقنيات في تخزين البيانات وتأمينها، وفقًا لدليل سياسات البيانات وحوكمتها، حيث تحرص الهيئة على ضمان سرية بيانات المستفيدين وسلامتها من التعديل، أو الفقدان، وحمايتها من الوصول غير المصرح به إليها، وتوافرها من خلال آليات تخزين آمنة وتقنيات تشفير متقدمة، كما يتم تطبيق تقنيات إخفاء البيانات الشخصية، أو الحساسة عبر الطمس، أو الحذف، أو التعتيم عند مشاركة البيانات مع أطراف خارجية لضمان عدم إمكانية التعرف على الأفراد من خلال بياناتهم، وتلتزم الهيئة بالقواعد المشار إليها في قسم "تخزين البيانات المصنفة" في وثيقة "إرشادات التعامل مع البيانات المصنفة" الصادرة من الهيئة الوطنية للأمن السيبراني.

رابعاً: وسيلة الإتلاف

تتبنى الهيئة نهجًا صارمًا لضمان التخلص الآمن من البيانات الشخصية التي انتهت مدة الاحتفاظ بها وفقًا للضوابط التنظيمية والمعايير الأمنية المعتمدة، وذلك باستخدام أحدث تقنيات محو البيانات الرقمية سواءً كانت على وسائط تخزين مادية مثل الأقراص الصلبة، أو الأقراص المدمجة الرقمية، أو محركات الأقراص الصلبة، أو الأجهزة المحمولة، أو محركات الأقراص المتنقلة، أو البيانات الموجودة في سجلات قواعد البيانات، أو ملفات النسخ الاحتياطية، وذلك لضمان عدم إمكانية استعادتها، كما يتم إتلاف جميع البيانات الورقية باستخدام آلات تمزيق الورق عالية الجودة والأمان والتخلص من الأوراق بطريقة آمنة تمنع استعادة جمعها ، يجعل من المتعذر الاطلاع عليها أو استعادتها مرة أخرى أو معرفة صاحبها على وجه التحديد وتقوم الهيئة بإعداد تقرير مفصّل عن جميع البيانات التي تم التخلص منها ، مع مراعاة ضوابط الأمن السيبراني في كيفية اتلاف تلك البيانات.

خامساً: كيفية المعالجة

تعتمد هيئة حقوق الإنسان إطارًا صارمًا لمعالجة البيانات الشخصية وفقًا لنظام حماية البيانات الشخصية والأنظمة ذات العلاقة في المملكة، وذلك لضمان حماية خصوصية الأفراد وتأمين بياناتهم من أي استخدام غير مشروع خلال مراحل العمليات التالية: -

جمع البيانات الشخصية

• تجمع البيانات الشخصية فقط لتحقيق الأغراض المحددة في إشعار الخصوصية التي وافق عليها صاحب البيانات سواء ضمنيًا، أو صراحة.
• تقييد عملية الجمع بما يتوافق مع الأنظمة واللوائح المعمول بها بالمملكة، ولا يتم جمع بيانات غير ضرورية.
• الالتزام بإشعار صاحب البيانات بأسباب جمع بياناته الشخصية، وكيفية معالجتها، وضمان عدم استخدامها في أغراض أخرى.
• لا تجمع البيانات الشخصية إلا من مصادرها الصحيحة وبطرق مشروعة.
• إبلاغ صاحب البيانات الشخصية بحقه في استخدام بياناته وإمكانية سحب موافقته على المعالجة في أي وقت.
• عند جمع البيانات الشخصية بشكل غير مباشر، يجب إخطار صاحب البيانات بالمصدر المستخدم.

تخزين البيانات الشخصية

• تخضع البيانات الشخصية لمعايير صارمة تضمن سريتها، وسلامتها، وإتاحتها عند الحاجة.
• تحفظ البيانات الشخصية وفق أفضل الممارسات الأمنية بما في ذلك تشفيرها واستخدام علامات الطمس، أو التعتيم، أو الحذف، ومنع الوصول غير المصرح به.
• حظر حفظ البيانات خارج المملكة إلا بموافقة مكتب إدارة البيانات الوطنية والجهات التنظيمية ذات العلاقة.
• إجراء نسخ احتياطي دوري لحماية البيانات الشخصية وضمان استمرارية العمل في حال حدوث أعطال، أو كوارث.
• فرض قيود صارمة على الوصول إلى البيانات عبر تطبيق أحدث تقنيات الحماية، وضبط صلاحيات الوصول.

معالجة البيانات الشخصية

• إصدار إشعار يتضمن سياسات وإجراءات الخصوصية المتعلقة بالهيئة بشكل واضح محدد ومباشر، يشرح الأغراض التي تتم معالجة البيانات الشخصية من أجلها.
• تقييد معالجة البيانات الشخصية بالأغراض المحددة في إشعار الخصوصية، ولا يجوز استخدامها لأي غرض آخر دون موافقة صاحب البيانات.
• ضمان معالجة البيانات الشخصية داخل الحدود الجغرافية للمملكة، وعدم معالجتها خارج المملكة إلا بعد الحصول على موافقة خطية من الجهة التنظيمية بالتنسيق مع مكتب إدارة البيانات الوطنية.
• توثيق جميع مراحل المعالجة لضمان الشفافية وإمكانية التتبع، مع تسجيل الأنشطة التي يتم إجراؤها على البيانات.
• حجب وإخفاء البيانات الشخصية المطلوب معالجتها متى كان هناك حاجة لذلك قبل مشاركتها، مع ضمان الالتزام بالمحتوى.
• يتم تنفيذ ضوابط أمنية وتقنية تشمل تشفير البيانات وفقًا للمعايير الصادرة عن الهيئة الوطنية للأمن السيبراني.
• الاحتفاظ بسجلات تدقيق توثق عمليات التحديث والتعديلات التي تمت على البيانات الشخصية.

نقل البيانات الشخصية

• عدم جواز مشاركة البيانات الشخصية مع أي جهة خارجية إلا بعد الحصول على موافقة صاحب البيانات، وضمان أن المعالجة تتماشى مع الغرض الأساسي الذي جُمعت من أجله.
• فرض ضوابط صارمة على نقل البيانات عبر الحدود، ولا يجوز نقلها خارج المملكة إلا بموافقة الجهات التنظيمية المختصة.
• الالتزام بتأمين نقل البيانات باستخدام بروتوكولات أمان مشددة ونقلها عبر قنوات آمنة تمنع اعتراضها أو التلاعب بها.
• توثيق جميع عمليات مشاركة البيانات، وايضاح اسم الجهة المستلمة، والغرض من النقل، ومدة المعالجة، وإجراءات الحفظ والإتلاف.

سادساً: حقوق أصحاب البيانات الشخصية

يكون لصاحب البيانات الشخصية وفقاً لنظام حماية البيانات الشخصية ولائحته التنفيذية من الحقوق ما يلي: -

• الحق في العلم: ويشمل ذلك إحاطة صاحب البيانات بوسائل التواصل مع الهيئة، وطرق جمع بياناته الشخصية والمسوغ النظامي لجمعها، وآلية معالجتها بصورة محددة وواضحة وصريحه، ومدة الاحتفاظ بها، وايضاح كيفية العدول عن الموافقة الممنوحة لمعالجة أي من بياناته الشخصية، وبيان ما إذا كان جميع البيانات، أو معالجتها إلزامياً، أو اختيارياً، وجميع التفاصيل الأخرى المتعلقة بذلك.
• الحق في الوصول إلى البيانات الشخصية: يحق لصاحب البيانات الوصول إلى بياناته الشخصية لدى الهيئة عن طريق طلب يقدمه للهيئة، أو بإحدى الوسائل التي توفرها الهيئة وبشكل تلقائي دون الحاجة إلى تقديم ذلك طلب، شرط ألا يوثر الوصول إلى بياناته الشخصية سلباً على حقوق الغير، ودون الإخلال بأحكام المادة (التاسعة)، والمادة (السادسة عشرة) من النظام.
• الحق في طلب الحصول على بياناته الشخصية: يحق لصاحب البيانات الحصول على نسخة من بياناته الشخصية بصيغة مقروءة وواضحة، على ألا يؤثر ذلك سلباً على حقوق الغير، وله الحق في أن تُقدم له بياناته الشخصية بصيغة إلكترونية، أو طلبها على شكل نسخة مطبوعة متى كان ذلك ممكناً.
• الحق في طلب تصحيح بياناته الشخصية: لصاحب البيانات في حال عدم صحة بياناته الشخصية لدى الهيئة أن يطلب تقييد معالجتها لمدة يمكن للهيئة خلالها التحقق من صحة البيانات الشخصية، مع مراعاة عدم سريان حقه في ذلك إذا كان تقديم تلك البيانات يتعارض مع أحكام النظام ولائحته التنفيذية، وللهيئة طلب المستندات، أو الوثائق الداعمة لطلب تصحيح تلك البيانات متى كان ذلك ضرورياً لتحديث، أو تصحيح، أو إتمام بياناته الشخصية على أن يتم إتلاف تلك المستندات، أو الوثائق بعد الانتهاء من عملية التحقق، ولصاحب البيانات الحق في إشعاره بعد تصحيح البيانات الشخصية دون تأخير.
• الحق في طلب إتلاف بياناته الشخصية: يحق لصاحب البيانات طلب إتلاف بياناته الشخصية إذا عدل عن موافقته على جمع بياناته الشخصية على أن تكون موافقته هي المسوغ النظامي الوحيد لمعالجة بياناته الشخصية، كما يحق له العدول عن ذلك متى علم أن بياناته الشخصية تجرى معالجتها بطريقة مخالفة للنظام، وللهيئة حق الاحتفاظ بتلك البيانات بعد انتهاء الغرض من جمعها اذا تمت إزالة كل ما يؤدي الى معرفة صاحبها على وجه التحديد وفق ضوابط محدده.

سابعاً: الآثار والأخطار المحتملة التي تترتب على عدم إتمام إجراء جمع البيانات الشخصية

إن عدم التزام الأفراد بتقديم البيانات الشخصية المطلوبة قد يؤدي إلى ما يلي-:

• تعذر أو تأخير إنهاء إجراءات الخدمة المطلوبة سواءً كان تقديم بلاغ، أو شكوى، أو تقديم مشورة ودعم، أو تقديم تدريب تعاوني.
• تقييد الوصول لبعض المميزات التي توفرها الهيئة للمستفيدين عبر المنصة الإلكترونية مثل متابعة طلباتهم، أو التواصل معهم لاطلاعهم بأخر المستجدات حول طلباتهم.
• انخفاض مستوى الأمان فقد يصعب على الهيئة التحقق من هوية المستخدم، أو حماية حسابه نظراً لعدم اكتمال جمع البيانات الشخصية الإلزامية.
• عدم الامتثال لنظام حماية البيانات الشخصية ولائحته التنفيذية والأنظمة ذات العلاقة بالمملكة.

الروابط ذات الصلة

نظام حماية البيانات الشخصية

اللائحة التنفيذية لنظام حماية البيانات الشخصية

سياسة حوكمة البيانات الوطنية

الضوابط الأساسية للأمن السيبراني

نظام مكافحة جرائم المعلوماتية