المصدر - نشرت الجريدة الرسمية “أم القرى”، اليوم الجمعة، قرار مجلس الوزراء بالموافقة على نظام حماية البيانات الشخصية.
*
وجاء في نص القرار:
*
أولاً: الموافقة على نظام حماية البيانات الشخصية، بالصيغة المرافقة.
ثانـيــــاً: تكون الجهة المختصة هي الهيئة السعودية للبيانات والذكاء الاصطناعي، وذلك لمدة سنتين، ينظر خلالها –في ضوء ما ينتج عن تطبيق أحكام نظام حماية البيانات الشخصية ولوائحه التنفيذية وفي ضوء مستوى النضج في قطاع البيانات– في نقل اختصاص الإشراف على تطبيق أحكام النظام ولوائحه التنفيذية إلى مكتب إدارة البيانات الوطنية.
ثالـثــــاً: استثناءً مما ورد في المادة (الثالثة والأربعين) من نظام حماية البيانات الشخصية، يؤجل تطبيق ما ورد في الفقرة (1) والفقرة (2) من المادة (الثالثة والثلاثين) من النظام، وفقاً لما يحدده رئيس الجهة المختصة وبما لا يتجاوز (خمس) سنوات من تاريخ نفاذ النظام.
رابعـــاً: قيام جهات التحكم –المنصوص عليها في الفقرة (18) من المادة (الأولى) من نظام حماية البيانات الشخصية– بتعديل أوضاعها وفقاً لأحكام النظام خلال مدة لا تزيد على (سنة) تبدأ من تاريخ نفاذه. وللجهة المختصة –لأسباب تقدرها– منح مدد إضافية لبعض الجهات لتعديل أوضاعها.
خامساً: لا يخل تطبيق أحكام نظام حماية البيانات الشخصية ولوائحه التنفيذية بما للهيئة الوطنية للأمن السيبراني من اختصاصات ومهمات بوصفها جهة أمنية مختصة بالأمن السيبراني والمرجع الوطني في شؤونه في المملكة، وفقاً لتنظيمها الصادر بالأمر الملكي رقم (6801) وتاريخ 11 /2/ 1439هـ.
وقد أعد مشروع مرسوم ملكي في شأن ما ورد في البنود (أولاً) و(ثالثاً) و(رابعاً) و(خامساً) من هذا القرار، صيغته مرافقة لهذا.
سادساً: ينسق بين الجهة المختصة والبنك المركزي السعودي، لإعداد مذكرة تفاهم لتنظيم بعض الجوانب المرتبطة بتطبيق أحكام نظام حماية البيانات الشخصية ولوائحه التنفيذية في الجهات الخاضعة لإشراف البنك المركزي السعودي تنظيمياً، وتحديد دور كل منهما في هذا الشأن، وذلك مراعاةً لعدم تداخل الاختصاصات بينهما في شأن تطبيق أحكام النظام ولوائحه التنفيذية على الجهات الخاضعة لإشراف البنك المركزي السعودي تنظيمياً، وللحيلولة دون التأثير في استقلالية البنك المركزي السعودي، وللطبيعة الخاصة للتعاملات المالية والمصرفية، ولأجل تعزيز استقرار ونمو القطاعات التي يشرف عليها البنك المركزي السعودي، على أن يستكمل إعداد المذكرة وتوقيعها بالتزامن مع نفاذ النظام.
سابعاً: ينسق بين الجهة المختصة وهيئة الاتصالات وتقنية المعلومات، لإعداد مذكرة تفاهم لتنظيم بعض الجوانب المرتبطة بتطبيق أحكام نظام حماية البيانات الشخصية ولوائحه التنفيذية في الجهات الخاضعة لتنظيم هيئة الاتصالات وتقنية المعلومات، وللحيلولة دون التأثير على هيئة الاتصالات وتقنية المعلومات باعتبارها جهة تنظيمية مستقلة تشرف على قطاعات حساسة مرتبطة بتعاملات الأفراد الشخصية، وتعزيزاً لاستقرار ونمو القطاعات التي تشرف عليها، على أن يستكمل إعداد المذكرة وتوقيعها بالتزامن مع نفاذ النظام.
ثامــناً: قيام الجهة المختصة بالتنسيق مع الجهات التي تراها، بحملة توعوية مستمرة لأصحاب البيانات الشخصية، وكذلك لموظفي جهات التحكم –المنصوص عليها في الفقرة (18) من المادة (الأولى) من نظام حماية البيانات الشخصية– أو العاملين التابعين لها، لبيان الحقوق والالتزامات الواردة في النظام بعد نفاذه.
تاسعاً: قيام جهة التحكم –المنصوص عليها في الفقرة (18) من المادة (الأولى) من نظام حماية البيانات الشخصية– بالإجراءات اللازمة لعقد جلسات عمل وما في حكمها لموظفيها أو العاملين التابعين لها، للتعريف بما ورد في النظام من مفردات ومبادئ بعد نفاذه. ولتلك الجهات التنسيق مع الجهة المختصة كلما اقتضى الأمر ذلك في سبيل تقديم المشورة والدعم.
عاشراً: قیام الجهة المختصة، بالتنسيق مع من تراه من الجهات ذات العلاقة، بتقويم نتائج تطبيق نظام حماية البيانات الشخصية وإبداء المرئيات المتعلقة به، بما في ذلك اقتراح ما قد يلزم من تعديلات عليه، وذلك خلال (خمس) سنوات من تاريخ نفاذه، والرفع بما يلزم لاستكمال الإجراءات اللازمة.
حادي عشر: قیام الجهة المختصة خلال مدة لا تتجاوز (سنة) من تاريخ نفاذ نظام حماية البيانات الشخصية، وبالتنسيق مع من تراه من الجهات ذات العلاقة، بمراجعة أحكام الأنظمة والقرارات واللوائح ذات العلاقة التي تناولت أحكاماً تتعلق بحماية البيانات الشخصية للأفراد، واقتراح تعديلها بما يتوافق مع أحكام النظام، والرفع عما يتطلب استكمال إجراءات نظامية في شأنه.
ثاني عشــر: على الجهة المختصة أن تراعي عند إعدادها اللوائح التنفيذية لنظام حماية البيانات الشخصية وضع أحكام وضوابط تتعلق بالإجراءات والوسائل التنظيمية والإدارية والتقنية المرتبطة بتخزين البيانات الشخصية لدى جهات التحكم –المنصوص عليها في الفقرة (18) من المادة (الأولى) من النظام– بما يضمن المحافظة على البيانات الشخصية وفقاً لطبيعتها ودرجة حساسيتها، وذلك استناداً إلى ما ورد في المادة (التاسعة عشرة) من النظام
*
وجاء في نص القرار:
*
أولاً: الموافقة على نظام حماية البيانات الشخصية، بالصيغة المرافقة.
ثانـيــــاً: تكون الجهة المختصة هي الهيئة السعودية للبيانات والذكاء الاصطناعي، وذلك لمدة سنتين، ينظر خلالها –في ضوء ما ينتج عن تطبيق أحكام نظام حماية البيانات الشخصية ولوائحه التنفيذية وفي ضوء مستوى النضج في قطاع البيانات– في نقل اختصاص الإشراف على تطبيق أحكام النظام ولوائحه التنفيذية إلى مكتب إدارة البيانات الوطنية.
ثالـثــــاً: استثناءً مما ورد في المادة (الثالثة والأربعين) من نظام حماية البيانات الشخصية، يؤجل تطبيق ما ورد في الفقرة (1) والفقرة (2) من المادة (الثالثة والثلاثين) من النظام، وفقاً لما يحدده رئيس الجهة المختصة وبما لا يتجاوز (خمس) سنوات من تاريخ نفاذ النظام.
رابعـــاً: قيام جهات التحكم –المنصوص عليها في الفقرة (18) من المادة (الأولى) من نظام حماية البيانات الشخصية– بتعديل أوضاعها وفقاً لأحكام النظام خلال مدة لا تزيد على (سنة) تبدأ من تاريخ نفاذه. وللجهة المختصة –لأسباب تقدرها– منح مدد إضافية لبعض الجهات لتعديل أوضاعها.
خامساً: لا يخل تطبيق أحكام نظام حماية البيانات الشخصية ولوائحه التنفيذية بما للهيئة الوطنية للأمن السيبراني من اختصاصات ومهمات بوصفها جهة أمنية مختصة بالأمن السيبراني والمرجع الوطني في شؤونه في المملكة، وفقاً لتنظيمها الصادر بالأمر الملكي رقم (6801) وتاريخ 11 /2/ 1439هـ.
وقد أعد مشروع مرسوم ملكي في شأن ما ورد في البنود (أولاً) و(ثالثاً) و(رابعاً) و(خامساً) من هذا القرار، صيغته مرافقة لهذا.
سادساً: ينسق بين الجهة المختصة والبنك المركزي السعودي، لإعداد مذكرة تفاهم لتنظيم بعض الجوانب المرتبطة بتطبيق أحكام نظام حماية البيانات الشخصية ولوائحه التنفيذية في الجهات الخاضعة لإشراف البنك المركزي السعودي تنظيمياً، وتحديد دور كل منهما في هذا الشأن، وذلك مراعاةً لعدم تداخل الاختصاصات بينهما في شأن تطبيق أحكام النظام ولوائحه التنفيذية على الجهات الخاضعة لإشراف البنك المركزي السعودي تنظيمياً، وللحيلولة دون التأثير في استقلالية البنك المركزي السعودي، وللطبيعة الخاصة للتعاملات المالية والمصرفية، ولأجل تعزيز استقرار ونمو القطاعات التي يشرف عليها البنك المركزي السعودي، على أن يستكمل إعداد المذكرة وتوقيعها بالتزامن مع نفاذ النظام.
سابعاً: ينسق بين الجهة المختصة وهيئة الاتصالات وتقنية المعلومات، لإعداد مذكرة تفاهم لتنظيم بعض الجوانب المرتبطة بتطبيق أحكام نظام حماية البيانات الشخصية ولوائحه التنفيذية في الجهات الخاضعة لتنظيم هيئة الاتصالات وتقنية المعلومات، وللحيلولة دون التأثير على هيئة الاتصالات وتقنية المعلومات باعتبارها جهة تنظيمية مستقلة تشرف على قطاعات حساسة مرتبطة بتعاملات الأفراد الشخصية، وتعزيزاً لاستقرار ونمو القطاعات التي تشرف عليها، على أن يستكمل إعداد المذكرة وتوقيعها بالتزامن مع نفاذ النظام.
ثامــناً: قيام الجهة المختصة بالتنسيق مع الجهات التي تراها، بحملة توعوية مستمرة لأصحاب البيانات الشخصية، وكذلك لموظفي جهات التحكم –المنصوص عليها في الفقرة (18) من المادة (الأولى) من نظام حماية البيانات الشخصية– أو العاملين التابعين لها، لبيان الحقوق والالتزامات الواردة في النظام بعد نفاذه.
تاسعاً: قيام جهة التحكم –المنصوص عليها في الفقرة (18) من المادة (الأولى) من نظام حماية البيانات الشخصية– بالإجراءات اللازمة لعقد جلسات عمل وما في حكمها لموظفيها أو العاملين التابعين لها، للتعريف بما ورد في النظام من مفردات ومبادئ بعد نفاذه. ولتلك الجهات التنسيق مع الجهة المختصة كلما اقتضى الأمر ذلك في سبيل تقديم المشورة والدعم.
عاشراً: قیام الجهة المختصة، بالتنسيق مع من تراه من الجهات ذات العلاقة، بتقويم نتائج تطبيق نظام حماية البيانات الشخصية وإبداء المرئيات المتعلقة به، بما في ذلك اقتراح ما قد يلزم من تعديلات عليه، وذلك خلال (خمس) سنوات من تاريخ نفاذه، والرفع بما يلزم لاستكمال الإجراءات اللازمة.
حادي عشر: قیام الجهة المختصة خلال مدة لا تتجاوز (سنة) من تاريخ نفاذ نظام حماية البيانات الشخصية، وبالتنسيق مع من تراه من الجهات ذات العلاقة، بمراجعة أحكام الأنظمة والقرارات واللوائح ذات العلاقة التي تناولت أحكاماً تتعلق بحماية البيانات الشخصية للأفراد، واقتراح تعديلها بما يتوافق مع أحكام النظام، والرفع عما يتطلب استكمال إجراءات نظامية في شأنه.
ثاني عشــر: على الجهة المختصة أن تراعي عند إعدادها اللوائح التنفيذية لنظام حماية البيانات الشخصية وضع أحكام وضوابط تتعلق بالإجراءات والوسائل التنظيمية والإدارية والتقنية المرتبطة بتخزين البيانات الشخصية لدى جهات التحكم –المنصوص عليها في الفقرة (18) من المادة (الأولى) من النظام– بما يضمن المحافظة على البيانات الشخصية وفقاً لطبيعتها ودرجة حساسيتها، وذلك استناداً إلى ما ورد في المادة (التاسعة عشرة) من النظام