1-1 الغرض
الغرض من هذه السياسة: هو الالتزام بمتطلبات نظام حماية البيانات الشخصية ولوائحه التنفيذية الصادرة من مكتب إدارة البيانات الوطنية لحماية خصوصية الأفراد المستخدمين لخدمات بوابة المدينة الخارجية.
1-2 فهرس المصطلحات (التعريفات)
|
الكلمة أو العبارة |
التعريف |
| البيانات |
مجموعة من الحقائق في صورتها الأولية أو في صورة غير منظمة مثل الأرقام أو الحروف أو الصور الثابتة أو الفيديو أو التسجيلات الصوتية أو الرموز التعبيرية. |
| البيانات الشخصية |
كل بيان - مهما كان مصدره أو شكله - من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعله قابلاً للتعرف عليه بصفة مباشرة أو غير مباشرة عند دمجه مع بيانات أخرى، ويشمل ذلك -على سبيل المثال لا الحصر - الاسم، وأرقام الهويات الشخصية، والعناوين، وأرقام التواصل، وأرقام الحسابات البنكية والبطاقات الائتمانية، وصور المستخدم الثابتة أو المتحركة، وغير ذلك من البيانات ذات الطابع الشخصي. |
| الوصول إلى البيانات |
القدرة على الوصول المنطقي والمادي إلى البيانات والموارد التقنية للجهة لغرض استخدامها |
| مستوى الوصول إلى البيانات |
مستوى يعتمد على الأذونات والصلاحيات التي تقيد الوصول إلى البيانات والموارد التقنية على الأشخاص المصرح لهم وفقاً لما هو مطلوب لإنجاز المهام والمسؤوليات المناطة بهم. |
| التصريح |
تعريف حقوق وصلاحيات الوصول إلى البيانات والموارد التقنية لأي مستخدم أو برنامج أو عملية، والتحكم بمستويات الوصول إليها. |
| توافر البيانات |
ضمان إمكانية الوصول المناسب والموثوق للبيانات واستخدامها عند الحاجة. |
| سرية البيانات |
الحفاظ على القيود المصرح بها للوصول إلى البيانات أو الإفصاح عنها. |
| سلامة البيانات |
حماية البيانات من أي تعديل أو إتلاف غير مصرح به نظاماً. |
| البيانات المحمية |
البيانات المصنفة على أنها سري للغاية، سري جداً، سري، مقيّد. |
| المعلومات العامة |
البيانات بعد المعالجة – غير المحمية – التي تتلقاها أو تنتجها أو تتعامل معها الجهات، العامة مهما كان مصدرها، أو شكلها أو طبيعتها. |
| الفرد |
الشخص المتقدم بطلب الاطلاع أو الحصول على المعلومات العامة. |
| صاحب البيانات الشخصية |
الفرد الذي تتعلق به البيانات الشخصية. |
| معالجة البيانات الشخصية |
جميع العمليات التي تجرى على البيانات الشخصية بأي وسيلة كانت يدوية أو آلية، وتشمل هذه العمليات - على سبيل المثال لا الحصر - جمع البيانات ونقلها وحفظها وتخزينها ومشاركتها وإتلافها وتحليلها واستخراج أنماطها والاستنتاج منها وربطها مع بيانات أخرى. |
| جهة التحكم |
أي جهة حكومية أو جهة اعتبارية عامة مستقلة في المملكة، وأي شخصية ذات صفة طبيعية أو اعتبارية خاصة، تحدد الغرض من معالجة البيانات الشخصية وكيفية ذلك، سواء تمت معالجة البيانات بواسطتها او من خلال جهة المعالجة. |
| جهة المعالجة |
أي جهة حكومية أو جهة اعتبارية عامة مستقلة في المملكة، وأي شخصية ذات صفة طبيعية أو اعتبارية خاصة؛ تعالج البيانات الشخصية لمصلحة جهة التحكم ونيابةً عنها. |
| الإفصاح عن البيانات الشخصية |
تمكين أي شخص - عدا جهة التحكم أو جهة المعالجة بحسب الأحوال - من الحصول على البيانات الشخصية أو استعمالها أو الاطلاع عليها بأي وسيلة ولأي غرض. |
| إتلاف البيانات الشخصية |
أي إجراء يتم على البيانات الشخصية ويجعل من المتعذر الاطلاع عليها أو استعادتها مرة أخرى أو معرفة صاحبها على وجه التحديد. |
| تسريب البيانات الشخصية |
الإفصاح عن البيانات الشخصية، أو الحصول عليها، أو تمكين الوصول إليها، دون تصريح أو سند نظامي، سواء بقصد أو بغير قصد. |
| الموافقة الضمنية |
هي موافقة لا يتم منحها صراحةً من قبل صاحب البيانات، ولكنها تمنح ضمنيًا من خلال أفعال الشخص ووقائع وظروف الموقف - كتوقيع العقود أو الموافقة على الشروط والأحكام. |
| الأطراف الخارجية |
أي جهة حكومية أو جهة اعتبارية عامة مستقلة في المملكة، وأي شخصية ذات صفة طبيعية أو اعتبارية خاصة بخلاف صاحب البيانات أو جهة التحكم أو جهة المعالجة والأشخاص المصرح لهم، تعنى بمعالجة البيانات الشخصية. |
| الجهة العامة |
أي جهة حكومية أو جهة اعتبارية عامة مستقلة في المملكة، أو أي من الجهات التابعة لها - وتعد في حكم الجهة العامة أي شركة تقوم بإدارة المرافق العامة أو البنى التحتية الوطنية أو تشغيلها أو صيانتها، أو تقوم بمباشرة خدمة عامة فيما يخص إدارة تلك المرافق أو البنى التحتية. |
| الجهة التنظيمية |
أي جهة حكومية أو جهة اعتبارية عامة مستقلة تتولى مهام ومسؤوليات تنظيمية أو رقابية لقطاع معين في المملكة العربية السعودية بناءً على مستند نظامي. |
| مكتب الجهة |
مكتب إدارة البيانات والخصوصية في الجهة العامة. |
| المدينة |
مدينة الملك عبدالله للطاقة الذرية والمتجددة. |
| الرئيس |
الرئيس التنفيذي لمدينة الملك عبدالله للطاقة الذرية والمتجددة. |
1-3 الملكية
يمتلك هذه الوثيقة مدير مكتب إدارة البيانات في مدينة الملك عبدالله للطاقة الذرية والمتجددة.
1-4 مجال التطبيق
تنطبق أحكام هذه السياسة على جميع قطاعات وإدارات المدينة التي تقوم كلياً أو جزئياً بمعالجة البيانات الشخصية، وكذلك المكاتب التابعة للمدينة التي تقوم بمعالجة البيانات الشخصية المتعلقة بالأفراد المقيمين في المملكة والتي تتم عبر شبكة الإنترنت أو أي وسيلة أخرى.
يستثنى من نطاق تطبيق هذه السياسة، جمع البيانات الشخصية من غير صاحبها مباشرة – دون علمه – أو معالجتها لغير الغرض الذي جُمعت من أجله أو الإفصاح عنها دون موافقته أو نقلها خارج المملكة في الأحوال التالية:
1- إذا كانت جهة التحكم جهة حكومية وكان جمع البيانات الشخصية أو معالجتها مطلوباً لتحقيق متطلبات نظامية وفقاً للأنظمة واللوائح والسياسات المعمول بها في المملكة أو لاستيفاء مُتطلبات قضائية أو لتنفيذ التزام بموجب اتفاق تكون المملكة طرفاً فيه.
2- إذا كان جمع البيانات الشخصية أو معالجتها ضرورياً لحماية الصحة أو السلامة العامة أو حماية المصالح الحيوية للأفراد.
1-5 الاحتفاظ بالوثيقة
يجب على الإدارة المالكة مراجعة هذه الوثيقة كل (12) شهر حسب المعايير القياسية لوثائق السياسات والإجراءات.
1-6 أدوار ومسؤوليات الوثيقة / جدول الصلاحية
|
الجهة/المسؤولية |
الترميز
والحفظ |
إعداد/ تحديث/ تعديل |
المراجعة |
المصادقة |
الاعتماد |
النشر |
| الجهة المالكة للسياسة |
|
نعم |
|
|
|
|
| الإدارة العامة للأمن السيبراني، |
|
|
نعم |
|
|
|
| إدارة التميز المؤسسي، الشؤون القانونية، الحوكمة والمخاطر والالتزام |
|
|
|
نعم |
|
|
| ادارة التميز المؤسسي |
نعم |
|
|
|
|
نعم |
| المشرف العام على مكتب إدارة البيانات |
|
|
|
|
نعم |
|
| سمو الرئيس التنفيذي |
|
|
|
|
نعم |
|
تحتوي هذه السياسة في مدينة الملك عبدالله للطاقة الذرية والمتجددة على ماله علاقة بشان سرية وخصوصية بيانات المستخدمين التي يتم تسجيلها في الموقع الالكتروني للمدينة، حيث تم اعداد هذه السياسة لتوضيح آلية جمع، ومعالجة، وتخزين، واتلاف البيانات الشخصية لمستخدمي خدمات وموقع مدينة الملك عبدالله للطاقة الذرية والمتجددة.
2-1 التزامات المدينة
تلتزم مدينة الملك عبدالله للطاقة الذرية والمتجددة بتطبيق أفضل الإجراءات المتوافقة مع نظام حماية البيانات الشخصية ولوائحه التنفيذية الصادرة بالمرسوم الملكي رقم (م/19) وتاريخ 9/2/1443 هـ والمعدل بموجب المرسوم الملكي رقم (م/148) وتاريخ 5/9/1444 هـ، وذلك لضمان خصوصية بيانات الأفراد المستخدمين للموقع الإلكتروني للمدينة وأنظمتها والمستفيدين من خدماتها المقدمة.
2-2 المبادئ الرئيسية لحماية البيانات الشخصية
المبدأ الأول: المسؤولية
المدينة مسؤولة عن تحديد وتوثيق سياسات وإجراءات الخصوصية الخاصة بها.
المبدأ الثاني: الشفافية
إعداد إشعار عن سياسات وإجراءات الخصوصية الخاصة بالمدينة يحدد فيه الأغراض التي من أجلها تم معالجة البيانات الشخصية وذلك بصورة محددة وواضحة وصريحة.
المبدأ الثالث: الاختيار والموافقة
تحديد جميع الخيارات الممكنة لصاحب البيانات الشخصية والحصول على موافقته (الضمنية أو الصريحة) فيما يتعلق بجمع بياناته واستخدامها أو الإفصاح عنها.
المبدأ الرابع: الحد من جمع البيانات
يقتصر جمع البيانات الشخصية على الحد الأدنى من البيانات الذي يمكّن من تحقيق الأغراض المحددة في إشعار الخصوصية.
المبدأ الخامس: الحد من استخدام البيانات والاحتفاظ بها والتخلص منها
يتم تقييد معالجة البيانات الشخصية بالأغراض المحددة في إشعار الخصوصية والتي من أجلها قدّم صاحب البيانات موافقته الضمنية أو الصريحة، والاحتفاظ بها طالما كان ذلك ضروريًا لتحقيق الأغراض المحددة أو لما تقتضيه الأنظمة واللوائح والسياسات المعمول بها في المملكة وإتلافها بطريقة آمنة تمنع التسرب، أو الفقدان، أو الاختلاس، أو إساءة الاستخدام، أو الوصول غير المصرّح به نظاماً.
المبدأ السادس: الوصول إلى البيانات
يتم تحديد وتوفير الوسائل التي من خلالها يمكن لصاحب البيانات الوصول إلى بياناته الشخصية لمراجعتها، وتحديثها، وتصحيحها.
المبدأ السابع: الحد من الإفصاح عن البيانات
يتم تقييد الإفصاح عن البيانات الشخصية للأطراف الخارجية بالأغراض المحددة في إشعار الخصوصية والتي من أجلها قدّم صاحب البيانات موافقته الضمنية أو الصريحة.
المبدأ الثامن: أمن البيانات
يتم حماية البيانات الشخصية من التسرب، أو التلف، أو الفقدان، أو الاختلاس، أو إساءة الاستخدام، أو التعديل أو الوصول غير المصرّح به – وفقاً لما يصدر من الهيئة الوطنية للأمن السيبراني والجهات ذات الاختصاص.
المبدأ التاسع: جودة البيانات
يتم الاحتفاظ بالبيانات الشخصية بصورة دقيقة، وكاملة، وذات علاقة مباشرة بالأغراض المحددة في إشعار الخصوصية.
المبدأ العاشر: المراقبة والامتثال
يتم مراقبة الامتثال لسياسات وإجراءات الخصوصية الخاصة بجهة التحكم، ومعالجة الاستفسارات والشكاوى والنزاعات المتعلقة بالخصوصية.
2-3 حقوق الأفراد
أولاً: الحق في العلم، ويشمل ذلك إحاطته علمًا بالمسوغ النظامي لجمع بياناته الشخصية والغرض من جمعها.
ثانياً: الحق في وصوله إلى بياناته الشخصية المتوافرة لدى المدينة.
ثالثاً: الحق في طلب الحصول على بياناته الشخصية المتوافرة لدى المدينة بصيغة مقروءة وواضحة، وفق الضوابط والإجراءات التي تحددها اللوائح.
رابعًا: الحق في طلب تصحيح بياناته الشخصية المتوافرة لدى المدينة، أو إتمامها، أو تحديثها.
خامسًا: الحق في طلب إتلاف بياناته الشخصية المتوافرة لدى المدينة مما انتهت الحاجة إليه منها وبما لا يتعارض مع المبررات القانونية لحفظ واستبقاء بياناته الشخصية.
2-4 البيانات الشخصية التي يتم جمعها
يتم جمع البيانات الشخصية التالية من خلال الموقع الالكتروني للمدينة:
- البيانات اللازمة لتسجيل المستخدم في الموقع الالكتروني.
- البيانات اللازمة للحصول على الخدمات المقدمة من خلال الموقع الالكتروني.
- البيانات اللازمة للتحقق من هوية المستفيد.
- البيانات اللازمة للتقديم على الشواغر الوظيفية المطروحة.
- البيانات اللازمة للتسجيل في البرامج المطروحة من قبل المدينة.
2-5 استخدام ومعالجة البيانات الشخصية والغرض من جمعها
يتم استخدام ومعالجة البيانات الشخصية للأفراد من قبل المدينة للأغراض التالية:
- تقديم الخدمات.
- التوظيف والاستقطاب.
- التحقق من هوية المستفيد من الخدمات.
- قياس مدى رضى المستخدمين.
- تحديد عدد الطلبات التي تم معالجتها.
- حصر الخدمات التي تم تقديمها.
- تحديد شرائح المجتمع والقطاعات المستفيدة من الخدمات.
2-6 تخزين البيانات الشخصية
يتم تخزين البيانات الشخصية للأفراد بشكل آمن داخل الحدود الجغرافية للمملكة مع تطبيق الضوابط اللازمة لحماية البيانات الشخصية والمحافظة على خصوصية الأفراد وسرية البيانات وحماية الوصول إليها، وذلك حسب السياسات واللوائح والإجراءات الصادرة من قبل الهيئة السعودية للبيانات والذكاء الاصطناعي والهيئة الوطنية للأمن السيبراني.
2-7 اتلاف البيانات الشخصية للأفراد
يتم اتلاف البيانات الشخصية بشكل آمن بعد (7) سنوات مالم يكن هنالك مبرر قانوني لإستبقاء البيانات الشخصية، ولكن في حال وجود مبرر قانوني لاستبقاء البيانات الشخصية يحق للمدينة استبقاء البيانات الشخصية لحين انتهاء المبرر القانوني، وتلتزم المدينة بإتلاف البيانات الشخصية بشكل آمن بعد انتهاء المبرر القانوني لاستبقاء البيانات الشخصية.
2-8 الروابط الخارجية
يحتوي الموقع الإلكتروني للمدينة وانظمتها على روابط لمواقع إلكترونية أخرى قد تختلف معايير الحماية والخصوصية فيها عن المعايير المعتمدة في المدينة. ولا تعد بوابة المدينة مسؤولة عن أي محتويات موجودة على تلك المواقع الإلكترونية وسياسات الخصوصية لهذه المواقع. لذا تنصح المدينة المستخدمين بمطالعة سياسات الخصوصية لتلك المواقع الإلكترونية.
2-9 تقديم الشكاوى والاقتراحات وممارسة حقوق أصحاب البيانات الشخصية
يمكن للأفراد تقديم الشكاوى والاقتراحات وممارسة حقوق أصحاب البيانات الشخصية من خلال البريد الالكتروني (DM-Office@energy.gov.sa) ويتم الرد على الشكاوى والاقتراحات وطلبات ممارسة حقوق أصحاب البيانات الشخصية خلال (20) يوم عمل، ويمكن التمديد لمدة (20) يوم عمل أخر بعد ابلاغ صاحب الطلب.
2-10 التغييرات في سياسة الخصوصية
تحتفظ بوابة الخدمات الإلكترونية التابعة للمدينة بالحق في إجراء أي تعديل طفيف أو جذري لشروط سياسة الخصوصية من وقت لآخر من دون الحاجة إلى تقديم إخطار بذلك. وإذا كانت رغبة المستخدم لموقع المدينة بالاستمرار في استخدام الموقع وخدماته بعد إدخال التعديلات على سياسة الخصوصية هذه، فإن هذا يعني قبول المستخدم لهذه التغييرات.
2-11 الأدوار والمسؤوليات
1- راعي ومالك وثيقة السياسة: مدير مكتب إدارة البيانات.
2- مراجعة السياسة وتحديثها: مكتب إدارة البيانات، والإدارة العامة للموارد البشرية، والإدارة العامة للشؤون القانونية، والإدارة العامة للأمن السيبراني والإدارة العامة للاستراتيجية والتميز المؤسسي.
3- تنفيذ السياسة وتطبيقها: مكتب إدارة البيانات، والإدارة العامة للموارد البشرية، والإدارة العامة للشؤون القانونية، والإدارة العامة للأمن السيبراني وجميع العاملين في المدينة.
2-12 الالتزام بالسياسة
- يجب على مكتب إدارة البيانات ضمان التزام مدينة الملك عبد الله للطاقة الذرية والمتجددة بهذه السياسة بشكل دوري.
- يجب على مكتب إدارة البيانات، والإدارة للموارد البشرية، والإدارة العامة للشؤون القانونية والإدارة العامة للأمن السيبراني التحقق من التزام موظفي المدينة بنظام حماية البيانات الشخصية.
- يجب على جميع العاملين في مدينة الملك عبد الله للطاقة الذرية والمتجددة الالتزام بهذه السياسة.
- قد يُعرّض أي انتهاك لهذه السياسة صاحبهُ للمساءلة القانونية بناء على نظام حماية البيانات الشخصية ولوائحه التنفيذية الصادر بالمرسوم الملكي رقم (م/19) وتاريخ 9/2/1443 هـ والمعدل بموجب المرسوم الملكي رقم (م/148) وتاريخ 5/9/1444 هـ.
