‫القواعد العامة للمحافظة على خصوصية البيانات الشخصية‬

‫للمستخدمني‬
‫يف قطاع االتصاالت وتقنية املعلومات وقطاع البريد‬

‫اإلصدار‪1.0 :‬‬
‫التاريخ‪ :‬ابريل‪2020 ،‬م‬
‫التصنيف‪ :‬عام‬
 ‫القواعد العامة للمحافظة على خصوصية البيانات الشخصية للمستخدمني‬

‫‪ -1‬مقدمة‪:‬‬

‫وفقًا لتنظيم هيئة االتصاالت وتقنية املعلومات الصادر بقرار مجلس الوزراء رقم (‪ )74‬وتاريخ ‪1422/3/5‬ه‪ ،‬واملعدل‬
‫بقرار مجلس الوزراء رقم (‪ )133‬وتاريخ ‪1424/5/21‬ه والقاضي بأن تتوىل الهيئة مهام تقنية املعلومات‪ ،‬وإىل نظام‬
‫االتصاالت الصادر بقرار مجلس الوزراء رقم (‪ )74‬وتاريخ ‪1422/3/5‬ه‪ ،‬وتعديالته والئحته التنفيذية‪ ،‬وإىل قرار مجلس‬
‫الوزراء رقم (‪ )403‬وتاريخ ‪1440/7/12‬ه‪ ،‬الذي أسند لهيئة االتصاالت وتقنية املعلومات املهام التنظيمية والرقابية على‬
‫قطاع البريد‪ ،‬وانطالقًا من دور الهيئة تجاه حماية البيانات الشخصية للمستخدمني يف قطاع االتصاالت وتقنية‬
‫املعلومات والبريد‪ ،‬أعدت الهيئة وثيقة "القواعد العامة للمحافظة على خصوصية البيانات الشخصية للمستخدمني"‬
‫يف قطاعي االتصاالت وتقنية املعلومات والبريد‪.‬‬

‫تهدف وثيقة القواعد العامة للمحافظة على خصوصية البيانات الشخصية للمستخدمني يف كل من قطاع االتصاالت‬
‫وتقنية املعلومات وقطاع البريد لتحقيق األهداف التالية‪:‬‬

‫‪ ‬املحافظة على خصوصية البيانات الشخصية للمستخدمني‪ ،‬وحماية حقوقهم بما يتوافق مع أفضل‬
‫املمارسات العاملية‪.‬‬

‫‪ ‬رفع مستوى الثقة يف خدمات االتصاالت وتقنية املعلومات والبريد املعتمدة على معالجة البيانات الشخصية‬
‫للمستخدمني‪.‬‬

‫‪ ‬وضع املبادئ واألسس النظامية التي تمكن مقدمي الخدمة من االستثمار واالبتكار يف الخدمات‬
‫والتطبيقات التي توفر قيمة مضافة للمستخدمني من خالل االستفادة من البيانات الشخصية‪.‬‬

‫‪2‬‬
 ‫القواعد العامة للمحافظة على خصوصية البيانات الشخصية للمستخدمني‬

‫‪ -2‬تعريفات‪:‬‬

‫يكون للكلمات واملصطلحات اآلتية املعاني املوضحة نظير كل منها‪ ،‬ما لم يقتض السياق خالف ذلك‪:‬‬

‫الهيئة‪ :‬هيئة االتصاالت وتقنية املعلومات‪.‬‬

‫مقدم الخدمة‪ :‬مزود خدمات االتصاالت أو تقنية املعلومات أو البريد طبقًا ألنظمة الهيئة‪.‬‬

‫املستخدم‪ :‬الشخص ذو الصفة الطبيعية الذي يستخدم أيًا من خدمات االتصاالت وتقنية املعلومات أو البريد من مقدم‬
‫الخدمة‪.‬‬

‫البيانات الشخصية‪ :‬كل بيان ‪-‬مهما كان مصدره أو شكله‪ -‬من شأنه أن يؤدي إىل معرفة املستخدم على وجه‬
‫التحديد‪ ،‬أو يجعله قابالً للتعرف عليه بصفة مباشرة أو غير مباشرة‪ ،‬ويشمل ذلك ‪-‬دون حصر‪ -‬االسماء‪ ،‬وأرقام‬
‫الهويات الشخصية‪ ،‬والعناوين‪ ،‬وأرقام التواصل‪ ،‬وأرقام الرُّخص والسجالت واملمتلكات الشخصية‪ ،‬وأرقام الحسابات‬
‫البنكية والبطاقات االئتمانية‪ ،‬وصور املستخدم الثابتة أو املتحركة‪ ،‬وغير ذلك من البيانات ذات الطابع الشخصي‪.‬‬

‫معالجة البيانات الشخصية ‪ :‬جميع العمليات التي تُجرى على البيانات الشخصية بأي وسيلة كانت يدوية أو آلية‪،‬‬
‫وتشمل هذه العمليات ‪-‬على سبيل املثال ال الحصر‪ -‬جمع البيانات أو نقلها أو حفظها أو تخزينها أو مشاركتها أو‬
‫اتالفها أو تحليلها أو استخراج انماطها أو االستنتاج منها وربطها مع بيانات أخرى‪.‬‬

‫تسريب البيانات الشخصية‪ :‬اإلفصاح عن البيانات الشخصية أو إفشائها‪ ،‬أو نشرها‪ ،‬أو الحصول عليها‪ ،‬أو تمكني‬
‫الوصول لها دون سند نظامي‪ ،‬سواءً بقصد أو بدون بقصد‪.‬‬

‫‪3‬‬
 ‫القواعد العامة للمحافظة على خصوصية البيانات الشخصية للمستخدمني‬

‫كام عامة‪:‬‬
‫‪ -3‬أح‬

‫تسري هذه القواعد على جميع مقدمي الخدمة‪ ،‬وعلى مقدم الخدمة االلتزام بالقواعد الواردة يف هذه الوثيقة‪،‬‬ ‫‪1-3‬‬
‫والرفع بما يثبت االلتزام بها من خالل اآلليات التي تقرها الهيئة‪.‬‬
‫يجب على مقدم الخدمة أن يتحقق بشكل دوري من التزام جميع األطراف املتعاقد معهم ملعالجة البيانات‬ ‫‪2-3‬‬
‫الشخصية للمستخدمني لتحقيق أغراض يحددها مقدم الخدمة‪ ،‬بالقواعد الواردة يف هذه الوثيقة والرفع بما‬
‫يثبت ذلك االلتزام عبر اآلليات التي تقرها الهيئة‪.‬‬
‫يحظر على مقدم الخدمة أي ممارسات تخالف هذه القواعد‪ ،‬ويف حال مخالفتها فإنه يتم التعامل مع‬ ‫‪3-3‬‬
‫املخالفات وفق أنظمة الهيئة‪ ،‬وال يعفي مقدم الخدمة من املسؤولية يف حال تعاقده مع أطراف أخرى‪.‬‬
‫ال تخل هذه القواعد بأي وثيقة نظامية صادرة من الهيئة أو من الجهات األخرى ذات العالقة توفر حماية‬ ‫‪4-3‬‬
‫أعلى لخصوصية البيانات الشخصية للمستخدمني‪.‬‬

‫‪ -4‬املبادئ األساسية لل محافظة على خصوصية ال بيانات الشخصية للمستخدمني ‪:‬‬

‫يجب مراعاة املبادئ األساسية التالية عند معالجة البيانات الشخصية للمستخدمني‪:‬‬
‫أن يتم معالجة البيانات الشخصية للمستخدمني بطريقة نظامية‪ ،‬وشفافة‪ ،‬وأن تكون نتائج معالجة البيانات‬ ‫‪1-4‬‬
‫الشخصية للمستخدمني عادلة بحيث تضمن عدم التأثير السلبي غير املبرر على مصالح املستخدم‪.‬‬
‫أن يتم معالجة البيانات الشخصية للمستخدمني ألغراض محددة وواضحة للمستخدم‪.‬‬ ‫‪2-4‬‬
‫أن يتم جمع الحد األدنى من البيانات الشخصية للمستخدمني لتحقيق أغراض معالجة البيانات‪.‬‬ ‫‪3-4‬‬

‫أال يتم االحتفاظ بالبيانات الشخصية للمستخدمني بصيغة تتيح التعرف على أصحاب البيانات ملدة تتجاوز‬ ‫‪4-4‬‬
‫املدة الالزمة لتحقيق أغراض معالجة البيانات‬

‫أن يتم حماية البيانات الشخصية للمستخدمني بما يضمن خصوصيتها‪ ،‬ويمنع الوصول غير املشروع لها أو‬ ‫‪5-4‬‬
‫تسريبها أو العبث بها أو إساءة استخدامها‪.‬‬

‫‪4‬‬
 ‫القواعد العامة للمحافظة على خصوصية البيانات الشخصية للمستخدمني‬

‫‪ -5‬التزامات مقدمي الخدمة ‪:‬‬

‫يلتزم مقدم الخدمة بتطوير وتنفيذ برنامج للمحافظة على خصوصية البيانات الشخصية للمستخدمني‪ ،‬على‬ ‫‪1-5‬‬
‫أن يشمل ذلك تطوير وتوثيق وتنفيذ السياسات واإلجراءات املتعلقة باملحافظة على خصوصية البيانات‬
‫الشخصية للمستخدمني ومتابعة االلتزام بها‪ ،‬وأن يتم اعتماد البرنامج من قبل املسؤول األول لدى مقدم‬
‫الخدمة أو من يفوضه‪ ،‬كما يلتزم مقدم الخدمة برفع خطة البرنامج للهيئة قبل اعتماده والرفع بشكل‬
‫دوري للهيئة عن نشاطات البرنامج بعد اعتماده‪ ،‬وللهيئة الحق بطلب إجراء أي تعديالت تراها مناسبة‪.‬‬
‫يلتزم مقدم الخدمة ب إسناد مهام ومسؤوليات خصوصية البيانات الشخصية للمستخدمني إىل وحدة مستقلة‬ ‫‪2-5‬‬
‫تنشأ لهذا الغرض‪ ،‬مع توفير الدعم املناسب لها بما يمكنها من القيام بأعمالها مع مراعاة عدم تعارض‬
‫املصالح‪.‬‬
‫يلتزم مقدم الخدمة بتطوير واعتماد ونشر سياسة لخصوصية البيانات الشخصية‪ ،‬على أن تشمل تلك‬ ‫‪3-5‬‬
‫السياسة أنواع البيانات الشخصية للمستخدمني التي سيتم معالجتها‪ ،‬والغرض من ذلك‪ ،‬وما إذا كان سيتم‬
‫مشاركتها مع أطراف أخرى داخل أو خارج اململكة‪ ،‬ومدة االحتفاظ بها‪ ،‬وإجراءات حمايتها‪ ،‬وحقوق‬
‫املستخدمني فيما يتعلق ببياناتهم الشخصية‪ ،‬وكيفية ممارسة هذه الحقوق‪.‬‬
‫يلتزم مقدم الخدمة بمعالجة البيانات الشخصية للمستخدمني داخل اململكة‪ ،‬وال يجوز له معالجتها خارج‬ ‫‪4-5‬‬
‫اململكة قبل الحصول على موافقة الهيئة الكتابية‪.‬‬

‫يلتزم مقدم الخدمة باالحتفاظ بالبيانات الشخصية للمستخدمني لألغراض واملدد املحددة‪ ،‬وبما يتوافق مع‬ ‫‪5-5‬‬
‫التعليمات الصادرة من الهيئة‪.‬‬
‫يلتزم مقدم الخدمة بإبالغ الهيئة فورًا عند حدوث أي تسريب للبيانات الشخصية للمستخدمني‪ ،‬عبر اآلليات‬ ‫‪6-5‬‬
‫واإلجراءات التي تقرها الهيئة‪.‬‬

‫‪ -6‬ح قوق املستخدمني فيما يتعلق ب خصوصية بياناتهم الشخصية‪:‬‬

‫ال يجوز معالجة البيانات الشخصية للمستخدمني دون موافقتهم الصريحة على ذلك‪ ،‬ويجوز للمستخدمني‬ ‫‪1-6‬‬
‫الرجوع عن موافقتهم يف أي وقت‪ ،‬ويستثنى من ذلك ما تقتضيه األنظمة واللوائح والتعليمات ذات العالقة‪.‬‬

‫يجب تمكني املستخدمني من االطالع على سياسة خصوصية البيانات الشخصية قبل معالجة بياناتهم‬ ‫‪2-6‬‬
‫الشخصية‪.‬‬

‫يجب تمكني املستخدمني من الوصول إىل بياناتهم الشخصية التي يعالجها مقدم الخدمة يف أي وقت‪،‬‬ ‫‪3-6‬‬
‫وتصحيحها عند وجود بيانات خاطئة أو غير دقيقة‪.‬‬

‫يجب تمكني املستخدمني من الحصول على نسخة من بياناتهم الشخصية بصيغة الكترونية‪ ،‬وفقًا ملا تقره‬ ‫‪4-6‬‬
‫الهيئة‪.‬‬
‫‪5‬‬