معرفة قانونية
وفقًا للائحة التنفيذية لنظام حماية البيانات الشخصية على جهة التحكم اتخاذ التدابير التنظيمية والإدارية والتقنية اللازمة لضمان أمن البيانات الشخصية وخصوصية أصحابها، والالتزام بالآتي:
تطبيق التدابير الأمنية والتقنية الضرورية للحد من المخاطر الأمنية لحدوث تسرب البيانات الشخصية.
الالتزام بالضوابط والمعايير والقواعد ذوات الصلة الصادرة عن الهيئة الوطنية للأمن السيبراني، أو أفضل ممارسات ومعايير الأمن السيبراني المتعارف عليها في حال كانت جهة التحكم غير ملزمة بتطبيق الضوابط والمعايير والقواعد الصادرة عن الهيئة الوطنية للأمن السيبراني.
وفي حال وقوع حادثة تسرّب للبيانات الشخصية فا يجب على جهة التحكم إشعار الجهة المختصة خلال مدة لا تتجاوز (72) ساعة من وقت علمها بالحادثة إذا كان من شأن تلك الحادثة الإضرار بالبيانات الشخصية أو صاحب البيانات الشخصية أو كانت تتعارض مع حقوقه أو مصالحه، وتكون الجهة المختصة (الهيئة السعودية للبيانات والذكاء الاصطناعي).
كما حددت اللائحة التنفيذية لنظام حماية البيانات الشخصية في شأن معالجة البيانات الصحية والائتمانية بما يكفل المحافظة على خصوصية أصحابها وحماية حقوقهم كالآتي:
معالجة البيانات الشخصية:
على جهة التحكم اتخاذ الإجراءات والوسائل التنظيمية والتقنية والفنية والإدارية الكفيلة بالمحافظة على البيانات الصحية من أي استعمال غير مشروع، أو من إساءة استخدامها، أو استخدامها لغير الغرض الذي جُمعت من أجله، أو تسربها، وأي إجراءات أو وسائل تضمن المحافظة على خصوصية أصحابها، وعليها بصفة خاصة اتخاذ الضوابط والإجراءات الآتية:
تبني وتطبيق الاشتراطات والضوابط الصادرة عن وزارة الصحة والمجلس الصحي السعودي والبنك المركزي السعودي ومجلس الضمان الصحي والجهات الأخرى ذوات العلاقة بتنظيم الخدمات الصحية وخدمات التأمين الصحي، والتي تبين مهام ومسؤوليات منسوبي مقدمي الرعاية الصحية، وشركات التأمين الصحي، وشركات إدارة مطالبات التأمين الصحي ومن تتعاقد معهم ممن يباشرون عمليات معالجة البيانات الصحية.
تضمين الأحكام الواردة في النظام ولوائحه في السياسات الداخلية لدى جهة التحكم.
توزيع المهام والمسؤوليات بين الموظفين أو العاملين بطريقة تحول دون تداخل الاختصاصات وتشتيت المسؤولية ومراعاة تدرج إمكانية الوصول إلى البيانات بين الموظفين أو العاملين بما يكفل أعلى درجة من المحافظة على خصوصية أصحاب البيانات الشخصية.
معالجة البيانات الائتمانية:
مع عدم الإخلال بأحكام نظام المعلومات الائتمانية، على جهة التحكم اتخاذ الإجراءات والوسائل التنظيمية والتقنية والفنية والإدارية التي تضمن المحافظة على البيانات الائتمانية من أي استعمال غير مشروع، أو إساءة استخدامها، أو الاطلاع عليها من غير المصرح لهم، أو استخدامها لغير الغرض الذي جُمعت من أجله، أو تسربها، وعليها اتخاذ الضوابط والإجراءات الآتية:
تبني وتطبيق الاشتراطات والضوابط الصادرة من البنك المركزي السعودي والجهات الأخرى ذوات العلاقة، التي تبين مهام ومسؤوليات منسوبي المنشآت التي تقدم خدمات المعلومات الائتمانية ومن تتعاقد معهم من الذين يباشرون عمليات معالجة البيانات الائتمانية.
تلتزم جهة التحكم بالحصول على موافقة صاحب البيانات الشخصية وإشعاره عند وجود أي طلب للإفصاح عن بياناته الائتمانية، وذلك وفق ما ينص عليه نظام المعلومات الائتمانية، مع مراعاة ما نصت عليه الفقرة الفرعية (د) من الفقرة (1) من المادة (الحادية عشرة) من اللائحة.
نوفمبر ٢٠٢٤
Legal Knowledge
Commitment of the Controller to Preserve Personal Data
According to the executive regulations of the Personal Data Protection Law (“PDPL”), the data controller must take the necessary organizational, administrative, and technical measures to ensure the security of personal data and the privacy of its owners, and comply with the following:
Implement the necessary security and technical measures to mitigate the security risks of personal data breaches.
Adhere to the relevant controls, standards, and rules issued by the National Cybersecurity Authority (“NCA”), or to the best practices and recognized cybersecurity standards if the data controller is not obligated to apply the controls, standards, and rules issued by NCA.
Also, in the event of a personal data breach, the data controller must notify the competent authority within a period not exceeding (72) hours from the time it becomes aware of the incident, if the breach is likely to harm the personal data or the data subject, or if it conflicts with their rights or interests. The competent authority in this case is the Saudi Data and Artificial Intelligence Authority (SDAIA).
In addition, PDPL executive regulations have specified the processing of health and credit data in a manner that ensures the preservation of the privacy of its owners and the protection of their rights as follows:
Processing Health Data:
The Controller shall take the appropriate organizational, technical, and administrative measures to protect Health Data from any unauthorized
use, misuse, use for purposes other than for which it was collected, or breach, and any procedures or means that guarantee the preservation of the privacy of its owners, and it shall, in particular, take the following controls and procedures:
Adopt and implement the requirements and controls issued by the Ministry of Health, the Saudi Health Council, the Saudi Central Bank, the Council of Health Insurance, and other related entities involved in regulating Health Services and health insurance services, that specify the tasks and responsibilities of employees of health care providers, health insurance companies, health insurance claims management companies and those which are contracted by them carrying out the Processing of Health Data.
Adopt the provisions of the Law and its Regulations into the internal policies of the Controller.
Distribute tasks and responsibilities among employees or workers in a way that prevents overlapping specializations and diffusion of responsibility and taking into account different level of access to data among employees or workers in a manner that guarantees the highest degree of Data Subjects privacy.
Document all stages of Health Data Processing and provide the means to identify the person in charge for each stage.
The agreement between the Controller and the Processors – to conduct work or tasks related to Health Data Processing – shall include provisions that oblige them to abide by the procedures and measures stated in this Article.
Health Data Processing should be limited to the minimum necessary to provide healthcare services and products or health insurance programs.
Processing Credit Data:
Without prejudice to the provisions of the Credit Information Law, the Controller shall take organizational, technical, and administrative measures to protect Credit Data from any unauthorized use, misuse, access by unauthorized individuals, use for purposes other than for which it was collected, and Disclosure. The Controller shall adopt the following controls and procedures:
Adopt and implement requirements and controls issued by the Saudi Central Bank and other relevant authorities, which define the roles and responsibilities of employees of establishments providing credit information services and of the parties that have contracts with such establishments to process Credit Data
Controller shall obtain Data Subject consent and notify them of any request to disclose their Credit Data in accordance with the provisions of the Credit Information Law, while considering the provisions stated in subparagraph (d) of paragraph (1) of Article 11 of the Executive Regulations.
November 2024
