حزمة سياسات حماية البيانات والخصوصية – مؤسسة «حوكمة وتنمية البيانات الرقمية» (GOVI)

1) سياسة حماية البيانات الشخصية / الخصوصية

1. الغرض

تحديد المبادئ والضوابط الحاكمة لمعالجة البيانات الشخصية لدى حوكمة وتنمية البيانات الرقمية (GOVI) بما يضمن حماية خصوصية الأفراد والامتثال للأحكام النظامية ذات الصلة.

2. النطاق

تنطبق على جميع الأنشطة والأنظمة والعمليات والموظفين ومقدّمي الخدمات الذين يعالجون بيانات شخصية لصالح حوكمة وتنمية البيانات الرقمية (GOVI)، بما في ذلك المعالجة اليدوية والإلكترونية.

3. التعاريف المختصرة
  • البيانات الشخصية: كل بيان يعرّف شخصًا طبيعيًا بصورة مباشرة أو غير مباشرة.
  • البيانات الحسّاسة: فئة خاصة من البيانات الشخصية تتطلب ضوابط معزَّزة (مثل الصحية، الائتمانية، الوراثية، السمات الحيوية، الجنائية/الأمنية، تحديد الموقع… إلخ).
  • المعالجة: أي عملية تُجرى على البيانات (جمع، تسجيل، حفظ، استخدام، مشاركة، نقل، إتلاف…).
4. المبادئ العامة للمعالجة
  1. تحديد الغرض والأساس النظامي قبل الجمع.
  2. الحد الأدنى من البيانات اللازمة لتحقيق الغرض (Data Minimization).
  3. الشفافية عبر إشعار خصوصية واضح ووسائل لممارسة الحقوق.
  4. الدقة والتحديث الدوري للبيانات.
  5. الاحتفاظ المحدود بمدد مبررة ثم الإتلاف الآمن.
  6. الأمن والسرية بوسائل تنظيمية وتقنية مناسبة.
  7. المساءلة عبر التوثيق الدوري لسجل أنشطة المعالجة (ROPA) ومراجعات الامتثال.
5. الإشعار والموافقة
  • تقديم إشعارات خصوصية تبين الغرض، الأساس النظامي/الموافقة، حقوق الأفراد، قنوات التواصل، مشاركة البيانات، والنقل عبر الحدود عند اللزوم.
  • أخذ الموافقة الصريحة عند اللزوم، مع إمكانية سحبها بذات السهولة ودون تأثير غير مبرر على الخدمة الأساسية.
6. حقوق أصحاب البيانات وقنوات الطلبات
  • تمكين حقوق: الاطلاع، التصحيح، الإتلاف، التقييد، الاعتراض، وسحب الموافقة.
  • تخصيص قنوات موحّدة لتلقي الطلبات، مع التحقق من الهوية وتوثيق كافة الطلبات والردود ضمن آجال محددة.
7. مشاركة البيانات ومعالِجوها
  • عدم مشاركة البيانات إلا للغرض المُعلن وبما يتوافق مع الأساس النظامي.
  • إبرام اتفاقيات معالجة بيانات مع الأطراف الخارجية تحدد الغرض والضوابط والسرية والإرجاع/الإتلاف عند انتهاء العلاقة.
8. النقل عبر الحدود
  • يُحظر أو يُقيَّد نقل البيانات خارج المملكة إلا وفق الضوابط النظامية المعمول بها، مع ضمانات تعاقدية/فنية وإجرائية كافية عند اللزوم.
9. الأمن والضوابط الفنية والتنظيمية (نظرة عليا)
  • ضوابط وصول أقل صلاحية، ومصادقة متعددة العوامل للحسابات الحساسة.
  • تشفير مناسب أثناء النقل والتخزين حيث يلزم، وإدارة مفاتيح آمنة.
  • سجلات تدقيق ومراقبة وتنبيهات للحوادث.
  • اختبارات دورية وإدارة تغيير ومنهجية نسخ احتياطي وتعافٍ من الكوارث.
10. الحوكمة والأدوار
  • مالك السياسة: مكتب إدارة وحوكمة البيانات.
  • مسؤول حماية البيانات (إن عُيّن): الإشراف على الامتثال ومخاطر الخصوصية والتنسيق مع الجهة المختصة.
  • الالتزام الداخلي: تدريب إلزامي سنوي، وإقرارات سرية للموظفين ذوي الصلة.
11. المراجعة والعقوبات
  • تُراجع السياسة سنويًا على الأقل، ويُتخذ الإجراء النظامي المناسب بحق أي مخالفة وفق لوائح الموارد البشرية والعقود.

2) سياسة تصنيف البيانات

1. الغرض

وضع إطار لتصنيف البيانات بما يعكس حساسيتها وتأثيرها على الأفراد والجهة، وتحديد ضوابط التعامل معها.

2. مستويات التصنيف المقترحة
  1. عام: لا يسبب إفشاءه ضررًا.
  2. داخلي: للاستخدام الداخلي فقط.
  3. شخصي: بيانات تُعرّف فردًا.
  4. شخصي حسّاس: فئة خاصة تتطلب ضوابط مُعززة.
  5. سري/سري للغاية: معلومات ملكية أو أمنية أو تجارية عالية الحساسية.
3. ضوابط المناولة حسب التصنيف (مختصر)
  • تحكم الوصول، التشفير، قنوات النقل المسموح بها.
  • آليات إتلاف مناسبة للمستوى التصنيفي.
  • المستندات والعقود اللازمة عند المشاركة، ومتطلبات السجلات.
4. الأدوار

مالكو البيانات مسؤولون عن تصنيف الأصول بالتعاون مع مكتب الحوكمة وأمن المعلومات، وتحديث التصنيف عند تغير الاستخدام.

3) سياسة الاحتفاظ بالبيانات وإتلافها

1. الغرض

تحديد مدد الاحتفاظ المشروعة للبيانات بحسب الغرض والمتطلبات النظامية، وآليات الإتلاف الآمن عند انتهاء الحاجة.

2. مبادئ عامة
  • عدم الاحتفاظ بالبيانات أكثر من اللازم.
  • توثيق مدد الاحتفاظ لكل فئة بيانات في جدول احتفاظ مع مبرراتها.
  • إتلاف البيانات بطريقة آمنة لا تسمح بالاسترجاع عند انتهاء الغرض/المدة.
3. استثناءات

قد يلزم الاحتفاظ لأغراض قانونية/مالية/امتثال لفترات أطول وفق متطلبات مُحددة مع تبرير واضح.

4. السجلات

حفظ سجل إتلاف دوري يُبيّن التاريخ والفئة والطريقة والمسؤول.

4) سياسة أمن المعلومات وضوابط الوصول

1. الغرض

حماية سرية وسلامة وتوافر المعلومات لدى حوكمة وتنمية البيانات الرقمية (GOVI) عبر ضوابط تقنية وتنظيمية متناسبة مع المخاطر.

2. ضوابط أساسية
  • حسابات وهوية: مبدأ أقل صلاحية، مراجعات دورية للصلاحيات، MFA للحسابات الحساسة.
  • التشفير: أثناء النقل (TLS) والتخزين حيث يلزم، وإدارة مفاتيح آمنة.
  • الأجهزة والنقاط الطرفية: تحديثات أمنية، مكافحة برمجيات خبيثة، قفل شاشات، منع التخزين غير المصرّح.
  • السجلات والمراقبة: تسجيل أحداث أمان رئيسية وتنبيهات للحوادث.
  • الاختبارات: فحوصات ضعف/اختبارات اختراق دورية حسب المخاطر.
  • إدارة التغيير: ضوابط مراجعة ونشر.
  • النسخ الاحتياطي والتعافي: اختبارات دورية لخطة التعافي من الكوارث.
3. إدارة الأطراف الثالثة

تقييم أمن المورّدين، اشتراط ضوابط أمنية تعاقدية، مراجعات دورية، وحق التدقيق.

5) سياسة وإجراءات إدارة الحوادث وتسربات البيانات الشخصية

1. الغرض

إرساء إطار موحّد لاكتشاف حوادث الأمان وتسربات البيانات الشخصية واحتوائها والإبلاغ عنها ومعالجتها ومنع تكرارها.

2. نطاق الحوادث

أي حادث يؤثر في سرية/سلامة/توافر البيانات الشخصية، بما في ذلك الوصول غير المصرّح، الفقد/التلف، أو الإفشاء.

3. الإطار الإجرائي (مختصر)
  1. الاكتشاف والتبليغ الداخلي: قنوات داخلية للإبلاغ الفوري وتوثيق أولي للحادث.
  2. الاحتواء والتحليل: عزل الأثر، تقييم نطاق البيانات المتأثرة وخطورة الضرر.
  3. الإخطار الخارجي: عند انطباق الشروط، إخطار الجهة المختصة خلال المهلة النظامية، وإخطار أصحاب البيانات المتأثرين دون تأخير غير مبرر وبأسلوب واضح.
  4. التعافي والدروس المستفادة: خطة تحسينات وتتبع للإجراءات التصحيحية.
4. المتطلبات الأساسية
  • وجود فريق استجابة (IRT) ومصفوفة أدوار ومسؤوليات.
  • نماذج جاهزة للإخطار الخارجي، وسجل مركزي للحوادث والإخطارات.
  • تمارين محاكاة سنوية على الأقل.

6) إجراء ممارسة حقوق أصحاب البيانات (DSAR)

1. الغرض

تحديد قنوات وخطوات تمكين أصحاب البيانات من ممارسة حقوقهم بصورة فعّالة ضمن آجال محددة.

2. القنوات والتحقق من الهوية
  • توفير قنوات إلكترونية/بريدية موحَّدة لتلقي الطلبات.
  • التحقق من هوية مقدّم الطلب بشكل مناسب قبل المعالجة.
3. آجال المعالجة
  • الرد على الطلبات خلال مدة لا تتجاوز 30 يومًا من استلام طلب مكتمل الشروط، مع إمكانية التمديد مرة واحدة لمدة مماثلة عند تعقيد الاستجابة، مع إخطار صاحب البيانات بسبب التمديد.
  • توثيق كافة الطلبات والردود في سجل مُخصص.
4. حدود ومعوقات مشروعة

قد تُرفض الطلبات حين يملي النظام ذلك (مثل تعارضها مع التزامات نظامية/أمنية) مع تسبيب الرفض وإتاحة حق التظلّم وفق القنوات المعلنة.

7) سياسة إدارة الموافقات والاتصالات التسويقية

1. الغرض

تنظيم الحصول على الموافقات وإدارتها واستخدام البيانات لأغراض تسويقية بما يحترم تفضيلات الأفراد.

2. مبادئ أساسية
  • الحصول على موافقة صريحة ومسبقة عند لزومها، وتقديم خيار الانسحاب (Opt-out) سهل وواضح.
  • عدم ربط الموافقة بخدمة أساسية إلا عند الضرورة.
  • حفظ سجلات الموافقات وسحبها، وتحديث القوائم التسويقية دوريًا.
  • عدم مشاركة البيانات لأغراض تسويقية مع أطراف ثالثة دون أساس نظامي وموافقة سارية.

8) سياسة نقل البيانات الشخصية خارج المملكة

1. الغرض

وضع ضوابط للنقل الدولي للبيانات بما يضمن التزام حوكمة وتنمية البيانات الرقمية (GOVI) بالقواعد ذات الصلة وتوفير ضمانات كافية لحماية البيانات.

2. الضوابط
  • التحقق من تحقق شروط النقل (مثل الضرورة التعاقدية/الامتثال/موافقة صريحة عند اللزوم).
  • اعتماد ضمانات تعاقدية مناسبة عند اللزوم مع الأطراف في الخارج، بالإضافة لتقييم مخاطر النقل وتوثيقه.
  • الإفصاح في إشعار الخصوصية عن النقل وأغراضه وفئاته والوجهات ذات الصلة.

9) سياسة إدارة المعالِجين والأطراف الثالثة

1. الغرض

ضمان امتثال مزوّدي الخدمات (المعالِجين) لضوابط حماية البيانات والخصوصية وأمن المعلومات لدى حوكمة وتنمية البيانات الرقمية (GOVI).

2. ضوابط التعاقد والحوكمة
  • عقود معالجة بيانات تُحدد الغرض، نطاق المعالجة، السرية، الضوابط الأمنية، الاستعانة بمتعاقدين فرعيين، حقوق التدقيق، الإرجاع/الإتلاف عند انتهاء الخدمة.
  • تقييم أولي ودوري لمخاطر الخصوصية والأمن لدى المورّدين.
  • إلزام المورّد بإخطار الجهة بالحوادث خلال مهلة معقولة وتعاون كامل في الاستجابة.

الشروط والأحكام – مؤسسة «حوكمة وتنمية البيانات الرقمية» (GOVI)

آخر تحديث: [أدخل التاريخ]

1. التعريف والقبول

باستخدامك منصات وخدمات مؤسسة «حوكمة وتنمية البيانات الرقمية» (GOVI)، فإنك تقر بقراءتك وفهمك والموافقة على هذه الشروط، وعلى سياسة الخصوصية المرتبطة بها.

2. إنشاء الحساب والهوية
  • يلزم تقديم معلومات دقيقة وحديثة، والحفاظ على سرية بيانات الدخول.
  • أنت مسؤول عن كافة الأنشطة التي تتم عبر حسابك.
3. استخدام الخدمات
  • يحظر أي استخدام غير مشروع، أو يخل بالأمن، أو ينتهك الحقوق الفكرية أو الخصوصية للغير.
  • يجوز لـ (GOVI) إيقاف أو تقييد الخدمة عند مخالفة الشروط.
4. المحتوى والملكية الفكرية
  • تعود ملكية العلامات والشعارات والمحتوى الأصلي لـ (GOVI) ما لم يُذكر خلاف ذلك.
  • يُحظر إعادة إنتاج أو نشر أي جزء إلا بإذن خطي صريح.
5. الرسوم والعضويات
  • قد تتضمن بعض الخدمات اشتراكات أو رسومًا معلنة بشكل واضح قبل التحصيل.
  • تُطبق سياسات الإلغاء والاسترداد – إن وُجدت – كما يتم توضيحها في صفحة الخدمة.
6. حماية البيانات والخصوصية

تلتزم (GOVI) بتطبيق سياسة الخصوصية وحماية البيانات الموضحة في تبويب «سياسات الخصوصية وحوكمة البيانات»، وتُعد جزءًا لا يتجزأ من هذه الشروط.

7. الأطراف الثالثة

قد تعتمد بعض الخدمات على مزوّدي خدمات خارجيين؛ يخضع استخدامك لها لشروط مزوّد الخدمة بالإضافة إلى هذه الشروط.

8. حدود المسؤولية

لا تتحمل (GOVI) أي مسؤولية عن أضرار غير مباشرة أو خاصة أو تبعية ناتجة عن استخدام الخدمات، ضمن الحدود التي يجيزها النظام.

9. التعديلات

يجوز لـ (GOVI) تعديل هذه الشروط بإشعار مسبق مناسب؛ ويُعد استمرارك في الاستخدام موافقةً على النسخة المحدّثة.

10. القانون والاختصاص

تُفسَّر هذه الشروط وتُطبَّق وفق أنظمة المملكة العربية السعودية، مع الاختصاص القضائي للمحاكم المختصة داخل المملكة.