لائحة نقل البيانات الشخصية إلى خارج المملكة
قرار رئيس الهيئة السعودية للبيانات والذكاء الاصطناعي رقم (1840) وتاريخ 27 /02 /1446هـ
المادة الأولى: التعريفات
تكون للألفاظ والعبارات الواردة في هذه اللائحة المعاني المبيّنة أمام كل منها في المادة (الأولى) من نظــــام حماية البيانات الشخصية الصادر بالمرسوم الملكي رقم (م/١٩) وتاريخ 9 /2 /1443هـ، وتعديلاته، ويقصد بالألفاظ والعبارات الآتية -أينما وردت في هذه اللائحة- المعاني المبيّنة أمام كل منها، ما لم يقتضِ السياق غير ذلك:
1- اللائحة: لائحة نقل البيانات الشخصية إلى خارج المملكة.
2- الضمانات المناسبة: متطلبات تفرضها الجهة المختصة على جهات التحكم تتضمن الإلزام بأحكام النظام واللوائح، عند نقل البيانات الشخصية أو الإفصاح عنها لجهات خارج المملكة، وذلك في أي من حالات الإعفاء من شروط توافر مستوى مناسب لحماية البيانات الشخصية أو الحد الأدنى من البيانات الشخصية، بحسب الأحوال؛ بهدف ضمان مستوى مناسب لحماية البيانات الشخصية خارج المملكة بما لا يقل عن مستوى الحماية المقرر في النظام واللوائح.
3- العمليات التشغيلية: مجموعة من الإجراءات المتعلقة بالعمليات التشغيلية الضرورية لنشاط جهة التحكم، مثل عمليات الموارد البشرية، والفواتير والحسابات وغيرها من الإجراءات المتعلقة بسير العمل.
4- البنود التعاقدية القياسية: بنود إلزامية تستخدم عند نقل البيانات الشخصية خارج المملكة تكفل مستوى مناسباً لحماية البيانات الشخصية عند نقلها خارج المملكة بما لا يقل عن مستوى الحماية المقرر في النظام واللوائح، وذلك وفق نموذج قياسي تصدره الجهة المختصة.
5- القواعد المشتركة الملزمة: قواعد تعد من قبل جهة التحكم، تطبق على كل جهة تحكم ومعالجة طرف في مجموعة كيانات متعددة الجنسيات تكفل مستوى مناسباً لحماية البيانات الشخصية عند نقلها خارج المملكة بما لا يقل عن مستوى الحماية المقرر في النظام واللوائح.
المادة الثانية: الأغراض الأخرى لنقل البيانات الشخصية أو الإفصاح عنها لجهات خارج المملكة
تكون الأغراض الأخرى لنقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة؛ وفقاً لما ورد في الفقرة الفرعية (د) من الفقرة (١) من المادة (التاسعة والعشرين) من النظام، على النحو الآتي:
1- إجراء العمليات التشغيلية الضرورية للمعالجة المركزية لتمكين جهة التحكم من ممارسة أنشطتها.
2- تقديم خدمة أو منفعة لصاحب البيانات الشخصية.
3- إجراء البحوث والدراسات العلمية.
المادة الثالثة: إجراءات ومعايير تقويم مستوى حماية البيانات الشخصية خارج المملكة
1- تنشر الجهة المختصة في موقعها الرسمي قائمة الدول أو المنظمات الدولية التي توفر مستوى مناسباً لحماية البيانات الشخصية بما لا يقل عن مستوى الحماية المقرر في النظام واللوائح، وتقوم الجهة المختصة بمراجعة هذه القائمة -كل أربع سنوات أو عند الاقتضاء- وفق المعايير الآتية:
أ- وجود أنظمة تكفل حماية البيانات الشخصية وحقوق أصحابها المتعلقة بها، بما يشمل الحق في طلب التعويض عن الضرر المترتب على الإخلال بهذه الحقوق، وذلك بما لا يقل عن مستوى الحماية المقرر في النظام واللوائح.
ب- وجود جهة مشرفة تتولى مسؤولية إنفاذ أحكام حماية البيانات الشخصية.
ج- استعداد الجهة المشرفة للتعاون مع الجهة المختصة في المملكة حول المسائل المتصلة بحماية البيانات الشخصية.
د- عدم تعارض المتطلبات التنظيمية المتعلقة بالإفصاح عن البيانات الشخصية بموجب الأحكام النظامية المعمول بها لدى الدولة أو المنظمة الدولية مع أحكام الإفصاح عن البيانات الشخصية الواردة في النظام واللوائح، وعدم تعارضها مع أي أحكام نظامية أخرى معمول بها في المملكة في شأن الإفصاح.
هـ- الالتزامات الناشئة عن معاهدات أو اتفاقيات دولية ملزمة للدولة أو المنظمة الدولية، وعضويتها في منظمات إقليمية أو متعددة الأطراف والتي قد يتطلب تنفيذ بنودها نقلاً للبيانات الشخصية.
و- الأحكام المتعلقة بعمليات النقل اللاحق للبيانات الشخصية وفقاً لما نصت عليه المادة (الخامسة) من اللائحة.
2- للجهة المختصة تعديل قائمة الدول أو المنظمات الدولية التي تضمن مستوى مناسباً لحماية البيانات الشخصية خارج المملكة بما لا يقل عن مستوى الحماية المقرر في النظام واللوائح -وفقاً للإجراءات النظامية المتبعة في هذا الشأن- وذلك في حال تبيّن من خلال المراجعة أن أيّاً من الدول أو المنظمات الدولية لم تعد تكفل مستوى مناسباً لحماية البيانات الشخصية، وللجهة المختصة العمل مع الجهات المعنية في الدولة أو المنظمة الدولية لمعالجة أسباب استبعادها من القائمة.
3- للجهة المختصة تعليق النقل أو الإفصاح إلى أي من الدول أو المنظمات المدرجة في القائمة المنصوص عليها في الفقرة (1) من هذه المادة وفقاً للإجراءات النظامية المتبعة في هذا الشأن.
4-يسري على المدن والمناطق الاقتصادية الخاصة ومراكز التجارة العالمية ما يسري على الدول والمنظمات الدولية في شأن تقويم مستوى حماية البيانات الشخصية خارج المملكة.
المادة الرابعة: حالات إعفاء جهات التحكم من شروط الالتزام بمستوى الحماية المناسب والحد الأدنى لنقل البيانات الشخصية
1- وفقاً لحالات الإعفاء المنصوص عليها في الفقرة (2) من هذه المادة، تقوم جهة التحكم باستخدام الضمانات المناسبة الآتية:
أ- البنود التعاقدية القياسية.
ب- القواعد المشتركة الملزمة.
ج- شهادة الاعتماد.
2- تعفى جهة التحكم من الشرطين الواجب توافرهما عند نقل البيانات الشخصية أو الإفصاح عنها إلى جهة خارج المملكة، والمنصوص عليهما في الفقرتين (ب) و(ج) من الفقرة (2) من المادة (التاسعة والعشرين) من النظام، أو أي منهما، ويكون نقل البيانات الشخصية أو الإفصاح عنها إلى جهة خارج المملكة مُقيّداً بالضمانات المناسبة، في الحالات الآتية:
أ- إذا كان النقل أو الإفصاح عن البيانات الشخصية سيُجرى بين الجهات العامة لتنفيذ اتفاقية تكون المملكة طرفاً فيها أو كان ذلك لخدمة مصالح المملكة، على أن تلتزم جهات التحكم بتضمين بنود قياسية لحماية البيانات الشخصية في الاتفاقيات أو مذكرات التفاهم ذوات الصلة.
ب- إذا كان النقل أو الإفصاح سيُجرى بصفة غير متكررة أو لفترة محدودة ولعدد محدود من أصحاب البيانات الشخصية، على أن تلتزم جهة التحكم بالبنود التعاقدية القياسية أو أن يكون النقل أو الإفصاح لجهة صدرت لها شهادة اعتماد من جهة مرخصة من الجهة المختصة، وألا تكون تلك البيانات بيانات حساسة.
ج- إذا كان النقل أو الإفصاح عن البيانات الشخصية ضرورياً لإجراء العمليات التشغيلية المركزية وكانت جهة التحكم ضمن مجموعة كيانات متعددة الجنسيات، على أن تلتزم جهة التحكم والجهات التابعة لها بقواعد مشتركة ملزمة أو البنود التعاقدية القياسية التي تضمن استيفاء المتطلبات المنصوص عليها في النظام واللوائح، أو حصول الجهة -التي سيُجرى نقل البيانات الشخصية إليها أو الإفصاح عنها- على شهادة اعتماد صادرة من جهة مرخصة من الجهة المختصة.
د- إذا كان النقل أو الإفصاح سيُجرى لتقديم خدمة أو منفعة لصاحب البيانات الشخصية بصورة مباشرة؛ بما لا يخالف توقعاته أو يتعارض مع مصالحه، على أن يكون النقل أو الإفصاح لجهة صدر لها شهادة اعتماد من جهة مرخصة من الجهة المختصة، وألا تكون تلك البيانات بيانات حساسة.
هـ- إذا كان نقل البيانات الشخصية أو الإفصاح عنها ضرورياً لإجراء البحوث والدراسات العلمية على أن يقتصر النقل أو الإفصاح على الحد الأدنى من البيانات الشخصية الذي تدعو الحاجة إليه، وأن تلتزم جهة التحكم بالبنود التعاقدية القياسية أو أن يكون النقل أو الإفصاح لجهة صدر لها شهادة اعتماد من جهة مرخصة من الجهة المختصة، وألا تكون تلك البيانات بيانات حساسة.
3- يجب أن تضمن الضمانات المناسبة التزام جهات التحكم بالأحكام المنصوص عليها في النظام ولوائحه، وحقوق أصحاب البيانات الشخصية، بما في ذلك الحق في تقديم شكوى إلى الجهة المختصة بالإضافة إلى الحق في طلب التعويض عن الضرر المترتب على الإخلال بهذه الحقوق.
4- للجهة المختصة مراجعة مدى كفاية الضمانات المناسبة المحددة لكل حالة من حالات الإعفاء المنصوص عليها في الفقرة (2) من هذه المادة أو تعديلها كل سنتين أو عند الاقتضاء.
المادة الخامسة: النقل اللاحق للبيانات الشخصية
دون الإخلال بأحكام المواد (الثامنة) و(الخامسة عشرة) من النظام و(السابعة عشرة) من اللائحة التنفيذية للنظام، تطبق أحكام النظام واللوائح على عمليات النقل اللاحق للبيانات الشخصية التي جرى نقلها أو الإفصاح عنها لجهة خارج المملكة.
المادة السادسة: العدول عن الإعفاء
1- لا تسري أي من الإعفاءات الممنوحة وفقاً للحالات المنصوص عليها في المادة (الرابعة) من اللائحة، إذا تحقق أي مما يأتي:
أ- إخلال جهة التحكم بتطبيق الضمانات المناسبة.
ب- إذا تبيّن للجهة المختصة عدم كفاية الضمانات المناسبة لأي من الحالات المحددة.
2-على جهة التحكم في حال تحقق أي من الأحوال المنصوص عليها في الفقرتين الفرعيتين (أ) و(ب) من الفقرة (1) من هذه المادة، التوقف عن النقل أو الإفصاح، وإشعار الجهات التي جرى نقل البيانات الشخصية إليها أو جرى الإفصاح لها عن البيانات الشخصية.
المادة السابعة: تقويم مخاطر نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة
1- على جهة التحكم إجراء تقويم مخاطر قبل نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة، وذلك في الأحوال الآتية:
أ- نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة وفقاً للمادة (الرابعة) من اللائحة.
ب- نقل بيانات حساسة أو الإفصاح عنها لجهات خارج المملكة بصفة مستمرة أو على نطاق واسع.
2- يجب أن يتضمن تقويم مخاطر نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة العناصر الآتية:
أ- الغرض من عملية نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة والمسوغ النظامي لها.
ب- وصف لطبيعة عملية نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة التي سيتم تنفيذها، بما يشمل أنشطة معالجة البيانات الشخصية، والنطاق الجغرافي لها.
ج- الوسائل والضمانات المناسبة المتخذة لنقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة ومدى كفايتها في تحقيق مستوى مناسب لحماية البيانات الشخصية بما لا يقل عن مستوى الحماية المقرر في النظام واللوائح.
د- التدابير المتبعة للتأكد من أن عملية نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة ستقتصر على الحد الأدنى المطلوب من البيانات الشخصية لتحقيق الأغراض، وذلك في الحالات غير المستثناة من الفقرة الفرعية (ج) من الفقرة (2) من المادة (التاسعة والعشرين) من النظام.
هـ- الآثار المادية أو المعنوية التي قد تترتب نتيجةً لعملية نقل البيانات الشخصية أو الإفصاح عنها لجهة خارج المملكة واحتمالية حدوثها.
و- التدابير أو الضوابط التي سيتم تطبيقها لمنع حدوث المخاطر المحتملة على أصحاب البيانات الشخصية أو الحد من آثارها عند حدوثها.
المادة الثامنة: الأدلة والإرشادات
تصدر الجهة المختصة الأدلة والإرشادات المتصلة بالأحكام الواردة في هذه اللائحة.
المادة التاسعة: النفاذ
يُعمَل باللائحة من تاريخ نشرها في الجريدة الرسمية.