بالنقر فوق «قبول»، فإنك توافق على تخزين ملفات تعريف الارتباط على جهازك لتحسين التنقل في الموقع وتحليل استخدام الموقع والمساعدة في جهودنا التسويقية. شاهد موقعنا الشروط والأحكام لمزيد من المعلومات.
أنكراقبل

نحن نحب العمل معك!

نحن موجودون للحصول على تغطية تأمينية عالية الجودة بأفضل سعر لاحتياجات عملك.

أسباب الحصول على التأمين معنا

  • أفضل الممارسات المحلية والدولية.
  • مركز التميز في الرعاية الصحية.
  • خدمة شخصية.
  • تجربة خالية من المتاعب.
جدولة اجتماع

املأ ما يلي

التأمين البحري
التأمين الهندسي
الحرائق والمخاطر المرتبطة بها
تأمين آخر
تأمين الأعمال
تأمين الحياة
تأمين السيارات
تأمين الممتلكات
تأمين طبي
من خلال التقديم، أؤكد أنني قد قرأت وفهمت SEEA سياسة الخصوصية.
شكرًا لك! تم استلام طلبك!
عفوًا! حدث خطأ ما أثناء إرسال النموذج.

قانون حماية البيانات الشخصية

المادة 1

في سبيل تنفيذ هذا القانون، تكون للمصطلحات التالية المعاني المخصصة لها، ما لم يقتض السياق خلاف ذلك:

1- القانون: قانون حماية البيانات الشخصية.

2- اللوائح: اللائحة التنفيذية للقانون.

3- السلطة المختصة: تحدد السلطة بقرار من مجلس الوزراء.

4- البيانات الشخصية: أي بيانات، بغض النظر عن مصدرها أو شكلها، قد تؤدي إلى تحديد هوية الفرد على وجه التحديد، أو قد تتيح بشكل مباشر أو غير مباشر تحديد هوية الفرد، بما في ذلك الاسم ورقم التعريف الشخصي والعناوين وأرقام الاتصال وأرقام الترخيص والسجلات والأصول الشخصية وأرقام البنوك وبطاقات الائتمان والصور ومقاطع الفيديو الخاصة بالفرد وأي بيانات أخرى ذات طبيعة شخصية.

5- المعالجة: أي عملية تتم على البيانات الشخصية بأي وسيلة، سواء كانت يدوية أو آلية، بما في ذلك جمع البيانات وتسجيلها وحفظها وفهرستها وتنظيمها وتنسيقها وتخزينها وتعديلها وتحديثها ودمجها واسترجاعها واستخدامها والكشف عنها ونقلها ونشرها ومشاركتها وربطها وحظرها ومحوها وإتلافها.

6- مجموعة: جمع البيانات الشخصية من قبل المراقب وفقًا لأحكام هذا القانون، إما من موضوع البيانات مباشرةً، أو ممثل موضوع البيانات، أو أي وصي قانوني على موضوع البيانات أو أي طرف آخر.

7- التدمير: أي إجراء يتم اتخاذه بشأن البيانات الشخصية يجعلها غير قابلة للقراءة وغير قابلة للاسترداد، أو من المستحيل تحديد موضوع البيانات ذي الصلة.

8- إفصاح: تمكين أي شخص - بخلاف وحدة التحكم أو المعالج، حسب الحالة - من الوصول إلى البيانات الشخصية أو جمعها أو استخدامها بأي وسيلة ولأي غرض.

9- نقل: نقل البيانات الشخصية من مكان إلى آخر للمعالجة.

10- النشر: نقل أو إتاحة أي بيانات شخصية باستخدام أي وسيلة مكتوبة أو صوتية أو مرئية.

11- البيانات الحساسة: البيانات الشخصية التي تكشف عن الأصل العرقي أو الإثني، أو المعتقد الديني أو الفكري أو السياسي، والبيانات المتعلقة بالإدانات والجرائم الجنائية الأمنية، والبيانات البيومترية أو الجينية لغرض تحديد الشخص، والبيانات الصحية، والبيانات التي تشير إلى أن أحد والدي الفرد أو كليهما غير معروف.

12- البيانات الجينية: أي بيانات شخصية تتعلق بالخصائص الوراثية أو المكتسبة لشخص طبيعي تحدد بشكل فريد الخصائص الفسيولوجية أو الصحية لذلك الشخص، والمستمدة من تحليل العينة البيولوجية لذلك الشخص، مثل الحمض النووي أو أي اختبار آخر يؤدي إلى توليد البيانات الجينية.

13- البيانات الصحية: أي بيانات شخصية تتعلق بالحالة الصحية للفرد، سواء كانت حالته البدنية أو العقلية أو النفسية، أو تتعلق بالخدمات الصحية التي يتلقاها هذا الفرد.

14- الخدمات الصحية:: الخدمات المتعلقة بصحة الفرد، بما في ذلك الخدمات الوقائية والعلاجية والتأهيلية والاستشفائية، فضلا عن توفير الأدوية.

15- بيانات الائتمان: أي بيانات شخصية تتعلق بطلب الفرد أو الحصول عليه،

التمويل من كيان تمويلي، سواء لغرض شخصي أو عائلي، بما في ذلك أي بيانات تتعلق بقدرة هذا الفرد على الحصول على الديون وسدادها، والتاريخ الائتماني لذلك الشخص.

16- موضوع البيانات: الفرد الذي تتعلق به البيانات الشخصية.

17- كيان عام: أي وزارة أو إدارة أو مؤسسة عامة أو هيئة عامة أو أي جهة عامة مستقلة في المملكة أو أي جهة تابعة لها.

18- وحدة التحكم: أي كيان عام أو شخص طبيعي أو شخص اعتباري خاص يحدد الغرض من معالجة البيانات الشخصية وطريقة معالجتها، سواء تمت معالجة البيانات من قبل وحدة التحكم هذه أو بواسطة المعالج.

19- المعالج: أي كيان عام أو شخص طبيعي أو شخص اعتباري خاص يقوم بمعالجة البيانات الشخصية لصالح المراقب ونيابة عنه.

المادة 2

1- ينطبق القانون على أي معالجة للبيانات الشخصية المتعلقة بالأفراد تتم في المملكة بأي وسيلة، بما في ذلك معالجة البيانات الشخصية المتعلقة بـ

الأفراد المقيمين في المملكة بأي وسيلة من أي طرف خارج المملكة. يتضمن ذلك بيانات المتوفى إذا كان ذلك سيؤدي إلى تحديد هويته أو أحد أفراد أسرته على وجه التحديد.

2- يستبعد نطاق تطبيق القانون معالجة البيانات الشخصية للفرد لأغراض لا تتجاوز الاستخدام الشخصي أو العائلي، طالما أن موضوع البيانات لم ينشرها أو يكشف عنها للآخرين. تحدد اللوائح الاستخدام الشخصي والعائلي المنصوص عليه في هذه الفقرة.

المادة 3

لا تخل الأحكام والإجراءات المنصوص عليها في هذا القانون بأي حكم يمنح الحق لموضوع البيانات أو يمنح حماية أفضل للبيانات الشخصية بموجب أي قانون آخر أو اتفاقية دولية تكون المملكة طرفًا فيها.

المادة 4

يتمتع موضوع البيانات بالحقوق التالية وفقًا لهذا القانون وعلى النحو المنصوص عليه في اللوائح:

1- الحق في الحصول على معلومات حول الأساس القانوني والغرض من جمع البيانات الشخصية الخاصة بهم.

2- الحق في الوصول إلى بياناتهم الشخصية التي يحتفظ بها المراقب، وفقًا للقواعد والإجراءات المنصوص عليها في اللوائح، ودون الإخلال بأحكام المادة (9) من هذا القانون.

3- الحق في طلب الحصول على بياناتهم الشخصية التي يحتفظ بها المراقب بصيغة مقروءة وواضحة، وفقًا للضوابط والإجراءات التي تحددها اللوائح.

4- الحق في طلب تصحيح أو استكمال أو تحديث البيانات الشخصية التي يحتفظ بها المراقب.

5- الحق في طلب إتلاف بياناتهم الشخصية التي يحتفظ بها المراقب عندما لم تعد هناك حاجة لهذه البيانات الشخصية من قبل موضوع البيانات، دون الإخلال بأحكام المادة (18) من هذا القانون.

المادة 5

1- باستثناء الحالات المنصوص عليها في هذا القانون، لا يجوز معالجة البيانات الشخصية ولا يجوز تغيير الغرض من معالجة البيانات الشخصية دون موافقة موضوع البيانات. يجب أن تحدد اللوائح شروط الموافقة، والحالات التي يجب أن تكون فيها الموافقة صريحة، والشروط والأحكام المتعلقة بالحصول على موافقة الوصي القانوني إذا كان موضوع البيانات يفتقر كليًا أو جزئيًا إلى الأهلية القانونية.

2- في جميع الحالات، يجوز لموضوع البيانات سحب الموافقة المذكورة في الفقرة (1) من هذه المادة في أي وقت؛ وتحدد اللوائح الضوابط اللازمة لهذه الحالة.

المادة 6

في الحالات التالية، لا تخضع معالجة البيانات الشخصية للموافقة المشار إليها في الفقرة (1) من المادة (5) هنا:

1- إذا كانت المعالجة تخدم المصالح الفعلية لموضوع البيانات، ولكن التواصل مع موضوع البيانات مستحيل أو صعب.

2- إذا كانت المعالجة وفقًا لقانون آخر أو تنفيذًا لاتفاقية سابقة يكون موضوع البيانات طرفًا فيها.

3- إذا كان المراقب كيانًا عامًا وكانت المعالجة مطلوبة لأغراض أمنية أو لتلبية المتطلبات القضائية.

4- إذا كانت المعالجة ضرورية لغرض المصلحة المشروعة للمراقب، دون المساس بحقوق ومصالح موضوع البيانات، وشريطة عدم معالجة أي بيانات حساسة. وترد الأحكام والضوابط ذات الصلة في اللوائح.

المادة 7

لا يجوز أن تشكل الموافقة المشار إليها في الفقرة (1) من المادة (5) من هذا القانون شرطًا لتقديم خدمة أو منفعة، ما لم تكن هذه الخدمة أو المنفعة مرتبطة بشكل مباشر بمعالجة البيانات الشخصية التي تم منح الموافقة عليها.

المادة 8

وفقًا لأحكام هذا القانون واللوائح المتعلقة بالإفصاح عن البيانات الشخصية، يجب على المراقب فقط اختيار المعالجين الذين يقدمون الضمانات اللازمة لتنفيذ أحكام هذا القانون واللوائح. يجب على المراقب أيضًا مراقبة امتثال المعالجات المذكورة لأحكام هذا القانون واللوائح. لن يخل هذا بمسؤوليات المراقب تجاه موضوع البيانات أو السلطة المختصة حسب الحالة. يجب أن تحدد اللوائح الأحكام اللازمة في هذا الصدد، بما في ذلك الأحكام المتعلقة بأي عقود لاحقة يجريها المعالج.

المادة 9

1- يجوز للمراقب تحديد أطر زمنية لممارسة الحق في الوصول إلى البيانات الشخصية المذكورة في الفقرة (2) من المادة (4) من هذه الاتفاقية على النحو المنصوص عليه في اللوائح. يجوز للمراقب تقييد ممارسة هذا الحق في الحالات التالية:

  1. إذا كان ذلك ضروريًا لحماية موضوع البيانات أو الأطراف الأخرى من أي ضرر، وفقًا للأحكام المنصوص عليها في اللوائح.
  2. إذا كان المراقب كيانًا عامًا وكان التقييد مطلوبًا لأغراض أمنية، أو مطلوبًا بموجب قانون آخر، أو مطلوبًا للوفاء بالمتطلبات القضائية.

2- يجب على المراقب منع موضوع البيانات من الوصول إلى البيانات الشخصية في أي من الحالات المذكورة في الفقرات (1، 2، 3، 4، 5) و (6) من المادة (16) من هذه الاتفاقية.

المادة 10

قد تقوم وحدة التحكم بجمع البيانات الشخصية مباشرة فقط من موضوع البيانات وقد تعالج البيانات الشخصية فقط للأغراض التي تم جمعها من أجلها. ومع ذلك، قد يقوم المراقب بجمع البيانات الشخصية من مصدر آخر غير موضوع البيانات وقد يعالج البيانات الشخصية لأغراض أخرى غير تلك التي تم جمعها من أجلها في الحالات التالية:

1- يعطي موضوع البيانات موافقته وفقًا لأحكام هذا القانون.

2- البيانات الشخصية متاحة للجمهور أو تم جمعها من مصدر متاح للجمهور.

3- المراقب هو كيان عام، وجمع البيانات الشخصية أو معالجتها مطلوب للمصلحة العامة أو لأغراض أمنية، أو لتنفيذ قانون آخر، أو للوفاء بالمتطلبات القضائية.

4- قد يؤدي الامتثال لهذا إلى الإضرار بموضوع البيانات أو التأثير على مصالحهم الحيوية

5- جمع البيانات الشخصية أو معالجتها ضروري لحماية الصحة العامة أو السلامة العامة أو لحماية حياة أو صحة أفراد معينين.

6- لا يجوز تسجيل البيانات الشخصية أو تخزينها في شكل يجعل من الممكن تحديد موضوع البيانات بشكل مباشر أو غير مباشر.

7- يعد جمع البيانات الشخصية ضروريًا لتحقيق المصالح المشروعة للمراقب، دون المساس بحقوق ومصالح موضوع البيانات، وشريطة عدم وجود

يجب معالجة البيانات الحساسة.

تحدد اللائحة الأحكام والضوابط والإجراءات المتعلقة بما ورد في الفقرات من (2) إلى (7) من هذه المادة.

المادة 11

1- يجب أن يكون الغرض من جمع البيانات الشخصية مرتبطًا بشكل مباشر بأغراض المراقب، ولا يتعارض مع أي أحكام قانونية.

2- يجب ألا تتعارض طرق ووسائل جمع البيانات الشخصية مع أي أحكام قانونية، ويجب أن تكون مناسبة لظروف موضوع البيانات، ويجب أن تكون مباشرة وواضحة وآمنة، ولا تنطوي على أي خداع أو تضليل أو ابتزاز.

3- يجب أن يكون محتوى البيانات الشخصية مناسبًا ومحدودًا إلى الحد الأدنى

المبلغ اللازم لتحقيق الغرض من المجموعة. يجب أن يكون المحتوى الذي قد يؤدي إلى تحديد موضوع البيانات على وجه التحديد بمجرد تحقيق الغرض من التجميع

تجنب. وتحدد اللوائح الضوابط اللازمة في هذا الصدد.

4- إذا لم تعد البيانات الشخصية التي تم جمعها ضرورية للغرض الذي تم جمعها من أجله، يجب على المراقب، دون تأخير لا مبرر له، التوقف عن جمعها وتدمير البيانات الشخصية التي تم جمعها مسبقًا.

المادة 12

يجب على وحدة التحكم استخدام سياسة الخصوصية وإتاحتها لموضوعات البيانات للحصول على معلوماتهم قبل جمع بياناتهم الشخصية. يجب أن تحدد السياسة الغرض من التجميع، والبيانات الشخصية التي سيتم جمعها، والوسائل المستخدمة في الجمع والمعالجة والتخزين والتدمير، ومعلومات حول حقوق موضوع البيانات وكيفية ممارسة هذه الحقوق.

المادة 13

عند جمع البيانات الشخصية مباشرة من موضوع البيانات، يجب على وحدة التحكم اتخاذ التدابير المناسبة لإبلاغ موضوع البيانات بما يلي عند التجميع:

1- الأساس القانوني لجمع بياناتهم الشخصية.

2- الغرض من الجمع، ويجب تحديد البيانات الشخصية التي يكون جمعها إلزاميًا والبيانات الشخصية التي يكون جمعها اختياريًا. يجب إبلاغ موضوع البيانات بأن البيانات الشخصية لن تتم معالجتها لاحقًا بطريقة تتعارض مع غرض الجمع أو في حالات أخرى غير تلك المنصوص عليها في المادة (10) من هذا القانون.

3- ما لم تكن المجموعة لأغراض أمنية، هوية الشخص الذي يجمع البيانات الشخصية وعنوان ممثله، إذا لزم الأمر.

4- الكيانات التي سيتم الكشف عن البيانات الشخصية لها، وقدرة هذه الكيانات،

وما إذا كان سيتم نقل البيانات الشخصية أو الكشف عنها أو معالجتها خارج المملكة.

5- العواقب والمخاطر المحتملة التي قد تنتج عن عدم جمع البيانات الشخصية.

6- حقوق موضوع البيانات بموجب المادة (4) من هذا القانون.

7- العناصر الأخرى المنصوص عليها في اللوائح بناءً على طبيعة النشاط الذي يقوم به المراقب.

المادة 14

لا يجوز للمراقب معالجة البيانات الشخصية دون اتخاذ خطوات كافية للتحقق من دقة البيانات الشخصية واكتمالها وتوقيتها وأهميتها للغرض الذي تم جمعها من أجله وفقًا لأحكام القانون.

المادة 15

لا يجوز للمراقب الكشف عن البيانات الشخصية إلا في الحالات التالية:

1- يوافق موضوع البيانات على الإفصاح وفقًا لأحكام القانون.

2- تم جمع البيانات الشخصية من مصدر متاح للجمهور.

3- الكيان الذي يطلب الإفصاح هو كيان عام، وجمع البيانات الشخصية أو معالجتها مطلوب للمصلحة العامة أو لأغراض أمنية، أو لتنفيذ قانون آخر، للوفاء بالمتطلبات القضائية.

4- الإفصاح ضروري لحماية الصحة العامة أو السلامة العامة أو لحماية حياة أو صحة أفراد معينين.

5- لن يتضمن الإفصاح سوى المعالجة اللاحقة في النموذج الذي يجعله

من المستحيل تحديد موضوع البيانات بشكل مباشر أو غير مباشر.

6- يعد الإفصاح ضروريًا لتحقيق المصالح المشروعة للمراقب، دون المساس بحقوق ومصالح موضوع البيانات، وشريطة عدم معالجة أي بيانات حساسة.

تحدد اللائحة الأحكام والضوابط والإجراءات المتعلقة بما ورد في الفقرات من (2) إلى (6) من هذه المادة.


المادة 16

لا يجوز للمراقب الكشف عن البيانات الشخصية في الحالات المذكورة في الفقرات (1، 2، 5) و (6) من المادة (15) إذا كان الكشف:

1- يمثل تهديدًا للأمن أو يضر بسمعة المملكة أو يتعارض مع مصالح المملكة.

2- يؤثر على علاقات المملكة مع أي دولة أخرى.

3- يمنع اكتشاف الجريمة، أو يؤثر على حقوق المتهم في محاكمة عادلة، أو يؤثر على سلامة الإجراءات الجنائية القائمة.

4- يضر بسلامة الفرد.

5- يؤدي إلى انتهاك خصوصية فرد آخر غير موضوع البيانات، على النحو المنصوص عليه في اللوائح.

6- يتعارض مع مصالح شخص يفتقر كليًا أو جزئيًا إلى الأهلية القانونية. 7- ينتهك الالتزامات المهنية المقررة قانونًا.

8- ينطوي على انتهاك التزام أو إجراء أو قرار قضائي.

9- يفضح هوية مصدر سري للمعلومات بطريقة تضر بالمصلحة العامة.

المادة 17

1- إذا تم تصحيح البيانات الشخصية أو إكمالها أو تحديثها، يجب على المراقب إخطار هذا التعديل لجميع الكيانات الأخرى التي تم نقل هذه البيانات الشخصية إليها وإتاحة التعديل لهذه الكيانات.

2- تحدد اللوائح الأطر الزمنية لتصحيح وتحديث البيانات الشخصية وأنواع التصحيح والإجراءات المطلوبة لتجنب عواقب معالجة البيانات الشخصية غير الصحيحة أو غير الدقيقة أو القديمة.

المادة 18

1- يجب على المراقب، دون تأخير لا مبرر له، تدمير البيانات الشخصية عندما لم تعد ضرورية للغرض الذي تم جمعها من أجله. ومع ذلك، يجوز للمراقب الاحتفاظ بالبيانات بعد انتهاء الغرض من المجموعة؛ بشرط ألا تحتوي على أي شيء قد يؤدي إلى تحديد موضوع البيانات على وجه التحديد وفقًا للضوابط المنصوص عليها في اللوائح.

2- في الحالات التالية، يجب على المراقب الاحتفاظ بالبيانات الشخصية بعد انتهاء الغرض من المجموعة:

أ) إذا كان هناك أساس قانوني للاحتفاظ بالبيانات الشخصية لفترة محددة، وفي هذه الحالة سيتم تدمير البيانات الشخصية عند انقضاء تلك الفترة أو عند استيفاء الغرض من المجموعة، أيهما أطول.

ب) إذا كانت البيانات الشخصية مرتبطة ارتباطًا وثيقًا بقضية قيد النظر أمام سلطة قضائية وكان الاحتفاظ بالبيانات الشخصية مطلوبًا لهذا الغرض، وفي هذه الحالة سيتم تدمير البيانات الشخصية بمجرد الانتهاء من الإجراءات القضائية.

المادة 19

يجب على المراقب تنفيذ جميع التدابير التنظيمية والإدارية والتقنية اللازمة لحماية البيانات الشخصية، بما في ذلك أثناء نقل البيانات الشخصية، وفقًا للأحكام والضوابط المنصوص عليها في اللوائح.

المادة 20

1- يجب على المراقب إخطار السلطة المختصة عند علمه بأي خرق أو ضرر أو وصول غير قانوني إلى البيانات الشخصية، وفقًا للوائح.

2- يجب على المراقب إخطار موضوع البيانات بأي خرق أو ضرر أو وصول غير قانوني إلى بياناته الشخصية من شأنه أن يتسبب في تلف بياناته أو الإضرار بحقوقه ومصالحه، وفقًا للوائح.

المادة 21

يجب على المراقب الرد على طلبات موضوع البيانات المتعلقة بحقوقه بموجب هذا القانون خلال هذه الفترة وبالطريقة المنصوص عليها في اللوائح.

المادة 22

يجب على المراقب إجراء تقييم لتأثير معالجة البيانات الشخصية فيما يتعلق بأي منتج أو خدمة، بناءً على طبيعة النشاط الذي يقوم به المراقب، وفقًا للأحكام ذات الصلة من اللوائح.

المادة 23

مع عدم الإخلال بهذا القانون، تحدد اللوائح ضوابط وإجراءات إضافية لمعالجة البيانات الصحية بطريقة تضمن خصوصية موضوع البيانات وتحمي حقوقه بموجب هذا القانون. وتشمل هذه الضوابط والإجراءات الإضافية ما يلي:

1- تقييد الحق في الوصول إلى البيانات الصحية، بما في ذلك الملفات الطبية، إلى الحد الأدنى لعدد الموظفين أو العمال وفقط بالقدر اللازم لتوفير الخدمات الصحية المطلوبة.

2- تقييد إجراءات وعمليات معالجة البيانات الصحية إلى أدنى حد ممكن من الموظفين والعمال حسب الضرورة لتقديم الخدمات الصحية أو تقديم برامج التأمين الصحي.

المادة 24

مع عدم الإخلال بهذا القانون، تحدد اللوائح ضوابط إضافية؛

إجراءات معالجة بيانات الائتمان بطريقة تضمن خصوصية موضوع البيانات وتحمي حقوقه بموجب هذا القانون وقانون المعلومات الائتمانية. وتشمل هذه الضوابط والإجراءات ما يلي:

1- تنفيذ التدابير المناسبة للتحقق من أن موضوع البيانات قد أعطى موافقته الصريحة على جمع البيانات الشخصية أو تغيير الغرض من جمعها أو الكشف عنها أو نشرها وفقًا لأحكام هذا القانون وقانون المعلومات الائتمانية.

2- المطالبة بإخطار موضوع البيانات عند استلام طلب الإفصاح عن بياناته الائتمانية من أي كيان.

المادة 25

باستثناء مواد التوعية التي ترسلها الجهات العامة، لا يجوز للمراقب استخدام وسائل الاتصال الشخصية، بما في ذلك البريد والبريد الإلكتروني، لموضوع البيانات لإرسال إعلانات أو مواد توعوية، ما لم:

1- الحصول على الموافقة المسبقة من المتلقي المستهدف لهذه المواد.

2- يجب على مرسل المواد توفير آلية واضحة، على النحو المبين في اللوائح، تمكن المتلقي المستهدف من طلب التوقف عن استلام هذه المواد إذا رغب في ذلك.

3- تحدد اللوائح الأحكام المتعلقة بالمواد الإعلانية والتثقيفية المذكورة أعلاه، وكذلك الشروط والأوضاع المتعلقة بموافقة المتلقي على تلقي المواد المذكورة أعلاه.

المادة 26

باستثناء البيانات الحساسة، قد تتم معالجة البيانات الشخصية لأغراض التسويق، إذا تم جمعها مباشرة من موضوع البيانات وتم منح موافقته وفقًا لأحكام القانون؛ يجب أن تحدد اللوائح الضوابط في هذا الصدد.

المادة 27

قد يتم جمع البيانات الشخصية أو معالجتها لأغراض علمية أو بحثية أو إحصائية دون موافقة موضوع البيانات في الحالات التالية:

1- إذا لم تحدد موضوع البيانات على وجه التحديد.

2- إذا تم إتلاف دليل على هوية موضوع البيانات أثناء المعالجة وقبل الكشف عن هذه البيانات إلى أي كيان آخر، إذا لم تكن بيانات حساسة.

3- إذا كان جمع البيانات الشخصية أو معالجتها لهذه الأغراض مطلوبًا بموجب قانون آخر أو تنفيذًا لاتفاقية سابقة يكون موضوع البيانات طرفًا فيها.

تحدد اللائحة الضوابط المطلوبة بموجب أحكام هذه المادة.

المادة 28

لا يجوز نسخ الوثائق الرسمية التي يمكن فيها تحديد موضوعات البيانات، إلا إذا كان ذلك مطلوبًا بموجب القانون، أو عندما تطلب سلطة عامة مختصة نسخ هذه المستندات وفقًا للوائح.

المادة 29

1- مع مراعاة أحكام الفقرة (2) من هذه المادة، يجوز للمراقب نقل البيانات الشخصية خارج المملكة أو الكشف عنها لطرف خارج المملكة، وذلك لتحقيق أي من الأغراض التالية:

  1. إذا كان ذلك متعلقًا بأداء التزام بموجب اتفاقية تكون المملكة طرفًا فيها.
  2. إذا كان ذلك لخدمة مصالح المملكة.
  3. إذا كان هذا يتعلق بأداء التزام يكون موضوع البيانات طرفًا فيه
  4. إذا كان هذا لتحقيق أغراض أخرى على النحو المنصوص عليه في اللوائح.

2- الشروط التي يجب الوفاء بها عند نقل البيانات الشخصية أو الكشف عنها، وفقًا لما ورد في الفقرة (1) من هذه المادة، هي كما يلي:

  1. لا يجوز أن يتسبب النقل أو الكشف في أي ضرر للأمن القومي أو

المصالح الحيوية للمملكة.

  1. هناك مستوى كافٍ من الحماية للبيانات الشخصية خارج المملكة. ويجب أن يكون هذا المستوى من الحماية معادلاً على الأقل لمستوى الحماية الذي يكفله القانون واللوائح، وذلك وفقاً لنتائج تقييم تجريه السلطة المختصة بالتنسيق مع من تراه مناسباً من الجهات الأخرى ذات العلاقة.
  2. يجب أن يقتصر النقل أو الكشف على الحد الأدنى من البيانات الشخصية المطلوبة.

3- لا تنطبق الفقرة (2) من هذه المادة على حالات الضرورة القصوى للحفاظ على الحياة أو المصالح الحيوية لموضوع البيانات أو للوقاية من المرض أو فحصه أو علاجه.

4- تحدد اللائحة الأحكام والمعايير والإجراءات المتعلقة بتنفيذ هذه المادة، بما في ذلك الاستثناءات المطبقة للمراقبين فيما يتعلق بالشروط المشار إليها في الفقرتين الفرعيتين (ب) و (ج) من الفقرة (2) من هذه المادة، وكذلك الضوابط والإجراءات الخاصة بهذه الإعفاءات.

المادة 30

1- مع عدم الإخلال بأحكام هذا القانون وصلاحيات البنك المركزي السعودي وفقاً للأحكام القانونية المعمول بها، تكون السلطة المختصة هي الجهة المسؤولة عن الإشراف على تنفيذ هذا القانون واللوائح.

2- تحدد اللوائح الحالات التي يقوم فيها المراقب بتعيين شخص أو أكثر كمسؤول (موظفين) لحماية البيانات الشخصية. وتحدد مسؤوليات أي شخص من هذا القبيل وفقًا لأحكام هذا القانون.

3- يتعاون المراقب المالي مع السلطة المختصة في أداء مهامها للإشراف على تنفيذ أحكام هذا القانون واللوائح.

وتتخذ الخطوات اللازمة فيما يتعلق بالمسائل ذات الصلة المحالة إلى المراقب من السلطة المختصة.

4- يجوز للسلطة المختصة، من أجل القيام بمهامها المتعلقة بالإشراف على تنفيذ أحكام القانون واللوائح، القيام بما يلي:

  1. طلب المستندات أو المعلومات اللازمة من المراقب لضمان امتثالها لأحكام القانون واللوائح.
  2. طلب تعاون أي طرف آخر لأغراض الدعم في إنجاز الواجبات الإشرافية وتنفيذ أحكام القانون واللوائح.
  3. حدد الأدوات والآليات المناسبة لمراقبة امتثال المراقبين لأحكام القانون واللوائح، بما في ذلك الاحتفاظ بسجل وطني للمراقبين لهذا الغرض.
  4. تقديم الخدمات المتعلقة بحماية البيانات الشخصية من خلال السجل الوطني المشار إليه في الفقرة الفرعية (ج) من هذه الفقرة أو من خلال أي وسيلة أخرى تعتبر مناسبة. قد تقوم السلطة المختصة بتحصيل رسوم مقابل خدمات حماية البيانات الشخصية التي قد تقدمها.

5- يجوز للسلطة المختصة، حسب تقديرها، أن تفوض الجهات الأخرى في إنجاز بعض مهامها المتعلقة بالإشراف على أحكام القانون واللوائح أو تنفيذها.

المادة 31

دون الإخلال بالمادة (18) من هذه الاتفاقية، يجب على المراقب الاحتفاظ بسجلات، للفترة المطلوبة بموجب اللوائح، لأنشطة معالجة البيانات الشخصية، بناءً على طبيعة النشاط الذي يقوم به المراقب. يجب أن تكون هذه السجلات متاحة كلما طلبت السلطة المختصة ذلك. يجب أن تحتوي السجلات على المعلومات التالية كحد أدنى:

1- تفاصيل الاتصال بالمراقب.

2- الغرض من معالجة البيانات الشخصية.

3- وصف فئات موضوعات البيانات الشخصية.

4- أي كيان آخر تم أو سيتم الكشف عن البيانات الشخصية له.

5- ما إذا كانت البيانات الشخصية قد تم نقلها أو سيتم نقلها خارج المملكة أو الكشف عنها إلى كيان خارج المملكة.

6- الفترة المتوقعة للاحتفاظ بالبيانات الشخصية.

المادة 32

ملغى.

المادة 33

1- تحدد السلطة المختصة متطلبات ممارسة الأنشطة التجارية أو المهنية أو غير الربحية المتعلقة بحماية البيانات الشخصية في المملكة، بالتنسيق مع الجهات المختصة، ودون الإخلال بالمتطلبات الأخرى التي تحددها تلك الجهات في مجال اختصاصها.

2- يجوز للسلطة المختصة منح التراخيص للجهات التي تصدر شهادات اعتماد للمراقبين والمعالجين. وتضع السلطة المختصة قواعد تنظيم إصدار هذه الشهادات.

3- يجوز للسلطة المختصة منح التراخيص للكيانات التي تجري عمليات تدقيق أو فحص لأنشطة معالجة البيانات الشخصية المتعلقة بنشاط المراقب، وفقًا للأحكام المنصوص عليها في اللوائح. وتضع السلطة المختصة شروط ومعايير منح هذه التراخيص والقواعد المنظمة لها.

4- تحدد السلطة المختصة الأدوات والآليات المناسبة لمراقبة امتثال المراقبين والمعالجين خارج المملكة فيما يتعلق بالتزاماتهم الواردة في النظام واللوائح عند معالجة البيانات الشخصية المتعلقة بالأفراد المقيمين في المملكة بأي وسيلة، وتحدد إجراءات إنفاذ أحكام القانون واللوائح خارج المملكة.

المادة 34

يجوز لموضوع البيانات أن يقدم إلى السلطة المختصة أي شكوى قد تنشأ عن تنفيذ هذا القانون واللوائح. تحدد اللائحة قواعد معالجة الشكاوى التي قد تنشأ عن تنفيذ هذا القانون واللوائح.

المادة 35

1- مع عدم الإخلال بأي عقوبة أشد منصوص عليها في قانون آخر، فإن أي فرد يفصح عن بيانات حساسة أو ينشرها، بالمخالفة لأحكام القانون، بقصد الإضرار بموضوع البيانات أو تحقيق منفعة شخصية، يعاقب بالسجن لمدة لا تزيد على (سنتين)، أو بغرامة لا تتجاوز (ثلاثة ملايين) ريال، أو كليهما.

2- تتولى النيابة العامة التحقيق والملاحقة أمام المحكمة المختصة عن المخالفة المنصوص عليها في الفقرة (1) من هذه المادة.

3- تتولى المحكمة المختصة النظر في الدعاوى القضائية الناشئة عن تنفيذ هذه المادة وإصدار العقوبات المقررة.

4- يجوز للمحكمة المختصة مضاعفة عقوبة الغرامة المنصوص عليها في الفقرة (1) من هذه المادة في حالة العود، حتى لو أدى ذلك إلى تجاوز الحد الأقصى، بشرط ألا يتجاوز ضعف هذا الحد.

المادة 36

1- في الحالات غير المشمولة بالمادة (35) من هذا القانون، ومع عدم الإخلال بأي عقوبة أشد منصوص عليها في قانون آخر، يُفرض إنذار أو غرامة لا تجاوز (خمسة ملايين) ريال على كل شخص يتمتع بأهلية طبيعية أو قانونية خاصة - مشمولة بأحكام النظام - يخالف أياً من أحكام القانون أو اللوائح.

ويجوز مضاعفة عقوبة الغرامة في حالة تكرار المخالفة، حتى لو نتج عنها تجاوز الحد الأقصى لها، بشرط ألا تتجاوز ضعف هذا الحد.

2-يتم تشكيل لجنة (أو أكثر) بقرار من رئيس السلطة المختصة. يجب ألا يقل عدد أعضائها عن (ثلاثة)، ويعين أحدهم رئيسًا للجنة، وأن يكون بينهم أخصائي فني ومستشار قانوني. تقوم اللجنة بفحص المخالفات وإصدار الإنذارات أو فرض الغرامات على النحو المنصوص عليه في الفقرة (1) من هذه المادة، مع مراعاة نوع المخالفة المرتكبة وخطورتها ومدى تأثيرها؛ شريطة أن يوافق رئيس السلطة المختصة أو من يفوضها. يصدر رئيس السلطة المختصة، بقرار منه، لائحة عمل اللجنة، وتحدد مكافآت أعضائها فيها.

3- يحق لأي شخص صدر ضده قرار من اللجنة المذكورة في الفقرة (2) من هذه المادة الطعن عليه أمام المحكمة المختصة.

المادة 37

1- يتمتع الموظفون والعمال الذين يتم تعيينهم بقرار من رئيس السلطة المختصة بصلاحيات ضبط وفحص المخالفات المنصوص عليها في هذا القانون أو اللوائح. يصدر رئيس السلطة المختصة القواعد والإجراءات فيما يتعلق بعمل هؤلاء الموظفين والعمال وفقًا للقوانين المعمول بها.

2- يجوز للموظفين والعمال المشار إليهم في الفقرة (1) من هذه المادة طلب المساعدة من سلطات التحقيق الجنائي أو السلطات المختصة الأخرى للقيام بواجباتهم المتعلقة بالرقابة والتفتيش على الانتهاكات المنصوص عليها في القانون أو اللوائح.

3- يحق للجهة المختصة ضبط الوسائل أو الأدوات المستخدمة في ارتكاب المخالفة حتى يتم اتخاذ قرار بشأنها

المادة 38

1- مع عدم الإخلال بحقوق الغير حسن النية، يجوز للمحكمة المختصة أن تأمر بمصادرة الأموال المتحصل عليها نتيجة ارتكاب المخالفات المنصوص عليها في القانون.

2- يجوز للمحكمة المختصة، أو اللجنة المشار إليها في الفقرة (2) من المادة (36)، حسب الأحوال، أن تدرج في حكمها الجزائي أو قرارها حكماً يقضي بنشر ملخص لهذا الحكم أو القرار على نفقة المخالف في واحدة (أو أكثر)

الصحف المحلية الموزعة في منطقة إقامتهم، أو باستخدام أي وسيلة مناسبة أخرى. يعتمد ذلك على نوع المخالفة وخطورتها وتأثيرها؛ بشرط أن يكون النشر

يكون بعد أن يصبح الحكم نهائياً، أو بعد انقضاء الموعد النهائي للاستئناف، أو صدور حكم نهائي برفض الطعن في الحكم.

المادة 39

مع عدم الإخلال بأحكام المادة (35) والفقرة (1) من المادة (36) من هذا القانون، تقوم الجهة العامة بتأديب أي من موظفيها يخالف أيًا من أحكام هذا القانون واللوائح، وفقًا للأحكام والإجراءات التأديبية التي يحددها القانون.

المادة 40

مع عدم الإخلال بالعقوبات المنصوص عليها في هذا القانون، يجوز لأي فرد يعاني من ضرر نتيجة أي من الانتهاكات المنصوص عليها في هذا القانون أو اللوائح أن يتقدم إلى محكمة مختصة للحصول على تعويض متناسب عن الضرر المادي أو المعنوي.

المادة 41

يجب على أي شخص يشارك في معالجة البيانات الشخصية حماية سرية البيانات الشخصية حتى بعد انتهاء العلاقة المهنية أو التعاقدية لهذا الشخص.

المادة 42

يُصدر رئيس السلطة المختصة اللائحة خلال مدة لا تتجاوز (سبعمائة وعشرون) يومًا تبدأ من تاريخ نشر القانون، على أن يقوم الرئيس بالتنسيق قبل إصدار القانون مع: (وزارة الاتصالات وتقنية المعلومات، ووزارة الخارجية، وهيئة الاتصالات والفضاء والتقنية، وهيئة الحكومة الرقمية، والهيئة الوطنية للأمن السيبراني، والمجلس الصحي السعودي، والبنك المركزي السعودي)، كل في نطاق اختصاصه.

المادة 43

يعمل بهذا القانون بعد (سبعمائة وعشرين) يومًا من تاريخ نشره في الجريدة الرسمية.