سياسة حماية البيانات الشخصية

سياسة حماية البيانات الشخصية

تهدف هذه السياسة إلى تلبية متطلبات مكتب إدارة البيانات الوطنية، وتعزيز حماية بيانات مستخدمي أنظمة جامعة نجران وخصوصيتها وطرق التعامل مع البيانات وحفظها وإتلافها من خلال:

حماية خصوصية البيانات الشخصية وسرية البيانات الحساسة وعدم مشاركتها مع جهات أخرى دون موافقة مستخدمي النظام.
ضمان حقوق الأفراد في التعامل مع البيانات الشخصية لدى جامعة نجران.
تعزيز الشفافية وترسيخ الحوكمة بتوزيع الأدوار والمسؤوليات.
دعم النزاهة ومكافحة الفساد.

وذلك استنادا إلى وثيقتي ضوابط إدارة البيانات وحوكمتها وحماية البيانات الشخصية (الإصدار 1.5 - يناير 2021)، وسياسات حوكمة البيانات الوطنية (الإصدار الثاني التاريخ 26 / 05 / 2021 م) الصادرتين عن مكتب إدارة البيانات الوطنية.

نطاق العمل

تُطبق هذه السياسة على جميع جهات جامعة نجران وفروعها لضمان حماية البيانات الشخصية التي يتم معالجتها جزئيًا أو كليًا من قبلها، كما تطبق أحكام هذه السياسة على الجهات الخارجية التي تقوم بمعالجة بيانات الأفراد المقيمين في المملكة عبر الإنترنت أو أي وسيلة أخرى.

ومع ذلك، تُستثنى الحالات التالية من نطاق هذه السياسة: جمع البيانات الشخصية دون علم صاحبها، معالجتها لأغراض غير تلك التي جُمعت من أجلها، الإفصاح عنها دون موافقة، أو نقلها خارج المملكة، وفق الشروط التالية:

إذا كانت جهة التحكم جهة حكومية، يجوز جمع البيانات الشخصية أو معالجتها إذا كان ذلك ضروريًا لتلبية متطلبات نظامية وفق الأنظمة واللوائح والسياسات المعتمدة في المملكة العربية السعودية، أو لاستيفاء متطلبات قضائية، أو لتنفيذ التزامات ناتجة عن اتفاقية تكون المملكة العربية السعودية طرفًا فيها.
لحماية الصحة والسلامة العامة، أو لضمان المصالح الحيوية للأفراد.

المبادئ الرئيسية لحماية البيانات الشخصية

المبدأ الأول: المسؤولية

تلتزم جامعة نجران بتحديد متطلبات وسياسات حماية البيانات الشخصية، توثيقها، مراجعتها سنويًا، واعتمادها من قِبَل رئيس الجامعة أو من يفوضه. كما تعمل على نشرها لجميع الجهات المعنية لضمان تطبيقها بفعالية.

المبدأ الثاني: الشفافية

يتم إعداد إشعار يوضح سياسات وإجراءات حماية الخصوصية الخاصة بالبيانات الشخصية بجامعة نجران، مع تحديد الأغراض التي تُعالج البيانات الشخصية من أجلها بشكل واضح، محدد، وصريح.

المبدأ الثالث: الاختيار والموافقة

يجب توفير جميع الخيارات الممكنة لصاحب البيانات الشخصية، والحصول على موافقته، سواء كانت ضمنية أو صريحة، فيما يتعلق بجمع بياناته، استخدامها، أو الإفصاح عنها.

المبدأ الرابع: الحد من جمع البيانات

يقتصر جمع البيانات الشخصية على الحد الأدنى الضروري لتحقيق الأغراض المحددة في إشعار الخصوصية.

المبدأ الخامس: الحد من استخدام البيانات والاحتفاظ بها والتخلص منها

يتم تقييد معالجة البيانات الشخصية بالأغراض المحددة في إشعار الخصوصية التي وافق عليها صاحب البيانات، سواء ضمنيًا أو صريحًا. يتم الاحتفاظ بالبيانات طالما كان ذلك ضروريًا لتحقيق الأغراض المحددة أو لما تقتضيه الأنظمة واللوائح والسياسات المعمول بها في المملكة العربية السعودية، مع التخلص منها بالإتلاف بطريقة آمنة تمنع التسرب، الفقدان، الاختلاس، أو الوصول غير المصرح به.

المبدأ السادس: الوصول إلى البيانات

أن يتم توفير وسائل تتيح لصاحب البيانات الشخصية الوصول إلى بياناته لمراجعتها، تحديثها، وتصحيحها.

المبدأ السابع: الحد من الإفصاح عن البيانات

يُقيد الإفصاح عن البيانات الشخصية للأطراف الخارجية داخل المملكة العربية السعودية أو خارجها بالأغراض المحددة في إشعار الخصوصية التي وافق عليها صاحب البيانات، سواء ضمنيًا أو صريحًا.

المبدأ الثامن: أمن البيانات

توفر جامعة نجران الحماية الكاملة للبيانات الشخصية من التسرب، التلف، الفقدان، الاختلاس، إساءة الاستخدام، أو الوصول غير المصرح به، وفقًا لتوجيهات الهيئة الوطنية للأمن السيبراني والجهات ذات الاختصاص.

المبدأ التاسع: جودة البيانات

تُحفظ البيانات الشخصية بدقة وكمال وبما يتصل مباشرة بالأغراض المحددة في إشعار الخصوصية.

المبدأ العاشر: المراقبة والامتثال

مراقبة الامتثال لسياسات وإجراءات الخصوصية الخاصة بجامعة نجران، مع معالجة الاستفسارات والشكاوى والنزاعات المتعلقة بها.

حقوق صاحب البيانات

أولا: الحــق فــي العلــم ويشــمل ذلــك إشــعاره بالأساس النظامــي أو الاحتياج الفعلــي لجمــع بياناتــه الشـخصية، والغـرض مـن ذلـك، وألا تعالـج بياناتـه لاحقا بصـورة تتنافـى مـع الغـرض مـن جمعهـا والـذي مـن أجلــه قــدم موافقتــه الضمنيــة أو الصريحــة.
ثانياً: الحق في الرجوع عن موافقته على معالجة بياناته الشخصية - في أي وقت - مالم تكن هناك أغراض مشروعة تتطلب عكس ذلك.
ثالثا: الحق في الوصول إلى بياناته الشخصية لدى جامعة نجران؛ وذلك للاطلاع عليها، وطلب تصحيحها، أو تحديثها.

التزامات جامعة نجران

تلتزم جامعة نجران بإعـداد وتطبيـق السياسـات والإجراءات المتعلقـة بحمايـة البيانـات الشــخصية، ويكــون المســؤول الأول بالجهــة – أو مــن يفوضــه – مسؤولا عــن الموافقــة عليهــا واعتمادهــا.
تلتزم الجامعة بإنشاء وحدة لحوكمة البيانات ترتبط بمكتب إدارة البيانات وتســند إليها مســؤولية تطويــر وتوثيــق ومراقبــة تنفيــذ السياســات والإجراءات المعتمــدة مــن الإدارة العليــا بالجهــة، علــى أن تتضمــن مهــام ومســؤوليات الوحـدة وضـع المعاييـر المناسـبة لتحديـد مسـتويات حساسـية البيانـات الشـخصية.
تلتزم الجامعة بتقييـم المخاطـر والآثار المحتملـة لأنشطة معالجـة البيانـات الشـخصية وعـرض نتائــج التقييــم علــى رئيس الجامعة – أو مــن يفوضــه – لتحديــد مســتوى قبــول المخاطــر وإقرارهـا.
تلتزم الجامعة بمراجعـة وتحديـث العقـود واتفاقيـات مسـتوى الخدمـة والتشـغيل بمـا يتوافـق مـع سياسـات وإجـراءات الخصوصيـة المعتمـدة مـن الإدارة العليـا للجهـة.
القيام بإعــداد وتوثيــق الإجراءات اللازمة لإدارة ومعالجــة انتهــاكات الخصوصيــة وتحديــد المهــام والمســؤوليات المتعلقــة بفريــق العمــل المختــص، والحالات التــي يتــم بهــا إشــعار الجهة التنظيمية والمكتــب حســب التسلســل الإداري بنــاءً على قياس شدة الأثر.
تقوم الجامعة بإعـداد برامـج توعويـة لمنسوبي الجامعة لتعزيـز ثقافـة الخصوصيـة ورفـع مسـتوى الوعـي وفقـا لسياسـات وإجـراءات الخصوصيـة المعتمـدة مـن الإدارة العليـا للجهـة.
يتـم إشـعار صاحـب البيانـات - بطريقـة ملائمة وقـت جمـع البيانـات - بالغرض والأساس النظامي/ الاحتياج الفعلــي والوســائل والطــرق المســتخدمة لجمــع ومعالجــة ومشــاركة البيانــات الشــخصية وكذلـك التدابيـر الأمنية لضمـان حمايـة الخصوصيـة حسـب الأنظمة واللوائـح والسياسـات المعمـول بهـا فـي المملكـة.
يتـم إشـعار صاحـب البيانـات عـن المصـادر الأخرى التـي يتـم اسـتخدامها فـي حـال تـم جمـع بيانـات إضافيـة بطريقـة غيـر مباشـرة (مـن جهـات أخـرى).
يتم إطلاع صاحب البيانات على إشعار الخصوصية، وأخذ موافقته على معالجة بياناته الشخصية بناءً على طبيعة البيانات وطرق جمعها.
أن يتـم أخـذ موافقـة صاحـب البيانـات علـى معالجـة البيانـات الشـخصية بعـد تحديـد نـوع الموافقـة (صريحة أو ضمنية) بناءً على طبيعة البيانات وطرق جمعها.
أن يكـون الغـرض مـن جمـع البيانـات متوافقـا مـع الأنظمة واللوائـح والسياسـات المعمـول بهـا فـي المملكـة وذا علاقة مباشـرة بنشـاط الجهـة.
أن يكــون محتــوى البيانــات مقتصــرا علــى الحــد الأدنى مــن البيانــات اللازمة لتحقيــق الغــرض مــن جمعهــا.
أن يتـم تقييـد جمـع البيانـات علـى المحتـوى المعـد سـلفا (الموضـح فـي القاعـدة 12) ويكـون بطريقـة عادلـة (مباشـرة وواضحـة وآمنـة وخاليـة مـن أسـاليب الخـداع أو التضليـل).
أن يقتصر استخدام البيانات على الغرض التي جمعت من أجله.
تقوم الجامعة بإعـداد وتوثيـق سياسـة وإجـراءات الاحتفاظ بالبيانـات وفقـا للأغراض المحـددة والأنظمة والتشـريعات ذات العالقـة.
تقـوم الجامعة بتخزيـن البيانـات الشـخصية ومعالجتهـا داخل الحدود الجغرافيـة للمملكة العربية السعودية لضمان المحافظـة علـى السـيادة الوطنيـة الرقميـة لهـذه البيانـات، ولا تجـوز معالجتهـا خـارج المملكـة العربية السعودية إلا بعـد حصـول الجامعة علـى موافقـة كتابيـة مـن الجهـة التنظيميـة، بعـد تنسـيق الجهـة التنظيميـة مـع المكتب.
أن تقــوم الجامعة بإعــداد وتوثيــق سياســة وإجــراءات التخلــص مــن البيانــات لإتلاف البيانــات بطريقــة آمنــة تمنــع فقدانهــا أو إســاءة اســتخدامها أو الوصــول غيــر المصــرح بــه إليهــا – وتشــمل البيانـات التشـغيلية، المؤرشـفة، والنسـخ الاحتياطية – وذلـك وفقـاً لمـا يصـدر مـن الهيئـة الوطنيـة للأمن الســيبراني.
أن تقـوم الجامعة بتضميـن أحـكام سياسـتي الاحتفاظ والتخلـص مـن البيانـات الشخصية فـي العقـود فـي حـال إسـناد هـذه المهـام إلـى جهـات معالجـة أخـرى.
أن تقـوم الجامعة بتحديـد وتوفيـر الوسـائل التـي عـن طريقهـا يمكـن لصاحـب البيانـات الوصـول إلـى بياناتـه الشـخصية وذلـك لمراجعتهـا وتحديثهـا.
أن تقــوم الجامعة بالتحقــق مــن هويــة الأفراد قبــل منحهــم الوصــول إلــى بياناتهــم الشــخصية وفقــاً للضوابــط المعتمــدة مــن قبــل الهيئــة الوطنيــة للأمن الســيبراني والجهــات ذات الاختصاص.
يحظـر مشـاركة البيانـات الشـخصية مـع جهـات أخـرى إلا وفقـا للأغراض المحـددة بعـد موافقـة صاحب البيانـات ووفقـاً للأنظمة واللوائـح والسياسات علـى أن تزود الجهـات الأخرى بسياسـات وإجـراءات الخصوصيـة المتبعـة وتضمينهـا فـي العقـود والاتفاقيات.
أن تشعر الجامعة أصحــاب البيانــات وتؤخــذ الموافقــة منهــم فــي حــال مشــاركة البيانــات مــع جهــات أخــرى لاستخدامها فــي غيــر الأغراض المحــددة.
أن تقـوم الجامعة بأخـذ موافقـة المكتـب - بعـد التنسـيق مـع الجهـة التنظيميـة - قبـل مشـاركة البيانـات الشـخصية مـع جهـات أخـرى خـارج المملكـة.
أن تقـوم الجامعة بإعـداد وتوثيـق وتطبيـق الإجراءات اللازمة لضمـان دقـة البيانـات الشـخصية واكتمالهـا وحداثتهـا وارتباطها بالغـرض الـذي جمعـت مـن أجلـه.
أن يتـم اسـتخدام الضوابـط الإدارية والتدابيـر التقنيـة المعتمـدة فـي سياسـات الجهة لأمن المعلومات لضمـان حمايـة البيانـات الشـخصية ومنهـا علـى سـبيل المثـال لا الحصر:
- منـح صلاحيات الوصـول إلـى البيانـات وفقـا لمهـام العامليـن ومسـؤولياتهم بطريقـة تحـول دون تداخـل الاختصاص وتتلافى تشـتيت المسـؤوليات.
- تطبيــق الإجراءات الإدارية والتدابيــر التقنيــة التــي توثــق مراحــل معالجــة البيانــات وتوفــر إمكانيــة تحديــد المســتخدم المســؤول عــن كل مرحلــة مــن هــذه المراحــل (سجلات الاستخدام).
- توقيــع العامليــن الذيــن يباشــرون عمليــات معالجــة البيانــات علــى تعهــد للمحافظــة علــى البيانــات وعــدم الإفصاح عنهــا إلا وفقــاً للسياســات والإجراءات والأنظمة والتشــريعات.
- اختيــار العامليــن الذيــن يباشــرون عمليــات معالجــة البيانــات ممــن يتصفــون بالأمانة والمســؤولية ووفقــاً لطبيعــة وحساســية البيانــات وسياســة الوصــول المعتمــدة مــن قبــل الجهــة.
- اسـتخدام التدابيـر الأمنية المناسـبة – كالتشـفير، وعـزل بيئـة التطويـر والاختبار عـن بيئـة التشـغيل – لحمايـة البيانـات الشـخصية وحمايتهـا بمـا يتناسـب مـع طبيعتهـا وحساسـيتها والوسـائط المسـتخدمة لنقلهـا وتخزينهـا وفقـاً لمـا يصـدر مـن الهيئـة الوطنيـة للأمن السـيبراني والجهـات ذات الاختصاص.
أن تكـون جامعة نجران مسـؤولة عـن مراقبـة الامتثال لسياسـات وإجـراءات الخصوصيـة بشـكل دوري ويتــم عرضهــا علــى المســؤول الأول للجهــة – أو مــن يفوضــه – كمــا يتــم تحديــد وتوثيــق الإجراءات التصحيحيـة التـي سـيتم اتخاذهـا فـي حـال عـدم الامتثال وإشـعار الجهـة التنظيميـة والمكتـب حسـب التسلسـل التنظيمـي.

أحكام عامة

أولا: تتولــى الجهــات التنظيميــة موائمــة أحــكام هــذه السياســة مــع وثائقهــا التنظيميــة وتعميمهــا علــى جميـع الجهـات التابعـة لهـا أو المرتبطـة بهـا بمـا يحقـق التكامـل ويضمـن تحقيـق الهـدف المنشـود مـن إعـداد هـذه السياسـة.
ثانيا: تقوم الجهات التنظيمية بمراقبة الامتثال لهذه السياسة بشكل دوري.
ثالثا: يجب على الجامعة الامتثال لهذه السياسة وتوثيق الامتثال وفقا لآليات والإجراءات التي تحددها الجهات التنظيمية.
رابعا: يجـب علـى الجامعة إبلاغ الجهـات التنظيميـة فـوراً ودون تأخيـر وبمـا لا يتجـاوز 72 سـاعة مـن وقـوع أو اكتشـاف أي حادثـة تسـريب للبيانـات الشـخصية وفقـاً للآليات والإجراءات التـي تحددهـا الجهـات التنظيمية.
خامسا: يجب على الجامعة عند تعاقدها مع جهات المعالجة أن تتحقق بشكل دوري من امتثال جهات المعالجة لهذه السياسة وفقا للآليات والإجراءات التي تحددها الجهات التنظيمية، على أن يشمل ذلك أي تعاقدات لاحقة تقوم بها جهات المعالجة.
سادسا: يمارس مكتب البيانات أدوار ومهام الجهات التنظيمية على مكتب الجهات غير الخاضع لجهات تنظيمية.
سابعا: يحق للجهات التنظيمية وضع قواعد إضافية لمعالجة أنواع محددة من البيانات الشخصية وفقا لطبيعة وحساسية هذه البيانات بعد التنسيق مع المكتب.
ثامنا: تقوم الجهات التنظيمية بعد التنسيق مع المكتب - بإعداد الآليات والإجراءات التي تنظم عملية معالجة الشكاوى وفقا لإطار زمني محدد وحسب التسلسل التنظيمي للجامعة.
تاسعا: يقوم مكتب البيانات بالجامعة بوضع المعايير اللازمة التي تساعد الجامعة على معرفة ما إذا كان تعيين مسؤول حماية بيانات يعتبر متطلب أساسي أو اختياري.

موقع حكومي مسجل لدى هيئة الحكومة الرقمية

روابط المواقع الالكترونية الرسمية السعودية تنتهي بـ edu.sa

المواقع الالكترونية الحكومية تستخدم بروتوكول HTTPS للتشفير و الأمان.

موقع حكومي مسجل لدى هيئة الحكومة الرقمية

روابط المواقع الالكترونية الرسمية السعودية تنتهي بـ edu.sa

المواقع الالكترونية الحكومية تستخدم بروتوكول HTTPS للتشفير و الأمان.

مسار التنقل

سياسة حماية البيانات الشخصية