في نظام حماية البيانات الشخصية .. “سدايا” الجهة المسئولة لحين انتقالها لمكتب لإدارة البيانات الوطنية بعد عامين

أعلنت صحيفة أم القرى اليوم عن صدور المرسوم الملكي رقم (م/ 19) وتاريخ 09 /02/ 1443هـ، والذي جاء فيه أنه

بعون الله تعالى
نحن سلمان بن عبدالعزيز آل سعود
ملك المملكة العربية السعودية
بناءً على المادة (السبعين) من النظام الأساسي للحكم، الصادر بالأمر الملكي رقم (أ/90) بتاريخ 27 /8/ 1412هـ.
وبناءً على المادة (العشرين) من نظام مجلس الوزراء، الصادر بالأمر الملكي رقم (أ/13) بتاريخ 3/3/ 1414هـ.
وبناءً على المادة (الثامنة عشرة) من نظام مجلس الشورى، الصادر بالأمر الملكي رقم (أ/91) بتاريخ 27 /8/ 1412هـ.
وبعد الاطلاع على قراري مجلس الشورى رقم (19/96) بتاريخ 3 /7/ 1442هـ، ورقم (40/213) بتاريخ 1442/12/3هـ.
وبعد الاطلاع على قرار مجلس الوزراء رقم (98) بتاريخ 7 /2/ 1443هـ.

رسمنا بما هو آت:

أولاً: الموافقة على نظام حماية البيانات الشخصية، بالصيغة المرافقة.
ثانيــاً: استثناءً مما ورد في المادة (الثالثة والأربعين) من نظام حماية البيانات الشخصية، يؤجل تطبيق ما ورد في الفقرة (1) والفقرة (2) من المادة (الثالثة والثلاثين) من النظام، وفقاً لما يحدده رئيس الجهة المختصة وبما لا يتجاوز (خمس) سنوات من تاريخ نفاذ النظام.
ثالثـــاً: قيام جهات التحكم –المنصوص عليها في الفقرة (18) من المادة (الأولى) من نظام حماية البيانات الشخصية– بتعديل أوضاعها وفقاً لأحكام النظام خلال مدة لا تزيد على (سنة) تبدأ من تاريخ نفاذه. وللجهة المختصة –لأسباب تقدرها– منح مدد إضافية لبعض الجهات لتعديل أوضاعها.
رابعـــاً: لا يخل تطبيق أحكام نظام حماية البيانات الشخصية ولوائحه التنفيذية بما للهيئة الوطنية للأمن السيبراني من اختصاصات ومهمات بوصفها جهة أمنية مختصة بالأمن السيبراني والمرجع الوطني في شؤونه في المملكة، وفقاً لتنظيمها الصادر بالأمر الملكي رقم (6801) بتاريخ 11 /2/ 1439هـ.
خامساً: على سمو نائب رئيس مجلس الوزراء والوزراء ورؤساء الأجهزة المعنية المستقلة –كل فيما يخُصُّه– تنفيذ مرسومنا هذا.

سلمان بن عبدالعزيز آل سعود

كذلك أعلنت صحيفة أم القرى عن إصدار مجلس الوزراء قرار رقم (98) وتاريخ 07 /02/ 1443هـ، والذي جاء فيه أنه وبعد الاطلاع على المعاملة الواردة من الديوان الملكي برقم 70420 وتاريخ 4 /12/ 1442هـ المشتملة على برقية وزارة الداخلية رقم 41168 وتاريخ 22 /4/ 1436هـ، في شأن مشروع نظام حماية البيانات الشخصية.
وبعد الاطلاع على الأمرين الساميين رقم (5727/م ب) وتاريخ 23 /8/ 1432هـ، ورقم (29549) وتاريخ 1433/6/17هـ.
وبعد الاطلاع على تنظيم الهيئة الوطنية للأمن السيبراني، الصادر بالأمر الملكي رقم (6801) وتاريخ 11 /2/ 1439هـ.
وبعد الاطلاع على نظام البنك المركزي السعودي، الصادر بالمرسوم الملكي رقم (م/36) وتاريخ 11 /4/ 1442هـ.
وبعد الاطلاع على تنظيم هيئة الاتصالات وتقنية المعلومات، الصادر بقرار مجلس الوزراء رقم (74) وتاريخ 5 /3/ 1422هـ، وتعديلاته.
وبعد الاطلاع على الترتيبات التنظيمية للهيئة السعودية للبيانات والذكاء الاصطناعي، الصادرة بقرار مجلس الوزراء رقم (292) وتاريخ 27 /4/ 1441هـ.
وبعد الاطلاع على المحاضر رقم (201) وتاريخ 1 /3/ 1438هـ، ورقم (1135) وتاريخ 20 /8/ 1439هـ، ورقم (1263) وتاريخ 12 /7/ 1440هـ، ورقم (215) وتاريخ 10 /4/ 1442هـ، والمذكرات رقم (420) وتاريخ 1441/5/25هـ، ورقم (961) وتاريخ 13 /6/ 1442هـ، ورقم (1359) وتاريخ 15 /8/ 1442هـ، ورقم (1783) وتاريخ 15 /10/ 1442هـ، ورقم (2334) وتاريخ 29 /12/ 1442هـ، ورقم (73) وتاريخ 10 /1/ 1443هـ، المعدة في هيئة الخبراء بمجلس الوزراء.
وبعد الاطلاع على محضر مجلس الشؤون السياسية والأمنية رقم 10664 وتاريخ 29 /5/ 1442هـ.
وبعد الاطلاع على التوصية المعدة في مجلس الشؤون الاقتصادية والتنمية رقم (1-43/4/د) وتاريخ 18 /1/ 1443هـ.
وبعد النظر في قراري مجلس الشورى رقم (19/96) وتاريخ 3 /7/ 1442هـ، ورقم (40/213) وتاريخ 1442/12/3هـ.
وبعد الاطلاع على توصية اللجنة العامة لمجلس الوزراء رقم (926) وتاريخ 30 /1/ 1443هـ.

يقرر ما يلي:

أولاً: الموافقة على نظام حماية البيانات الشخصية، بالصيغة المرافقة.
ثانـيــــاً: تكون الجهة المختصة هي الهيئة السعودية للبيانات والذكاء الاصطناعي “سدايا”، وذلك لمدة سنتين، ينظر خلالها –في ضوء ما ينتج عن تطبيق أحكام نظام حماية البيانات الشخصية ولوائحه التنفيذية وفي ضوء مستوى النضج في قطاع البيانات– في نقل اختصاص الإشراف على تطبيق أحكام النظام ولوائحه التنفيذية إلى مكتب إدارة البيانات الوطنية.
ثالـثــــاً: استثناءً مما ورد في المادة (الثالثة والأربعين) من نظام حماية البيانات الشخصية، يؤجل تطبيق ما ورد في الفقرة (1) والفقرة (2) من المادة (الثالثة والثلاثين) من النظام، وفقاً لما يحدده رئيس الجهة المختصة وبما لا يتجاوز (خمس) سنوات من تاريخ نفاذ النظام.
رابعـــاً: قيام جهات التحكم –المنصوص عليها في الفقرة (18) من المادة (الأولى) من نظام حماية البيانات الشخصية– بتعديل أوضاعها وفقاً لأحكام النظام خلال مدة لا تزيد على (سنة) تبدأ من تاريخ نفاذه. وللجهة المختصة –لأسباب تقدرها– منح مدد إضافية لبعض الجهات لتعديل أوضاعها.
خامساً: لا يخل تطبيق أحكام نظام حماية البيانات الشخصية ولوائحه التنفيذية بما للهيئة الوطنية للأمن السيبراني من اختصاصات ومهمات بوصفها جهة أمنية مختصة بالأمن السيبراني والمرجع الوطني في شؤونه في المملكة، وفقاً لتنظيمها الصادر بالأمر الملكي رقم (6801) وتاريخ 11 /2/ 1439هـ.
وقد أعد مشروع مرسوم ملكي في شأن ما ورد في البنود (أولاً) و(ثالثاً) و(رابعاً) و(خامساً) من هذا القرار، صيغته مرافقة لهذا.
سادساً: ينسق بين الجهة المختصة والبنك المركزي السعودي، لإعداد مذكرة تفاهم لتنظيم بعض الجوانب المرتبطة بتطبيق أحكام نظام حماية البيانات الشخصية ولوائحه التنفيذية في الجهات الخاضعة لإشراف البنك المركزي السعودي تنظيمياً، وتحديد دور كل منهما في هذا الشأن، وذلك مراعاةً لعدم تداخل الاختصاصات بينهما في شأن تطبيق أحكام النظام ولوائحه التنفيذية على الجهات الخاضعة لإشراف البنك المركزي السعودي تنظيمياً، وللحيلولة دون التأثير في استقلالية البنك المركزي السعودي، وللطبيعة الخاصة للتعاملات المالية والمصرفية، ولأجل تعزيز استقرار ونمو القطاعات التي يشرف عليها البنك المركزي السعودي، على أن يستكمل إعداد المذكرة وتوقيعها بالتزامن مع نفاذ النظام.
سابعاً: ينسق بين الجهة المختصة وهيئة الاتصالات وتقنية المعلومات، لإعداد مذكرة تفاهم لتنظيم بعض الجوانب المرتبطة بتطبيق أحكام نظام حماية البيانات الشخصية ولوائحه التنفيذية في الجهات الخاضعة لتنظيم هيئة الاتصالات وتقنية المعلومات، وللحيلولة دون التأثير على هيئة الاتصالات وتقنية المعلومات باعتبارها جهة تنظيمية مستقلة تشرف على قطاعات حساسة مرتبطة بتعاملات الأفراد الشخصية، وتعزيزاً لاستقرار ونمو القطاعات التي تشرف عليها، على أن يستكمل إعداد المذكرة وتوقيعها بالتزامن مع نفاذ النظام.
ثامــناً: قيام الجهة المختصة بالتنسيق مع الجهات التي تراها، بحملة توعوية مستمرة لأصحاب البيانات الشخصية، وكذلك لموظفي جهات التحكم –المنصوص عليها في الفقرة (18) من المادة (الأولى) من نظام حماية البيانات الشخصية– أو العاملين التابعين لها، لبيان الحقوق والالتزامات الواردة في النظام بعد نفاذه.
تاسعاً: قيام جهة التحكم –المنصوص عليها في الفقرة (18) من المادة (الأولى) من نظام حماية البيانات الشخصية– بالإجراءات اللازمة لعقد جلسات عمل وما في حكمها لموظفيها أو العاملين التابعين لها، للتعريف بما ورد في النظام من مفردات ومبادئ بعد نفاذه. ولتلك الجهات التنسيق مع الجهة المختصة كلما اقتضى الأمر ذلك في سبيل تقديم المشورة والدعم.
عاشراً: قیام الجهة المختصة، بالتنسيق مع من تراه من الجهات ذات العلاقة، بتقويم نتائج تطبيق نظام حماية البيانات الشخصية وإبداء المرئيات المتعلقة به، بما في ذلك اقتراح ما قد يلزم من تعديلات عليه، وذلك خلال (خمس) سنوات من تاريخ نفاذه، والرفع بما يلزم لاستكمال الإجراءات اللازمة.
حادي عشر: قیام الجهة المختصة خلال مدة لا تتجاوز (سنة) من تاريخ نفاذ نظام حماية البيانات الشخصية، وبالتنسيق مع من تراه من الجهات ذات العلاقة، بمراجعة أحكام الأنظمة والقرارات واللوائح ذات العلاقة التي تناولت أحكاماً تتعلق بحماية البيانات الشخصية للأفراد، واقتراح تعديلها بما يتوافق مع أحكام النظام، والرفع عما يتطلب استكمال إجراءات نظامية في شأنه.
ثاني عشــر: على الجهة المختصة أن تراعي عند إعدادها اللوائح التنفيذية لنظام حماية البيانات الشخصية وضع أحكام وضوابط تتعلق بالإجراءات والوسائل التنظيمية والإدارية والتقنية المرتبطة بتخزين البيانات الشخصية لدى جهات التحكم –المنصوص عليها في الفقرة (18) من المادة (الأولى) من النظام– بما يضمن المحافظة على البيانات الشخصية وفقاً لطبيعتها ودرجة حساسيتها، وذلك استناداً إلى ما ورد في المادة (التاسعة عشرة) من النظام.

رئيس مجلس الوزراء