1. نطاق تطبيق السياسة
تنطبق أحكام هذه السياسة على جميع الجهات في جامعة الجوف، التي تقوم كلياً أو جزئياً بمعالجة البيانات الشخصية، وكذلك على الجهات الخارجية التي تقوم بمعالجة البيانات الشخصية المتعلقة بمنسوبي الجامعة أو المستفيدين من خدماتها والتي تتم عبر شبكة الإنترنت أو أي وسيلة أخرى.
يُستثنى من نطاق تطبيق هذه السياسة، جمع البيانات الشخصية من غير صاحبها مباشرة – دون علمه – أو معالجتها لغير الغرض الذي جُمعت من أجله، أو الإفصاح عنها دون موافقته، أو نقلها خارج المملكة، وذلك في الأحوال التالية:
- كان جمع البيانات الشخصية أو معالجتها مطلوباً لتحقيق متطلبات نظامية وفقاً للأنظمة واللوائح والسياسات المعمول بها في المملكة، أو لاستيفاء متطلبات قضائية، أو لتنفيذ التزام بموجب اتفاق تكون المملكة طرفاً فيه.
- إذا كان جمع البيانات الشخصية أو معالجتها ضرورياً لحماية الصحة العامة، أو السلامة العامة، أو لحماية المصالح الحيوية للأفراد.
2. المبادئ الرئيسية لحماية البيانات الشخصية
المبدأ الأول: المسؤولية
يجب تحديد وتوثيق سياسات وإجراءات الخصوصية الخاصة بجهة التحكم واعتمادها من قبل المسؤول الأول في الجهة (أو من يفوضه)، ونشرها إلى جميع الأطراف المعنية بتطبيقها.
المبدأ الثاني: الشفافية
يجب إعداد إشعار عن سياسات وإجراءات الخصوصية الخاصة بجهة التحكم يحدد فيه الأغراض التي من أجلها تمت معالجة البيانات الشخصية، وذلك بصورة محددة وواضحة وصريحة.
المبدأ الثالث: الاختيار والموافقة
يجب تحديد جميع الخيارات الممكنة لصاحب البيانات الشخصية والحصول على موافقته (الضمنية أو الصريحة) فيما يتعلق بجمع بياناته واستخدامها أو الإفصاح عنها.
المبدأ الرابع: الحد من جمع البيانات
يجب أن يقتصر جمع البيانات الشخصية على الحد الأدنى من البيانات الذي يمكّن من تحقيق الأغراض المحددة في إشعار الخصوصية.
المبدأ الخامس: الحد من استخدام البيانات والاحتفاظ بها والتخلص منها
يجب تقييد معالجة البيانات الشخصية بالأغراض المحددة في إشعار الخصوصية والتي من أجلها قدّم صاحب البيانات موافقته الضمنية أو الصريحة. كما يجب الاحتفاظ بالبيانات طالما كان ذلك ضرورياً لتحقيق الأغراض المحددة أو لما تقتضيه الأنظمة واللوائح والسياسات المعمول بها في المملكة، مع إتلافها بطريقة آمنة تمنع التسرب، أو الفقدان، أو الاختلاس، أو إساءة الاستخدام، أو الوصول غير المصرّح به نظاماً.
المبدأ السادس: الوصول إلى البيانات
يجب تحديد وتوفير الوسائل التي تُمكّن صاحب البيانات من الوصول إلى بياناته الشخصية لمراجعتها، وتحديثها، وتصحيحها.
المبدأ السابع: الحد من الإفصاح عن البيانات
يجب تقييد الإفصاح عن البيانات الشخصية للأطراف الخارجية بالأغراض المحددة في إشعار الخصوصية والتي من أجلها قدّم صاحب البيانات موافقته الضمنية أو الصريحة.
المبدأ الثامن: أمن البيانات
يجب حماية البيانات الشخصية من التسرب، أو التلف، أو الفقدان، أو الاختلاس، أو إساءة الاستخدام، أو التعديل، أو الوصول غير المصرّح به – وذلك وفقاً لما يصدر من الهيئة الوطنية للأمن السيبراني والجهات ذات الاختصاص.
المبدأ التاسع: جودة البيانات
يجب الاحتفاظ بالبيانات الشخصية بصورة دقيقة، وكاملة، وذات علاقة مباشرة بالأغراض المحددة في إشعار الخصوصية.
المبدأ العاشر: المراقبة والامتثال
يجب مراقبة الامتثال لسياسات وإجراءات الخصوصية الخاصة بجهة التحكم، ومعالجة الاستفسارات والشكاوى والنزاعات المتعلقة بالخصوصية.