البيانات:
مجموعة من الحقائق في صورتها الأولية أو في صورة غير منظمة مثل الأرقام أو الحروف أو الصور الثابتة أو الفيديو أو التسجيلات الصوتية أو الرموز التعبيرية.
البيانات الشخصية:
كل بيان -مهما كان مصدره أو شكله- من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعله قابلاً للتعرف عليه بصفة مباشرة أو غير مباشرة عند دمجه مع بيانات أخرى.
التحقق:
التأكد من هوية أي مستخدم أو عملية أو جهاز بصفته متطلباً أساسياً للسماح بالوصول إلى الموارد التقنية.
معالجة البيانات الشخصية:
جميع العمليات التي تجرى على البيانات الشخصية بأي وسيلة كانت يدوية أو آلية، وتشمل هذه العمليات – على سبيل المثال لا الحصر- جمع البيانات ونقلها وحفظها وتخزينها ومشاركتها وإتلافها وتحليلها واستخراج أنماطها والاستنتاج منها وربطها مع بيانات أخرى.
صاحب البيانات الشخصية:
الشخص الطبيعي الذي تتعلق به البيانات الشخصية أو من يمثله أو من له الولاية الشرعية عليه.
وحدة التحكم:
أي وحدة إدارية تابعة للجامعة تعمل على البيانات الشخصية.
تسريب البيانات الشخصية:
الإفصاح عن البيانات الشخصية، أو الحصول عليها، أو تمكين الوصول إليها دون تصريح أو سند نظامي، سواء بقصد أو بغير قصد.
الموافقة الضمنية:
هي موافقة لا يتم منحها صراحةً من قبل صاحب البيانات لكنها تمنح ضمنياً عن طريق أفعال الشخص ووقائع وظروف الموقف، كتوقيع العقود أو الموافقة على الشروط والأحكام.
الغرض من سياسة حماية البيانات الشخصية هو الحفاظ على سرية المعلومات الشخصية لضمان حفظ حقوق الأفراد وتنظيم عملية جمع البيانات الشخصية ومعالجتها ومشاركتها والحفاظ على السيادة الوطنية الرقمية عليها. وتمتثل لسياسات حوكمة البيانات الوطنية والتشريعات الأساسية لحماية حقوق وخصوصية الأفراد فيما يتعلق ببياناتهم الشخصية والتي تخضع لنظام حماية البيانات الشخصية.
وتهدف هذه السياسة إلى الالتزام بمتطلبات إدارة البيانات وحوكمتها والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي في المواصفة رقم DG.1.2 من ضوابط ومواصفات إدارة البيانات الوطنية وحوكمتها وحماية البيانات الشخصية (الإصدار 1.5) الصادرة عن مكتب إدارة البيانات الوطنية.
تنطبق أحكام هذه السياسة على جميع وحدات التحكم التي تقوم كلياً أو جزئياً بمعالجة البيانات الشخصية وكذلك الجهات الخارجية التي تقوم بمعالجة البيانات الشخصية المتعلقة بمنسوبي الجامعة والتي تتم عبر شبكة الإنترنت أو أي وسيلة أخرى.
يستثنى من نطاق تطبيق هذه السياسة، جمع البيانات الشخصية من غير صاحبها مباشرة – دون علمه – أو معالجتها لغير الغـرض الذي جُمعت من أجله أو الإفصاح عنها دون موافقته أو نقلها إلى خارج المملكة في الأحوال التالية:
1- إذا كان جمــع البيانــات الشــخصية أو معالجتهــا مطلوبــاً لتحقيــق متطلبــات نظاميــة وفقــاً للأنظمــة واللوائــح والسياســات المعمــول بهــا فــي المملكــة أو لاســتيفاء مُتطلبــات قضائيــة أو لتنفيــذ التــزام بموجــب اتفــاق تكــون المملكــة طرفــاً فيــه.
2- إذا كان جمــع البيانــات الشــخصية أو معالجتهــا ضروريــاً لحمايــة الصحــة أو الســلامة العامــة أو حمايــة المصالح الحيوية للأفراد.
المبدأ الأول: المسؤولية
أن يتــم تحديــد وتوثيــق سياســات وإجــراءات الخصوصيــة الخاصــة بالجامعة من قبل مكتب إدارة البيانات واعتمادهــا مــن رئيس الجامعة (أو مــن يفوضــه)، ونشــرها إلــى جميــع الأطــراف المعنيــة بتطبيقهــا.
المبدأ الثاني: الشفافية ً
أن يتم إعداد إشعار عن سياسات وإجراءات الخصوصية الخاصة بالجامعة يحدد فيه الأغراض التي من أجلها تمت معالجة البيانات الشخصية وذلك بصورة محددة وواضحة وصريحة.
المبدأ الثالث: الاختيار والموافقة
أن يتم تحديد جميع الخيارات الممكنة لصاحب البيانات الشخصية والحصول على موافقته (الضمنية أو الصريحة) فيما يتعلق بجمع بياناته واستخدامها أو الإفصاح عنها.
المبدأ الرابع: الحد من جمع البيانات
أن يقتصر جمع البيانات الشخصية على الحد الأدنـى مـن البيانات الـذي يمكّن من تحقيق الأغراض المحددة في إشعار الخصوصية.
المبدأ الخامس: الحد من استخدام البيانات والاحتفاظ بها والتخلص منها
أن يتم تقييد معالجة البيانات الشخصية بالأغراض المحددة في إشعار الخصوصية والتي من أجلها قدّم صاحب البيانات موافقته الضمنية أو الصريحة، والاحتفاظ بها طالما كان ذلك ضرورياً لتحقيق الأغراض المحددة أو لما تقتضيه الأنظمة واللوائح والسياسات المعمول بها في المملكـة وإتلافهـا بطريقة آمنة تمنع التسرب، أو الفقدان، أو الاختلاس، أو إساءة الاستخدام، أو الوصول غير المصرّح به نظاماً.
المبدأ السادس: الوصول إلى البيانات
أن يتم تحديد وتوفير الوسائل التي عن طريقها يمكن لصاحب البيانات الوصول إلى بياناته الشخصية لمراجعتها، وتحديثها، وتصحيحها.
المبدأ السابع: الحد من الإفصاح عن البيانات
أن يتــم تقييــد الإفصــاح عــن البيانــات الشــخصية للأطــراف الخارجيــة بالأغــراض المحــددة فــي إشــعار الخصوصيــة والتــي مــن أجلهــا قــدّم صاحــب البيانــات موافقتــه الضمنيــة أو الصريحــة.
المبدأ الثامن: أمن البيانات
أن تتم حماية البيانات الشخصية من التسرب، أو التلف، أو الفقدان، أو الاختلاس، أو إساءة الاستخدام، أو التعديــل أو الوصــول غيــر المصــرّح بــه – وفقــاً لمــا يصــدر مــن الهيئــة الوطنيــة للأمــن الســيبراني والجهات ذات الاختصاص.
المبدأ التاسع: جودة البيانات
أن يتم الاحتفاظ بالبيانات الشخصية بصورة دقيقة، وكاملة، وذات علاقة مباشرة بالأغراض المحددة في إشعار الخصوصية.
المبدأ العاشر: المراقبة والامتثال
أن تتم مراقبة الامتثال لسياسات وإجراءات الخصوصية، ومعالجة الاستفسارات والشكاوى والنزاعات المتعلقة بالخصوصية.