1. النطاق:
تنطبق أحكام هذه السياسة على عمليات مشاركة البيانات التي تنتجها الاكاديمية المالية مع جهات حكومية أخرى أو جهات خاصة أو أفراد مهما كان مصدر هذه البيانات أو شكلها أو طبيعتها. ويشمل ذلك السجلات الورقية ورسائل البريد الإلكتروني والبيانات المخزنة على الوسائط الإلكترونية أو الوثائق المكتوبة بخط اليد، أو أي شكل آخر من أشكال البيانات المسجلة.
لا تنطبق هذه السياسة في حال كانت الجهة الطالبة للبيانات جهة حكومية وكان الطلب لأغراض أمنية أو لاستيفاء متطلبات قضائية.
2. المبادئ الرئيسية لمشاركة البيانات:
تعتمد الاكاديمية المالية على المبادئ التالية لمشاركة البيانات:
المبدأ الأول: تعزيز ثقافة المشاركة
تقوم الاكاديمية المالية بمشاركة البيانات الرئيسية التي تنتجها وذلك لتحقيق التكامل بينها وبين الجهات الأخرى وتبني مبدأ المرة الواحدة للحصول على البيانات من مصادرها الصحيحة والحد من ازدواجيتها وتعارضها وتعدد مصادرها. وفي حال تم طلب البيانات من غير مصدرها الأساسي، فيتم أخذ موافقة الجهة الرئيسية مصدر البيانات قبل مشاركتها مع الجهة الطالبة.
المبدأ الثاني: مشروعية الغرض
أن يتم مشاركة البيانات لأغراض مشروعة مبنية على أساس نظامي أو احتياج عملي يهدف إلى تحقيق مصلحة عامة دون إلحاق أي ضرر بالمصالح الوطنية، أو أنشطة الجهات، أو خصوصية الأفراد، أو سلامة البيئة – ويستثنى من ذلك البيانات والجهات المستثناة بأوامر سامية.
المبدأ الثالث: الوصول المصرّح به
يكون لدى جميع الأطراف المُشارِكة في مشاركة البيانات صلاحية الاطلاع على هذه البيانات والحصول عليها واستخدامها (والتي قد تتطلب المسح الأمني حسب طبيعة وحساسية البيانات)، بالإضافة إلى المعرفة، والمهارة، والأشخاص المؤهلين والمدربين بشكل صحيح للتعامل مع البيانات المشتركة.
المبدأ الرابع: الشفافية
يجب على جميع الأطراف المُشارِكة في عمليات مشاركة البيانات إتاحة جميع المعلومات الضرورية لتبادل البيانات مع الاكاديمية بما في ذلك: البيانات المطلوبة، الغرض من جمعها، ووسائل نقلها، وطرق حفظها، والضوابط المستخدمة لحمايتها وآلية التخلص منها.
المبدأ الخامس: المسؤولية المشتركة
أن تكون جميع الأطراف المُشارِكة في مشاركة البيانات مسؤولة مسؤولية مشتركة عن قرارات مشاركة البيانات ومعالجتها وفقاً للأغراض المحددة وضمان تطبيق الضوابط الأمنية المنصوص عليها في اتفاقية مشاركة البيانات، والأنظمة والتشريعات والسياسات ذات العلاقة.
المبدأ السادس: أمن البيانات
تقوم جميع الأطراف المُشارِكة في مشاركة البيانات بتطبيق الضوابط الأمنية المناسبة لحماية البيانات ومشاركتها في بيئة آمنة وموثوقة وفقاً للأنظمة والتشريعات ذات العلاقة، ووفقاً لما يصدر من الهيئة الوطنية للأمن السيبراني.
المبدأ السابع: الاستخدام الأخلاقي
تقوم جميع الأطراف المُشارِكة في مشاركة البيانات بتطبيق الممارسات الأخلاقية أثناء عملية مشاركة البيانات لضمان استخدامها في إطار من العدالة والنزاهة والأمانة والاحترام، وعدم الاكتفاء بالالتزام بسياسات أمن المعلومات أو الالتزام بالمتطلبات التنظيمية والتشريعية ذات العلاقة.
الخطوات اللازمة لإجراء عملية مشاركة البيانات:
-
يقوم مقدّم الطلب - سواء أكان جهة حكومية أو خاصة أو فرداً - بإرسال طلب مشاركة بيانات إلى مكتب البيانات في الأكاديمية المالية، على أن يُرسل الطلب عن طريق مكتب الجهة.
-
يتم بحالة الطلب إلى ممثل بيانات الأعمال المختص والذي بدوره يقوم بتوجيه هذا الطلب إلى أحد مختصي بيانات الأعمال لتقييم هذا الطلب ومعالجته.
-
يقوم مختص بيانات الأعمال بالتحقق من مستوى تصنيف البيانات المطلوبة:
-
في حالة تحديد مستوى التصنيف على أنه “عام”، يمكن لمختص بيانات الأعمال مشاركة البيانات المطلوبة دون تقييم الطلب وفقاً للمبادئ الرئيسية لمشاركة البيانات.
-
في حالة تحديد مستوى التصنيف على أنه “مقيّد” أو “سري” أو “سري للغاية”، يتعين على مختص بيانات الأعمال تقييم الطلب وفقاً للمبادئ الرئيسية لمشاركة البيانات.
-
يجب على مختص بيانات الأعمال في مكتب الجهة المطلوب منها مشاركة البيانات استكمال عملية المشاركة إذا تم استيفاء جميع مبادئ مشاركة البيانات بالكامل.
-
لا يجوز لمختص بيانات الأعمال مشاركة البيانات أو الاستمرار في مشاركة البيانات في حالة عدم استيفاء مبدأ واحد أو أكثر من مبادئ مشاركة البيانات. كما يجب على مختص بيانات الأعمال أن يرد الطلب إلى مقدم الطلب مع الملاحظات وإتاحة الفرصة لتلبية جميع مبادئ مشاركة البيانات غير المتوافقة.
-
عند استيفاء جميع مبادئ مشاركة البيانات، يقوم مختص بيانات الأعمال بالحصول على موافقة ممثل بيانات الأعمال على استكمال عملية مشاركة البيانات.
-
يقوم مختص بيانات الأعمال بتحديد الضوابط المناسبة لضمان الالتزام بمبادئ مشاركة البيانات وتحقيق الأهداف المحددة لكل منها، كما يجب أن يتم الاتفاق بين مختص بيانات الأعمال في مكتب الجهة ومقدم الطلب والأطراف الأخرى المشاركة في عملية المشاركة على تطبيق هذه الضوابط.
-
بعد الاتفاق على ضوابط مشاركة البيانات والالتزام بتطبيقها، ينبغي لمختص بيانات الأعمال توضيحها بالتفصيل في الاتفاقية ويجب على جميع الأطراف المُشارِكة في عملية المشاركة التوقيع على اتفاقية مشاركة البيانات.
-
يمكن لمكتب البيانات مشاركة البيانات المطلوبة مع الجهة الطالبة بعد توقيع اتفاقية مشاركة البيانات.
الإطار الزمني لعملية مشاركة البيانات:
-
تقوم الأكاديمية المالية ممثلة بمركز البيانات - بتقييم الطلب خلال فترة زمنية لا تتجاوز 30 يوماً من تاريخ استلام الطلب، وإشعار مقدم الطلب بقرار المشاركة على أن يكون القرار مكتوباً ومسبّباً.
-
وفي حال عدم الموافقة على طلب المشاركة، فيحق لمقدم الطلب استكمال المتطلبات لاستيفاء جميع المبادئ وطلب الاستئناف من مختص بيانات الأعمال لإعادة تقييم الطلب وإصدار قرار المشاركة خلال فترة زمنية لا تتجاوز 14 يوماً من تاريخ استلامه.
-
بعد الحصول على موافقة ممثل بيانات الأعمال على الاستمرار في عملية المشاركة، يقوم مختص بيانات الأعمال بتطوير وتطبيق الضوابط المناسبة لمشاركة البيانات وإعداد اتفاقية مشاركة بيانات خلال فترة زمنية لا تتجاوز 60 يوماً من تاريخ موافقة ممثل بيانات الأعمال.
-
بعد توقيع اتفاقية مشاركة البيانات، يقوم مختص بيانات الأعمال بمشاركة البيانات مع مقدم الطلب خلال 7 أيام من تاريخ توقيع الاتفاقية.
ضوابط مشاركة البيانات:
يجب على جميع الأطراف المشاركة في عملية مشاركة البيانات الموافقة على الضوابط اللازمة لإدارة البيانات المشتركة وحمايتها بشكل مناسب:
الأساس النظامي:
( المبادئ ذات العلاقة: المبدأ الأول: تعزيز ثقافة المشاركة، المبدأ الثاني: مشروعية الغرض، المبدأ
الخامس: المسؤولية المشتركة، المبدأ السابع: الاستخدام الأخلاقي )
- أن يُوضّح الأساس النظامي أو الاحتياج الفعلي لمشاركة البيانات، ومنها على سبيل المثال: تنظيم الجهة، الأمر الملكي/السامي الذي يسمح للجهة بمشاركة البيانات، أو الاتفاقيات الموقعة.
- أن يُلتزم بمستويات تصنيف البيانات والمحافظة على حقوق الملكية الفكرية وخصوصية البيانات الشخصية.
المبادئ ذات العلاقة: المبدأ الأول: تعزيز ثقافة المشاركة، المبدأ الثاني: مشروعية الغرض، المبدأ الخامس: المسؤولية المشتركة، المبدأ السابع: الاستخدام الأخلاقي
التفويض:
( المبادئ ذات العلاقة: المبدأ الثالث: الوصول المصرح به، المبدأ السادس: أمن البيانات )
- أن تٌحدد الجهات والأشخاص المخولين بطلب البيانات وتلقيها عبر التحقق من الامتثال لسياسة تصنيف البيانات – ضوابط الاستخدام والوصول إلى البيانات.
المبادئ ذات العلاقة: المبدأ الثالث: الوصول المصرح به، المبدأ السادس: أمن البيانات
نوع البيانات:
( المبادئ ذات العلاقة: المبدأ الأول: تعزيز ثقافة المشاركة، المبدأ الثاني: مشروعية الغرض،المبدأ الرابع: الشفافية)
- أن يتم التأكد من أن البيانات المطلوبة ضمن البيانات الرئيسية التي تنتجها الأكاديمية لضمان طلب البيانات من مصدرها الصحيح.
- أن تٌحدد الحد الأدنى من البيانات المطلوبة لتحقيق الأغراض المحددة.
- أن تٌحدد البيانات المطلوبة وصيغتها والمتطلبات المتعلقة بتعديلها أو تغييرها مثل صيغة البيانات، دقة البيانات، مستوى التفاصيل، هيكلة البيانات، نوع البيانات خام أو بيانات مُعالجة.
المبادئ ذات العلاقة: المبدأ الأول: تعزيز ثقافة المشاركة، المبدأ الثاني: مشروعية الغرض، المبدأ الرابع: الشفافية
المعالجة المسبقة للبيانات:
( المبادئ ذات العلاقة: المبدأ السادس: أمن البيانات )
- أن تٌحدد ما إذا كان هناك حاجة لمعالجة البيانات قبل مشاركتها، وفي حال الحاجة لذلك يتم الاتفاق على أساليب المعالجة المطلوبة - على سبيل المثال، الحجب وإخفاء الهوية والتجميع على ألا تتم معالجة البيانات بشكل يغير المحتوى.
- أن تُقيّم جودة البيانات المطلوبة وصحتها وسمتها وتحديد ما إذا كانت تتطلب إجراء تحسين قبل مشاركتها، وفي حال الحاجة لذلك يجب على مكتب الجهة تدقيق البيانات قبل مشاركتها.
المبادئ ذات العلاقة: المبدأ السادس: أمن البيانات
وسائل مشاركة البيانات:
( المبادئ ذات العلاقة: المبدأ السادس: أمن البيانات )
- الالتزام بضوابط حماية البيانات التي تصدرها الهيئة الوطنية للأمن السيبراني.
- أن يتم تحديد وسائل مشاركة البيانات المادية والرقمية.
- أن يتم التحقق من أمن وموثوقية وسائل المشاركة للتقليل من المخاطر المحتملة، كما يمكن الاستفادة من وسائل المشاركة الآمنة المعتمدة بين الجهات.
- أن يتم تحديد آلية مشاركة البيانات، وما إذا كان مختص بيانات الأعمال سيقوم بنقل البيانات مباشرةً إلى مقدم الطلب أو سيتم الاستعانة بمقدم خدمة لإتمام عملية المشاركة.
- أن يتم تحديد ما إذا كان سيتم استخدام وسائط المشاركة الموجودة على سبيل المثال، قناة التكامل الحكومية، شبكة مركز المعلومات الوطني أو سيتم استخدام وسائط مختلفة مثل شبكة الإنترنت اللاسلكية، وإمكانية الوصول عن بعد، والشبكة الافتراضية الخاصة، وواجهة برمجة التطبيقات.
- أن يتم الاتفاق على آلية إتلاف الوسائط المادية المستخدمة في مشاركة البيانات.
المبادئ ذات العلاقة: المبدأ السادس: أمن البيانات
استخدام البيانات والحفاظ عليها:
المبادئ ذات العلاقة: المبدأ الثاني: مشروعية الغرض، المبدأ الرابع: الشفافية، المبدأ السادس: أمن البيانات، المبدأ السابع: الاستخدام الأخلاقي
- أن تٌحدد متطلبات حماية البيانات عند مشاركتها، وتطبيق الضوابط المحددة لحماية البيانات بعد مشاركتها.
- أن تُفرض قيود مناسبة على الاستخدام أو المعالجة المسموح بها للبيانات إن وُجدت، مثل قيود خاصة بالمعالجة، أو قيود مكانية، أو زمانية، أو حقوق حصرية، أو تجارية.
- أن يتم تحديد حقوق جميع الأطراف المشاركة في عملية المشاركة بإجراء عمليات التدقيق والمراجعة.
- أن يتم الاتفاق على إجراءات تسوية النزاعات والتحكيم.
- أن تٌحدد ما إذا كان هناك طرف ثالث للاستفادة من البيانات بعد مشاركتها والاتفاق على الآلية المنظمة لذلك.
المبادئ ذات العلاقة: المبدأ الثاني: مشروعية الغرض، المبدأ الرابع: الشفافية، المبدأ السادس: أمن البيانات، المبدأ السابع: الاستخدام الأخلاقي
مدة مشاركة البيانات وعدد مرات المشاركة وإلغاء المشاركة:
المبادئ ذات العلاقة: المبدأ الثاني: مشروعية الغرض، المبدأ السادس: أمن البيانات
- أن تٌحدد مدة مشاركة البيانات والموعد النهائي للوصول إلى البيانات أو تخزينها.
- أن تٌحدد عدد مرات مشاركة البيانات، والمتطلبات اللازمة للمراجعة، وإجراء التعديلات، والإجراءات التي سيتم اتخاذها عند انتهاء الاتفاقية مثل إخفاء هوية أصحاب البيانات أو إلغاء الوصول إلى البيانات أو إتلافها.
- أن تٌحدد الأطراف الذين يحق لهم إنهاء مشاركة البيانات قبل التاريخ المتفق عليه، المستند النظامي، وفترة الإشعار المسموح بها.
أحكام المسؤولية:
المبادئ ذات العلاقة: المبدأ الخامس: المسؤولية المشتركة
- أن يُتّفق على تحديد المسؤوليات في حال عدم الالتزام ببنود الاتفاقية، وغيرها من الالتزامات بين الأطراف المشاركة كإنهاء الاتفاقية والإجراءات التصحيحية.
- أن تٌحدد القواعد المتعلقة بأحكام المسؤولية عند مشاركة بيانات خاطئة، وجود مشاكل فنية أثناء عملية نقل البيانات، أو فقدان البيانات بشكل غير مقصود أو غير نظامي مما قد يتسبب في أضرار أخرى.
القواعد العامة لمشاركة البيانات:
- يجب إعطاء الأولوية لوسائط المشاركة المعتمدة والآمنة لتبادل البيانات ومنها على سبيل المثال قناة التكامل الحكومية، وشبكة مركز المعلومات الوطني.
- يتولى مختص بيانات الأعمال في الأكاديمية مسؤولية مشاركة البيانات بعد استيفاء جميع مبادئ مشاركة البيانات، بالإضافة إلى تحديد الضوابط المناسبة للمشاركة.
- يجب تعيين أو تفويض الشخص المناسب – حسب المؤهلات والتدريب المطلوب للتعامل مع البيانات بطريقة صحيحة، على أن يكون مصرح له طلب البيانات المشتركة وتلقيها والوصول إليها وتخزينها وإتلافها.
- يجب إخفاء هوية أصحاب البيانات الشخصية، إلا إذا كان ذلك ضرورياً لغرض المشاركة مع تحديد الضوابط اللازمة للمحافظة على خصوصية أصحاب البيانات وفقاً لسياسة خصوصية البيانات الشخصية.
- يجب إرفاق البيانات الوصفية (metadata) عند مشاركة البيانات في الحالات التي تتطلب ذلك.
- تكون الجهات المشاركة في مشاركة البيانات مسؤولة عن حماية البيانات واستخدامها وفقاً للأغراض المحددة، ويحق لمكتب البيانات في الأكاديمية مراجعة مدى الالتزام بشكل دوري أو عشوائي بما يتوافق مع الضوابط المحددة في اتفاقية مشاركة البيانات.
- يقوم مكتب البيانات بإعداد الدليل الإرشادي لمشاركة البيانات والمتضمن نموذج طلب مشاركة البيانات ونموذج اتفاقية قياسية لمشاركة البيانات.
- تقوم الجهات التنظيمية – بعد التنسيق مع المكتب – بإعداد الآليات والإجراءات والضوابط المتعلقة بتسوية النزاع وفقاً لإطار زمني محدد.
- في حال وجود نزاع بين الأطراف المشاركة في عملية مشاركة البيانات، يحق للجهات التابعة لنفس الجهة التنظيمية إشعار الجهة التنظيمية والمطالبة بتسوية النزاع بين الأطراف المشاركة، وفي حال لم يتم حل النزاع، يتم إشعار المكتب بذلك، ويتولى المكتب تسوية النزاع إذا كانت الجهتان غير خاضعتين لنفس الجهة التنظيمية.
- في حال وجود جانب من جوانب مشاركة البيانات لا تشملها هذه السياسة، يحق لمكتب البيانات بالأكاديمية وضع قواعد إضافية لا تتعارض مع مبادئ مشاركة البيانات مع تقديم مسوغ كافٍ وإشعار المكتب بذلك.
- على الجهات المشاركة في مشاركة البيانات إيجاد التوازن المناسب بين الحاجة إلى مشاركة البيانات وضمان حماية سرية البيانات والمخاطر المحتملة على الفرد أو المجتمع.
- يجب على مكتب البيانات بالأكاديمية الاحتفاظ بسجلات خاصة بطلبات مشاركة البيانات والقرارات المتعلقة بها.
- يجب على الجهات عند استلامها للبيانات المشتركة عدم مشاركتها مع طرف آخر أو جهة أخرى دون موافقة الأكاديمية المالية.
