المقدمة : 

انطلاقًا من التزام جامعة الحدود الشمالية برسالتها التعليمية، وحرصها على ترسيخ مبادئ الشفافية والحوكمة الرقمية، فإنها تضع حماية الخصوصية والبيانات الشخصية لجميع مستخدمي منصاتها الإلكترونية في مقدمة أولوياتها الاستراتيجية. وتهدف هذه السياسة إلى بيان الإطار النظامي والتنظيمي الذي تتبعه الجامعة في جمع ومعالجة وحماية البيانات الشخصية. وتشمل هذه السياسة جميع فئات المستفيدين من خدمات الجامعة الإلكترونية، سواء من الطلاب والطالبات، وأعضاء هيئة التدريس، والموظفين، والمتعاونين، والمستفيدين الخارجيين، وكذلك الزوار والمتصفحين لأي من منصاتها الرقمية، بما في ذلك الموقع الرسمي، ونظام التعليم الإلكتروني، ونظام معلومات الطالب، وتطبيقات الهاتف المحمول، وغيرها من القنوات الرقمية ذات الصلة.

وتتناول هذه السياسة بالتفصيل ما يلي:

• أنواع البيانات الشخصية التي يتم جمعها.

• الأسس النظامية والشرعية لمعالجة تلك البيانات.

• الأغراض المشروعة لجمع البيانات واستخدامها.

• التدابير الفنية والتنظيمية لحفظ البيانات وضمان سريتها وسلامتها.

• حقوق أصحاب البيانات، والوسائل المتاحة لهم لممارسة هذه الحقوق.

• التزامات الجامعة القانونية والتنظيمية تجاه حماية البيانات.

وقد تم إعداد هذه السياسة استنادًا إلى نظام حماية البيانات الشخصية السعودي الصادر بالمرسوم الملكي رقم (م/19) وتاريخه 09/02/1443هـ، ولائحته التنفيذية، وبما يتوافق مع الضوابط الصادرة عن الهيئة الوطنية للأمن السيبراني، والإرشادات التنظيمية من الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، إضافة إلى الالتزام بأفضل الممارسات العالمية في أمن وحوكمة البيانات.

ويُعد استخدام أي من خدمات الجامعة أو دخولك إلى منصاتها الرقمية، إقرارًا ضمنيًا بفهمك لهذه السياسة وموافقتك على محتواها، بما في ذلك ما يطرأ عليها من تحديثات، والتي يتم الإعلان عنها عبر القنوات الرسمية للجامعة. وتنصح الجامعة جميع المستفيدين بالاطلاع الدوري على هذه السياسة لضمان معرفة أحدث التحديثات المتعلقة بحقوقهم وبياناتهم.

ثانيًا: نطاق السياسة

تنطبق هذه السياسة على كافة العمليات المتعلقة بجمع البيانات الشخصية ومعالجتها وتخزينها ومشاركتها أو الإفصاح عنها داخل جامعة الحدود الشمالية، وتشمل جميع الأفراد المستفيدين من خدماتها، سواء كانوا من منسوبي الجامعة أو متعامليها الخارجيين. وتمتد هذه السياسة لتشمل كافة البيئات الرقمية والتقنية التي تديرها الجامعة بشكل مباشر أو من خلال أطراف تعاقدية معها، بما في ذلك على سبيل المثال لا الحصر:

• الموقع الإلكتروني الرسمي للجامعة وكافة صفحاته وخدماته التفاعلية.

• أنظمة التعليم الإلكتروني (LMS) مثل نظام البلاك بورد والمنصات المرتبطة به.

• نظام معلومات الطلاب (Student Information System - SIS) والذي يشمل عمليات القبول والتسجيل والخطط الدراسية والإشعارات الأكاديمية.

• البوابات الإدارية والمالية الخاصة بشؤون الموظفين، الرواتب، الموارد البشرية، والمشتريات.

• أنظمة التوظيف والقبول بما في ذلك النماذج الإلكترونية الخاصة بالتقديم للوظائف الأكاديمية أو الإدارية.

• استبيانات الجودة والتقويم الأكاديمي والبحوث المؤسسية التي يتم جمعها من الطلاب أو الموظفين أو الزوار.

• تطبيقات الهاتف المحمول المرتبطة بخدمات الجامعة أو الموجهة للطلبة أو الهيئة التعليمية.

• الأنظمة السحابية أو التطبيقات الخارجية المتعاقد عليها والتي يتم من خلالها تقديم خدمات إلكترونية تعليمية أو إدارية.

ويسري تطبيق هذه السياسة على جميع البيانات الشخصية التي يتم جمعها سواء بطريقة مباشرة من صاحب البيانات أو من خلال أطراف أخرى يتم الاستعانة بها بموجب اتفاقيات نظامية تلتزم بمعايير حماية البيانات.

كما تغطي هذه السياسة كافة أشكال البيانات الشخصية، سواء كانت رقمية، أو ورقية، أو مصورة، أو صوتية، وسواء تم تخزينها محليًا داخل أنظمة الجامعة أو خارجيًا في حال التعاقد مع مزودي خدمات تقنيين، شريطة الامتثال الكامل للضوابط والسياسات الوطنية لحوكمة البيانات.

ثالثًا: التعريفات

لأغراض هذه السياسة، يُقصد بالمصطلحات التالية المعاني الموضحة قرين كل منها، ما لم يقتضِ السياق خلاف ذلك:

1. البيانات الشخصية:

كل بيان – مهما كانت طبيعته أو مصدره – من شأنه أن يؤدي، بمفرده أو عند دمجه مع بيانات أخرى، إلى التعرف على شخص طبيعي معين، أو جعله قابلًا للتحديد بصفة مباشرة أو غير مباشرة. ويشمل ذلك – على سبيل المثال لا الحصر –: الاسم الكامل، رقم الهوية الوطنية أو الإقامة، بيانات التواصل (رقم الهاتف، البريد الإلكتروني)، العنوان الشخصي، الصورة الشخصية، البيانات الأكاديمية، أو أي بيانات تعليمية أو مالية أو وظيفية تتعلق بصاحب البيانات.

 

1. البيانات الحساسة:

فئة خاصة من البيانات الشخصية التي تتعلق بجوانب جوهرية وخاصة للفرد، والتي يُحتمل أن يترتب على معالجتها أو إفشائها دون سند نظامي ضرر بالغ على صاحبها. وتشمل – دون حصر –: البيانات الصحية، والبيانات الجينية، والبيانات البيومترية (السمات الحيوية)، والبيانات المتعلقة بالقناعات الفكرية أو الانتماءات الدينية أو السياسية، والسوابق الجنائية، والبيانات التي تدل على كون الفرد مجهول الأبوين أو أحدهما.

 

1. معالجة البيانات:

أي عملية أو مجموعة عمليات يتم إجراؤها على البيانات الشخصية، سواء بصورة آلية أو يدوية، وتشمل على سبيل المثال لا الحصر: جمع البيانات، تسجيلها، تنظيمها، تخزينها، تعديلها، تحديثها، استرجاعها، استخدامها، مشاركتها، الإفصاح عنها، نقلها، تحليلها، إتلافها، أو إخفاء هويتها. وتشمل المعالجة أيضًا مراقبة البيانات أو ربطها بمصادر أخرى لأغراض إحصائية أو تنظيمية.

 

 

 

رابعًا: البيانات التي يتم جمعها

تلتزم جامعة الحدود الشمالية بجمع الحد الأدنى من البيانات الشخصية اللازمة لتحقيق الأغراض النظامية والإدارية والتعليمية، وذلك على النحو التالي:

1. بيانات التعريف الشخصية:

وتشمل الاسم الكامل، رقم الهوية الوطنية أو الإقامة، تاريخ الميلاد، الجنس، الجنسية، الحالة الاجتماعية، وغيرها من البيانات المماثلة.

 

1. بيانات الاتصال:

مثل عنوان البريد الإلكتروني، رقم الهاتف المحمول، العنوان الوطني، وأي وسيلة تواصل إلكترونية أخرى يقدمها المستخدم.

 

1. البيانات التعليمية والأكاديمية:

وتشمل السجل الأكاديمي، البرامج التعليمية المسجل بها المستخدم، درجات الاختبارات، الإنجازات الأكاديمية، السلوك التعليمي، وخطط الدراسة.

 

1. البيانات المالية:

مثل أرقام الحسابات البنكية، تفاصيل الرواتب أو المكافآت، المعاملات المالية المتعلقة بالرسوم الدراسية، المساعدات والمنح، وأي مدفوعات أخرى.

 

1. البيانات التقنية:

مثل عنوان بروتوكول الإنترنت (IP)، نوع الجهاز المستخدم، نظام التشغيل، نوع المتصفح، ملفات تعريف الارتباط (Cookies)، الموقع الجغرافي التقريبي، وسجلات الاستخدام ووقت الدخول والخروج من الأنظمة والمنصات.

 

 

1. البيانات الحساسة:

والتي قد تشمل معلومات عن الحالة الصحية، الإعاقات، السمات البيومترية، الصور الشخصية أو المرئية أثناء إجراء الاختبارات الإلكترونية، وأي بيانات ذات طبيعة حساسة تتطلب موافقة صريحة أو أساس نظامي لمعالجتها.

 

خامسًا: مصادر جمع البيانات الشخصية

يتم جمع البيانات الشخصية من مصادر متعددة لضمان دقة واكتمال المعلومات، وتشمل ما يلي:

1. المصدر المباشر:

من خلال إدخال المستفيد لبياناته طوعًا عند التسجيل في المنصات الإلكترونية أو عند التقديم على الخدمات التعليمية أو الإدارية أو البحثية.

 

1. الأنظمة الداخلية للجامعة:

مثل نظام القبول والتسجيل، نظام الموارد البشرية، نظم المعلومات الأكاديمية والإدارية، ومنصات التعليم الإلكتروني.

 

1. المنصات الحكومية الرسمية:

مثل منصة "أبشر"، وزارة التعليم، وزارة الموارد البشرية والتنمية الاجتماعية، والمؤسسة العامة للتأمينات الاجتماعية، وغيرها من الجهات الحكومية ذات العلاقة.

 

1. أطراف خارجية أخرى:

بموجب موافقة صريحة من صاحب البيانات، أو استنادًا إلى أساس نظامي أو تعاقدي يجيز مشاركة البيانات أو جمعها من جهات مرخصة أو متعاقدة مع الجامعة.

 

 

 

سادسًا: أغراض استخدام البيانات الشخصية

تُستخدم البيانات الشخصية التي يتم جمعها لتحقيق أهداف محددة ومشروعة تتوافق مع الأنظمة السارية، وتشمل – على سبيل المثال لا الحصر – ما يلي:

• تقديم الخدمات التعليمية والإدارية والبحثية للمستفيدين.

• التحقق من هوية المستخدم وتفعيل صلاحياته في الأنظمة والمنصات.

• تمكين عمليات التسجيل والدخول إلى المنصات الإلكترونية.

• تنفيذ المعاملات المالية، كصرف الرواتب والمكافآت وسداد الرسوم.

• إدارة وتحديث السجلات الأكاديمية والوظيفية.

• تحسين الخدمات التعليمية الرقمية، وتطوير المنصات استنادًا إلى تحليل الاستخدام.

• تهيئة بيئة تعليمية آمنة وموثوقة من خلال أدوات المراقبة الرقمية.

• معالجة الشكاوى والاستفسارات والملاحظات الواردة من المستفيدين.

• دعم اتخاذ القرار المؤسسي من خلال إعداد الإحصائيات والتقارير التحليلية.

• تنفيذ ما تفرضه الأنظمة القضائية والتنظيمية أو المتطلبات الرقابية ذات العلاقة.

 

سابعًا: الأساس النظامي لمعالجة البيانات الشخصية

تستند جامعة الحدود الشمالية في جمع ومعالجة البيانات الشخصية إلى أحد أو أكثر من الأسس النظامية الآتية، وفقًا لما نص عليه نظام حماية البيانات الشخصية السعودي (الصادر بالمرسوم الملكي م/19) ولائحته التنفيذية، وما تقضي به الأنظمة ذات العلاقة:

1. الموافقة الصريحة:

الحصول على موافقة مسبقة وصريحة من صاحب البيانات قبل جمع أو معالجة بياناته، متى لم يكن هناك أساس نظامي آخر يجيز المعالجة دون الحاجة للموافقة.

 

1. الالتزام بالأنظمة والتشريعات:

وتشمل - على سبيل المثال لا الحصر -:

• نظام الجامعات الصادر بالمرسوم الملكي (م/27).

• نظام حماية البيانات الشخصية (م/19) المعدل بالمرسوم الملكي (م/148).

• اللوائح والسياسات الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) والهيئة الوطنية للأمن السيبراني (NCA).

 

1. تحقيق مصلحة عامة أو أداء مهمة رسمية:

في حال كانت المعالجة ضرورية لتنفيذ اختصاصات الجامعة كمؤسسة تعليمية حكومية، أو لتحقيق منفعة عامة في إطار السياسات التعليمية أو البحثية أو التقنية.

 

1. تنفيذ عقد مبرم مع صاحب البيانات:

ويشمل ذلك تنفيذ أي التزامات ناتجة عن علاقة تعاقدية بين الجامعة والمستفيد، سواء أكانت تعليمية، وظيفية، أو بحثية.

 

1. الامتثال لمتطلبات قضائية أو أمنية:

في حال اقتضت الحاجة مشاركة البيانات أو معالجتها امتثالًا لأوامر قضائية أو تعليمات صادرة عن جهات أمنية مختصة ذات صلاحية نظامية.

 

ثامنًا: حماية البيانات الشخصية

تضع جامعة الحدود الشمالية حماية البيانات الشخصية للمستفيدين في مقدمة أولوياتها، وتتبنى نهجًا شاملاً لحماية البيانات يقوم على مزيج من الإجراءات الإدارية، والتقنية، والتنظيمية، وذلك على النحو الآتي:

1. التقيد بضوابط الأمن السيبراني الوطنية:

تلتزم الجامعة بتطبيق السياسات والضوابط الصادرة عن الهيئة الوطنية للأمن السيبراني، لضمان أعلى درجات الحماية لأنظمتها الرقمية.

 

 

1. تطبيق مبدأ الحد الأدنى من الوصول: 

يُمنح الوصول إلى البيانات الشخصية فقط للموظفين المخولين رسميًا، والذين تتطلب طبيعة مهامهم الوظيفية الاطلاع عليها.

 

1. التشفير أثناء النقل والتخزين:

يتم استخدام تقنيات التشفير المتقدمة لضمان سرية البيانات أثناء نقلها عبر الشبكات أو تخزينها في قواعد البيانات.

 

1. المراقبة الأمنية المستمرة:

تتم مراقبة الأنظمة والخوادم والبوابات الرقمية بشكل دائم، وتُجرى اختبارات واختراقات دورية لرصد أي تهديدات محتملة أو ثغرات أمنية.

 

1. التحديث الأمني المنتظم:

تخضع البرمجيات والمنصات لأنظمة تحديث دورية لتصحيح الثغرات وإغلاق أية نوافذ محتملة للاختراق.

 

تاسعًا: مشاركة البيانات الشخصية

قد تضطر الجامعة – وفق الضوابط النظامية – إلى مشاركة بياناتك الشخصية مع أطراف محددة في نطاق واضح ومحدد، وبما لا يخل بمبدأ السرية والخصوصية، وذلك على النحو التالي:

1. الجهات الحكومية الرسمية:

مثل الوزارات، الهيئات الرقابية، ومؤسسات الدولة ذات العلاقة، وذلك في حدود المهام الموكلة لها نظامًا.

 

 

 

1. الجهات التعليمية أو البحثية الشريكة:

عند وجود اتفاقيات تعاون مشترك تهدف إلى تطوير البرامج الأكاديمية أو تنفيذ مشاريع بحثية ذات طابع مؤسسي.

 

1. مزودو الخدمات التشغيلية والتقنية:

والذين يتولون تشغيل أو دعم بعض المنصات الرقمية الخاصة بالجامعة، على أن يتم توقيع اتفاقيات ملزمة لحماية البيانات وفقًا لمعايير الأمن والخصوصية.

 

1. شركاء التوظيف والتدريب:

بموافقة صاحب البيانات، قد تشارك الجامعة بعض البيانات الشخصية مع جهات مختصة لأغراض التدريب التعاوني أو عرض فرص وظيفية للمستفيدين.

 

1. الجهات القضائية أو الأمنية:

إذا استوجب الأمر الإفصاح عن البيانات تنفيذًا لأمر قضائي أو تحقيق جنائي أو توجيه صادر عن جهة أمنية ذات صلاحية.

 

تنويه : لا تتم مشاركة بياناتك الشخصية مع أي جهات تجارية أو أطراف ثالثة غير مصرح لها أو لا تمتلك الأساس النظامي أو التعاقدي الذي يجيز تلك المشاركة، وتلتزم الجامعة بعدم استغلال بياناتك لأي أغراض تسويقية أو إعلانية دون إذن منك.

 

عاشرًا: تخزين البيانات الشخصية ومدة الاحتفاظ بها

1. مكان التخزين:

تُخزَّن جميع البيانات الشخصية التي تجمعها جامعة الحدود الشمالية في خوادم محلية داخل المملكة العربية السعودية، ضمن بيئة تقنية آمنة، معزولة، ومحمية وفقًا للضوابط الصادرة عن الهيئة الوطنية للأمن السيبراني (NCA) وهيئة البيانات والذكاء الاصطناعي (SDAIA).

1. مدة الاحتفاظ:

تحتفظ الجامعة بالبيانات الشخصية فقط للمدة اللازمة لتحقيق الأغراض التي جُمعت من أجلها، أو بحسب ما تقتضيه الأنظمة ذات العلاقة، أو ما تفرضه الاتفاقيات الموقعة مع الجهات التنظيمية أو التعليمية أو التعاقدية.

 

1. إجراءات الحذف أو الإخفاء:

عند انتهاء الحاجة النظامية أو المؤسسية من البيانات، يتم اتخاذ أحد الإجراءات التالية:

• الحذف الآمن: إزالة البيانات بشكل نهائي من الأنظمة وقواعد البيانات، بما يمنع استعادتها.

• إخفاء الهوية (Anonymization): تحويل البيانات إلى شكل لا يمكن من خلاله التعرف على هوية صاحبها، بشكل مباشر أو غير مباشر.

• إعادة البيانات إلى صاحبها أو إلى الجهة المختصة، في حال وجود مبرر نظامي بذلك.

 

الحادي عشر: حقوق أصحاب البيانات

بموجب نظام حماية البيانات الشخصية، يتمتع صاحب البيانات بعدد من الحقوق النظامية، التي تلتزم الجامعة بضمانها وتيسير الوصول إليها، وهي:

1. الحق في العلم:

الاطلاع على طبيعة البيانات التي تم جمعها، وأغراض المعالجة، والمبرر النظامي لها.

 

1. الحق في الوصول:

طلب نسخة من البيانات الشخصية المحفوظة لدى الجامعة، بصيغة واضحة ومقروءة.

 

1. الحق في التصحيح أو التحديث:

طلب تعديل أي بيانات غير دقيقة أو ناقصة أو لم تعد محدثة.

 

 

1. الحق في الحذف (الإتلاف):

طلب حذف البيانات التي لم تعد هناك حاجة للاحتفاظ بها، أو التي لا يوجد لها مبرر نظامي أو تعاقدي.

 

1. الحق في سحب الموافقة:

سحب الموافقة المسبقة على معالجة البيانات، في أي وقت، على ألا يؤثر ذلك على قانونية المعالجة السابقة للسحب.

 

1. الحق في تقديم الشكوى:

التقدم بشكوى رسمية في حال:

• استخدام البيانات دون إذن.

• مخالفة الأنظمة أو السياسات.

• حدوث تسرب أو اختراق للبيانات.

 

1. آلية التواصل وممارسة الحقوق:

   • سيتم إخطار جميع المستفيدين بأي تعديل جوهري على السياسة من خلال:

   • إشعارات عبر البريد الإلكتروني الجامعي الرسمي.

   • نشر التحديثات على المنصات الرقمية الرسمية للجامعة.

جميع الطلبات المتعلقة بحقوقك تُقدَّم إلى البريد الإلكتروني الآتي:
DMO@nbu.edu.sa
وتلتزم الجامعة بالرد خلال مدة لا تتجاوز 30 يومًا من تاريخ استلام الطلب، مع إمكانية التمديد في حالات استثنائية مبررة تُخطر بها صاحب الطلب مسبقًا.

 

الثاني عشر: نقل البيانات خارج المملكة

يجوز للجامعة، عند الضرورة، نقل البيانات الشخصية إلى خارج المملكة العربية السعودية، شريطة أن يكون النقل:

• ضروريًا لتحقيق مصلحة تعليمية، بحثية، أو وظيفية مشروعة.

• متوافقًا مع الأنظمة المحلية، ولا يشكل مخالفة للتشريعات المعمول بها في المملكة.

• مرخصًا من الجهة التنظيمية المختصة، لا سيما هيئة البيانات والذكاء الاصطناعي (SDAIA).

• خاضعًا لضمانات حماية كافية، مثل:

  • توقيع اتفاقيات نقل بيانات.

  • تقييد المعالجة بالحد الأدنى.

  • ضمان عدم إعادة مشاركة البيانات بدون إذن.

 

الثالث عشر: التعديلات على سياسة الخصوصية

تحتفظ جامعة الحدود الشمالية بحق تحديث أو تعديل هذه السياسة في أي وقت، لضمان توافقها مع:

• المستجدات التقنية أو الإدارية أو النظامية.

• التوصيات الصادرة عن الجهات الرقابية والتنظيمية.

• التغيرات في ممارسات الجامعة التشغيلية.

• إشعار المستخدمين:

 

الرابع عشر: التواصل والاستفسارات

لأي استفسار يتعلق بسياسة الخصوصية، أو لممارسة أي من الحقوق المنصوص عليها أعلاه، أو لتقديم بلاغ أو شكوى بشأن استخدام أو تسرب أو إساءة استخدام بياناتك الشخصية، يرجى التواصل مع:

مسؤول حماية البيانات الشخصية - مكتب إدارة البيانات
DMO@nbu.edu.sa

وسيتم التعامل مع كافة المراسلات بسرية تامة، وفق الإجراءات المعتمدة، وضمان الرد خلال المدة النظامية المحددة.