قواعد تعيين مسؤول حماية البيانات الشخصية

​​1-    يُقصد بالألفاظ والعبارات الواردة في هذه القواعد المعاني المبينة لها أمام كل منها في المادة الأولى من نظام حماية البيانات الشخصية - ويشار إليه فيما بما يلي بـ "النظام"- الصادر بالمرسوم الملكي رقم (م/19) وتاريخ 9/2/1443هـ والمعدل بموجب المرسوم الملكي رقم (م/148) وتاريخ 5/9/1444هـ، والمادة الأولى من اللائحة التنفيذية لنظام حماية البيانات الشخصية ما لم يرد لها تعريف خاص في هذه القواعد.

2-    يُقصد بالألفاظ والعبارات الآتية -أينما وردت في هذه القواعد - المعاني المبينة أمام كل منها، ما لم يقتضِ السياق خلاف ذلك:

الجهة المختصة: الهيئة السعودية للبيانات والذكاء الاصطناعي

 ​

جهة التحكم: أي جهة عامة، وأي شخصية ذات صفة طبيعية أو اعتبارية خاصة؛ تحدد الغرض من معالجة البيانات الشخصية وكيفية ذلك؛ سواء أباشرت معالجة البيانات الشخصية بوساطتها أم بوساطة جهة المعالجة.

مسؤول حماية البيانات الشخصية: أي شخص طبيعي يتم تعيينه من قبل جهة التحكم يكون مسؤولا عن حماية البيانات الشخصية، ومراقبة الاجراءات المعمول بها داخل جهة التحكم والإشراف عليها لضمان التزامها بأحكام النظام ولوائحه، وتلقي الطلبات المتعلقة بالبيانات الشخصية وفقًا لأحكام النظام ولوائحه.

​تهدف هذه القواعد إلى الآتي: 

1-    وضع الحد الأدنى من متطلبات تعيين مسؤول حماية البيانات الشخصية.

2-    ايضاح المفاهيم المتعلقة بالأحوال التي يجب فيها على جهة التحكم تعيين مسؤول حماية البيانات الشخصية.​

​​تطبق هذه القواعد على جميع جهات التحكم المشمولة بتطبيق أحكام نظام حماية البيانات الشخصية ولوائحه التنفيذية.                            ​

​1.  يجب على جهة التحكم عند تعيين مسؤول حماية البيانات الشخصية أن تتأكد من توافر المتطلبات الآتية:

             أ-   توفر المؤهل العلمي المناسب والخبرة في مجال حماية البيانات الشخصية.

            ‌ب-    معرفة كافية بالأعمال والأنشطة التي تتضمن معالجة بيانات شخصية لدى جهة التحكم.

            ج-   معرفة كافية بمعالجة مخاطر تسرب البيانات الشخصية.

            د-   معرفة كافية بالمتطلبات النظامية لحماية البيانات الشخصية والتنظيمية الأخرى ذات الصلة للقيام بمهام مسؤول حماية البيانات الشخصية.

            ‌ه-   الأمانة والنزاهة وألا يكون قد أدين بأي جريمة مخلة بالشرف والأمانة.

   2.  يجوز أن يكون مسؤول حماية البيانات الشخصية مسؤولًا أو موظفًا لدى جهة التحكم أو متعاقدًا خارجيًا.​

   3.  يجوز للجهة المختصة طلب استبدال مسؤول حماية البيانات الشخصية في حال تبين لها عدم كفاءته.​

​​​أولاً: يجب على جهة التحكم تعيين أو تحديد شخصًا أو أكثر ليكون مسؤولا عن حماية البيانات الشخصية في أي من الأحوال الآتية:

1.     في حال كانت جهة التحكم جهة عامة تقدم خدمات تتضمن معالجة بيانات شخصية على نطاق واسع.

2.     أن تقوم الأنشطة الأساسية لجهة التحكم على عمليات المعالجة التي تتطلب بطبيعتها مراقبة منتظمة وممنهجة لأصحاب البيانات الشخصية.

3.     أن تقوم الأنشطة الأساسية لجهة التحكم على معالجة بيانات حساسة.

ثانياً: المقصود بمعالجة البيانات الشخصية على نطاق واسع:

1.     عمليات المعالجة التي تستهدف مجموعة كبيرة من أصحاب البيانات الشخصية.

2.     عمليات المعالجة التي تستهدف مجموعة ضخمة من البيانات الشخصية.

3.     معالجة مجموعة مختلفة من فئات أصحاب البيانات الشخصية.

ثالثاً: المقصود بالمراقبة المنتظمة والممنهجة لأصحاب البيانات الشخصية:

معالجة مستمرة من خلال مراقبة وتتبع وتنميط أصحاب البيانات الشخصية بهدف تحسين أو تسويق الخدمات والمنتجات.

ولا تشكل الأنشطة التي تدعم الأعمال الرئيسية لجهة التحكم أنشطة أساسية؛ مثل معالجة طلبات التوظيف ودفع الرواتب وغيرها من الأنشطة الداعمة داخل جهة التحكم.​​

1.     يجب تعيين مسؤول حماية البيانات الشخصية كتابياً من خلال توثيق تعيين مسؤول حماية البيانات الشخصية في حال كان موظف لدى جهة التحكم أو متعاقداً خارجياً.

2.     يجب أن يتم الإعلان فوراً داخل جهة التحكم عن تعيين مسؤول حماية البيانات الشخصية ووسيلة التواصل معه.

​1.     على جهة التحكم إتاحة بيانات التواصل الخاصة بمسؤول حماية البيانات الشخصية لأصحاب البيانات الشخصية – عنوان البريد الإلكتروني ورقم الهاتف - بصورة واضحة ومتاحة في سياسة الخصوصية.

2.     على جهة التحكم تزويد الجهة المختصة ببيانات التواصل مع مسؤول حماية البيانات الشخصية على الفور عند تعيينه، وذلك من خلال منصة حوكمة البيانات الوطنية، على أن تتضمن هذه التفاصيل الاسم وتفاصيل الاتصال به، بما في ذلك عنوان البريد الإلكتروني ورقم الهاتف.

​على مسؤول حماية البيانات الشخصية القيام بالمهام المشار إليها في الفقرة رقم (3) من المادة الثانية والثلاثون من اللائحة التنفيذية للنظام، بالإضافة إلى المهام الآتية:

1.     تقديم الدعم والمشورة فيما يتعلق بجميع جوانب حماية البيانات الشخصية بما في ذلك المساهمة في تطوير السياسات والإجراءات الداخلية المتعلقة بحماية البيانات الشخصية داخل جهة التحكم.

2.     المشاركة في الأنشطة التوعوية وتدريب ونقل المعرفة لمنسوبي جهة التحكم فيما يتعلق بحماية البيانات الشخصية والالتزام بأحكام النظام واللوائح وأخلاقيات التعامل مع البيانات.

3.     المساهمة في مراجعة خطط الاستجابة لحوادث تسرب البيانات الشخصية والتأكد من مناسبتها وفعاليتها.

4.     إعداد تقارير دورية حيال أنشطة جهة التحكم المتعلقة بمعالجة البيانات الشخصية وتقديم التوصيات بشأنها لضمان الالتزام بأحكام النظام ولوائحه.

5.     المحافظة على سرية البيانات الشخصية ودرجة حساسيتها بحسب مستوى تصنيفها ووفقاً للمتطلبات التنظيمية ذات العلاقة، وذلك لتحديد مستوى الحماية المناسب لها وآلية معالجتها.

6.     متابعة ما يصدر عن الجهة المختصة من أنظمة ولوائح وتعليمات وما في حكمها وأي تعديلات تجرى عليها وإحاطة الإدارات ذات العلاقة بذلك لضمان الالتزام بها.

7.     المشاركة مع الأشخاص المسؤولين عن تنفيذ الأنشطة المتعلقة بأخلاقيات الذكاء الاصطناعي لضمان توفر متطلبات حماية البيانات الشخصية وخصوصية أصحابها.​​

​1.     يجب على جهات التحكم مراجعة أحوال تعيين مسؤول حماية البيانات الشخصية بشكل دوري وما إذا كان لا يزال أو من المحتمل أن يصبح إلزامياً وفقاً لأحكام هذه القواعد.

2.     عند إبرام اتفاقية بين جهة التحكم وجهة المعالجة بغرض معالجة البيانات الشخصية لمصلحة جهة التحكم ونيابةَ عنها، لجهة التحكم التحقق من توافر مسؤول حماية بيانات شخصية لدى جهة المعالجة أو طلب تعيينه في الحالات التي تتطلب تعيين مسؤول حماية البيانات الشخصية وذلك بهدف التأكد من توفر الضمانات اللازمة لتنفيذ أحكام النظام واللوائح.

3.     يجب على جهة التحكم عند تعيين مسؤول حماية البيانات الشخصية عدم تكليفه بمهام قد تتعارض مع مهامه كمسؤول حماية البيانات الشخصية أو تؤثر على استقلاليته.

4.     يجب على جهة التحكم العمل على تدريب وتطوير مسؤولي حماية البيانات الشخصية في مجالات حماية البيانات الشخصية ودعمهم في الحصول على شهادات مهنية في هذا المجال لضمان رفع كفاءتهم.​

​​تقوم الجهة المختصة بمراجعة هذه القواعد - عند الاقتضاء- ولها اجراء أي تعديل أو تحديث عليها.​

​يُعمل بهذه القواعد اعتباراً من تاريخ النشر في موقع الجهة المختصة الرسمي.​