القواعد المنظمة لإصدار شهادات الاعتماد في حماية البيانات الشخصية

​تكون للألفاظ والعبارات الواردة في هذه القواعد المعاني المبينة لها أمام كل منها في المادة (الأولى) من نظام حماية البيانات الشخصية الصادر بالمرسوم الملكي رقم (م/19) وتاريخ 1443/2/9هـ وتعديلاته، والمادة (الأولى) من اللائحة التنفيذية لنظام حماية البيانات الشخصية ولائحة نقل البيانات الشخصية إلى خارج المملكة، ويُقصد بالألفاظ والعبارات الآتية -أينما وردت في هذه القواعد - المعاني المبينة أمام كل منها، ما لم يقتضِ السياق خلاف ذلك: 

1. القواعد: القواعد المنظمة لإصدار شهادات الاعتماد.

2. الجهة المرخص لها: هي الجهة المصرح لها من قبل الجهة المختصة بممارسة نشاط إصدار شهادات الاعتماد لمقدم الطلب.

3. مقدم الطلب: جهة التحكم أو جهة المعالجة - سواء كانت تمارس نشاطها داخل أو خارج المملكة- التي تتقدم بطلب للحصول على شهادة اعتماد من قبل جهة مرخص لها.

4. شهادات الاعتماد: شهادة تصدرها الجهة المرخص لها لمقدم الطلب تتضمن التأكيد على أن الممارسات والإجراءات التي يتم اتباعها لدى مقدم الطلب عند معالجة البيانات الشخصية متوافقة مع أحكام النظام واللوائح، والمتطلبات المنصوص عليها في هذه القواعد.

5. تقرير التقييم: تقرير يُعد من الجهة المرخص لها يتضمن نتائج تقييم الممارسات والإجراءات المتبعة لدى مقدم الطلب عند معالجة البيانات الشخصية في ضوء أحكام النظام واللوائح.

6. المنصة الخاصة بالجهة المختصة: منصة إلكترونية تابعة للجهة المختصة تهدف إلى تقديم الخدمات الداعمة لتطبيق أحكام النظام واللوائح.

​​​تطبق هذه القواعد على الجهات المشمولة في نطاق تطبيق أحكام نظام حماية البيانات الشخصية التي تتقدم بطلب شهادة الاعتماد من الجهة المرخص لها، وتهدف إلى:

1. رفع مستوى أداء الجهات المشمولة بتطبيق النظام في الجوانب المتعلقة بممارسات وإجراءات حماية البيانات الشخصية.

2. تعزيز ثقة أصحاب البيانات الشخصية بجهات التحكم وجهات المعالجة بالممارسات والإجراءات المتبعة في التعامل مع البيانات الشخصية.​

​على مقدم الطلب استيفاء الشروط الآتية:​

1. أن تكون أنشطة معالجة البيانات الشخصية المتبعة لدى مقدم الطلب تمت وفقاً لممارسات وإجراءات متوافقة مع أحكام النظام واللوائح، بناءً على تقييم تجريه الجهة المرخص لها؛ وفقاً لما يصدر من الجهة المختصة في هذا الشأن.

2. الإفصاح عن أي شكاوى سابقة على مقدم الطلب ناشئة من تطبيق أحكام النظام واللوائح والتأكيد على عدم وجود شكاوى قائمة أثناء مدة تقديم طلب شهادة الاعتماد.

3. الإفصاح عن أي مخالفات لأحكام النظام أو اللوائح تم رصدها مُسبقاً من قبل الجهة المختصة.

وللجهة المختصة اتخاذ ما يلزم من إجراءات للتحقق من استيفاء الاشتراطات المنصوص عليها في هذه المادة، إضافةً إلى التحقق من عدم وجود إجراءات استدلال قائمة في شأن اشتباه بمخالفة مقدم الطلب لأحكام النظام أو اللوائح.​

​​​يجب أن يتوافر لدى مقدم الطلب ما يأتي:

1. الأدوات التقنية الداعمة للقيام بأنشطة معالجة البيانات الشخصية وحمايتها وفقاً لأحكام النظام واللوائح، إضافةً إلى القيام بذلك من قبل عاملين مؤهلين نظامياً وتقنياً وتتحقق لديهم خبرات في الجوانب النظامية لحماية البيانات الشخصية والجوانب التقنية لإجراءات وممارسات حماية البيانات الشخصية، بما لا يقل عن (5) سنوات من ممارسة العمل في هذه المجالات.

2. وثائق معتمدة توضح الإجراءات والوسائل التنظيمية والإدارية والتقنية والممارسات المتبعة عند معالجة البيانات الشخصية، بما في ذلك التدابير المتبعة لضمان أمن البيانات الشخصية.

3. أي متطلبات أخرى تحددها الجهة المرخص لها، بما يتفق مع أحكام النظام واللوائح، وما تصدره الجهة المختصة في شأن الالتزام بأحكام النظام واللوائح.​

​1. على مقدم الطلب التحقق من قائمة الجهات المرخص لها والمنشورة على المنصة الخاصة بالجهة المختصة.

2. أن يتم تقديم نسخة من الوثائق الداعمة للاشتراطات وللمتطلبات المنصوص عليها في المادة (الثالثة) و(الرابعة) من هذه القواعد.

3. أن يتم استيفاء أي متطلبات أخرى -تتعلق بإجراءات تقديم الطلب والوسائل والقنوات المعتمدة لذلك- تُقرر الجهة المختصة إضافتها؛ وفقاً لأحكام النظام واللوائح.​

​​​1. تقوم الجهة المرخص لها بتقييم الطلب وفقاً للمتطلبات المنصوص عليها في المادة (الثالثة) و(الرابعة) من هذه القواعد، على أن تتم دراسة الطلب وإصدار تقرير التقييم خلال مدة أقصاها (90) يوم عمل من تاريخ استلامه، وإشعار مقدم الطلب بنتيجة التقييم موثقةً وأسبابه.

2. في حال رفض الطلب، يجوز لمقدم الطلب إعادة تقديم الطلب مرة أخرى بعد معالجة أسباب عدم قبول طلب إصدار شهادة الاعتماد.

3. في حال قبول الطلب، تصدر الجهة المرخص لها شهادة الاعتماد، وتزود مقدم الطلب بنسخة من نتيجة تقرير التقييم.​

​يتم إصدار شهادة الاعتماد وفق الحد الأدنى للعناصر الفنية الآتية:

1. رقم شهادة الاعتماد.

2. بيانات الجهة التي صدر لها شهادة الاعتماد ووسيلة التواصل معها.

3. تاريخ إصدار شهادة الاعتماد وفترة سريانها.

4. بيانات الجهة المرخص لها بمنح شهادة الاعتماد ووسيلة التواصل معها.​

وللجهة المختصة تحديد أي عناصر إضافية لإصدار شهادة الاعتماد.​

​​​1. تلتزم الجهة التي صدر لها شهادة الاعتماد بالعمل على تدريب وتطوير العاملين المعنيين بشكل مستمر في مجالات معالجة البيانات الشخصية وفقاً لأحكام النظام واللوائح، ودعمهم في الحصول على شهادات مهنية في هذا المجال لضمان رفع كفاءتهم.

2. يجب على الجهة التي صدر لها شهادة الاعتماد إشعار الجهة المرخص لها في حال عدم تمكنها من الالتزام بأيَ من أحكام النظام واللوائح أو أي من الاشتراطات والمتطلبات المنصوص عليها في المادة (الثالثة) و(الرابعة) من هذه القواعد، على أن تقوم الجهة المرخص لها بإعادة تقييم مدى ملاءمة حصول الجهة على شهادة الاعتماد.

3. في حال حصلت جهة خارج المملكة على شهادة الاعتماد، تلتزم الجهة بإشعار الجهة المرخص لها في حال وجود أي تغيير في المتطلبات النظامية أو الممارسات لدى الدولة تتعارض مع أي من اشتراطات ومتطلبات الحصول على شهادة الاعتماد المنصوص عليها في المادة (الثالثة) و(الرابعة) من هذه القواعد.

4. تلتزم الجهة المرخص لها بإجراء عمليات تدقيق وتقييم -مرة واحدة سنوياً أو متى دعت الحاجة إلى ذلك- لضمان التزام الجهة التي صدر لها شهادة الاعتماد بأحكام النظام واللوائح والاشتراطات والمتطلبات المنصوص عليها في المادة (الثالثة) والمادة (الرابعة) من هذه القواعد.

5. للجهة المختصة توجيه الجهة المرخص لها بإعادة تقييم مدى ملاءمة استمرار سريان شهادة الاعتماد في حال مخالفة الجهة الحاصلة على شهادة الاعتماد لأي من أحكام النظام واللوائح أو الاشتراطات والمتطلبات المنصوص عليها في المادة (الثالثة) و(الرابعة) من هذه القواعد.

6. تلتزم جهة المعالجة التي خارج المملكة إذا صدر لها شهادة الاعتماد بموجب هذه القواعد، بالتعاون مع الجهة المختصة والجهة المرخص لها حيال أي طلبات متعلقة بنظام حماية البيانات الشخصية ولوائحه التنفيذية وهذه القواعد.

​​​تُمنح شهادة الاعتماد من قبل الجهة المرخص لها لمدة (سنتين) تبدأ من تاريخ الإصدار.​

​​​للجهة التي صدر لها شهادة اعتماد التقدم بطلب تجديدها من الجهة المرخص لها خلال مدة لا تقل عن (30) يوم عمل سابقة لتاريخ انتهائها، على أن تتم الموافقة على التجديد بعد التأكد من توافر الاشتراطات والمتطلبات الواردة في المادة (الثالثة) و(الرابعة) من هذه القواعد، وتكون مدة شهادة الاعتماد عند التجديد مماثلة لمدة سريان الشهادة عند إصدارها.

​​1. للجهة المرخص لها سحب شهادة الاعتماد في الأحوال الآتية:

    أ. عدم التزام الجهة التي صدر لها شهادة الاعتماد بالاشتراطات والمتطلبات الواردة في المادة (الثالثة) و(الرابعة) من هذه القواعد، أو بأحكام النظام واللوائح، أو ما تصدره الجهة المختصة أو الجهة المرخص لها من تعليمات فيما يتعلق بشهادة الاعتماد.

   ب. قيام الجهة التي صدر لها شهادة الاعتماد بتزويد الجهة المرخص لها بمعلومات خاطئة أو عدم إفصاحها عن معلومات كان عليها الإفصاح عنها لأغراض الحصول على شهادة الاعتماد.

2. للجهة المختصة إشعار الجهة المرخص لها بسحب شهادة الاعتماد إذا تبين لها أن الجهة التي صدر لها شهادة الاعتماد خالفت أياً مما ورد في الفقرة الفرعية (أ) من الفقرة (1) من هذه المادة.

3. تشعر الجهة المرخص لها الجهة التي سحب شهادة الاعتماد منها بمسببات السحب، وللجهة الاعتراض لدى الجهة المرخص لها خلال مدة (30) يوم عمل من تاريخ السحب أو تعديل أوضاعها وتقديم ما يثبت ذلك في حال كان سحب الشهادة وفقاً لما ورد في الفقرة الفرعية (أ) من الفقرة (1) من هذه المادة.

4. على الجهة التي تم سحب شهادة الاعتماد منها التوقف فوراً عن استخدامها، كما تلتزم بخطة معالجة كافة العواقب التي قد تنشأ عن السحب.

5. تكون شهادة الاعتماد الصادرة لأي من الجهات بموجب هذه القواعد ملغاة في الأحوال الآتية:

    أ. تحوَل الكيان النظامي للجهة العامة.

   ب. انقضاء الكيان النظامي للشركة؛ وفقاً لما ورد في نظام الشركات.

   ج. تحوَل الشركات أو اندماجها أو تقسيمها؛ وفقاً لما ورد في نظام الشركات.

​​​يلتزم منسوبو الجهة المرخص لها بالإفصاح عن أي تعارض فعلي أو محتمل في المصالح مع مقدم الطلب.​

​​تنشر الجهة المختصة والجهة المرخص لها على مواقعها الإلكترونية قائمة بالجهات التي صدر لها شهادة الاعتماد، بما يشمل مدة سريان الشهادة وبيانات التواصل الرسمية الخاصة بكل جهة صدر لها شهادة اعتماد.​

​​​للجهة المختصة – عند الاقتضاء- مراجعة هذه القواعد ولها إجراء أي تعديل أو تحديث عليها.​

​​​يُعمل بهذه القواعد أو أي تعديل أو تحديث يجرى عليها من تاريخ نشرها في الموقع الرسمي للجهة المختصة.​