‏برنامج مشاهدة محتويات الانترنت‏

المركز المعرفي

التصنيفات الرئيسية
السياسات والأنظمة الادلة الاجرائية والاسترشادية الأدلة والقواعد الاسئلة الشائعة لنظام حماية البيانات الشخصية

قواعد تعيين مسؤول حماية البيانات الشخصية

المقدمة

أصدرت الهيئة السعودية للبيانات والذكاء الاصطناعي هذه القواعد استناداً إلى الفقرة (2) من المادة الثلاثون من نظام حماية البيانات الشخصية الصادر بالمرسوم الملكي رقم (م/19) وتاريخ 9/2/1443هـ والمعدل بموجب المرسوم الملكي رقم (م/148) وتاريخ 5/9/1444هـ والفقرة (4) من المادة الثانية والثلاثون من اللائحة التنفيذية للنظام.

المادة الأولى: التعريفات

  1. يُقصد بالألفاظ والعبارات الواردة في هذه القواعد المعاني المبينة لها أمام كل منها في المادة الأولى من نظام حماية البيانات الشخصية -ويشار إليه فيما يلي بـ "النظام"- الصادر بالمرسوم الملكي رقم (م/19) وتاريخ 9/2/1443هـ والمعدل بموجب المرسوم الملكي رقم (م/148) وتاريخ 5/9/1444هـ، والمادة الأولى من اللائحة التنفيذية لنظام حماية البيانات الشخصية ما لم يرد لها تعريف خاص في هذه القواعد.
  2. يُقصد بالألفاظ والعبارات الآتية -أينما وردت في هذه القواعد- المعاني المبينة أمام كل منها، ما لم يقتضِ السياق خلاف ذلك:

الجهة المختصة: الهيئة السعودية للبيانات والذكاء الاصطناعي.
مسؤول حماية البيانات الشخصية: شخص طبيعي أو أكثر يتم تعيينه أو تحديده من قبل جهة التحكم يتولى متابعة تنفيذ جهة التحكم لأحكام النظام ولوائحه التنفيذية، ومراقبة الإجراءات المعمول بها داخل جهة التحكم والإشراف عليها، وتلقي الطلبات المتعلقة بالبيانات الشخصية وفقاً لأحكام النظام ولوائحه التنفيذية.
الأنشطة الأساسية: الأنشطة التي تجريها جهة التحكم لتحقيق أهدافها الرئيسية.

المادة الثانية: الغرض

تهدف هذه القواعد إلى الآتي:

  1. وضع الحد الأدنى من متطلبات تعيين مسؤول حماية البيانات الشخصية.
  2. إيضاح المفاهيم المتعلقة بالأحوال التي يجب فيها على جهة التحكم تعيين مسؤول حماية البيانات الشخصية.
  3. تحديد أدوار ومهام مسؤول حماية البيانات الشخصية.

المادة الثالثة: النطاق

تطبق هذه القواعد على جميع جهات التحكم المشمولة بتطبيق أحكام نظام حماية البيانات الشخصية ولوائحه التنفيذية.

المادة الرابعة: متــطـلبـــات تعيين مســــــؤول حمــــاية البيانات الشخصية

  1. يجب على جهة التحكم عند تعيين مسؤول حماية البيانات الشخصية أن تتأكد من توافر المتطلبات الآتية:
    ‌أ-توفر المؤهل العلمي المناسب والخبرة في مجال حماية البيانات الشخصية.
    ‌ب- معرفة كافية بممارسات إدارة المخاطر بما يشمل إدارة حوادث تسرب البيانات الشخصية ومعالجتها.
    ‌ج-معرفة كافية بالمتطلبات النظامية لحماية البيانات الشخصية والتنظيمية الأخرى ذات الصلة للقيام بمهام مسؤول حماية البيانات الشخصية.
    ‌د-الأمانة والنزاهة وألا يكون قد أدين بأي جريمة مخلة بالشرف والأمانة.
  2. يجوز أن يكون مسؤول حماية البيانات الشخصية مسؤولًا أو موظفًا لدى جهة التحكم أو متعاقدًا خارجيًا.

المادة الخامسة: أحـــــوال تعـييـن مســــــؤول حمــــــاية البيانات الشخصية

أولاً: يجب على جهة التحكم تعيين أو تحديد شخصًا أو أكثر ليكون مسؤولا عن حماية البيانات الشخصية في أي من الأحوال الآتية:

  1. في حال كانت جهة التحكم جهة عامة تقدم خدمات تتضمن معالجة بيانات شخصية على نطاق واسع.
  2. أن تقوم الأنشطة الأساسية لجهة التحكم على عمليات المعالجة التي تتطلب بطبيعتها مراقبة منتظمة وممنهجة لأصحاب البيانات الشخصية.
  3. أن تقوم الأنشطة الأساسية لجهة التحكم على معالجة بيانات حساسة.

ثانياً: يتم تحديد ما إذا كانت المعالجة على نطاق واسع من خلال المعايير التالية:

  1. عدد أصحاب البيانات الشخصية.
  2. حجم البيانات الشخصية.
  3. نوع البيانات الشخصية.
  4. النطاق الجغرافي للمعالجة.
  5. مجموعة مختلفة من فئات أصحاب البيانات الشخصية.

ثالثاً: المقصود بالمراقبة المنتظمة والممنهجة لأصحاب البيانات الشخصية:

  1. جمع البيانات الشخصية باستخدام تقنيات التتبع أو غيرها من التقنيات الأخرى.
  2. تعد المراقبة منتظمة إذا كانت مستمرة أو إذا حدثت على فترات زمنية محددة أو إذا كانت تحدث بشكل دوري.
  3. تعد المراقبة ممنهجة إذا حدثت عن طريق أنظمة تقنية أو كانت وفقاً لمنهجية محددة أو جرى تنفيذها كجزء من استراتيجية شاملة أو خطة عامة لجمع البيانات الشخصية.

رابعاً: تعد الأنشطة التالية أمثلة على المراقبة المنتظمة والممنهجة:

  1. جمع البيانات الشخصية المتعلقة بالصحة واللياقة البدنية باستخدام الأجهزة القابلة للارتداء.
  2. استخدام تقنيات التحليل السلوكي لأغراض تقييم المخاطر.
  3. تتبع الموقع وملفات تعريف الارتباط وكاميرات المراقبة.

خامساً: يعد في حكم الأنشطة الأساسية في حال لم تتمكن جهة التحكم من تقديم منتجات أو خدمات دون معالجة البيانات الشخصية، ومن الأمثلة على الأنشطة الأساسية ما يلي:

  1. شركات التأمين التي تعالج البيانات الصحية لتوفير التأمين الصحي للعملاء.
  2. الشركات المالية التي تعالج البيانات الائتمانية لعملائها لتقديم منتجات أو خدمات متعلقة بالتمويل.
  3. شركات التسويق التي تعالج البيانات الشخصية لأغراض التسويق.

ولا تشكل الأنشطة التي تدعم الأعمال الرئيسية لجهة التحكم أنشطة أساسية؛ مثل معالجة بيانات الموظفين من قِبل إدارة الموارد البشرية داخل الجهة.

المادة السادسة: توثيق تعيين مسؤول حماية البيانات الشخصية

  1. يجب تعيين مسؤول حماية البيانات الشخصية كتابياً، ويجب على جهة التحكم الآتي:
    أ‌-توثيق تعيين مسؤول حماية البيانات الشخصية في حال كان موظفاً لدى جهة التحكم.
    ب‌-إبرام اتفاقية مع المتعاقد الخارجي عند تعيين متعاقد خارج جهة التحكم كمسؤول حماية البيانات الشخصية.
  2. يجب أن يتم الإعلان فوراً داخل جهة التحكم عن تعيين مسؤول حماية البيانات الشخصية ووسيلة التواصل معه.

المادة السابعة: تفاصيل الاتصـال بمســــؤول حمـــاية البيانات الشخصية

  1. يجب على جهة التحكم توفير وسيلة تواصل بمسؤول حماية البيانات الشخصية لأصحاب البيانات الشخصية بصورة واضحة وسهلة.
  2. على جهة التحكم تزويد الجهة المختصة ببيانات التواصل مع مسؤول حماية البيانات الشخصية على الفور عند تعيينه، وذلك من خلال منصة حوكمة البيانات الوطنية، وتحديثها عند تغيير مسؤول حماية البيانات الشخصية.

المادة الثامنة: أدوار ومهام مسؤول حماية البيانات الشخصية

على مسؤول حماية البيانات الشخصية القيام بالمهام المشار إليها في الفقرة رقم (3) من المادة الثانية والثلاثون من اللائحة التنفيذية للنظام، بالإضافة إلى المهام الآتية:

  1. تقديم الدعم والمشورة فيما يتعلق بجميع جوانب حماية البيانات الشخصية بما في ذلك المساهمة في تطوير السياسات والإجراءات الداخلية المتعلقة بحماية البيانات الشخصية داخل جهة التحكم.
  2. المشاركة في الأنشطة التوعوية وتدريب ونقل المعرفة لمنسوبي جهة التحكم فيما يتعلق بحماية البيانات الشخصية والالتزام بأحكام النظام ولوائحه التنفيذية وأخلاقيات التعامل مع البيانات.
  3. المساهمة في مراجعة خطط الاستجابة لحوادث تسرب البيانات الشخصية والتأكد من مناسبتها وفعاليتها.
  4. إعداد تقارير دورية حيال أنشطة جهة التحكم المتعلقة بمعالجة البيانات الشخصية وتقديم التوصيات بشأنها لضمان الالتزام بأحكام النظام ولوائحه التنفيذية.
  5. متابعة ما يصدر عن الجهة المختصة من وثائق تنظيمية متعلقة بحماية البيانات الشخصية وأي تعديلات تجرى عليها وإحاطة الإدارات ذوات العلاقة بذلك لضمان الالتزام بها.
  6. تقديم الدعم والمشورة إلى الأشخاص المسؤولين عن تطوير وتشغيل الأنظمة التقنية الحديثة لضمان استيفاء متطلبات النظام ولوائحه التنفيذية.

المادة التاسعة: أحكام عامة

  1. يجب على جهات التحكم مراجعة أحوال تعيين مسؤول حماية البيانات الشخصية بشكل دوري وما إذا كان لا يزال أو من المحتمل أن يصبح إلزامياً وفقاً لأحكام هذه القواعد.
  2. يجوز لجهة التحكم تعيين مسؤول حماية البيانات الشخصية -في حال كانت غير ملزمة بالتعيين- بشكل طوعي لمساعدتها على الالتزام بأحكام النظام ولوائحه التنفيذية.
  3. عند إبرام اتفاقية بين جهة التحكم وجهة المعالجة بغرض معالجة البيانات الشخصية لمصلحة جهة التحكم ونيابة عنها، فإن لجهة التحكم التحقق من توفر مسؤول حماية البيانات الشخصية لدى جهة المعالجة أو طلب تعيينه في الحالات التي تتطلب تعيين مسؤول حماية البيانات الشخصية -طبقاً لهذه القواعد- وذلك بهدف التأكد من توفر الضمانات اللازمة لتنفيذ أحكام النظام ولوائحه التنفيذية.
  4. يجب على جهة التحكم تمكين ودعم مسؤول حماية البيانات الشخصية في أداء مهامه ومسؤولياته من خلال توفير كافة الموارد اللازمة.
  5. يجب على جهة التحكم عند تعيين مسؤول حماية البيانات الشخصية عدم تكليفه بمهام قد تتعارض مع مهامه كمسؤول حماية البيانات الشخصية أو تؤثر على استقلاليته.
  6. يجب على جهة التحكم العمل على تدريب وتطوير مسؤولي حماية البيانات الشخصية في مجالات حماية البيانات الشخصية ودعمهم في الحصول على شهادات مهنية في هذا المجال لضمان رفع كفاءتهم.
  7. يرتبط مسؤول حماية البيانات الشخصية تنظيمياً بمكتب إدارة البيانات في جهة التحكم، وفي حال كانت جهة التحكم غير ملزمة بإنشاء مكتب إدارة بيانات فيكون ارتباطه بأي إدارة أخرى مع مراعاة ما نصت عليه الفقرتان رقم (4) و (5) من هذه المادة.

المادة العاشرة: المراجعة والتعديل

تقوم الجهة المختصة بمراجعة هذه القواعد -عند الاقتضاء- ولها اجراء أي تعديل أو تحديث عليها.

المادة الحادية عشرة: النفاذ

يُعمل بهذه القواعد اعتباراً من تاريخ النشر في موقع الجهة المختصة الرسمي.


عودة