‏برنامج مشاهدة محتويات الانترنت‏

المركز المعرفي

القواعد المنظمة لتراخيص أنشطة إصدار شهادات الاعتماد لجهات التحكم والمعالجة وأنشطة التدقيق والفحص لمعالجة البيانات الشخصية

القواعد المنظمة لتراخيص أنشطة إصدار شهادات الاعتماد لجهات التحكم والمعالجة وأنشطة التدقيق والفحص لمعالجة البيانات الشخصية

الفصل الأول: التعريفات والنطاق والأهداف

المادة الأولى: التعريفات

تكون للألفاظ والعبارات الواردة في هذه القواعد المعاني المبيّنة أمام كل منها في المادة (الأولى) من نظام حماية البيانات الشخصية (النظام) الصادر بالمرسوم الملكي رقم (م/19) وتاريخ 9/2/1443هـ وتعديلاته، والمادة (الأولى) من اللائحة التنفيذية لنظام حماية البيانات الشخصية، والمادة (الأولى) من لائحة نقل البيانات الشخصية إلى خارج المملكة (اللوائح). ويُقصد بالألفاظ والعبارات الآتية -أينما وردت في هذه القواعد - المعاني المبينة أمام كل منها، ما لم يقتضِ السياق خلاف ذلك:

  1. القواعد: القواعد المنظمة لتراخيص أنشطة إصدار شهادات الاعتماد لجهات التحكم والمعالجة وأنشطة التدقيق والفحص لمعالجة البيانات الشخصية.
  2. الترخيص: وثيقة تصدر من الجهة المختصة تتيح لمقدم الطلب ممارسة الأنشطة المنصوص عليها في الفقرة (4) و (5) من هذه المادة.
  3. مقدم الطلب: الجهة التي تتقدم بطلب الترخيص للجهة المختصة للقيام بأعمال التدقيق والفحص المرتبطة بأنشطة معالجة البيانات الشخصية أو بممارسة إصدار شهادات الاعتماد لجهات التحكم والمعالجة. 
  4. ترخيص نشاط إصدار شهادات الاعتماد: وثيقة صادرة من الجهة المختصة لشخص ذي صفة اعتبارية خاصة لممارسة نشاط إصدار شهادات الاعتماد لجهات التحكم والمعالجة.
  5. ترخيص نشاط التدقيق والفحص: وثيقة صادرة من الجهة المختصة لشخص ذي صفة اعتبارية خاصة لممارسة نشاط التدقيق والفحص لأنشطة معالجة البيانات الشخصية لدى جهات التحكم والمعالجة.
  6. الجهة المرخص لها: جهة حاصلة على ترخيص من قبل الجهة المختصة لممارسة أنشطة إصدار شهادات الاعتماد أو أنشطة التدقيق والفحص، بناءً على ما تقرّه الجهة المختصة حيال الطلبات المقدمة للحصول على الترخيص، ووفقاً للمتطلبات المنصوص عليها في هذه القواعد.
  7. شهادة الاعتماد: شهادة تصدرها الجهة المرخص لها -بإصدار شهادات الاعتماد- لجهات التحكم أو جهات المعالجة، تتضمن التأكيد على أن الممارسات والإجراءات التي يتم اتباعها لدى جهة التحكم أو جهة المعالجة -عند معالجة البيانات الشخصية- متوافقة مع أحكام النظام واللوائح والمتطلبات المنصوص عليها في القواعد المنظمة لإصدار شهادات الاعتماد لجهات التحكم وجهات المعالجة.
  8. نشاط التدقيق والفحص: نشاط تقوم به الجهة المرخص لها للتحقق من شمولية أنشطة معالجة البيانات الشخصية لدى الجهة، وذلك من خلال إجراء عمليات التدقيق والفحص، وتحديد مدى فاعلية الضوابط والتدابير المتخذة لحماية البيانات الشخصية.
  9. تقرير التدقيق والفحص: تقرير يُعد من الجهة المرخص لها بأعمال التدقيق والفحص ويتضمن نتائج تدقيق وفحص أنشطة معالجة البيانات الشخصية محلّ التدقيق والفحص في ضوء أحكام النظام واللوائح.
  10. تقرير تقييم إصدار شهادات الاعتماد: تقرير يُعد من الجهة المرخص لها بإصدار شهادات الاعتماد ويتضمن نتائج تقييم الممارسات والإجراءات المتبعة عند معالجة البيانات الشخصية في ضوء أحكام النظام واللوائح، وفقاً للآلية والمعايير التي تحددها الجهة المختصة.
  11. المنصة الخاصة بالجهة المختصة: منصة إلكترونية تابعة للجهة المختصة تهدف إلى تقديم الخدمات الداعمة لتطبيق أحكام النظام واللوائح.

المادة الثانية: النطاق والهدف

تطبق هذه القواعد على الجهات التي تتقدم إلى الجهة المختصة بطلب إصدار ترخيص لممارسة أنشطة إصدار شهادات الاعتماد أو أنشطة التدقيق والفحص بحسب ما ورد في الفقرتين (2) و(3) من المادة (الثالثة والثلاثين) من النظام والمادتين (الخامسة والثلاثين) والمادة (السادسة والثلاثين) من اللائحة التنفيذية للنظام، كما تهدف إلى:

  1. تحديد آلية الترخيص المتبعة من قبل الجهة المختصة لجهات إصدار شهادات الاعتماد أو جهات التدقيق والفحص.
  2. اعتماد جهات موثوقة لتقديم إصدار شهادات الاعتماد أو القيام بأعمال التدقيق والفحص وفقاً لأحكام النظام واللوائح، وبما يتسق مع ما تصدره الجهة من وثائق متعلقة بالالتزام بأحكام النظام واللوائح.
  3. تعزيز الشفافية في تطبيق أحكام النظام من خلال اعتماد ونشر الإجراءات المتعلقة بالترخيص للجهات بممارسة الأنشطة المنصوص عليها في النظام.

 الفصل الثاني: متطلبات منح الترخيص

المادة الثالثة: الاشتراطات العامة لمنح الترخيص

على مقدم الطلب استيفاء الشروط الآتية:

  1. الالتزام بأحكام النظام واللوائح، وأي وثائق نظامية أخرى تصدرها الجهة المختصة.
  2. ممارسة نشاط إصدار شهادات الاعتماد أو نشاط التدقيق والفحص وفقاً للآلية والمعايير التي تحددها الجهة المختصة، وبناءً على الوثائق المتعلقة بالالتزام بأحكام النظام واللوائح.
  3. الإفصاح عن أي تعارض مصالح متوقع حدوثه - عند ممارسة الأعمال بموجب الترخيص - مع جهات تحكم أو جهات معالجة، وذلك لضمان تقديم هذه الخدمات باستقلالية تامة.
  4. الإفصاح عن الشكاوى السابقة والحالية المقدمة ضد مقدم الطلب والمرتبطة بتطبيق أحكام النظام واللوائح.
  5. الإفصاح عن أي مخالفات ناشئة عن تطبيق أحكام النظام واللوائح تم رصدها لدى مقدم الطلب مُسبقاً من قبل الجهة المختصة.

المادة الرابعة: متطلبات الترخيص

على مقدم الطلب استيفاء المتطلبات الآتية:

  1. أن يكون مقدم الطلب كياناً نظامياً مستقلاً عن أي جهة أخرى بموجب أنظمة المملكة، وأن يكون لدى مقدم الطلب مقر في المملكة.
  2. أن تتضمن الوسيلة المعتمدة للتواصل مع الجهة المرخص لها الاسم النظامي للجهة وعنوان مقرها والسجل التجاري أو رقم الترخيص للمستثمر الأجنبي.
  3. أن يتوافر لدى مقدم الطلب الأدوات التقنية الداعمة والعاملون المؤهلون لممارسة نشاط إصدار شهادات الاعتماد أو نشاط التدقيق والفحص، وفقاً لأحكام النظام واللوائح والآلية والمعايير التي تحددها الجهة المختصة.
  4. الحصول على اعتماد منح الشهادات من قبل المركز السعودي للاعتماد وذلك في حال كان طلب الترخيص متعلق بإصدار شهادات الاعتماد.
  5. أن يتوفر لدى مقدم طلب ترخيص ممارسة نشاط إصدار شهادات الاعتماد الآتي:
  1. ألا يقل رأس مال مقدم الطلب عن (10) ملايين ريال سعودي.
  2. ألا يقل موظفي التقييم لدى مقدم الطلب عن (10) موظفين، على أن يكونوا بعقود توظيف مباشرة مع مقدم الطلب.
  3. أن يكون لدى بعض موظفي التقييم خبرة لا تقل عن (5) سنوات في ممارسات حماية البيانات الشخصية، أو أعمال التقييم، أو أي مجال ذي صلة، وفقاً لما تقدره الجهة المختصة.
  4. إتمام موظفي التقييم الدورات التخصصية، أو اجتياز الاختبارات التخصصية التي تحددها وتعدها الجهة المختصة.
  1. أي متطلبات أخرى تحددها الجهة المختصة، بما يتفق مع أحكام النظام واللوائح وأي وثيقة تصدرها الجهة المختصة في شأن تطبيق أحكام النظام واللوائح.
  2. يجوز للجهة المختصة إعفاء مقدم الطلب من أي متطلب من المتطلبات أعلاه، وفقاً لتقديرها وبحسب الأحوال.

 الفصل الثالث: إجراءات الترخيص

المادة الخامسة: تقديم طلب الترخيص

يتم تقديم طلب الترخيص من قبل مقدم الطلب وفقاً للآلية التي تحددها الجهة المختصة، على أن يتضمن الطلب التفاصيل الآتية:

  1. تعبئة نموذج طلب الترخيص، وتحديد نوع الترخيص المطلوب (ترخيص ممارسة نشاط إصدار شهادات الاعتماد، أو ترخيص ممارسة التدقيق والفحص).
  2. تقديم عقد تأسيس الجهة والسجل التجاري وعنوانها ووسائل التواصل المعتمدة.
  3. تقديم نسخة من الوثائق الداعمة للاشتراطات والمتطلبات المنصوص عليها في المادتين (الثالثة) و(الرابعة) من هذه القواعد.
  4. أي متطلبات أخرى تحددها الجهة المختصة، وفقاً لأحكام النظام واللوائح، وبما يتسق مع معايير الالتزام بأحكام النظام واللوائح.

المادة السادسة: تقييم طلب الترخيص

  1. تقوم الجهة المختصة بتقييم طلب الترخيص وفقاً للاشتراطات والمتطلبات المنصوص عليها في المادتين (الثالثة) و(الرابعة) من هذه القواعد، على أن تتم دراسة الطلب وإصدار القرار خلال مدة أقصاها (90) يوم عمل من تاريخ استلامه، وإشعار مقدم الطلب بالقرار.
  2. في حال قبول الطلب، تقوم الجهة المختصة بتحديد مدة الترخيص وفقاً لما نصت عليه المادة (الثامنة) من هذه القواعد.

المادة السابعة: المقابل المالي للخدمات

  1. تحدد الجهة المختصة المقابل المالي للتراخيص المنصوص عليها الفقرة (4) و (5) من المادة (الأولى) من هذه القواعد.
  2. يجوز للجهة المختصة وضع فئات للتراخيص وتحديد مقابل مالي لكل فئة.

 الفصل الرابع: المدد الزمنية لسريان الترخيص والأحكام المتعلقة بالتجديد والإيقاف والسحب والإلغاء

 المادة الثامنة: مدة الترخيص

تقوم الجهة المختصة بمنح الترخيص لمدة (ثلاث) سنوات تبدأ من تاريخ صدور قرار الترخيص.

المادة التاسعة: تجديد الترخيص

للجهات المرخص لها التقدم بطلب تجديد الترخيص من الجهة المختصة خلال مدة لا تقل عن (90) يوم عمل سابقة لتاريخ انتهائها، على أن تتم الموافقة على التجديد بعد التأكد من توافر اشتراطات ومتطلبات الترخيص الواردة في المادة (الثالثة) و(الرابعة)، وتكون مدة الترخيص عند التجديد مماثلة لمدة سريان الترخيص عند إصداره أو بحسب ما تراه الجهة المختصة.

المادة العاشرة: الإيقاف وسحب الترخيص

  1. للجهة المختصة سحب الترخيص أو إيقاف الجهة المرخص لها من ممارسة النشاط مؤقتاً - وفقاً للآلية التي تحددها المختصة- في الأحوال الآتية:
  1. عدم التزام الجهة المرخص لها بالمتطلبات المنصوص عليها في المادة (الثالثة) و(الرابعة) من هذه القواعد، أو مخالفة أحكام النظام واللوائح، أو ما تصدره الجهة المختصة من تعليمات ملزمة في هذا الشأن.
  2. انتهاء الاعتماد المنصوص عليها في الفقرة (٤) من المادة (الرابعة) من هذه القواعد، إذا كان نوع الترخيص ترخيصاً لإصدار شهادات الاعتماد.
  3. عدم التزام الجهة المرخص لها بمعالجة المخالفات أو أي توجيهات خطية صادرة من الجهة المختصة.
  4. إذا ثبت أن الجهة المرخص لها قدمت معلومات خاطئة أو عدم إفصاحها عن أي معلومات كان عليها الإفصاح عنها أثناء فترة تقديم الطلب، أو أثناء ممارسة النشاط.
  5. أي أسباب أخرى تراها الجهة المختصة وفقاً لتقديرها.
  1. تشعر الجهة المختصة الجهة التي تم سحب الترخيص منها أو إيقافها عن ممارسة النشاط مؤقتاً بمسببات السحب أو الإيقاف المؤقت عن ممارسة النشاط.
  2. للجهة الاعتراض على سحب الترخيص أو الإيقاف المؤقت من ممارسة النشاط خلال مدة لا تتجاوز (30) يوم عمل من تاريخ الإشعار بالقرار، أو تعديل أوضاعها وتقديم ما يثبت تعديل الأوضاع في حال كان سحب الترخيص أو الإيقاف المؤقت مبنياً على أي مما ورد في الفقرة (1) من هذه المادة.
  3. لا يحول سحب الترخيص أو الإيقاف المؤقت من ممارسة النشاط دون صلاحية سريان تقارير أعمال التدقيق والفحص، أو شهادات اعتماد صادرة من قبل الجهة المرخص لها قبل تاريخ السحب أو الإيقاف، إلا إذا تبيّن للجهة المختصة عدم سلامة أو صحة تلك الأعمال.

المادة الحادية عشرة: إلغاء الترخيص

  1. يُلغى الترخيص الصادر بناءً على هذه القواعد في أي من الأحوال الآتية:
  1. انقضاء الكيان النظامي للجهة المرخص لها؛ وفقاً لما ورد في نظام الشركات.
  2. عدم الحصول على موافقة الجهة المختصة قبل بدء إجراءات الاستحواذ أو الاندماج مع مرخص له آخر.
  1. لا يحول إلغاء الترخيص دون صلاحية شهادات الاعتماد أو تقارير التدقيق والفحص الصادرة من قبل الجهة المرخص لها قبل تاريخ الإلغاء، إلا إذا تبيّن للجهة المختصة عدم سلامة أو صحة تلك الشهادات أو التقارير.

المادة الثانية عشرة: التفويض

  1. لا يجوز للجهة التي حصلت على ترخيص ممارسة نشاط إصدار شهادات الاعتماد -بموجب هذه القواعد - تفويض غيرها من الجهات للقيام بالأعمال التي تتولاها بموجب الترخيص إلا بعد الحصول على موافقة الجهة المختصة، على أن يكون التفويض صادرا لجهة مرخصة بموجب هذه القواعد.
  2. لا يجوز للجهة التي حصلت على ترخيص ممارسة نشاط التدقيق والفحص - بموجب هذه القواعد - تفويض غيرها من الجهات للقيام بالأعمال التي تتولاها بموجب الترخيص إلا بعد الحصول على موافقة الجهة المختصة، على أن يكون التفويض صادرا لجهة مرخصة بموجب هذه القواعد.
  3. لا يخل تفويض الجهة المرخص لها بالتزاماتها المنصوص عليها في هذه القواعد ومسؤولياتها أمام الجهة المختصة.

المادة الثالثة عشرة: التزامات عامة على الجهة المرخص لها

  1. على الجهة المرخص لها العمل على تدريب وتطوير العاملين المعنيين -بصفة مستمرة- في مجال حماية البيانات الشخصية وفقاً لأحكام النظام واللوائح، ودعمهم في الحصول على شهادات مهنية في هذا المجال لضمان رفع كفاءتهم.
  2. على الجهة المرخص لها متابعة وتنفيذ ما يصدر من الجهة المختصة من لوائح وتعليمات وما في حكمها متعلقة بحماية البيانات الشخصية.
  3. إجراء تقييم نصف سنوي للتدابير والإجراءات الإدارية والتقنية والتنظيمية والنموذج التشغيلي لإصدار شهادات الاعتماد أو إجراء عمليات التدقيق والفحص للتحقق من استمرار توافر اشتراطات ومتطلبات الترخيص المنصوص عليها في المادتين (الثالثة) و (الرابعة) من هذه القواعد، وفقاً للآلية والمعايير التي تحددها الجهة المختصة.
  4. المحافظة على سرية نتائج إصدار شهادات الاعتماد أو إجراء عمليات التدقيق والفحص المتعلقة بالجهات التي تم تقييمها، وعدم نشرها أو مشاركتها مع أي طرف آخر أو الإفصاح عن محتواها دون موافقة خطية من الجهة المختصة.
  5. الإفصاح عن أي تغيير جوهري بعد الحصول على الترخيص قد يؤدي إلى تعارض في المصالح مع أي جهات تحكم أو جهات معالجة عند قيامها بمهامها التي تتولاها بموجب بالترخيص.
  6. التزام الجهة المرخصة لممارسة نشاط إصدار شهادات الاعتماد بإعداد خطة وإجراءات للمراجعة الدورية لأعمال الجهات التي صدر لها شهادات اعتماد.
  7. الحصول على موافقة الجهة المختصة عند رغبة الجهة -المرخص لها- بالاستحواذ أو الاندماج مع مرخص له آخر.
  8. أن يتم الاحتفاظ وتخزين البيانات المتعلقة بممارسة هذه الأنشطة داخل المملكة.

المادة الرابعة عشرة: التزامات خاصة بالجهات المرخص لها بإصدار شهادات الاعتماد

  1. تلتزم الجهة المرخص لها بتقديم تقرير تقييم إصدار شهادات الاعتماد، بما يشمل أسعار تقديم تلك الخدمات، وفقاً للآلية والمعايير التي تحددها الجهة المختصة.
  2. تقوم الجهة المرخص لها بحفظ كافّة الوثائق كاملة ومحدثة وصالحة للتدقيق –وفقاً لآلية تحددها الجهة المختصة- على أن تشمل الآتي:
  1. جميع طلبات الحصول على شهادة الاعتماد الواردة من قبل جهات التحكم وجهات المعالجة.
  2. جميع عمليات تقييم طلبات الحصول على شهادة الاعتماد.
  3. جميع شهادات الاعتماد الصادرة، بما في ذلك تفاصيل الجهة التي صدر لها شهادة الاعتماد وتاريخ إصدار شهادة الاعتماد وانتهاء صلاحيتها وجميع الوثائق ذات الصلة.
  4. جميع القرارات والمبررات والأدلة الداعمة فيما يتعلق بسحب شهادات الاعتماد أو تجديدها.
  5. جميع الموظفين ذوي الصلة العاملين لدى الجهة المرخص لها، والذين يشاركون في تقييم مدى ملاءمة حصول جهة التحكم أو جهة المعالجة على شهادة الاعتماد أو يتخذون قرارات بشأن إصدار شهادات الاعتماد أو سحبها أو تجديدها أو جميع ما سبق.
  1. تقدم الجهة المرخص لها تقارير دورية للجهة المختصة عن الجهات التي تم منحها شهادات الاعتماد أو سحبها أو تجديدها مع بيان الأسباب لاتخاذ أي من الإجراءات.

 الفصل الخامس: أحكام عامّة

المادة الخامسة عشرة: الإشراف والمتابعة

للجهة المختصة في سبيل الإشراف على المرخص له ومتابعة أعماله اتخاذ الإجراءات التالية:

  1. القيام بكل ما يلزم للتحقق من صحة البيانات المقدمة والتقارير المعدة من المرخص له.
  2. طلب أي مستندات متعلقة بالمرخص له وأعماله أثناء فترة سريان الترخيص.
  3. التنسيق والمتابعة مع الجهات ذوات العلاقة.
  4. القيام بالدور الإشرافي لضمان تنفيذ أحكام هذه القواعد.

المادة السادسة عشرة: النشر

تنشر الجهة المختصة على المنصة الخاصة بها قائمة بالجهات الحاصلة على ترخيص ممارسة نشاط إصدار شهادات الاعتماد والجهات المرخص لها لممارسة نشاط التدقيق والفحص والمدد الزمنية لسريان التراخيص وبيانات التواصُل الرسمية الخاصة بكل جهة من الجهات المرخص لها.

المادة السابعة عشرة: المراجعة والتعديل

للجهة المختصة – عند الاقتضاء- مراجعة هذه القواعد ولها إجراء أي تعديل أو تحديث عليها.

المادة الثامنة عشرة: التعليمات الإضافية

للجهة المختصة إصدار أي تعليمات إضافية منبثقة من هذه القواعد.

المادة التاسعة عشرة: النفاذ

يُعمل بهذه القواعد من تاريخ نشرها في الموقع الرسمي للجهة المختصة.

chevron_left عودة