3 متطلبات الزامية في مشروع “سدايا” لحماية البيانات الشخصية

حثت الهيئة السعودية للبيانات و الذكاء الاصطناعي “سدايا” قطاع الموصلات والاتصالات للمشاركة في رفع المرئيات والملاحظات بخصوص مشروع ” قواعد تعيين مسؤول حماية البيانات الشخصية ” خلال الفترة من 8يوليو – 6 أغسطس، لافتة إلى أن مسؤول حماية البيانات الشخصية يتمثل في أي شخص طبيعي يتم تعييه من قبل جهة التحكم يكون مسؤولا عن حماية البيانات الشخصية و مراقبة الإجراءات المعمول بها داخل جهة التحكم و الاشراف عليها لضمان التزامها بأحكام النظام و لوائحه و تلقي الطلبات المتعلقة بالبيانات الشخصية وفقا لأحكام النظام و لوائحه مؤكدة، أن القواعد تهدف الى وضع الحد الأدنى من متطلبات مسؤول حماية البيانات الشخصية و كذلك إيضاح المفاهيم المتعلقة بالأحوال التي يجب فيها على جهة التحكم تعيين مسؤول حماية البيانات الشخصية.

ونصت المادة الرابعة من المشروع على (1- يجب على جهة التحكم عند تعيين مسؤول حماية البيانات الشخصية ان تتأكد من توافر المتطلبات الاتية:” أ- توفر المؤهل العلمي المناسب والخبرة في مجال حماية البيانات الشخصية. ب- معرفة كافية بالأعمال والأنشطة التي تتضمن معالجة بيانات شخصية لدى جهة التحكم. ج- معرفة كافية بمعالجة مخاطر تسرب البيانات الشخصية. د- معرفة كافية بالمتطلبات النظامية لحماية البيانات الشخصية والتنظيمية الأخرى ذات الصلة للقيام بمهام مسؤول حماية البيانات الشخصية. هـ – الأمانة والنزاهة والا يكون قد أدين باي جريمة مخلة بالشرف والأمانة. 2- يجوز ان يكون مسؤول حماية البيانات الشخصية مسؤولا او موظفا لدى جهة التحكم او متعاقدا خارجيا. 3 يجوز للجهة المختصة طلب استبدال مسؤول حماية البيانات الشخصية في حال تبين عدم كفاءته).

تطرقت المادة الخامسة الى متطلبات أحوال تعيين مسؤول حماية البيانات الشخصية بالقول” أولا: يجب على جهة التحكم تعيين او تحديد شخصا او أكثر ليكون مسؤول عن حماية البيانات الشخصية: 1- في حال كانت جهة التحكم جهة عامة تقدم خدمات تتضمن معالجة بيانات شخصية على نطاق واسع.2- ان تقوم الأنشطة الأساسية لجهة التحكم على عمليات المعالجة التي تتطلب بطبيعتها مراقبة منتظمة وممنهجة لأصحاب البيانات الشخصية. 3- ان تقوم الأنشطة الأساسية لجهة التحكم على معالجة بيانات حساسة. ثانيا: المقصود بمعالجة البيانات الشخصية على نطاق واسع: 1- عمليات المعالجة التي تستهدف مجموعة كبير من أصحاب البيانات الشخصية. 2- عمليات المعالجة التي تستهدف مجموعة ضخمة من البيانات الشخصية. 3- معالجة مجموعة مختلفة من فئات أصحاب البيانات الشخصية. ثالثا: المقصود بالمراقبة المنتظمة والممنهجة لأصحاب البيانات الشخصية: معالجة متسمرة من خلال مراقبة وتتبع وتنميط أصحاب البيانات الشخصية بهدف تحسين او تسويق الخدمات والمنتجات.

و اشترطت المادة السادسة تعيين مسؤول حماية البيانات الشخصية كتابيا من خلال توثيق تعيين مسؤول حماية البيانات الشخصية في حال كان موظف لدى جهة التحكم او متعاقدا خارجيا و كذلك الإعلان فورا داخل جهة التحكم عن تعيين مسؤول حماية البيانات الشخصية و وسيلة التواصل معه، بينما الزمت المادة السابعة، جهة التحكم بإتاحة بيانات التواصل الخاصة بمسؤول حماية البيانات الشخصية لأصحاب البيانات الشخصية – عنوان البريد الالكتروني و رقم الهاتف – بصورة واضحة و متاحة في سياسة الخصوصية، وكذلك تزويد الجهة المختصة ببيانات التواصل مع مسؤول البيانات الشخصية على الفور عند تعيينه، وذلك من خلال منصة حوكمة البيانات الوطنية، على ان تتضمن هذه التفاصيل الاسم و تفاصيل الاتصال به، بما في ذلك البريد الالكتروني و رقم الهاتف.

وحددت المادة الثامنة أدوار مسؤول حماية البيانات الشخصية وهي (1- تقديم الدعم والمشورة فيما يتعلق بجميع جوانب حماية البيانات الشخصية بما في ذلك المساهمة في تطوير السياسات والإجراءات الداخلية المتعلقة بحماية البيانات الشخصية داخل جهة التحكم. 2- المشاركة في الأنشطة التوعوية وتدريب ونقل المعرفة لمنسوبي جهة التحكم فيما يتعلق بحماية البيانات الشخصية والالتزام بأحكام النظام واللوائح واخلاقيات التعامل مع البيانات. 3- المساهمة في مراجعة خطط الاستجابة لحوادث تسرب البيانات الشخصية والتأكد من مناسبتها وفعاليتها. 4- اعداد تقارير دورية حيال أنشطة جهة التحكم المتعلقة بمعالجة البيانات الشخصية وتقديم التوصيات بشأن لضمان الالتزام بأحكام النظام ولوائحه. 5- المحافظة على سرية البيانات ودرجة حساسيتها بحسب مستوى تصنيفها ووفقا للمتطلبات التنظيمية ذات العلاقة، ذلك لتحديد مستوى الحماية المناسب لها وآلية معالجتها. 6- متابعة ما يصدر عن الجهة المختصة من أنظمة ولوائح وتعليمات وما في حكمها وأي تعديلات تجري عليها واحاطة الإدارات ذات العلاقة بذلك لضمان الالتزام بها. 7- المشاركة مع الأشخاص المسؤولين عن تنفيذ الأنشطة المتعلقة بأخلاقيات الذكاء الاصطناعي لضمان توفر متطلبات حماية البيانات الشخصية وخصوصية أصحابها.