أصدرت الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) وثيقة “القواعد المنظمة لتراخيص أنشطة إصدار شهادات الاعتماد لجهات التحكم والمعالجة وأنشطة التدقيق والفحص لمعالجة البيانات الشخصية”. ويستهدف هذا المسار التنظيمي ضبط سوق خدمات الاعتماد والتدقيق المرتبطة بالبيانات، ورفع مستوى الموثوقية في المنتجات والخدمات الرقمية.
تعد هذه الوثيقة امتداداً لمتطلبات نظام حماية البيانات الشخصية ولوائحه التنفيذية، وترتبط بشكل مباشر بملفات نقل البيانات أو الإفصاح عنها لجهات خارج المملكة، عبر وضع اشتراطات وضمانات تتكامل مع آليات الامتثال المعتمدة.
مساران مهنيان لحماية البيانات
تركز الوثيقة على مسارين مهنيين مترابطين داخل منظومة حماية البيانات. يختص المسار الأول بترخيص نشاط إصدار شهادات الاعتماد، ويُمنح للكيانات الاعتبارية الخاصة لإثبات توافق الإجراءات المتبعة لدى “جهات التحكم والمعالجة” مع أحكام نظام حماية البيانات الشخصية ولوائحه.
ويُعنى المسار الثاني بترخيص نشاط التدقيق والفحص، ويُمنح للكيانات الاعتبارية لتنفيذ عمليات التقييم على أنشطة معالجة البيانات، بهدف التحقق من شمولية الضوابط والتدابير المتخذة لحماية البيانات وقياس فاعليتها.
نطاق التطبيق والأهداف
ينطبق نطاق القواعد على الجهات المتقدمة بطلب الحصول على ترخيص لممارسة أي من النشاطين. وتحدد الوثيقة أهدافاً تنفيذية تشمل ضبط آلية الترخيص، واعتماد جهات موثوقة لتقديم خدمات الاعتماد أو التدقيق، إلى جانب تعزيز الشفافية عبر نشر الإجراءات المرتبطة بالترخيص والأنشطة المجازة للممارسين.
اشتراطات الاستقلالية والكفاءة المؤسسية
وضعت الوثيقة حزمة من الاشتراطات العامة لضمان استقلالية الجهات المرخصة، من خلال إلزام مقدم الطلب بتطبيق أحكام النظام واللوائح والوثائق النظامية، والعمل وفق المعايير المحددة. وتتطلب القواعد الإفصاح عن أي تعارض متوقع في المصالح مع جهات التحكم أو المعالجة، والإفصاح عن الشكاوى أو المخالفات السابقة المرتبطة بتطبيق أحكام النظام.
وعلى المستوى المؤسسي، تشترط القواعد أن يكون مقدم الطلب كياناً نظامياً مستقلاً بموجب الأنظمة السعودية، وله مقر داخل المملكة، مع توفير أدوات تقنية داعمة وكوادر مؤهلة لممارسة النشاط.
متطلبات خاصة بإصدار الشهادات
تضيف القواعد متطلبات خاصة بنشاط إصدار شهادات الاعتماد، وتتضمن الحصول على اعتماد من المركز السعودي للاعتماد، وتوفير حد أدنى لرأس المال يبلغ 10 ملايين ريال سعودي. وتشترط القواعد توظيف 10 مقيمين بحد أدنى بعقود عمل مباشرة، وتوفر خبرات مهنية لا تقل عن 5 سنوات لبعض موظفي التقييم في مجالات حماية البيانات أو أعمال التقييم، إضافة إلى اجتياز الدورات أو الاختبارات التخصصية المطلوبة.
إجراءات التقديم والتقييم
حددت القواعد إجراءات تقديم الطلب لتشمل تعبئة النموذج المخصص، وتحديد نوع الترخيص، وإرفاق وثائق التأسيس والسجل التجاري والوثائق الداعمة. وتقوم الجهة المختصة بتقييم الطلب وفق المعايير، وتصدر قرارها خلال 90 يوم عمل كحد أقصى من تاريخ استلام الطلب، مع إشعار المتقدم بالنتيجة.
الاستمرارية وحوكمة النتائج
تصل مدة الترخيص إلى 3 سنوات تبدأ من تاريخ صدور القرار. وتتضمن الوثيقة إطاراً لإدارة المقابل المالي وفئات التراخيص، وأحكاماً للإشراف والمتابعة، تشمل التحقق من صحة البيانات والتقارير. ولتعزيز شفافية السوق، نصت القواعد على نشر قائمة الجهات المرخصة ومدد سريان تراخيصها وبيانات التواصل الرسمية عبر منصة حوكمة البيانات الوطنية (Data Governance Platform).
وفرضت القواعد التزامات صارمة لحماية السرية، حيث يمنع نشر نتائج إصدار الشهادات أو عمليات التدقيق أو الإفصاح عنها دون موافقة خطية من الجهة المختصة، مع ضرورة تقديم تقارير دورية وإجراء تقييمات مستمرة لضمان الامتثال.
نقل البيانات لجهات خارجية
تدعم هذه القواعد الالتزام بمتطلبات نقل البيانات الشخصية أو الإفصاح عنها لجهات خارج المملكة، من خلال توفير الضمانات المناسبة ضمن منظومة الامتثال. وسيتم الإعلان عن استقبال طلبات التسجيل والمعايير المحددة عبر (Data Governance Platform) قريباً.
يمكنك الاطلاع على الدليل كاملاً من هنا.
