طرحت الهيئة السعودية للبيانات والذكاء الاصطناعي، مشروع قواعد تعيين مسؤول الحماية، واشترطت المؤهل العلمي المناسب والخبرة في المجال. وتهدف هذه القواعد إلى وضع الحد الأدنى من متطلبات تعيين المسؤول عن الحماية الشخصية، والمفاهيم المتعلقة بالأحوال التي يجب فيها على جهة التحكم تعيين مسؤول حماية البيانات الشخصية.

ووفق القواعد، توضح الأحوال التي يجب فيها تعيين مسؤول الحماية لدى جهات التحكم المشمولة بتطبيق أحكام النظام والحد الأدنى من متطلبات التعيين.

وتضمنت القواعد متطلبات تعيين مسؤول حماية البيانات الشخصية، ويجب على جهة التحكم عند تعيين مسؤول حماية البيانات الشخصية أن تتأكد من المعرفة الكافية بالأعمال والأنشطة التي تتضمن معالجة بيانات شخصية لدى جهة التحكم ومعرفة كافية بمعالجة مخاطر تسرب البيانات الشخصية، ومعرفة كافية بالمتطلبات النظامية لحماية البيانات الشخصية والتنظيمية الأخرى ذات الصلة للقيام بمهمات مسؤول حماية البيانات الشخصية، كما يتطلب الأمانة والنزاهة، وألا يكون قد أدين بأي جريمة مخلة بالشرف والأمانة. ويجوز أن يكون مسؤول حماية البيانات الشخصية مسؤولًا أو موظفًا لدى جهة التحكم أو متعاقدًا خارجيًا، كما يجوز للجهة المختصة طلب استبدال مسؤول حماية البيانات الشخصية في حال تبيّن لها عدم كفاءته.

وعرفت القواعد معالجة البيانات الشخصية على نطاق واسع، كونها عمليات المعالجة التي تستهدف مجموعة كبيرة من أصحاب البيانات الشخصية، وعمليات المعالجة التي تستهدف مجموعة ضخمة من البيانات، إضافة إلى معالجة مجموعة مختلفة من فئات أصحاب البيانات.

وشدّدت القواعد على توثيق تعيين مسؤول حماية البيانات الشخصية كتابيًا من خلال توثيق تعيين مسؤول حماية البيانات الشخصية في حال كان موظفًا لدى جهة التحكم أو متعاقدًا خارجيًا، ويجب أن يتم الإعلان فورًا داخل جهة التحكم عن تعيين مسؤول الحماية ووسيلة التواصل معه.

ضمان استقلالية مسؤول الحماية

أوضحت القواعد أدوار ومهمات مسؤول حماية البيانات الشخصية، وعلى مسؤول الحماية تقديم الدعم والمشورة في ما يتعلق بجميع جوانب حماية البيانات بما في ذلك المساهمة في تطوير السياسات والإجراءات الداخلية المتعلقة بحماية البيانات الشخصية داخل جهة التحكم. ويتولى مسؤول الحماية المشاركة في الأنشطة التوعوية وتدريب ونقل المعرفة لمنسوبي جهة التحكم في ما يتعلق بحماية البيانات الشخصية، والالتزام بأحكام النظام واللوائح وأخلاقيات التعامل مع البيانات، والمساهمة في مراجعة خطط الاستجابة لحوادث تسرب البيانات، والتأكد من مناسبتها وفعاليتها، وإعداد تقارير دورية حيال أنشطة جهة التحكم المتعلقة بمعالجة البيانات، وتقديم التوصيات بشأنها لضمان الالتزام بأحكام النظام ولوائحه. ويجب على جهة التحكم عند تعيين مسؤول حماية البيانات الشخصية عدم تكليفه بمهمات قد تتعارض مع مهماته كمسؤول حماية أو تؤثر على استقلاليته.