اعتمدت الهيئة السعودية للبيانات والذكاء الاصطناعي «سدايا» القواعد المنظمة لتراخيص أنشطة إصدار شهادات الاعتماد لجهات التحكم والمعالجة، إضافة إلى أنشطة التدقيق والفحص المرتبطة بمعالجة البيانات الشخصية، بهدف تعزيز الامتثال لمتطلبات حماية البيانات في المملكة، وترسيخ منظومة رقابية متكاملة تضمن الالتزام بأحكام الأنظمة واللوائح ذات الصلة.

ووفقًا لما نصت عليه القواعد، فإنها تطبق على جميع الجهات التي تتقدم إلى الجهة المختصة بطلب الحصول على ترخيص لممارسة نشاط إصدار شهادات الاعتماد أو ممارسة أعمال التدقيق والفحص لمعالجة البيانات الشخصية، وذلك وفق ما ورد في مواد النظام واللائحة التنفيذية المنظمة لهذا القطاع.

تسعى القواعد إلى اعتماد جهات موثوقة قادرة على تقديم خدمات إصدار شهادات الاعتماد أو تنفيذ عمليات التدقيق والفحص وفق المعايير النظامية المعتمدة، بما يتسق مع الوثائق التنظيمية الصادرة عن الجهة المختصة والمتعلقة بمتطلبات الالتزام بأحكام النظام واللوائح التنفيذية ذات الصلة بحماية البيانات الشخصية.

اشتراطات عامة للحصول على الترخيص

حددت القواعد عددًا من الاشتراطات العامة التي يجب على الجهات الراغبة في الحصول على الترخيص استيفاؤها قبل التقدم بطلب الترخيص، وفي مقدمتها الالتزام الكامل بأحكام النظام واللوائح التنفيذية وأي وثائق تنظيمية أخرى تصدرها الجهة المختصة.

ألزمت القواعد الجهات المتقدمة بممارسة نشاط إصدار شهادات الاعتماد أو نشاط التدقيق والفحص وفق الآلية والمعايير التي تحددها الجهة المختصة، وبما يتوافق مع الوثائق المتعلقة بمتطلبات الامتثال لأحكام النظام.

ومن بين المتطلبات الأساسية كذلك الإفصاح عن أي تعارض محتمل في المصالح قد ينشأ عند ممارسة الأنشطة المرخصة، خاصة إذا كان هذا التعارض مرتبطًا بعلاقات مع جهات تحكم أو جهات معالجة للبيانات، وذلك لضمان تقديم خدمات التدقيق أو إصدار الشهادات باستقلالية وحياد كاملين.

نصت القواعد على ضرورة الإفصاح عن أي شكاوى سابقة أو حالية قدمت ضد مقدم الطلب وتتعلق بتطبيق أحكام النظام واللوائح، إضافة إلى الإفصاح عن أي مخالفات تم رصدها سابقًا من قبل الجهة المختصة بحق مقدم الطلب في ما يتعلق بتطبيق متطلبات حماية البيانات الشخصية.

المتطلبات التنظيمية والفنية

وضعت القواعد مجموعة من المتطلبات التنظيمية والفنية التي يجب على مقدم الطلب استيفاؤها للحصول على الترخيص، حيث اشترطت أن يكون مقدم الطلب كيانًا نظاميًا مستقلًا قائمًا وفق أنظمة المملكة، وأن يكون له مقر داخل المملكة العربية السعودية.

وأوجبت أن تتضمن وسائل التواصل المعتمدة الخاصة بالجهة المرخص لها بياناتها النظامية كاملة، بما في ذلك الاسم النظامي والعنوان ومعلومات السجل التجاري أو رقم ترخيص المستثمر الأجنبي، بما يعزز الشفافية والوضوح في التعامل مع الجهات الرقابية والعملاء.

وألزمت القواعد الجهات المتقدمة بضرورة امتلاك الأدوات التقنية اللازمة والكوادر البشرية المؤهلة لممارسة نشاط إصدار شهادات الاعتماد أو نشاط التدقيق والفحص، بما يتوافق مع المعايير الفنية والتنظيمية التي تحددها الجهة المختصة.

وفي حال كان طلب الترخيص متعلقًا بإصدار شهادات الاعتماد، اشترطت القواعد حصول الجهة المتقدمة على اعتماد من المركز السعودي للاعتماد، باعتباره الجهة المختصة بمنح الاعتمادات للجهات التي تقدم خدمات التقييم والاعتماد في المملكة.

شروط جهات إصدار شهادات الاعتماد

تضمنت القواعد عددًا من الاشتراطات الخاصة بالجهات الراغبة في الحصول على ترخيص لممارسة نشاط إصدار شهادات الاعتماد، حيث اشترطت ألا يقل رأس مال الجهة المتقدمة عن عشرة ملايين ريال سعودي، بما يعكس قدرة مالية كافية لممارسة النشاط وفق المعايير المهنية المطلوبة.

ألزمت القواعد بأن لا يقل عدد موظفي التقييم العاملين لدى الجهة المتقدمة عن عشرة موظفين يعملون بعقود مباشرة معها، مع ضرورة أن يمتلك بعض هؤلاء الموظفين خبرة لا تقل عن خمس سنوات في مجالات حماية البيانات الشخصية أو أعمال التقييم أو المجالات ذات الصلة.

وشددت القواعد على ضرورة اجتياز موظفي التقييم للدورات التخصصية أو الاختبارات المهنية التي تحددها الجهة المختصة، بما يضمن امتلاك الكوادر المهنية المؤهلة القادرة على تنفيذ عمليات التقييم والتدقيق وفق المعايير المعتمدة.

منحت القواعد الجهة المختصة صلاحية إعفاء مقدم الطلب من بعض المتطلبات التنظيمية وفق تقديرها وبحسب طبيعة كل حالة، وذلك بما يتوافق مع أحكام النظام واللوائح التنفيذية.

إجراءات التقدم بطلب الترخيص

حددت القواعد إجراءات واضحة لتقديم طلب الترخيص، حيث يتم تقديم الطلب وفق الآلية التي تحددها الجهة المختصة، على أن يتضمن الطلب تعبئة نموذج الترخيص وتحديد نوع الترخيص المطلوب، سواء كان ترخيصًا لممارسة نشاط إصدار شهادات الاعتماد أو ترخيصًا لممارسة نشاط التدقيق والفحص.

يتعين على مقدم الطلب تقديم عقد تأسيس الجهة والسجل التجاري الخاص بها، إضافة إلى بيانات العنوان الرسمي ووسائل التواصل المعتمدة، إلى جانب الوثائق التي تثبت استيفاء الاشتراطات والمتطلبات المنصوص عليها في القواعد.

وتخضع طلبات الترخيص بعد ذلك لعملية تقييم من قبل الجهة المختصة، حيث يتم دراسة الطلب والتحقق من مدى استيفائه للمتطلبات التنظيمية والفنية خلال مدة لا تتجاوز تسعين يوم عمل من تاريخ استلام الطلب.

وفي حال الموافقة على الطلب، تقوم الجهة المختصة بتحديد مدة الترخيص وفق الضوابط المحددة في القواعد التنظيمية.

مدة الترخيص وآلية التجديد

نصت القواعد على أن مدة الترخيص الممنوح للجهات المرخص لها بممارسة هذه الأنشطة تبلغ ثلاث سنوات تبدأ من تاريخ صدور قرار الترخيص.

يحق للجهات المرخص لها التقدم بطلب تجديد الترخيص قبل انتهاء مدته بما لا يقل عن تسعين يوم عمل، شريطة استمرار استيفاء المتطلبات التنظيمية والفنية المنصوص عليها في القواعد.

وفي حال الموافقة على طلب التجديد، تكون مدة الترخيص الجديدة مماثلة لمدة الترخيص الأصلية أو وفق ما تراه الجهة المختصة مناسبًا.

حالات إيقاف الترخيص أو سحبه

منحت القواعد الجهة المختصة صلاحية إيقاف الترخيص مؤقتًا أو سحبه بشكل نهائي في حال وقوع مخالفات تتعلق بعدم الالتزام بالمتطلبات التنظيمية أو مخالفة أحكام النظام واللوائح أو التعليمات الصادرة عن الجهة المختصة.

يمكن سحب الترخيص إذا ثبت تقديم معلومات غير صحيحة أو إخفاء معلومات كان يجب الإفصاح عنها أثناء تقديم الطلب أو أثناء ممارسة النشاط.

وفي حال صدور قرار بسحب الترخيص أو إيقافه، يتم إشعار الجهة المعنية بأسباب القرار، مع منحها حق الاعتراض خلال مدة لا تتجاوز ثلاثين يوم عمل من تاريخ الإشعار.

ورغم سحب الترخيص أو إيقافه، فإن القواعد نصت على استمرار صلاحية تقارير التدقيق والفحص أو شهادات الاعتماد الصادرة قبل تاريخ السحب أو الإيقاف، ما لم يتبين للجهة المختصة وجود خلل أو عدم صحة في تلك الأعمال.

حالات محددة للإلغاء

تضمنت القواعد كذلك الحالات التي يتم فيها إلغاء الترخيص، ومن بينها انقضاء الكيان النظامي للجهة المرخص لها وفق أحكام نظام الشركات، أو قيامها بإجراءات استحواذ أو اندماج مع جهة أخرى دون الحصول على موافقة مسبقة من الجهة المختصة.

وفي هذه الحالات، يستمر الاعتراف بشهادات الاعتماد أو تقارير التدقيق الصادرة قبل الإلغاء، ما لم يثبت عدم صحتها أو عدم سلامتها.

ضوابط التفويض والالتزامات المهنية

أكدت القواعد أنه لا يجوز للجهة المرخص لها تفويض جهة أخرى للقيام بالأعمال المرخصة لها إلا بعد الحصول على موافقة الجهة المختصة، على أن يكون التفويض لجهة أخرى مرخص لها بموجب هذه القواعد.

كما شددت القواعد على أن التفويض لا يعفي الجهة المرخص لها من مسؤولياتها والتزاماتها النظامية أمام الجهة المختصة.

التزامات تشغيلية لتعزيز الامتثال

أوجبت القواعد على الجهات المرخص لها الالتزام بعدد من المتطلبات التشغيلية، من بينها العمل على تدريب وتطوير الكوادر البشرية بشكل مستمر في مجال حماية البيانات الشخصية، وتشجيعهم على الحصول على شهادات مهنية متخصصة في هذا المجال.

يتعين على الجهات المرخص لها إجراء تقييم نصف سنوي للإجراءات الإدارية والتنظيمية والتقنية المتعلقة بأعمال إصدار شهادات الاعتماد أو التدقيق والفحص، للتأكد من استمرار الالتزام بالمتطلبات التنظيمية.

وألزمت القواعد الجهات المرخص لها بالحفاظ على سرية نتائج التقييمات والتقارير المتعلقة بالجهات التي يتم تدقيقها أو منحها شهادات اعتماد، وعدم نشرها أو الإفصاح عنها لأي طرف ثالث دون موافقة خطية من الجهة المختصة.

ونصت القواعد على ضرورة تخزين البيانات المرتبطة بممارسة هذه الأنشطة داخل المملكة، بما يضمن خضوعها للأنظمة الوطنية المتعلقة بحماية البيانات.