وحددت الهيئة الاشتراطات العامة لمنح شهادة الاعتماد، منها أن تكون أنشطة معالجة البيانات الشخصية المتبعة لدى مقدم الطلب تمت وفقاً لممارسات وإجراءات متوافقة مع أحكام النظام واللوائح، بناءً على تقييم تجريه الجهة المرخص لها؛ وفقاً لما يصدر من الجهة المختصة في هذا الشأن.
معالجة البيانات الشخصية
وأكدت ضرورة الإفصاح عن أي شكاوى سابقة على مقدم الطلب ناشئة من تطبيق أحكام النظام واللوائح والتأكيد على عدم وجود شكاوى قائمة أثناء مدة تقديم طلب شهادة الاعتماد، والإفصاح عن أي مخالفات لأحكام النظام أو اللوائح تم رصدها مُسبقاً من قبل الجهة المختصة.
وشددت على توافر الأدوات التقنية الداعمة لدى مقدم الطلب للقيام بأنشطة معالجة البيانات الشخصية وحمايتها وفقاً لأحكام النظام واللوائح، إضافةً إلى القيام بذلك من قبل عاملين مؤهلين نظامياً وتقنياً وتتحقق لديهم خبرات في الجوانب النظامية لحماية البيانات الشخصية والجوانب التقنية لإجراءات وممارسات حماية البيانات الشخصية، بما لا يقل عن 5 سنوات من ممارسة العمل في هذه المجالات.
وأشارت إلى ضرورة توافر وثائق معتمدة توضح الإجراءات والوسائل التنظيمية والإدارية والتقنية والممارسات المتبعة عند معالجة البيانات الشخصية، بما في ذلك التدابير المتبعة لضمان أمن البيانات الشخصية.
ونصت وثيقة القواعد على التزام الجهة التي صدر لها شهادة الاعتماد بالعمل على تدريب وتطوير العاملين المعنيين بشكل مستمر في مجالات معالجة البيانات الشخصية وفقاً لأحكام النظام واللوائح، ودعمهم في الحصول على شهادات مهنية في هذا المجال لضمان رفع كفاءتهم.
الحصول على شهادة الاعتماد
وفي حال حصلت جهة خارج المملكة على شهادة الاعتماد، تلتزم الجهة بإشعار الجهة المرخص لها في حال وجود أي تغيير في المتطلبات النظامية أو الممارسات لدى الدولة تتعارض مع أي من اشتراطات ومتطلبات الحصول على شهادة الاعتماد.
وألزمت لجهة المرخص لها بإجراء عمليات تدقيق وتقييم – مرة واحدة سنوياً أو متى دعت الحاجة إلى ذلك – لضمان التزام الجهة التي صدر لها شهادة الاعتماد بأحكام النظام واللوائح والاشتراطات والمتطلبات المنصوص عليها.
وأتاحت الوثيقة للجهة المختصة توجيه الجهة المرخص لها بإعادة تقييم مدى ملاءمة استمرار سريان شهادة الاعتماد في حال مخالفة الجهة الحاصلة على شهادة الاعتماد لأي من أحكام النظام واللوائح أو الاشتراطات والمتطلبات المنصوص عليها في المادة «الثالثة» و«الرابعة» من هذه القواعد.
وتلتزم جهة المعالجة التي خارج المملكة إذا صدر لها شهادة الاعتماد بموجب هذه القواعد، بالتعاون مع الجهة المختصة والجهة المرخص لها حيال أي طلبات متعلقة بنظام حماية البيانات الشخصية ولوائحه التنفيذية وهذه القواعد.
وشددت الوثيقة على التزام منسوبو الجهة المرخص لها بالإفصاح عن أي تعارض فعلي أو محتمل في المصالح مع مقدم الطلب.