📍 المملكة العربية السعودية تحديث مستمر على مدار الساعة
بوابة الوظائف

البيت الأهلي للتمويل تعلن عن وظيفة مسؤول خصوصية البيانات في مكة وجدة

Data Privacy Officer
🏢 البيت الأهلي للتمويل
🕒 نُشرت: (اليوم) 📍 جدة
التقديم على الوظيفة من المصدر الرسمي ↗

تفاصيل الوظيفة

البيت الأهلي للتمويل يعلن عن وظيفة مسؤول خصوصية البيانات (Data Privacy Officer) في مكة وجدة، المملكة العربية السعودية.

نبذة عن الوظيفة

مسؤول خصوصية البيانات هو المالك التشغيلي المسؤول عن تنفيذ متطلبات حماية البيانات الشخصية. يحافظ على قاعدة أدلة الامتثال للخصوصية، وينسق مع الأعمال، تقنية المعلومات، الأمن السيبراني، الشؤون القانونية، المشتريات، والموردين، ويضمن توثيق ومراقبة أنشطة المعالجة وطلبات أصحاب البيانات وتقييمات تأثير الخصوصية والانتهاكات والإفصاحات وأنشطة المعالج والنقل عبر الحدود.

المهام والمسؤوليات

  • حقوق أصحاب البيانات وقنوات التواصل: استلام والتحقق وتوثيق وتنسيق الردود على طلبات أصحاب البيانات (الوصول، النسخ، التصحيح، التحديث، الإكمال، الإتلاف، سحب الموافقة). ضمان الاستجابة ضمن المهلة المطلوبة وتوثيق التمديدات والرفض والمبررات. التحقق من هوية مقدم الطلب قبل تنفيذ حقوقه. تشغيل أو تنسيق قنوات التواصل المعتمدة مثل البريد الإلكتروني، الرسائل النصية، العنوان الوطني، التطبيقات الإلكترونية.
  • إشعارات الخصوصية والموافقة وضوابط التسويق: إعداد وصيانة إشعارات الخصوصية التي تشرح هوية المتحكم، تفاصيل الاتصال، أغراض المعالجة، الأساس القانوني، فترات الاحتفاظ، الحقوق، سحب الموافقة. تنسيق جمع الموافقة وأدلتها، ضمان منحها بحرية وبشكل محدد وموثق حسب الغرض. دعم ضوابط التسويق المباشر والإعلانات بما في ذلك آليات إلغاء الاشتراك وإيقاف التسويق فوراً عند السحب.
  • سجلات أنشطة المعالجة: إنشاء وصيانة وتحديث سجلات مكتوبة لأنشطة معالجة البيانات الشخصية. تضمين تفاصيل المتحكم، أغراض المعالجة، فئات البيانات، فئات أصحاب البيانات، فترات الاحتفاظ، مستلمي الإفصاح، النقل خارج المملكة، وإجراءات الأمان. إتاحة السجلات للمراجعة الداخلية أو التدقيق أو الجهة المختصة.
  • تقييم تأثير الخصوصية: إجراء وتوثيق تقييمات تأثير الخصوصية للبيانات الحساسة، الربط بين مجموعات البيانات، المعالجة واسعة النطاق أو المتكررة، المراقبة، التقنيات الجديدة، القرارات الآلية. تقييم الغرض، الأساس القانوني، مصادر البيانات، النطاق الجغرافي، التناسب، شدة الضرر واحتماله، وضوابط التخفيف. تنسيق إعادة التقييم عند بقاء المخاطر مرتفعة.
  • دعم تصنيف البيانات وجردها: الحفاظ على جرد البيانات الشخصية وتنسيق أنشطة التصنيف مع مالكي الأعمال والأنظمة. تتبع تطبيق ضوابط التصنيف (الوسم، الوصول، الاستخدام، التخزين، المشاركة، الاحتفاظ، التخلص، والأرشفة). رفع القرارات غير الواضحة أو عالية المخاطر إلى كبير مسؤولي خصوصية البيانات.
  • عمليات مشاركة البيانات: استلام ومراجعة طلبات مشاركة البيانات الداخلية أو الخارجية. التحقق من الغرض، الأساس القانوني، تقليل البيانات، التصنيف، التفويض، الضمانات، المدة، التردد، الإنهاء والمسؤولية. إعداد اتفاقيات المشاركة أو جداول الخصوصية والتنسيق للموافقة قبل المشاركة. حفظ سجلات الطلبات والقرارات والضوابط.
  • عمليات النقل عبر الحدود: الحفاظ على سجل نقل البيانات الشخصية أو الإفصاح عنها خارج المملكة. إجراء تقييمات مخاطر النقل (الغرض، الأساس القانوني، طبيعة النقل، النطاق الجغرافي، الضمانات، تقليل البيانات، الآثار المادية أو المعنوية المحتملة). التحقق من استخدام الضمانات المعتمدة مثل الشروط التعاقدية الموحدة، القواعد الملزمة المشتركة، الاعتماد. مراقبة التغييرات في الضمانات أو الدول أو الأغراض ورفع القضايا التي تتطلب الإيقاف أو المعالجة.
  • امتثال الخصوصية للمعالجين والأطراف الثالثة: مراجعة استبيانات الخصوصية والعناية الواجبة والشروط التعاقدية للمعالجين والأطراف الثالثة. ضمان تحديد غرض المعالجة، فئات البيانات، المدة، واجبات الإبلاغ عن الاختراق، التعرض التنظيمي الأجنبي، الإفصاحات الإلزامية، المعالجون الفرعيون، إتلاف/إعادة البيانات. تتبع الموافقات والاعتراضات ومراجعات الامتثال الدورية.
  • دعم اختراق البيانات الشخصية والحوادث: التنسيق مع فرق الأمن السيبراني لتحديد ما إذا كان الحادث الأمني يشكل اختراقاً للبيانات الشخصية. إعداد تحليل الاختراق (الوقت/التاريخ/الظروف، فئات البيانات، عدد المتضررين، نوع البيانات، المخاطر، الإجراءات المتخذة). دعم الإبلاغ للجهة المختصة ضمن المهلة. إعداد إشعارات أصحاب البيانات بلغة واضحة عند احتمال الضرر. حفظ تقارير الاختراق والإجراءات التصحيحية والدروس المستفادة.
  • الاحتفاظ والإتلاف وجودة البيانات: الحفاظ على إجراءات الاحتفاظ والإتلاف للبيانات الشخصية (بما في ذلك البيانات التشغيلية والمؤرشفة والنسخ الاحتياطية). تنسيق طلبات الإتلاف وضمان الإخطار للأطراف التي تم الإفصاح لها سابقاً. ضمان دقة البيانات واكتمالها وتحديثها وتوثيق التصحيحات وإخطار المستلمين المعنيين. تتبع أدلة التخلص ورفع الفجوات في الإتلاف الآمن أو الامتثال للاحتفاظ.
  • التوعية والمراقبة وإدارة الأدلة: إجراء أنشطة التوعية بالخصوصية وحضور الاجتماعات والحفاظ على أدلة التدريب. إجراء فحوصات امتثال دورية وإعداد لوحات معلومات لكبير مسؤولي خصوصية البيانات. الحفاظ على أدلة جاهزة للتدقيق للسياسات والإجراءات والتقييمات وطلبات الحقوق والاختراقات وعمليات النقل.
عرض النص الأصلي للإعلان

1.

Role Summary


The Data Privacy Officer is the operational owner

responsible for executing personal data protection requirements. The role

maintains the privacy compliance evidence base, coordinates with business, IT,

cybersecurity, legal, procurement, and vendors, and ensures that processing

activities, data subject requests, privacy impact assessments, breaches,

disclosures, processor activities, and cross-border transfers are documented

and controlled


2.

Key Responsibilities


2.1 Data Subject Rights and Communication Channels


·

Receive, validate, document,

and coordinate responses to data subject requests including access, copy,

correction, update, completion, destruction, and consent withdrawal.

·

Ensure requests are acted

upon within the required timelines and that extensions, refusals, and

justifications are documented.

·

Verify requester identity

before executing rights requests and maintain records for oral and written

requests.

·

Operate or coordinate

approved communication channels for data subject rights such as email, SMS,

national address, electronic applications, or other lawful channels.

2.2 Privacy Notices, Consent, and Marketing Controls


·

Prepare and maintain privacy

notices that explain controller identity, contact details, processing purposes,

legal basis, retention periods, rights, consent withdrawal, and whether

processing is mandatory or optional.

·

Coordinate consent capture

and evidence, ensuring consent is freely given, specific, documented, and

separate by processing purpose where required.

·

Maintain consent withdrawal

procedures and coordinate cessation of processing where consent is the sole

legal basis.


Support direct marketing and advertising controls,

including opt-out mechanisms, sender identity disclosure, consent evidence, and

immediate halt of marketing upon withdrawal


2.3 Records of Processing Activities


·

Create, maintain, and

periodically update written records of personal data processing activities.


·

Ensure records include

controller details, DPO information where applicable, purposes, personal data

categories, data subject categories, retention periods, disclosure recipients,

transfers outside the Kingdom, and security measures.

Make records available for internal review, audit,

management reporting, or competent authority request


2.3 Privacy Impact Assessment


·

Conduct and document privacy

impact assessments for sensitive data, linked datasets, large-scale or

repetitive processing, monitoring, new technologies, automated decisions, or

services likely to cause serious privacy harm.

·

Assess processing purpose,

legal basis, data sources, recipients, geographical scope, context,

proportionality, severity and likelihood of harm, and mitigating controls.

·

Coordinate re-assessments

when processing risks remain high or proposed processing may harm data subject

privacy.

·

Support legitimate interest

assessments where processing relies on legitimate interest, ensuring necessity,

balance of interests, reasonable expectations, and exclusion of sensitive data.

2.4 Data Classification and Inventory Support


·

Maintain the personal data

inventory and coordinate classification activities with business and system

owners.

·

Support classification based

on impact, sensitivity, data type, business purpose, and regulatory

requirements.

·

Track application of

classification controls including protective marking, access, usage, storage,

data sharing, retention, disposal, archival, and declassification.

·

Escalate unclear or high-risk

classification decisions to the Chief Data Privacy Officer.


2.5 Data Sharing Operations


·

Receive and review data

sharing requests from internal or external parties.


·

Validate purpose, legal

basis, data minimization, classification, authorization, data type,

preprocessing, safeguards, sharing duration, frequency, termination, and

liability requirements.

·

Prepare data sharing

agreements or privacy schedules and coordinate approvals before data is shared.


·

Maintain records of data

sharing requests, decisions, agreements, controls, and evidence of

implementation.

2.6 Cross-Border Transfer Operations


·

Maintain the register of

personal data transfers or disclosures outside the Kingdom.

Conduct transfer risk

assessments where required, covering purpose, legal basis, transfer nature,

geographical scope, safeguards, data minimization, potential material or moral

effects, and mitigation controls.

·

Validate use of approved

safeguards such as standard contractual clauses, binding common rules,

accreditation/certification, or other safeguards approved by the competent

authority.

·

Monitor transfers for changes

in safeguards, sub-processors, countries, transfer purpose, or regulatory

conditions and escalate issues requiring halt or remediation.

2.7 Processor and Third-Party Privacy Compliance


·

Review third-party and

processor privacy questionnaires, due diligence evidence, and contractual

privacy clauses.

·

Ensure processor agreements

define processing purpose, personal data categories, processing duration,

breach notification duties, foreign regulatory exposure, mandatory disclosures,

sub-processors, and data destruction/return requirements.

·

Track processor and

sub-processor approvals, objections, assurance reviews, and remediation

actions.

·

Coordinate periodic processor

compliance assessments and maintain evidence.


2.8 Personal Data Breach and Incident Support


Coordinate with cybersecurity

and incident response teams to identify whether a security incident qualifies

as a personal data breach.

·

Prepare breach analysis

including time/date/circumstances, data categories, number of affected data

subjects, type of personal data, risks, actions taken, future mitigation, and

contact details.

·

Support notification to the

competent authority within the required timeframe where applicable.


Prepare data subject

notification content in simple and clear language where the breach may harm

data subjects or conflict with their rights or interests.·

Maintain breach reports,

corrective actions, supporting evidence, and lessons learned.


2.9 Retention, Destruction, and Data Quality

Maintain retention and

destruction procedures for personal data, including operational data, archived

data, and backups where applicable.



·

Coordinate destruction

requests and ensure notifications are sent to parties to whom data was

previously disclosed when required.



·

Ensure personal data

accuracy, completeness, timeliness, correction documentation, and notification

to relevant recipients following correction.



·

Track disposal evidence and

escalate gaps in secure destruction or retention compliance.




2.10 Awareness, Monitoring, and Evidence Management·

Conduct privacy awareness

activities and maintain attendance, communication, and training evidence.

·

Perform periodic privacy

compliance checks and prepare dashboards for the Chief Data Privacy Officer.

·

Maintain audit-ready evidence

for policies, procedures, assessments, rights requests, breaches, transfers,

processors, data sharing, and corrective actions.·

Follow up remediation plans

and report overdue risk items.




3. Required Deliverables Owned by the Data Privacy Officer

Data subject rights register and request evidence.

·

Privacy notice register and consent/withdrawal evidence.

·

Records of processing activities register.

·

Privacy impact assessments and legitimate interest assessments.

Personal data inventory and classification evidence.

·

Data sharing request register and data sharing agreements.

·

Cross-border transfer register and transfer risk assessments.

Processor due diligence records, contract review evidence, and sub-processor approval records.


Personal data breach notification packs and corrective action evidence.

·

Retention, destruction, correction, and data quality records.


Privacy compliance dashboard and awareness records.





المصدر: LinkedIn - أُضيفت للموقع في 22 يونيو 2026