English

نظام حماية البيانات الشخصية (PDPL)

نظام PDPL السعودي — حقوقك في بياناتك الشخصية وما يلزم الشركات.

نظام حماية البيانات الشخصية

📋 وش في هذا المقال

  1. إيش يشمل نظام حماية البيانات الشخصية
  2. المرسوم الملكي م/19
  3. سدايا — الجهة المنظِّمة
  4. حقوق صاحب البيانات السبعة
  5. المتحكم والمعالج — توزيع المسؤولية
  6. نقل البيانات خارج المملكة
  7. العقوبات والإخطار خلال 72 ساعة
  8. أسئلة شائعة
  9. متى تحتاج محامي

إيش يشمل نظام حماية البيانات الشخصية

نظام حماية البيانات الشخصية أول إطار سعودي شامل لحماية البيانات، مبني على المعايير العالمية بما فيها GDPR لكن بتعديلات مميزة للسوق السعودي. النظام يلتقط أي معالجة لبيانات شخصية — جمع، تخزين، استخدام، إفصاح — من قبل أي جهة تشتغل في المملكة أو تستهدف عملاء فيها.

خدمات القضايا القانونية
خدمات القضايا القانونية

النظام دخل حيز التنفيذ الكامل في 14 سبتمبر 2023 بعد فترة انتقالية سنة. الشركات في السعودية واجهت سباق امتثال موسّع خلال الفترة الانتقالية، والتطبيق فعلي ونشط من تاريخ النفاذ. النظام يطبّق على كل عمل يتعامل مع بيانات عملاء، موظفين، أو جهات اتصال بأي حجم معتبر — ما فيه إعفاء بناءً على الحجم.

المرسوم الملكي م/19

نظام حماية البيانات الشخصية صدر بالمرسوم الملكي رقم م/19 وتاريخ 9/2/1443هـ. اللائحة التنفيذية صدرت في 2023 بمواصفات امتثال تفصيلية. الإطار يطبّق على أي جهة تعالج بيانات شخصية لأفراد في المملكة بغض النظر عن مكان تأسيس الجهة — يعني الشركات الأجنبية اللي عندها عملاء سعوديون داخل النطاق.

النظام يشتغل بتنسيق مع قواعد قطاعية ثانية: إطار البنك المركزي السعودي للمؤسسات المالية، قواعد وزارة الصحة لبيانات الرعاية الصحية، وقواعد هيئة الاتصالات وتقنية المعلومات لبيانات الاتصالات. كل قطاع يحافظ على قواعده التخصصية اللي تكمّل الإطار العام بدل ما تستبدله.

سدايا — الجهة المنظِّمة

الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) هي الجهة المنظِّمة الأساسية تحت النظام. سدايا مسؤولة عن: إصدار اللوائح التنفيذية، إجراء مراجعات الامتثال، التحقيق في الشكاوى، فرض العقوبات الإدارية، وتنسيق التعاون الدولي مع جهات حماية البيانات الأجنبية.

سدايا تشتغل عبر المكتب الوطني لإدارة البيانات للوظيفة التنظيمية وبنت قدرة تنفيذية معتبرة من 2022. مراجعات الامتثال تركّز على أطر الحوكمة الموثّقة، التعامل مع طلبات أصحاب البيانات، إجراءات الإخطار بالخروقات، وآليات النقل عبر الحدود. الجهات اللي توقع بمخالفات متكررة تواجه نشر تحذيرات عامة بأسمائها — وهذا يحمل آثاراً سمعوية ثقيلة في السوق السعودي.

حقوق صاحب البيانات السبعة

النظام يمنح أصحاب البيانات (الأفراد اللي تتم معالجة بياناتهم) مجموعة حقوق محددة:

  • حق الإبلاغ — معرفة أي بيانات تُجمَع، الغرض، والأساس القانوني
  • حق الوصول — الحصول على نسخة من البيانات الشخصية المحفوظة عنه
  • حق التصحيح — تعديل البيانات غير الدقيقة
  • حق المسح — حذف البيانات لما ينتهي الغرض أو تُسحَب الموافقة (مع مراعاة متطلبات الاحتفاظ القانوني)
  • حق سحب الموافقة — للمعالجة المبنية على الموافقة
  • حق الاعتراض — على المعالجة للتسويق المباشر أو القرارات الآلية
  • حق الشكوى — إلى سدايا للنزاعات اللي ما تنحل مع المتحكم

المتحكمون ملزمون بالرد على طلبات أصحاب البيانات خلال 30 يوم (قابلة للتمديد إلى 60 يوم في الطلبات المعقدة). الفشل في الرد بحد ذاته مخالفة.

المتحكم والمعالج — توزيع المسؤولية

النظام يميّز بين المتحكمين (الجهات اللي تحدد أغراض ووسائل المعالجة) والمعالجين (الجهات اللي تعالج نيابة عن المتحكمين). الاثنان يواجهان التزامات، مع المتحكمين يحملون عبء الامتثال الأساسي.

التزامات المتحكم تشمل: الاحتفاظ بسجل لأنشطة المعالجة؛ تطبيق تدابير أمنية فنية وتنظيمية مناسبة؛ إجراء تقييمات أثر حماية البيانات للمعالجة عالية المخاطر؛ تعيين مسؤول حماية البيانات للجهات اللي تستوفي معايير الحد الأدنى؛ إخطار سدايا وأصحاب البيانات المتأثرين بالخروقات خلال أطر زمنية محددة؛ وضمان الأساس القانوني لكل نشاط معالجة.

التزامات المعالج تشمل: المعالجة فقط بناءً على تعليمات موثّقة من المتحكم؛ تطبيق تدابير أمنية مناسبة للمخاطر؛ التعاون مع المتحكم في تلبية طلبات أصحاب البيانات؛ وإخطار المتحكم بالخروقات بدون تأخير. توزيع المسؤولية بين الطرفين لازم يكون موثّقاً تعاقدياً — اتفاقية معالجة بيانات (DPA) صارت بند قياسي في معظم العقود اللي فيها معالجة بيانات.

نقل البيانات خارج المملكة

النظام يقيّد نقل البيانات الشخصية خارج المملكة. النقل المسموح به يحتاج واحد من: موافقة سدايا، قرار كفاية للولاية المستقبلة، ضمانات مناسبة (شروط تعاقدية معتمدة أو قواعد ملزمة للشركات)، موافقة محددة من صاحب البيانات على النقل، أو واحد من أسس الاستثناء المحددة (مصالح حيوية، أداء مهمة عامة، مطالبات قانونية).

إطار النقل عبر الحدود كان أكبر تحدي امتثال خلال الفترة الانتقالية. كثير من البنى التحتية للأعمال كانت توجّه المعالجة عبر خدمات سحابية أمريكية أو أوروبية بدون حماية صريحة للاختصاص السعودي. سدايا كانت عملية في التطبيق خلال المرحلة الأولى لكن المتوقع تشدّد كلما تحسّن نضج الامتثال. الشركات اللي عندها تعرض جوهري — مزودي الرعاية الصحية، الفنتك، التجارة الإلكترونية بأحجام كبيرة — صارت تستخدم مزودي سحابة معتمدين محلياً للبيانات الحساسة.

العقوبات والإخطار خلال 72 ساعة

مخالفات النظام تحمل عقوبات إدارية (تفرضها سدايا) وعقوبات جزائية (للمخالفات الجسيمة أو المتكررة، تُلاحَق عبر النيابة العامة).

العقوبات الإدارية متدرجة: تحذيرات، إجراءات تصحيحية إلزامية، وغرامات مالية تصل لخمسة ملايين ريال لمعظم الفئات. العقوبات الجزائية تنطبق على المخالفات اللي تشمل بيانات حساسة، إفصاح متعمد غير قانوني، أو مخالفات إدارية متكررة — وتصل لسنتين سجن وثلاثة ملايين ريال.

إخطار خرق البيانات على رأس الالتزامات الزمنية: 72 ساعة من اكتشاف الخرق لإبلاغ سدايا، بالإضافة لإخطار أصحاب البيانات المتأثرين بدون تأخير لما يكون الخرق محتمل التسبب بضرر. الفشل في الإخطار في الوقت ينقلب من خرق واحد لمخالفتين منفصلتين.

أسئلة شائعة

هل النظام يطبّق على الشركات الصغيرة؟ نعم — النظام يطبّق على أي جهة تعالج بيانات شخصية، بغض النظر عن الحجم. متطلبات الامتثال تتدرج مع حجم وحساسية البيانات المعالَجة، لكن ما فيه عمل معفى من الالتزامات الأساسية.

كيف أتعامل مع طلب من صاحب بيانات؟ الطلب لازم يُقَر باستلامه في وقت معقول وتتم الاستجابة الموضوعية له خلال 30 يوم. معظم المتحكمين عندهم عملية مخصصة للتعامل مع الطلبات، مع إجراءات تصعيد واضحة للحالات المعقدة.

إيش يُعتبَر خرق بيانات يستوجب الإخطار؟ الخرق هو أي حادثة تؤدي لوصول، إفصاح، تعديل، أو فقدان غير مصرح به لبيانات شخصية. الإخطار لسدايا وأصحاب البيانات المتأثرين مطلوب للخروقات اللي يُحتمَل تسبب ضرراً — خلال 72 ساعة لإخطار سدايا، وبدون تأخير لإخطار الأفراد.

أقدر أنقل بيانات العملاء السعوديين لمقر شركتي خارج المملكة؟ نعم، لكن فقط مع ضمانات مناسبة. الآليات الأكثر شيوعاً هي الشروط التعاقدية القياسية المعتمدة من سدايا، الموافقة الصريحة من أصحاب البيانات على النقل المحدد، أو المعالجة الضرورية لأداء عقد مع صاحب البيانات. كل آلية تحتاج امتثال موثّق.

متى تحتاج محامي

امتثال نظام حماية البيانات الشخصية صار بشكل متزايد مجال تخصصي يحتاج محامين عندهم خبرة بحماية البيانات وخبرة تنظيمية سعودية. تصميم برنامج الامتثال، اختيار آلية النقل عبر الحدود، قرار تعيين مسؤول حماية البيانات، وخطة الاستجابة للخروقات كلها تستفيد من محامي شاف مراجعات امتثال متعددة.

للجوانب التجارية وصياغة العقود لترتيبات معالجة البيانات، شوف الخدمات القانونية. لقضايا الجرائم المعلوماتية ذات الصلة — خروقات البيانات عادةً عندها أبعاد جزائية بالإضافة للتنظيمية — شوف نظام مكافحة الجرائم المعلوماتية.

للاطلاع على النص الكامل: هيئة الخبراء بمجلس الوزراء (laws.boe.gov.sa) تنشر نظام حماية البيانات الشخصية. سدايا (sdaia.gov.sa) تنشر اللوائح التنفيذية وإرشادات الامتثال.

عندك سؤال قانوني؟

كلّمنا على واتساب الحين — ما في انتظار.

واتساب — مجاناً