دليل الامتثال لنظام حماية البيانات الشخصية (PDPL) — خطوات عملية لتجنب الغرامات
ما هو نظام حماية البيانات الشخصية (PDPL)؟
نظام حماية البيانات الشخصية (PDPL) هو التشريع الأساسي لحماية الخصوصية في المملكة العربية السعودية. صدر بمرسوم ملكي عام 2023 ودخل حيّز التنفيذ الكامل في سبتمبر 2024. تُشرف على تطبيقه الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) التي أصدرت حتى الآن أكثر من 48 قرار مخالفة وفقاً لتقارير 2025.
يُعد PDPL مكافئاً سعودياً للائحة حماية البيانات العامة الأوروبية (GDPR)، لكنه مُصمم للسياق المحلي مع اشتراطات خاصة بتوطين البيانات والسيادة الرقمية. النظام يشمل 43 مادة تُغطي جمع البيانات الشخصية ومعالجتها وتخزينها ونقلها وإتلافها.
لمن يُطبَّق نظام PDPL؟
يتميز النظام بنطاق تطبيق واسع يشمل:
- القطاع الحكومي والخاص: جميع الجهات التي تجمع أو تعالج بيانات شخصية في المملكة
- النطاق خارج الحدود: الشركات الأجنبية التي تقدم خدمات أو منتجات لأفراد في المملكة
- جميع الأحجام: من الشركات الناشئة إلى الشركات الكبرى — لا استثناء بناءً على الحجم
يشمل ذلك: المتاجر الإلكترونية، التطبيقات، مقدمي الخدمات الصحية، البنوك، شركات الاتصالات، المؤسسات التعليمية، وأي جهة تجمع بيانات عملاء أو موظفين.
المتطلبات الأساسية للامتثال
| المتطلب | الوصف | المهلة الزمنية |
|---|---|---|
| الموافقة الصريحة | الحصول على موافقة واضحة ومحددة قبل جمع البيانات الشخصية | فوري |
| التسجيل في منصة الحوكمة | التسجيل في منصة الحوكمة الوطنية للبيانات (SDAIA) | إلزامي |
| إخطار الاختراق | إبلاغ SDAIA بأي اختراق للبيانات خلال 72 ساعة | 72 ساعة |
| تعيين DPO | تعيين مسؤول حماية بيانات للجهات الكبيرة | موصى به |
| توطين البيانات | تخزين البيانات الحساسة داخل المملكة | إلزامي |
| حقوق أصحاب البيانات | تمكين الأفراد من الوصول والتصحيح والحذف | 30 يوماً للرد |
الغرامات والعقوبات — أرقام حقيقية
لا يتساهل النظام مع المخالفين. وفقاً لبيانات SDAIA الرسمية:
- غرامة تصل إلى 5 ملايين ريال للمخالفة الواحدة
- مضاعفة الغرامة في حالة تكرار المخالفة
- التشهير العلني بالمخالفين عبر القنوات الرسمية
- إيقاف الأنشطة المتعلقة بمعالجة البيانات حتى تحقيق الامتثال
أصدرت SDAIA أكثر من 48 قرار مخالفة حتى 2025، مما يؤكد جدية التطبيق. المخالفات الأكثر شيوعاً تشمل: جمع بيانات بدون موافقة، عدم توفير سياسة خصوصية واضحة، ونقل بيانات خارج المملكة دون مبرر.
حقوق أصحاب البيانات بموجب PDPL
يمنح نظام PDPL أصحاب البيانات الشخصية مجموعة من الحقوق الأساسية التي يجب على كل مؤسسة احترامها وتمكين الأفراد من ممارستها:
- حق الوصول: يحق لصاحب البيانات طلب نسخة من بياناته الشخصية المُخزنة لدى المؤسسة، مع معرفة أغراض المعالجة والأطراف التي شُوركت معها
- حق التصحيح: يحق للفرد طلب تصحيح أي بيانات غير دقيقة أو غير مكتملة
- حق الحذف (حق النسيان): يمكن لصاحب البيانات طلب حذف بياناته عند انتفاء الغرض من المعالجة أو سحب موافقته
- حق الاعتراض: يحق للفرد الاعتراض على معالجة بياناته لأغراض التسويق المباشر
- حق النقل: يحق لصاحب البيانات الحصول على بياناته بصيغة إلكترونية منظمة وقابلة للقراءة آلياً
يجب على المؤسسة الرد على طلبات أصحاب البيانات خلال 30 يوماً من تاريخ الطلب. عدم الاستجابة يُعد مخالفة صريحة للنظام.
تصنيف البيانات الشخصية حسب PDPL
يُصنّف النظام البيانات الشخصية إلى فئتين رئيسيتين تختلفان في مستوى الحماية المطلوب:
| الفئة | الأمثلة | مستوى الحماية | نقل خارج المملكة |
|---|---|---|---|
| بيانات شخصية عادية | الاسم، البريد الإلكتروني، رقم الهاتف، العنوان | حماية أساسية + موافقة | مسموح بضوابط |
| بيانات شخصية حساسة | البيانات الصحية، البيانات المالية، البيانات البيومترية، المعتقدات الدينية، السجل الجنائي | حماية مشددة + موافقة صريحة | ممنوع إلا بموافقة خاصة |
البيانات الحساسة تتطلب إجراءات حماية إضافية تشمل: التشفير الإلزامي، تقييد الوصول لأقل عدد من الموظفين، وسجل تدقيق مفصل لكل عملية وصول أو تعديل. نقل البيانات الحساسة خارج المملكة يتطلب موافقة خاصة من SDAIA.
المخالفات الشائعة — دروس من قرارات SDAIA
من تحليل قرارات المخالفات الـ 48+ التي أصدرتها SDAIA، تبرز أنماط متكررة يمكن للمؤسسات تجنبها:
- جمع بيانات بدون موافقة صريحة: أكثر المخالفات شيوعاً — خاصة في التطبيقات التي تجمع بيانات الموقع أو جهات الاتصال بدون إذن واضح
- سياسة خصوصية غائبة أو غير واضحة: مواقع وتطبيقات بدون سياسة خصوصية، أو بسياسة مكتوبة بلغة قانونية معقدة لا يفهمها المستخدم العادي
- نقل بيانات عبر الحدود: تخزين بيانات سعوديين على خوادم خارج المملكة دون الحصول على الموافقات اللازمة أو تطبيق الضمانات الكافية
- الاحتفاظ بالبيانات لفترات مفرطة: الاستمرار في تخزين بيانات شخصية بعد انتفاء الغرض من جمعها دون سياسة حذف واضحة
- عدم الإبلاغ عن الاختراقات: التأخر في إبلاغ SDAIA عن حوادث تسريب البيانات بعد المهلة المحددة بـ 72 ساعة
خطوات عملية لتحقيق الامتثال
الخطوة 1: جرد البيانات (Data Mapping)
حدد جميع البيانات الشخصية التي تجمعها وتعالجها: ما نوعها؟ من أين تأتي؟ أين تُخزَّن؟ من يصل إليها؟ هل تُنقل خارج المملكة؟ أنشئ سجلاً تفصيلياً لأنشطة المعالجة (Record of Processing Activities). هذا السجل هو الأساس الذي تُبنى عليه كل خطوات الامتثال اللاحقة، ويجب أن يشمل: مصادر البيانات، أنواعها، أغراض المعالجة، الأنظمة المستخدمة، والأطراف الخارجية التي تصل إليها.
الخطوة 2: تحديث سياسة الخصوصية
أنشئ سياسة خصوصية واضحة وشفافة باللغة العربية تشمل: أنواع البيانات المجموعة، أغراض المعالجة، الأساس القانوني للمعالجة، فترات الاحتفاظ المحددة لكل نوع من البيانات، حقوق أصحاب البيانات الكاملة وكيفية ممارستها، ومعلومات الاتصال بمسؤول حماية البيانات. يجب أن تكون السياسة مكتوبة بلغة بسيطة يفهمها المستخدم العادي — لا لغة قانونية معقدة.
الخطوة 3: تطبيق آليات الموافقة
صمّم آليات واضحة للحصول على موافقة صريحة ومُحددة: نماذج اشتراك واضحة بمربعات اختيار غير محددة مسبقاً (Opt-in)، شرح واضح لكل غرض من أغراض جمع البيانات، وإمكانية سحب الموافقة بسهولة مساوية لمنحها. تجنب "المربعات الشاملة" التي تطلب موافقة على كل شيء مرة واحدة — يجب أن تكون الموافقة محددة لكل غرض.
الخطوة 4: تأمين البيانات تقنياً
طبّق ضوابط NCA ECC لحماية البيانات: التشفير أثناء النقل (TLS 1.3) والتخزين (AES-256)، إدارة الهويات والصلاحيات وفق مبدأ الحد الأدنى من الامتيازات، المراقبة المستمرة لعمليات الوصول للبيانات الشخصية، والنسخ الاحتياطي المشفر. تأكد من أن البيانات الحساسة مُخزنة داخل المملكة وفقاً لمتطلبات توطين البيانات.
الخطوة 5: إنشاء إجراءات الاستجابة للاختراق
ضع خطة واضحة ومُوثقة للإبلاغ عن اختراقات البيانات خلال 72 ساعة كحد أقصى. الخطة يجب أن تشمل: من يُخطَر داخلياً وخارجياً (SDAIA، الجهات الرقابية، أصحاب البيانات المتأثرون)، كيف يُقيَّم حجم وأثر الاختراق، خطوات الاحتواء الفوري، وكيفية التوثيق لأغراض التحقيق والتدقيق اللاحق.
العلاقة بين PDPL ومعايير الأمن السيبراني الأخرى
لا يعمل نظام PDPL بمعزل عن الأطر التنظيمية الأخرى في المملكة. الامتثال الفعّال يتطلب فهم التكامل بين هذه الأنظمة:
- PDPL + NCA ECC: ضوابط ECC توفر الأساس التقني لحماية البيانات الشخصية. تطبيق ECC يُسهّل الامتثال لمتطلبات PDPL التقنية بشكل كبير
- PDPL + ECC-2:2024: الإصدار المحدث من ECC أضاف 9 ضوابط خاصة بحوكمة البيانات مصممة للتكامل مع PDPL
- PDPL + نظام التجارة الإلكترونية: المتاجر الإلكترونية تخضع لمتطلبات إضافية في حماية بيانات الدفع والعملاء
- PDPL + قطاعات محددة: القطاع الصحي والمالي لديهما متطلبات حماية بيانات إضافية تُكمّل PDPL
مع أكثر من 48 قرار مخالفة صادر عن SDAIA وغرامات تصل إلى 5 ملايين ريال، الامتثال لنظام PDPL لم يعد خياراً — بل ضرورة عاجلة لكل مؤسسة تعمل في المملكة.
هل تحتاج مساعدة في الامتثال لنظام حماية البيانات الشخصية؟ نايت شيلد تقدم خدمات استشارية متكاملة تشمل جرد البيانات، تقييم الفجوات، وتنفيذ الامتثال. تواصل معنا للحصول على تقييم مجاني.
الأسئلة الشائعة
ما هو نظام حماية البيانات الشخصية (PDPL)؟+
نظام حماية البيانات الشخصية هو تشريع سعودي صدر عام 2023 ودخل حيّز التنفيذ الكامل في سبتمبر 2024. يُنظّم جمع ومعالجة وتخزين ومشاركة البيانات الشخصية للأفراد في المملكة، وتُشرف عليه الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA). يُعد مكافئاً سعودياً للائحة GDPR الأوروبية.
ما غرامات عدم الامتثال لنظام PDPL؟+
تصل الغرامات إلى 5 ملايين ريال سعودي للمخالفة الواحدة، وتُضاعف في حالة التكرار. أصدرت SDAIA حتى الآن أكثر من 48 قرار مخالفة. بالإضافة للغرامات، قد تشمل العقوبات الإيقاف المؤقت للأنشطة والتشهير بالمخالفين.
من الجهات الملزمة بالامتثال لنظام PDPL؟+
يُطبَّق النظام على جميع الجهات — حكومية وخاصة — التي تجمع أو تعالج بيانات شخصية لأفراد في المملكة، بما فيها الشركات الأجنبية التي تقدم خدمات للسوق السعودي (نطاق تطبيق خارج الحدود). يشمل ذلك: المتاجر الإلكترونية، التطبيقات، المستشفيات، البنوك، وشركات الاتصالات.
ما الفرق بين PDPL ومعايير NCA ECC؟+
معايير NCA ECC تركز على حماية البنية التحتية السيبرانية والأنظمة التقنية، بينما PDPL يركز على حماية البيانات الشخصية للأفراد وحقوقهم في الخصوصية. المؤسسات تحتاج للامتثال لكليهما: ECC لحماية الأنظمة، وPDPL لحماية البيانات.
هل يجب تعيين مسؤول حماية بيانات (DPO)؟+
نعم، يُوصي النظام بتعيين مسؤول حماية بيانات للجهات التي تعالج كميات كبيرة من البيانات الشخصية أو بيانات حساسة. المسؤول يُشرف على الامتثال، ويتعامل مع طلبات أصحاب البيانات، ويكون نقطة الاتصال مع SDAIA.