Home Knowledge base PDPL and SDAIA نظام حماية البيانات الشخصية السعودي: الدليل العملي للامتثال KNOWLEDGE BASE
نظام حماية البيانات الشخصية السعودي: الدليل العملي للامتثال
PDPL AND SDAIA

نظام حماية البيانات الشخصية السعودي: الدليل العملي للامتثال

SKYLINE Knowledge Base

أغلب ما يُكتب عن نظام حماية البيانات الشخصية هو اللائحة الأوروبية بأسماء أماكن مستبدلة. هذا الدليل منقول من المرسوم الملكي م/19 واللائحة التنفيذية لسدايا: الحقوق الخمسة (خمسة بالضبط)، وموجِب تقييم الأثر الأشد من نظيره الأوروبي، ومسؤول حماية البيانات بلا حماية من العزل، ومهلة الـ72 ساعة، وقواعد النقل خارج المملكة، والغرامات.

لأغلب ما يُتداول من إرشادات حول نظام حماية البيانات الشخصية في السعودية علامة فارقة: يقرأ وكأنه اللائحة الأوروبية (GDPR) وقد استُبدلت أسماء الأماكن فيها. سيسرد لك بثقة «حق الاعتراض»، و«حق تقييد المعالجة»، وواجب «الإقرار باستلام طلب صاحب البيانات خلال خمسة أيام عمل»، ومسؤول حماية بيانات لا يجوز عزله بسبب أدائه لمهامه. لا شيء من ذلك موجود في النظام السعودي. استُورد من أوروبا على يد كتّاب افترضوا أن النظامين لا بد أن يتطابقا، وهما لا يتطابقان.

وهذا أخطر من ملاحظة لغوية. فإن بنيت برنامج امتثالك على النظام الخطأ، ستُفرط في هندسة ما لا يشترطه النظام السعودي، وتُقصّر في بناء ما يشترطه فعلًا — وما يشترطه فعلًا هو، في جانب مهم على الأقل، أشد من اللائحة الأوروبية.

كل ما يلي منقول من الوثيقتين الحاكمتين فعلًا:

  • نظام حماية البيانات الشخصية، الصادر بالمرسوم الملكي رقم م/19 وتاريخ 9/2/1443هـ، والمعدّل بالمرسوم الملكي رقم م/148 وتاريخ 5/9/1444هـ. (يُشار إليه أدناه بـ«النظام».)
  • اللائحة التنفيذية لنظام حماية البيانات الشخصية، الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا). (يُشار إليها أدناه بـ«اللائحة».)

وكلتاهما صادرتان ومنشورتان عن سدايا — الهيئة السعودية للبيانات والذكاء الاصطناعي — على موقعها الرسمي. (موقع سدايا يحجب الجلب الآلي، لذا انتقل إلى قسم حماية البيانات الشخصية من الصفحة الرئيسة بدلًا من الوثوق برابط عميق منسوخ من مدونة.) وحيثما يسكت النظام أو اللائحة عن مسألة، يقول هذا الدليل ذلك صراحةً بدلًا من استعارة الإجابة من مكان آخر.

على من يسري، وأين

النظام لا يسمّي جهته التنظيمية بنفسه. فالمادة 1(3) تعرّف «الجهة المختصة» بأنها «الجهة التي تحدد بقرار من مجلس الوزراء». وعمليًا فإن تلك الجهة هي سدايا — الهيئة السعودية للبيانات والذكاء الاصطناعي — وهي التي تصدر اللائحة التنفيذية، وتدير السجل الوطني، وتتلقى إشعارات تسرّب البيانات.

أما التوقيت، فتنص المادة 43: «يُعمل بهذا النظام بعد مضي (سبعمائة وعشرين) يومًا من تاريخ نشره في الجريدة الرسمية». وقد أفضى ذلك إلى سريان النظام في 14 سبتمبر 2023، وتنص اللائحة في مادتها 38 على أنها «يُعمل بها من تاريخ العمل بالنظام». وقد انقضت الفترة الانتقالية التي تلت ذلك. النظام نافذ اليوم، لا التزامًا مقبلًا.

وهو يمتد خارج حدود المملكة. فـالمادة 33(4) تُلزم الجهة المختصة بأن «تحدد الأدوات والآليات المناسبة لمراقبة التزام أصحاب التحكم والمعالجين خارج المملكة بأحكام النظام واللائحة عند معالجتهم بيانات شخصية تخص أفرادًا مقيمين في المملكة بأي وسيلة، وأن تحدد إجراءات إنفاذ أحكام النظام واللائحة خارج المملكة». فإن كنت تعالج بيانات أشخاص يقيمون في السعودية، فأنت داخل النطاق، أيًّا كان مقر شركتك أو خوادمك.

الحقوق الخمسة — وهي خمسة بالضبط

المادة 4 من النظام قصيرة ومغلقة وحاصرة. «يكون لصاحب البيانات الشخصية — وفقًا لأحكام هذا النظام وما تحدده اللائحة — الحقوق الآتية»:

  1. الحق في العلم بالأساس النظامي والغرض من جمع بياناته الشخصية.
  2. الحق في الوصول إلى بياناته الشخصية لدى جهة التحكم، وفق القواعد والإجراءات المحددة في اللائحة، ودون إخلال بأحكام المادة (9) من النظام.
  3. الحق في طلب الحصول على بياناته الشخصية لدى جهة التحكم بصيغة مقروءة وواضحة، وفق الضوابط والإجراءات التي تحددها اللائحة.
  4. الحق في طلب تصحيح بياناته الشخصية لدى جهة التحكم أو إكمالها أو تحديثها.
  5. الحق في طلب إتلاف بياناته الشخصية لدى جهة التحكم متى لم تعد لازمة له، دون إخلال بأحكام المادة (18) من النظام.

هذه هي القائمة كاملةً. وإليك الآن القائمة التي ليست في النظام السعودي، والتي ينبغي أن تتوقف عن وضعها في سياسة الخصوصية لديك:

حق يُفترض وجوده حقيقته في النظام السعودي
الحق في تقييد المعالجة غير وارد في المادة 4. مستورد من المادة 18 من اللائحة الأوروبية.
الحق في الاعتراض على المعالجة غير وارد في المادة 4. مستورد من المادة 21 من اللائحة الأوروبية.
الحق في عدم الخضوع لـقرار آلي بحت غير مُقرَّر كحق في المادة 4. المعالجة الآلية ترد في النظام السعودي بوصفها موجِبًا للإفصاح ولتقييم الأثر (اللائحة م. 4(5) وم. 25(1)(ج))، لا حقًا مستقلًا في الرفض.
قابلية نقل البيانات إلى جهة تحكم أخرى ليست كذلك. الحق الثالث هو حق في الحصول على بياناتك «بصيغة مقروءة وواضحة» — حق في مواجهة جهة التحكم، لا حق في إلزامها بإرسال بياناتك إلى منافس.

ونشر حقوق لا تمنحها فعلًا ليس كرمًا بلا ثمن. إنه يُنشئ توقعات تعاقدية ستُحاسَب عليها، ويُشير إلى الجهة التنظيمية بأنك نقلت واجبك المدرسي عن غيرك.

المواعيد التي توجد فعلًا

مهلة الثلاثين يومًا حقيقية، وموضعها المادة 3(1)(أ) من اللائحة — لا المادة 5 التي هي مادة حق الوصول. تُلزم المادة 3(1)(أ) جهة التحكم بأن:

«تستجيب لطلب صاحب البيانات الشخصية في ممارسة حقوقه المقررة في النظام خلال مدة لا تتجاوز (30) يومًا ودون تأخير. ويجوز تمديد هذه المدة إذا كان التنفيذ يتطلب جهدًا غير متناسب، أو إذا تلقّت جهة التحكم طلبات متعددة من صاحب البيانات، على ألا تتجاوز مدة التمديد (30) يومًا إضافية، وأن يُشعَر صاحب البيانات مسبقًا بالتمديد وأسباب التأخير.»

لاحظ الانضباط في هذه العبارة: التمديد ليس تلقائيًا وليس صامتًا. عليك إشعار صاحب البيانات مسبقًا، مع بيان الأسباب.

ولا يوجد أي اشتراط بالإقرار خلال خمسة أيام عمل في النظام ولا في اللائحة. فإن كانت سياستك تتضمنه، فقد اختلقه أحدهم.

وثلاثة التزامات أخرى في المادة نفسها كثيرًا ما تُغفَل:

  • م. 3(1)(ج): عليك «اتخاذ التدابير المناسبة للتحقق من هوية مقدّم الطلب» قبل تنفيذه.
  • م. 3(1)(د): عليك «توثيق وحفظ سجل بجميع الطلبات الواردة، بما فيها الطلبات الشفهية». الطلب الذي يُقدَّم شفاهةً لموظف في فرع هو طلب. فإن كنت تسجّل فقط ما يصل عبر النموذج الإلكتروني، فأنت غير ممتثل.
  • م. 3(2): يجوز لك رفض الطلب «المتكرر أو الظاهر بطلانه أو الذي يتطلب جهدًا غير متناسب» — لكن عليك إشعار صاحب البيانات بالسبب.

وبصورة منفصلة، تمنحك المادة 4(3) من اللائحة مهلة ثلاثين يومًا للبيانات التي جمعتها عن شخص من طرف آخر لا منه: عليك «دون تأخير غير مبرر وخلال مدة لا تتجاوز (30) يومًا» أن تُخبره بما لديك، وبفئات البيانات، وبـالمصدر الذي حصلت منه عليها. وقوائم وسطاء البيانات ومزوّدو إثراء البيانات يتعثرون في هذه المادة باستمرار.

الأسس النظامية: الموافقة أولًا، ثم أربعة استثناءات

تضع المادة 5(1) القاعدة الأصل: «لا يجوز معالجة البيانات الشخصية أو تغيير الغرض من معالجتها دون موافقة صاحب البيانات». وتكفل المادة 5(2) سحب الموافقة «في أي وقت». وتمنع المادة 7 أن تكون الموافقة «شرطًا لتقديم خدمة أو منفعة، ما لم تكن الخدمة أو المنفعة مرتبطة ارتباطًا مباشرًا بمعالجة البيانات الشخصية التي صدرت الموافقة بشأنها» — فلا جدران موافقة على معالجة غير ذات صلة.

ثم تُعدّد المادة 6 الحالات الأربع التي لا تُشترط فيها الموافقة:

  1. أن تحقق المعالجة مصلحة فعلية لصاحب البيانات، ويكون التواصل معه متعذرًا أو صعبًا.
  2. أن تكون المعالجة بموجب نظام آخر، أو تنفيذًا لاتفاق سابق يكون صاحب البيانات طرفًا فيه.
  3. أن تكون جهة التحكم جهة عامة وتكون المعالجة لازمة لأغراض أمنية أو لتنفيذ متطلبات قضائية.
  4. أن تكون المعالجة لازمة لتحقيق مصالح مشروعة لجهة التحكم، دون الإخلال بحقوق صاحب البيانات ومصالحه، «على ألا تكون البيانات المعالجة ذات طبيعة حساسة».

هذا الأساس الرابع هو حصان العمل بالنسبة للمنشآت التجارية، واللائحة تضع عليه شروطًا حقيقية. فـالمادة 16(1) من اللائحة تتيح المعالجة للمصلحة المشروعة «باستثناء الجهات العامة» — فالجهات الحكومية لا تستطيع الاستناد إليها أصلًا — وبشرط: ألا يخالف الغرض أنظمة المملكة؛ وأن تُوازَن مصلحة جهة التحكم مع حقوق صاحب البيانات ومصالحه؛ وألا تشمل المعالجة بيانات حساسة؛ وأن تكون المعالجة «ضمن التوقعات المعقولة لصاحب البيانات».

ثم تشترط المادة 16(3) ما لم تفعله أغلب الشركات ببساطة: قبل الاستناد إلى المصلحة المشروعة، «على جهة التحكم أن تُجري وتوثّق تقييمًا للمعالجة المقترحة وأثرها على حقوق أصحاب البيانات ومصالحهم». تقييم المصلحة المشروعة المكتوب والمحفوظ ليس اختياريًا. وتذكر المادة 16(2) مثالين يندرجان تحتها: «الكشف عن عمليات الاحتيال» و«حماية أمن الشبكات والمعلومات».

البيانات الحساسة — التعريف الذي يحكم كل ما بعده

تعرّف المادة 1(11) البيانات الحساسة بأنها البيانات الشخصية التي تكشف:

  • الأصل العرقي أو الإثني
  • المعتقد الديني أو الفكري أو السياسي
  • البيانات المتعلقة بالأحكام والإدانات الجنائية الأمنية
  • البيانات الحيوية (البيومترية) أو الوراثية لغرض تحديد هوية الشخص
  • البيانات الصحية
  • البيانات الدالة على أن أحد والدي الفرد أو كليهما مجهول

ينبغي لأهل الاختصاص في السعودية ملاحظة أمرين. الأول أن الفئة الأخيرة — مجهولية النسب — لا نظير لها في اللائحة الأوروبية، وتعكس اهتمامًا اجتماعيًا محددًا في المملكة. والثاني أن البيانات الائتمانية معرَّفة على حدة في المادة 1(15) وليست ضمن قائمة البيانات الحساسة. لها ضوابطها الخاصة في مواضع أخرى، لكنها لا تجرّك تلقائيًا إلى نظام البيانات الحساسة. والأدلة التي تخلط بينهما تخمّن.

وسبب أهمية هذا التعريف هو القسم التالي.

تقييم الأثر: موجِبه في النظام السعودي أوسع مما تظن

هذا أكثر حكم يُساء تقدير نطاقه، والخطأ فيه هو الطريق الذي تسلكه المنشآت لتصبح غير ممتثلة وهي تظن نفسها بخير.

تشترط المادة 25(1) من اللائحة إعداد تقييم أثر مكتوب وموثّق في أربع حالات:

الموجِب النص
(أ) «معالجة البيانات الحساسة.»
(ب) «جمع أو مقارنة أو ربط مجموعتين أو أكثر من البيانات الشخصية المُحصَّل عليها من مصادر مختلفة
(ج) أن يشمل نشاط جهة التحكم معالجة «واسعة النطاق ومتكررة» لبيانات فاقدي الأهلية أو ناقصيها؛ أو معالجات «تتطلب بطبيعتها مراقبة مستمرة لأصحاب البيانات»؛ أو معالجة «قائمة على تقنيات حديثة الاعتماد»؛ أو «اتخاذ قرارات بناءً على معالجة آلية للبيانات الشخصية».
(د) «تقديم منتج أو خدمة تنطوي على معالجة بيانات شخصية يُرجَّح أن تُلحق ضررًا جسيمًا بخصوصية أصحاب البيانات.»

اقرأ 25(1)(أ) مرة أخرى. تقول: «معالجة البيانات الحساسة.» نقطة. لا قيد «واسعة النطاق»، ولا حدّ كمّي، ولا تحفّظ «منهجي وواسع». المادة 35(3)(ب) من اللائحة الأوروبية تشترط تقييم الأثر لمعالجة الفئات الخاصة «على نطاق واسع»؛ والنظام السعودي لا يفعل. فبمقتضى النظام السعودي، أي معالجة لبيانات حساسة توجب تقييم أثر موثّقًا.

والأثر العملي كبير. عيادة بأربعين مريضًا تعالج بيانات صحية ← تقييم أثر مطلوب. نظام موارد بشرية يحفظ شهادة طبية واحدة يعالج بيانات صحية ← تقييم أثر مطلوب. مبنى يستخدم البصمة للدخول يعالج بيانات حيوية لتحديد الهوية ← تقييم أثر مطلوب. والأدلة التي تخبرك أنك «لا تحتاج تقييم أثر إلا للمعالجة الحساسة واسعة النطاق» تقتبس من النظام الخطأ، والخطأ هنا ليس متحفظًا — بل يتركك مكشوفًا.

و25(1)(ب) هي الفخ الآخر النائم. «جمع أو مقارنة أو ربط مجموعتين أو أكثر من البيانات الشخصية المُحصَّل عليها من مصادر مختلفة» يصف بدقة ما يفعله مشروع «العميل 360». وما يفعله مستودع البيانات. وما تفعله خطوط إثراء العملاء المحتملين وربط الهويات. فإن كنت تدمج بيانات إدارة علاقات العملاء مع بيانات الفوترة مع تحليلات الويب من مصادر مختلفة، فتلك هي المادة 25(1)(ب)، وهي توجب تقييمًا قبل أن تبني — لا بعده.

وتحدد المادة 25(2) الحد الأدنى لمحتوى التقييم: الغرض من المعالجة وأساسها النظامي؛ ووصف طبيعة المعالجة وأنواع البيانات ومصادرها وأي جهات يُفصَح لها؛ ووصف نطاق المعالجة بما يشمل النطاق الجغرافي؛ ووصف سياق المعالجة والعلاقة بين أصحاب البيانات وجهة التحكم والمعالجين؛ ومدى ضرورة وتناسب التدابير المتخذة لمعالجة الحد الأدنى اللازم من البيانات.


واشتراط النطاق الجغرافي ليس زخرفًا. فالمادة 25(2)(ج) تجعل المكان الذي توجد فيه بياناتك فعليًا عنصرًا في وثيقة قد تُضطر لتسليمها لجهة تنظيمية. والمنشآت التي لا تستطيع الإجابة عن سؤال «في أي دولة توجد قاعدة البيانات هذه؟» في جملة واحدة، تكتشف ذلك عادةً في أسوأ لحظة ممكنة. «سكاي لاين كلاود» تُبقي الإجابة جملة واحدة: بنية تحتية سعودية، وفوترة بالريال، وواجهة ودعم بالعربية. ابدأ تجربتك المجانية 14 يومًا — دون بطاقة ائتمانية.


مسؤول حماية البيانات: يُعيَّن، لكنه غير محمي

تشترط المادة 32(1) من اللائحة على جهة التحكم «تعيين شخص أو أكثر يكون مسؤولًا عن حماية البيانات الشخصية» في أيٍّ من ثلاث حالات:

  • (أ) أن تكون جهة التحكم جهة عامة تقدم خدمات تنطوي على معالجة بيانات شخصية على نطاق واسع.
  • (ب) أن تقوم أنشطتها الرئيسة على عمليات معالجة تتطلب بطبيعتها مراقبة منتظمة ومنهجية لأصحاب البيانات.
  • (ج) أن تقوم أنشطتها الأساسية على معالجة بيانات شخصية حساسة.

والآن الحكم الذي تخطئ فيه الأدلة المستمدة من أوروبا خطأً فادحًا. المادة 32(2):

«مع مراعاة ما ورد في الفقرة (1) من هذه المادة، يجوز أن يكون مسؤول حماية البيانات الشخصية أحد التنفيذيين، أو موظفًا، أو متعاقدًا خارجيًا لدى جهة التحكم.»

هذا هو كامل ما ورد عن وضع مسؤول حماية البيانات. لا ضمانة استقلالية، ولا منع لتعارض المصالح، والأهم: لا حماية من العزل أو العقاب بسبب أدائه لمهامه. المادة 38(3) من اللائحة الأوروبية تنص على أن مسؤول حماية البيانات «لا يجوز عزله أو معاقبته بسبب أدائه لمهامه»؛ والنظام السعودي لا يقول شيئًا من ذلك. بل يجوز أن يكون المسؤول تنفيذيًا عاملًا في المنشأة ذاتها التي يراقبها.

ولك بالطبع أن تمنح مسؤولك استقلالية من باب الحوكمة الرشيدة — وإن كانت منشأتك خاضعة أيضًا لضوابط قطاعية (البنك المركزي، الهيئة الوطنية للأمن السيبراني، متطلبات القطاع الصحي) فقد تفرض عليك تلك الضوابط ما هو أكثر. لكن لا تخبر مجلس إدارتك أن النظام السعودي يحمي بقاء مسؤول حماية البيانات في منصبه. إنه لا يفعل.

وتُعدّد المادة 32(3) مسؤولياته: أن يكون نقطة التواصل المباشر مع الجهة المختصة؛ والإشراف على إجراءات تقييم الأثر وتقارير المراجعة؛ وتمكين أصحاب البيانات من ممارسة حقوقهم؛ وإشعار الجهة المختصة بحوادث تسرّب البيانات؛ والاستجابة لطلبات أصحاب البيانات ومعالجة شكاواهم؛ ومتابعة وتحديث سجلات أنشطة المعالجة؛ ومعالجة المخالفات واتخاذ الإجراءات التصحيحية. وتنص المادة 32(4) على أن الجهة المختصة «تصدر قواعد تعيين مسؤول حماية البيانات الشخصية، تتضمن الحالات التي يجب فيها تعيينه» — فراجع ما تصدره سدايا بعد اللائحة.

سجل أنشطة المعالجة: خمس سنوات بعد النهاية

المادة 33 من اللائحة غير براقة، وكثيرًا ما تُهمَل. على جهة التحكم «الاحتفاظ بسجل لأنشطة معالجة البيانات الشخصية طوال مدة معالجتها، وحتى خمس سنوات من تاريخ انتهاء أي نشاط معالجة». ويجب أن تكون السجلات مكتوبة، ودقيقة ومحدَّثة، وأن تُتاح للجهة المختصة عند الطلب.

ويشمل الحد الأدنى لمحتواها (م. 33(5)): بيانات التواصل مع جهة التحكم؛ وبيانات مسؤول حماية البيانات حيثما لزم؛ وأغراض المعالجة؛ ووصف فئات البيانات وفئات أصحابها؛ ومدد الاحتفاظ لكل فئة متى أمكن؛ وفئات المستلمين؛ ووصف عمليات نقل البيانات خارج المملكة، بما فيها الأساس النظامي للنقل والأطراف المستلمة؛ ووصف التدابير الأمنية القائمة.

ولاحظ المفارقة التي توقع الناس: سجلّك عن نشاط المعالجة يعيش بعد النشاط نفسه بخمس سنوات. حذف البيانات لا يبيح لك حذف السجل.

الإشعار بتسرّب البيانات: 72 ساعة، ومن أين يبدأ العدّ

المادة 24(1) من اللائحة: على جهة التحكم «إشعار الجهة المختصة خلال مدة لا تتجاوز (72) ساعة من علمها بالحادثة، إذا كانت الحادثة قد تُلحق ضررًا بالبيانات الشخصية أو بصاحبها أو تتعارض مع حقوقه أو مصالحه».

العدّ يبدأ من العلم، لا من الوقوع. ويجب أن يتضمن الإشعار: وصف الحادثة بوقتها وتاريخها وظروفها ووقت علمك بها؛ وفئات البيانات والعدد الفعلي أو التقريبي للمتأثرين؛ ووصف المخاطر والأثر الفعلي أو المحتمل، والتدابير المتخذة للحد منها والتدابير المستقبلية لمنع التكرار؛ وبيان ما إذا كان أصحاب البيانات قد أُشعِروا؛ وبيانات التواصل مع جهة التحكم أو مسؤول حماية البيانات لديها.

والمادة 24(2) هي صمّام الأمان الذي يغفله كثيرون: إن تعذّر عليك تقديم كل ذلك خلال 72 ساعة، «فعليها تقديمه في أقرب وقت ممكن، مع بيان مبررات التأخير». أنت تُشعر داخل الـ72 ساعة على أي حال — وتُكمل الصورة بعدها، مع الأسباب.

أما ما يخالف الافتراض الشائع: فإشعار أصحاب البيانات لا موعد نهائي محددًا له. تشترط المادة 24(5) على جهة التحكم إشعار صاحب البيانات «دون تأخير غير مبرر» متى كان التسرّب «قد يُلحق ضررًا ببياناته أو يتعارض مع حقوقه أو مصالحه»، بلغة بسيطة وواضحة، متضمنًا وصف التسرّب والمخاطر وبيانات التواصل و«أي توصيات أو نصائح قد تساعده على اتخاذ التدابير المناسبة». لا 72 ساعة. ولا 30 يومًا. «دون تأخير غير مبرر» — وستُحاسَب على ذلك.

وأخيرًا، المادة 24(4): لا يُخلّ ذلك كله «بالتزامات جهة التحكم أو المعالج بتقديم أي تقرير أو إشعار عن تسرّب البيانات الشخصية وفقًا لما تصدره الهيئة الوطنية للأمن السيبراني أو أي أنظمة ولوائح سارية في المملكة». فالحادثة في قطاع منظَّم قد تُوجب الإشعار لسدايا وللهيئة الوطنية للأمن السيبراني وللجهة القطاعية. وهي ليست بدائل عن بعضها.

كما توجب المادة 24(3) الاحتفاظ بنسخة من التقارير المقدَّمة وتوثيق التدابير التصحيحية «وأي مستندات أو أدلة داعمة ذات صلة».

النقل خارج المملكة

تُجيز المادة 29(1) من النظام لجهة التحكم نقل البيانات الشخصية خارج المملكة أو الإفصاح عنها لجهة خارجها، تحقيقًا لأيٍّ من الأغراض الآتية:

  • (أ) تنفيذ التزام بموجب اتفاقية تكون المملكة طرفًا فيها؛
  • (ب) خدمة مصالح المملكة؛
  • (ج) تنفيذ التزام يكون صاحب البيانات طرفًا فيه؛
  • (د) تحقيق أغراض أخرى تحددها اللائحة.

ثم تفرض المادة 29(2) ثلاثة شروط مجتمعة على أي نقل:

  • (أ) ألا «يُخلّ النقل أو الإفصاح بالأمن الوطني أو المصالح الحيوية للمملكة»؛
  • (ب) أن يتوافر «مستوى ملائم من الحماية للبيانات الشخصية خارج المملكة، لا يقل عن مستوى الحماية الذي يكفله النظام واللائحة، وفقًا لنتائج تقييم تجريه الجهة المختصة»؛
  • (ج) أن يقتصر النقل أو الإفصاح على «الحد الأدنى اللازم من البيانات الشخصية».

وتستثني المادة 29(3) من تلك الشروط «حالات الضرورة القصوى للحفاظ على حياة صاحب البيانات أو مصالحه الحيوية، أو للوقاية من مرض أو فحصه أو علاجه».

وتُحيل المادة 29(4) التفاصيل — «الأحكام والمعايير والإجراءات المتعلقة بتنفيذ هذه المادة، بما فيها الاستثناءات» — إلى اللائحة.

وهنا ما لن يفعله هذا الدليل. أصدرت سدايا لائحةً مستقلة تحكم نقل البيانات الشخصية خارج المملكة استنادًا إلى المادة 29(4)، تتضمن آليات قرارات الملاءمة ومتطلبات تقييم المخاطر وشروط الاستثناء. ولم أتمكن من الحصول على نسخة موثوقة من ذلك الصك أثناء إعداد هذا الدليل، ولذلك لا أقتبس منه أرقام مواد ولا حدودًا ولا مواعيد. فإن كان برنامجك يعتمد على النقل خارج المملكة، فاقرأ تلك اللائحة مباشرةً من سدايا، ولا تثق بأي ملخص ثانوي — بما في ذلك هذا الدليل. أما ما يمكنك الاعتماد عليه من النص الأصلي أعلاه فهو شكل الالتزام: غرض مباح بموجب 29(1)، مع الشروط الثلاثة كاملةً بموجب 29(2)، مع تقليل البيانات، مع تدوين النقل وأساسه النظامي في سجل المعالجة وفق المادة 33.

وأبسط طريقة لإزالة مشكلة النقل خارج المملكة هي ألا تكون لديك مشكلة نقل أصلًا.

العقوبات

نظامان منفصلان، وكثيرًا ما يُخلط بينهما.

المادة 35 المادة 36
تنطبق على إفشاء أو نشر بيانات حساسة بالمخالفة لأحكام النظام، بقصد الإضرار بصاحب البيانات أو تحقيق منفعة شخصية «في غير الحالات المنصوص عليها في المادة (35)» — أي أي مخالفة أخرى للنظام أو اللائحة
العقوبة السجن مدة لا تزيد على سنتين، أو غرامة لا تزيد على 3,000,000 ريال، أو كلتاهما إنذار، أو غرامة لا تزيد على 5,000,000 ريال
العَود للمحكمة «مضاعفة الغرامة في حال العَود، ولو تجاوزت حدها الأقصى، على ألا تتجاوز ضعف ذلك الحد» «يجوز مضاعفة الغرامة في حال تكرار المخالفة»، بالسقف نفسه
جهة البتّ النيابة العامة تحقق وتدّعي، والمحكمة المختصة تحكم لجنة لا يقل أعضاؤها عن ثلاثة يشكّلها رئيس الجهة المختصة، من بينهم مختص تقني ومستشار نظامي؛ وتُعتمد قراراتها من الرئيس؛ مع حق التظلم أمام المحكمة المختصة

وثمة تعرّضان خارج هذا الجدول. المادة 40: لكل من لحقه ضرر من مخالفة أن «يطالب أمام المحكمة المختصة بتعويض متناسب عن الضرر المادي أو المعنوي» — مسؤولية مدنية فوق الغرامة التنظيمية. والمادة 41: «على كل من يمارس معالجة البيانات الشخصية المحافظة على سريتها حتى بعد انتهاء علاقته الوظيفية أو التعاقدية». فالتزاماتك تتبع من يغادرونك إلى خارج الباب.

برنامج من عشر خطوات، مربوط بالنص الفعلي

  1. ارسم خريطة معالجتك. لا يمكنك فعل أي شيء آخر قبل أن تعرف ماذا تحفظ، ولماذا، وعلى أي أساس، وأين يوجد فعليًا (اللائحة م. 33 وم. 25(2)(ج)).
  2. صنّف البيانات الحساسة تصنيفًا صحيحًا وفق المادة 1(11) — بما فيها فئة مجهولية النسب، ومع استبعاد البيانات الائتمانية التي لها تعريفها الخاص في م. 1(15).
  3. طبّق اختبار تقييم الأثر بصدق على أركان المادة 25(1) الأربعة كاملةً. إن لامست أي بيانات حساسة إطلاقًا فأنت بحاجة إليه. وإن كنت تربط مجموعات بيانات من مصادر مختلفة فأنت بحاجة إليه.
  4. اختر أساسًا نظاميًا ووثّقه لكل نشاط معالجة. وإن كان المصلحة المشروعة، فاكتب تقييم المادة 16(3) قبل أن تبدأ، وتأكد أنك لست جهة عامة ولا تلامس بيانات حساسة.
  5. أعد كتابة إشعار الخصوصية على الحقوق الخمسة في المادة 4. واحذف أي حق لا تمنحه فعلًا. وأضف إفصاحات المادة 4(1) من اللائحة، بما فيها مدد الاحتفاظ وكيفية سحب الموافقة.
  6. ابنِ مسارًا لطلبات أصحاب البيانات بمهلة 30 يومًا، مع خطوة تحقق من الهوية، ومسار تمديد موثّق (حتى 30 يومًا إضافية، بإشعار مسبق مع الأسباب)، وسجل يلتقط الطلبات الشفهية.
  7. احسم ما إذا كانت المادة 32(1) تُلزمك بتعيين مسؤول حماية بيانات. فإن ألزمتك فعيّنه — وتذكّر أن المادة 32(2) تجيز أن يكون تنفيذيًا أو موظفًا أو متعاقدًا خارجيًا، مع مراجعة قواعد التعيين التي تصدرها سدايا وفق م. 32(4).
  8. اكتب دليل الاستجابة للتسرّب على مهلة 72 ساعة من العلم، مع مسار إشعار جزئي وفق م. 24(2)، ومسار «دون تأخير غير مبرر» لأصحاب البيانات وفق م. 24(5)، ومسار موازٍ للهيئة الوطنية للأمن السيبراني وفق م. 24(4).
  9. أنشئ سجل المعالجة وفق المادة 33 — مكتوبًا، ومحدَّثًا، ومُتاحًا عند الطلب، ومحفوظًا خمس سنوات بعد انتهاء النشاط، ومتضمنًا وصفًا لأي نقل خارج المملكة.
  10. راجع كل تدفق عابر للحدود في ضوء م. 29(1) و29(2)، واقرأ لائحة النقل من سدايا مباشرة. وأوقف التدفقات التي لا تستطيع تبريرها.

الأسئلة الشائعة

كم حقًا يمنح نظام حماية البيانات الشخصية فعلًا؟ خمسة بالضبط، في المادة 4: العلم؛ والوصول؛ والحصول على نسخة بصيغة مقروءة وواضحة؛ والتصحيح أو الإكمال أو التحديث؛ وطلب الإتلاف متى لم تعد البيانات لازمة.

هل في النظام حق اعتراض أو حق تقييد للمعالجة؟ لا. لا يرد أيٌّ منهما في المادة 4. كلاهما مفهوم أوروبي.

كم لديّ من الوقت للرد على طلب صاحب البيانات؟ ثلاثون يومًا، «ودون تأخير»، وفق المادة 3(1)(أ) من اللائحة — قابلة للتمديد حتى 30 يومًا إضافية إذا تطلب التنفيذ جهدًا غير متناسب أو تعددت طلبات صاحب البيانات، شريطة إشعاره مسبقًا بالأسباب.

هل هناك مهلة خمسة أيام عمل للإقرار باستلام الطلب؟ لا. لا وجود لهذا الاشتراط في النظام ولا في اللائحة.

متى أحتاج إلى تقييم أثر؟ في أيٍّ من الحالات الأربع في المادة 25(1) من اللائحة: أي معالجة لبيانات حساسة (بلا حدّ «واسع النطاق»)؛ أو جمع أو مقارنة أو ربط مجموعتين أو أكثر من مصادر مختلفة؛ أو المعالجة واسعة النطاق المتكررة لفاقدي الأهلية أو ناقصيها، أو المراقبة المستمرة، أو التقنيات حديثة الاعتماد، أو القرارات الآلية؛ أو تقديم منتج أو خدمة يُرجَّح أن تُلحق ضررًا جسيمًا بالخصوصية.

هل يجوز أن يكون مسؤول حماية البيانات موظفًا أو تنفيذيًا لدينا؟ نعم. تجيز المادة 32(2) من اللائحة صراحةً أن يكون «أحد التنفيذيين، أو موظفًا، أو متعاقدًا خارجيًا». والنظام السعودي لا يمنحه حماية من العزل كما تفعل اللائحة الأوروبية.

ما سرعة الإبلاغ الواجبة عن تسرّب البيانات؟ خلال 72 ساعة من العلم بالحادثة، إلى الجهة المختصة (اللائحة م. 24(1)). وإن تعذّر تقديم كل شيء خلال 72 ساعة، فأشعِر على أي حال وقدّم الباقي في أقرب وقت مع المبررات (م. 24(2)). أما المتأثرون فيُشعَرون «دون تأخير غير مبرر» (م. 24(5)) — بلا مهلة محددة. والتزامات الهيئة الوطنية للأمن السيبراني والقطاعية منفصلة وإضافية (م. 24(4)).

ما الحد الأقصى للعقوبات؟ المادة 35: السجن حتى سنتين و/أو غرامة حتى 3 ملايين ريال لإفشاء أو نشر بيانات حساسة بقصد الإضرار أو المنفعة. المادة 36: لسائر المخالفات، إنذار أو غرامة حتى 5 ملايين ريال. ويجوز مضاعفتهما في حال العَود بسقف الضعف. وتضيف المادة 40 حقًا مدنيًا في التعويض عن الضرر المادي أو المعنوي.

هل يسري النظام على شركتي إن لم تكن في السعودية؟ إذا كنت تعالج بيانات أفراد مقيمين في المملكة، فنعم — المادة 33(4) تُوجّه الجهة المختصة لمراقبة وإنفاذ الأحكام على أصحاب التحكم والمعالجين خارج المملكة.

هل يُلزمني النظام باستضافة البيانات داخل السعودية؟ لا يفرض النظام توطينًا شاملًا. بل ينظّم النقل: المادة 29 تجيزه فقط لغرض من الأغراض المذكورة، وفقط حيث يتوافر مستوى حماية ملائم بتقييم من الجهة المختصة، وفقط دون إخلال بالأمن الوطني والمصالح الحيوية للمملكة، وفقط بالحد الأدنى اللازم. وقد تُلزمك ضوابط قطاعية (الهيئة الوطنية للأمن السيبراني، البنك المركزي، القطاع الصحي) واشتراط حفظ السجلات الضريبية داخل المملكة بما هو أشد. وعمليًا، إبقاء البيانات داخل السعودية يزيل فئة كاملة من المشكلات بدل حلّها مرارًا.


نظام حماية البيانات الشخصية ليس اللائحة الأوروبية بعلم مختلف. هو أقصر، وأشد في مواضع لا يتوقعها الناس — وموجِب تقييم الأثر للبيانات الحساسة في مقدمتها — وأكثر مرونة في مواضع يُظن أنها محكمة، كاستقلالية مسؤول حماية البيانات. قراءة النص نفسه تستغرق بعد ظهيرة واحدة. أما بناء برنامج على تدوينة أحدهم عنه، فيستغرق فكّه وقتًا أطول بكثير.

وإن كان جزء من إجابتك هو ببساطة إبقاء بيانات السعوديين في السعودية، فذلك الجزء سهل. «سكاي لاين كلاود» مستضافة في السعودية، بفوترة بالريال، وواجهة عربية ودعم بالعربية، ونسخ احتياطي يومي، وشهادة SSL مجانية ذاتية التجديد، واتفاقية مستوى خدمة بجهوزية 99.9%. ابدأ تجربتك المجانية 14 يومًا — دون بطاقة ائتمانية، واجعل سطر «النطاق الجغرافي» في تقييم المادة 25(2)(ج) جملةً قصيرة جدًا.

قراءات ذات صلة: المرحلة الثانية من فوترة زاتكا — الدليل التقني المرجعي · معيار أرامكو SACS-002: ما تطلبه أرامكو فعلًا من المقاولين · نظام حماية البيانات والأمن السيبراني وسيادة البيانات في الاستضافة · باقات استضافة سكاي لاين كلاود · سكاي لاين كلاود في السعودية

SKYLINE Engineering

@skyline

The engineering team at SKYLINE Industrial Solutions. We publish field-tested guides drawn from real KSA and GCC deployments.

See author profile
SKYLINE engineering services

Need this implemented for you?

Reading is free — building it right takes a team. SKYLINE engineers ship PDPL and SDAIA for Aramco vendors, banks, hospitals and government agencies across Saudi Arabia. Talk to us before you start.

Aramco Approved Contractor ISO 9001 · ISO 27001 SAMA CSF aligned NCA ECC ready 247+ KSA clients

Comments

0 total · 0 threads
Be the first to leave a comment.