تعرف على نظام حماية البيانات الجديد في المملكة العربية السعودية (PDPL) وكيف يتماشى مع المعايير الدولية مثل اللائحة العامة لحماية البيانات (GDPR). يغطي هذا الدليل الجوانب الرئيسية للنظام، وتأثيره على الأعمال التجارية، ونصائح الامتثال الأساسية.

قدّمت المملكة العربية السعودية نظامًا جديدًا لحماية البيانات يتماشى بشكل كبير مع المعايير الدولية مثل الـ GDPR. يستعرض هذا الدليل الشامل ملامح مشهد حماية البيانات في المملكة، ويسلط الضوء على أبرز مكونات النظام، وما يعنيه ذلك للأفراد.

سواء كنت صاحب عمل، أو جهة معالجة بيانات، أو فردًا مهتمًا بخصوصية بياناته الشخصية ، فإن هذا الدليل يقدم رؤى مهمة حول أهمية الامتثال للنظام السعودي لحماية البيانات الشخصية في المملكة العربية السعودية.

ما هو نظام حماية البيانات الشخصية الجديد في المملكة العربية السعودية؟

نظام حماية البيانات الشخصية في المملكة، المعروف باسم نظام حماية البيانات الشخصية (PDPL)، صدر بموجب المرسوم الملكي رقم (م/19) بتاريخ 2 سبتمبر 2021، وتم تعديله لاحقًا بموجب المرسوم الملكي رقم (م/148) بتاريخ 5 سبتمبر 2022. يهدف النظام إلى حماية البيانات الشخصية والخصوصية في ظل التطور الرقمي المتسارع. يُعد هذا النظام خطوة مهمة نحو مواءمة المملكة مع المعايير الدولية، خصوصًا اللائحة العامة لحماية البيانات (GDPR) الخاصة بالاتحاد الأوروبي، والتي أصبحت معيارًا عالميًا لحماية البيانات.

الأهداف الرئيسية لنظام حماية البيانات الشخصية (PDPL)

تتمثل الأهداف الأساسية لنظام حماية البيانات الشخصية في حماية البيانات الشخصية للأفراد داخل المملكة العربية السعودية، وضمان احترام حقوق الخصوصية، وتنظيم كيفية معالجة وتخزين ونقل البيانات الشخصية.

يهدف النظام واللوائح المصاحبة له إلى تهيئة بيئة آمنة لإدارة البيانات من خلال وضع التزامات واضحة على الشركات والجهات الأخرى التي تتعامل مع البيانات الشخصية.

وينطبق النظام على جهات التحكم والمُعالجة للبيانات داخل المملكة، وكذلك على الجهات الموجودة خارج المملكة والتي تقوم بمعالجة بيانات شخصية تتعلق بأفراد داخلها. ويُظهر هذا النطاق الواسع أن أي جهة تتعامل مع بيانات شخصية لأفراد في المملكة يجب أن تمتثل للنظام واللوائح، بغض النظر عن موقع تنفيذ المعالجة.

نطاق تطبيق النظام

يوفّر نظام حماية البيانات الشخصية (PDPL) إطارًا قانونيًا يُحدّد كيفية جمع البيانات الشخصية ومعالجتها وتخزينها ومشاركتها. ويتضمّن النظام أحكامًا تُلزم الجهات بالحصول على موافقة صريحة من الأفراد قبل معالجة بياناتهم، والتأكّد من أن البيانات دقيقة ومحدّثة، وحمايتها من الوصول غير المصرح به أو من أي خروقات أمنية.

كما يوضح النظام واللوائح حقوق أصحاب البيانات، بما في ذلك الحق في الوصول إلى بياناتهم، وطلب تصحيحها، وحذفها في ظروف معينة.

بالإضافة إلى ذلك، يُلزم النظام الجهات بـ:

  • تعيين مسؤول حماية بيانات (DPO) في حالات محددة،
  • إجراء تقييمات أثر على حماية البيانات (DPIAs) عند القيام بأنشطة معالجة عالية الخطورة،
  • والإبلاغ عن أي خروقات بيانات إلى الهيئة السعودية للبيانات والذكاء الاصطناعي سدايا (SDAIA)

من المتأثر بنظام حماية البيانات الشخصية في المملكة العربية السعودية (PDPL) ؟

يتمتّع نظام حماية البيانات الشخصية في المملكة (PDPL) بنطاق واسع ويؤثر على مجموعة كبيرة من الجهات والأفراد سواء داخل المملكة أو خارجها.

وقد تم تصميم النظام لضمان إدارة البيانات الشخصية بشكل مسؤول وآمن، بما يتماشى مع المعايير العالمية، مع مراعاة الخصوصية والسياق المحلي للمملكة.

فيما يلي توضيح للفئات المتأثرة بالنظام:

  1. الشركات العاملة داخل المملكة العربية السعودية
    1. أي شركة تعمل داخل المملكة وتقوم بمعالجة بيانات شخصية تخضع لأحكام نظام حماية البيانات الشخصية (PDPL).
      ويشمل ذلك الشركات في جميع القطاعات، مثل:

      • التجزئة
      • الرعاية الصحية
      • الخدمات المالية
      • الاتصالات

    ويجب على هذه الشركات الامتثال لمتطلبات النظام المتعلقة بـ معالجة البيانات، والحصول على الموافقة، وتدابير الأمان، وغيرها من الالتزامات.

    كما أن الشركات الدولية التي لديها فروع أو شركات تابعة أو عمليات داخل المملكة، مُلزَمة أيضًا بالامتثال للنظام.
    حتى وإن كانت أنشطة المعالجة تُنفّذ خارج المملكة، فإن القانون ينطبق طالما أن البيانات تتعلق بمقيمين في المملكة.

  2. الجهات والمنظمات خارج المملكة
    يمتلك نظام حماية البيانات الشخصية (PDPL) نطاق تطبيق خارج الحدود الجغرافية، مما يعني أن أي جهة تقع خارج المملكة وتقوم بمعالجة بيانات شخصية لأفراد داخل المملكة، يجب أن تلتزم بلوائح نقل البيانات الشخصية خارج المملكة.
    وينطبق هذا الالتزام بغض النظر عن موقع تنفيذ المعالجة، تؤشير إلى حرص المملكة على حماية بيانات مواطنيها والمقيمين فيها على نطاق عالمي.
    ويجب على المنظمات خارج المملكة التي تستقبل بيانات شخصية من المملكة أن تتأكد من أن ممارساتها في حماية البيانات تتماشى مع المعايير المحددة في النظام.
    وتُعد هذه النقطة ذات أهمية خاصة بالنسبة للشركات التي تعتمد على نقل البيانات عبر الحدود، حيث يشترط النظام ألا يتم نقل البيانات إلا إلى دول توفّر مستوى حماية مناسب.
  3. جهات التحكم والمُعالجة للبيانات
    تُعد أي جهة تقوم بتحديد أغراض ووسائل معالجة البيانات الشخصية جهة تحكم في البيانات بموجب نظام حماية البيانات الشخصية (PDPL).
    وتتحمل هذه الجهات المسؤولية الأساسية لضمان معالجة البيانات الشخصية بما يتوافق مع النظام، بما في ذلك:
    الحصول على الموافقة،
    التأكد من دقة البيانات،
    وتطبيق إجراءات الأمان المناسبة.

أما الجهات المُعالجة للبيانات، فهي الجهات التي تقوم بمعالجة البيانات الشخصية نيابة عن جهة التحكم، وهي أيضًا خاضعة للنظام.

ويجب على المعالجين:

الالتزام بتعليمات المتحكم في البيانات،
والامتثال لمتطلبات النظام فيما يتعلق بـ:
أمن البيانات،
السرية،
والإبلاغ عن الحوادث الأمنية.
أصحاب البيانات (الأفراد)

يحمي نظام حماية البيانات الشخصية (PDPL) البيانات الشخصية لجميع الأفراد المقيمين في المملكة، بغض النظر عن جنسيتهم.
ويشمل ذلك:

المواطنين،
المقيمين (الوافدين)،
والزوار الذين يقدّمون بياناتهم الشخصية أثناء وجودهم في المملكة.

ويتمتع أصحاب البيانات بحقوق محددة بموجب النظام، من بينها:

الحق في الوصول إلى بياناتهم،
تصحيح البيانات غير الدقيقة،
وطلب حذف بياناتهم في ظروف معينة.

9 . مسؤولين حماية البيانات (DPOs)

في بعض الحالات، يُلزم نظام حماية البيانات الشخصية (PDPL) الجهات بتعيين مسؤول حماية بيانات (DPO).
وهذا ينطبق بشكل خاص على الجهات التي تقوم بأنشطة معالجة بيانات عالية المخاطر، مثل:

معالجة كميات كبيرة من البيانات الشخصية الحساسة،
أو مراقبة الأفراد على نطاق واسع.

ويكون دور مسؤول حماية البيانات:

الإشراف على استراتيجية حماية البيانات في الجهة،
ضمان الامتثال للنظام،
والعمل كـ نقطة اتصال مع أصحاب البيانات وسدايا (SDAIA)
ما هي الحقوق الأساسية لأصحاب البيانات بموجب نظام PDPL؟

بموجب نظام حماية البيانات الشخصية في المملكة، يُمنح أصحاب البيانات – أي الأفراد الذين تُعالج بياناتهم – مجموعة من الحقوق التي تهدف إلى حماية خصوصيتهم، وضمان التعامل مع بياناتهم بمسؤولية.

تم تصميم هذه الحقوق لتمنح الأفراد سيطرة أكبر على بياناتهم الشخصية. وتشمل هذه الحقوق ما يلي:

الحق في الوصول إلى البيانات الشخصية
الحق في تصحيح البيانات
الحق في الحذف (الحق في النسيان)
الحق في تقييد المعالجة

الحق في الاعتراض على المعالجة
الحق في سحب الموافقة

الحق في تقديم شكوى إلى جهة حماية البيانات المختصة

ما هي التزامات الجهات التحكم والمُعالجة للبيانات بموجب نظام PDPL؟

بموجب نظام حماية البيانات الشخصية في المملكة ولوائحه، تقع على عاتق الجهات التحكم والمُعالجة للبيانات التزامات أساسية لضمان معالجة البيانات الشخصية بشكل قانوني وآمن.

أولاً: التزامات الجهات التحكم في البيانات

الأساس القانوني للمعالجة:
يجب على جهة التحكم الحصول على موافقة صريحة من أصحاب البيانات قبل المعالجة، ما لم يكن هناك أساس قانوني آخر مثل تنفيذ عقد أو الامتثال لالتزام قانوني.
تقليل البيانات وتحديد الغرض:
يجب جمع البيانات بالقدر الضروري فقط لتحقيق أغراض محددة، ويجب استخدام البيانات لهذه الأغراض فقط، مع إعلام أصحاب البيانات بذلك.
أمن البيانات:
يجب تنفيذ تدابير أمنية مناسبة لحماية البيانات من الوصول غير المصرح به أو الفقد، مع مراجعتها بانتظام لمواكبة المخاطر الجديدة.
حقوق أصحاب البيانات:
يجب تمكين الأفراد من ممارسة حقوقهم بموجب النظام (مثل الوصول، التصحيح، الحذف) والرد على هذه الطلبات في وقت مناسب.
الإبلاغ عن خروقات البيانات:
في حال وقوع خرق أمني، يجب إبلاغ سدايا (SDAIA) وأصحاب البيانات المتأثرين فورًا، مع توضيح تفاصيل الخرق والإجراءات المتخذة للمعالجة.
حفظ السجلات:
يتعين على جهة التحكم الاحتفاظ بسجلات مفصلة حول أنشطة معالجة البيانات، بما يشمل أنواع البيانات وأغراض المعالجة، وإجراء تقييمات أثر الخصوصية عند الحاجة.
نقل البيانات عبر الحدود:
عند نقل البيانات خارج المملكة، يجب التأكد من أن الدولة المستقبِلة توفّر مستوى حماية مناسب، أو اتخاذ تدابير إضافية.
تعيين مسؤول حماية البيانات:
قد يُطلب تعيين DPO في حال وجود معالجة واسعة النطاق لبيانات حساسة، ويكون مسؤولًا عن ضمان الامتثال والتواصل مع سدايا.

ثانيًا: التزامات الجهات المُعالجة للبيانات

المعالجة نيابة عن جهة التحكم:
يجب على المُعالجين معالجة البيانات فقط وفقًا لتعليمات جهة التحكم وضمن نطاق العقد المبرم بين الطرفين، مع ضمان الامتثال للنظام.
أمن البيانات:
يجب تطبيق وتحديث تدابير الحماية الأمنية باستمرار لضمان سلامة البيانات أثناء المعالجة.
الإبلاغ عن الخروقات:
عند وقوع خرق، يجب إبلاغ المتحكم فورًا، والذي بدوره يتولى إخطار سدايا وأصحاب البيانات.
المعالجة من قبل جهات فرعية (Sub-processing):
يجب الحصول على موافقة كتابية مسبقة من جهة التحكم قبل إشراك أي جهة فرعية، مع التأكد من التزامها بنفس متطلبات حماية البيانات.
حفظ السجلات:
يجب على المُعالجين الاحتفاظ بسجلات لجميع أنشطة المعالجة التي تُجرى لصالح المتحكم، بما في ذلك أنواع البيانات والتدابير الأمنية المُطبقة.
التعاون مع جهة التحكم والجهات المختصة:
يجب دعم جهة التحكم في تنفيذ التزاماتهم والتعاون مع سدايا أثناء عمليات التدقيق أو التحقيقات

12.ما هي العقوبات المترتبة على عدم الامتثال لنظام حماية البيانات الشخصية (PDPL)؟

بموجب نظام حماية البيانات الشخصية في المملكة، يمكن أن تكون العقوبات المالية كبيرة في حال عدم الامتثال.
ينص النظام على أن المخالفات قد تؤدي إلى فرض غرامات تصل إلى 5 ملايين ريال سعودي، ويعتمد مقدار الغرامة على طبيعة وجسامة المخالفة.

يتم تحديد العقوبة الفعلية بناءً على عدة عوامل، منها:

طبيعة الانتهاك،
ما إذا كانت المخالفة تنطوي على بيانات حساسة أو كميات كبيرة من البيانات،
وما إذا كان عدم الامتثال متعمدًا أو نتيجة إهمال.

تتولى الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) مسؤولية تطبيق النظام، وتُقرر الغرامة المناسبة بناءً على هذه الاعتبارات.

إضافة إلى العقوبات المالية، قد تواجه الجهات المخالِفة أيضًا:

قيودًا على أنشطة معالجة البيانات،
إجراءات تصحيحية إلزامية،
وضررًا في السمعة، مما قد يؤثر سلبًا على العمليات التجارية والعلاقات المؤسسية.
كيف يتعامل النظام مع نقل البيانات عبر الحدود؟

يخضع نقل البيانات الشخصية خارج المملكة لمجموعة من الشروط والضوابط، لضمان أن تتم حماية البيانات المنقولة بمستوى مماثل للحماية داخل المملكة. ويشمل التنظيم ما يلي:

  • قرار الملاءمة (Adequacy Decision):
    يسمح بنقل البيانات إلى دول أو جهات قضائية تعتبرها سدايا أنها توفر قوانين حماية بيانات كافية. يشبه هذا آلية الملاءمة المعتمدة في اللائحة الأوروبية GDPR.
  • الضمانات المناسبة (Appropriate Safeguards):
    في حال عدم وجود قرار ملاءمة، يمكن نقل البيانات بشرط توفر ضمانات مناسبة، مثل:
    قواعد مؤسسية ملزمة (BCRs)،
    شروط تعاقدية قياسية (SCCs)،
    أو أدوات قانونية ملزمة أخرى تضمن الحماية.
  • الاستثناءات لحالات محددة (Derogations):
    إذا لم تتوفر الملاءمة أو الضمانات، يمكن نقل البيانات في حالات خاصة، مثل:
    موافقة صريحة من صاحب البيانات،
    ضرورة النقل لتنفيذ عقد مع صاحب البيانات،
    أسباب هامة تتعلق بالمصلحة العامة،
    مطالبات قانونية أو دفاع قانوني،
    حماية المصالح الحيوية لصاحب البيانات أو لغيره عندما يتعذر الحصول على موافقته.
  • موافقة سدايا (SDAIA Approval):
    في بعض الحالات، خاصة عند غياب الملاءمة أو الضمانات، قد يتطلب الأمر موافقة سدايا على أساس كل حالة على حدة.
  • تقييم المخاطر (Risk Assessment):
    يجب على المتحكمين والمعالجين التأكد من أن عملية النقل لا تُعرض حماية البيانات للخطر، وذلك من خلال إجراء تقييم للأثر والمخاطر على حقوق الأفراد.
  • الالتزامات التعاقدية (Contractual Obligations):
    يجب تضمين بنود تعاقدية محددة في الاتفاقيات بين الأطراف المعنية لضمان الامتثال لنظام PDPL، وحماية حقوق أصحاب البيانات.

كيف يمكن لشركة Trusted Vision أن تساعدك؟

أبريل 27th, 2025الأمن السيبراني 0 comments on فهم نظام حماية البيانات الشخصية في المملكة العربية السعودية: دليل الامتثال

انشر هذا المحتوى لشبكة معارفك ومتابعيك !

Related Posts