قد تكون شركتكم على بعد قرار واحد من غرامة تصل إلى 5 ملايين ريال.. دون أن تدركوا ذلك.
نظام حماية البيانات الشخصية (PDPL) السعودي لم يعد “موضوعاً مستقبلياً” أو “مقترحاً تشريعياً”. هو الآن قانون سارٍ نافذ في المملكة، بغرامات صارمة وعواقب حقيقية على الشركات التي تتجاهله.
لكن الخبر الجيد؟ الامتثال لـ PDPL ليس بالتعقيد الذي يظنّه الكثيرون. في هذا الدليل، سننطلق من الصفر – من تعريف ما هو PDPL وحتى فهم المتطلبات السبعة الأساسية التي تشكّل عمود النظام.
إذا كنت تدير شركة، أو مسؤول امتثال، أو مدير تقنية معلومات يريد فهم PDPL بلغة واضحة – هذا المقال هو نقطة انطلاقك.
ما هو نظام PDPL السعودية؟
PDPL هو اختصار لـ “Personal Data Protection Law”، أي نظام حماية البيانات الشخصية.
أصدرت المملكة العربية السعودية هذا النظام بموجب المرسوم الملكي رقم (م/19) بتاريخ 9/2/1443هـ الموافق 10 سبتمبر 2021م، ودخل حيّز التنفيذ الفعلي في 14 سبتمبر 2024. ومنذ ذلك التاريخ، أصبح ملزماً لكل من يتعامل مع بيانات المواطنين والمقيمين في السعودية.
الهدف الأساسي من هذا النظام هو حماية خصوصية الأفراد، وضمان أن الشركات والجهات الحكومية تستخدم البيانات الشخصية بشكل مسؤول وآمن. باختصار: يعطي الأفراد السيطرة على بياناتهم.
من الذي ينطبق عليه PDPL؟
ربما تعتقد أن PDPL ينطبق فقط على الشركات الكبيرة – خطأ شائع.
نظام PDPL ينطبق على أي جهة أو شركة تقوم بمعالجة البيانات الشخصية للأفراد داخل المملكة، بغضّ النظر عن حجم الشركة أو قطاعها. هذا يشمل:
• شركات سعودية داخل المملكة
• شركات أجنبية تعالج بيانات مقيمين في السعودية
• جهات حكومية وشبه حكومية
• منظمات غير ربحية
• أفراد يمارسون نشاطاً تجارياً يتضمن معالجة بيانات
إذا كانت شركتك تجمع أو تخزّن أو تستخدم أي بيانات عن عملاء أو موظفين أو زوار موقعك – فأنت ملزم بالامتثال لـ PDPL. حتى متجر صغير يأخذ بريد إلكتروني عميل معه ينطبق عليه النظام.
من يشرف على تطبيق النظام؟
الجهة المسؤولة عن تطبيق ومراقبة نظام PDPL هي الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA). تحديداً، يتابع تطبيق النظام “مكتب البيانات الوطني” (NDMO) التابع للهيئة.
هذه الجهة هي المسؤولة عن استقبال الشكاوى من الأفراد، والتحقيق في انتهاكات النظام، وفرض العقوبات على الشركات غير الممتثلة. إذا كانت لديك مشكلة معينة تتعلق بـ PDPL، فهي جهتك الأولى.
المتطلبات السبعة الأساسية
ينبني نظام PDPL على سبعة مبادئ أساسية. فهم هذه المبادئ واتباعها هو المفتاح الحقيقي للامتثال. دعنا نستعرضها واحداً تلو الآخر:
1. المشروعية (Lawfulness)
جمع البيانات يجب أن يكون مبنياً على أساس قانوني واضح – والأهم: الحصول على موافقة صريحة من صاحب البيانات.
عملياً: قبل أن تجمع بريد عميل أو اسمه، أخبره بوضوح أنك ستجمع هذه البيانات، لماذا تجمعها، وكيف ستستخدمها. واحصل على موافقة مكتوبة.
2. تقليل البيانات (Data Minimization)
لا تجمع أكثر ممّا تحتاج. جمع الحدّ الأدنى من البيانات اللازمة فقط لتحقيق الغرض المحدد.
مثال: لو تحتاج بريد عميل للتواصل، لا تطلب رقم هويته والعنوان الكامل ومكان عمله وسنة الميلاد. فقط خذ ما تحتاجه.
3. الدقة (Accuracy)
البيانات المخزّنة يجب أن تكون دقيقة ومحدّثة. الشركة مسؤولة عن التأكد من صحة البيانات وتحديثها.
التطبيق: توفّر لعملائك طريقة سهلة لتعديل بياناتهم متى احتاجوا (مثلاً رابط في البريد الإلكتروني: “حدّث بياناتك”).
4. الشفافية (Transparency)
صاحب البيانات له الحق الكامل في معرفة ما يحدث لبياناته – كيف تُستخدم، من يصل إليها، وكم من الوقت ستُحتفظ بها.
الأداة الأساسية: سياسة خصوصية واضحة، مكتوبة بلغة مفهومة، منشورة على موقعك. ليست سياسة طويلة معقدة – بل واضحة وسهلة.
5. الأمان (Security)
الشركة ملزمة بحماية البيانات من الوصول غير المصرح، والتسرب، والفقدان، والاختراق.
هذا يتطلب ثلاثة أنواع من الحماية: تقنية (تشفير، جدران حماية)، إدارية (سياسات الوصول، تدريب الموظفين)، ومادية (حماية السيرفرات).
6. المسؤولية (Accountability)
الشركة مسؤولة عن إثبات امتثالها – وليس فقط الادعاء بذلك. كل سياسة وإجراء يجب أن يكون موثّقاً.
عملياً: احتفظ بسجلات لكل ما تفعله. من تجمع بيانات؟ إلى أين تذهب؟ من لديه وصول؟ كل شيء يجب أن يكون مكتوباً.
7. حقوق أصحاب البيانات (Data Subject Rights)
يمنح النظام الأفراد 6 حقوق أساسية: الوصول لبياناتهم، تصحيح الخطأ، الحذف، الاعتراض على الاستخدام، نقل البيانات، والعلم بأي اختراق.
إذا طلب عميل: “أعطني نسخة من بياناتي”، أنت ملزم بالاستجابة في وقت معقول.
ما التالي؟
الآن بعدما فهمت أساسيات PDPL والمتطلبات السبعة، سؤالك التالي قد يكون: “لكن ما العقوبة إذا أخطأت؟” و “كيف أطبق هذا عملياً؟” و “من المسؤول عن كل شيء؟”
في الجزء الثاني من هذا الدليل، سننتقل إلى الجانب الأصعب – الغرامات والعقوبات، وتعيين مسؤول حماية البيانات (DPO).
لكن الخلاصة هنا بسيطة: فهم هذه المتطلبات السبعة هو أساسك. مع هذا الأساس، باقي الخطوات ستكون أسهل بكثير.