قانون حماية البيانات الشخصية
المقالات

قانون حماية البيانات الشخصية PDPL: شرح كامل لعام 2026


Warning: Trying to access array offset on value of type bool in /var/www/new_portal/html/wp-content/themes/cyberx/single.php on line 61

Deprecated: ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/new_portal/html/wp-includes/formatting.php on line 4487

Warning: Trying to access array offset on value of type bool in /var/www/new_portal/html/wp-content/themes/cyberx/single.php on line 61
الكاتب:
Huzaifa.Hamza

قانون حماية البيانات الشخصية PDPL: شرح كامل لعام 2026

تخيّل أن قائمة عملائك ببياناتهم الكاملة تسرّبت من نظامك. قبل سبتمبر 2023 كانت المسألة أزمة سمعة. اليوم أصبحت مسؤولية قانونية مباشرة قد تكلّفك ملايين الريالات. منذ بدء الإنفاذ الكامل لقانون حماية البيانات الشخصية في المملكة، لم يعد التعامل مع بيانات الأفراد شأناً داخلياً، بل التزاماً تراقبه الدولة وتفرض على مخالفته عقوبات صارمة. وقد بدأت الهيئة فعلاً بإصدار قرارات بحق المخالفين، ما يعني أن المهلة المريحة انتهت.

قانون حماية البيانات الشخصية (PDPL) هو النظام السعودي الصادر بالمرسوم الملكي رقم م/19 الذي ينظّم جمع البيانات الشخصية ومعالجتها وتخزينها ومشاركتها داخل المملكة. يمنح الأفراد حقوقاً واضحة على بياناتهم، ويفرض على المؤسسات التزامات محددة، وتصل غرامة مخالفته إلى 5 ملايين ريال. تتولى الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) الإشراف على تطبيقه.

في هذا الدليل الكامل لعام 2026 نشرح القانون خطوة بخطوة: على من ينطبق، ما حقوق الأفراد، وما التزاماتك كمسؤول عن البيانات، وكيف تتجنب العقوبات. وإذا أردت فهم السياق الأمني الأوسع، اطّلع على مقالنا حول ما هو أمن المعلومات.

ما هو قانون حماية البيانات الشخصية (PDPL)؟

هو أول إطار وطني شامل في المملكة لحماية خصوصية البيانات الشخصية. دخل حيّز التنفيذ في 14 سبتمبر 2023، ومُنحت المؤسسات فترة سماح لمدة عام انتهت في 14 سبتمبر 2024، ليبدأ بعدها الإنفاذ الكامل. الهدف منه تنظيم كيفية تعامل الجهات مع بيانات الأفراد بما يحفظ خصوصيتهم ويدعم في الوقت ذاته اقتصاد البيانات ضمن رؤية المملكة 2030.

“البيانات الشخصية” بمفهوم القانون تشمل أي معلومة تعرّف الفرد بشكل مباشر أو غير مباشر: الاسم، رقم الهوية، العنوان، رقم الهاتف، الصور، وحتى عنوان الـ IP. وهناك فئة أكثر حساسية تُسمى “البيانات الحساسة” تشمل المعتقد الديني والبيانات الصحية والوراثية والبيانات الجنائية، وتخضع لحماية أشد وموافقة أكثر صرامة. فهم هذا التمييز هو أول خطوة لمعرفة مستوى الحماية الذي يجب أن تطبّقه على كل نوع.

على من ينطبق قانون PDPL؟

نطاق القانون أوسع مما يتصوّره كثيرون. فهو لا ينطبق فقط على المؤسسات داخل المملكة، بل يمتد ليشمل أي جهة خارج السعودية تعالج بيانات أفراد مقيمين داخلها. هذا النطاق خارج الحدود أوسع حتى من اللائحة الأوروبية GDPR، التي تربط امتدادها بعرض السلع والخدمات أو مراقبة السلوك، بينما يكتفي القانون السعودي بمجرد معالجة بيانات المقيمين في المملكة.

عملياً، إذا كنت تتعامل مع بيانات عملاء أو موظفين أو مستخدمين في السعودية، فالقانون يشملك، سواء كان مقرّك في الرياض أو في الخارج. لا يهم حجم مؤسستك ولا قطاعك؛ من شركة ناشئة صغيرة إلى مؤسسة كبرى، الجميع ملزم بقدر تعامله مع البيانات الشخصية.

حقوق الأفراد بموجب القانون

يمنح القانون في مادته الرابعة الأفراد مجموعة من الحقوق الجوهرية على بياناتهم، وعليك كمؤسسة توفير قنوات واضحة لممارستها. أبرز هذه الحقوق:

الحق في العلم: معرفة سبب جمع بياناتهم وكيفية استخدامها.

الحق في الوصول: الاطلاع على بياناتهم المحفوظة لديك والحصول على نسخة منها.

الحق في التصحيح: تعديل أي بيانات غير دقيقة أو ناقصة.

الحق في الإتلاف: طلب حذف بياناتهم عند انتفاء الحاجة إليها.

الحق في سحب الموافقة: التراجع عن موافقتهم على المعالجة في أي وقت.

ووفقاً للائحة التنفيذية، يجب على المؤسسة الاستجابة لهذه الطلبات خلال 30 يوماً. تجاهل هذه الحقوق أو التأخر في تلبيتها يُعدّ مخالفة مباشرة للقانون، ويُضعف ثقة عملائك بك في الوقت نفسه.

التزامات المسؤول عن البيانات

“المسؤول عن البيانات” هو الجهة التي تحدد أغراض المعالجة ووسائلها. القانون يحمّلك مجموعة التزامات لا تقبل التهاون، أبرزها ما يلي.

الموافقة المشروعة

الموافقة هي الأساس النظامي الافتراضي للمعالجة. ويشترط أن تكون مستنيرة وحرة وقابلة للإثبات، أي أن يفهم الفرد على ماذا يوافق دون إكراه، وأن تحتفظ بدليل على موافقته. أما البيانات الحساسة فتتطلب مستوى أعلى من الموافقة الصريحة. ويحق للفرد سحب موافقته في أي وقت، وعليك احترام ذلك دون تأخير.

سجلات المعالجة والتسجيل

يجب أن تحتفظ بسجل دقيق لأنشطة معالجة البيانات يوضّح أغراض المعالجة، وفئات الأفراد والبيانات، والجهات المستقبِلة، وترتيبات النقل خارج الحدود، والإجراءات الأمنية المطبّقة. ويجب أن تكون هذه السجلات جاهزة لتقديمها إلى SDAIA عند الطلب، فهي أول ما تطلبه الهيئة عند أي تدقيق.

الإبلاغ عن خرق البيانات خلال 72 ساعة

عند وقوع أي تسرّب أو خرق للبيانات، يفرض القانون إخطار الهيئة (SDAIA) خلال 72 ساعة من علمك بالحادثة، دون حد أدنى لحجم الخرق. هذا يعني أنك بحاجة إلى خطة استجابة جاهزة مسبقاً، لأن العدّ يبدأ من لحظة الاكتشاف لا من لحظة اتخاذ القرار. ومن لا يملك هذه الخطة غالباً ما يتجاوز المهلة ويضاعف مخالفته.

نقل البيانات خارج المملكة

يسمح القانون بنقل البيانات الشخصية خارج السعودية لتحقيق أغراض مشروعة وبشروط محددة. وفي أغسطس 2024 أصدرت SDAIA لائحة نقل البيانات الشخصية خارج المملكة التي توضّح الضمانات المطلوبة. إن كنت تستخدم خدمات سحابية أو أنظمة مستضافة خارج المملكة، فهذا البند يخصّك مباشرةً ويستحق مراجعة عقودك مع مزوّدي الخدمة.

عقوبات مخالفة قانون حماية البيانات الشخصية

العقوبات ليست نظرية، وقد بدأت SDAIA فعلاً بإصدار قرارات بحق المخالفين. وتنقسم إلى:

غرامات إدارية تصل إلى 5 ملايين ريال، وتتضاعف إلى 10 ملايين ريال عند تكرار المخالفة.

عقوبات جزائية تصل إلى السجن سنتين وغرامة 3 ملايين ريال عند الإفصاح المتعمد عن بيانات حساسة، وتتضاعف عند التكرار.

وما يزيد الضغط أن المؤسسة المُبلّغة بمخالفة قد تُمنح مهلة قصيرة فقط لتقديم ردّها وأدلتها إلى الهيئة. لذلك فإن بناء امتثالك قبل وقوع المشكلة أرخص بكثير من معالجتها بعدها، خصوصاً أن متوسط تكلفة خرق البيانات الواحد في الشرق الأوسط بلغ 27 مليون ريال في 2025.

كيف تجعل مؤسستك ممتثلة؟ خطوات عملية

لا تحتاج لأن تفعل كل شيء دفعةً واحدة، لكنك تحتاج للبدء الآن، لأن الامتثال يُبنى على مراحل والتأجيل يرفع التكلفة والمخاطرة معاً. اتبع هذا المسار العملي:

احصر بياناتك: حدّد ما تجمعه من بيانات شخصية، وأين تخزّنه، ومن يصل إليه.

راجع أساس المعالجة: تأكد من حصولك على موافقة صحيحة أو أساس نظامي آخر لكل عملية.

وثّق سياسات الخصوصية: اكتب سياسة خصوصية واضحة وسجلات معالجة محدّثة.

جهّز قنوات حقوق الأفراد: آلية لاستقبال طلبات الوصول والتصحيح والحذف والرد خلالها في الوقت المحدد.

ابنِ خطة استجابة للخرق: لتتمكن من الإبلاغ خلال 72 ساعة دون ارتباك.

درّب موظفيك: فأغلب الخروقات تبدأ بخطأ بشري، والوعي خط الدفاع الأول.

لتعميق فهمك للجانب التشريعي، راجع مقالنا حول تشريعات الخصوصية وحماية البيانات، وللربط مع الضوابط الحكومية اطّلع على الضوابط الأساسية للأمن السيبراني.

الأسئلة الشائعة

هل ينطبق PDPL على الشركات الصغيرة؟ نعم. القانون لا يستثني الشركات بحسب حجمها، بل بحسب تعاملها مع البيانات الشخصية. أي شركة تجمع بيانات عملاء أو موظفين ملزمة بالامتثال.

ما الفرق بين البيانات الشخصية والبيانات الحساسة؟ البيانات الشخصية أي معلومة تعرّف الفرد، أما البيانات الحساسة فهي فئة أضيق تشمل المعتقد والصحة والبيانات الوراثية والجنائية، وتخضع لحماية وموافقة أشد.

خلال كم من الوقت يجب الإبلاغ عن خرق البيانات؟ خلال 72 ساعة من علمك بالحادثة، ويجب إخطار الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) دون حد أدنى لحجم الخرق.

هل يمكنني نقل بيانات عملائي إلى خادم خارج المملكة؟ نعم، لكن بشروط وضمانات محددة وفق لائحة نقل البيانات خارج المملكة الصادرة في 2024. لا يجوز النقل دون استيفاء هذه الشروط.

من الجهة المسؤولة عن تطبيق القانون؟ الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA)، وهي الجهة المخوّلة بالإشراف والتدقيق وإصدار قرارات المخالفات.

هل القانون السعودي مطابق للائحة الأوروبية GDPR؟ يتشابهان في المبادئ مثل الموافقة وحقوق الأفراد والإبلاغ عن الخروقات، لكن القانون السعودي أوسع نطاقاً في تطبيقه خارج الحدود، وله متطلباته الخاصة في نقل البيانات والإشراف عبر SDAIA، لذا لا يكفي الامتثال لـ GDPR وحده.

احجز استشارة امتثال مع CyberX

الامتثال لقانون حماية البيانات الشخصية ليس مشروعاً لمرة واحدة، بل ممارسة مستمرة تبدأ من سياسات مكتوبة وموظفين واعين. منصة PLCY-X من CyberX تساعدك على بناء سياسات الخصوصية وحماية البيانات وإدارتها وتوزيعها على فريقك ومتابعة إقرارهم بها، بما يتوافق مع متطلبات SDAIA.

لا تنتظر إشعار مخالفة لتبدأ. احجز استشارة امتثال مع CyberX اليوم لتقييم جاهزية مؤسستك، وتحديد فجواتك مقابل متطلبات القانون، وبناء خطة عملية تحميك من الغرامات قبل وقوعها وتعزّز ثقة عملائك ببياناتهم.

النشرة الإخبارية

اشترك في النشرة الإخبارية لدينا حتى لا تفوتك أحدث الأفكار والأخبار الأمنية.

مقالات مماثلة

اللغات: