.png){kind=logo}
ملخص سريع: نظام حماية البيانات الشخصية في المملكة العربية السعودية (نظام حماية البيانات) الذي تُنفّذه هيئة البيانات والذكاء الاصطناعي (سداية) بات سارياً بالكامل، وقد صدرت بالفعل قرارات عقوبات فعلية. في عام 2025 وحده، أصدرت هيئة سداية 48 قراراً جزائياً. إذا كانت شركتك الناشئة تجمع أي بيانات شخصية — من مستخدمي التطبيقات، أو العملاء المحتملين، أو الزبائن، أو الموظفين — فأنت ملزم بالامتثال. هذا الدليل يشرح لك كيفية ذلك بالتفصيل.
1. ما هي هيئة سداية ولماذا تهمك كشركة ناشئة؟
هيئة البيانات والذكاء الاصطناعي (سداية) هي الجهة التنظيمية الرئيسية في المملكة العربية السعودية المسؤولة عن حوكمة البيانات وسياسات الذكاء الاصطناعي. تأسست دعمًا لمسيرة التحول الرقمي ضمن رؤية 2030، وتتولى سداية تطبيق نظام حماية البيانات الشخصية (PDPL) — الذي يُعدّ المعادل السعودي للنظام الأوروبي GDPR.
بالنسبة للشركات الناشئة في المملكة، لا تعني سداية مجرد اسم جهة رقابية تحفظه. إنها الجهة التي تملك صلاحية مراجعة أعمالك، وفرض الغرامات، وتعليق أنشطة معالجة البيانات إذا لم تستوفِ معايير الامتثال.
بدأت المرحلة التطبيقية الكاملة لنظام حماية البيانات الشخصية في 14 سبتمبر 2024، منهيةً بذلك جميع فترات السماح. ومع مطلع عام 2026، لم يعد التطبيق نظرياً — فقد أصدرت لجان سداية 48 قراراً رسمياً بحق منظمات مخالفة في قطاعات متعددة.
2. فهم نظام حماية البيانات الشخصية: القانون الذي يحكم الجميع
صدر نظام حماية البيانات الشخصية بالمرسوم الملكي رقم م/19 في 16 سبتمبر 2021، وعُدِّل في مارس 2023. يحكم هذا النظام أسلوب تعامل أي منظمة — محلية أو أجنبية — تعالج بيانات شخصية لأفراد داخل المملكة العربية السعودية مع تلك البيانات.
المبادئ الأساسية للنظام
يرتكز نظام حماية البيانات على خمسة مبادئ جوهرية يجب أن تستوعبها كل شركة ناشئة:
- الشفافية — يجب أن يعلم أصحاب البيانات كيف ولماذا تُجمَع بياناتهم.
- تحديد الغرض — لا يجوز جمع البيانات إلا لغرض محدد ومُعلَن، ولا يمكن إعادة استخدامها دون موافقة.
- الحد الأدنى من البيانات — اجمع فقط ما هو ضروري للغاية.
- الأمن — طبّق ضمانات تقنية وتنظيمية ملائمة لحماية البيانات الشخصية.
- المساءلة — كن قادراً على إثبات الامتثال في أي وقت. لهيئة سداية حق طلب سجلاتك.
ما الذي يُعدّ "بيانات شخصية"؟
يعرّف النظام البيانات الشخصية بنطاق واسع. تندرج ضمنها: الأسماء، وعناوين البريد الإلكتروني، وأرقام الهواتف، وبطاقات الهوية الوطنية، وعناوين IP، وبيانات الموقع، والبيانات البيومترية، والسجلات الصحية، والبيانات المالية، وأي معلومات أخرى يمكن أن تُعرّف بشكل مباشر أو غير مباشر بشخص طبيعي.
بيانات الموظفين، وبيانات العملاء، وحتى بيانات العملاء المحتملين — كلها تندرج ضمن نطاق تطبيق النظام.
3. من الملزم بالامتثال؟
كل شركة ناشئة تعالج بيانات شخصية لمقيمين في المملكة ملزمة بالامتثال — بصرف النظر عن مكان تسجيل الشركة. للنظام أثر خارج المملكة، مما يعني أن شركة SaaS مقرها لندن وتخدم مستخدمين سعوديين ملزمة بنفس قدر إلزام شركة تقنية مالية مقرها الرياض.
تحديداً، ينطبق النظام على شركتك إذا كانت:
- تعمل داخل المملكة العربية السعودية
- تبيع منتجات أو خدمات لمقيمين في المملكة
- تعالج البيانات نيابةً عن عملاء سعوديين (بوصفها معالجاً للبيانات)
- تتعامل مع بيانات موظفين مقيمين في المملكة
لا توجد إعفاءات للشركات الصغيرة أو الشركات الناشئة في مراحلها الأولى أو الشركات الأجنبية. قد يكون تطبيق متطلبات الامتثال أبسط وأكثر مرونة للمنشآت الصغيرة والمتوسطة، لكن الالتزامات الجوهرية تبقى واحدة.
4. متطلبات الامتثال الرئيسية لهيئة سداية للشركات الناشئة
4.1 الأساس القانوني للمعالجة
يجب أن يكون لكل نشاط معالجة بيانات أساس قانوني. الأسس القانونية الرئيسية بموجب النظام هي:
- الموافقة الصريحة من صاحب البيانات
- الضرورة التعاقدية (البيانات لازمة لتقديم الخدمة)
- الالتزام القانوني (تقتضيه أنظمة المملكة)
- المصالح الحيوية (حماية الحياة)
- المصلحة العامة (للجهات الحكومية)
لمعظم الشركات الناشئة — لا سيما في مجالات SaaS والتجارة الإلكترونية والتطبيقات — ستكون الموافقة والضرورة التعاقدية هي الأساسين الرئيسيين. يجب أن تكون الموافقة صريحة ومحددة وطوعية. مربعات الاختيار المُحددة مسبقاً غير مقبولة.
4.2 متطلبات إشعار الخصوصية
يجب على شركتك الناشئة نشر إشعار خصوصية (سياسة خصوصية) واضح وسهل الوصول يتضمن:
- ما تجمعه من بيانات والغرض من جمعها
- الأساس القانوني للمعالجة
- مدة الاحتفاظ بالبيانات
- من تشارك البيانات معه (بما يشمل الأطراف الثالثة ومقدمي الخدمات الفرعيين)
- كيفية ممارسة المستخدمين لحقوقهم
- كيفية التواصل مع مسؤول حماية البيانات لديك
وفقاً للتوجيهات المحدّثة لهيئة سداية، يجب كتابة إشعارات الخصوصية بـلغة واضحة وبسيطة. واستناداً إلى تعديلات 2025، يجب أن تتوفر سياسة الخصوصية باللغة العربية أيضاً.
4.3 حقوق أصحاب البيانات
يجب أن تدعم أنظمتك وعملياتك الحقوق التالية لكل من تحتفظ ببياناته:
- حق المعرفة — علمه بأن بياناته تُعالَج
- حق الوصول — الحصول على نسخة من بياناته
- حق التصحيح — تصحيح البيانات غير الدقيقة
- حق الحذف — طلب حذف بياناته
- حق نقل البيانات — الحصول على بياناته بصيغة قابلة للاستخدام
- حق سحب الموافقة في أي وقت
يجب أن يكون لديك سير عمل فعّالة للرد على هذه الطلبات خلال المهل القانونية المحددة.
4.4 مسؤول حماية البيانات (DPO)
يُعدّ تعيين مسؤول حماية بيانات إلزامياً في حالات عديدة، لا سيما إذا كانت شركتك الناشئة تعالج بيانات شخصية حساسة (صحية، أو بيومترية، أو مالية، أو دينية) على نطاق واسع. يجب تسجيل بيانات التواصل الخاصة بمسؤول حماية البيانات عبر منصة الحوكمة الوطنية للبيانات التابعة لهيئة سداية.
حتى في الحالات التي لا يكون فيها تعيين مسؤول حماية البيانات واجباً قانونياً، توصي هيئة سداية بشدة بتخصيص شخص مسؤول داخلياً.
4.5 الضمانات الأمنية التقنية والتنظيمية
تشترط هيئة سداية على الشركات الناشئة تطبيق "تدابير تنظيمية وتقنية وإدارية ملائمة" لحماية البيانات الشخصية. من الناحية العملية، يشمل ذلك:
- التشفير للبيانات أثناء التخزين والنقل
- ضوابط الوصول وفق مبدأ الحد الأدنى من الصلاحيات
- التسجيل والمراقبة لعمليات الوصول إلى البيانات
- إجراءات الاستجابة للحوادث
- التدريب الدوري على الأمن لموظفيك
- ممارسات الخصوصية بالتصميم في تطوير المنتجات
إذا كانت شركتك الناشئة تعمل في قطاع البنوك أو الرعاية الصحية أو الاتصالات وتخضع أيضاً لاشتراطات ساما أو هيئة الأمن السيبراني الوطنية، يجب أن تتوافق ضوابط الأمن الخاصة بك مع إطار ضوابط الأمن السيبراني الأساسية (ECC) الصادر عن هيئة الأمن السيبراني الوطنية.
4.6 الإخطار بخرق البيانات
في حال وقوع خرق للبيانات الشخصية، يجب على شركتك:
- إخطار هيئة سداية خلال 72 ساعة من اكتشاف الخرق
- إخطار الأفراد المتضررين دون تأخير لا مبرر له
يجب الاحتفاظ بخطة استجابة للخرق وتجربتها بانتظام. لجان سداية نشطة الآن وذات مهل قانونية قصيرة — فور إخطارك رسمياً بالتحقيق، تملك 5 أيام فقط لتقديم ردك.
4.7 نقل البيانات عبر الحدود
هنا يصطدم كثير من الشركات الناشئة الدولية بأكبر العقبات. يحظر النظام بوجه عام نقل البيانات الشخصية للمقيمين في المملكة إلى خارجها، إلا في الحالات التالية:
- النقل ضروري للوفاء بعقد مع صاحب البيانات
- حصل صاحب البيانات على موافقة صريحة
- النقل مطلوب لخدمة المصلحة العامة السعودية
- حالة "المصالح الحيوية" (العمليات الأساسية الحتمية)
في سبتمبر 2024، أصدرت هيئة سداية لوائح تنظيمية شاملة لنقل البيانات ونشرت أربع نسخ من البنود التعاقدية النموذجية (SCCs) — للعلاقات بين المتحكمين والمعالجين بصورها المختلفة. استخدام البنود التعاقدية النموذجية المعتمدة من سداية وتوثيق الضمانات المتخذة هو الممارسة المثلى حالياً.
4.8 متطلبات التسجيل
يجب على المتحكمين التسجيل في السجل الوطني لهيئة سداية إذا كانوا:
- جهات حكومية
- جهات تعالج بيانات شخصية حساسة
- جهات تنقل بيانات شخصية خارج المملكة
- جهات تعالج بيانات على نطاق واسع
يتم التسجيل عبر منصة الحوكمة الوطنية للبيانات الرقمية لهيئة سداية. لا تبدأ في تشغيل أعمالك قبل استيفاء اشتراطات التسجيل والحصول على الموافقات اللازمة.
4.9 الاحتفاظ بالسجلات
يجب على شركتك الاحتفاظ بسجلات تفصيلية لجميع أنشطة معالجة البيانات خلال فترة المعالجة ولمدة خمس سنوات بعدها. يجب أن تتضمن السجلات: أغراض المعالجة، وفئات البيانات، ومواعيد الاحتفاظ، والبروتوكولات الأمنية، وتفاصيل المستلمين — لا سيما المشاركين في عمليات النقل عبر الحدود. لهيئة سداية الحق في طلب هذه السجلات في أي وقت.
5. عقوبات عدم الامتثال مع هيئة سداية
يترتب على عدم الامتثال لنظام حماية البيانات الشخصية عواقب وخيمة. يجب أن تفهم الشركات الناشئة كامل نطاق العقوبات:
- الغرامات المالية: تصل إلى 5,000,000 ريال سعودي (ما يعادل تقريباً 1.3 مليون دولار أمريكي) لكل مخالفة. ويمكن مضاعفة الغرامات في حالات التكرار.
- المسؤولية الجنائية: قد يفضي الإفصاح غير المشروع عن بيانات شخصية حساسة بقصد الإضرار أو الاستفادة الشخصية إلى السجن لمدة تصل إلى سنتين و/أو غرامة تصل إلى 3,000,000 ريال.
- العقوبات التشغيلية: تملك هيئة سداية إصدار تحذيرات، وإلزام بالتصحيح، وفي الحالات الخطيرة تعليق أنشطة معالجة البيانات كلياً — مما قد يوقف عمليات شركتك الناشئة الجوهرية فعلياً.
- الضرر بالسمعة: فضلاً عن العقوبات المالية، تُعدّ قرارات التنفيذ الصادرة عن هيئة سداية سجلات رسمية. يشترط المستثمرون والشركاء والعملاء من المؤسسات الكبيرة بشكل متزايد الامتثال للنظام كشرط لممارسة الأعمال.
- ما الذي أدى إلى صدور 48 قراراً تنفيذياً في 2025؟ شملت المخالفات الشائعة: جمع أو معالجة البيانات الشخصية دون أساس قانوني مشروع؛ وإرسال رسائل تسويقية دون موافقة مسبقة؛ وعدم كفاية ضوابط الأمن التقنية والتنظيمية؛ والإفصاح غير المأذون به عن البيانات الشخصية.
7. قائمة مراجعة الامتثال لهيئة سداية للشركات الناشئة
استخدم هذه القائمة لتقييم وضعك الراهن:
- اكتمال جرد البيانات / خريطة المعالجة وتوثيقها
- تحديد الأساس القانوني وتوثيقه لكل نشاط معالجة
- تطبيق مسارات الموافقة الصريحة والمحددة (لا مربعات اختيار مُحددة مسبقاً)
- نشر إشعار الخصوصية باللغتين العربية والإنجليزية وفق متطلبات النظام
- تعيين مسؤول حماية البيانات (أو ما يعادله) وتسجيله على منصة سداية
- بناء واختبار سير عمل حقوق أصحاب البيانات (الوصول، الحذف، التصحيح، نقل البيانات)
- تطبيق التشفير أثناء التخزين والنقل
- تطبيق ضوابط الوصول وصلاحيات الحد الأدنى
- إتمام تدريب الموظفين على الخصوصية وتوثيقه
- تقييم جميع موردي الطرف الثالث؛ إبرام اتفاقيات معالجة البيانات (DPAs)؛ وضع بنود تعاقدية نموذجية للنقل عبر الحدود
- توثيق خطة الاستجابة لخرق البيانات الشخصية واختبارها
- تسجيل المؤسسة على منصة هيئة سداية الوطنية للبيانات (إن كان مطلوباً)
- معالجة البيانات الحساسة: تطبيق موافقة معززة وضوابط أمنية مشددة
- توثيق سياسة الاحتفاظ بالبيانات؛ تطبيق إجراءات الحذف/إخفاء الهوية
- الاحتفاظ بسجلات المعالجة (للحفظ 5 سنوات بعد انتهاء المعالجة)
- وضع جدول لمتابعة الامتثال ومتابعة تحديثات هيئة سداية
هذا المقال لأغراض تثقيفية فقط. لا يُعدّ استشارة قانونية. لاتخاذ قرارات الامتثال التي تؤثر على عمليات شركتك، استشر مستشاراً قانونياً مؤهلاً ومرخصاً في المملكة العربية السعودية.
منشور بواسطة رماح الرقمية — شريكك في النمو الرقمي، وتحسين محركات البحث التقني، والاستراتيجية الرقمية المتوافقة مع الأنظمة في منطقة الخليج.