نظام حماية البيانات الشخصية (PDPL): دليل عملي لأصحاب الأعمال في السعودية
إذا كانت منشأتك تجمع أي بيانات عن عملائك — اسم، رقم جوال، بريد، موقع، أو صورة — فأنت خاضع لنظام حماية البيانات الشخصية (Personal Data Protection Law - PDPL). النظام أصبح نافذاً بالكامل منذ 14 سبتمبر 2024، وتشرف عليه الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، والمخالفة قد تصل غرامتها إلى 5 ملايين ريال. في هذا الدليل نشرح بلغة مبسّطة ما الذي يلزم منشأتك فعله، وما حقوق عملائك، وكيف تستعد دون تعقيد.
ما هو نظام حماية البيانات الشخصية؟
هو نظام سعودي صدر بالمرسوم الملكي رقم (م/19)، ينظّم كيفية جمع البيانات الشخصية ومعالجتها وتخزينها ومشاركتها داخل المملكة. هدفه حماية خصوصية الأفراد وضمان تعامل المنشآت مع بياناتهم بشكل مسؤول وشفّاف. دخل النظام حيّز التنفيذ في 14 سبتمبر 2023، مع مهلة سنة للتوافق انتهت في 14 سبتمبر 2024، فأصبح ملزماً بالكامل بعدها.
على من يُطبَّق النظام؟
يُطبَّق على أي جهة — حكومية أو خاصة — تعالج بيانات شخصية لأفراد داخل المملكة، بأي وسيلة كانت. وهذا يشمل المتاجر الإلكترونية، التطبيقات، العيادات، المطاعم، شركات العقار، وأي منشأة تحتفظ بقاعدة عملاء. بل يمتد أثره إلى جهات خارج المملكة إذا كانت تعالج بيانات أفراد مقيمين فيها. باختصار: إذا عندك بيانات عملاء، النظام يخصّك.
ما حقوق صاحب البيانات (عميلك)؟
منح النظام الفرد مجموعة حقوق واضحة تجاه بياناته، أبرزها:
- الحق في العلم: أن يعرف لماذا تُجمع بياناته وكيف ستُستخدم.
- الحق في الوصول: أن يطّلع على بياناته المحفوظة لديك ويحصل على نسخة منها.
- الحق في التصحيح: أن يطلب تعديل أو تحديث أو إكمال بياناته.
- الحق في الإتلاف: أن يطلب حذف بياناته متى انتفت الحاجة إليها.
ما التزامات المنشأة (المتحكم في البيانات)؟
- أساس نظامي للمعالجة: لا تجمع بيانات دون مسوّغ، والأصل أخذ موافقة صاحبها.
- سياسة خصوصية واضحة: تنشر سياسة تشرح ما تجمعه ولماذا وكيف تحميه.
- تقليل البيانات: اجمع ما تحتاجه فقط لتحقيق الغرض، لا أكثر.
- الإبلاغ عن الاختراق: إشعار الهيئة (وصاحب البيانات عند اللزوم) عند أي تسريب يهدد الخصوصية.
- ضوابط نقل البيانات خارج المملكة: وفق ما تنص عليه اللائحة الخاصة بنقل البيانات.
ما عقوبات المخالفة؟
تتدرّج العقوبات بحسب نوع المخالفة:
- إفشاء أو نقل بيانات حساسة بقصد الإضرار أو تحقيق منفعة: السجن حتى سنتين و/أو غرامة تصل إلى 3 ملايين ريال.
- المخالفات الأخرى: إنذار أو غرامة تصل إلى 5 ملايين ريال، ويجوز مضاعفتها عند تكرار المخالفة.
الأهم أن العقوبة المالية ليست الخطر الوحيد؛ فقدان ثقة العملاء بعد تسريب بياناتهم قد يكلّف منشأتك أكثر من الغرامة نفسها.
كيف تجهّز منشأتك للامتثال؟
- اعرف بياناتك: ارسم خريطة لما تجمعه من بيانات، وأين يُخزَّن، ومن يصل إليه.
- انشر سياسة خصوصية واضحة على موقعك وتطبيقك، بالعربية وبلغة مفهومة.
- فعّل آلية موافقة صريحة قبل جمع البيانات، وخيار سحب الموافقة لاحقاً.
- أمّن التخزين: تشفير، صلاحيات وصول محدودة، وحذف ما لم تعد تحتاجه.
- جهّز إجراءً للاستجابة لطلبات العملاء (وصول، تصحيح، حذف) وللإبلاغ عن الاختراق.
كيف تساعدك أوريجامي
في أوريجامي نبني الأنظمة والتطبيقات بمبدأ الخصوصية منذ التصميم: تشفير البيانات الحساسة، إدارة الموافقات، سجل وصول، وآليات حذف وتصحيح مدمجة. سواء كنت تبني نظاماً جديداً أو تريد مواءمة نظامك الحالي مع متطلبات حماية البيانات، نتعامل مع الجانب التقني لتبقى أنت مطمئناً على امتثال منشأتك.
أسئلة شائعة
هل النظام يشمل المنشآت الصغيرة؟ نعم، لا يوجد استثناء بحسب الحجم؛ أي منشأة تعالج بيانات أفراد خاضعة للنظام.
هل يكفي وضع سياسة خصوصية على الموقع؟ سياسة الخصوصية خطوة مهمة لكنها ليست كافية وحدها؛ المطلوب التزام فعلي بجمع البيانات وحمايتها وإتاحتها وحذفها وفق النظام.
ماذا أفعل إذا حدث تسريب لبيانات عملائي؟ عالج الثغرة فوراً، وثّق الحادثة، وأبلغ الهيئة وفق المتطلبات، وأشعر المتأثرين عند اللزوم.
حماية بيانات عملائك لم تعد ميزة تنافسية فقط، بل التزام نظامي تترتب على إهماله غرامات وثقة مفقودة.
إذا أردت تقييم جاهزية منشأتك للامتثال لنظام حماية البيانات، أو بناء نظام يراعي الخصوصية منذ التصميم، احجز مكالمة قصيرة مع فريق أوريجامي أو تواصل معنا عبر واتساب.
