نظام حماية البيانات الشخصية في المملكة العربية السعودية (PDPL)، الصادر بالمرسوم الملكي رقم م/19 في سبتمبر 2021 والمُطبَّق اعتباراً من سبتمبر 2023، يُمثّل أول تشريع شامل لخصوصية البيانات في المملكة. يُرسي النظام إطاراً يحكم جمع البيانات الشخصية ومعالجتها وتخزينها ونقلها، مما يُوافق المملكة العربية السعودية مع المعايير الدولية لحماية البيانات مع مراعاة خصوصية البيئة التنظيمية في المملكة. وعلى الشركات العاملة في المملكة أو التي تتعامل مع بيانات من المملكة أن تفهم متطلبات النظام وتلتزم بها تجنباً لعقوبات صارمة.
الخلفية والسياق التشريعي
جرى تطوير النظام تحت إشراف الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، المنوط بها الإشراف على تطبيق النظام وتطبيقه. وقبل النظام، كانت حماية البيانات في المملكة تخضع للائحة متفرقة من الأنظمة القطاعية، بما فيها أحكام من نظام مكافحة الجرائم المعلوماتية ونظام التجارة الإلكترونية. وقد وحّد النظام هذه الأحكام المتناثرة في تشريع واحد شامل يسري على جميع القطاعات والصناعات. ويعكس النظام طموح المملكة في إطار رؤية 2030 لبناء اقتصاد رقمي حديث يستقطب الاستثمار الأجنبي المباشر وشركات التكنولوجيا مع صون حقوق خصوصية المواطنين.
النطاق والتطبيق
يسري النظام على أي معالجة للبيانات الشخصية تُجرى داخل المملكة العربية السعودية، فضلاً عن معالجة البيانات الشخصية للمقيمين السعوديين من قِبل جهات تقع خارج المملكة. وتُعرَّف البيانات الشخصية بمفهوم واسع يشمل أي بيانات يمكن من خلالها تحديد هوية الفرد مباشرةً أو بصورة غير مباشرة، بما فيها الأسماء وأرقام التعريف وبيانات الموقع والمعرّفات الإلكترونية والبيانات البيومترية. ويشمل النظام جهات القطاعين الخاص والعام، مع استثناءات محددة للاستخدام الشخصي والعائلي وأنشطة إنفاذ القانون والبيانات التي تُعالَج لأغراض إحصائية أو أرشيفية حيث توجد ضمانات مناسبة.
حقوق أصحاب البيانات
يمنح النظام أصحاب البيانات مجموعة شاملة من الحقوق على بياناتهم الشخصية. وتشمل هذه الحقوق: الحق في الإعلام بجمع البيانات والغرض من معالجتها، والحق في الوصول إلى بياناتهم، والحق في طلب تصحيح البيانات غير الدقيقة، والحق في طلب إتلاف بياناتهم حين تنتفي الحاجة إليها للغرض الذي جُمعت من أجله. كما يحق لأصحاب البيانات سحب الموافقة في أي وقت وطلب استلام بياناتهم بصيغة قابلة للقراءة الآلية لضمان إمكانية نقلها. ويتعين على المتحكمين الرد على طلبات أصحاب البيانات خلال فترات زمنية محددة دون فرض رسوم مبالغ فيها.
الموافقة والمعالجة المشروعة
الموافقة هي الأساس القانوني الأولي لمعالجة البيانات الشخصية في النظام، ويجب أن تكون صريحة ومبنية على علم ومُقدَّمة بحرية مع تحديد الغرض من المعالجة. كما يعترف النظام بأسس قانونية بديلة للمعالجة تشمل: ضرورة العقد، والامتثال للالتزامات القانونية، وحماية المصالح الجوهرية، والمصالح المشروعة للمتحكم حيث لا تطغى على حقوق أساسية لصاحب البيانات. وتستلزم البيانات الشخصية الحساسة — بما فيها البيانات الصحية والجينية والبيومترية والبيانات الكاشفة عن المعتقدات الدينية أو السياسية — موافقة صريحة وتخضع لضمانات إضافية.
نقل البيانات عبر الحدود
يفرض النظام شروطاً صارمة على نقل البيانات الشخصية خارج المملكة العربية السعودية، إذ لا تُجاز عمليات النقل إلا إلى دول توفر مستوى كافياً من حماية البيانات تُحدده الجهة المختصة، أو حيث تتوافر ضمانات مناسبة كقواعد الشركة الملزِمة أو البنود التعاقدية النموذجية أو الموافقة الصريحة لصاحب البيانات. وتُقدّم اللوائح التنفيذية الصادرة عن سدايا مزيداً من التفاصيل حول آليات وشروط عمليات النقل عبر الحدود. وعلى الشركات إجراء تقييمات أثر النقل والاحتفاظ بوثائق تُثبت الامتثال لهذه الاشتراطات.
الالتزامات التطبيقية للشركات
يتعين على المنظمات التي تُعالج البيانات الشخصية تطبيق أُطر حوكمة بيانات قوية للامتثال للنظام. وتشمل الالتزامات الرئيسية: تعيين مسؤول حماية البيانات عند الاقتضاء، والاحتفاظ بسجلات أنشطة المعالجة، وإجراء تقييمات أثر حماية البيانات للمعالجة عالية المخاطر، وتطبيق تدابير أمنية تقنية وتنظيمية مناسبة، وإخطار الجهة المختصة والأفراد المتأثرين في حال وقوع اختراق للبيانات. ويجب أن تكون سياسات الخصوصية شفافة وسهلة الوصول ومكتوبة باللغة العربية. وينبغي للشركات أيضاً اعتماد ممارسات تقليص البيانات، بجمع ما يكفي فحسب للأغراض المحددة والمشروعة.
العقوبات والتطبيق
يُقرر النظام عقوبات صارمة على المخالفات، إذ يمكن أن تصل الغرامات إلى 5 ملايين ريال سعودي (ما يعادل نحو 1.33 مليون دولار)، مع إمكانية تشديدها في حالات التكرار. وتسري عقوبات جزائية تشمل السجن حتى سنتَيْن على المخالفات المتضمنة الإفصاح عن البيانات الحساسة بقصد الإضرار. وتملك الجهة المختصة صلاحيات إجراء التحقيقات وإصدار التحذيرات وإلزام باتخاذ تدابير تصحيحية وفرض الغرامات. ومن المتوقع تصاعد وتيرة الإجراءات التطبيقية مع نضج الإطار التنظيمي وإتمام المنظمات مراحل الانتقال إلى الامتثال.
الأثر على رؤية 2030 والاقتصاد الرقمي
النظام مُمكِّن جوهري للتحول الرقمي في المملكة في إطار رؤية 2030، ويدعم أجندة الإصلاح التنظيمي الأشمل للمملكة. فمن خلال إرساء معايير واضحة لحماية البيانات، يُعزز النظام الثقة في الاقتصاد الرقمي، ويُشجع تبني الحوسبة السحابية والذكاء الاصطناعي، ويُموضع المملكة وجهةً موثوقة للشركات التقنية الدولية والأعمال المدفوعة بالبيانات. ويُيسّر توافق النظام مع المعايير العالمية كاللائحة الأوروبية العامة لحماية البيانات (GDPR) تدفقات البيانات عبر الحدود والشراكات التجارية، مما يدعم انخراط المملكة في الاقتصاد الرقمي العالمي.