PDPL قانون حماية البيانات الشخصية في السعودية

Daam Al-Arabia guide on Saudi Arabia's PDPL and compliance with personal data protection regulations.

كل ما يجب على أصحاب الأعمال معرفته والمزيد حول هذا النظام

لمحة سريعة عن نظام PDPL

لأول مرة وبعد طول انتظارسيتم تطبيق قانون حماية البيانات الشخصية في المملكة العربية السعودية على غرار نظام حماية البيانات العامة في أوروبا (GDPR) وقانون خصوصية المستهلك في كاليفورنيا (CCPA)

قامت المملكة السعودية بإصدار قانون “حماية البيانات الشخصية ” أو ما يعرف ب PDPL اختصار لـ “Personal Data Protection Law” والذي من شأنه تنظيم عملية جمع وتخزين ومشاركة ومعالجة البيانات الشخصية لكل من يعيش على أراضي المملكة السعودية.

يهدف قانون حماية البيانات الشخصية الى حماية خصوصية الأفراد وتنظيم تبادل البيانات وضمان خصوصية البيانات الشخصية من خلال تنظيم عملية جمع البيانات الشخصية ومعالجتها والإفصاح عنها والاحتفاظ بها، أي أن الشركات لن تتمكن من معالجة البيانات الشخصية إذا لم يكن لديها أساس قانوني للقيام بذلك، ويعد الحصول على موافقة مالكي البيانات الشخصية هو المطلب الأساسي الذي ستتمكن الشركات من خلاله من معالجة البيانات الشخصية. كما سيُطلب من الشركات تطوير سياسة خصوصية ومشاركتها، وتحديد تفاصيل معالجتها للبيانات الشخصية، بما في ذلك الغرض من جمع البيانات وكيفية معالجة البيانات، وستكون الشركات ملزمة أيضًا بتدمير البيانات التي جمعتها إذا اتضح أنها لم تعد ضرورية لتحقيق الغرض من جمعها.

أهم الأحداث التاريخية لنظام حماية البيانات الشخصية الجديد PDPL

تم إصدار قانون “حماية البيانات الشخصية” في 16 سبتمبر 2021، بعد موافقة مجلس الوزراء في المملكة العربية السعودية، وتم نشره في 24 سبتمبر 2022 والذي يحتوي على عدة شروط لمعالجة البيانات الشخصية بالإضافة إلى سلسلة من الحقوق التي سيتمتع بها “أصحاب البيانات الشخصية” كما يشتمل هذا النظام على اطار مفصل حول معايير معالجة البيانات، والتزامات الهيئات المعنيّة عند معالجة البيانات الشخصية، بالاضافة الى العقوبات المترتبة على الشركات أو الكيانات العامة العاملة داخل المملكة العربية السعودية في حال عدم الإمتثال.

وقد صرح بأنه يُعمَل بالنظام بعد 180 يوماً من تاريخ نشره في الجريدة الرسمية (المادّة 43 من النظام)، أي في 23 مارس 2022.
وتُشرِف الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) على تنفيذ نظام حماية البيانات الشخصية خلال أول عامين. وبعد ذلك، يتولّى “مكتب إدارة البيانات الوطنية” الإشراف على تنفيذه

 

وقد قامت SDAIA مؤخراً برفع طلب لتأجيل العمل بالنظام, وجائت الموافقة بتأجيل نفاذ نظام حماية البيانات الشخصية لمدة 540 يوما من تاريخ نشره وفقاً لجريدة عكاظ ليصبح التاريخ النهائي لدخول النظام حيز التنفيذ هو 18 مارس 2023

أهم النقاط في نظام حماية البيانات الشخصية في السعودية

  • يجب تحديد وتوثيق كل من السياسات وإجراءات الخصوصية الخاصة بجهة التحكم (جهة التحكم هي الشركة او الجهة التي تقوم بجمع البيانات وتحدد الغرض من معالجة البيانات الشخصية) واعتمادها من قبل المسؤول الأول بالجهة ونشرها إلى جميع الأطراف المعنية بتطبيقها.
  • يجب أن يتم إعداد إشعار لكل من السياسات وإجراءات الخصوصية الخاصة بجهة التحكم على أن يتم فيها تحديد الأغراض التي من أجلها تم جمع ومعالجة البيانات الشخصية وذلك بصورة محددة وواضحة وصريحة. (البيانات الشخصية هو كل معلومة تؤدي إلى معرفة الفرد على وجه التحديد، أو يجعل التعرف عليه ممكنًا بصفة مباشرة أو غير مباشرة، ومن ذلك: الاسم، ورقم الهوية الشخصية، والعناوين، وأرقام التواصل، وأرقام الرُّخص والسجلات والممتلكات الشخصية، وأرقام الحسابات البنكية والبطاقات الائتمانية، وصور الفرد الثابتة أو المتحركة، وغير ذلك من البيانات ذات الطابع الشخصي)
  • يجب أن يتم تحديد جميع الخيارات الممكنة لصاحب البيانات الشخصية والحصول على موافقته الصريحة أو الضمنية فيما يتعلق بجمع بياناته واستخدامها أو الإفصاح عنها لأي جهة أخرى.
  • يجب أن يقتصر جمع البيانات الشخصية على الحد الأدنى من البيانات الذي يمكن من تحقيق الأغراض المحددة في إشعار الخصوصية.
  • يجب أن يتم تقييد معالجة البيانات الشخصية بالأغراض المحددة في إشعار الخصوصية والتي من أجلها قدم صاحب البيانات موافقته الضمنية أو الصريحة، والاحتفاظ بها طالما كان ذلك ضروريًا لتحقيق الأغراض المحددة أو لما تقتضيه الأنظمة واللوائح والسياسات المعمول بها في المملكة وإتلافها أي (إزالة البيانات الشخصية وعدم الإطلاع عليها أو استعادتها مره أخرى) بطريقة آمنة تمنع التسريب أو الفقدان أو الاختلاس أو إساءة الاستخدام أو الوصول غير المصرح به نظامًا.
  • يجب أن يتم تحديد وتوفير الوسائل التي من خلالها يمكن لصاحب البيانات الوصول إلى بياناته الشخصية لمراجعتها وتحديثها وتصحيحها.
  • يجب أن يتم تقييد الإفصاح عن البيانات الشخصية للأطراف الخارجية أي (عدم نقل البيانات الشخصية من مكان إلى آخر لمعالجتها) بالأغراض المحددة في إشعار الخصوصية والتي من أجلها قدم صاحب البيانات موافقته الضمنية أو الصريحة.
  • يجب أن يتم حماية البيانات الشخصية من التسرب أي (عدم نشر أي من البيانـات الشخصية عبـر وسيلـة نشـر مقـروءة أو مسموعـة أو مرئية، أو إتاحتها) أو التلف أو الفقدان أو الاختلاس أو إساءة الاستخدام أو التعديل أو الوصول غير المصرح به.
  • يجب أن يتم الاحتفاظ بالبيانات الشخصية بصورة دقيقة وكاملة وذات علاقة مباشرة بالأغراض المحددة في إشعار الخصوصية.
  • يجب أن يتم مراقبة الامتثال لسياسات وإجراءات الخصوصية الخاصة عبر مراقب البيانات، وأن يتم معالجة أي استفسارات وشكاوى ونزاعات متعلقة بالخصوصية.

حقوق الأشخاص:

  1. يحق لصاحب البيانات إحاطـته عـلماً بـالغرض مـن مـعالجة بـيانـاتـه الـشخصية، والاحتياج الـفعل النظامي لهــذا الــغرض، ومــحتوى الــبيانــات المطلوب معالجتها، وطــريــقة جمعها، ووسـيلة حفظها، ولمن ســيتم الإفصاح عنها.
  2. يحق لصاحب البيانات الوصول إلى بياناته الشخصية لدى الجهة والحصول على نسخة منها بصيغة واضحة ومقروءة ومطابقة لمضمون السجلات وبدون مقابل مادي.
  3. يحق لصاحب البيانات طلب تصحيح بياناته الشخصية التي يرى أنها غير دقيقة أو غير صحيحة أو غير مكتملة.
  4. يحق لصاحب البيانات طلب إتلاف بياناته الشخصية التي انتهت الحاجة منها أو التي جمعت بطريقة غير نظامية.
  5. يحق لصاحب البيانات طلب تقييد معالجة بياناته الشخصية لحالات خاصة ولفترة زمنية محدودة.
  6. يحق لصاحب البيانات طلب الاعتراض عـلى معالجة بـياناتـه الـشخصية أو العدول عـن موافـقته عـلى معالجة بياناته الشخصية.

أهم النقاط في نظام حماية البيانات الشخصية في السعودية

أولاً ينبغي البدأ بإظهار اشعار الخصوصية للزوار لإخطارهم باستخدم ملفات تعريف الإرتباط بغرض جمع بياناتهم والحصول على موافقتهم (الضمنية أو الصريحة) بمعالجتها.
المثال التالي يوضح ذلك:
  • تعيين موظف مسؤول عن حماية خصوصية البيانات.
  • طلب الموافقة على جمع البيانات الشخصية من الزوار و الإفصاح عن سبب جمع ومعالجة البيانات في سياسة الخصوصية و سياسة ملفات تعريف الارتباط.
  • تطبيق إجراءات متعلقة بأمن المعلومات
  • الاستجابة لطلبات أصحاب البيانات بخصوص بياناتهم الشخصية
  • الإخطارالمباشر عن أية خروقات للبيانات الشخصية.
  • حماية البيانات الشخصية عند نقلها إلى الخارج
  • إدارة التعاقدات من الباطن وجهات المعالجة الفرعية (جهة المعالجة هي الشركة أو الجهة التي تعالج البيانات الشخصية لمصلحة جهة التحكم ونيابةً عنها)

ماذا لو تجاهلت هذا القانون او لم تطبق لهذا النظام

النتائج المترتبة على عدم تطبيق قانون حماية البيانات الشخصية أو حتى أي خرق لأي مادة من مواد نظام حماية البيانات الشخصية قد يكون مؤلماً حقاً للكثير. فوفقاً لما جاء في النظام وبموجب القرار رقم 35 :

  • “يُعاقب بالسجن لمدة تصل إلى عامين أو بحد اقصى 3 ملايين ريال سعودي لكل من أفصح عن بيانات حساسة أو نشرها مخالفًا أحكام النظام” بقصد الإضرار بصاحب البيانات أو بقصد تحقيق منفعة شخصية.
  • وفيما لم يرد في شأنه نص خاص في المادة 35 من النظام، ودون إخلال بأيِّ عقوبة أشد منصوص عليها في نظام آخر؛ تُعاقَب بالإنذار أو بغرامة لا تزيد على (5 ملايين) ريال، لكل جهة خالفت أيًّا من أحكام النظام أو اللوائح. وتجوز مضاعفة عقوبة الغرامة في حالة تكرار المخالفة.
  • كل من خالف أحكام المادة 29 من النظام التي تنص على انه “لايجوز لجهة التحكم نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة إلاَّ إذا كان ذلك تنفيذاً لالتزام بموجب اتفاقية تكون المملكة طرفاً فيه، أو لخدمة مصالح المملكة، أو لأغراض أخرى وفقاً لما تحدده اللوائح” يعاقب بالسجن مدة لا تزيد على (سنة) اوبغرامة لا تزيد على (1 مليون) ريال او كلاهما.

شروط وضوابط نقل البيانات الشخصية لخارج المملكة العربية السعودية

  1. ألاَّ يترتب على النقل أو الإفصاح مساس بالأمن الوطني أو بمصالح المملكة الحيوية.
  2. أن تقدم ضمانات كافية للمحافظة على البيانات الشخصية التي سَيُجرى نقلها أو الإفصاح عنها وعلى سريتها، بحيث لا تقل معايير حماية البيانات الشخصية عن المعايير الواردة في النظام واللوائح.
  3. أن يقتصر النقل أو الإفصاح على الحد الأدنى من البيانات الشخصية الذي تدعو الحاجة إليه.
  4. موافقة الجهة المختصة (الجهة التي يصدر بتحديدها قرار من مجلس الوزراء) على النقل أو الإفصاح وفقاً لما تحدده اللوائح.
  5. وفيما عدا الشرط الوارد في الفقرة (1) من هذه المادة، يجوز للجهة المختصة أن تعفي جهة التحكم -في كل حالة على حدة- من الالتزام بأحد الشروط المشار إليها؛ متى قدَّرت الجهة المختصة منفردة أو بالاشتراك مع جهات أخرى أن البيانات الشخصية سيتوافر لها مستوى مقبول من الحماية خارج المملكة، ولم تكن تلك البيانات بيانات حساسة.

هل يمكن للجهة المعالجة للبيانات الشخصية إرسال المواد التسويقية أو التوعوية

لا, لا يـجوز لـلجهة المعالجة اسـتخدام وسـائـل الاتـصال الـشخصية كأرسال بريد إلكتروني توعوي أو رسالة نصية تسويقية لـصاحـب الـبيانـات الـشخصية إلا بالشروط التالية:

  • أن تؤخذ موافقة المتلقي المستهدف على إرسال هذه المواد إليه.
  • أن يـوفـر مـرسـل الـمواد آلـية واضـحة تـمكن الـمتلقي المسـتهدف مـن إبـداء رغـبته فـي الـتوقـف عـن إرسـالـها إلـيه.

ويستثني من ذلك الـمواد الـتوعـويـة الـتي تـرسـلها الـجهات الـعامـة.

كيف نستطيع المساعدة في دعم العربية؟

دعم العربية تستطيع مساعدتك في توفير وتطبيق الحلول التقنية التي تساعدك في الإمتثال لقانون حماية البيانات الشخصية

ملاحظة: نحن لا نقوم بتقديم اية خدمات قضائية أو استشارات قانونية.

استشر خبيراً الآن

الملحق للإطلاع

نظام حماية البيانات العامة في أوروبا او ما يعرف بـ GDPR

GDPR اختصار لـ “General Data Protection Regulation” أو “النظام الأوروبي العام لحماية البيانات” التي دخلت حيز التنفيذ في 25 مايو 2018، وهي مجموعة من القواعد والقوانين تم وضعها من قبل الإتحاد الأوروبي لحماية خصوصية بيانات المستخدمين الشخصية على الإنترنت لمن هم مقيمين في دول الإتحاد الأوروبي، وتنطبق أحكام هذه اللائحة على كل الشركات التي تقوم بمعالجة البيانات الشخصية المتعلقة بأشخاص يقيمون في الاتحاد الأوروبي، أي منح المواطنين القدرة على التحكم في بياناتهم الشخصية، ويكمن الغرض من القانون في تقوية حماية البيانات ومنح الأشخاص قدرًا أكبر من التحكم في الطريقة التي يتم بها استخدام وتخزين ومشاركة معلوماتهم الشخصية من قِبل المؤسسات التي لها حق الوصول إليها على سبيل المثال المواقع الإلكترونية التي يشتري منها هؤلاء الأشخاص إما خدمة أو منتج معين، لذلك بعد صدور هذه الأنظمة وجب على مراقبي ومعالجات البيانات الشخصية في المؤسسات وضع التدابير الفنية والتنظيمية المناسبة لتنفيذ مبادئ حماية البيانات وتوفير ضمانات لحماية البيانات. وقد يؤدي عدم الامتثال لأحكام اللائحة العامة لحماية البيانات إلى فرض غرامات ضخمة – تصل إلى 4% من إجمالي الإيرادات السنوية في بعض حالات الانتهاك.

قانون خصوصية المستهلك في كاليفورنيا او ما يعرف بـ CCP

CCPA اختصار لـ “California Consumer Privacy Act” أو “قانون خصوصية المستهلك في كاليفورنيا” الذي أصبح سارياً في 1 يناير 2020، وهو قانون يُعنى بخصوصية البيانات، ينص القانون على منح أحقية خيار إيقاف بيع بيانات المعلومات الشخصية للمستخدمين على الإنترنت في ولاية كاليفورنيا الأمريكية، أي أنه يجب على الشركات التي لديها موقع الكتروني أن تضيف رابط واضح على مواقع الويب التي يزورها المستهلكون، يتضمن عبارة “يرجى عدم بيع معلوماتي الشخصية“، إذا كان هذا التنبيه مفقود، فيمكن للمستهلكين رفع دعوى وأيضًا يمكنهم رفع دعوى إذا لم يتمكنوا من معرفة كيفية جمع معلوماتهم أو الحصول على نسخ من تلك المعلومات. كما يسمح قانون CCPA لأي مستهلك في كاليفورنيا بالاطلاع على جميع معلوماته التي قامت الشركة بحفظها، ولديه الحق في معرفة البيانات الشخصية التي يتم جمعها عنهم والحق في طلب حذف هذه المعلومات من سجلات الشركات التقنية، وسيكون لهم أيضًا الحق في معرفة تفاصيل كيفية استخدام بياناتهم التي جمعتها الشركات التقنية، ويمكنهم طلب عدم بيع بياناتهم إلى أطراف ثالثة، كما يسمح القانون للمستهلكين بمقاضاة الشركات في حال انتهاك إرشادات الخصوصية، حتى إذا لم يكن هناك أي خرق أو تسريب أمني. ويسري هذا القانون على الشركات التي تمارس نشاطها التجاري في كاليفورنيا وتستوفي أحد المعايير المتعددة ذات الصلة بالأرباح ومعالجة البيانات وغير ذلك من العوامل.

ولم يتوقف عند هذا الحد حيث يقول مدافعون عن الخصوصية إنه إذا قامت الشركات بتوسيع هذه الحقوق الجديدة للمستهلكين خارج الولايات المتحدة، أو إذا اتبعت دول أخرى زمام المبادرة كما فعلتها ولاية كاليفورنيا، فقد تصبح الـ CCPA قانونًا فعالًا على مستوى العالم وبالتالي يحفظ للمستهلكين خصوصيتهم.

هل Google Analytics يشكل خرقاً لنظام حماية البيانات الشخصية وهل أحتاج موافقة زوار الموقع؟

يعتبرGoogle Analytics أو تحليلات جوجل أحد الأدوات المهمة للشركات والمؤسسات التي تمتلك متاجر الكترونية ، حيث تساعدهم على فهم سلوك زوار متاجرهم الالكترونية من خلال ملفات تعريف الارتباط التي يوفرها جوجل انالتيكس، حيث تجمع ملفات تعريف الارتباط هذه كل من عنوان IP، وبيانات الاستخدام : مثل الصفحات التي يتصفحها المستخدم ومعدل الوقت الذي يقضيه المستخدم في هذه الصفحات، والمواقع التي اتى منها، لذلك لجلب هذه المعلومات، يقوم Google Analytics بجمع بيانات حول حركة مرور الموقع الإلكتروني والتفاعلات التي تحدث داخل المتجر الإلكتروني، ولكن السؤال هنا هل يخالف جمع مثل هذه البيانات النظام السعودي الجديد لحماية البيانات الشخصية ؟
بحسب المادة رقم 27 من النظام يجوز جمع البيانات الشخصية أو مُعالجتها لأغراض علمية أو بحثية أو إحصائية دون موافقة صاحبها، في الأحوال الآتية:
  • إذا لم تتضمن البيانات الشخصية ما يدل على هوية صاحبها على وجه التحديد.
  • إذا كان سَيُجرى إتلاف ما يدل على هوية صاحب البيانات الشخصية على وجه التحديد خلال عملية مُعالجتها وقبل الإفصاح عنها لأي جهة أُخرى ولم تكن تلك البيانات بيانات حساسة.
  • إذا كان جمع البيانات الشخصية أو معالجتها لهذه الأغراض يقتضيها نظام آخر أو تنفيذاً لاتفاق سابق يكون صاحبها طرفاً فيه.

Send Us A Message

Quick Contact

Quick Contact

Trusted by some of the biggest companies in the Kingdom

Virgin Megastore logo – official partner of Daam Al-Arabia, optimizing retail performance with data-driven solutions and digital engagement strategies.
Qasar Al Awani logo – official partner of Daam Al-Arabia, optimizing homeware and kitchenware growth with digital solutions.
Al Manea logo – official partner of Daam Al-Arabia, driving business growth with advanced data, security, and digital marketing solutions.
Al Nahdi logo – official partner of Daam Al-Arabia, empowering healthcare and retail success through data-driven strategies and digital solutions.
Paris Gallery logo – official partner of Daam Al-Arabia, driving luxury beauty and fashion growth through digital strategies.
Al Rajhi Takaful logo – official partner of Daam Al-Arabia, enhancing insurance services with data-driven security and digital solutions.