نظام حماية البيانات الشخصية ولوائحه الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي «سدايا» يمس كل شركة تقريباً، لا شركات التقنية وحدها. أي منشأة تجمع بيانات عملاء أو موظفين أو مستخدمين — عبر نظام إدارة علاقات عملاء، أو متجر إلكتروني، أو تطبيق، أو حملة تسويقية — معنية بالامتثال قبل الإطلاق لا بعده. هذه الصفحة تعرض الأساسيات العملية كما توضحها اللائحة التنفيذية ولائحة النقل خارج المملكة، ضمن مواد الشركات والأعمال على هلا لو.
ابدأ بخريطة البيانات لا بسياسة الخصوصية
القاعدة العملية الأولى: الشركة تحتاج خريطة بيانات قبل أن تحتاج سياسة خصوصية جميلة. سياسة الخصوصية التي لا تستند إلى معرفة حقيقية بما تجمعه الشركة فعلاً تتحول إلى نص شكلي. خريطة البيانات تجيب عن ثلاثة أسئلة: ما البيانات التي نجمعها؟ من أين تأتي؟ ولماذا نعالجها؟ — ومن هذه الإجابات تتفرع بقية قرارات الامتثال: الأساس النظامي، ومدة الحفظ، والموردون الذين يلمسون البيانات.
الموافقة: متى تصح ومتى تُطلب صريحة؟
الموافقة ليست الأساس النظامي الوحيد للمعالجة، لكنها الأكثر شيوعاً في التسويق والخدمات الرقمية. عندما تكون الموافقة هي الأساس النظامي، توضح اللائحة أنها يجب أن تكون حرة ومحددة وواضحة ومبنية على أغراض محددة. موافقة عامة غامضة مدفونة في شروط استخدام طويلة لا تحقق هذا الوصف.
وهناك حالات تُطلب فيها الموافقة الصريحة تحديداً، منها: البيانات الحساسة، والبيانات الائتمانية، والقرارات المبنية كلياً على المعالجة الآلية. الشركة التي تبني قراراً آلياً بالكامل على بيانات المستخدم — كالتقييم أو التصنيف الآلي — تقع في نطاق هذه الحالات.
الحد الأدنى من البيانات والإتلاف
تؤكد اللائحة مبدأ الحد الأدنى من البيانات: جمع ما تحتاجه المعالجة فعلاً، لا كل ما يمكن جمعه. النموذج الذي يطلب عشرين حقلاً لخدمة تحتاج ثلاثة أسئلة هو عبء امتثالي قبل أن يكون عبئاً على المستخدم.
وتلزم اللائحة بإتلاف البيانات في حالات منها:
- طلب صاحب البيانات.
- انتهاء الحاجة إلى البيانات.
- سحب الموافقة إذا كانت هي الأساس النظامي الوحيد للمعالجة.
- المعالجة المخالفة للنظام.
السؤال العملي الذي يهمله كثيرون: من يثبت الحذف؟ آلية إتلاف موثقة جزء من الامتثال، لا ترف تقني.
سجلات أنشطة المعالجة
تستلزم اللائحة الاحتفاظ بسجلات لأنشطة المعالجة خلال مدة المعالجة، ولمدة خمس سنوات من تاريخ انتهائها. هذا يعني أن انتهاء مشروع أو حملة لا ينهي التزام التوثيق المرتبط بها.
جدول أسئلة الامتثال الأساسية
| المجال | سؤال الامتثال | | --- | --- | | خريطة البيانات | ما البيانات التي نجمعها؟ من أين؟ ولماذا؟ | | الأساس النظامي | هل نعتمد على موافقة، أو عقد، أو التزام نظامي، أو مصلحة مشروعة؟ | | سياسة الخصوصية | هل تشرح الغرض، ومدة الحفظ، والحقوق، وطرق التواصل؟ | | التسويق | هل الموافقة واضحة ومنفصلة عند الحاجة؟ | | الموردون | هل مزود CRM أو الاستضافة أو الدفع يعالج بيانات بالنيابة؟ | | النقل خارج المملكة | هل توجد دولة مستقبلة، وضمانات، وتقييم مخاطر عند اللزوم؟ | | الحوادث | من يقرر الإبلاغ؟ وما خطة احتواء التسرب؟ | | الإتلاف | متى تُحذف البيانات؟ ومن يثبت الحذف؟ |
النقل خارج المملكة والموردون
استخدام مزودي خدمات سحابية أو أدوات تسويق دولية يطرح سؤالين متلازمين. الأول: هل المورد يعالج البيانات بالنيابة عن شركتك؟ فعقودك مع مزودي CRM والاستضافة والدفع جزء من خريطة الامتثال. والثاني: هل تنتقل البيانات خارج المملكة؟ فالنقل تنظمه لائحة مستقلة، والأسئلة التي تُفحص تشمل الدولة المستقبلة والضمانات وتقييم المخاطر عند اللزوم.
تنبيه تحريري مهم: مواد PDPL المتداولة في الإنترنت كثير منها قديم. المرجع المحدث هو سدايا ومنصة حوكمة البيانات واللائحة التنفيذية ولائحة النقل بنسختيهما النافذتين — لا مقالات كتبت قبل صدورهما أو تعديلهما.
متى تحتاج محامياً أو مستشاراً مرخصاً؟
هذه الصفحة إطار عام للامتثال، وليست تقييماً لوضع شركة بعينها. تصبح المسألة بحاجة إلى محامٍ مرخص أو مستشار معتمد في حماية البيانات عندما:
- تعالج شركتك بيانات حساسة أو ائتمانية أو تبني قرارات آلية كاملة، وتحتاج توصيف الأساس النظامي الصحيح لكل معالجة.
- تخطط لنقل بيانات خارج المملكة وتحتاج تقييم الترتيب في ضوء لائحة النقل المحدثة.
- وقع حادث تسرب أو وصلك استفسار أو شكوى تتعلق ببيانات شخصية.
- تحتاج صياغة أو مراجعة عقود معالجة البيانات مع الموردين، أو سياسة خصوصية تعكس معالجتك الفعلية لا نموذجاً منسوخاً.
في هذه الحالات، يعتمد الموقف على وقائع المعالجة ومستنداتها ونصوص اللوائح النافذة وقت الفحص — لا على قاعدة عامة واحدة.