هل يمكنني إنشاء مستند قانوني من الصفر؟

نعم، يتيح لك عادل إنشاء مستندات قانونية احترافية ومخصصة من خلال إجابة استبيان ذكي، ويتم إنشاء المستند بصيغة جاهزة للتوقيع خلال دقائق. تتوافق المستندات المُنشأة مع الأنظمة السعودية الصادرة عن وزارة العدل (moj.gov.sa) ونظام المرافعات الشرعية.

هل أستطيع تعديل مستنداتي مباشرة داخل المنصة؟

يمكنك تعديل المستندات القانونية داخل محرر عادل الذكي، مع دعم كامل للتعليقات وتتبع التغييرات والرجوع للنسخ السابقة. وفقاً لتقارير القطاع، تقلّص أدوات التحرير الذكية وقت مراجعة المستندات بنسبة تصل إلى 60%.

هل يراجع عادل المستندات بحثاً عن المخاطر؟

نعم، يوفر عادل مراجعة ذكية تكشف الثغرات والتناقضات ومشكلات الامتثال في المستندات القانونية وتقترح تحسينات فورية. تشمل المراجعة التحقق من التوافق مع نظام العمل السعودي (المرسوم الملكي رقم م/51) ونظام الشركات ونظام المعاملات التجارية.

ما نوع المحتوى في مكتبات عادل القانونية؟

تشمل مكتبات عادل مكتبة الأنظمة واللوائح المستندة إلى منصة نظام (laws.boe.gov.sa)، ومكتبة القوالب الجاهزة المتوافقة مع إجراءات المحاكم التجارية والعمالية، ومكتبة البنود القانونية الجزئية القابلة للاستخدام الفوري.

هل يوفر عادل ترجمة قانونية احترافية؟

يوفر عادل ترجمة قانونية دقيقة بين العربية والإنجليزية مع الحفاظ على السياق القانوني وتنسيق المستند الكامل. تدعم الترجمة المصطلحات المعتمدة من هيئة المحامين السعودية والمصطلحات الرسمية المستخدمة في منصة ناجز (najiz.sa).

ما هي خدمة 'اسأل عادل'؟

اسأل عادل هي أداة ذكاء اصطناعي تجيب على أسئلتك القانونية بدقة باللغة العربية، مستندة إلى الأنظمة السعودية المنشورة على منصة نظام (laws.boe.gov.sa) ومنصة وزارة العدل (moj.gov.sa)، مع روابط المصادر التنظيمية الرسمية.

هل يمكن لفرق العمل استخدام عادل؟

نعم، يمكنك إنشاء مساحات عمل لفرقك القانونية لتنظيم المستندات وتوزيع المهام والتعاون في بيئة آمنة ومشتركة. وفقاً لدراسات التحول الرقمي ضمن رؤية السعودية 2030، تسهم أدوات التعاون الرقمي في رفع إنتاجية الفرق القانونية بنسبة تصل إلى 40%.

هل بياناتي القانونية آمنة في عادل؟

نعم، يتم تخزين البيانات مشفرة بالكامل، ولا تُستخدم للتدريب أو التحليل، مع التزام صارم بمعايير الأمان. يلتزم عادل بنظام حماية البيانات الشخصية السعودي (PDPL) الصادر بالمرسوم الملكي رقم م/19، وبمعايير الهيئة الوطنية للأمن السيبراني (NCA).

نظام حماية البيانات الشخصية السعودي (PDPL): دليل الامتثال الشامل 2026

في عصر التحول الرقمي المتسارع الذي تعيشه المملكة العربية السعودية ضمن رؤية 2030، أصبحت البيانات الشخصية تمثل ثروة حقيقية تحتاج إلى حماية قانونية صارمة. فمع تزايد الخدمات الإلكترونية الحكومية والتجارية، وانتشار التطبيقات الذكية، ومنصات التواصل الاجتماعي، باتت حماية البيانات الشخصية ضرورة حتمية لحماية خصوصية الأفراد وتعزيز الثقة في الاقتصاد الرقمي. من هنا جاء نظام حماية البيانات الشخصية (Personal Data Protection Law - PDPL) ليكون الإطار التشريعي المتكامل الذي ينظم جمع البيانات الشخصية ومعالجتها وحفظها ومشاركتها في المملكة.

يهدف هذا الدليل الشامل إلى تقديم شرح مفصّل وعملي لنظام حماية البيانات السعودية، بدءاً من تعريفاته الأساسية، مروراً بحقوق أصحاب البيانات والتزامات جهات التحكم، وصولاً إلى العقوبات والغرامات وخطوات الامتثال لنظام حماية البيانات العملية للشركات والمؤسسات. سواء كنت صاحب شركة ناشئة، أو مسؤول امتثال في مؤسسة كبرى، أو حتى فرداً يرغب في معرفة حقوقه، فإن هذا الدليل سيمنحك الفهم اللازم للتعامل مع متطلبات خصوصية البيانات في المملكة.

الخلفية التشريعية لنظام حماية البيانات الشخصية

مسيرة التشريع والإصدار

صدر نظام حماية البيانات الشخصية بالمرسوم الملكي رقم (م/19) وتاريخ 9/2/1443هـ (الموافق 16 سبتمبر 2021م)، بناءً على قرار مجلس الوزراء رقم (98) وتاريخ 7/2/1443هـ. يُعد هذا النظام أول تشريع سعودي متخصص ومستقل في مجال حماية البيانات الشخصية، وقد مرّ بعدة مراحل تطوير مهمة:

سبتمبر 2021: صدور النظام بنسخته الأولى، مع تكليف الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) بالإشراف على تنفيذه.
مارس 2023: صدور التعديلات على النظام بالمرسوم الملكي رقم (م/148) لتوسيع نطاقه وتعزيز آليات الحماية.
سبتمبر 2023: بدء سريان النظام المعدّل رسمياً.
سبتمبر 2024: انتهاء الفترة الانتقالية ودخول النظام حيز التنفيذ الكامل مع اللوائح التنفيذية.

المادة الأولى من النظام: "يهدف هذا النظام إلى حماية حق الخصوصية المتعلق بمعالجة البيانات الشخصية، وتنظيم مشاركتها بين الجهات، والحد من إساءة استخدامها."

الجهات المشرفة على تنفيذ النظام

تتولى الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) الإشراف على تطبيق النظام من خلال المكتب الوطني لإدارة البيانات (NDMO)، الذي يختص بإصدار اللوائح التنفيذية والتعاميم التوضيحية، ومراقبة التزام الجهات بأحكام النظام، وتلقي الشكاوى والبلاغات المتعلقة بانتهاكات خصوصية البيانات.

التعريفات والمفاهيم الأساسية في النظام

لفهم نظام حماية البيانات الشخصية بشكل صحيح، يجب الإلمام بالمصطلحات والتعريفات الجوهرية التي يقوم عليها النظام:

البيانات الشخصية

هي كل بيان مهما كان مصدره أو شكله يمكن أن يؤدي بذاته أو بالإضافة إلى بيانات أخرى إلى معرفة الفرد على وجه التحديد، أو ما يجعل الفرد قابلاً للتعرف عليه بصورة مباشرة أو غير مباشرة. وتشمل: الاسم، ورقم الهوية الوطنية، والعنوان، وأرقام التواصل، وأرقام الحسابات البنكية، والسجلات الصحية، والصور الفوتوغرافية والمرئية، وغيرها.

البيانات الشخصية الحساسة

هي كل بيان شخصي يتعلق بالأصل العرقي أو الإثني للفرد، أو معتقده الديني أو الفكري أو السياسي، أو عضوية النقابات والجمعيات، أو البيانات الجنائية والأمنية، أو البيانات الحيوية أو الوراثية، أو البيانات الصحية، أو البيانات التي تدل على أن الفرد مجهول الأبوين أو أحدهما، أو البيانات الائتمانية.

المادة الأولى (التعريفات): "البيانات الحساسة: كل بيان شخصي يتضمن الإشارة إلى أصل الفرد العرقي أو الإثني، أو معتقده الديني أو الفكري أو السياسي، أو يدل على عضويته في جمعيات أو مؤسسات أهلية، أو البيانات الجنائية والأمنية، أو البيانات الحيوية التي تحدد الهوية، أو البيانات الوراثية، أو البيانات الصحية، أو بيانات تدل على كون الفرد مجهول الأبوين أو أحدهما، أو البيانات الائتمانية."

المعالجة

أي عملية تُجرى على البيانات الشخصية بأي وسيلة كانت، سواء كانت آلية أو يدوية، وتشمل: الجمع، والتسجيل، والحفظ، والتصنيف، والفهرسة، والتعديل، والتحديث، والدمج، والاسترجاع، والاستخدام، والإفصاح، والنقل، والمشاركة، والربط، والحجب، والمسح، والإتلاف.

جهة التحكم (Controller)

هي الجهة التي تحدد الغرض من معالجة البيانات الشخصية وكيفيتها، سواء كانت شخصاً طبيعياً أو اعتبارياً، عاماً أو خاصاً. وهي الجهة التي تتحمل المسؤولية الأساسية عن الامتثال لأحكام النظام.

جهة المعالجة (Processor)

هي الجهة التي تعالج البيانات الشخصية نيابة عن جهة التحكم وبناءً على تعليماتها. ورغم أنها لا تحدد أغراض المعالجة، إلا أنها تتحمل التزامات محددة بموجب النظام.

صاحب البيانات الشخصية (Data Subject)

هو الفرد الذي تتعلق به البيانات الشخصية، وهو المستفيد الرئيسي من الحماية التي يوفرها النظام.

المصطلح	التعريف	المقابل في GDPR
البيانات الشخصية	كل بيان يؤدي لمعرفة الفرد	Personal Data
البيانات الحساسة	بيانات تتعلق بالعرق والدين والصحة وغيرها	Special Categories of Data
المعالجة	أي عملية تُجرى على البيانات	Processing
جهة التحكم	من يحدد غرض المعالجة وكيفيتها	Data Controller
جهة المعالجة	من يعالج البيانات نيابة عن جهة التحكم	Data Processor
صاحب البيانات	الفرد الذي تتعلق به البيانات	Data Subject
الموافقة	إذن صريح من صاحب البيانات	Consent
الإفصاح	إظهار البيانات لأي جهة أخرى	Disclosure

حقوق أصحاب البيانات الشخصية

يمنح نظام حماية البيانات الشخصية مجموعة واسعة من الحقوق لأصحاب البيانات، وهي حقوق لا يجوز لجهات التحكم تقييدها أو التنازل عنها إلا في حدود ما نص عليه النظام:

1. حق الإبلاغ والعلم

يحق لصاحب البيانات أن يكون على علم بالأساس النظامي لجمع بياناته الشخصية، والغرض من ذلك، ووسيلة الجمع، والجهة التي ستُفصح لها بياناته. ويجب أن يكون هذا الإبلاغ واضحاً ومفهوماً وبلغة سهلة قبل جمع البيانات أو عند جمعها.

المادة الثالثة عشرة: "يحق لصاحب البيانات الشخصية أن يعلم بالأساس النظامي لجمع بياناته الشخصية، والغرض من ذلك، ووسيلة الجمع."

2. حق الوصول إلى البيانات

يحق لصاحب البيانات طلب الوصول إلى بياناته الشخصية المحفوظة لدى أي جهة تحكم، والحصول على نسخة منها في شكل واضح ومفهوم. ويجب على جهة التحكم الاستجابة لهذا الطلب خلال مدة معقولة يحددها النظام.

3. حق التصحيح والتحديث

إذا اكتشف صاحب البيانات أن بياناته الشخصية المحفوظة لدى جهة التحكم غير صحيحة أو غير مكتملة أو غير محدّثة، فله الحق في طلب تصحيحها أو إكمالها أو تحديثها، ويتعين على جهة التحكم تنفيذ ذلك دون تأخير غير مبرر.

4. حق الحذف والإتلاف

يحق لصاحب البيانات طلب إتلاف بياناته الشخصية متى انتهى الغرض الذي جُمعت من أجله، ما لم يوجد سبب نظامي يقتضي الاحتفاظ بها. كما يجب على جهة التحكم إتلاف البيانات تلقائياً عند انتهاء الغرض المحدد لها.

5. حق نقل البيانات (قابلية النقل)

يحق لصاحب البيانات طلب الحصول على بياناته الشخصية بصيغة رقمية واضحة وقابلة للقراءة لنقلها إلى جهة تحكم أخرى، وذلك دون إعاقة من جهة التحكم الأصلية. هذا الحق يعزز حرية الأفراد في التنقل بين مقدمي الخدمات دون فقدان بياناتهم.

6. حق الاعتراض على المعالجة

في بعض الحالات، يحق لصاحب البيانات الاعتراض على معالجة بياناته الشخصية، بما في ذلك الاعتراض على القرارات المبنية فقط على المعالجة الآلية. ويشمل ذلك التنميط (Profiling) الذي يترتب عليه آثار قانونية تمس صاحب البيانات.

7. حق سحب الموافقة

يحق لصاحب البيانات سحب موافقته على معالجة بياناته في أي وقت، ولا يترتب على سحب الموافقة أي أثر سلبي على صاحب البيانات، مع مراعاة أن سحب الموافقة لا يؤثر على مشروعية المعالجة التي تمت قبل السحب.

التزامات جهات التحكم في البيانات

يفرض نظام حماية البيانات الشخصية مجموعة من الالتزامات الجوهرية على جهات التحكم، وعدم الالتزام بها يعرّض الجهة لعقوبات صارمة:

الالتزام بالشفافية

يجب على جهة التحكم إعداد سياسة خصوصية واضحة ومتاحة للجمهور، تتضمن: هوية جهة التحكم ومعلومات التواصل، والغرض من جمع البيانات، والأساس النظامي للمعالجة، وأنواع البيانات المجمعة، وحقوق صاحب البيانات، وآلية تقديم الشكاوى.

حماية البيانات منذ التصميم وبشكل افتراضي (Privacy by Design)

يجب على جهات التحكم تضمين إجراءات حماية البيانات في تصميم الأنظمة والعمليات من البداية، وليس كإضافة لاحقة. ويشمل ذلك تقليل البيانات المجمعة إلى الحد الأدنى الضروري، وتطبيق إعدادات الخصوصية الأعلى بشكل افتراضي.

تعيين مسؤول حماية البيانات

تُلزم اللوائح التنفيذية بعض الجهات بتعيين مسؤول لحماية البيانات الشخصية، خاصة الجهات التي تمارس أنشطة معالجة واسعة النطاق أو تتعامل مع بيانات حساسة بشكل منتظم. ويكون هذا المسؤول حلقة الوصل بين الجهة والجهة المختصة (سدايا).

الاحتفاظ بسجلات المعالجة

يجب على جهات التحكم الاحتفاظ بسجلات دقيقة ومحدّثة لجميع أنشطة معالجة البيانات الشخصية، تشمل: أنواع البيانات المعالجة، وأغراض المعالجة، والأساس النظامي، وجهات الإفصاح، ومدة الاحتفاظ.

تقييم الأثر على الخصوصية

في حالات المعالجة التي يُحتمل أن تنطوي على مخاطر عالية على خصوصية أصحاب البيانات، يتعين على جهة التحكم إجراء تقييم للأثر على حماية البيانات قبل البدء بالمعالجة. ويشمل هذا التقييم تحديد المخاطر المحتملة وإجراءات التخفيف منها.

الالتزام	الوصف	المهلة الزمنية
سياسة الخصوصية	إعداد ونشر سياسة واضحة	قبل جمع أي بيانات
سجلات المعالجة	توثيق جميع أنشطة المعالجة	مستمر
تقييم الأثر	تقييم المخاطر للمعالجة عالية الخطورة	قبل بدء المعالجة
إبلاغ الاختراقات	إخطار الجهة المختصة بالاختراقات	خلال 72 ساعة
مسؤول الحماية	تعيين مسؤول مختص	وفقاً لمعايير اللائحة
الاستجابة للطلبات	الرد على طلبات أصحاب البيانات	خلال المدة المحددة نظاماً

شروط الموافقة وأسسها النظامية

تُعد الموافقة أحد أهم الأسس النظامية لمعالجة البيانات الشخصية في نظام PDPL، ويشترط النظام أن تكون الموافقة:

شروط صحة الموافقة

صريحة: يجب أن تكون الموافقة واضحة لا لبس فيها، ولا تُقبل الموافقة الضمنية في معالجة البيانات الحساسة.
مسبقة: يجب الحصول على الموافقة قبل البدء بجمع البيانات أو معالجتها.
مبنية على علم: يجب إبلاغ صاحب البيانات بالغرض المحدد من المعالجة قبل الحصول على موافقته.
حرة: يجب ألا تكون الموافقة مشروطة بتقديم خدمة أو منتج ما لم تكن المعالجة ضرورية لتقديم تلك الخدمة.
قابلة للسحب: يحق لصاحب البيانات سحب موافقته في أي وقت.

حالات لا تُشترط فيها الموافقة

حدد النظام حالات استثنائية يجوز فيها معالجة البيانات الشخصية دون الحصول على موافقة صاحبها، منها:

إذا كانت المعالجة ضرورية لتنفيذ عقد يكون صاحب البيانات طرفاً فيه.
إذا كانت المعالجة ضرورية لتحقيق مصلحة حيوية لصاحب البيانات.
إذا كانت المعالجة ضرورية لتنفيذ التزام بموجب نظام آخر.
إذا كانت جهة التحكم جهة عامة وكانت المعالجة مطلوبة لأغراض أمنية أو لتحقيق مصالح عامة.
إذا كانت البيانات متاحة للعامة أو جمعت من مصدر متاح للعموم.

المادة السادسة: "لا تجوز معالجة البيانات الشخصية دون موافقة صاحبها، إلا في الحالات المنصوص عليها في هذا النظام."

قواعد نقل البيانات الشخصية خارج المملكة

يضع نظام حماية البيانات الشخصية ضوابط صارمة على نقل البيانات الشخصية أو الإفصاح عنها خارج حدود المملكة العربية السعودية، وذلك لضمان استمرار حماية خصوصية البيانات حتى عند معالجتها في دول أخرى.

الشروط الأساسية للنقل الدولي

لنقل البيانات الشخصية خارج المملكة، يجب استيفاء مجموعة من الشروط:

مستوى حماية كافٍ: يجب أن توفر الدولة المستقبلة مستوى حماية للبيانات الشخصية لا يقل عن المستوى المنصوص عليه في النظام واللوائح التنفيذية. وتصدر الجهة المختصة قائمة بالدول التي توفر مستوى حماية كافياً.
ضمانات مناسبة: في حال عدم وجود مستوى حماية كافٍ في الدولة المستقبلة، يجب تقديم ضمانات مناسبة، مثل البنود التعاقدية القياسية أو قواعد الشركات الملزمة.
الحد الأدنى اللازم: يجب ألا يُنقل من البيانات إلا القدر الضروري لتحقيق الغرض المحدد.
تقييم الأثر: يجب إجراء تقييم لأثر النقل على حماية البيانات قبل عملية النقل.

الاستثناءات من شروط النقل

يجوز في حالات محددة نقل البيانات خارج المملكة دون استيفاء جميع الشروط أعلاه، وذلك:

لتنفيذ التزام بموجب اتفاقية تكون المملكة طرفاً فيها.
لخدمة مصالح المملكة.
لتنفيذ عقد يكون صاحب البيانات طرفاً فيه.
عند وجود موافقة صريحة من صاحب البيانات بعد إبلاغه بالمخاطر المحتملة.

المادة التاسعة والعشرون: "لا يجوز نقل البيانات الشخصية إلى خارج المملكة أو الإفصاح عنها لجهة خارج المملكة إلا وفقاً لأحكام هذا النظام ولوائحه."

الإبلاغ عن حوادث تسريب البيانات

يُلزم نظام حماية البيانات الشخصية جهات التحكم بالإبلاغ الفوري عن أي حادث تسريب أو اختراق للبيانات الشخصية، وذلك وفقاً لآلية محددة:

متى يجب الإبلاغ؟

يجب على جهة التحكم إبلاغ الجهة المختصة (سدايا) عن أي حادث تسريب أو اختراق أو وصول غير مشروع إلى البيانات الشخصية فور علمها بذلك، ولا يتجاوز الإبلاغ مدة 72 ساعة من وقت العلم بالحادث. كما يجب إبلاغ أصحاب البيانات المتأثرين إذا كان الحادث يُرجح أن يؤدي إلى إلحاق ضرر بهم.

محتوى الإبلاغ

يجب أن يتضمن الإبلاغ:

وصف طبيعة الحادث ونطاقه.
أنواع البيانات المتأثرة وعدد أصحاب البيانات المتضررين (التقديري).
الآثار المحتملة للحادث.
الإجراءات التي اتخذتها جهة التحكم أو تنوي اتخاذها للتعامل مع الحادث.
معلومات التواصل مع مسؤول حماية البيانات أو نقطة الاتصال المعنية.

خطة الاستجابة للحوادث

يجب على كل جهة تحكم إعداد خطة استجابة مسبقة لحوادث تسريب البيانات، تتضمن تحديد فريق الاستجابة وأدواره، وإجراءات الاحتواء والتحقيق، وآليات التواصل الداخلي والخارجي، وخطوات المعالجة والتعافي. يمكنك الاستعانة بـ منصة عادل لإنشاء المستندات القانونية لصياغة خطة استجابة متوافقة مع متطلبات النظام.

العقوبات والغرامات المقررة

يتضمن نظام حماية البيانات الشخصية منظومة عقوبات مشددة تهدف إلى ردع المخالفين وضمان جدية الامتثال لنظام حماية البيانات:

العقوبات الجزائية

المخالفة	العقوبة
الإفصاح عن بيانات حساسة أو نشرها بقصد الإضرار	سجن حتى سنتين وغرامة حتى 3 ملايين ريال، أو إحداهما
نقل بيانات شخصية خارج المملكة بالمخالفة للنظام	غرامة حتى 5 ملايين ريال
مخالفة أحكام النظام الأخرى	إنذار، أو غرامة حتى 5 ملايين ريال
تكرار المخالفة	مضاعفة العقوبة

العقوبات الإدارية

بالإضافة إلى العقوبات الجزائية، يحق للجهة المختصة اتخاذ إجراءات إدارية تشمل:

إصدار إنذار لجهة التحكم المخالفة.
إلزام جهة التحكم بإزالة المخالفة وتصحيح أوضاعها.
مصادرة الأموال المتحصلة من المخالفة.
نشر الحكم الصادر بالعقوبة في وسائل الإعلام على نفقة المخالف (التشهير).

المادة الخامسة والثلاثون: "يعاقب بالسجن مدة لا تزيد على سنتين وبغرامة لا تزيد على ثلاثة ملايين ريال، أو بإحدى هاتين العقوبتين، كل من أفصح عن بيانات حساسة أو نشرها بالمخالفة لأحكام هذا النظام بقصد الإضرار بصاحب البيانات أو بقصد تحقيق منفعة شخصية."

قائمة الامتثال الشاملة للشركات والمؤسسات

لتحقيق الامتثال لنظام حماية البيانات بشكل كامل، ينبغي على الشركات والمؤسسات اتباع الخطوات التالية:

المرحلة الأولى: التقييم والتشخيص

جرد البيانات الشخصية: حصر جميع البيانات الشخصية التي تجمعها المنشأة وتعالجها وتحفظها، وتحديد مصادرها ومواقع تخزينها.
تحديد الأسس النظامية: تصنيف كل نشاط معالجة وتحديد الأساس النظامي الذي يستند إليه (موافقة، تنفيذ عقد، مصلحة مشروعة، التزام نظامي).
تقييم الفجوات: مقارنة الممارسات الحالية بمتطلبات النظام واللوائح التنفيذية لتحديد أوجه القصور.
تقييم المخاطر: تحديد المخاطر المحتملة على البيانات الشخصية وتقييم حجمها واحتمالية وقوعها.

المرحلة الثانية: التخطيط والتنفيذ

إعداد سياسة الخصوصية: صياغة سياسة خصوصية شاملة ونشرها على الموقع الإلكتروني والتطبيقات.
تحديث نماذج الموافقة: مراجعة وتحديث جميع نماذج الموافقة لتتوافق مع شروط النظام.
إعداد اتفاقيات معالجة البيانات: صياغة عقود مع جميع جهات المعالجة التي تعالج البيانات نيابة عن المنشأة.
تعيين مسؤول حماية البيانات: إذا كانت المنشأة ملزمة بذلك وفقاً للوائح التنفيذية.
إعداد إجراءات الاستجابة للحوادث: وضع خطة واضحة للتعامل مع حوادث تسريب البيانات.
تنفيذ التدابير الأمنية: تطبيق إجراءات تقنية وإدارية لحماية البيانات من الوصول غير المشروع.

المرحلة الثالثة: المراقبة والتحسين المستمر

التدريب والتوعية: تدريب جميع الموظفين على متطلبات حماية البيانات ومسؤولياتهم.
المراجعة الدورية: إجراء مراجعات دورية لضمان استمرار الامتثال وتحديث السياسات عند الحاجة.
توثيق الامتثال: الاحتفاظ بسجلات تُثبت التزام المنشأة بأحكام النظام.

يمكنك الاستعانة بـ خدمة مراجعة المستندات من عادل لمراجعة سياسات الخصوصية واتفاقيات معالجة البيانات والتأكد من توافقها مع متطلبات النظام.

مقارنة بين نظام PDPL السعودي و GDPR الأوروبي

يتقاطع نظام حماية البيانات الشخصية السعودي مع اللائحة العامة لحماية البيانات الأوروبية (GDPR) في كثير من المبادئ، لكنه يتميز بخصائص تتناسب مع البيئة التشريعية والاقتصادية في المملكة:

المعيار	PDPL السعودي	GDPR الأوروبي
سنة الإصدار	2021 (المعدّل 2023)	2016 (النفاذ 2018)
الجهة المشرفة	سدايا / NDMO	هيئات حماية البيانات في كل دولة + EDPB
النطاق الجغرافي	يشمل معالجة بيانات المقيمين في المملكة	يشمل معالجة بيانات المقيمين في الاتحاد الأوروبي
الموافقة	صريحة ومسبقة وقابلة للسحب	صريحة وحرة ومحددة ومبنية على علم
البيانات الحساسة	تعريف موسع يشمل البيانات الائتمانية ومجهولي الأبوين	فئات خاصة محددة
حق النقل	منصوص عليه	منصوص عليه (المادة 20)
الإبلاغ عن الاختراق	72 ساعة	72 ساعة
مسؤول حماية البيانات	مطلوب في حالات محددة	مطلوب في حالات محددة (المادة 37)
الغرامة القصوى	5 ملايين ريال (حوالي 1.3 مليون يورو)	20 مليون يورو أو 4% من الإيرادات العالمية
العقوبات الجزائية	سجن حتى سنتين	تختلف بحسب الدولة العضو
نقل البيانات الدولي	يشترط مستوى حماية كافٍ أو ضمانات	يشترط قرار كفاية أو ضمانات مناسبة

أبرز الفروقات الجوهرية

نطاق العقوبات: يتميز النظام السعودي بوجود عقوبات جزائية (سجن) إلى جانب الغرامات المالية، بينما يركز GDPR على الغرامات المالية ويترك العقوبات الجزائية للدول الأعضاء.
البيانات الحساسة: يوسّع النظام السعودي نطاق البيانات الحساسة ليشمل البيانات الائتمانية وبيانات مجهولي الأبوين، وهي فئات لا يغطيها GDPR بشكل صريح.
الجهة المشرفة: في المملكة جهة مركزية واحدة (سدايا)، بينما في الاتحاد الأوروبي توجد هيئات متعددة في كل دولة عضو.
السياق الثقافي: يراعي النظام السعودي الخصوصية الثقافية والدينية للمجتمع في تحديد البيانات الحساسة والاستثناءات.

كيف تساعدك منصة عادل في الامتثال لنظام حماية البيانات الشخصية؟

توفر منصة عادل مجموعة من الأدوات والخدمات المدعومة بالذكاء الاصطناعي التي تساعد الشركات والأفراد في تحقيق الامتثال لنظام حماية البيانات:

1. صياغة سياسات الخصوصية

من خلال خدمة إنشاء المستندات القانونية، يمكنك صياغة سياسة خصوصية شاملة ومتوافقة مع نظام PDPL بسهولة وسرعة. تساعدك المنصة في تغطية جميع العناصر المطلوبة نظاماً، بما في ذلك بيان أغراض المعالجة، وحقوق أصحاب البيانات، وآلية التواصل والشكاوى.

2. مراجعة المستندات والعقود

تتيح لك خدمة مراجعة المستندات مراجعة اتفاقيات معالجة البيانات، وعقود نقل البيانات الدولية، ونماذج الموافقة، للتأكد من توافقها مع أحكام النظام ولوائحه التنفيذية.

3. استشارات قانونية فورية

من خلال خدمة اسأل عادل، يمكنك الحصول على إجابات فورية ودقيقة لأسئلتك حول نظام حماية البيانات الشخصية، سواء كنت تبحث عن تفسير مادة معينة، أو تحتاج إلى فهم التزاماتك كجهة تحكم، أو تريد معرفة حقوقك كصاحب بيانات.

4. إعداد نماذج الموافقة

تساعدك منصة عادل في إعداد نماذج موافقة تتوافق مع شروط النظام، بحيث تكون واضحة ومفهومة وتتضمن جميع المعلومات المطلوبة قبل جمع البيانات.

الأسئلة الشائعة حول نظام حماية البيانات الشخصية

1. ما هو نظام حماية البيانات الشخصية السعودي (PDPL)؟

هو نظام صادر بالمرسوم الملكي رقم (م/19) لعام 1443هـ (2021م)، يهدف إلى حماية خصوصية البيانات الشخصية للأفراد في المملكة العربية السعودية. ينظم النظام عمليات جمع البيانات الشخصية ومعالجتها وحفظها ومشاركتها ونقلها، ويمنح أصحاب البيانات حقوقاً واسعة تشمل الوصول والتصحيح والحذف والنقل، كما يفرض التزامات صارمة على جهات التحكم وجهات المعالجة. يمكنك الاطلاع على النص الكامل للنظام عبر منصة الأنظمة واللوائح.

2. على من ينطبق نظام حماية البيانات الشخصية؟

ينطبق النظام على كل جهة تقوم بجمع أو معالجة البيانات الشخصية داخل المملكة العربية السعودية، سواء كانت جهة حكومية أو خاصة، كبيرة أو صغيرة. كما يسري على الجهات خارج المملكة التي تعالج بيانات شخصية لأفراد مقيمين في المملكة. ويشمل ذلك الشركات المحلية والأجنبية، ومقدمي الخدمات عبر الإنترنت، والمتاجر الإلكترونية، والتطبيقات الذكية، والمنشآت الصحية والتعليمية وغيرها.

3. ما الفرق بين جهة التحكم وجهة المعالجة؟

جهة التحكم (Controller) هي الجهة التي تحدد الغرض من معالجة البيانات الشخصية وكيفيتها، وهي التي تتحمل المسؤولية الرئيسية عن الامتثال. أما جهة المعالجة (Processor) فهي الجهة التي تقوم بمعالجة البيانات نيابة عن جهة التحكم وبناءً على تعليماتها. على سبيل المثال، إذا كانت شركة تجارية تستخدم خدمة سحابية لتخزين بيانات عملائها، فالشركة التجارية هي جهة التحكم، ومقدم الخدمة السحابية هو جهة المعالجة.

4. هل يحتاج نشاطي التجاري الصغير إلى الامتثال لنظام PDPL؟

نعم، ينطبق النظام على جميع الجهات التي تعالج بيانات شخصية بغض النظر عن حجمها. حتى المتجر الإلكتروني الصغير الذي يجمع أسماء العملاء وعناوينهم وأرقام هواتفهم يخضع للنظام. لكن اللوائح التنفيذية تراعي التناسب في بعض المتطلبات كتعيين مسؤول حماية البيانات الذي قد لا يكون مطلوباً من المنشآت الصغيرة التي لا تمارس معالجة واسعة النطاق. ننصح باستخدام خدمة اسأل عادل لتحديد التزاماتك الدقيقة بناءً على طبيعة نشاطك.

5. ما هي عقوبة عدم الامتثال لنظام حماية البيانات الشخصية؟

تتراوح العقوبات بين الإنذار والغرامات المالية التي تصل إلى 5 ملايين ريال سعودي، بالإضافة إلى عقوبات جزائية تصل إلى السجن سنتين في حالة الإفصاح عن بيانات حساسة بقصد الإضرار. كما يجوز للجهة المختصة نشر الحكم في وسائل الإعلام على نفقة المخالف (التشهير)، ومضاعفة العقوبة في حالة تكرار المخالفة. لذا فإن تكلفة عدم الامتثال أعلى بكثير من تكلفة الاستثمار في الامتثال.

6. كيف أُعدّ سياسة خصوصية متوافقة مع نظام PDPL؟

يجب أن تتضمن سياسة الخصوصية عناصر أساسية منها: هوية جهة التحكم ومعلومات التواصل، وأنواع البيانات المجمعة وأغراض جمعها، والأساس النظامي للمعالجة، ومدة الاحتفاظ بالبيانات، وحقوق صاحب البيانات وكيفية ممارستها، وآلية تقديم الشكاوى، ومعلومات عن نقل البيانات خارج المملكة إن وُجد. يمكنك صياغة سياسة خصوصية احترافية عبر خدمة إنشاء المستندات من عادل التي ترشدك خطوة بخطوة لتغطية جميع المتطلبات.

7. هل يمكن نقل بيانات شخصية خارج المملكة العربية السعودية؟

نعم، لكن بشروط محددة. يجب أن توفر الدولة المستقبلة مستوى حماية كافياً، أو أن تقدم جهة التحكم ضمانات مناسبة مثل البنود التعاقدية القياسية. كما يجب ألا يؤثر النقل سلباً على المصالح الوطنية. وتوجد استثناءات في حالات مثل تنفيذ التزامات تعاقدية أو حماية المصلحة الحيوية لصاحب البيانات. تصدر سدايا التعليمات التفصيلية بشأن الدول المعتمدة والضمانات المطلوبة.

8. ما هي المدة المسموحة للاحتفاظ بالبيانات الشخصية؟

لا يحدد النظام مدة واحدة ثابتة، بل يُلزم جهة التحكم بعدم الاحتفاظ بالبيانات أطول من المدة اللازمة لتحقيق الغرض الذي جُمعت من أجله. وبمجرد انتهاء الغرض، يجب إتلاف البيانات أو إزالة ما يدل على هوية صاحبها. ويجب على كل جهة تحكم تحديد مدد الاحتفاظ لكل نوع من البيانات وتوثيقها في سجلات المعالجة.

خلاصة

يمثل نظام حماية البيانات الشخصية السعودي (PDPL) نقلة نوعية في منظومة التشريعات الرقمية بالمملكة، ويعكس حرص الدولة على حماية خصوصية الأفراد وتعزيز الثقة في الاقتصاد الرقمي. ومع دخول النظام حيز التنفيذ الكامل، لم يعد الامتثال لنظام حماية البيانات خياراً بل ضرورة قانونية وتجارية لكل منشأة تعمل في المملكة أو تتعامل مع بيانات المقيمين فيها.

إن بناء ثقافة خصوصية البيانات داخل المنشأة، وتطبيق مبدأ الحماية منذ التصميم، والاستثمار في تدريب الكوادر البشرية، ليست مجرد متطلبات نظامية فحسب، بل هي عوامل تنافسية تعزز ثقة العملاء والشركاء. ابدأ رحلتك نحو الامتثال اليوم مع منصة عادل، واستفد من أدوات الذكاء الاصطناعي في صياغة سياسات الخصوصية، ومراجعة المستندات القانونية، والحصول على استشارات فورية حول نظام حماية البيانات الشخصية ومتطلباته.

إخلاء مسؤولية: هذا المحتوى مُعدّ لأغراض تثقيفية وتوعوية فقط، ولا يُعد بديلاً عن الاستشارة القانونية المتخصصة. للاطلاع على النصوص الرسمية للنظام ولوائحه التنفيذية، يُرجى زيارة منصة الأنظمة واللوائح الرسمية والموقع الرسمي للهيئة السعودية للبيانات والذكاء الاصطناعي.