أصدرت المملكة نظام حماية البيانات الشخصية في 2021، ودخل حيز التنفيذ في 2023 بعد فترة انتقالية. التعديلات التنفيذية الصادرة عن SDAIA في 2024 وضحت جوانب النقل الخارجي والأساس القانوني للمعالجة.
الشركات السعودية التي تطور منتجات رقمية — من تطبيقات التجارة الإلكترونية إلى منصات SaaS والبنوك الرقمية — تحتاج إلى ترجمة هذا النظام إلى متطلبات معمارية ملموسة. هذا المقال يقدم تلك الترجمة من منظور المطور، لا المحامي.
النظام يغطي معالجة البيانات الشخصية داخل المملكة أو لأغراض خدمة مقيمين فيها. «البيانات الشخصية» تعرَّف بشكل واسع يشمل المعرفات المباشرة (الاسم، رقم الهوية، البريد الإلكتروني) وغير المباشرة (عنوان IP، معرف الجهاز، بصمات الزيارة).
الأسس القانونية للمعالجة تتضمن: تنفيذ العقد، التزام قانوني، الحماية الحيوية، المصلحة المشروعة، والمصلحة العامة، بالإضافة إلى الموافقة. الاعتماد على «المصلحة المشروعة» يتطلب اختبار موازنة موثقاً.
أغلب التطبيقات تسجل أحداث الوصول لأغراض تحليل الأعطال. ذلك مقبول، لكن الاحتكاك مع PDPL يبدأ عندما تحتوي السجلات على بيانات شخصية — وهي شبه دائماً كذلك. معرف المستخدم، عنوان IP، هاش البريد، رموز الجلسة.
المادة التاسعة من النظام تلزم بتحديد مدة احتفاظ واضحة. دلو سجلات بلا تدوير هو ببساطة ملف تعريف غير محدود قانونياً.
المعالجة العملية: تحديد قواعد الاحتفاظ على مستوى التخزين (30 يوماً لسجلات الوصول، 7 أيام لسجلات التنقيح)، تهيئة أدوات مثل Loki أو Elasticsearch مع ILM، وتجزئة الحقول الشخصية قبل مغادرتها نطاق التطبيق.
PDPL يضع قيوداً صارمة على نقل البيانات الشخصية خارج المملكة. النقل مسموح فقط في حالات محددة: موافقة SDAIA، ضرورة لحماية مصلحة حيوية، تنفيذ التزام تعاقدي أو دولي، أو وجود بلد مستقبل يوفر حماية كافية.
ضمن سلاسل الأدوات (CRM، خدمات البريد، تتبع الأخطاء)، البيانات تذهب عادة إلى مزودين خارجيين دون تقييم كافٍ. المنتج المتوسط ينقل بيانات إلى عشرين إلى خمسين خدمة خارجية.
الحل البراغماتي: بيانات الإنتاج في منطقة داخل المملكة (STC Cloud Riyadh، Mobily Cloud، Saudi Data Center)، استخدام مزودي SaaS لديهم مراكز بيانات في المنطقة (AWS Bahrain، Google Cloud Dammam، Microsoft Azure Riyadh القادم)، وتوثيق كل سلسلة نقل منفردة.
المادة الرابعة من النظام تمنح الشخص حق طلب حذف بياناته. معظم المنتجات لديها إجراء مكتوب. قليل منها لديه إجراء مختبر.
اختبار الواقع: أنشئوا اليوم مستخدماً تجريبياً في الإنتاج، قدموا طلب حذف عبر القناة الرسمية، تحققوا خلال 48 ساعة من اختفاء كل أثر — بما في ذلك النسخ الاحتياطية، بث السجلات، وقوائم الانتظار.
كل بنية معمارية تقريباً تترك بقايا. هذا أقل ما يكون سؤالاً عن PDPL وأكثر ما يكون سؤالاً معمارياً: هل يوجد مالك معرَّف لدورة حياة البيانات لكل كيان؟
المادة الخامسة والعشرون تنظم العلاقة بين المتحكم والمعالج. الاتفاقية النموذجية تُتبنى من قالب وتُوقَّع. الجزء الحاسم — ما هي إجراءات الأمان التي يطبقها المعالج فعلياً — يهبط في الملحق رقم 2 كعبارات عامة. «تشفير مناسب» ليست مواصفة، بل عنصر نائب.
اتفاقية معالجة جادة تسمي: خوارزمية تجزئة كلمات المرور (على الأقل Argon2id أو bcrypt بتكلفة ≥ 12)، إصدار TLS (≥ 1.2، ويفضل 1.3)، تسجيل الوصول المحمي من التلاعب، نوافذ الاستجابة للحوادث بالساعات.
النظام يحظر ربط الخدمة بموافقة ليست ضرورية لتقديمها. رغم ذلك، كثير من تطبيقات B2B تربط تسجيل الدخول بموافقة على التسويق، أو تفرض ملفات تعريف ارتباط تتبع عند الباب.
الفصل النظيف: ملفات تعريف ارتباط وظيفية بدون موافقة، كل ما عدا ذلك خلف موافقة حقيقية، خيار الرفض بنفس بروز خيار القبول، دون أنماط مظلمة في هندسة اللافتات.
في مسار التسليم لدينا، الامتثال لـ PDPL جزء من تعريف الإنجاز (Definition of Done) في كل سبرينت. كل قصة مستخدم تمس بيانات شخصية تمر بمراجعة خصوصية قصيرة قبل دمج الكود — ثلاثة أسئلة (الأساس القانوني؟ مدة الاحتفاظ؟ مسار الحذف؟) يجب أن تكون لها إجابات.
بيانات الإنتاج للعملاء السعوديين تقيم في مناطق داخل المملكة. التطوير ببيانات اصطناعية. اتفاقيات المعالجة بالتعاون مع مستشاري SDAIA كأساس تعاقدي. هذه الممارسات جزء من خدماتنا في الأمن السيبراني وDevOps والبنية التحتية السحابية — الأمن والخصوصية موضوعان مترابطان.
عقود العمل تتضمن التدابير التقنية الأمنية كملحق، لا كإعلان نوايا. خمسة عشر يوماً من إصلاح الأخطاء المجاني بعد التسليم تشمل عيوب الامتثال التي تظهر في أول تشغيل.
إذا كان منتجكم مقبلاً على تقييم تأثير على حماية البيانات أو تدقيق في الأشهر القادمة، فمراجعة منظمة قبل موعد التدقيق توفر عادة أسابيع من إعادة العمل. احجزوا جلسة نطاق عمل أولية مجانية عبر الإنترنت. للجزء الأمني المكمل، راجعوا الأمن السيبراني السعودي: متطلبات NCA وSAMA.
جوهر الحقوق متماثل (الوصول، التصحيح، الحذف، النقل)، لكن PDPL يضع قيوداً أشد على نقل البيانات خارج المملكة ويتطلب موافقة SDAIA في حالات كثيرة. GDPR يعتمد على Standard Contractual Clauses كأداة رئيسية للنقل؛ PDPL يعتمد على موافقة مسبقة أو تدابير ضمان محددة.
النظام لا يشترط ذلك بشكل مطلق، لكنه يفرض شروطاً على النقل. الحل العملي لمعظم الشركات: إبقاء بيانات الإنتاج داخل المملكة، والسماح بنقل مجهول الهوية لأغراض معالجة محددة بعد تقييم المخاطر.
التدقيق يُحقق لاحظة موقف في وقت محدد. الامتثال المستدام يتطلب عمليات داخلية — سجل أنشطة معالجة محدث، مسؤول حماية بيانات، مراجعة ربع سنوية. التدقيق يشهد، لا يبني.
SDAIA أصدرت توجيهات إضافية خاصة بـ AI في 2024. تدريب النماذج على بيانات شخصية يتطلب أساساً قانونياً واضحاً، وتقييم تأثير، وضمانات تقنية لتقليل خطر استخراج البيانات. RAG مع بيانات مجهولة الهوية أسهل في الامتثال من التدريب المباشر.
النظام يفرض غرامات تصل إلى خمسة ملايين ريال مع احتمال تكرارها، بالإضافة إلى تعليق المعالجة. التدرج في العقوبات يعتمد على طبيعة المخالفة وحجم البيانات المتأثرة والضرر الفعلي على الأفراد.
© 2026 D'Cloud Software & Digital Agency. جميع الحقوق محفوظة.