نظام حماية البيانات السعودي (PDPL) مقابل GDPR: دليل الشركات الناشئة 2026
مقارنة عمليّة بين النظام السعودي واللائحة الأوروبيّة — نطاق التطبيق، الحقوق، نقل البيانات، والغرامات — وما تحتاجه شركتك الناشئة فعلياً.
إن كنت تبني منتجاً رقمياً يخدم مستخدمين في السعوديّة، فأنت تعالج بيانات شخصيّة — وهذا يُخضعك لنظام حماية البيانات الشخصيّة (PDPL). وإن كان لديك مستخدم واحد في أوروبا، دخلت دائرة GDPR أيضاً. الخبر الجيّد أنّ النظامين يتشاركان المنطق نفسه؛ والخبر الأهمّ أنّ الفروق العمليّة — خاصّة في نقل البيانات — قد تُكلّفك إن تجاهلتها. هذا الدليل يلخّص ما يهمّ شركة ناشئة في سبع خطوات.
PDPL يتبع موقع الأفراد لا الخوادم • الموافقة هي الأصل • نقل البيانات خارج المملكة مشروط • ابدأ بسياسة خصوصيّة متوافقة قبل الإطلاق
الخطوات السبع
اعرف أيّ نظام ينطبق عليك
نظام حماية البيانات الشخصيّة السعودي (PDPL) ينطبق على أيّ معالجة لبيانات أفراد داخل المملكة، حتى لو كانت الشركة خارجها. وGDPR ينطبق على معالجة بيانات أفراد في الاتحاد الأوروبي. كثير من الشركات الناشئة تخضع للاثنين معاً.
- PDPL: تخضع له إن كان لديك مستخدمون أو موظفون في السعوديّة.
- GDPR: تخضع له إن استهدفت أو راقبت أفراداً في الاتحاد الأوروبي.
- الموقع الجغرافي للخوادم لا يُعفيك — العبرة بموقع الأفراد.
حدّد الأساس النظامي للمعالجة
كلا النظامين يطلب أساساً مشروعاً لكل معالجة. GDPR يضع ستة أسس صريحة (الموافقة، العقد، المصلحة المشروعة...). وPDPL يعتمد الموافقة كأساس رئيسي مع استثناءات محدّدة، وهو أكثر تحفّظاً تجاه «المصلحة المشروعة».
- GDPR: 6 أسس — أبرزها الموافقة والعقد والمصلحة المشروعة.
- PDPL: الموافقة هي الأصل، مع استثناءات (مصلحة المالك، التزام نظامي).
- لا تعتمد «المصلحة المشروعة» في السعوديّة بنفس مرونة أوروبا.
تنبيه: وثّق الأساس النظامي لكل نوع معالجة في سجلّ داخلي — هذا أوّل ما يُطلب عند أيّ تدقيق.افهم حقوق صاحب البيانات
النظامان يمنحان الأفراد حقوقاً متشابهة: العلم، الوصول، التصحيح، الحذف. الفروق في التفاصيل والمهَل. شركتك تحتاج آليّة فعليّة للاستجابة لهذه الطلبات، لا مجرّد بند في سياسة الخصوصيّة.
- الحقوق المشتركة: العلم، الوصول، التصحيح، الإتلاف.
- GDPR يضيف: نقل البيانات (Portability) والاعتراض على المعالجة.
- حدّد قناة واضحة لاستقبال الطلبات ومدّة استجابة معلنة.
راجع نقل البيانات خارج الحدود
هذه أكبر نقطة اختلاف عمليّة. PDPL يضع شروطاً على نقل بيانات السعوديّين خارج المملكة. وGDPR يقيّد النقل خارج الاتحاد الأوروبي. استخدام مزوّد سحابي أجنبي قد يُفعّل الشرطين معاً.
- PDPL: النقل خارج المملكة مشروط بضمانات وكفاية الحماية.
- GDPR: النقل خارج الاتحاد يحتاج آليّة (Adequacy / SCC).
- وثّق أين تُخزَّن بيانات مستخدميك ومن يصل إليها.
تنبيه: إن كنت تستخدم مزوّداً سحابياً، اطلب منه بنوداً تعاقديّة تغطّي نقل البيانات قبل التوقيع.جهّز خطّة الإبلاغ عن خرق البيانات
عند تسرّب بيانات، يطلب النظامان إبلاغ الجهة المختصّة، وأحياناً إبلاغ الأفراد. GDPR يحدّد 72 ساعة للإبلاغ. شركتك تحتاج خطّة مكتوبة قبل وقوع الحادث لا بعده.
- GDPR: إبلاغ الجهة الرقابيّة خلال 72 ساعة من العلم بالخرق.
- PDPL: إبلاغ الجهة المختصّة وفق اللائحة التنفيذيّة.
- احتفظ بسجلّ للحوادث حتى لو لم تستوجب إبلاغاً.
قدّر حجم الغرامات
الغرامات في النظامين كبيرة بما يكفي لتهديد شركة ناشئة. GDPR قد يصل إلى 4% من الإيراد العالمي السنوي. وPDPL يفرض غرامات ماليّة وقد تصل بعض المخالفات الجسيمة إلى عقوبات أشدّ.
- GDPR: حتى 20 مليون يورو أو 4% من الإيراد العالمي — أيّهما أكبر.
- PDPL: غرامات ماليّة متدرّجة بحسب نوع المخالفة وجسامتها.
- تكلفة الامتثال دائماً أقلّ من تكلفة المخالفة.
ابدأ بسياسة خصوصيّة صحيحة
سياسة الخصوصيّة ليست إجراءً شكلياً — هي الوثيقة التي تُترجم التزامك النظامي للمستخدم. ابدأ بسياسة متوافقة مع PDPL تذكر أنواع البيانات، الغرض، مدّة الاحتفاظ، وحقوق المستخدم. أنشئ واحدة الآن عبر مولّد سياسة الخصوصيّة (PDPL).
- اذكر: أنواع البيانات، الغرض، مدّة الاحتفاظ، أطراف المشاركة.
- اعرض حقوق المستخدم وقناة التواصل بوضوح.
- حدّث السياسة كلّما تغيّرت معالجتك للبيانات.
أسئلة شائعة
- شركتي خارج السعوديّة، هل يلزمني PDPL؟ نعم إن كان مستخدموك داخلها.
- هل الموافقة وحدها تكفي؟ تكفي كأساس، لكن يجب أن تكون صريحة وقابلة للسحب.
- هل أحتاج مسؤول حماية بيانات؟ يعتمد على حجم ونوع المعالجة لديك.
- هل يكفي نسخ سياسة خصوصيّة جاهزة؟ لا — يجب أن تعكس معالجتك الفعليّة.
- هل GDPR أصعب من PDPL؟ متقارب، لكن GDPR أوسع في الحقوق والغرامات.
جرّب الأدوات
مراجع رسميّة
هذا الدليل لأغراض إرشاديّة ولا يُغني عن استشارة قانونيّة متخصّصة عند بناء برنامج امتثال كامل.