جزء من مجموعة: العقود القانونية
قانوني🇸🇦السعودية

مولّد سياسة الخصوصية (PDPL)

سياسة خصوصية متوافقة مع نظام حماية البيانات السعودي

PDPL + GDPRثنائي اللغةتحديث 2026
بيانات الشركة
ما الذي يجمعه موقعك؟
تفاصيل إضافية

معاينة السياسة

سياسة الخصوصية

شركة: [اسم الشركة]
الموقع: https://example.com
للتواصل: privacy@example.com
آخر تحديث: 2026-06-29

تلتزم [الشركة] بحماية خصوصيّتك وفق نظام حماية البيانات الشخصية الصادر بالمرسوم الملكي رقم (م/19) وتاريخ 9/2/1443هـ ولائحته التنفيذية الصادرة من الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، وكذلك اللائحة العامة لحماية البيانات الأوروبية (GDPR) حين ينطبق.

1. البيانات التي نجمعها
- بيانات شخصية: الاسم، البريد الإلكتروني، رقم الجوال، الهوية الوطنية (عند الحاجة).
- بيانات الاستخدام: الصفحات المُزارة، مدّة الزيارة، نوع الجهاز، نظام التشغيل، عنوان IP المُجزَّأ.
- ملفات الكوكيز: للحفاظ على تسجيل الدخول، تفضيلات اللغة، التحليلات.

2. كيف نستخدم بياناتك
- تقديم وتحسين خدماتنا.
- التواصل معك بشأن طلباتك وحسابك.
- تحليل أداء الموقع وتحسين تجربة المستخدم.
- الامتثال للالتزامات القانونية.
لا نبيع بياناتك الشخصية لأي طرف ثالث.

3. الأساس القانوني للمعالجة (PDPL المادة 6)
- موافقتك الصريحة عند تقديمك للبيانات.
- ضرورة تنفيذ عقد بينك وبيننا.
- مصلحة مشروعة (تحليلات أداء الموقع).
- التزام قانوني (الفواتير الضريبية، زاتكا).

4. الأطراف الثالثة
نشارك بياناتك مع مزوّدي الخدمات التالين فقط لتشغيل خدماتنا:
Google Analytics, Stripe, Mailchimp
كل هؤلاء ملتزمون بمعايير حماية بيانات مكافئة لنظام PDPL.

5. نقل البيانات خارج المملكة (PDPL المادة 29)
بعض مزوّدي خدماتنا (مثل خدمات الاستضافة والتحليلات) يستضيفون خوادمهم خارج المملكة. ننقل بياناتك فقط إلى دول تُوفّر مستوى حماية مناسباً، أو بناءً على ضمانات تعاقدية معتمدة من سدايا.

6. الاحتفاظ بالبيانات (PDPL المادة 18)
حتى 5 سنوات من آخر تفاعل، أو حتى طلب الحذف.

7. حقوقك (PDPL المادة 4)
- حقّ الإبلاغ بكيفية معالجة بياناتك.
- حقّ الوصول إلى بياناتك والحصول على نسخة منها.
- حقّ تصحيح البيانات غير الدقيقة.
- حقّ إتلاف بياناتك (يحقّ لنا الاحتفاظ بالحدّ الأدنى لأغراض قانونية).
- حقّ سحب الموافقة في أي وقت.
- حقّ تقديم شكوى لسدايا.

لممارسة أي من هذه الحقوق، راسلنا على: privacy@example.com
نلتزم بالردّ خلال 30 يوماً وفق المادة 21 من PDPL.

8. ملفات الكوكيز
نستخدم نوعين من الكوكيز:
- كوكيز أساسية (لا تتطلب موافقة): لتشغيل الموقع.
- كوكيز تحليلية وتسويقية: تتطلب موافقتك الصريحة.
يمكنك تعطيل الكوكيز من إعدادات متصفّحك في أي وقت.

9. أمان البيانات (PDPL المادة 19)
نتّخذ تدابير فنية وتنظيمية لحماية بياناتك تشمل:
- التشفير أثناء النقل (HTTPS/TLS 1.3) وفي حالة السكون.
- وصول مُقيَّد بمبدأ «الحدّ الأدنى من الصلاحيات».
- مراجعات أمنيّة دوريّة.
- خطّة استجابة لخروقات البيانات (إبلاغ سدايا والمتأثّرين خلال 72 ساعة وفق المادة 20).

10. خصوصية الأطفال
لا نجمع بيانات من أشخاص دون سنّ 18 عن قصد. إن تبيّن لنا ذلك، نحذف البيانات فوراً.

11. التحديثات
قد نُحدّث هذه السياسة من وقت لآخر. التغييرات الجوهرية سنُخطرك بها قبل سريانها بـ 30 يوماً عبر البريد الإلكتروني أو إشعار بارز في الموقع.

12. القانون الحاكم والاختصاص
تخضع هذه السياسة لأنظمة المملكة العربية السعودية. أيّ نزاع يُحال إلى المحاكم المختصّة في المملكة.

13. تواصل
لأي استفسار أو شكوى بشأن بياناتك:
البريد الإلكتروني: privacy@example.com
الهيئة المختصة: الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) — sdaia.gov.sa

قالب استرشادي يغطّي PDPL + GDPR. للمواقع الحساسة (صحّية، مالية، أطفال) راجع مستشاراً قانونياً.

دليل شامل

نظام حماية البيانات السعودي PDPL: المتطلبات وكيفية الامتثال

أحكام نظام PDPL، البنود الإلزامية في سياسة الخصوصية، حقوق صاحب البيانات، وعقوبات المخالفة.

13 دقائق قراءة·تحديث مايو 2026

نظام PDPL: ماذا يعني عملياً

نظام حماية البيانات الشخصية السعودي (Personal Data Protection Law - PDPL) الصادر بالمرسوم الملكي رقم (م/19) في 9/2/1443هـ، وأصبح ساري المفعول بشكل كامل في 14 سبتمبر 2024 بعد فترة سماح للامتثال. هذا أوّل تشريع شامل لحماية البيانات في المملكة، ويضعها في مصافّ الدول التي تمتلك تشريعات بمستوى GDPR الأوروبية.

الفارق العملي: قبل PDPL، الموقع السعودي كان يستطيع جمع بيانات المستخدمين دون التزام نظامي صارم. اليوم، أيّ موقع يجمع بريداً إلكترونياً واحداً من مقيم في السعودية يخضع لـ PDPL، حتى لو كانت الشركة خارج المملكة. الغرامات تبدأ من 5,000 ريال وتصل إلى 5 مليون ريال + السجن في الحالات الجسيمة.

نطاق التطبيق

PDPL ينطبق على كلّ معالجة لبيانات شخصية تتم داخل المملكة، أو خارجها إن كانت تستهدف أفراداً مقيمين في المملكة. هذا يعني أنّ Shopify، Google، Meta، وأيّ منصّة عالمية تقدّم خدمات لمقيم سعودي ملزمة بـ PDPL.

تعريف «البيانات الشخصية» واسع: أيّ معلومة تُعرّف الفرد مباشرةً (اسم، هوية، رقم جوال) أو غير مباشرةً (عنوان IP، بصمة المتصفّح، سلوك التصفّح). البيانات «المجهولة الهوية» (Anonymized) خارج نطاق النظام، لكنّ معايير الإجهال صارمة.

«البيانات الحسّاسة» تخضع لحماية أعلى: البيانات الصحّية، الجينية، البيومترية، الدينية، السياسية، السوابق الجنائية. تتطلّب موافقة صريحة + ضمانات تقنية إضافية.

حقوق صاحب البيانات (المادة 4)

PDPL يمنح الفرد 6 حقوق أساسية، وعلى كلّ المؤسّسات بناء آليات لتفعيلها:

حقّ الإبلاغ: أن يعرف الفرد قبل أو وقت جمع بياناته: من يجمعها، لماذا، لمَن قد تُشارَك، كم تُحفَظ. هذا ما يُلبّيه إشعار الخصوصية على الموقع.

حقّ الوصول: أن يطلب نسخة من بياناته. على المؤسّسة الردّ خلال 30 يوماً (قابلة للتمديد 60 يوماً إضافياً للحالات المعقّدة). الردّ يجب أن يكون مجانياً للطلب الأوّل سنوياً.

حقّ التصحيح: طلب تصحيح بيانات غير دقيقة. تنفيذ خلال 30 يوماً.

حقّ الإتلاف: «حقّ النسيان». طلب حذف البيانات. للمؤسّسة استثناءات (التزامات قانونية، نزاعات قائمة، أرشيف تاريخي).

حقّ سحب الموافقة: في أيّ وقت، بنفس سهولة منحها. لا يلغي معالجات سابقة (مثلاً، إن سحبتَ موافقتك على نشرة إخبارية، الإرسالات السابقة ليست مخالفة).

حقّ الشكوى: لسدايا (الهيئة السعودية للبيانات والذكاء الاصطناعي) إن لم تستجِب المؤسّسة. سدايا تستطيع فرض غرامات.

ما يجب أن تتضمّنه سياسة الخصوصية

سياسة الخصوصية ليست بنداً قانونياً اختيارياً. هي وسيلة إعمال «حقّ الإبلاغ». محتوى السياسة الإلزامي:

1. هوية المُتحكِّم: اسم المؤسّسة، عنوانها، وسائل التواصل، وبيانات «مسؤول حماية البيانات» (DPO) إن وُجِد.

2. أنواع البيانات المجمَّعة: بدقّة. ليس «بيانات الاستخدام» بل «الصفحات المُزارة، مدّة الزيارة، نوع المتصفّح، عنوان IP المُجزَّأ».

3. أغراض المعالجة: لكلّ نوع بيانات، الغرض. مثلاً: «الاسم والبريد: لتنفيذ طلبك. التحليلات: لتحسين تجربة المستخدم. الكوكيز التسويقية: لقياس فعالية الإعلانات».

4. الأساس القانوني: ربط كلّ غرض بأساسه (موافقة، عقد، مصلحة مشروعة...).

5. الأطراف الثالثة: قائمة بالشركات التي تُشارك معها البيانات (مثل Google Analytics، Stripe، MailChimp) + الغرض من المشاركة.

6. النقل خارج المملكة: إن كانت البيانات تُنقَل لخوادم خارج المملكة، صرّح بذلك + الضمانات القانونية.

7. مدّة الاحتفاظ: لكلّ نوع بيانات، كم يُحفَظ.

8. حقوق المستخدم: سرد الحقوق الستّة + كيفية ممارستها (بريد إلكتروني، نموذج، رقم اتصال).

9. الكوكيز: أنواعها، أغراضها، كيفية إدارتها/تعطيلها.

10. تاريخ آخر تحديث: ومُلخّص التغييرات الجوهرية.

نقل البيانات خارج المملكة (المادة 29)

نقل البيانات خارج المملكة كان أحد أصعب البنود في PDPL. النسخة الأصلية كانت متشدّدة، وعدّلتها سدايا في 2023 لتُصبح أكثر عملية. القاعدة الحالية:

يُسمح بنقل البيانات لدولة تُوفّر مستوى حماية «مناسباً» وفق قائمة تُصدرها سدايا. حالياً تشمل القائمة دول الاتحاد الأوروبي، المملكة المتحدة، كندا، اليابان، وعدد محدود من الدول الأخرى.

لدول خارج القائمة، يُسمح بالنقل وفق إحدى الآليات: «بنود تعاقدية معتمدة» من سدايا، «قواعد ربط ملزمة» للشركات متعدّدة الجنسيات، أو موافقة صريحة من صاحب البيانات لكلّ نقل.

الواقع العملي: معظم خدمات SaaS العالمية (AWS، Google Cloud، Microsoft Azure) لديها بنود تعاقدية مُعتمدة. لكن خدمات أصغر قد لا تكون مُعتمدة، ويتحمّل العميل (الشركة السعودية) عبء التأكّد.

خروقات البيانات (المادة 20)

إن وقع خرق بيانات (تسريب، اختراق، فقدان وصول)، على المُتحكِّم:

1. إبلاغ سدايا خلال 72 ساعة من علمه بالخرق، بكلّ التفاصيل المعروفة وقتها.

2. إبلاغ الأفراد المتأثّرين «دون تأخّر غير مبرّر» إن كان الخرق يُشكّل «مخاطر عالية» على حقوقهم. الإبلاغ يكون مباشراً (بريد، رسالة)، لا بنشر عام على الموقع.

3. توثيق الخرق داخلياً، حتى لو لم يستوجب إبلاغ سدايا.

غياب آلية كشف وإبلاغ الخروقات هو السبب الأوّل في الغرامات الكبيرة في الدول التي طبّقت GDPR منذ سنوات. المؤسّسات السعودية تواجه نفس المخاطر اليوم.

الغرامات والمسؤولية

سُلَّم الغرامات في PDPL متدرّج:

المخالفات الإدارية: غرامات تصل إلى 5 مليون ريال للمؤسّسة. تشمل: عدم إبلاغ سدايا بخرق، عدم وجود سياسة خصوصية، عدم تفعيل حقوق صاحب البيانات.

المخالفات الجسيمة: إفشاء البيانات الحسّاسة عمداً، نقل البيانات خارج المملكة بدون مبرّر قانوني — تُحال للقضاء وقد تستوجب السجن حتى سنتين + غرامة.

مسؤولية شخصية: المدير المسؤول قد يتحمّل المسؤولية شخصياً إن ثبت إهماله الجسيم، حتى لو كانت الشركة هي المُسجَّلة كمتحكِّم.

قائمة الامتثال العملية

للموقع/التطبيق الجديد:

1. سياسة خصوصية متوافقة + صفحة شروط استخدام + صفحة سياسة كوكيز منفصلة.

2. Cookie Banner يطلب موافقة صريحة للكوكيز التحليلية/التسويقية، مع خيار «رفض» بنفس بروز خيار «قبول».

3. نموذج طلب حقوق صاحب البيانات (نسخة، تصحيح، حذف).

4. سجل المعالجات الداخلي (مَن يُعالج ماذا، لأيّ غرض، لكم).

5. اتفاقيات «معالج بيانات» (Data Processing Agreement) مع كلّ مزوّد خدمة يُعالج بياناتك (Mailchimp، Stripe، Google Analytics...).

6. آلية إبلاغ خرق بيانات داخلية.

7. تعيين مسؤول حماية البيانات (DPO) إن كانت معالجاتك بحجم كبير أو تشمل بيانات حسّاسة.

8. تدريب الموظفين على PDPL، خصوصاً فِرَق التسويق، خدمة العملاء، التطوير.

أسئلة شائعة

متى أصبح PDPL سارياً بالكامل؟

14 سبتمبر 2024، بعد فترة سماح للامتثال منذ صدور المرسوم الملكي م/19 في 1443هـ. كلّ المعالجات منذ ذلك التاريخ تخضع للنظام بشكل كامل.

هل ينطبق PDPL على شركة خارج المملكة؟

نعم، إن كانت تستهدف مقيمين في السعودية. Shopify، Google، Meta — كلّها ملزمة بـ PDPL لمستخدميها السعوديين، حتى لو كانت خوادمها في الخارج.

كم ساعة لإبلاغ سدايا عن خرق بيانات؟

72 ساعة من علم المُتحكِّم بالخرق. التأخّر بدون مبرّر معقول يُعرّضك لغرامة منفصلة، بغضّ النظر عن طبيعة الخرق نفسه.

هل يُسمح بنقل البيانات لخوادم خارج المملكة؟

نعم وفق آليات محدّدة: قائمة الدول المعتمدة من سدايا، أو بنود تعاقدية معتمدة، أو موافقة صريحة من صاحب البيانات. AWS، Google Cloud، Azure لديها بنود معتمدة.

كم الغرامات على مخالفات PDPL؟

تتدرّج من 5,000 ريال للمخالفات البسيطة، تصل إلى 5 مليون ريال للمخالفات الإدارية الجسيمة، وقد تصل للسجن سنتين + غرامة للجرائم العمدية مثل إفشاء البيانات الحسّاسة.

قراءات ذات صلة

مقالات وأدلّة مرتبطة بنفس الموضوع على ArabToolBox.

أدوات قد تهمّك