نظام PDPL: ماذا يعني عملياً
نظام حماية البيانات الشخصية السعودي (Personal Data Protection Law - PDPL) الصادر بالمرسوم الملكي رقم (م/19) في 9/2/1443هـ، وأصبح ساري المفعول بشكل كامل في 14 سبتمبر 2024 بعد فترة سماح للامتثال. هذا أوّل تشريع شامل لحماية البيانات في المملكة، ويضعها في مصافّ الدول التي تمتلك تشريعات بمستوى GDPR الأوروبية.
الفارق العملي: قبل PDPL، الموقع السعودي كان يستطيع جمع بيانات المستخدمين دون التزام نظامي صارم. اليوم، أيّ موقع يجمع بريداً إلكترونياً واحداً من مقيم في السعودية يخضع لـ PDPL، حتى لو كانت الشركة خارج المملكة. الغرامات تبدأ من 5,000 ريال وتصل إلى 5 مليون ريال + السجن في الحالات الجسيمة.
نطاق التطبيق
PDPL ينطبق على كلّ معالجة لبيانات شخصية تتم داخل المملكة، أو خارجها إن كانت تستهدف أفراداً مقيمين في المملكة. هذا يعني أنّ Shopify، Google، Meta، وأيّ منصّة عالمية تقدّم خدمات لمقيم سعودي ملزمة بـ PDPL.
تعريف «البيانات الشخصية» واسع: أيّ معلومة تُعرّف الفرد مباشرةً (اسم، هوية، رقم جوال) أو غير مباشرةً (عنوان IP، بصمة المتصفّح، سلوك التصفّح). البيانات «المجهولة الهوية» (Anonymized) خارج نطاق النظام، لكنّ معايير الإجهال صارمة.
«البيانات الحسّاسة» تخضع لحماية أعلى: البيانات الصحّية، الجينية، البيومترية، الدينية، السياسية، السوابق الجنائية. تتطلّب موافقة صريحة + ضمانات تقنية إضافية.
الأسس القانونية للمعالجة (المادة 6)
لا يجوز معالجة البيانات الشخصية إلّا بناءً على واحد من الأسس الستّة:
1. الموافقة الصريحة. الأكثر شيوعاً. يجب أن تكون صريحة (لا «صناديق مُختارة مسبقاً»)، مُستنيرة (المستخدم يفهم لماذا)، محدّدة (لكلّ غرض موافقة منفصلة)، وقابلة للسحب في أيّ وقت بنفس سهولة المنح.
2. تنفيذ عقد. إن كانت المعالجة لازمة لتنفيذ عقد بين الطرفين (مثلاً، اسم وعنوان لشحن طلب). لا يحتاج موافقة مُنفصلة.
3. التزام قانوني. إن كان النظام يُلزمك بالمعالجة (مثلاً، الاحتفاظ بفواتير VAT لـ 6 سنوات).
4. المصلحة الحيوية. إن كانت المعالجة لحماية حياة شخص. نادر في السياقات التجارية.
5. المصلحة العامة. للجهات الحكومية والمرافق العامّة.
6. المصلحة المشروعة. الأكثر إساءة للاستخدام. يحقّ للمؤسّسة معالجة البيانات لمصلحتها المشروعة (مثلاً، أمن الموقع، منع الاحتيال)، شريطة ألّا تطغى هذه المصلحة على حقوق المستخدم.
حقوق صاحب البيانات (المادة 4)
PDPL يمنح الفرد 6 حقوق أساسية، وعلى كلّ المؤسّسات بناء آليات لتفعيلها:
حقّ الإبلاغ: أن يعرف الفرد قبل أو وقت جمع بياناته: من يجمعها، لماذا، لمَن قد تُشارَك، كم تُحفَظ. هذا ما يُلبّيه إشعار الخصوصية على الموقع.
حقّ الوصول: أن يطلب نسخة من بياناته. على المؤسّسة الردّ خلال 30 يوماً (قابلة للتمديد 60 يوماً إضافياً للحالات المعقّدة). الردّ يجب أن يكون مجانياً للطلب الأوّل سنوياً.
حقّ التصحيح: طلب تصحيح بيانات غير دقيقة. تنفيذ خلال 30 يوماً.
حقّ الإتلاف: «حقّ النسيان». طلب حذف البيانات. للمؤسّسة استثناءات (التزامات قانونية، نزاعات قائمة، أرشيف تاريخي).
حقّ سحب الموافقة: في أيّ وقت، بنفس سهولة منحها. لا يلغي معالجات سابقة (مثلاً، إن سحبتَ موافقتك على نشرة إخبارية، الإرسالات السابقة ليست مخالفة).
حقّ الشكوى: لسدايا (الهيئة السعودية للبيانات والذكاء الاصطناعي) إن لم تستجِب المؤسّسة. سدايا تستطيع فرض غرامات.
ما يجب أن تتضمّنه سياسة الخصوصية
سياسة الخصوصية ليست بنداً قانونياً اختيارياً. هي وسيلة إعمال «حقّ الإبلاغ». محتوى السياسة الإلزامي:
1. هوية المُتحكِّم: اسم المؤسّسة، عنوانها، وسائل التواصل، وبيانات «مسؤول حماية البيانات» (DPO) إن وُجِد.
2. أنواع البيانات المجمَّعة: بدقّة. ليس «بيانات الاستخدام» بل «الصفحات المُزارة، مدّة الزيارة، نوع المتصفّح، عنوان IP المُجزَّأ».
3. أغراض المعالجة: لكلّ نوع بيانات، الغرض. مثلاً: «الاسم والبريد: لتنفيذ طلبك. التحليلات: لتحسين تجربة المستخدم. الكوكيز التسويقية: لقياس فعالية الإعلانات».
4. الأساس القانوني: ربط كلّ غرض بأساسه (موافقة، عقد، مصلحة مشروعة...).
5. الأطراف الثالثة: قائمة بالشركات التي تُشارك معها البيانات (مثل Google Analytics، Stripe، MailChimp) + الغرض من المشاركة.
6. النقل خارج المملكة: إن كانت البيانات تُنقَل لخوادم خارج المملكة، صرّح بذلك + الضمانات القانونية.
7. مدّة الاحتفاظ: لكلّ نوع بيانات، كم يُحفَظ.
8. حقوق المستخدم: سرد الحقوق الستّة + كيفية ممارستها (بريد إلكتروني، نموذج، رقم اتصال).
9. الكوكيز: أنواعها، أغراضها، كيفية إدارتها/تعطيلها.
10. تاريخ آخر تحديث: ومُلخّص التغييرات الجوهرية.
نقل البيانات خارج المملكة (المادة 29)
نقل البيانات خارج المملكة كان أحد أصعب البنود في PDPL. النسخة الأصلية كانت متشدّدة، وعدّلتها سدايا في 2023 لتُصبح أكثر عملية. القاعدة الحالية:
يُسمح بنقل البيانات لدولة تُوفّر مستوى حماية «مناسباً» وفق قائمة تُصدرها سدايا. حالياً تشمل القائمة دول الاتحاد الأوروبي، المملكة المتحدة، كندا، اليابان، وعدد محدود من الدول الأخرى.
لدول خارج القائمة، يُسمح بالنقل وفق إحدى الآليات: «بنود تعاقدية معتمدة» من سدايا، «قواعد ربط ملزمة» للشركات متعدّدة الجنسيات، أو موافقة صريحة من صاحب البيانات لكلّ نقل.
الواقع العملي: معظم خدمات SaaS العالمية (AWS، Google Cloud، Microsoft Azure) لديها بنود تعاقدية مُعتمدة. لكن خدمات أصغر قد لا تكون مُعتمدة، ويتحمّل العميل (الشركة السعودية) عبء التأكّد.
خروقات البيانات (المادة 20)
إن وقع خرق بيانات (تسريب، اختراق، فقدان وصول)، على المُتحكِّم:
1. إبلاغ سدايا خلال 72 ساعة من علمه بالخرق، بكلّ التفاصيل المعروفة وقتها.
2. إبلاغ الأفراد المتأثّرين «دون تأخّر غير مبرّر» إن كان الخرق يُشكّل «مخاطر عالية» على حقوقهم. الإبلاغ يكون مباشراً (بريد، رسالة)، لا بنشر عام على الموقع.
3. توثيق الخرق داخلياً، حتى لو لم يستوجب إبلاغ سدايا.
غياب آلية كشف وإبلاغ الخروقات هو السبب الأوّل في الغرامات الكبيرة في الدول التي طبّقت GDPR منذ سنوات. المؤسّسات السعودية تواجه نفس المخاطر اليوم.
الغرامات والمسؤولية
سُلَّم الغرامات في PDPL متدرّج:
المخالفات الإدارية: غرامات تصل إلى 5 مليون ريال للمؤسّسة. تشمل: عدم إبلاغ سدايا بخرق، عدم وجود سياسة خصوصية، عدم تفعيل حقوق صاحب البيانات.
المخالفات الجسيمة: إفشاء البيانات الحسّاسة عمداً، نقل البيانات خارج المملكة بدون مبرّر قانوني — تُحال للقضاء وقد تستوجب السجن حتى سنتين + غرامة.
مسؤولية شخصية: المدير المسؤول قد يتحمّل المسؤولية شخصياً إن ثبت إهماله الجسيم، حتى لو كانت الشركة هي المُسجَّلة كمتحكِّم.
قائمة الامتثال العملية
للموقع/التطبيق الجديد:
1. سياسة خصوصية متوافقة + صفحة شروط استخدام + صفحة سياسة كوكيز منفصلة.
2. Cookie Banner يطلب موافقة صريحة للكوكيز التحليلية/التسويقية، مع خيار «رفض» بنفس بروز خيار «قبول».
3. نموذج طلب حقوق صاحب البيانات (نسخة، تصحيح، حذف).
4. سجل المعالجات الداخلي (مَن يُعالج ماذا، لأيّ غرض، لكم).
5. اتفاقيات «معالج بيانات» (Data Processing Agreement) مع كلّ مزوّد خدمة يُعالج بياناتك (Mailchimp، Stripe، Google Analytics...).
6. آلية إبلاغ خرق بيانات داخلية.
7. تعيين مسؤول حماية البيانات (DPO) إن كانت معالجاتك بحجم كبير أو تشمل بيانات حسّاسة.
8. تدريب الموظفين على PDPL، خصوصاً فِرَق التسويق، خدمة العملاء، التطوير.