نظام حماية البيانات الشخصية في السعودية

2025

04 كانون الثاني 2025

في ظل التطور التكنولوجي الحالي والاعتماد المتزايد على جمع وتخزين البيانات في شتى مناحي الحياة، أصبح الحفاظ على خصوصية البيانات الشخصية أمراً بالغ الأهمية. ومن أجل تحقيق مستوى عالٍ من أمن البيانات، أصدرت المملكة العربية السعودية نظام حماية البيانات الشخصية السعودي، والذي يضمن معالجة البيانات الشخصية بطريقة آمنة وشفافة.

يُشكِّل هذا النظام، الذي أطلقته الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، إطاراً قانونياً شاملاً يحكم طرق جمع البيانات الشخصية، واستخدامها، وتخزينها.

سنستعرض في هذا المقال أهم قوانين نظام حماية البيانات الشخصية في المملكة، ونناقش مختلف آثاره للأفراد والشركات.

في هذا الدليل:

ما هو نظام حماية البيانات الشخصية السعودي؟

يعد نظام حماية البيانات الشخصية خطوة مهمة نحو بناء بيئة رقمية آمنة وموثوقة في السعودية. هذا النظام الشامل يهدف إلى تحقيق الحماية التامة لحقوق الأفراد في خصوصيتهم الرقمية، وذلك من خلال وضع قواعد صارمة لجمع البيانات الشخصية، واستخدامها، وإدارتها.

حيث يشمل النظام الحقوق التي يتمتع بها الأفراد فيما يتعلق ببياناتهم الشخصية، مثل الحق في الوصول إلى بياناتهم الشخصية، وتصحيحها، وحذفها، وكذلك تحديد الالتزامات التي تقع على عاتق الجهات التي تقوم بمعالجة هذه البيانات. من خلال هذا النظام، تسعى البلد إلى تعزيز الثقة في التعاملات الإلكترونية وحماية الأفراد من الانتهاكات التي قد يتعرضون لها بخصوص بياناتهم الشخصية.

يأتي إطلاق نظام حماية البيانات الشخصية هذا بالتزامن مع التوجهات العالمية نحو تعزيز حماية البيانات الشخصية. فبعد النجاح الذي حققته اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR)، أصبحت حماية البيانات أولوية قصوى للعديد من الدول، بما فيها السعودية. ويعكس النظام السعودي التزام البلد ببناء اقتصاد رقمي مزدهر يعتمد على الثقة والشفافية بين أفراد الشعب والجهات التي تجمع البيانات.

ما هي حالات تطبيق نظام حماية البيانات الشخصية في السعودية؟

ينص نظام حماية البيانات الشخصية السعودي على أنه يسري على أي عملية معالجة للبيانات الشخصية تتعلق بالأفراد داخل المملكة، بغض النظر عن الوسيلة المستخدمة في جمع البيانات. وهذا يضم أيضًا معالجة البيانات الشخصية للأفراد المقيمين في المملكة من قبل جهات خارجها. كما يشمل النظام المتوفيين إذا كان من المحتمل أن تؤدي معالجة بياناتهم إلى الكشف عن هويتهم أو هوية أحد أفراد أسرتهم.

يُستثنى من تطبيق النظام معالجة البيانات الشخصية التي يقوم بها الفرد بنفسه لأغراض شخصية أو عائلية، بشرط ألَّا ينشرها أو يكشف عنها للغير.

حقوق صاحب البيانات الشخصية التي يتضمنها نظام حماية البيانات الشخصية السعودي

وفقاً لأحكام نظام حماية البيانات الشخصية السعودي، يتمتع صاحب البيانات الشخصية بالحقوق التالية:

  1. الحق في المعرفة: حيث يتمتع صاحب البيانات الشخصية بحقه في معرفة الجهة المسؤولة عن جمع بياناته الشخصية، وأغراض الجمع، والأساس القانوني لذلك.
  2. الحق في الوصول: حيث يتمتع صاحب البيانات الشخصية بحقه في الاطلاع على بياناته الشخصية المتوفرة لدى الجهة المسؤولة عند الطلب، وفقاً للضوابط والإجراءات المحددة في اللوائح.
  3. الحق في الحصول: حيث يتمتع صاحب البيانات الشخصية بحقه في الحصول على نسخة من بياناته الشخصية المتوفرة لدى الجهة المسؤولة بصيغة مقروءة وواضحة، وفقاً للضوابط والإجراءات المحددة في اللوائح.
  4. الحق في التصحيح: حيث يتمتع صاحب البيانات الشخصية بحقه في طلب تصحيح، واستكمال، أو تحديث بياناته الشخصية المتواجدة عند الجهة المسؤولة.
  5. الحق في الإتلاف: حيث يتمتع صاحب البيانات الشخصية بحقه في طلب إتلاف بياناته الشخصية المتوفرة لدى الجهة المسؤولة عند انتهاء الحاجة إليها، مع مراعاة أحكام المادة الثامنة عشرة من النظام.

هل يمكن جمع البيانات الشخصية دون موافقة في السعودية؟

على الرغم من أن المبدأ العام في السعودية هو عدم جواز معالجة البيانات الشخصية دون الحصول على موافقة صاحبها، إلا أن هناك استثناءات مُحدَّدة حددها نظام حماية البيانات الشخصية السعودي. تشمل هذه الاستثناءات الحالات التي تكون فيها المعالجة ضرورية، حيث تضم التالي:

  1. عند الفشل في الاتصال بصاحب البيانات، وتكون عملية جمع البيانات ضرورية لتحقيق منفعة ما لصاحبها.
  2. قد يُسمح بجمع البيانات لأغراض بحثية وعلمية شريطةً أن يتم تشفيرها بحيث لا يمكن التعرف على هوية أصحاب البيانات.
  3. يمكن جمع البيانات لأغراض إحصائية عامة بشرط عدم الكشف عن هوية الأفراد.
  4. في بعض الحالات، قد يكون هناك التزام قانوني ضروري بجمع البيانات، مثل التحقيقات الجنائية.
  5. للامتثال لالتزام قانوني يخضع له المسؤول عن عملية معالجة البيانات.
  6. عندما تكون المعالجة مطلوبة لتحقيق مصلحة مشروعة يسعى إليها المسؤول عن المعالجة، ما لم تتعارض هذه المصالح مع الحقوق والحريات الأساسية للشخص المعني التي تتطلب الحماية بموجب قانون حماية البيانات.

معالجة البيانات من غير صاحبها أو لسبب آخر غير الذي جُمِعت من أجله في السعودية

ينص نظام حماية البيانات الشخصية على عدم جواز جمع البيانات الشخصية إلا من صاحبها مباشرةً، كما لا يجوز معالجتها إلا للأغراض المحددة. ومع ذلك، يسمح القانون باستثناءات محددة، بما في ذلك:

  • الحصول على موافقة صريحة من صاحب البيانات. 
  • توفر البيانات للعموم. 
  • عند ضرورة جمع البيانات لأغراض المصلحة العامة أو للأغراض الأمنية والقضائية، وفقًا لأحكام القانون.
  • عند جواز تعرض صاحب البيانات للضرر إذا لم يتم جمع بياناته الشخصية.
  • عند ضرورة جمع البيانات لحماية الصحة العامة أو السلامة العامة، وفقًا لأحكام القانون.
  • عند جمع البيانات بطريقة تمنع التعرف على هوية صاحب البيانات.
  • عند ضرورة جمعها لتحقيق مصالح مشروعة للجهة المسؤولة، بشرط عدم الإضرار بحقوق أو مصالح صاحب البيانات.

شروط جمع البيانات الشخصية في السعودية

وفقًا لنظام حماية البيانات الشخصية السعودي، تلتزم الجهة التي تجمع البيانات بتلك الشروط عند عملية الجمع:

  • أن يكون الهدف من جمع البيانات الشخصية مشروعاً وواضحًا، وأن يكون مرتبطاً بأغراض جهة التحكم وفقاً لأحكام النظام.
  • أن تكون طرق جمع البيانات الشخصية مشروعة وملائمة لظروف صاحبها، وأن تخلو من أي مخالفات قانونية، مثل أساليب الخداع، أو التضليل، أو الابتزاز.
  • يجب أن يكون محتوى البيانات الشخصية محدوداً ومناسباً للغرض الذي تم جمعها من أجله، وفقاً لأحكام القانون، ويجب ألَّا يتضمن أية وسائل تتسبب في معرفة صاحب البيانات عند تحقق سبب جمعها.
  • إذا لم تعد البيانات الشخصية ضرورية لتحقيق الغرض الذي تم تحديده، يتوجب على جهة التحكم التوقف عن جمعها، وإتلاف البيانات الموجودة، وفقاً لأحكام القانون.

كما يجب أن تُخطر الجهة التي تقوم بجمع البيانات صاحب البيانات بالتالي:

  • المسوغ القانوني لجمع البيانات الشخصية الخاصة به.
  • سبب جمع البيانات الشخصية، ومدى إلزامية تقديمها، سواء كان اختياريًا أم إجباريًا.
  • هوية الجهة التي ستقوم بجمع البيانات الشخصية، بالإضافة إلى عنوان الرجوع له عند الحاجة، إلَّا إن كانت البيانات تُعالج لأسباب أمنية.
  • الجهات التي سيتم الكشف عن البيانات الشخصية لها.
  • الآثار المحتملة لرفضه تقديم البيانات الشخصية.
  • حقوقه التي ذكرها النظام فيما يتعلق بمعالجة البيانات الشخصية.

هل يجوز الإفصاح عن البيانات الشخصية في السعودية؟

لا يُسمح لجهة التحكم بالإفصاح عن البيانات الشخصية في السعودية إلا في الأحوال الآتية:

  • عند الحصول على موافقة صاحب البيانات.
  • عند توفر البيانات للعامة.
  • عند ضرورة الإفصاح لأغراض المصلحة العامة، أو للأسباب الأمنية، أو القضائية.
  • لحماية الصحة العامة، أو السلامة العامة، أو لحماية حياة أو صحة الأفراد.
  • لمعالجة البيانات في وقتٍ لاحق بطريقة لا تؤدي إلى معرفة هوية صاحب البيانات.
  • لتحقيق مصالح مشروعة لجهة التحكم دون المساس بحقوق صاحب البيانات.

خطوات الإشعار عند تسرب البيانات الشخصية في السعودية

في حالة وقوع حادث تسرب للبيانات الشخصية، تنص اللائحة التنفيذية لنظام حماية البيانات الشخصية على الخطوات التي يجب أن تتخذها جهة التحكم:

الإبلاغ الفوري للجهة المختصة

  • يجب على الجهة التي حدث لديها التسرب في البيانات إخطار الجهة المختصة بالأمر خلال 72 ساعة كحد أقصى من وقت علمها بالحادثة.
  • يجب أن يتضمن الإبلاغ تفاصيل دقيقة عن الحادثة، مثل: وقت حدوثها، وكيفية وقوعها، عدد الأشخاص المتضررين بسببها، ونوع البيانات المسربة.
  • يجب أيضًا وصف المخاطر المحتملة الناتجة عن هذا التسرب، والإجراءات التي اتخذتها الجهة لاحتواء الوضع.
  • يجب أن يتضمن الإبلاغ إيضاح ما إذا تم إبلاغ أصحاب البيانات المُسرَّبة بالحادث بعد أم سيتم إشعاره لاحقًا.
  • يجب أن يتضمن أيضًا بيانات الاتصال بجهة التحكم.
  • في حال التأخر عن الإبلاغ خلال 72 ساعة، يجب أن تقوم الجهة بالإبلاغ في أقرب وقت ممكن، مع توضيح سبب هذا التأخر.
  • يجب أن تحتفظ جهة التحكم بنسخة من التقارير التي أرسلتها إلى الجهة المختصة.

إبلاغ أصحاب البيانات المتضررين

يجب على الجهة التي حدثت لديها واقعة تسرب البيانات إبلاغ الأشخاص الذين تأثرت بياناتهم الشخصية بالحادثة. حيث يجب أن يكون الإشعار بلغة واضحة ومبسطة وأن يتضمن:

  • معلومات حول طبيعة التسرب.
  • شرح للمخاطر التي قد تنشأ بسبب الحادثة.
  • التدابير التي اتخذتها الجهة في سبيل الحد من حادثة تسرب البيانات.
  • اسم وبيانات الاتصال بجهة التحكم والمسؤول عن عملية جمع البيانات فيها.
  • نصائح لصاحب البيانات كي يتجنب المخاطر التي قد تنشأ بسبب واقعة تسرب البيانات.

عقوبات الإفصاح عن البيانات الشخصية حسب نظام حماية البيانات الشخصية السعودي

ينص نظام حماية البيانات الشخصية على عقوبات محددة للإفصاح عن البيانات الشخصية دون إذن صاحبها. حيث يُعاقب بالحبس مدة لا تزيد على سنتين، وبغرامة لا تتخطى ثلاثة ملايين ريال، أو بإحديهما، كل من أفصح عن بيانات حساسة أو نشرها على عكس أحكام النظام، إذا كان ذلك لإلحاق الضرر على صاحب البيانات أو لتحقيق منفعة شخصية.

وتختص النيابة العامة بعملية التحقيق والادعاء أمام المحكمة المختصة بالأمر عن المخالفات المذكورة في القانون. كما تتولى المحكمة المناسبة التحقيق في الدعاوى المستندة إلى تطبيق هذه الأحكام والعقوبات المقررة في النظام.

في حالة تكرار المخالفة، يجوز للمحكمة المختصة مضاعفة عقوبة الغرامة المذكورة في القانون، بشرط ألَّا تتجاوز العقوبة ضعف المبلغ الأصلي السابق ذكره.

الختام

يُمثل نظام حماية البيانات الشخصية السعودي خطوة مهمة نحو بناء بيئة رقمية آمنة مبنية على الثقة في المملكة. إن هذا الإطار القانوني الشامل الذي ينظم عمليات جمع، ومعالجة، وتخزين البيانات الشخصية يضمن حماية حقوق الأفراد في خصوصيتهم الرقمية بشكل أكبر.

كما أن تأثير هذا النظام يتجاوز مجرد أهميته في حماية البيانات الشخصية، حيث له آثار بعيدة المدى على الاقتصاد الرقمي السعودي. فمن خلال تعزيز ثقافة الخصوصية والأمان الرقمي، سيُمكِّن هذا النظام جذب الاستثمارات الأجنبية، وتعزيز ثقة المستهلكين، وتعزيز مكانة السعودية كدولة رائدة في مجال الابتكار الرقمي.

ملاحظة تحذيرية هامة

إن هذا المحتوى مُقدَّم لأغراض تثقيفية فقط. بينما نبذل قصارى جهدنا لضمان دقة المعلومات المُقدَّمَة، إلا أنه لا يمكننا ضمان خلوها من الأخطاء أو السهو. لذا يُنصح المستخدمون بالتحقق بشكل مستقل من أي معلومات مهمة وعدم الاعتماد على المحتوى المقدم وحسب.