اللائحة التنفيذية لنظام حماية البيانات الشخصية السعودي توضّح آليات التطبيق العملي للنظام: متى يجب تعيين مسؤول حماية البيانات، كيفية الإبلاغ عن الاختراق خلال 72 ساعة، حقوق أصحاب البيانات، وضوابط النقل العابر للحدود. تشمل أيضاً متطلبات خاصة بمشاريع الذكاء الاصطناعي.
الخلاصة السريعة
اللائحة التنفيذية لـ PDPL السعودي حوّلت أحكام النظام إلى قواعد تشغيلية قابلة للتطبيق. تغطي اللائحة: تعيين مسؤول حماية البيانات في ثلاث حالات إلزامية، آليات الإبلاغ عن الاختراق خلال 72 ساعة، شروط النقل العابر للحدود، حقوق أصحاب البيانات، وضوابط اختيار المعالجين. على المنشآت السعودية فهم اللائحة بدقة لأنها المرجع الفعلي للتفتيش والتدقيق.
ما اللائحة التنفيذية لنظام PDPL السعودي؟
اللائحة التنفيذية لنظام حماية البيانات الشخصية هي الوثيقة التنظيمية الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) التي تشرح تفاصيل تطبيق أحكام النظام. صدرت اللائحة استناداً إلى المادة الثانية من النظام التي فوّضت الجهة المختصة بإصدار اللوائح التنفيذية اللازمة.
بينما يحدد النظام الأساسي القواعد الكبرى (الحقوق، الالتزامات، العقوبات)، تتولى اللائحة التنفيذية تحويل هذه القواعد إلى إجراءات عملية. اللائحة هي المرجع الفعلي للجهة المختصة عند التدقيق، وللمحكمة عند النظر في المخالفات، وللمستشار القانوني عند صياغة السياسات الداخلية.
أهم المواد التي تهم المنشآت في اللائحة التنفيذية
المادة 32 من اللائحة: تعيين مسؤول حماية البيانات
تنص المادة 32 من اللائحة التنفيذية على ثلاث حالات يكون فيها تعيين مسؤول حماية البيانات الشخصية (DPO) إلزامياً:
- أن تكون جهة التحكم جهة عامة تقدم خدمات تتضمن معالجة بيانات شخصية على نطاق واسع.
- أن تقوم الأنشطة الأساسية لجهة التحكم على عمليات المعالجة التي تتطلب بطبيعتها مراقبة منتظمة وممنهجة لأصحاب البيانات الشخصية.
- أن تقوم الأنشطة الأساسية لجهة التحكم على معالجة بيانات شخصية حساسة.
النقطة الجوهرية أن المنشأة الخاصة ليست ملزمة بتعيين DPO في كل الحالات، لكنها تصبح ملزمة متى كانت أنشطتها الأساسية تشمل بيانات حساسة أو مراقبة ممنهجة. بنك، شركة تأمين، مستشفى، شركة اتصالات، شركة تحليل بيانات، منصة تعليمية إلكترونية، هذه كلها أمثلة على منشآت غالباً ما تنطبق عليها حالة الإلزام.
شروط تعيين DPO وفق قواعد سدايا:
- مؤهل علمي مناسب وخبرة في حماية البيانات الشخصية.
- معرفة كافية بأنشطة المعالجة في المنشأة.
- معرفة بمعالجة مخاطر تسرب البيانات.
- معرفة بالمتطلبات النظامية والتنظيمية ذات العلاقة.
- الأمانة والنزاهة، وألا يكون قد أدين بأي جريمة مخلة بالشرف والأمانة.
هل يمكن أن يكون DPO متعاقداً خارجياً؟
نعم، اللائحة والقواعد تسمح بأن يكون DPO موظفاً داخلياً أو متعاقداً خارجياً (شركة استشارات، مكتب محاماة، متخصص مستقل). للشركات الصغيرة والمتوسطة، الاستعانة بـ DPO خارجي بالإنابة هو الخيار العملي الأكثر شيوعاً.
المهام الأساسية لـ DPO وفق اللائحة:
- تمكين صاحب البيانات من ممارسة حقوقه (العلم، الوصول، التصحيح، الحذف، الاعتراض، النقل).
- إشعار الجهة المختصة (سدايا) عن حوادث تسرب البيانات الشخصية.
- الرد على طلبات أصحاب البيانات الشخصية.
- معالجة المخالفات المتعلقة بالبيانات داخل الجهة، واتخاذ الإجراءات التصحيحية.
- المشاركة مع الأشخاص المسؤولين عن تنفيذ أنشطة أخلاقيات الذكاء الاصطناعي لضمان توافر متطلبات حماية البيانات الشخصية.
المادة 17 من اللائحة: اختيار جهة المعالجة
تنص المادة 17 من اللائحة على أن جهة التحكم عند اختيار جهة المعالجة (المعالج) يجب أن تلتزم باختيار جهة تقدم ضمانات كافية لحماية البيانات. يجب أن يتضمن الاتفاق مع المعالج:
- غرض المعالجة.
- فئات البيانات الشخصية المعالَجة.
- مدة المعالجة.
- إجراءات حماية البيانات.
- التزامات المعالج بعد انتهاء العقد (إرجاع أو إتلاف البيانات).
- حق جهة التحكم في التدقيق على المعالج.
- آلية الإخطار بالاختراقات.
- ضوابط المعالجات الفرعية (sub-processors).
في سياق AI، هذه المادة بالغة الأهمية. أي عقد مع مزود نموذج لغوي كبير (OpenAI، Anthropic، Google) أو مزود سحابي (Azure، AWS، GCP) يجب أن يحقق متطلبات المادة 17 وإلا فإن المنشأة تتحمل المسؤولية كاملة عن أي مخالفة يرتكبها المعالج.
المادة 18 من اللائحة: معالجة البيانات لغرض آخر
تنظم هذه المادة متى يمكن لجهة التحكم معالجة البيانات لغرض مختلف عن الغرض الأصلي الذي جمعت من أجله. تتطلب المادة أن تحدد جهة التحكم الأغراض الجديدة بشكل محدد وواضح، وتوثق إجراءات تحديد محتوى البيانات، وتتخذ التدابير اللازمة لضمان جمع الحد الأدنى من البيانات.
بالنسبة لـ AI، هذه المادة تعني أن تدريب نموذج على بيانات كانت مخصصة لخدمة العملاء، أو استخدامها لتحسين منتج آخر، يحتاج لإعادة تقييم الأساس النظامي وربما موافقة جديدة من صاحب البيانات.
المادة 19 من اللائحة: جمع الحد الأدنى من البيانات
تلزم هذه المادة جهة التحكم بجمع الحد الأدنى اللازم من البيانات لتحقيق الغرض من المعالجة. يجب أن يكون كل بيان مرتبطاً بشكل وثيق ومباشر بالغرض، ويُحدد ذلك من خلال وسائل مثل مخططات البيانات التي تبيّن الحاجة لكل بيان.
في AI، تطبيق هذه المادة يعني أن النموذج لا يستقبل إلا ما يحتاجه للمهمة. إذا كان الهدف تلخيص شكوى عميل، لا حاجة لإرسال رقم الهوية أو العنوان الوطني مع الطلب. هذا المبدأ هو الأساس الذي يقوم عليه AI Firewall الذي يكشف البيانات الزائدة ويحجبها قبل إرسالها للنموذج.
المادة 9 من اللائحة: إخفاء الهوية
تتطلب المادة أنه عند إخفاء هوية صاحب البيانات، يجب التأكد من عدم إمكانية إعادة التعرف على الهوية بعد الإخفاء، وإجراء تقويم للأثر بما في ذلك إمكانية إعادة تحديد الهوية عند الربط مع مصادر أخرى. هذا مهم بشكل خاص في مشاريع AI التي تستخدم بيانات مجهولة الهوية للتدريب أو التحليل.
آلية الإبلاغ عن الاختراق: 72 ساعة عملية
اللائحة التنفيذية تنص بوضوح على أن جهة التحكم تُشعر الجهة المختصة (سدايا) خلال مدة لا تتجاوز 72 ساعة من وقت علمها بالحادثة، إذا كان من شأن الحادثة الإضرار بالبيانات الشخصية أو صاحبها.
ما يجب أن يتضمنه إشعار الاختراق؟
- وصف الحادثة: وقت وقوعها، تاريخها، كيفية حدوثها، وقت علم جهة التحكم بها.
- الفئات والأعداد: العدد الفعلي أو التقريبي لأصحاب البيانات المتأثرين، ونوع البيانات.
- وصف المخاطر: الأثر الفعلي أو المحتمل على البيانات وأصحابها.
- الإجراءات المتخذة: التدابير الفورية لمنع أو الحد من آثار الحادثة.
- التدابير المستقبلية: ما ستتخذه جهة التحكم لمنع تكرار الحادثة.
- بيان الإشعار الفردي: هل تم إشعار أصحاب البيانات أم لا.
ما المدد الزمنية المرتبطة بالاختراق؟
- 72 ساعة لإشعار الجهة المختصة (سدايا) من وقت العلم بالحادثة.
- بدون تأخير غير مبرر لإشعار صاحب البيانات الشخصية المتأثر إذا كانت الحادثة قد تسبب ضرراً مادياً أو معنوياً.
- لا توجد مهلة محددة للإشعار الفردي في اللائحة، لكن “دون تأخير غير مبرر” عملياً تعني خلال أيام وليس أسابيع.
ماذا يحدث عند اكتشاف اختراق في نظام AI؟
عند اكتشاف اختراق في نظام يستخدم AI، المنشأة أمام التزامين: الالتزام العام بالإبلاغ عن اختراق البيانات الشخصية، والالتزام الخاص بالتحقق من أن الاختراق لم يشمل بيانات حساسة أو نقل عابر للحدود أوسع مما يجب. كل سيناريو له أثر مختلف على حجم الإشعار وعلى تداعيات العقوبة.
حقوق أصحاب البيانات في اللائحة التنفيذية
اللائحة توضح آليات ممارسة الحقوق الستة لصاحب البيانات:
| الحق | المدة | الإجراء |
|---|---|---|
| الحق في العلم | قبل أو عند الجمع | سياسة خصوصية واضحة، إشعار مباشر |
| الحق في الوصول | خلال 30 يوماً (قابلة للتمديد 30 يوماً إضافية) | آلية استقبال طلبات والرد عليها |
| الحق في التصحيح | فوري عند الطلب | إجراءات تصحيح وإشعار الجهات التي أُرسلت إليها البيانات |
| الحق في الحذف | فوري عند تحقق الشروط | إتلاف آمن وإشعار المعالجين |
| الحق في الاعتراض | خلال 30 يوماً | مراجعة الأساس النظامي للمعالجة |
| الحق في نقل البيانات | خلال 30 يوماً | تصدير البيانات بصيغة رقمية قابلة للقراءة |
أثر اللائحة التنفيذية على مشاريع الذكاء الاصطناعي
تطبيق اللائحة على مشاريع AI له تبعات محددة:
توثيق بطاقة استخدام AI. على المنشأة توثيق كل حالة استخدام AI في ملف منفصل يتضمن: الغرض، نوع البيانات، صاحب القرار، الأساس النظامي، موقع المعالجة، المورد، مدة الاحتفاظ، ضوابط الإخفاء، ومسار حقوق صاحب البيانات. هذا الملف هو ما يطلبه مراجعو الامتثال.
تقييم الأثر قبل التشغيل. أي مشروع AI يستخدم بيانات شخصية على نطاق واسع أو بيانات حساسة يجب أن يسبقه DPIA موثق. اللائحة التنفيذية في مادتها 32 تشير ضمنياً إلى أن تقييم الأثر هو مسؤولية DPO.
الرقابة البشرية على القرارات المؤثرة. اللائحة تتطلب أن تكون القرارات المؤثرة على أصحاب البيانات قابلة للتفسير والتدخل البشري. في AI، هذا يعني أن النموذج لا يمكن أن يكون “صندوقاً أسود” في قرارات التوظيف أو الإقراض أو التأمين.
حق الحذف والتعديل في بيانات التدريب. اللائحة في مادتها 17 و18 تشترط أن يكون صاحب البيانات قادراً على ممارسة حقوقه حتى في البيانات التي تستخدم لتدريب نماذج AI. هذا يخلق تحدياً تقنياً صعباً لأن إزالة أثر بيانات من نموذج مدرب ليست مثل حذف سجل من قاعدة بيانات.
كيف تساعد BrightAI في تطبيق اللائحة؟
منصة BrightAI تبني قدراتها التشغيلية لتتوافق مع متطلبات اللائحة التنفيذية:
- AI Audit Trail يولّد سجل أنشطة المعالجة (ROPA) تلقائياً لكل عملية معالجة في النظام، ويربط كل عملية بسجلات النشاط المنصوص عليها في اللائحة.
- AI Risk Classification يصنّف كل حالة استخدام AI ويحدد ما إذا كانت تتطلب DPIA، ويسرّع إعداد ملف التقييم.
- AI Evidence File يجمع كل أدلة الامتثال لـ PDPL في ملف منظم جاهز للمراجعة، بما يشمل سجل المعالجات وتقييمات الأثر وسجلات الإخطار.
- AI Firewall يطبق مبدأ الحد الأدنى من البيانات قبل إرسالها للنماذج الخارجية، ما يخفض بشكل مباشر مخاطر مخالفة المادة 19 من اللائحة.
لمزيد من التفاصيل، يمكن زيارة صفحة منصة الحوكمة أو طلب استشارة متخصصة.
ملخص تنفيذي
اللائحة التنفيذية لنظام PDPL السعودي هي الوثيقة التشغيلية التي تُترجم أحكام النظام إلى قواعد عمل يومية للمنشآت. أكثر المواد تأثيراً على المنشآت الحديثة هي: المادة 32 لتعيين DPO، المادة 17 لاختيار المعالجين، المادة 18 و19 لتحديد الغرض والحد الأدنى، وآلية الإبلاغ عن الاختراق خلال 72 ساعة.
على المنشآت التي تستخدم الذكاء الاصطناعي بناء منظومة امتثال تربط بين اللائحة ودورة حياة AI الفعلية، بحيث يكون كل استخدام لـ AI موثقاً بقاعدة نظامية واضحة، وكل معالجة موثقة في سجل، وكل خطر مقيَّم في DPIA، وكل اختراق مُبلغ عنه خلال المهلة النظامية. الاستثمار في هذه المنظومة اليوم يوفر على المنشأة تكاليف العقوبة وتداعيات السمعة لاحقاً.
أسئلة شائعة حول اللائحة التنفيذية
هل اللائحة التنفيذية ملزمة للمنشآت الخاصة الصغيرة؟
نعم، اللائحة ملزمة لكل المنشآت الخاضعة للنظام بصرف النظر عن حجمها. الفرق أن المنشآت الصغيرة قد لا تكون ملزمة بتعيين DPO إذا كانت أنشطتها لا تنطبق عليها حالات الإلزام الثلاث. لكن بقية الالتزامات (السجل، التقييم، الإخطار، الحقوق) تبقى واجبة.
هل الإخطار خلال 72 ساعة يشمل كل أنواع الاختراقات؟
الإخطار خلال 72 ساعة مطلوب إذا كان من شأن الحادثة الإضرار بالبيانات الشخصية أو صاحبها أو تتعارض مع حقوقه. الاختراقات البسيطة التي لا تؤثر فعلياً على أصحاب البيانات قد لا تستوجب الإخطار، لكن يجب توثيقها في سجل داخلي للجوء إليه عند الحاجة.
هل تعيين DPO خارجي يحقق متطلبات اللائحة؟
نعم، اللائحة والقواعد التنفيذية الصادرة عن سدايا تسمح بأن يكون DPO متعاقداً خارجياً. يجب توثيق التعاقد كتابياً، والإعلان عن التعيين داخل المنشأة، وتوفير بيانات التواصل للجهة المختصة وللأصحاب البيانات عبر سياسة الخصوصية.
ماذا لو لم تنشر الجهة المختصة قائمة بأنواع البيانات الحساسة؟
حتى بدون قائمة رسمية، اللائحة والمادة الأولى من النظام تعرف البيانات الحساسة بأنها البيانات التي تؤثر على الهوية بشكل أعمق (بيانات صحية، بيانات ائتمان، بيانات بيومترية، بيانات الأطفال، المعتقدات، السجلات الجنائية). على المنشأة تقييم حساسية البيانات في سياقها الخاص.
كيف تختلف اللائحة التنفيذية عن نظام PDPL الأساسي؟
النظام يحدد القواعد الكبرى والحقوق والالتزامات والعقوبات. اللائحة التنفيذية تشرح “كيف” تطبق هذه القواعد عملياً: ما الإجراءات، ما المدد، ما الشروط، ما الوثائق المطلوبة. اللائحة هي المرجع العملي للتفتيش اليومي.
روابط ذات صلة:
- الدليل الشامل لتطبيق PDPL مع الذكاء الاصطناعي — المرجع الكامل للمنشآت السعودية
- نظام حماية البيانات الشخصية: دليل الامتثال للمنشآت — دليل تطبيقي بخمس خطوات
- ضوابط الأمن السيبراني ومتطلباتها للشركات السعودية — ضوابط NCA ECC وعلاقتها بـ PDPL
- منصة BrightAI للحوكمة — المنظومة الكاملة للامتثال