Menu
احصل على عرض

    حماية البيانات الشخصية في السعودية و الإمارات

أصبحت حماية البيانات الشخصية في السعودية والإمارات من أهمّ الملفات القانونية التي تواجه الشركات والأفراد في الاقتصاد الرقمي. فمع التوسّع المتسارع في الخدمات الرقمية والتجارة الإلكترونية والتطبيقات الذكية، تحوّلت البيانات الشخصية إلى أصلٍ اقتصادي حقيقي — ولم يعد السؤال مقتصرًا على من يجمع البيانات، بل امتدّ إلى: كيف تُجمع؟ ولأي غرض تُستخدم؟ ومن يتحمّل المسؤولية القانونية عند تسريبها أو إساءة استخدامها؟

وقد استجابت كلٌّ من المملكة العربية السعودية ودولة الإمارات لهذا التحوّل بإصدار تشريعات متخصصة، في توجّهٍ خليجي واضح نحو تعزيز الثقة الرقمية، وحماية الأفراد، ورفع امتثال الشركات للمعايير الدولية. ويستعرض هذا الدليل الإطار القانوني في الدولتين، وحقوق الأفراد، والتزامات الشركات، والعقوبات، وخطوات الامتثال العملية.

جدول المحتويات

  • ما المقصود بحماية البيانات الشخصية؟
  • نظام حماية البيانات الشخصية في السعودية (PDPL)
  • قانون حماية البيانات الشخصية في الإمارات
  • مقارنة بين السعودية والإمارات واللائحة الأوروبية (GDPR)
  • الالتزامات العملية على الشركات
  • خطوات الامتثال خطوة بخطوة
  • الأسئلة الشائعة
  • رؤية قانونية متخصصة

ما المقصود بحماية البيانات الشخصية؟

حماية البيانات الشخصية هي منظومة القواعد القانونية التي تنظّم جمع بيانات الأفراد ومعالجتها وحفظها والإفصاح عنها ونقلها، بما يضمن عدم استخدامها خارج الأغراض المشروعة والمعلنة، ويحفظ حق الفرد في الخصوصية والتحكّم في بياناته. وتشمل “البيانات الشخصية” كل بيان يُعرّف الفرد أو يجعله قابلًا للتعريف (الاسم، الرقم الوطني، البريد، الموقع، المعرّفات الرقمية)، بينما تخضع “البيانات الحساسة” (كالبيانات الصحية والعقائدية والبيومترية) لحمايةٍ أشدّ.

نظام حماية البيانات الشخصية في السعودية (PDPL)

يُمثّل نظام حماية البيانات الشخصية السعودي خطوة تشريعية محورية في بناء إطارٍ متكامل لحماية الخصوصية الرقمية في المملكة.

الإطار التشريعي وتاريخ النفاذ

صدر النظام بالمرسوم الملكي رقم (م/19) لسنة 2021، ثم عُدّل في 2023. ودخل النظام ولائحته التنفيذية حيز التنفيذ في 14 سبتمبر 2023، مع منح الجهات فترة تصحيحية مدتها عام، ليبدأ الإنفاذ الكامل اعتبارًا من 14 سبتمبر 2024.

الجهة المشرفة (سدايا)

تتولّى الإشراف على تطبيق النظام الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا – SDAIA)، ولها صلاحيات الرقابة والتحقيق وفرض الغرامات، مع إمكانية انتقال الإشراف لاحقًا إلى المكتب الوطني لإدارة البيانات.

حقوق صاحب البيانات

يمنح النظام الفرد حزمةً من الحقوق الأساسية:

  • حق العلم بالأساس القانوني لجمع بياناته والغرض منه.
  • حق الوصول إلى بياناته والحصول على نسخة منها.
  • حق التصحيح للبيانات غير الدقيقة.
  • حق المحو/الإتلاف متى توافرت الحالات النظامية.
  • اشتراط الموافقة الصريحة قبل المعالجة، إذ لم تعد الموافقة الضمنية كافية.

التزامات الجهات المتحكمة والمعالِجة

يفرض النظام التزاماتٍ مؤسسية تشمل تبنّي سياسات خصوصية واضحة، وتأمين البيانات ضد الوصول غير المشروع، ووضع آليات للتعامل مع طلبات الأفراد، والإبلاغ عن حوادث التسريب، والتسجيل في السجل الوطني للجهات المتحكمة، والالتزام بالشروط التعاقدية النموذجية عند نقل البيانات خارج المملكة.

العقوبات والغرامات

  • نشر أو إفصاح البيانات الحساسة بقصد الإضرار أو تحقيق منفعة: السجن حتى سنتين و/أو غرامة حتى 3 ملايين ريال.
  • المخالفات الأخرى: إنذار أو غرامة حتى 5 ملايين ريال، وتُضاعف عند التكرار.
  • مخالفة قواعد النقل خارج المملكة: حتى سنة و/أو غرامة حتى مليون ريال.

قانون حماية البيانات الشخصية في الإمارات

اعتمدت دولة الإمارات إطارًا اتحاديًا متكاملًا لحماية البيانات ضمن توجّهها نحو بيئة رقمية آمنة متوافقة مع أفضل الممارسات الدولية.

الإطار التشريعي

صدر المرسوم بقانون اتحادي رقم (45) لسنة 2021 بشأن حماية البيانات الشخصية في سبتمبر 2021، ودخل حيز النفاذ اعتبارًا من 2 يناير 2022. ويتميّز بنطاقٍ واسع يمتدّ إلى الجهات التي تعالج بيانات أفرادٍ داخل الدولة ولو كانت موجودة خارجها.

الجهة المشرفة (مكتب الإمارات للبيانات)

الجهة المختصة هي مكتب الإمارات للبيانات، المُنشأ بالمرسوم بقانون اتحادي رقم (44) لسنة 2021، ويتبع وزارة شؤون مجلس الوزراء.

ملاحظة جوهرية: اللائحة التنفيذية لا تزال منتظرة

من أهمّ ما يجب أن تعرفه الشركات: حتى الآن لم تصدر اللائحة التنفيذية للقانون، ولم يبدأ مكتب الإمارات للبيانات عمله بشكلٍ كامل، ما يعني أن الإنفاذ الفعلي والعقوبات لا يزالان في حكم المعلّق عمليًا بانتظار صدور اللائحة التي ستحدّد الإجراءات والضوابط والغرامات. ولا يُعدّ ذلك مبررًا للتأخّر، بل فرصةً للاستعداد المبكر قبل بدء الإنفاذ.

المبادئ والحقوق

يرتكز القانون على مبادئ الشفافية، وتحديد الغرض، وتقليل البيانات، والدقة، والأمن والسرية. ويمنح الأفراد حق الوصول والتصحيح ووقف المعالجة والاعتراض على القرارات الآلية. كما يبرز التزام بعض الجهات بتعيين مسؤول حماية البيانات (DPO)، ومفهوم تقييم أثر حماية البيانات قبل المشروعات عالية المخاطر.

تنبيه المناطق الحرة المالية

تتمتع المراكز المالية الحرة — مركز دبي المالي العالمي (DIFC) وسوق أبوظبي العالمي (ADGM) — بأنظمة حماية بياناتٍ مستقلة خاصة بها، فتخضع الجهات العاملة داخلها لتلك الأنظمة لا للقانون الاتحادي.

مقارنة بين السعودية والإمارات واللائحة الأوروبية (GDPR)

تظلّ اللائحة الأوروبية العامة لحماية البيانات (GDPR) المرجع الأبرز عالميًا من حيث التفصيل وصرامة الغرامات ونضج الإنفاذ. وتتقاطع التشريعات الخليجية معها في المبادئ الجوهرية، مع فروقٍ عملية في الغرامات وآليات النقل عبر الحدود ونضج الجهات الرقابية:

المحورالسعودية (PDPL)الإمارات (PDPL)الاتحاد الأوروبي (GDPR)
التشريعمرسوم ملكي م/19 لسنة 2021مرسوم بقانون 45 لسنة 2021لائحة 2016/679
النفاذ الكامل14 سبتمبر 2024معلّق بانتظار اللائحة التنفيذية25 مايو 2018
الجهة المشرفةسدايا (SDAIA)مكتب الإمارات للبياناتالسلطات الوطنية للإشراف
الموافقة الصريحةمطلوبةمطلوبةمطلوبة
سقف الغراماتحتى 5 ملايين ريال (تُضاعف)يُحدَّد باللائحة التنفيذيةحتى 20 مليون يورو أو 4% من الإيراد العالمي
النطاق خارج الحدودنعمنعمنعم

تنبيه: الأرقام والتواريخ دقيقة وفق أحدث المتاح حتى تاريخ الإعداد، ويُنصح بمراجعة المصادر الرسمية قبل بناء قرار قانوني عليها.

الالتزامات العملية على الشركات

لم يعد الامتثال لقوانين حماية البيانات مجرد سياسةٍ منشورة على الموقع، بل التزامٌ قانوني وتشغيلي. وعلى الشركات العاملة في السعودية والإمارات:

  • مراجعة سياسات الخصوصية وتحديثها لتتوافق مع المتطلبات.
  • حصر أنواع البيانات المجمَّعة والغرض منها والأساس القانوني للمعالجة.
  • إنشاء آلية فعّالة للرد على طلبات الاطلاع والتصحيح والحذف.
  • وضع خطة استجابة لحوادث الاختراق والإبلاغ ضمن المهل المقررة.
  • تعيين مسؤول حماية بيانات (DPO) حيثما يلزم.
  • ضبط نقل البيانات عبر الحدود وفق الشروط النظامية.

وتزداد أهمية ذلك في قطاعات التجارة الإلكترونية، والتقنية المالية، والرعاية الصحية، والتعليم الرقمي، والتسويق الإلكتروني، والموارد البشرية، لاعتمادها المباشر على معالجة البيانات الشخصية.

خطوات الامتثال خطوة بخطوة

  1. الحصر (Data Mapping): تحديد ما تجمعه من بيانات وأين تُخزَّن ومع من تُشارَك.
  2. الأساس القانوني: التأكد من وجود سندٍ مشروع لكل معالجة (الموافقة أو غيرها).
  3. تحديث السياسات والعقود: سياسة خصوصية واضحة وملاحق حماية بيانات مع الموردين.
  4. آليات حقوق الأفراد: قناة لتلقّي طلبات الوصول والتصحيح والحذف والرد عليها.
  5. الأمن والاستجابة: ضوابط تقنية وخطة للإبلاغ عن الاختراق.
  6. الحوكمة: تعيين DPO عند اللزوم، وتدريب الموظفين، وتوثيق الالتزام.

الأسئلة الشائعة

ما الفرق بين نظام حماية البيانات السعودي والقانون الإماراتي؟ النظام السعودي (PDPL) دخل الإنفاذ الكامل في 14 سبتمبر 2024 وتشرف عليه سدايا بغراماتٍ محددة، بينما القانون الإماراتي (المرسوم 45 لسنة 2021) نافذ من حيث المبدأ لكن لائحته التنفيذية لم تصدر بعد ومكتب البيانات لم يبدأ عمله بالكامل، فيبقى إنفاذه معلّقًا عمليًا.

هل يسري القانون على شركة خارج السعودية أو الإمارات؟ نعم. النظامان يمتدّان خارج الحدود ليشملا أي جهة تعالج بيانات أفرادٍ داخل الدولة بصرف النظر عن موقعها الجغرافي.

ما عقوبة مخالفة نظام حماية البيانات في السعودية؟ تصل الغرامة إلى 5 ملايين ريال للمخالفات العامة (وتُضاعف عند التكرار)، بينما يصل نشر البيانات الحساسة بقصد الإضرار إلى السجن سنتين و/أو غرامة 3 ملايين ريال.

هل الموافقة الضمنية كافية لجمع البيانات؟ لا. يشترط النظام السعودي — وكذلك القانون الإماراتي كقاعدة — الحصول على موافقةٍ صريحة ومحددة قبل المعالجة.

متى يجب تعيين مسؤول حماية البيانات (DPO)؟ عند مزاولة معالجةٍ منتظمة أو واسعة النطاق للبيانات الشخصية أو الحساسة، أو متى اشترط القانون أو لائحته ذلك.

ماذا يجب أن تفعل الشركات الآن؟ البدء فورًا في حصر البيانات، وتحديث سياسات الخصوصية والعقود، وبناء آليات حقوق الأفراد وخطة الاستجابة للاختراق — فالاستعداد المبكر أقل كلفة بكثير من التصحيح بعد الإنفاذ.

رؤية قانونية متخصصة

لم تعد حماية البيانات الشخصية مسألة تقنية فحسب، بل مسألة قانونية وتجارية تمسّ سمعة الشركة وثقة عملائها واستمرارية أعمالها. فالشركة التي تتعامل مع بيانات الأفراد دون إطار امتثالٍ واضح تراكم مخاطر تنظيمية وتعاقدية وسمعة قد تكون باهظة، بينما يتنازل الفرد الذي يجهل حقوقه الرقمية عن بياناتٍ بالغة القيمة دون مقابل.

ولهذا فإن الامتثال الفعّال لقوانين حماية البيانات في السعودية والإمارات يستلزم فريقًا قانونيًا يجمع بين القانون الرقمي وقواعد الخصوصية وأطر الامتثال المؤسسي، يصوغ السياسات، ويراجع العقود، ويضع ضوابط تضمن أن معالجة البيانات تتم وفق القانون لا وفق العادة. ففي الاقتصاد الرقمي، أصبحت البيانات الشخصية أصلًا حقيقيًا يستحق حمايةً قانونية حقيقية.

هل تحتاج إلى مراجعة امتثال شركتك لقوانين حماية البيانات في السعودية والإمارات؟ فريق MAG القانوني جاهز لمساعدتك في بناء منظومة امتثالٍ متكاملة — تواصل معنا اليوم.

تنبيه: هذا المحتوى ذو طابع تثقيفي عام ولا يُغني عن الاستشارة القانونية المتخصصة، ويُنصح بمراجعة المصادر الرسمية وآخر التعديلات قبل اتخاذ أي قرار قانوني.

    اترك تعليقاً

    لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

    Menu
    Open chat
    Powered by Joinchat
    Hello
    Can we help you?
    Call Now Button