---

 حين يصبح جمع البيانات مسؤولية قانونية
هل تعلم أن كثيراً من تطبيقات الهواتف تجمع بيانات المستخدمين أو تشاركها مع أطراف خارجية دون الحصول على موافقة صريحة بالشكل الذي تتطلبه تشريعات حماية البيانات؟

في عالم تتسابق فيه الشركات الناشئة على بناء تطبيقات الجوال، يقع المطورون في فخٍّ خطير: التركيز على الميزات والتصميم، وإهمال الإطار القانوني الذي يحكم التعامل مع بيانات المستخدمين.
منذ إصدار المملكة العربية السعودية لنظام حماية البيانات الشخصية (PDPL) عام 2021 ودخوله حيز التنفيذ الكامل في 2023، تحوّل جمع البيانات من مجرد قرار تقني إلى التزام قانوني بعواقب وخيمة. تطبيقك — سواء كان منصة تجارة إلكترونية أو تطبيق صحة أو خدمة توصيل — يجمع بيانات حساسة في كل لحظة، وكل خطأ في التعامل معها قد يكلفك غرامات تصل إلى 5 ملايين ريال أو إيقاف النشاط كليًا.
في هذا المقال ستجد دليلاً قانونياً وعملياً مفصّلاً يشرح ما يستوجبه عليك نظام PDPL السعودي بالتحديد: من شروط الموافقة وحقوق المستخدمين، إلى قواعد نقل البيانات خارج المملكة وآليات الإفصاح عن الاختراقات — كل ذلك مع خارطة طريق قابلة للتطبيق الفوري في مشروعك.

١. نظرة عامة على نظام PDPL: ما الذي تغيّر فعلًا؟
نظام حماية البيانات الشخصية (PDPL) هو المنظومة التشريعية الأشمل التي أصدرتها المملكة العربية السعودية لتنظيم جمع البيانات الشخصية ومعالجتها، وقد صدر بموجب المرسوم الملكي رقم م/19 بتاريخ 9 محرم 1443هـ (الموافق 17 أغسطس 2021م). يتولى تطبيق هذا النظام الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا).
قبل هذا النظام، كان جمع البيانات يسير في فراغ تنظيمي شبه كامل — المطورون يضيفون أذونات جمع البيانات في ملفات التطبيق دون قيود فعلية. اليوم، تغيّرت المعادلة بالكامل:
• البيانات الشخصية أصبحت ملكًا للمستخدم، وليس للمنصة أو الشركة.
• المعالجة دون موافقة صريحة تُعدّ انتهاكاً قانونياً، لا مجرد ممارسة سيئة.
• المسؤولية تقع على الجهة المعالجة للبيانات بغض النظر عن موقعها الجغرافي، ما دامت تعالج بيانات مواطنين سعوديين.
• التزامات الإفصاح عن الاختراقات باتت محددة بإطار زمني صارم.

والأهم من ذلك أن النظام لا يميّز بين الشركات الكبرى والمطور الفردي — طالما أن تطبيقك يجمع بيانات مستخدمين سعوديين، فأنت مُلزَم بالامتثال كاملاً.

٢. شروط الموافقة: ركيزة نظام PDPL الأولى
٢.١ ما المقصود بالموافقة المُستنيرة؟
تشترط المادة السابعة من نظام PDPL أن تكون الموافقة على جمع البيانات صريحةً، مُستنيرةً، وقابلةً للسحب في أي وقت. هذا يعني أنه لا يكفي أن يضغط المستخدم على زر “موافق” في صفحة الشروط والأحكام الطويلة. المطلوب هو:
• إخبار المستخدم بوضوح: ما البيانات التي تجمعها؟
• لماذا تجمعها؟ (الغرض المحدد من المعالجة)
• من سيطلع عليها؟ (الأطراف الثالثة إن وُجدت)
• كم من الوقت ستحتفظ بها؟
• كيف يمكنه سحب موافقته لاحقاً؟

كثير من المطورين السعوديين يقعون في فخ “الموافقة الضمنية” — أي افتراض أن استخدام المستخدم للتطبيق يُعادل الموافقة على جمع بياناته. هذا الافتراض خاطئ قانونيًا ومكلف عملياً.

٢.٢ البيانات الحساسة: حماية تتطلب عناية أكبر

تشمل البيانات الحساسة المعلومات الصحية، والبيانات البيومترية، والمعتقدات الدينية، والسجلات الجنائية، وغيرها من الفئات التي يمنحها النظام حماية خاصة. وإذا كان تطبيقك يتعامل مع هذا النوع من البيانات، فينبغي اتخاذ إجراءات إضافية، من أبرزها:

• الحصول على موافقة صريحة من صاحب البيانات متى كان ذلك مطلوبًا نظامًا.
• تقييم مخاطر معالجة البيانات، وإجراء تحليل لأثر حماية البيانات عند الحاجة.
• تطبيق ضوابط أمنية متقدمة، مثل تشفير البيانات أثناء النقل والتخزين، وتقييد صلاحيات الوصول، والاحتفاظ بسجلات التدقيق.
• جمع الحد الأدنى من البيانات اللازمة فقط، وعدم الاحتفاظ بها لمدة أطول من الحاجة.

3. حقوق أصحاب البيانات الشخصية التي ينبغي أن يدعمها تطبيقك

يمنح نظام حماية البيانات الشخصية السعودي (PDPL) أصحاب البيانات مجموعة من الحقوق التي تهدف إلى تعزيز الشفافية وتمكينهم من التحكم في بياناتهم الشخصية. ولا يقتصر دور المطور على الامتثال للنظام من الناحية القانونية، بل يمتد إلى تصميم التطبيق بطريقة تُمكّن المستخدم من ممارسة هذه الحقوق بسهولة وأمان.

3.1 الحق في الوصول إلى البيانات

يحق لصاحب البيانات طلب الاطلاع على بياناته الشخصية التي يحتفظ بها التطبيق، والحصول على نسخة منها وفق الضوابط التي يحددها النظام. لذلك يُستحسن أن يوفر التطبيق وسيلة سهلة لعرض البيانات الشخصية أو طلب نسخة منها، مثل خيار “تنزيل بياناتي” أو “طلب نسخة من بياناتي” ضمن إعدادات الحساب.

3.2 الحق في تصحيح البيانات وإتلافها

إذا كانت البيانات الشخصية غير دقيقة أو غير مكتملة، فيحق لصاحبها طلب تصحيحها أو تحديثها. كما يجوز له طلب إتلاف بياناته في الحالات التي يجيزها النظام، ما لم توجد متطلبات نظامية أو تعاقدية تستوجب الاحتفاظ بها.

ولتحقيق ذلك، ينبغي أن يدعم التطبيق:

• تمكين المستخدم من تحديث بياناته أو طلب تصحيحها.
• توفير آلية واضحة لطلب حذف الحساب أو إتلاف البيانات عند انطباق الشروط النظامية.
• إزالة البيانات من الأنظمة التشغيلية وفق سياسات الاحتفاظ المعتمدة.
• توثيق عمليات الحذف أو الإتلاف لأغراض الامتثال والمراجعة.

3.3 الحق في سحب الموافقة والاعتراض في الحالات التي يجيزها النظام

إذا كانت معالجة البيانات تعتمد على موافقة صاحب البيانات، فيجب أن يتمكن من سحب هذه الموافقة بسهولة، دون أن يكون ذلك أكثر تعقيدًا من منحها.

كما قد يكون لصاحب البيانات الحق في الاعتراض على بعض أنواع المعالجة أو طلب مراجعتها عندما ينص النظام على ذلك أو عندما تؤثر المعالجة الآلية في حقوقه أو مصالحه بصورة جوهرية. ولهذا يُنصح بأن يتيح التطبيق وسائل واضحة للتواصل مع مسؤول حماية البيانات أو فريق الدعم لمعالجة هذه الطلبات وفق الأنظمة المعمول بها.

٤. جدول الالتزامات: خارطة مرجعية لمطوري التطبيقات

الجدول التالي يلخّص أبرز الالتزامات القانونية التي يفرضها نظام PDPL، مع الأثر العملي على فريق التطوير والعقوبة المقررة عند المخالفة:

الفئة	الالتزام بموجب نظام PDPL	الأثر العملي على المطور	العقوبة عند المخالفة
جمع البيانات	الحصول على موافقة صريحة ومُستنيرة	إضافة نافذة موافقة واضحة قبل جمع أي بيانات	غرامة تصل إلى 5 ملايين ريال
نقل البيانات خارج المملكة	الحصول على موافقة الهيئة أو ضمان مستوى حماية مكافئ	مراجعة عقود الاستضافة السحابية الدولية	غرامة + وقف النشاط
حقوق المستخدم	تمكين المستخدم من الوصول والتعديل والحذف	بناء واجهة إدارة البيانات الشخصية	دعاوى قضائية من المستخدمين
الإفصاح عن الاختراق	الإبلاغ خلال 72 ساعة من اكتشاف الاختراق	وضع خطة استجابة للحوادث الأمنية	غرامة + مسؤولية مدنية
تعيين مسؤول البيانات	إلزامي للمنظمات ذات الحجم الكبير أو البيانات الحساسة	توثيق دور DPO في هيكل الشركة	مخالفة إدارية وتنظيمية

يقول المستشار القانوني الدكتور فيصل الحربي، المتخصص في قانون التكنولوجيا والخصوصية بالمملكة العربية السعودية: “الخطأ الأكثر شيوعًا الذي أراه عند مراجعة الشركات الناشئة هو معاملة الامتثال لنظام PDPL كخطوة تأتي بعد الإطلاق — في حين يجب أن تكون جزءًا من هندسة التطبيق منذ اليوم الأول.”

٥. نقل البيانات خارج المملكة العربية السعودية
نقل البيانات الشخصية لمستخدمين سعوديين إلى خوادم خارج المملكة — سواء كانت AWS في أيرلندا أو Google Cloud في سنغافورة — يخضع لقيود صارمة بموجب المادة التاسعة من نظام PDPL.
القاعدة الذهبية هنا: النقل مسموح به فقط إذا كانت الدولة المستقبِلة تُوفّر مستوى حماية مكافئًا، أو بعد الحصول على موافقة هيئة سدايا المسبقة. الإخفاق في هذا الشرط يُعدّ من أشد المخالفات التي رصدتها الهيئة حتى الآن.
٥.١ الخيارات المتاحة أمام المطورين
• استخدام مناطق سحابية محلية (AWS Riyadh Region, Google Cloud KSA): الخيار الأبسط والأكثر أمانًا.
• توقيع “الشروط التعاقدية النموذجية” مع مزود الخدمة السحابية لضمان مستوى الحماية المطلوب.
• تقديم طلب استثناء مبرر إلى هيئة سدايا قبل النقل.

وفق تقرير صادر عن المنتدى الاقتصادي العالمي، تُصنَّف المملكة العربية السعودية ضمن أسرع الاقتصادات في العالم تبنّيًا لأُطر حماية البيانات الإقليمية، مما يجعل الامتثال المبكر ميزةً تنافسية لا عبئًا.

٦. الإفصاح عن اختراقات البيانات: 72 ساعة التي قد تُنقذك
قاعدة الـ 72 ساعة — المستوحاة من اللائحة الأوروبية GDPR — باتت جزءًا من المنظومة السعودية: إذا اكتشفت اختراقًا أمنيًا يمسّ بيانات المستخدمين، فأنت ملزَم بالإبلاغ عنه لهيئة سدايا خلال 72 ساعة من اكتشافه.
ليس هذا مجرد تنبيه — إنه التزام ورقابة فعلية. وفي حال مسّ الاختراق بيانات حساسة أو عدداً كبيراً من المستخدمين، يجب أيضًا إخطار المستخدمين المتأثرين مباشرةً دون تأخير غير مبرر.
٦.١ خطة الاستجابة للحوادث: ما يجب أن يمتلكه كل تطبيق
• آلية اكتشاف الاختراقات: أدوات مراقبة لوغات النظام وتنبيهات تلقائية.
• فريق استجابة محدد: من يُبلّغ؟ ومن يُقرر؟ ومن يتواصل مع سدايا؟
• قوالب إشعار جاهزة: رسائل إخطار للمستخدمين ونماذج تبليغ رسمية.
• توثيق مفصّل لكل خطوة خلال فترة الاختراق لأغراض الامتثال القانوني.

7. مسؤول حماية البيانات ومتطلبات التوثيق

يُعد مسؤول حماية البيانات (Data Protection Officer – DPO) أحد العناصر المهمة في حوكمة البيانات داخل المؤسسات، وتتمثل مهمته في الإشراف على الامتثال لنظام حماية البيانات الشخصية (PDPL)، ومتابعة تطبيق السياسات والإجراءات المتعلقة بحماية البيانات، وتقديم المشورة للإدارة بشأن الالتزامات النظامية.

وتحدد اللائحة التنفيذية لنظام حماية البيانات الشخصية الحالات التي يجب فيها تعيين مسؤول حماية بيانات، وذلك وفق طبيعة أنشطة الجهة، وحجم عمليات معالجة البيانات، ومستوى المخاطر المرتبطة بها. لذلك ينبغي على كل مؤسسة تقييم التزاماتها النظامية للتأكد مما إذا كان تعيين هذا المسؤول مطلوبًا في حالتها.

وحتى إذا لم يكن تعيين مسؤول حماية البيانات إلزاميًا، فمن الممارسات المهمة الاحتفاظ بسجل منظم لأنشطة معالجة البيانات الشخصية وتوثيق السياسات والإجراءات المتعلقة بحماية البيانات، لما لذلك من دور في تعزيز الامتثال وإثبات الالتزام عند الحاجة.

7.1 الوثائق الأساسية للامتثال

ينبغي أن تحتفظ الجهة التي تطور أو تدير تطبيقًا يعالج البيانات الشخصية بمجموعة من الوثائق الأساسية، من أهمها:

• سياسة الخصوصية: توضح للمستخدمين أنواع البيانات التي يتم جمعها، وأغراض معالجتها، وحقوقهم، ووسائل التواصل، على أن تكون مكتوبة بلغة واضحة ومتاحة داخل التطبيق.
• سجل أنشطة معالجة البيانات الشخصية (Record of Processing Activities – ROPA): يتضمن أنواع البيانات التي تتم معالجتها، وأغراض المعالجة، وفئات أصحاب البيانات، وفترات الاحتفاظ، وأي جهات يتم مشاركة البيانات معها عند الاقتضاء.
• اتفاقيات معالجة البيانات مع الأطراف الخارجية: عند الاستعانة بمزودي خدمات مثل الاستضافة السحابية، أو خدمات التحليلات، أو الإشعارات، أو غيرها من الجهات التي تعالج البيانات نيابة عن المؤسسة.
• تقييمات المخاطر أو تقييم أثر حماية البيانات: عند الحاجة أو عندما تقتضي طبيعة المعالجة ذلك، خاصة في الأنشطة التي تنطوي على مخاطر مرتفعة على حقوق أصحاب البيانات.

 

 الامتثال ليس تكلفة — إنه ميزة تنافسية
في سوق تطبيقات الجوال السعودي الذي تجاوزت إيراداته 2.4 مليار دولار عام 2023، ثقة المستخدم هي العملة الأصعب اكتسابًا. نظام PDPL لم يأتِ ليُعقّد حياة المطورين — بل جاء ليُعيد رسم العلاقة بين التطبيق ومستخدمه على أساس من الشفافية والاحترام المتبادل.
الأرقام واضحة: 5 ملايين ريال غرامة قصوى، وإيقاف محتمل للنشاط، وخسارة ثقة لا يُعوَّض عنها. لكن المطورين الذين يعاملون الامتثال كميزة وليس عبئًا يكسبون ثلاثة أشياء دفعةً واحدة: حماية قانونية، وثقة مستخدم، وتميّزًا تسويقيًا في سوق لا يزال كثير منافسيه يتجاهل هذه الالتزامات.

🎯 إجراءك الأول اليوم: افتح تطبيقك الآن وأجب على هذه الأسئلة الثلاثة: هل تحصل على موافقة صريحة قبل جمع أي بيانات؟ هل يستطيع المستخدم حذف حسابه وبياناته بضغطة زر؟ هل تعرف أين تُخزَّن بيانات مستخدميك بالضبط؟ إذا كانت إحدى الإجابات “لا” — فابدأ بها قبل الميزة القادمة.