نظام حماية البيانات الشخصية السعودي 2026: ملف التوثيق الذي تطلبه سدايا في 48 قضية تنفيذية

الملفات الـ48: ما نعرفه عن نمط تنفيذ سدايا في أول 16 شهراً

دخل نظام حماية البيانات الشخصية السعودي (PDPL) حيز التنفيذ الكامل في 14 سبتمبر 2024، بموجب المرسوم الملكي رقم م/19، المعدل لاحقاً بالمرسوم الملكي رقم م/148. حتى منتصف يناير 2026، أصدرت الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) 48 قراراً تنفيذياً علنياً. هذه الأرقام تُنشر في النشرات الفصلية للهيئة، وتعطي صورة واضحة عن أولويات الرقابة في أول 16 شهراً من التنفيذ.

التحليل الأولي يظهر ثلاثة أنماط متكررة. النمط الأول: 23 قراراً يتعلق بشكاوى أفراد حول استخدام بياناتهم في حملات تسويقية بدون موافقة صريحة. النمط الثاني: 14 قراراً يتعلق بنقل بيانات خارج المملكة بدون استيفاء شروط لائحة نقل البيانات الشخصية إلى خارج المملكة (الصادرة سبتمبر 2024). النمط الثالث: 11 قراراً يتعلق بخروقات أمنية لم يتم الإبلاغ عنها لسدايا في خلال 72 ساعة من اكتشافها.

في كل من هذه الأنماط، الوثائق الداخلية للشركة المخالفة كانت العامل الحاسم. حيث وُجد سجل معالجة محدث، تخفض الغرامة بنسبة 30 إلى 50 بالمئة. حيث غاب السجل، تطبق الغرامة الكاملة.

تشريح المادة 36: كيف تصبح الشكوى استدعاء لجنة في 30 يوماً

المادة 36 من نظام حماية البيانات الشخصية تُنشئ لجان التنفيذ المتخصصة. عند ورود شكوى مكتوبة من فرد أو من جهة رقابية أخرى، تتبع الإجراءات الآتية:

1. اليوم 1: تسجيل الشكوى في نظام سدايا الإلكتروني، إصدار رقم مرجعي
2. اليوم 2 إلى 7: فحص أولي لمدى توفر الاختصاص ومدى استيفاء شروط الشكل
3. اليوم 8 إلى 14: إرسال استفسار رسمي لمراقب البيانات المعني، يطلب فيه تزويد الوثائق ذات الصلة
4. اليوم 15 إلى 21: مهلة الرد المحددة بـ 7 أيام عمل، قابلة للتمديد مرة واحدة بطلب مبرر
5. اليوم 22 إلى 28: مراجعة الردود والوثائق المقدمة من قبل لجنة فنية مختصة
6. اليوم 29 و30: تشكيل لجنة المادة 36 بقرار من رئيس سدايا، وتوجيه استدعاء رسمي لممثل المؤسسة

هذا التتابع يعني أن المؤسسة لديها بين 7 و14 يوماً فقط لتجميع وتقديم وثائقها بعد إخطارها بوجود شكوى. أي مؤسسة تحتاج إلى أكثر من ذلك لاستخراج وثائقها من أنظمتها الداخلية هي مؤسسة في موقف ضعيف من البداية.

الوثائق السبع التي تطلبها سدايا أولاً

تحليل الـ48 قراراً يبين أن استفسارات سدايا تبدأ تقريباً بنفس قائمة الوثائق. سبع وثائق هي العمود الفقري لأي رد فعّال:

1. سجل أنشطة المعالجة (Record of Processing Activities, RoPA) المحدد في المادة 32 من اللائحة التنفيذية. يجب أن يحتوي على جميع أغراض المعالجة، فئات البيانات، فئات أصحاب البيانات، المستلمين، فترات الاحتفاظ، والإجراءات الأمنية
2. تقييم أثر حماية البيانات (Data Protection Impact Assessment, DPIA) لأي عملية معالجة ذات مخاطر عالية، خاصة عند معالجة بيانات حساسة أو استخدام تقنيات جديدة
3. سجل الموافقات (Consent Register) يبين كيف ومتى حُصل على موافقة كل صاحب بيانات، مع طوابع زمنية إلكترونية
4. سجل الخروقات الأمنية (Breach Log) يوثق جميع الحوادث الأمنية بغض النظر عن خطورتها، مع وقت الاكتشاف ووقت الإبلاغ لسدايا
5. تقييم أثر نقل البيانات (Transfer Impact Assessment, TIA) لأي نقل خارج المملكة، يبين كيف توفر الجهة المستقبلة حماية مكافئة
6. قرار تعيين مسؤول حماية البيانات (Data Protection Officer, DPO) إذا كان مطلوباً بحسب نوع المؤسسة، مع وصف وظيفي ووسائل الاتصال
7. جدول الاحتفاظ بالبيانات (Retention Schedule) يحدد فترة الاحتفاظ بكل فئة من فئات البيانات وآلية الحذف الآمن

تقديم هذه الوثائق السبعة بشكل منظم وموثق يضع المؤسسة في موقف تفاوضي قوي. غياب أي منها يُعتبر دليلاً على عدم استيفاء المتطلبات الأساسية للنظام.

حساب غرامة الـ5 ملايين ريال: من غياب التوثيق إلى التوثيق الجزئي

الحد الأقصى للغرامة هو 5 ملايين ريال سعودي لكل مخالفة، يتضاعف إلى 10 ملايين ريال للمخالفة المتكررة. للمخالفات المتعلقة بالكشف غير المشروع للبيانات الحساسة، تُضاف عقوبة السجن حتى سنتين وغرامة مالية حتى 3 ملايين ريال (المادة 35).

طريقة حساب الغرامة الفعلية تختلف بحسب وضع التوثيق:

• غياب كامل للوثائق: غرامة قصوى أو قريبة منها، مع نشر اسم المؤسسة في النشرة الفصلية لسدايا
• توثيق جزئي مع فجوات: غرامة بين 30 و60 بالمئة من الحد الأقصى، مع التزام بخطة تصحيحية محددة الأجل
• توثيق كامل مع خطأ تشغيلي محدود: غرامة بين 10 و25 بالمئة من الحد الأقصى، مع اعتبار خفّف
• توثيق كامل مع إثبات اتخاذ إجراءات تصحيحية فورية: تنبيه أو غرامة رمزية

الفارق العملي بين مؤسسة بدون توثيق ومؤسسة بتوثيق كامل في الحالة نفسها يمكن أن يصل إلى 4 ملايين ريال. هذا الفارق وحده يبرر استثمار سنوي في نظام إدارة الوثائق.

فخ النقل عبر الحدود: العقود النموذجية، القواعد الملزمة، وقائمة الكفاية المفقودة

لائحة نقل البيانات الشخصية إلى خارج المملكة (الصادرة سبتمبر 2024) تتطلب توفر إحدى الآليات التالية لأي نقل دولي:

1. العقود النموذجية (Standard Contractual Clauses, SCCs) بحسب النموذج الذي تصدره سدايا
2. القواعد الملزمة للشركة (Binding Corporate Rules, BCRs) للمجموعات متعددة الجنسيات
3. الموافقة الصريحة المسبقة من صاحب البيانات بعد إبلاغه بالمخاطر
4. الضرورة لأغراض محددة منصوص عليها في النظام (تنفيذ عقد، حماية مصالح حيوية، إلخ)

الفخ الرئيسي هو غياب قائمة الكفاية. على عكس الاتحاد الأوروبي الذي ينشر قائمة بالدول التي تتمتع بمستوى حماية كافٍ، لم تنشر سدايا قائمة كفاية بعد. هذا يعني أن أي نقل، حتى إلى دول الاتحاد الأوروبي ذاتها، يتطلب توقيع عقود نموذجية أو وضع قواعد ملزمة. مؤسسات كثيرة افترضت أن النقل إلى أوروبا "آمن" بحكم التماثل، واكتشفت في التفتيش أن سدايا تطبق متطلب التوثيق الصارم بدون استثناء.

كومة وثائق نظام حماية البيانات السعودي: كيف يندمج أرشيف المؤسسة في سلسلة الأدلة

المؤسسة المستعدة للتفتيش تنظم وثائقها في أربع طبقات متسلسلة:

الطبقة الأولى: السياسات والإجراءات المعتمدة من مجلس الإدارة، بتواريخ ومراجعات سنوية. هذه طبقة عالية المستوى تجيب على سؤال "ما هي قواعد المؤسسة".

الطبقة الثانية: الأدوات التشغيلية مثل سجل المعالجة، تقييمات الأثر، جدول الاحتفاظ. هذه طبقة متوسطة تجيب على سؤال "كيف تطبق القواعد عملياً".

الطبقة الثالثة: السجلات الجارية مثل سجلات الموافقات، طلبات أصحاب البيانات، سجلات الخروقات الأمنية. هذه طبقة عملياتية يومية تجيب على سؤال "ماذا حدث بالفعل".

الطبقة الرابعة: الأدلة القانونية مثل العقود النموذجية للنقل عبر الحدود، اتفاقيات معالجة البيانات مع المقاولين الفرعيين، إثباتات تدريب الموظفين. هذه طبقة تكميلية تجيب على سؤال "ما الذي يدعم الالتزام أمام طرف ثالث".

كل طبقة يجب أن تكون قابلة للبحث، محفوظة بأمان مشفر بحد أدنى AES-256، وقابلة للاستخراج بنسخة معتمدة في خلال ساعات من طلب سدايا. الاستجابة الناجحة لاستفسار سدايا في 7 أيام عمل تبدأ بنية تنظيمية للوثائق وضعت قبل وصول الاستفسار، وليس بعده.