١٨ يونيو ٢٠٢٦
إنفاذ نظام حماية البيانات الشخصية أصبح فعّالاً: ماذا يعني لأنظمة CRM والموارد البشرية وأدوات AI لديك
انتهت الفترة الانتقالية. الموافقة التسويقية وسجلات الموظفين والبيانات المرسلة إلى أدوات AI أصبحت مخاطر امتثال حقيقية، لا أوراقاً مؤجلة.
أبرز النقاط
أصدرت سدايا 48 قراراً بمخالفة نظام حماية البيانات الشخصية خلال العام الماضي، وكان إرسال الرسائل التسويقية دون موافقة من أكثر المخالفات شيوعاً. هذا ما يجب على المشغلين معالجته في برمجياتهم.
انتقل نظام حماية البيانات الشخصية (PDPL) في السعودية من فترة انتقالية إلى إنفاذ فعلي. أصدرت اللجان المختصة في سدايا 48 قراراً خلال العام الماضي بحق منشآت خالفت النظام، وكان من أكثر المخالفات شيوعاً إرسال رسائل تسويقية دون موافقة. إذا كنت تشغّل نظام CRM أو نظام موارد بشرية أو أي أداة تتعامل مع بيانات العملاء أو الموظفين، فهذه مخاطرة تشغيلية تراها داخل برمجياتك نفسها، لا مشروعاً قانونياً مؤجلاً.
ماذا حدث
دخل نظام حماية البيانات الشخصية حيز التنفيذ في 14 سبتمبر 2023، وسرى معه فترة انتقالية مدتها سنة انتهت في 14 سبتمبر 2024. ومنذ ذلك الحين أصبح النظام قابلاً للإنفاذ بالكامل، وكان عام 2025 هو العام الذي بدأت فيه سدايا استخدام هذه الصلاحية فعلاً.
في مطلع 2026، أعلنت سدايا أن لجانها المختصة أصدرت 48 قراراً خلال العام الماضي بحق منشآت خالفت نظام حماية البيانات الشخصية ولوائحه التنفيذية. تستطيع هذه اللجان التحقيق وتقييم الأدلة وفرض إنذارات وغرامات وأوامر بتصحيح الممارسات غير المتوافقة. والمخالفات المُعلنة لم تكن استثنائية، بل عادات تشغيلية متكررة: جمع البيانات الشخصية أو معالجتها دون سند نظامي أو تجاوز الغرض المعلن، وضوابط أمنية تقنية وتنظيمية ضعيفة، وإرسال رسائل تسويقية أو ترويجية دون موافقة مسبقة. ووُصفت هذه الأخيرة بأنها واسعة الانتشار في التجزئة والاتصالات والخدمات المالية.
العقوبات منصوص عليها في النظام. بموجب المادة 36، يمكن للجان إصدار إنذار أو غرامة تصل إلى 5 ملايين ريال عن كل مخالفة، مع إمكانية مضاعفة الغرامة عند التكرار. وبموجب المادة 35، فإن إفشاء أو نشر بيانات حساسة بقصد الإضرار بصاحبها أو لتحقيق منفعة شخصية قد يصل إلى السجن مدة لا تتجاوز سنتين وغرامة تصل إلى 3 ملايين ريال. وبشكل منفصل، فإن نقل البيانات الشخصية خارج المملكة منظَّم: تشترط ضوابط النقل في سدايا تحديد الغرض وتقييم المخاطر ووجود ضمانات معتمدة، ولا توجد قائمة منشورة بالدول ذات الحماية الملائمة، ولذلك يحتاج النقل خارج المملكة عادةً إلى ضمانات موثّقة.
لماذا يهم ذلك للمشغلين
نمط الإنفاذ ينطبق مباشرة على الأنظمة التي تشغّلها أغلب المنشآت بالفعل.
الموافقة التسويقية تعيش داخل نظام CRM. أكثر المخالفات شيوعاً في قرارات سدايا كانت الرسائل الترويجية دون موافقة مسبقة. هذا يعني أن الموافقة يجب أن تكون حقلاً حقيقياً في بيانات العميل، مسجّلاً لحظة منحه إياها، ومربوطاً بالقناة التي يغطيها، وسهل الاحترام عند إلغاء الاشتراك. نظام CRM يرسل عرضاً إلى كل رقم يملكه أصبح مسؤولية نظامية، لا حملة تسويقية.
بيانات الموظفين تعيش داخل نظام الموارد البشرية. السجلات الشخصية والحساسة، وصور المستندات، وبيانات الرواتب، كلها تقع ضمن نظام حماية البيانات. وملاحظة "الضوابط الأمنية الضعيفة" المتكررة تتعلق بهذا تحديداً: من يستطيع رؤية السجل، وهل يُسجَّل الوصول، وهل تُحفظ البيانات مدة أطول مما يحتاجه الغرض المعلن.
أحدث صور المخاطرة هي ميزات AI. عندما تضيف ملخصاً بالذكاء الاصطناعي أو روبوت دردشة أو تقييماً للعملاء المحتملين أو ميزة لقراءة المستندات، فأنت غالباً ترسل بيانات حقيقية لعملاء أو موظفين إلى نموذج أو إلى API خارجي. وبموجب النظام هذه معالجة، وتحتاج إلى سند نظامي وتقليل للبيانات وضوابط أمنية. وإذا كان النموذج يعمل خارج المملكة، فهذا الإرسال نقلٌ خارج الحدود يجب أن يستوفي ضوابط النقل. والأتمتة لا تخفف من ذلك؛ فأداة AI تصيغ العروض وترسلها لا تزال تحتاج إلى موافقة، بل قد تضاعف المخاطرة بإرسال رسائل أكثر وأسرع.
رأي Cicada Tech
هنا يتوقف سؤال البناء مقابل الشراء والاستضافة الذاتية عن كونه نظرياً. النمط الأكثر أماناً هو إبقاء البيانات الشخصية داخل أنظمة تتحكم بها، وتقليل ما تراه كل أداة، والتعامل بوعي مع أي شيء يغادر المملكة.
لأغلب المشغلين، الخطوات العملية محددة. اجعل الموافقة حقلاً أساسياً في CRM، مسجّلاً بختم زمني ونطاق واضح، واربط إلغاء الاشتراك بحيث يوقف الرسائل فعلاً. ضع صلاحيات حسب الدور وتسجيلاً للوصول على سجلات الموارد البشرية والعملاء، وحدد قواعد احتفاظ حتى لا تبقى البيانات بعد انتهاء غرضها. وقبل تشغيل أي ميزة AI، اطرح ثلاثة أسئلة: ما البيانات الشخصية التي تراها، وهل تغادر هذه البيانات المملكة، وهل هناك سند نظامي وضمان لكليهما. وحيث تجعل حساسية البيانات أو ضوابط النقل ذلك الخيار الأفضل، شغّل معالجة AI داخل المملكة أو باستضافة ذاتية، بما في ذلك نماذج مفتوحة تدعم العربية على بنيتك الخاصة، بدلاً من تمرير السجلات افتراضياً إلى API خارجي.
وهناك أمور يجدر عدم المبالغة فيها. ليست كل منشأة ملزمة بتعيين مسؤول حماية بيانات أو بالتسجيل في المنصة الوطنية لحوكمة البيانات؛ يعتمد ذلك على نوع البيانات التي تعالجها وما إذا كنت تنقلها خارج المملكة، لذلك تحقق مما إذا كنت مشمولاً بدل الافتراض. وهذا كله ليس استشارة نظامية. تبني Cicada Tech برمجيات، لا آراء قانونية؛ تحقق من التزاماتك المحددة مع سدايا أو مستشار مؤهل. والخلاصة للمشغل أبسط: الإنفاذ حقيقي الآن، والمخالفات الشائعة أمور إما أن تمنعها برمجياتك أو تتيحها، وأرخص وقت لإصلاح الموافقة والصلاحيات وتدفق البيانات هو قبل وصول شكوى، لا بعد صدور قرار من لجنة.
المصادر
- SDAIA: Laws and Regulations (Personal Data Protection Law and implementing regulations) - تم الوصول في 2026-06-18.
- IAPP: Saudi Arabia's data protection authority steps up enforcement - نُشر في 2026-02-25، تم الوصول في 2026-06-18.
- Morgan Lewis: Saudi Arabia Personal Data Protection Law - Transition Period Ends September 14 - نُشر في 2024-09، تم الوصول في 2026-06-18.
- DLA Piper: Data Protection Laws of the World - Saudi Arabia (Enforcement) - تم الوصول في 2026-06-18.
- trade.gov: Saudi Arabia ICT Cross-Border Data Transfer Rules Now Under Enforcement - نُشر في 2025-08-04، تم الوصول في 2026-06-18.