نظام حماية البيانات الشخصية (PDPL) وتطبيقاته على سجل المساهمين

مقدمة

في عصر التحول الرقمي، أصبحت البيانات الشخصية ثروة حقيقية تستوجب حماية قانونية صارمة. وفي سياق إدارة سجل المساهمين، يحوز هذا السجل كميات هائلة من البيانات الشخصية الحساسة – من الأسماء والهويات إلى البيانات المالية والمصرفية – مما يجعل حماية هذه البيانات مسؤولية قانونية وأخلاقية كبرى تقع على عاتق الشركات.

صدر نظام حماية البيانات الشخصية في المملكة العربية السعودية (PDPL) بالمرسوم الملكي رقم (م/19) بتاريخ 9/2/1443هـ، ودخل حيز التنفيذ الكامل في 14 سبتمبر 2024م، ليكون أول تشريع شامل لحماية البيانات في المملكة. ويفرض هذا النظام التزامات تفصيلية على الشركات في تعاملها مع البيانات الشخصية، مع عقوبات صارمة قد تصل إلى 5 ملايين ريال لكل انتهاك، وإلى 10 ملايين ريال في حالات التكرار.

في هذا المقال، نستعرض الإطار القانوني لحماية البيانات الشخصية في المملكة، وأثره على إدارة سجل المساهمين، مع التركيز على المتطلبات العملية والممارسات الواجب تطبيقها لضمان الامتثال الكامل.

 

أولاً: الإطار القانوني لحماية البيانات الشخصية في المملكة

1. نظام حماية البيانات الشخصية (PDPL)

صدر النظام بالمرسوم الملكي رقم (م/19) بتاريخ 9/2/1443هـ، وعُدّل بالمرسوم الملكي رقم (م/148) بتاريخ 5/9/1444هـ. ويُعدّ هذا النظام أول قانون شامل لحماية البيانات في المملكة، ويتماشى إلى حد كبير مع المعايير الدولية كاللائحة العامة لحماية البيانات الأوروبية (GDPR).

2. اللائحة التنفيذية

صدرت اللائحة التنفيذية لنظام حماية البيانات الشخصية لتوضّح التطبيقات العملية للنظام، وتُحدد التفاصيل الإجرائية المطلوبة من الجهات المتعاملة مع البيانات. وقد دخلت حيز التنفيذ الكامل مع النظام في 14 سبتمبر 2024م.

3. الجهة المختصة

تُشرف الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) على تطبيق النظام في فترة أولى، عبر المكتب الوطني لإدارة البيانات (NDMO). وتختص هذه الجهة بـ:

• إصدار اللوائح التنفيذية والتعاميم التوضيحية.
• مراقبة التزام الجهات بأحكام النظام.
• تلقي الشكاوى والبلاغات المتعلقة بانتهاكات الخصوصية.
• فرض العقوبات على الانتهاكات.
• تقديم المشورة للشركات في الامتثال.
• إصدار الأدوات التقييمية والإرشادية.

4. التوافق مع المعايير الدولية

يتماشى النظام السعودي مع عدة معايير دولية، منها:

• اللائحة العامة لحماية البيانات الأوروبية (GDPR).
• قانون خصوصية المستهلك في كاليفورنيا (CCPA).
• معايير ISO/IEC 27701 لإدارة معلومات الخصوصية.
• مبادئ منظمة التعاون الاقتصادي والتنمية لحماية الخصوصية.

📅 المهلة الانتقالية كانت فترة الامتثال للنظام تنتهي في 14 سبتمبر 2024م، وبعد هذا التاريخ يخضع كل من لا يلتزم للعقوبات النظامية. وتتفاوت العقوبات من تحذير إلى غرامات تصل إلى 5 ملايين ريال، ويمكن للمحكمة مضاعفة الغرامة إلى 10 ملايين ريال في حالات التكرار، إضافة إلى السجن في حالات معينة.

 

ثانياً: المفاهيم الأساسية في النظام

لفهم تطبيق النظام بشكل صحيح، يجب الإلمام بمصطلحاته الأساسية:

1. البيانات الشخصية

هي أي بيانات – كيفما كان مصدرها أو شكلها – يكون من شأنها أن تؤدي إلى التعرف على الفرد بشكل محدد، أو يجعل التعرف عليه ممكناً عند ربطها ببيانات أخرى. وتشمل في سياق سجل المساهمين:

• الاسم الكامل.
• رقم الهوية الوطنية أو الإقامة أو جواز السفر.
• تاريخ الميلاد.
• العنوان.
• رقم الهاتف والبريد الإلكتروني.
• بيانات الحساب المصرفي.
• صور الشخص.
• بيانات الأسهم وقيمتها.

2. البيانات الحساسة

هي بيانات تستوجب حماية مشددة، وتشمل:

• البيانات المتعلقة بالأصل العرقي أو الإثني.
• المعتقدات الدينية أو الفكرية أو السياسية.
• البيانات الأمنية والجنائية.
• السمات الحيوية (البيومترية).
• البيانات الوراثية والصحية.
• البيانات التي تدل على أن الفرد مجهول الأبوين أو أحدهما.

3. جهة التحكم (Data Controller)

هي الجهة التي تحدد أغراض ووسائل معالجة البيانات الشخصية. في سياق سجل المساهمين، تكون الشركة المساهمة هي جهة التحكم، وتتحمل المسؤولية الرئيسية عن حماية بيانات مساهميها.

4. جهة المعالجة (Data Processor)

هي الجهة التي تعالج البيانات نيابةً عن جهة التحكم، مثل:

• مركز إيداع الأوراق المالية (للشركات المدرجة).
• الشركات المتعاقد معها لإدارة السجل.
• مزودي الخدمات السحابية.
• الشركات المتخصصة في إدارة علاقات المساهمين.

5. صاحب البيانات (Data Subject)

هو الشخص الطبيعي الذي تتعلق به البيانات الشخصية. وفي سياق سجل المساهمين، هو المساهم نفسه (للأشخاص الطبيعيين).

6. المعالجة (Processing)

هي أي عملية تُجرى على البيانات الشخصية، تشمل: الجمع، التسجيل، التخزين، التعديل، الاسترجاع، الاستخدام، الإفصاح، النشر، النقل، أو الإتلاف.

 

ثالثاً: المبادئ الأساسية للنظام

يُؤسس النظام لمعالجة البيانات الشخصية على عدة مبادئ أساسية يجب الالتزام بها:

1. مبدأ المشروعية

يجب أن تتم معالجة البيانات وفق أحد الأسس النظامية المسموح بها، وهي:

• موافقة صاحب البيانات الصريحة.
• تنفيذ عقد يكون صاحب البيانات طرفاً فيه.
• الالتزام بمتطلب نظامي.
• حماية المصالح الحيوية لصاحب البيانات.
• المصالح المشروعة لجهة التحكم بما لا يتعارض مع حقوق صاحب البيانات.

2. مبدأ تحديد الغرض

يجب أن تكون البيانات مجموعة لغرض محدد وصريح ومشروع، ولا يجوز معالجتها لاحقاً لأغراض تتعارض مع هذا الغرض. في سياق سجل المساهمين، الأغراض الرئيسية تشمل:

• إثبات ملكية الأسهم وممارسة الحقوق.
• التواصل مع المساهمين بشأن الجمعيات والإفصاحات.
• صرف توزيعات الأرباح.
• الامتثال للمتطلبات التنظيمية.

3. مبدأ التقليل

يجب أن تقتصر البيانات المجمّعة على الحد الأدنى اللازم لتحقيق الغرض. ولا يجوز جمع بيانات إضافية بدون ضرورة موثقة.

4. مبدأ الدقة

يجب أن تكون البيانات دقيقة ومحدّثة، وعلى جهة التحكم اتخاذ خطوات معقولة لتصحيح أو حذف البيانات غير الدقيقة.

5. مبدأ التحديد الزمني

لا يجوز الاحتفاظ بالبيانات لفترة أطول من اللازم لتحقيق الغرض الذي جُمعت من أجله، إلا إذا اقتضت الأنظمة ذلك.

6. مبدأ الأمان والسرية

يجب اتخاذ التدابير التقنية والتنظيمية اللازمة لحماية البيانات من المعالجة غير المشروعة، الفقدان، الإتلاف، أو الإفصاح غير المصرح به.

7. مبدأ المساءلة

جهة التحكم مسؤولة عن إثبات الامتثال للنظام، من خلال التوثيق والإجراءات والسياسات الواضحة.

 

رابعاً: حقوق أصحاب البيانات

منح النظام أصحاب البيانات الشخصية مجموعة من الحقوق التي يجب احترامها وتيسير ممارستها:

1. حق العلم

يحق لصاحب البيانات أن يُخطر بكيفية معالجة بياناته:

• هوية جهة التحكم وبيانات الاتصال بها.
• الغرض من جمع البيانات.
• الأساس القانوني للمعالجة.
• المدة المتوقعة لحفظ البيانات.
• الجهات التي قد تشارك معها البيانات.
• حقوقه وكيفية ممارستها.

2. حق الوصول إلى البيانات

يحق لصاحب البيانات الاطلاع على بياناته الشخصية المحفوظة لدى جهة التحكم، والحصول على نسخة منها.

3. حق التصحيح

يحق لصاحب البيانات طلب تصحيح أو تحديث بياناته الشخصية إذا كانت غير دقيقة أو غير محدّثة.

4. حق الإتلاف (الحذف)

يحق لصاحب البيانات طلب إتلاف بياناته الشخصية في حالات محددة:

• انتهاء الحاجة منها.
• جمعها بطريقة غير نظامية.
• سحب الموافقة (في حالات معينة).
• معالجتها بشكل مخالف للنظام.

5. حق الاعتراض

يحق لصاحب البيانات الاعتراض على معالجة بياناته الشخصية لأغراض محددة، أو طلب تقييد المعالجة لفترة معينة.

6. حق العدول عن الموافقة

يحق لصاحب البيانات سحب موافقته في أي وقت، دون التأثير على شرعية المعالجة السابقة.

7. حق نقل البيانات

في بعض الحالات، يحق لصاحب البيانات نقل بياناته من جهة تحكم إلى أخرى بصيغة منظمة وقابلة للقراءة آلياً.

8. حق الشكوى

يحق لصاحب البيانات تقديم شكوى للهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) في حال انتهاك حقوقه.

 

خامساً: تطبيقات النظام على سجل المساهمين

لتطبيق نظام PDPL بشكل صحيح في إدارة سجل المساهمين، يجب اتخاذ عدة إجراءات تفصيلية:

1. تحديد الأساس القانوني للمعالجة

معظم البيانات في سجل المساهمين تستند إلى عدة أسس قانونية:

• الالتزام بمتطلب نظامي (نظام الشركات يُلزم بإمساك السجل).
• تنفيذ عقد (علاقة الشركة بمساهمها).
• المصالح المشروعة لجهة التحكم (إدارة الشركة).
• موافقة صاحب البيانات (لبعض المعالجات الإضافية).

2. إعداد إشعار الخصوصية

يجب على الشركة إعداد إشعار خصوصية واضح وشامل للمساهمين، يتضمن:

• هوية الشركة وبيانات اتصالها.
• بيانات مسؤول حماية البيانات (DPO).
• أنواع البيانات الشخصية المعالجة.
• أغراض المعالجة والأسس القانونية.
• الجهات التي تشارك معها البيانات.
• مدد الاحتفاظ بالبيانات.
• حقوق المساهمين وآلية ممارستها.
• معلومات الاتصال للشكاوى.

3. تعيين مسؤول حماية البيانات (DPO)

تستوجب اللائحة التنفيذية تعيين مسؤول حماية البيانات في حالات محددة. والشركات الكبرى التي تعالج بيانات شخصية بكميات كبيرة – كالشركات المساهمة – تقع غالباً ضمن هذه الحالات. ومن مهام هذا المسؤول:

• الإشراف على الامتثال للنظام.
• تقديم المشورة لجهة التحكم.
• التواصل مع أصحاب البيانات.
• التواصل مع الهيئة المختصة.
• إجراء تقييمات الأثر.
• الإشراف على التدريب والتوعية.

4. ضبط الوصول إلى البيانات

يجب تطبيق ضوابط صارمة للوصول إلى بيانات المساهمين:

• نظام صلاحيات متدرج (Role-Based Access Control).
• التحقق المتعدد العوامل (Multi-Factor Authentication).
• سجل عمليات كامل لكل عمليات الوصول.
• مراجعة دورية للصلاحيات.
• إلغاء الصلاحيات فور انتهاء الحاجة.

5. تأمين البيانات تقنياً

• تشفير البيانات في حالة التخزين (At-Rest).
• تشفير البيانات أثناء النقل (In-Transit).
• استخدام بروتوكولات آمنة (HTTPS، SFTP).
• نسخ احتياطي منتظم في مواقع جغرافية متعددة.
• اختبار خطط التعافي من الكوارث.
• تحديث الأنظمة بشكل دوري.

6. إدارة موافقات المساهمين

لبعض المعالجات الإضافية (كالتسويق أو مشاركة البيانات مع شركاء)، يجب الحصول على موافقات صريحة وموثقة، مع:

• توضيح الغرض بشكل دقيق.
• إتاحة إمكانية الرفض.
• توثيق الموافقات تاريخياً.
• تمكين سحب الموافقة بسهولة.

7. ضوابط مشاركة البيانات

عند مشاركة بيانات المساهمين مع أطراف أخرى، يجب:

• إبرام عقود واضحة مع جهات المعالجة.
• التحقق من امتثال هذه الجهات للنظام.
• تحديد مسؤوليات كل طرف بدقة.
• مراقبة الأداء بشكل دوري.
• الإفصاح للمساهمين عن المشاركة.

8. النقل عبر الحدود

لنقل بيانات المساهمين خارج المملكة (للمساهمين الأجانب أو الجهات الدولية):

• التأكد من توفر مبررات نظامية للنقل.
• ضمان مستوى حماية مكافئ في الدولة المستقبلة.
• الحصول على موافقة سدايا في الحالات المطلوبة.
• إبرام شروط تعاقدية لحماية البيانات.

 

سادساً: خطوات تطبيق الامتثال

للامتثال الكامل للنظام، يمكن للشركات اتباع خارطة طريق منهجية:

الخطوة 1: التقييم الأولي

1. جرد شامل لجميع البيانات الشخصية في سجل المساهمين.
2. تحديد مصادر البيانات وقنوات الجمع.
3. تحديد أغراض المعالجة والأسس القانونية.
4. تحديد جميع الأطراف التي تشارك معها البيانات.
5. تحديد الفجوات بين الوضع الحالي ومتطلبات النظام.

الخطوة 2: تصميم برنامج الامتثال

6. صياغة سياسات الخصوصية الداخلية.
7. إعداد إشعارات الخصوصية للمساهمين.
8. تصميم نماذج الموافقة.
9. تحديد مدد الاحتفاظ بالبيانات.
10. وضع إجراءات الاستجابة لطلبات أصحاب البيانات.

الخطوة 3: التنفيذ التقني

11. تطوير أو تحديث الأنظمة لتلبية المتطلبات.
12. تطبيق ضوابط الوصول والصلاحيات.
13. تنفيذ التشفير والحماية التقنية.
14. تطوير سجلات العمليات (Audit Logs).
15. اختبار الأنظمة والإجراءات.

الخطوة 4: التنفيذ التنظيمي

16. تعيين مسؤول حماية البيانات.
17. تشكيل لجنة حماية البيانات (إن لزم).
18. تدريب الموظفين على متطلبات النظام.
19. توعية المساهمين بحقوقهم.
20. التسجيل في السجل الوطني لحماية البيانات لدى سدايا.

الخطوة 5: المراقبة المستمرة

21. مراجعات دورية للامتثال.
22. تحديث السياسات والإجراءات.
23. معالجة الحوادث والشكاوى.
24. التقارير الدورية للإدارة العليا.
25. التحسين المستمر.

 

سابعاً: معالجة حوادث تسرب البيانات

رغم كل الإجراءات الوقائية، قد تقع حوادث تسرب أو اختراق للبيانات. والاستجابة السريعة والصحيحة لهذه الحوادث ضرورية للحد من الأضرار وتجنب العقوبات.

1. أنواع حوادث تسرب البيانات

• الاختراق السيبراني من جهات خارجية.
• التسرب الداخلي من موظفين أو متعاقدين.
• فقدان أجهزة تحوي بيانات.
• الإرسال الخاطئ للبيانات لأطراف غير مخولين.
• النشر العام للبيانات بطريق الخطأ.

2. خطوات الاستجابة الفورية

26. اكتشاف الحادث وتقدير حجمه.
27. احتواء الحادث ومنع تفاقمه.
28. توثيق جميع تفاصيل الحادث.
29. تشكيل فريق الاستجابة.
30. تقييم البيانات المتأثرة.

3. الإخطار النظامي

وفقاً لنظام PDPL، يجب على جهة التحكم إخطار سدايا فور علمها بحادث تسرب البيانات، خلال مهلة زمنية محددة. ويشمل الإخطار:

• طبيعة الحادث وأسبابه.
• البيانات المتأثرة وحجمها.
• عدد أصحاب البيانات المتأثرين.
• التدابير المتخذة للاحتواء.
• التدابير المقترحة للمنع المستقبلي.

4. إخطار أصحاب البيانات

في حالات الحوادث الجسيمة التي تنطوي على مخاطر عالية على أصحاب البيانات، يجب إخطارهم مباشرةً، مع:

• وصف واضح للحادث.
• البيانات المتأثرة.
• التدابير المتخذة.
• الإجراءات الموصى بها للحماية.
• بيانات الاتصال لمزيد من المعلومات.

5. التحقيق والمعالجة

31. تحقيق شامل في أسباب الحادث.
32. معالجة الأسباب الجذرية.
33. تطوير ضوابط إضافية لمنع التكرار.
34. التواصل مع الجهات المختصة (الأمن السيبراني).
35. التعويض المناسب للمتأثرين.

 

ثامناً: العقوبات في حالة المخالفة

يفرض النظام عقوبات صارمة على المخالفات، تتدرج بحسب طبيعة المخالفة وشدتها:

نوع المخالفة	العقوبة
إفصاح بيانات حساسة بشكل غير مشروع	السجن مدة لا تزيد على سنتين، وغرامة لا تزيد على 3 ملايين ريال
مخالفات أخرى لأحكام النظام	تحذير، أو غرامة لا تزيد على 5 ملايين ريال
المخالفة المتكررة	مضاعفة الغرامة إلى 10 ملايين ريال
نقل البيانات خارج المملكة بدون مسوغ	غرامة وفق ما تحدده اللائحة
عدم الإخطار بحوادث التسرب	غرامة إدارية
انتهاكات تتعلق بالأطفال	عقوبات مشددة

بالإضافة إلى العقوبات الجزائية، قد يحق لأصحاب البيانات المتأثرين المطالبة بتعويضات مدنية عن الأضرار التي لحقت بهم.

 

تاسعاً: التحديات الشائعة في تطبيق النظام

1. الحجم الكبير للبيانات

التحدي: الشركات المساهمة تحوز بيانات لآلاف المساهمين، مما يجعل تطبيق المتطلبات تحدياً تشغيلياً.

الحل: استخدام أدوات أتمتة متقدمة، تصنيف البيانات بطرق منهجية، الاستثمار في الأنظمة المتطورة.

2. التكامل مع الأنظمة القديمة

التحدي: الأنظمة القديمة قد لا تدعم متطلبات الخصوصية الحديثة.

الحل: التحديث التدريجي، استخدام طبقات وسيطة، الانتقال للسحابة.

3. ثقافة المنظمة

التحدي: تغيير الثقافة المؤسسية للتعامل مع البيانات بحساسية أعلى.

الحل: برامج تدريبية مستمرة، نشر الوعي بأهمية الخصوصية، قيادة فاعلة من الإدارة العليا.

4. التعامل مع الأطراف الثالثة

التحدي: ضمان امتثال جميع الشركاء والموردين.

الحل: عقود واضحة، تدقيق دوري، اختيار شركاء ملتزمين.

5. النقل عبر الحدود

التحدي: التعامل مع المساهمين الأجانب يستوجب نقل بيانات عبر الحدود.

الحل: الحصول على الموافقات اللازمة، استخدام آليات معتمدة، التواصل مع سدايا.

 

عاشراً: أفضل الممارسات في حماية بيانات المساهمين

36. الخصوصية بالتصميم (Privacy by Design): تضمين متطلبات الخصوصية في تصميم الأنظمة من البداية.
37. الخصوصية افتراضياً (Privacy by Default): جعل الإعدادات الافتراضية هي الأكثر حماية للخصوصية.
38. التقليل من البيانات: عدم جمع بيانات إضافية بدون مبرر.
39. التشفير الشامل: تشفير كل البيانات في حالتي التخزين والنقل.
40. التحقق المتعدد: اعتماد التحقق المتعدد العوامل لجميع عمليات الوصول الحساسة.
41. التدريب المستمر: تدريب جميع الموظفين بشكل دوري على متطلبات الخصوصية.
42. المراجعة الدورية: مراجعات داخلية وخارجية منتظمة للامتثال.
43. الاستجابة السريعة: خطط واضحة للاستجابة للحوادث والشكاوى.
44. الشفافية: التواصل الواضح مع المساهمين حول كيفية معالجة بياناتهم.
45. التحسين المستمر: تطوير الإجراءات والأنظمة بشكل مستمر بناءً على التجارب والمستجدات.

 

قائمة مراجعة الامتثال لـ PDPL

على المستوى المؤسسي

• تعيين مسؤول حماية البيانات (DPO).
• تشكيل لجنة حماية البيانات.
• اعتماد سياسات الخصوصية.
• التسجيل في السجل الوطني لدى سدايا.
• تخصيص ميزانية لبرنامج الامتثال.

على مستوى التوثيق

• جرد شامل للبيانات الشخصية.
• سجل أنشطة المعالجة (Records of Processing Activities).
• تقييمات أثر الخصوصية (DPIAs).
• سياسات وإجراءات مكتوبة.
• إشعارات الخصوصية للمساهمين.

على المستوى التقني

• تشفير شامل للبيانات.
• ضوابط الوصول المتدرج.
• التحقق المتعدد العوامل.
• سجلات العمليات والمراقبة.
• النسخ الاحتياطي والتعافي.

على مستوى العمليات

• إجراءات للاستجابة لطلبات أصحاب البيانات.
• خطة الاستجابة لحوادث التسرب.
• إجراءات إدارة الموافقات.
• ضوابط الاحتفاظ والإتلاف.
• إجراءات تدقيق الموردين.

على مستوى الكفاءات

• تدريب جميع الموظفين على المتطلبات.
• تدريبات متخصصة لفرق العمل الحساسة.
• توعية المساهمين بحقوقهم.
• شهادات احترافية للمعنيين.
• تحديث مستمر للمعرفة.

 

الخلاصة والنقاط الرئيسية

حماية بيانات المساهمين الشخصية ليست مجرد التزام قانوني، بل ركيزة أساسية لبناء الثقة بين الشركة ومساهميها. ومع دخول نظام حماية البيانات الشخصية (PDPL) حيز التنفيذ الكامل، أصبح الامتثال له ضرورة لا خياراً، خاصةً مع العقوبات الصارمة التي قد تصل إلى 10 ملايين ريال في حالات التكرار.

الشركات الرائدة تنظر إلى حماية البيانات كفرصة لتعزيز سمعتها والتمايز عن منافسيها، لا كعبء تنظيمي. والاستثمار في برنامج امتثال متكامل – يشمل الجوانب التشريعية والتقنية والتنظيمية – يحقق فوائد طويلة الأمد، تتجاوز مجرد تجنب العقوبات إلى بناء علاقة قوية مع المساهمين.

🎯 النقاط الجوهرية للحفظ 1) نظام PDPL دخل حيز التنفيذ الكامل في 14 سبتمبر 2024م، وتشرف عليه سدايا. 2) العقوبات تصل إلى 5 ملايين ريال (10 ملايين في التكرار) والسجن في حالات معينة. 3) الشركة هي “جهة التحكم” ومركز إيداع وأمثاله هم “جهات معالجة”. 4) الأسس القانونية للمعالجة في سجل المساهمين تشمل: متطلب نظامي، تنفيذ عقد، مصالح مشروعة، موافقة. 5) أصحاب البيانات لهم 8 حقوق رئيسية يجب تيسير ممارستها. 6) مبادئ Privacy by Design و Privacy by Default هي مفتاح الامتثال الفعّال. 7) خطة الاستجابة لحوادث التسرب وإخطار سدايا واجبان نظاميان.

للتواصل معنا واتساب  لمراسلتنا

الاسئلة الشائعة

ما نظام حماية البيانات الشخصية PDPL ومتى دخل حيز التنفيذ في السعودية؟

نظام حماية البيانات الشخصية (PDPL) هو أول تشريع شامل لحماية البيانات في المملكة العربية السعودية، صدر بالمرسوم الملكي رقم (م/19) وعُدّل بالمرسوم الملكي رقم (م/148). دخل حيز التنفيذ الكامل في 14 سبتمبر 2024م، وتُشرف على تطبيقه الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) عبر المكتب الوطني لإدارة البيانات. ويتماشى النظام مع المعايير الدولية وفي مقدمتها اللائحة الأوروبية GDPR ومعيار ISO/IEC 27701.

كيف يؤثر نظام PDPL تحديداً على إدارة سجل المساهمين؟

ما الفرق بين جهة التحكم وجهة المعالجة في سياق سجل المساهمين؟

جهة التحكم (Data Controller) هي التي تحدد أغراض ووسائل معالجة البيانات، وتتحمل المسؤولية الرئيسية عن حمايتها. وفي سياق سجل المساهمين، الشركة المساهمة هي جهة التحكم. أما جهة المعالجة (Data Processor) فهي التي تعالج البيانات نيابةً عن جهة التحكم وفق تعليماتها، وتشمل في هذا السياق مركز إيداع الأوراق المالية للشركات المدرجة، والشركات المتعاقد معها لإدارة السجل، ومزودي الخدمات السحابية.

ما حقوق المساهم في بياناته الشخصية وفق نظام PDPL؟

منح النظام أصحاب البيانات ثمانية حقوق رئيسية: حق العلم بكيفية معالجة بياناتهم وأغراضها. وحق الوصول للاطلاع على بياناتهم المحفوظة والحصول على نسخة منها. وحق التصحيح لمطالبة الشركة بتحديث بياناتهم الخاطئة. وحق الإتلاف في حالات محددة. وحق الاعتراض على معالجة معينة أو تقييدها. وحق العدول عن الموافقة. وحق نقل البيانات بين جهات التحكم. وحق الشكوى لسدايا عند انتهاك حقوقهم.

ما العقوبات التي يفرضها نظام PDPL على الشركات المخالفة؟

تتدرج العقوبات بحسب جسامة المخالفة: إفصاح البيانات الحساسة بشكل غير مشروع يستوجب السجن مدة لا تزيد على سنتين وغرامة لا تزيد على 3 ملايين ريال. والمخالفات الأخرى لأحكام النظام تستوجب تحذيراً أو غرامة لا تزيد على 5 ملايين ريال. وفي حالة التكرار تُضاعف الغرامة لتصل إلى 10 ملايين ريال. يُضاف إلى ذلك حق أصحاب البيانات المتأثرين في المطالبة بتعويضات مدنية، وعقوبات مشددة في الانتهاكات المتعلقة بالأطفال.

المراجع والمصادر

• نظام حماية البيانات الشخصية الصادر بالمرسوم الملكي رقم (م/19)، المعدّل بالمرسوم الملكي رقم (م/148).
• اللائحة التنفيذية لنظام حماية البيانات الشخصية.
• الموقع الرسمي للهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) – sdaia.gov.sa
• بوابة حماية البيانات الشخصية – dgp.sdaia.gov.sa
• اللائحة العامة لحماية البيانات الأوروبية (GDPR).
• معيار ISO/IEC 27701 لإدارة معلومات الخصوصية.
• مبادئ منظمة التعاون الاقتصادي والتنمية لحماية الخصوصية.