PDPL في 2026: ما تغيّر، وماذا يعني لمزوّدي الذكاء الاصطناعي
السياق: PDPL ليس قانونًا جديدًا — لكنّه تغيّر في 2025
النظام صدر بمرسوم ملكي M/19 لعام 2021. اللوائح التنفيذية الأولى صدرت في 2023. تطبيقه الكامل بدأ في 14 سبتمبر 2023 رسميًّا، مع فترة سماح للتسجيل والتوافق امتدّت لـ 14 سبتمبر 2024. منذ ذلك التاريخ، SDAIA (الهيئة السعودية للبيانات والذكاء الاصطناعي) كمنظِّم له صلاحية تامّة بفرض الغرامات وتقديم الإحالات الجنائية.
في الربع الثالث 2025 صدرت تعديلات على اللوائح التنفيذية ركّزت على:
- توسيع تعريف “المعالجة عالية المخاطر” التي تستوجب DPIA
- توضيح آلية موافقة SDAIA على النقل عبر الحدود في حالات الاستثناء
- تشديد متطلّبات السجلّ التشغيليّ للمعالجة (Records of Processing Activities)
- توضيح متى يَنْطَبِق التزام تعيين ممثّل محلّيّ على المُزَوِّد الأجنبيّ
مَن يعمل مع عميل سعوديّ في 2026 يحتاج قراءة هذه التعديلات بعدسة AI vendor — وهذا ما تفعله هذه المقالة.
محور 1: قيود النقل عبر الحدود + آلية موافقة SDAIA
PDPL يحظر نقل البيانات الشخصية خارج المملكة افتراضًا. الاستثناءات الواردة في النظام محدودة، وأكثرها استخدامًا:
- موافقة صاحب البيانات الصريحة على النقل لجهة محدّدة لغرض محدّد
- ضرورة لتنفيذ عقد بين المُتَحَكِّم وصاحب البيانات
- قرار كفاية حماية من SDAIA للدولة المُسْتَقْبِلَة (قائمة قصيرة جدًّا)
- موافقة استثنائيّة من SDAIA على عملية نقل محدّدة
التعديلات 2025 شدّدت السيناريو الرابع: لم يَعُد كافيًا تقديم طلب — يجب تقديم تقييم تأثير نقل (Transfer Impact Assessment) يُغَطِّي:
- طبيعة البيانات وحساسيّتها
- الإطار القانونيّ في الدولة المُسْتَقْبِلَة
- الضمانات التعاقديّة (SCC أو ما يعادلها)
- تدابير تقنيّة (تشفير، pseudonymization)
- حقّ SDAIA في التفتيش على المُسْتَلِم
عمليًّا لمُزَوِّد AI: استدعاء API لـ OpenAI أو Anthropic من تطبيق سعوديّ بحمولة فيها بيانات شخصية لمقيم سعوديّ يُشَكِّل نقل عبر حدود. ما لم يكن لديك أساس قانونيّ واحد على الأقلّ من الأربعة، أنت في خرق.
قارن بـ GDPR:
| البُعد | GDPR | PDPL |
|---|---|---|
| الموقف الافتراضيّ من النقل | مسموح بضمانات (SCC، BCR) | محظور افتراضًا |
| قوائم الدول المُؤَهَّلَة | 15+ دولة | قائمة قصيرة جدًّا (تتغيّر) |
| الموافقة الاستثنائيّة | لا تحتاج موافقة منظِّم | تحتاج موافقة SDAIA صريحة |
| التشفير كبديل | جزئيًّا | لا يَكْفي وحده |
تطبيق عملي: اِبْنِ معماريّة معالجة محلّيّة (in-Kingdom processing) كافتراض. الـ cross-border هو الاستثناء الذي يحتاج documentation منذ اليوم الأوّل.
محور 2: حقوق صاحب البيانات الأربعة
PDPL يَمْنَح المقيم في المملكة أربعة حقوق رئيسيّة:
- الوصول — معرفة ما يَتِمّ معالجته من بياناته
- التصحيح — تعديل البيانات غير الدقيقة
- الحذف — حذف البيانات (مع استثناءات قانونيّة محدودة)
- الاعتراض على المعالجة — بما في ذلك المعالجة الآليّة وصنع القرار الآليّ
لمُزَوِّد AI، الحقوق الأخطر تشغيليًّا هي الحذف والاعتراض:
- الحذف بعد تدريب نموذج: هل تستطيع حذف مساهمة فرد محدّد من نموذج مُدَرَّب؟ الحلّ العمليّ هو الاحتفاظ بـ provenance لكلّ سجلّ تدريب + سياسة إعادة تدريب دورية تَسْتَبْعِد المحذوف. أو machine unlearning لمن يتحمّل تكلفته.
- الاعتراض على القرار الآليّ: إن كان نموذجك يُتْخَذ قرار يُؤَثِّر على صاحب البيانات (موافقة قرض، فرز سيرة ذاتية، تسعير تأمين)، يجب توفير مسار human review.
التزام زمنيّ: PDPL يعطي 30 يوم للاستجابة لطلب صاحب البيانات. لشركة AI تعمل B2B، هذا يعني SLA تعاقديّ مع العميل أقصر من 30 يوم — عادة 14-21 يوم — حتّى يستطيع العميل الاستجابة لصاحب البيانات في الوقت.
محور 3: متى يجب Data Protection Impact Assessment (DPIA)
التعديلات 2025 وسّعت قائمة المعالجة عالية المخاطر التي تستوجب DPIA. لمُزَوِّد AI، السيناريوهات الأكثر شيوعًا:
- معالجة بيانات حسّاسة بكميّات كبيرة (صحّية، ماليّة، بيومتريّة)
- صنع قرار آليّ بأثر قانونيّ أو مماثل (تقييم ائتمان، فرز توظيف)
- مراقبة منهجيّة لأماكن عامّة (CCTV + face recognition)
- معالجة بيانات قاصرين على نطاق واسع
- ربط datasets من مصادر متعدّدة بشكل قد يَكْشِف عن أفراد
- استخدام تقنيات جديدة بمخاطر غير مَدْرُوسَة (وكثير من نشر LLM يقع هنا)
الـ DPIA يجب أن يَحْتَوِي على الأقلّ:
dpia_minimum_contents:
- وصف المعالجة (الأغراض، فئات البيانات، فئات أصحاب البيانات)
- تقييم الضرورة والتناسب
- تقييم المخاطر على حقوق صاحب البيانات
- التدابير المُخَفِّفَة (تقنيّة + تنظيميّة)
- مشاورة DPO (إن وُجِد)
- مشاورة أصحاب البيانات (حيث ممكن)
- مراجعة دوريةغياب DPIA لمعالجة تَسْتَوْجِبه ليس فقط عيب — هو خرق قابل للعقوبة بحدّ ذاته.
محور 4: إخطار الخرق خلال 72 ساعة
عند وقوع خرق للبيانات الشخصيّة:
- إخطار SDAIA: خلال 72 ساعة من العلم بالخرق
- إخطار أصحاب البيانات المُتَأَثِّرين: “دون تأخير” إذا كان الخرق يُحْتَمَل أن يُسَبِّب ضررًا جسيمًا
محتوى الإخطار الأدنى:
- طبيعة الخرق وفئات البيانات
- عدد أصحاب البيانات المُتَأَثِّرين
- التبعات المُحْتَمَلَة
- التدابير المُتَّخَذَة أو المُقْتَرَحَة
- بيانات الاتّصال (DPO أو نقطة اتصال)
لمُزَوِّد AI كمُعَالِج فرعيّ (sub-processor)، الـ 72 ساعة تَسْري على المُتَحَكِّم — وهو عميلك. هذا يعني التزام تعاقديّ بإبلاغ العميل خلال 24-48 ساعة كحدّ أقصى ليستطيع هو الإبلاغ في الـ 72.
عمليًّا: فريق incident response مع playbook PDPL محدّد + خطّ اتّصال جاهز مع كلّ عميل سعودي. لا تُفَكِّر في صياغة الإخطار بعد وقوع الحادثة.
محور 5: العقوبات + المسؤولية الجنائية
السقف الإداريّ: 5 ملايين ريال سعوديّ لكلّ مخالفة. تُضَاعَف للتكرار.
العقوبات الجنائية للمخالفات الأشدّ:
- الإفصاح عن بيانات حسّاسة بقصد الإضرار: حبس حتّى سنتين + غرامة حتّى 3 ملايين ريال
- نقل بيانات شخصيّة خارج المملكة في خرق للنظام: حبس حتّى سنة + غرامة حتّى مليون ريال
المسؤوليّة الجنائيّة تَطَال الأشخاص الطبيعيّين — مدراء، DPO، مسؤولي تقنيّة — إذا ثبت تقصيرهم أو علمهم. هذا ليس مخاطرة شركة فقط؛ هي مخاطرة شخصيّة لمن يُوَقِّع المسؤوليّة.
لمؤسّس شركة AI أجنبيّة (مثلًا Delaware LLC) يعمل مع عميل سعوديّ: المسؤوليّة الجنائيّة قد تَنْطَبِق على ممثّلك المحلّيّ المُعَيَّن (انظر محور 7) — لكنّ التسوية المدنيّة + سحب التراخيص تَنْطَبِق على الكيان بأكمله.
محور 6: متى يجب تعيين Data Protection Officer
PDPL يَسْتَوْجِب تعيين DPO في حالات:
- المُتَحَكِّم جهة حكوميّة
- النشاط الأساسيّ هو معالجة بيانات حسّاسة على نطاق واسع
- النشاط الأساسيّ يَتَطَلَّب مراقبة منهجيّة لأصحاب بيانات على نطاق واسع
- معالجة بيانات أصحاب حساسيّة خاصّة (قاصرين، إلخ)
كثير من مُزَوِّدي AI الذين يعملون مع عملاء enterprise سعوديّين يقعون في الفئتين الثانية والثالثة. حتّى لو لم يكن إلزاميًّا، تعيين DPO يَخْلِق نقطة اتّصال واضحة مع SDAIA ومع عملائك، ويُسَهِّل المراجعات.
اشتراطات الـ DPO:
- استقلاليّة (لا يُوَجَّه فيما يخصّ مهامّه)
- صلاحيّة وصول للمعلومات والموارد
- حماية من العقاب على أداء مهامّه
- رفع مباشر للإدارة العليا
- نشر بيانات اتّصاله علنًا
الـ DPO يمكن أن يكون موظّفًا داخليًّا أو مُتَعَاقِدًا خارجيًّا (fractional DPO أصبح شائعًا في 2025-2026).
محور 7: المُزَوِّد الأجنبيّ — التزام تعيين ممثّل محلّيّ
التعديلات 2025 وضَّحت أنّ المُتَحَكِّم أو المُعَالِج الذي يَتَمّ تأسيسه خارج المملكة لكنّه يُعَالِج بيانات أصحاب بيانات في المملكة يجب أن يُعَيِّن ممثّلًا محلّيًّا.
الممثّل يَنْبَغي أن:
- يكون مُقَيَّدًا في المملكة (شركة أو شخص طبيعيّ)
- يكون مَنْصُوصًا عليه كتابة بصلاحيّة التمثيل
- يكون نقطة اتّصال SDAIA وأصحاب البيانات
- يَحْتَفِظ بسجلّات معالجة المُتَحَكِّم/المُعَالِج الأجنبيّ
- يَتَحَمَّل المسؤوليّة بالتضامن في حالات محدّدة
لمُؤَسَّسَة DE LLC تَخْدِم عميلًا سعوديًّا، الخيارات:
- تعيين شركة قانونيّة سعوديّة كممثّل (نموذج fractional)
- إنشاء كيان سعوديّ تابع (Saudi LLC) تحت MISA
- التعاون مع شريك سعوديّ يَتَوَلَّى دور الممثّل تعاقديًّا
الخيار 2 هو الأكثر استقرارًا لمن لديه pipeline حقيقيّ من العملاء السعوديّين.
تقاطع PDPL مع تصنيف بيانات NDMO
PDPL يَحْكُم البيانات الشخصيّة. NDMO (المكتب الوطنيّ لإدارة البيانات) يَحْكُم تصنيف البيانات في القطاع الحكوميّ والقطاعات الحرجة. التصنيف يَتْبَع:
- Top Secret — لا تَخْرُج من بيئة محدّدة جدًّا
- Secret — قيود شديدة على المعالجة والنقل
- Confidential — قيود على من يُعَالِجها
- Public — حرّيّة نسبيّة
نقطة مفصليّة: بيانات قد تكون قانونيّة المعالجة تحت PDPL (مع موافقة)، لكنّها مُصَنَّفَة Confidential أو أعلى تحت NDMO ولا يُسْمَح بنقلها خارج المملكة بأيّ ظرف. مَن يُعَالِج بيانات جهة حكوميّة سعوديّة يحتاج فهم الإطارين معًا، لا واحد فقط.
كذلك تَقَاطُع مع SAMA لقطاع المال، ZATCA للضرائب، CST للاتّصالات — كلّ منظِّم له طبقته الخاصّة فوق PDPL.
نموذج جاهزيّة سريع للمزوّدين
عشر نقاط افحص بها وضعك خلال جلسة ساعتين:
- هل لديك inventory للبيانات الشخصيّة التي تَتَدَفَّق من/إلى عميل سعوديّ؟
- هل لكلّ تدفّق أساس قانونيّ مُوَثَّق؟
- هل المعالجة محلّيّة (in-Kingdom) أو cross-border بأساس قانونيّ صحيح؟
- هل لديك DPIA لكلّ معالجة عالية المخاطر؟
- هل لديك playbook إخطار خرق 72 ساعة؟
- هل لديك DPO مُعَيَّن (داخليّ أو خارجيّ)؟
- هل لديك ممثّل محلّيّ إن كنت أجنبيّ؟
- هل تَدِيم سجلّ معالجة (RoPA) مُحَدَّث؟
- هل عقودك مع المُعَالِجين الفرعيّين تَتَضَمَّن التزامات PDPL مَنْقولة؟
- هل تَفْحَص تَقَاطُع NDMO حيث تَتَعَامَل مع بيانات قطاع حكوميّ أو حرج؟
نتيجة 8/10 أو أعلى = جاهز نسبيًّا. أقلّ من 6/10 = مخاطرة جدّيّة قبل أيّ صفقة سعوديّة جديدة.
كيف نُعَالِج هذا في Annota8
Annota8 يَعْمَل كمُعَالِج فرعيّ لعملاء enterprise في GCC. معماريّتنا تَفْتَرِض in-Kingdom كأساس: labelers مُحَلِّيّون حيث يَسْتَوْجِب العميل ذلك، تخزين بيانات في region محلّيّ، logs معالجة قابلة للتدقيق، playbook إخطار خرق متّفق عليه مع كلّ عميل قبل أوّل سجلّ. هذه ليست ميزات تسويق — هذه شروط دخول لأيّ صفقة بيانات تدريب في 2026.