48 قراراً جزائياً من SDAIA: نظام PDPL يدخل مرحلة التطبيق الفعلي والمؤسسات المالية في دائرة الخطر

في يناير 2026، أعلنت هيئة البيانات والذكاء الاصطناعي SDAIA عن إصدار 48 قراراً جزائياً مؤكداً لمخالفات نظام حماية البيانات الشخصية PDPL. هذا الرقم ليس مجرد إحصاء — إنه إشارة واضحة إلى أن مرحلة التسامح والإنذار قد انتهت، وأن التطبيق الفعلي بات أمراً واقعاً يطال كل مؤسسة تجمع بيانات العملاء في المملكة، وفي مقدمتها البنوك وشركات التأمين وشركات التمويل.

من مرحلة الوعي إلى مرحلة المساءلة: ما الذي تغيّر؟

دخل نظام حماية البيانات الشخصية حيّز التنفيذ رسمياً عام 2024، وأعقبته فترة توعية ممتدة منحت المنشآت الوقت للاستعداد. غير أن المشهد تغيّر جذرياً في 2025-2026؛ إذ باتت لجان التحقيق في SDAIA تُصدر قرارات بوتيرة متسارعة، مع آليات رسمية تشمل الإخطار بالمخالفة المزعومة، والتحقيق، والإدانة. والأخطر من ذلك أن المنشأة المخطَرة لا تملك سوى خمسة أيام للرد — مهلة قصيرة جداً في غياب استعداد مسبق. هذا التحوّل يعني أن الامتثال التفاعلي لم يعد كافياً؛ ما تحتاجه مؤسستك هو وضع دفاعي استباقي.

المخالفات الأكثر شيوعاً في قرارات SDAIA الجزائية

كشف تحليل القرارات الصادرة عن ثلاثة أنماط مخالفة تتكرر عبر قطاعات متعددة، بما فيها القطاع المالي. أولها جمع البيانات الشخصية ومعالجتها دون أساس قانوني مشروع، وهو خطأ شائع في تطبيقات الخدمات المصرفية الرقمية التي تجمع بيانات أكثر مما تحتاج دون مسوّغ واضح. ثانيها الإفصاح عن البيانات لأطراف ثالثة — سواء جهات تسويق أو مزودي خدمات أو شركات شقيقة — دون مستند قانوني يجيز ذلك. وثالثها — الأوسع انتشاراً — إرسال رسائل تسويقية وترويجية دون الحصول على موافقة صريحة مسبقة من أصحاب البيانات، وهو انتهاك يطال القنوات الرقمية كافة: البريد الإلكتروني، والرسائل النصية، وإشعارات التطبيقات.

لماذا المؤسسات المالية في دائرة الخطر تحديداً؟

كلّفت SDAIA البنك المركزي السعودي SAMA بمسؤولية ضمان امتثال المنشآت الخاضعة لإشرافه لأحكام نظام PDPL. هذا يعني أن البنوك وشركات التأمين وشركات التمويل والتقنية المالية تخضع لمتطلبات مزدوجة: رقابة SAMA من جهة، وصلاحيات SDAIA التنفيذية من جهة أخرى. فضلاً عن ذلك، تعالج المؤسسات المالية بطبيعتها بيانات شديدة الحساسية — معلومات الحسابات، وتاريخ الائتمان، وتفاصيل المعاملات — مما يجعل أي إخلال بالحماية المطلوبة ذا تداعيات قانونية ومالية وسمعية بالغة الخطورة. تصل الغرامة الأساسية إلى خمسة ملايين ريال لكل مخالفة، وتتضاعف في حالات التكرار.

التوصيات العملية: ست خطوات لإغلاق ثغرات الامتثال

1. خريطة تدفق البيانات (Data Mapping): وثّق بدقة كل نقطة جمع وتخزين ومعالجة وإفصاح للبيانات الشخصية داخل مؤسستك — بما يشمل مزودي الخدمات والأطراف الثالثة.
2. مراجعة الأساس القانوني لكل عملية معالجة: تحقق من أن كل نشاط لمعالجة البيانات يستند إلى أحد المسوّغات القانونية المعترف بها في النظام: موافقة صريحة، أو عقد، أو مصلحة مشروعة، أو التزام قانوني.
3. تدقيق قنوات التسويق فوراً: راجع قوائم المشتركين والموافقات المحفوظة لجميع قنوات التواصل التسويقي، واحذف أي جهة اتصال تفتقر إلى سجل موافقة صريح وقابل للإثبات.
4. إجراء تقييم أثر حماية البيانات (DPIA): أجرِ تقييماً لأثر الخصوصية على الأنظمة والعمليات الأعلى خطراً، بما فيها أنظمة سجلات العملاء وعمليات KYC.
5. وضع خطة استجابة للمخالفات المزعومة: نظراً لضيق المهلة (خمسة أيام)، احرص على وجود فريق وإجراءات جاهزة للرد على أي إخطار من SDAIA، تشمل المستشار القانوني ومسؤول حماية البيانات (DPO).
6. تدريب الموظفين ورفع الوعي: معظم المخالفات تبدأ من ممارسات تشغيلية يومية — كإرسال ملف بيانات عبر البريد الإلكتروني غير المشفّر، أو تحميل قائمة عملاء على تطبيق خارجي. الاستثمار في التوعية يعيد قيمة مضاعفة.

الخلاصة

إصدار 48 قراراً جزائياً في غضون أشهر قليلة يؤكد أن SDAIA لا تُصدر تهديدات فارغة. القطاع المالي السعودي — بحجم البيانات التي يعالجها وحجم التنظيم الذي يخضع له — هو الأكثر عرضة للتدقيق والمساءلة. المؤسسات التي لم تُكمل برنامجها للامتثال بنظام PDPL تجد نفسها أمام مخاطر متداخلة: غرامات مالية، وإجراءات رقابية من SAMA، وأضرار سمعة تؤثر مباشرة على ثقة العملاء.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وامتثال نظام حماية البيانات الشخصية PDPL.