SDAIA تُصدر 48 قراراً بحق مخالفي نظام PDPL — ما يجب أن تعرفه مؤسستك المالية الآن

دخل نظام حماية البيانات الشخصية (PDPL) مرحلة الإنفاذ الفعلي الكامل منذ سبتمبر 2024، وفي غضون أقل من عام ونصف أصدرت هيئة البيانات والذكاء الاصطناعي (SDAIA) 48 قراراً تنفيذياً بحق مؤسسات مخالِفة. الرقم ليس مجرد إحصاء — إنه إشارة واضحة: عصر التساهل الرقابي انتهى، والمؤسسات المالية في مرمى النيران.

ما الذي تغيّر في منظومة إنفاذ PDPL خلال 2026؟

في مرحلة التدرّج الأولى، اكتفت SDAIA بالتوعية والتوجيه. أما اليوم، فثمة لجان متخصصة تنظر في الشكاوى، وتُصدر قرارات ملزمة، وتفرض عقوبات مالية وجنائية. الـ 48 قراراً الصادرة حتى الآن تمتد عبر قطاعات متعددة بما فيها الخدمات المالية والاتصالات والتجزئة، وتتمحور حول ثلاثة محاور رئيسية: الجمع غير المشروع للبيانات، وضعف الضوابط الأمنية التقنية والتنظيمية، وإرسال رسائل تسويقية دون موافقة مسبقة. المؤسسات المالية التي تتعامل مع بيانات عملاء حساسة — من أرقام حسابات إلى بيانات ائتمانية — تحمل بطبيعة عملها مخاطر امتثال أعلى من غيرها.

حجم العقوبات: أرقام لا يمكن تجاهلها

يتدرّج نظام PDPL في عقوباته بصورة تجعل الامتثال أرخص بكثير من المخالفة. الغرامات المالية تبلغ حدها الأقصى 5 مليون ريال سعودي (ما يعادل 1.3 مليون دولار) لكل مخالفة منفردة، وترتفع عند التكرار. أما الإفصاح المتعمد عن بيانات حساسة فيُعرّض المخالف للسجن حتى سنتين وغرامة تصل إلى 3 ملايين ريال. لمؤسسة تعمل في بيئة تنظيمية خاضعة لرقابة SAMA وتتحمل متطلبات رأس المال، فإن غرامة من هذا الحجم — مضافاً إليها تكلفة الإضرار بالسمعة — قد تكون ذات أثر مباشر على الملاءة المالية وعلاقات المساهمين.

تقاطع PDPL مع متطلبات SAMA وNCA: التزامات مزدوجة

يعمل نظام PDPL في السياق السعودي إلى جانب متطلبات تنظيمية أخرى، لا بديلاً عنها. إطار SAMA للأمن السيبراني (CSCC) يشترط ضوابط تقنية لحماية بيانات العملاء، فيما يُرسي NCA ECC الحد الأدنى من متطلبات حوكمة المعلومات. الامتثال لـ PDPL يعني في كثير من بنوده التحقق من أن الضوابط الأمنية المطلوبة بموجب SAMA وNCA مطبّقة فعلياً — وهو ما يجعل الفجوة بين السياسة الورقية والتطبيق الفعلي مخاطرةً تنظيمية مزدوجة. البنوك والشركات المالية التي تتصور أن الامتثال لـ CSCC يعفيها من التزامات PDPL تعيش وهماً قد يُكلّفها ملايين الريالات.

أبرز الانتهاكات الموثّقة وما يستدعيه كل منها

استناداً إلى القرارات الصادرة وتقارير الإنفاذ، تتكرر أنماط محددة من المخالفات في القطاع المالي. أولاً: الاحتفاظ ببيانات العملاء لما يتجاوز الحاجة التشغيلية دون سياسة احتفاظ موثّقة — وهو انتهاك تقني واضح للمادة التاسعة من النظام. ثانياً: منح صلاحيات وصول مفرطة لموظفين أو جهات خارجية على بيانات حساسة دون ضوابط الحاجة الفعلية. ثالثاً: غياب آلية واضحة لاستقبال طلبات أصحاب البيانات (الاطلاع، التعديل، الحذف) وإنجازها في المدد النظامية. رابعاً: إشراك معالجي بيانات خارجيين (Processors) دون عقود امتثال لـ PDPL صريحة، وهو ثغرة شائعة في علاقات الاستعانة بمصادر خارجية لخدمات الدفع وكشف الاحتيال.

خطوات الامتثال العاجلة للمؤسسات المالية

1. جرد شامل للبيانات (Data Mapping): حدّد كل فئة بيانات شخصية تجمعها أو تعالجها، مصدرها، وجهتها، ومسوّغها القانوني — هذا هو حجر الأساس لأي برنامج امتثال.
2. مراجعة عقود المعالجين الخارجيين: تأكد من أن كل طرف ثالث يعالج بيانات عملائك (شركات تقنية، مراكز اتصال، مزودو سحابة) مرتبط بعقد يتضمن شروط PDPL الإلزامية.
3. تفعيل آلية طلبات أصحاب البيانات: أنشئ مسار واضح لاستقبال طلبات الاطلاع والتعديل والحذف والاعتراض، مع التزام الردود بالمدد النظامية (15 يوم عمل).
4. مراجعة سياسات الاحتفاظ والحذف: حدّد جداول زمنية للاحتفاظ ببيانات كل نوع من الأنواع، وطبّق إجراءات حذف آمن عند انتهاء الغرض.
5. تدريب الموظفين: معظم الانتهاكات تبدأ من خطأ بشري — سواء موظف يُرسل بيانات عميل لعنوان خاطئ أو يشارك ملفات دون تشفير. برامج التوعية ليست اختيارية.
6. تقييم أثر حماية البيانات (DPIA): لأي مشروع رقمي جديد — تطبيق، منصة دفع، تحليلات — أجرِ تقييم DPIA قبل الإطلاق، وليس بعد وقوع الضرر.

الخلاصة

الـ 48 قراراً الصادرة من SDAIA ليست نهاية المطاف — إنها بداية منحنى إنفاذ يتصاعد. المؤسسات المالية التي تتعامل مع PDPL كتمرين توثيقي بحت تتجاهل حقيقة أن المفتشين يبحثون عن الامتثال التشغيلي الفعلي: الضوابط المطبّقة، والسجلات الموثّقة، والعمليات القابلة للإثبات. في بيئة تنظيمية تجمع بين SAMA وNCA وSDIA وNCA، أصبح الامتثال المتكامل ميزة تنافسية قبل أن يكون التزاماً قانونياً.

هل مؤسستك مستعدة للمرحلة القادمة من إنفاذ PDPL؟ تواصل مع فريق فنترالينك لإجراء تقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC ومتطلبات نظام حماية البيانات الشخصية.