---
title: "نظام حماية البيانات الشخصية (PDPL) | وظيفتك علينا"
meta:
  "og:description": "نظام حماية البيانات الشخصية PDPL 2026 — حقوق الأفراد، التزامات الجهات، النقل الدولي، والعقوبات."
  "og:title": "نظام حماية البيانات الشخصية (PDPL) | وظيفتك علينا"
  "twitter:description": "نظام حماية البيانات الشخصية PDPL 2026 — حقوق الأفراد، التزامات الجهات، النقل الدولي، والعقوبات."
  "twitter:title": "نظام حماية البيانات الشخصية (PDPL) | وظيفتك علينا"
  author: "وظيفتك علينا"
  description: "نظام حماية البيانات الشخصية PDPL 2026 — حقوق الأفراد، التزامات الجهات، النقل الدولي، والعقوبات."
---

**محدّث 2026**

# **نظام حماية البيانات الشخصية (PDPL)**

دليل نظام حماية البيانات الشخصية — حقوق أصحاب البيانات، التزامات الجهات، والعقوبات.

## **ما هو نظام حماية البيانات الشخصية؟**

نظام حماية البيانات الشخصية (Personal Data Protection Law - PDPL) هو النظام السعودي الشامل لحماية خصوصية البيانات، صدر بالمرسوم الملكي رقم م/19 بتاريخ 1443هـ (2021م) ودخل حيز التنفيذ الكامل في سبتمبر 2024 بعد فترة انتقالية.

يُعد هذا النظام نقلة نوعية في تنظيم التعامل مع البيانات الشخصية في المملكة، ويتماشى مع أفضل الممارسات الدولية مثل اللائحة الأوروبية لحماية البيانات (GDPR). يسري على جميع الجهات العامة والخاصة التي تجمع أو تعالج بيانات شخصية داخل المملكة أو بيانات مقيمين فيها.

يهدف النظام إلى حماية خصوصية الأفراد وتنظيم عمليات جمع ومعالجة وتخزين ونقل البيانات الشخصية، مع ضمان حقوق أصحاب البيانات وفرض التزامات واضحة على الجهات المعالِجة.

## **حقوق أصحاب البيانات**

يمنح النظام أصحاب البيانات الشخصية مجموعة واسعة من الحقوق لضمان سيطرتهم على بياناتهم.

- **حق العلم:** الحق في معرفة الأساس النظامي لجمع البيانات والغرض منه قبل أو عند جمعها
- **حق الوصول:** الحق في الاطلاع على البيانات الشخصية المحفوظة لدى أي جهة والحصول على نسخة منها
- **حق التصحيح:** الحق في طلب تصحيح البيانات غير الدقيقة أو غير المكتملة
- **حق الحذف (الإتلاف):** الحق في طلب حذف البيانات الشخصية عندما ينتهي الغرض من جمعها
- **حق سحب الموافقة:** الحق في سحب الموافقة على معالجة البيانات في أي وقت
- **حق الاعتراض:** الحق في الاعتراض على معالجة البيانات في حالات محددة
- **حق نقل البيانات:** الحق في طلب نقل البيانات إلى جهة أخرى بصيغة قابلة للقراءة آلياً
- **حق الشكوى:** الحق في تقديم شكوى للجهة المختصة عند انتهاك أي من هذه الحقوق

## **التزامات الجهات المعالِجة**

يفرض النظام التزامات صارمة على كل جهة تجمع أو تعالج بيانات شخصية.

- **الموافقة المسبقة:** الحصول على موافقة صريحة من صاحب البيانات قبل جمعها أو معالجتها (مع استثناءات محددة)
- **الإشعار:** إبلاغ صاحب البيانات بسياسة الخصوصية والغرض من الجمع والجهات التي ستُشارك معها
- **تحديد الغرض:** عدم معالجة البيانات إلا للغرض الذي جُمعت من أجله
- **التقليل:** جمع الحد الأدنى من البيانات الضرورية للغرض المحدد
- **الدقة:** ضمان دقة البيانات وتحديثها عند الحاجة
- **الحماية التقنية:** تطبيق تدابير أمنية كافية لحماية البيانات من التسريب أو الاختراق
- **الإخطار بالانتهاك:** إبلاغ الجهة المختصة وصاحب البيانات خلال 72 ساعة من اكتشاف أي تسريب
- **الاحتفاظ المحدد:** عدم الاحتفاظ بالبيانات أطول من المدة اللازمة للغرض
- **تعيين مسؤول حماية بيانات:** في الجهات الكبرى أو التي تعالج بيانات حساسة بكميات كبيرة

## **البيانات الحساسة**

يُفرد النظام حماية خاصة لفئة من البيانات تُصنّف على أنها حساسة وتتطلب معاملة أكثر صرامة.

- البيانات الصحية والطبية
- البيانات الوراثية والحيوية (البصمة، بصمة الوجه، قزحية العين)
- البيانات المتعلقة بالأصل العرقي أو القبلي
- المعتقدات الدينية أو الفكرية أو السياسية
- البيانات الأمنية والجنائية
- بيانات الائتمان والوضع المالي
- بيانات الموقع الجغرافي بدقة عالية

معالجة البيانات الحساسة تتطلب موافقة صريحة من صاحب البيانات، ولا يجوز معالجتها إلا في حالات استثنائية ينص عليها النظام.

## **النقل الدولي للبيانات**

ينظّم النظام نقل البيانات الشخصية خارج حدود المملكة بشروط صارمة.

لا يجوز نقل البيانات الشخصية خارج المملكة إلا في حالات محددة تشمل: أن تكون الدولة المستقبِلة توفر مستوى حماية كافياً للبيانات بحسب تقييم الجهة المختصة، أو وجود ضمانات مناسبة تكفل الحماية (مثل البنود التعاقدية النموذجية)، أو موافقة صاحب البيانات الصريحة.

- تنشر الجهة المختصة قائمة بالدول التي توفر مستوى حماية كافياً
- يجوز النقل عبر بنود تعاقدية معيارية معتمدة من الجهة المختصة
- بعض القطاعات لها اشتراطات إضافية (مثل البيانات المالية والصحية)
- يُحظر نقل البيانات الحساسة خارج المملكة إلا بموافقة الجهة المختصة
- يجب إجراء تقييم أثر على الخصوصية قبل النقل الدولي للبيانات

## **العقوبات**

يفرض النظام عقوبات صارمة على المخالفين لضمان الالتزام بأحكامه.

- **غرامة مالية:** تصل إلى 5 مليون ريال سعودي عن المخالفة الواحدة
- **السجن:** تصل إلى سنتين في حالات الإفصاح عن البيانات الحساسة أو نقلها بالمخالفة للنظام
- **مضاعفة العقوبة:** في حالة تكرار المخالفة خلال 3 سنوات
- **التشهير:** نشر ملخص الحكم على نفقة المخالف في حالات محددة
- **الإنذار والتصحيح:** في المخالفات البسيطة قد تكتفي الجهة بإنذار مع مهلة تصحيح
- **إيقاف المعالجة:** أمر بإيقاف نشاط معالجة البيانات المخالف فوراً

## **التأثير على أصحاب العمل — بيانات الموظفين**

يؤثر النظام بشكل مباشر على كيفية تعامل أصحاب العمل مع بيانات موظفيهم.

- يجب وجود أساس نظامي لجمع بيانات الموظف (عقد العمل أو الالتزام النظامي يكفي في كثير من الحالات)
- إبلاغ الموظف بسياسة خصوصية واضحة توضح أنواع البيانات المجمعة وأغراض المعالجة
- عدم جمع بيانات غير ضرورية للعلاقة الوظيفية
- حماية ملفات الموظفين الإلكترونية والورقية بإجراءات أمنية مناسبة
- تحديد صلاحيات الوصول لبيانات الموظفين على أساس الحاجة للمعرفة
- حذف بيانات الموظف بعد انتهاء العلاقة الوظيفية والمدد النظامية للاحتفاظ
- الحصول على موافقة الموظف عند مشاركة بياناته مع أطراف خارجية لأغراض غير نظامية
- استخدام أنظمة مراقبة الأداء والحضور بشفافية وإبلاغ الموظفين بها

## **الجهة المشرفة — سدايا**

تتولى الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا - SDAIA) مسؤولية الإشراف على تطبيق نظام حماية البيانات الشخصية.

سدايا هي الجهة المختصة بإصدار اللوائح التنفيذية والقواعد التنظيمية والأدلة الإرشادية المتعلقة بالنظام. كما تتولى تلقي الشكاوى والبت فيها والتحقيق في المخالفات وإصدار الجزاءات.

أصدرت سدايا اللائحة التنفيذية لنظام حماية البيانات الشخصية التي تفصّل أحكام النظام وتوضح آليات التطبيق. كما أطلقت عدة أدلة إرشادية تشمل: دليل تقييم الأثر على الخصوصية، ودليل الإخطار بحوادث تسريب البيانات، ودليل الموافقة.

- استقبال شكاوى المواطنين والمقيمين بخصوص انتهاكات الخصوصية
- التحقيق في المخالفات وإصدار الجزاءات
- إصدار التراخيص والتصاريح للأنشطة المتعلقة بمعالجة البيانات
- تقييم مستوى الحماية في الدول المستقبِلة للبيانات
- التوعية والتثقيف بأحكام النظام وحقوق الأفراد

## **روابط رسمية **

[الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)](https://sdaia.gov.sa) [ نص نظام حماية البيانات الشخصية](https://laws.boe.gov.sa/BoeLaws/Laws/LawDetails/b7cfae1a-0498-4cf7-874a-ac46012e3ead) [ هيئة الحكومة الرقمية](https://www.dga.gov.sa)

## **الأسئلة الشائعة **

صدر النظام في 2021 مع فترة انتقالية. دخل حيز التنفيذ الكامل في 14 سبتمبر 2024، وأصبحت جميع الجهات ملزمة بالامتثال لأحكامه وقابلة للعقوبات عند المخالفة.

نعم، يسري على أي جهة تعالج بيانات شخصية لمقيمين في المملكة حتى لو كان مقرها خارج المملكة. هذا يشمل المنصات الرقمية والتطبيقات العالمية التي تخدم مستخدمين في السعودية.

نعم، يحق لك طلب حذف بياناتك عندما ينتهي الغرض من جمعها أو عند سحب موافقتك. لكن هناك استثناءات: لا يجوز الحذف إذا كان الاحتفاظ بالبيانات مطلوباً بموجب نظام آخر (مثل السجلات المحاسبية أو التأمينات).

يتشابهان في المبادئ الأساسية (الموافقة، حقوق الأفراد، الإخطار بالتسريب). يختلفان في: مبلغ الغرامات (5 مليون ريال مقابل 4% من الإيرادات العالمية)، وآلية النقل الدولي، ووجود عقوبة السجن في النظام السعودي.

تشترط اللائحة التنفيذية تعيين مسؤول حماية بيانات في الجهات التي تعالج بيانات حساسة بكميات كبيرة أو التي يزيد عدد موظفيها عن حد معين. يُنصح بتعيينه في جميع المنشآت المتوسطة والكبيرة كإجراء وقائي.

يمكنك تقديم شكوى لدى الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) عبر موقعها الإلكتروني sdaia.gov.sa أو القنوات الرسمية المعتمدة. يجب وصف المخالفة بدقة وإرفاق أي أدلة متاحة.

يسري النظام على البيانات الشخصية بجميع أشكالها سواء كانت إلكترونية أو ورقية. أي سجل يحتوي على بيانات شخصية يخضع لأحكام النظام بغض النظر عن الوسيلة المستخدمة في تخزينه.

[العودة لجميع الأدلة](https://testwww.wdeftksa.com/sa/guides)