الخدماتالتقييمالمصادرمن نحنتواصل معنا
EN
← المصادر
وضوح تنظيمي

المادة 29 من نظام حماية البيانات: ما الذي تتطلبه «الحماية الكافية» فعلياً؟

توضح اللوائح التنفيذية الشروط التي بموجبها يمكن نقل البيانات الشخصية خارج المملكة العربية السعودية. معظم المنظمات لا تستوفي الحد المطلوب.

28 April 2026

ما الذي تنص عليه المادة 29 فعلاً؟

تحظر المادة 29 من نظام حماية البيانات الشخصية في المملكة العربية السعودية نقل البيانات الشخصية خارج المملكة، ما لم تكن الدولة المستقبِلة أو الجهة المستقبِلة توفر مستوى من الحماية للبيانات الشخصية مكافئاً على الأقل لما يكفله النظام ذاته. وتُفصّل اللوائح التنفيذية الصادرة عن هيئة البيانات والذكاء الاصطناعي (سدايا) المتطلبات الإجرائية والموضوعية التي يتعين على المنظمات استيفاؤها قبل إجراء أي عملية نقل من هذا القبيل.

قد تبدو المادة 29 في ظاهرها بسيطة، غير أن عبء الامتثال الذي تفرضه ليس كذلك.

الأسس القانونية الثلاثة للنقل العابر للحدود

بموجب نظام حماية البيانات ولوائحه التنفيذية، يجوز للمنظمة نقل البيانات الشخصية خارج المملكة استناداً إلى أحد الأسس الثلاثة الآتية:

  • قرار الكفاية: صدر قرار من سدايا يُقرّ بأن دولة الاستقبال أو المنظمة الدولية توفر حماية كافية. وحتى تاريخ كتابة هذا المقال، لم تنشر المملكة العربية السعودية قائمة كفاية رسمية، مما يُسقط هذا الأساس بالنسبة لمعظم عمليات النقل الحالية.
  • الضمانات الملائمة: وضعت المنظمة الناقلة ضمانات ملائمة، كالبنود التعاقدية المعتمدة أو المعترف بها بموجب القانون السعودي، أو القواعد الملزمة للشركات المتعلقة بعمليات النقل داخل المجموعة، أو غيرها من الآليات التي تقبلها سدايا بوصفها توفر حماية مكافئة. ويجب توثيق هذه الضمانات قبل إجراء النقل لا بعده.
  • الاستثناءات المحددة: في ظروف محدودة، يجوز إجراء النقل دون قرار كفاية أو ضمانات. ويعترف نظام حماية البيانات باستثناءات تشمل: الموافقة الصريحة لصاحب البيانات، وتنفيذ عقد يكون صاحب البيانات طرفاً فيه، والمصلحة العامة، وإثبات المطالبات القانونية أو ممارستها، وحماية المصالح الحيوية. وهذه الاستثناءات ضيقة النطاق ولا يجوز استخدامها بديلاً عاماً عن آليات النقل المنظمة.

معنى "الحماية الكافية" على أرض الواقع

لا تُعرَّف عبارة "الحماية الكافية" بالإحالة إلى قائمة مرجعية. تشير اللوائح التنفيذية لسدايا إلى أن الكفاية تُقيَّم بالنظر في: طبيعة البيانات، والغرض من المعالجة ومدتها، وقوانين دولة الاستقبال، والتدابير التقنية والتنظيمية المعتمدة لدى المستقبِل.

وفيما يخص المنظمات المستندة إلى أساس الضمانات الملائمة، فإن ذلك يعني ضرورة وجود اتفاقية نقل مكتوبة أو بنود تعاقدية تتناول بحدٍّ أدنى: تقييد الغرض من البيانات المنقولة، والتدابير الأمنية التي يلتزم المستقبِل بتطبيقها، وحقوق أصحاب البيانات التي يكفلها المستقبِل، وآلية التدقيق أو التحقق، وإجراءات إخطار الخرق. واتفاقية معالجة البيانات مع الموردين التي صيغت وفق معايير اللائحة العامة لحماية البيانات الأوروبية (GDPR) لا تُعدّ تلقائياً متوافقة مع متطلبات نظام حماية البيانات السعودي، إذ تتداخل المعايير لكنها ليست متطابقة.

متطلبات التوثيق

الامتثال للمادة 29 ليس تقييماً يُجرى مرة واحدة. يُلزم نظام حماية البيانات المنظماتِ بحفظ سجلات أنشطة النقل العابر للحدود ضمن سجل معالجة البيانات الأشمل. ولكل عملية نقل، يجب أن يتضمن السجل: الأساس القانوني المستند إليه، وهوية المستقبِل، وفئات البيانات المنقولة، ودولة الاستقبال، وعند الاستناد إلى ضمانات، نسخة من الصك الذي يوفرها أو إشارة إليه.

وعلى أرض الواقع، فإن المنظمات التي تعتمد على بنية تحتية سحابية مستضافة خارج المملكة، أو موردي برمجيات خدمية يعالجون البيانات الشخصية في ولايات قضائية أجنبية، أو كيانات مجموعة تتبادل بيانات الموارد البشرية والعملاء عبر الحدود، تُجري عمليات نقل عابرة للحدود سواء وثّقتها بهذه الصفة أم لا. وكل تلك التدفقات تستوجب أساساً قانونياً.

الثغرات الشائعة

تكشف أنماط التطبيق وتقييمات الامتثال عن إخفاقات متكررة:

  • عمليات نقل غير موثقة: لم ترسم المنظمات خرائط تدفقات البيانات العابرة للحدود، فلا تستطيع تالياً تقييم مدى توافر أساس قانوني لتلك التدفقات.
  • الاعتماد على كفاية غير موجودة: تفترض بعض المنظمات أن النقل إلى مزودي الخدمات السحابية الكبرى أو إلى الدول الخاضعة لـ GDPR مسموح به تلقائياً، وهذا غير صحيح. الكفاية في نظام حماية البيانات تحديدٌ سعودي لم يصدر بعد.
  • اتفاقيات موردين عامة: لا تتضمن الاتفاقيات القياسية مع الموردين الأحكام الخاصة بنظام حماية البيانات اللازمة لتشكيل ضمانات ملائمة بموجب القانون السعودي.
  • التوسع في تطبيق الاستثناءات: تلجأ بعض المنظمات إلى استثناء الضرورة التعاقدية أو الموافقة لعمليات نقل جماعية ومستمرة، وهو ما لا يجوز استخدام الاستثناء الضيق النطاق من أجله.
  • غياب آلية التدقيق: حتى حيث توجد بنود تعاقدية، فإنها لا تتضمن حق التدقيق أو التحقق، وهو عيب جوهري في صك الضمان ذاته.

الحد المطلوب للامتثال بعبارة صريحة

تستوفي المنظمةُ متطلباتِ المادة 29 حين تستطيع إثبات، بالتوثيق، أن كل تدفق بيانات عابر للحدود قد جرى رصده، وأن لكل تدفق أساساً قانونياً محدداً بموجب نظام حماية البيانات، وأن أي استناد إلى الضمانات يدعمه صك يعالج المتطلبات الموضوعية. وغياب قائمة الكفاية السعودية ليس إعفاءً مؤقتاً، بل هو البيئة القانونية السارية. والمنظمات التي تعمل على افتراض صدور قائمة كفاية وتطبيق حكم انتقالي على عمليات النقل الجارية تُخطئ في تقدير المخاطر التنظيمية.

الخطوة التالية

افهم مستوى تعرضك على مستوى البنود.

احصل على تقييم جاهزية الذكاء الاصطناعي المجاني — 15 دقيقة، نتائج فورية، مرتبطة بنظام حماية البيانات وNCA ECC-2:2024 وهيئة البيانات.

ابدأ التقييم