الخدماتالتقييمالمصادرمن نحنتواصل معنا
EN
← المصادر
تطبيق الأنظمة

48 قراراً تنفيذياً: ما الذي عاقبت عليه هيئة البيانات فعلاً؟

تكشف المراجعة التفصيلية لكل قرارات هيئة البيانات والذكاء الاصطناعي التنفيذية المؤكدة منذ نوفمبر 2024 عن أنماط تفوّتها معظم تقييمات الامتثال.

1 April 2026

سجل التطبيق: نطاق التغطية

منذ دخول أحكام التطبيق في نظام حماية البيانات الشخصية حيز النفاذ في نوفمبر 2024، أصدرت هيئة البيانات والذكاء الاصطناعي 48 قراراً تنفيذياً مؤكداً. تمتد هذه القرارات على شكاوى مقدمة من أصحاب البيانات، وتحقيقات أطلقتها الهيئة بمبادرة منها، وقضايا أُحيلت إليها من جهات تنظيمية أخرى. لا تُنشر القرارات بصفة موحدة مع كامل تفاصيلها الوقائعية، غير أن السجل المتاح — بما يشمل القرارات المُفصَح عنها في ملخصات التطبيق، والقرارات التي أجرت الجهات المعنية بشأنها إفصاحات تنظيمية، والقرارات المُشار إليها في إصدارات الهيئة التوجيهية — يوفر بيانات كافية لرصد أنماط ذات دلالة.

يتناول هذا التحليل فئات الانتهاكات التي طالتها العقوبات، ونطاقات الغرامات المطبقة، وأنماط الاستهداف التنفيذي التي يكشف عنها السجل. المنظمات التي تُجري تقييمات امتثال دون الأخذ بعين الاعتبار السجل التنفيذي الفعلي إنما تعيار تقييماتها للمخاطر وفق نص القانون لا وفق القانون كما يُطبَّق.

فئات الانتهاكات التي طالتها العقوبات

تتجمع القرارات الـ 48 في أربع فئات رئيسية من الانتهاكات، كثيراً ما تتداخل:

  • المعالجة غير المصرح بها (19 قراراً): معالجة البيانات الشخصية دون أساس قانوني سليم بموجب المادة 4 من النظام. يتضمن النمط الوقائعي الأكثر شيوعاً قيام منظمات بمعالجة البيانات الشخصية لأغراض تسويقية أو تجارية دون موافقة صحيحة، أو الاستناد إلى الضرورة التعاقدية أساساً لأنشطة معالجة تتجاوز نطاق العقد الأصلي بصورة جوهرية. وتشمل الأنماط الثانوية مراقبة الموظفين دون الإفصاح عن الأساس القانوني، ومشاركة البيانات الشخصية مع الشركات التابعة دون توثيق أساس النقل.
  • إخفاقات الموافقة (14 قراراً): إما الحصول على الموافقة عبر آليات لا تستوفي اشتراطات النظام (موافقة مجمّعة، أو قائمة على مبدأ الإلغاء بدلاً من الانضمام، أو موافقة مشروطة بالخدمة حيث لا تكون المعالجة ضرورية صرفاً)، أو معالجة البيانات خارج نطاق الموافقة المحصّلة. تتعلق عدة قرارات في هذه الفئة بموافقات حصل عليها قبل تاريخ نفاذ النظام ولم يجرِ تجديدها وفق المعيار الجديد.
  • إخفاقات إخطار الخرق (9 قرارات): الإخفاق في إخطار الهيئة ضمن نافذة 72 ساعة عقب الاطلاع على خرق البيانات، أو تقديم إخطار يفتقر إلى المحتوى المطلوب (فئات البيانات المتأثرة، وعدد أصحاب البيانات، والعواقب المحتملة، والإجراءات المتخذة). تضمنت إحدى القضايا تأخيراً متعمداً في الإخطار ريثما تُجرى تحقيقات داخلية — وهو نهج عالجته الهيئة صراحةً في قرارها بوصفه غير مقبول.
  • انتهاكات النقل العابر للحدود (6 قرارات): نقل البيانات الشخصية خارج المملكة دون أساس قانوني سليم أو دون التوثيق الذي تشترطه اللوائح التنفيذية. تضمنت القرارات الست جميعها عمليات نقل إلى مزودي خدمات سحابية أو برمجيات خدمية دون أي آلية نقل موثقة، أو في حالتين مع توثيق قاصر (اتفاقيات موردين عامة لم تتضمن الأحكام الموضوعية المطلوبة).

نطاقات الغرامات

يُجيز نظام حماية البيانات فرض غرامات تصل إلى 5,000,000 ريال سعودي للمخالفات الأولى و10,000,000 ريال سعودي للمخالفات المتكررة، مع غرامات إضافية للانتهاكات التي تمس البيانات الشخصية الحساسة. ويُظهر سجل التطبيق حتى الآن:

  • تراوحت غرامات المعالجة غير المصرح بها بين 100,000 و2,500,000 ريال، وطُبّق الحد الأعلى في القضايا التي اشتملت على أعداد كبيرة من أصحاب البيانات، أو كانت الانتهاكات متعمدة، أو تضمنت معالجة بيانات شخصية حساسة.
  • تراوحت غرامات إخفاقات الموافقة بين 50,000 و1,500,000 ريال، وطُبّقت الغرامات الأدنى حيث بذلت المنظمة جهوداً حسنة النية لتصحيح آلية الموافقة عقب إخطار من الهيئة.
  • جذبت إخفاقات إخطار الخرق غرامات تتراوح بين 200,000 و3,000,000 ريال، وطُبّقت أعلى الغرامات في هذه الفئة حيث كان التأخير جوهرياً (إخطار بعد أكثر من أسبوعين من انقضاء مهلة 72 ساعة) أو حيث أخفقت المنظمة في إخطار أصحاب البيانات إلى جانب الهيئة.
  • تراوحت غرامات انتهاكات النقل العابر للحدود بين 500,000 و2,000,000 ريال.

أنماط الاستهداف التنفيذي

تبرز عدة أنماط في الاستهداف التنفيذي لهيئة البيانات والذكاء الاصطناعي:

  • التركز القطاعي: يمثل القطاع المالي والرعاية الصحية والتجارة الإلكترونية أكثر من 60% من القرارات الـ 48، وهي قطاعات تعالج أحجاماً كبيرة من البيانات الشخصية الحساسة أو ذات القيمة التجارية، مما يشير إلى تحديد مدروس من الهيئة لقطاعات ذات أثر واسع.
  • الشكاوى كمحفزات: ما يقارب ثلثي القرارات صدر استجابةً لشكاوى أصحاب البيانات لا لعمليات تفتيش استباقية، مما يعني ارتباطاً وثيقاً بين التعرض للتطبيق التنفيذي وممارسات التعامل المباشر مع العملاء — تدفقات الموافقة، وإشعارات الخصوصية، والوفاء بحقوق أصحاب البيانات — أكثر من ارتباطه ببنية المعالجة في الخلفية.
  • تصعيد العقوبات عند التكرار: تلقّت أربع منظمات من بين القرارات الـ 48 غرامات متصاعدة لانتهاكات وصفتها الهيئة بعدم الامتثال المتكرر، حيث كانت كل منها قد تلقت سابقاً تحذيراً أو توجيهاً تصحيحياً لم يُنفَّذ بالكامل.
  • التوثيق عاملٌ مخفِّف: في ملخصات قرارات متعددة، أشارت الهيئة إلى وجود أو غياب تدابير الامتثال الموثقة عاملاً في معايرة الغرامة. المنظمات التي احتفظت بسجلات المعالجة، وأجرت تقييمات أثر حماية البيانات، أو امتلكت سياسات مكتوبة — حتى وإن كانت الممارسة الفعلية غير متوافقة — تلقّت غرامات أخف من المنظمات التي لا تمتلك أي بنية توثيقية على الإطلاق.

ما يُلقنه السجل للمنظمات

يُفضي سجل التطبيق إلى عدة استنتاجات عملية. تحمل آليات الموافقة الموجهة للعملاء وحقوق أصحاب البيانات مخاطر تنفيذية غير متناسبة، لكونها المحفز الرئيسي للشكاوى. تُعاقَب إخفاقات إخطار الخرق بصرامة أكبر مما قد يوحي به تكرارها في السجل، إذ أشارت الهيئة إلى أولوية الإخطار في حينه. أما انتهاكات النقل العابر للحدود فتبدو في السجل أقل تمثيلاً نسبةً إلى احتمالية انتشارها الفعلي في السوق — مما يوحي إما بأن هذا المجال هدف تنفيذي مستقبلي، أو أن كثيراً من الانتهاكات لم تسطح بعد عبر الشكاوى. وأخيراً، يُعمل التوثيق — حتى غير المكتمل — مُخففاً للعقوبة لا تستثمره أغلب المنظمات استثماراً كافياً.

الخطوة التالية

افهم مستوى تعرضك على مستوى البنود.

احصل على تقييم جاهزية الذكاء الاصطناعي المجاني — 15 دقيقة، نتائج فورية، مرتبطة بنظام حماية البيانات وNCA ECC-2:2024 وهيئة البيانات.

ابدأ التقييم