الامتثال لنظام حماية البيانات الشخصية السعودي للمسوقين: ما تحتاج معرفته قبل حملتك القادمة

بدأ تطبيق نظام حماية البيانات الشخصية السعودي في سبتمبر 2024. تعرّف على كيفية إعادة قواعد سدايا تشكيل البريد والرسائل النصية والواتساب وإعادة الاستهداف والإعلانات المبرمجة لكل مسوّق خليجي، مع قائمة تحقق عملية للامتثال.

في الرابع عشر من سبتمبر 2024، دخل نظام حماية البيانات الشخصية في المملكة العربية السعودية مرحلة التطبيق الكامل، وانتهت الفترة الانتقالية رسميًا. إذا كانت علامتك التجارية ترسل بريدًا إلكترونيًا واحدًا إلى عميل محتمل في الرياض، أو تشغّل بكسل ميتا على زيارات سعودية، أو ترسل رسالة واتساب جماعية إلى رقم سعودي، فأنت الآن جهة خاضعة للتنظيم بموجب القانون السعودي. تبدأ الغرامات بالإنذارات وترتفع إلى خمسة ملايين ريال سعودي لكل مخالفة، مع عقوبات جزائية قد تصل إلى السجن عامين في أشد الحالات. ومع ذلك، ما زالت معظم فرق التسويق في الخليج، حتى الأكثر تطورًا منها، تعمل على فرضية غامضة مفادها أن "النظام يشبه اللائحة الأوروبية"، والحقيقة أنه لا يشبهها.

هذا الدليل هو الإحاطة التنظيمية التي يجب أن يقرأها كل قائد تسويق ومسوّق أداء وشريك وكالة يعمل في السوق السعودي قبل حملته القادمة. سنتناول ما ينظّمه النظام فعليًا، ومن هي سدايا وما الصلاحيات التي تمتلكها، وكيف تختلف القواعد السعودية اختلافًا جوهريًا عن اللائحة الأوروبية في نقل البيانات عبر الحدود وتوطينها، والأهم من ذلك كله، كيف يعيد النظام تشكيل دليل التشغيل التكتيكي للبريد الإلكتروني والرسائل النصية والواتساب والإعلانات المبرمجة والبكسلات. ونختم بقائمة تحقق عملية تستطيع تسليمها لرئيس التسويق لديك صباح الإثنين.

ما الذي يغطيه نظام حماية البيانات الشخصية فعليًا

صدر نظام حماية البيانات الشخصية السعودي بموجب المرسوم الملكي رقم م/19 في سبتمبر 2021، وعُدّل بالمرسوم الملكي رقم م/148 في مارس 2023، ثم نشرت سدايا اللائحة التنفيذية ولائحة نقل البيانات الشخصية خارج المملكة في سبتمبر 2023. بدأ التطبيق الكامل في الرابع عشر من سبتمبر 2024 بعد فترة انتقالية مدتها عام كامل.

ينطبق النظام على أي معالجة للبيانات الشخصية المتعلقة بأفراد مقيمين في المملكة العربية السعودية، سواء جرت المعالجة داخل المملكة أو في أي مكان آخر في العالم. هذا النطاق خارج الإقليمي هو التفصيل الأول الذي يغفله معظم المسوقين الدوليين. فوكالة مقرها دبي تشغّل حملة مدفوعة تستهدف مقيمين سعوديين تقع ضمن مظلة النظام بغض النظر عن موقع خوادمها.

تُعرَّف "البيانات الشخصية" تعريفًا واسعًا: أي بيانات تُعرِّف الشخص الطبيعي أو تجعل التعرف عليه ممكنًا. فالأسماء وأرقام الهواتف وأرقام الهوية الوطنية وعناوين البريد الإلكتروني وعناوين IP ومعرّفات الأجهزة ومعرّفات ملفات الارتباط وبيانات الموقع وحتى الصور كلها تدخل ضمن هذا النطاق. وتُطلق فئة منفصلة تسمى "البيانات الحساسة" تشمل الأصل العرقي والمعتقد الديني والبيانات الصحية والجينية والحيوية والمالية والسجلات الأمنية والجنائية، التزامات أشد صرامة. وتتطلب البيانات الصحية والجينية بشكل خاص موافقة صريحة موثقة بشكل منفصل، وفي كثير من الحالات موافقة مسبقة من الجهة المنظمة.

سدايا: الجهة التنظيمية التي ترفع لها تقاريرك الآن

الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) هي الجهة التنظيمية الرئيسية للبيانات الشخصية في المملكة. ويُفوَّض الإشراف التشغيلي إلى المكتب الوطني لإدارة البيانات الذي يشرف على التسجيل والإرشاد والإنفاذ. وتحتفظ سدايا بسجل وطني لمراقبي البيانات، ويُنتظر من كل جهة تعالج بيانات شخصية لمقيمين سعوديين بحجم يتجاوز النطاق الضيق أن تُسجَّل.

أدوات الإنفاذ لدى سدايا جدية. فهي قادرة على إصدار الإنذارات، والأمر بإجراءات تصحيحية، وتعليق المعالجة، وفرض غرامات إدارية تصل إلى خمسة ملايين ريال لكل مخالفة (تُضاعَف عند التكرار، مع احتمال فرض ما يصل إلى 2% من الإيراد السنوي في حالات محددة)، ونشر قراراتها مع ذكر أسماء المخالفين، وإحالة القضايا للملاحقة الجزائية. وفي حالات الإفشاء غير المشروع للبيانات الحساسة بقصد الإضرار، قد يواجه الأفراد السجن حتى عامين إلى جانب غرامات تصل إلى ثلاثة ملايين ريال.

الالتزامات الرئيسية التي يجب على كل مسوّق معرفتها

تقوم خمس ركائز في النظام بإعادة كتابة طريقة عمل التسويق في المملكة.

1. الأساس النظامي والموافقة. الموافقة هي الأساس الافتراضي للمعالجة، وسقفها مرتفع. فالموافقة يجب أن تكون صريحة ومحددة ومستنيرة وموثقة. ولا تفي المربعات المؤشَّرة مسبقًا ولا الموافقات المجمّعة ولا شعارات "بمتابعتك تعتبر موافقًا" بالمعيار. وبالنسبة للتسويق المباشر — البريد والرسائل النصية والواتساب والإشعارات — فإن الموافقة المسبقة الصريحة مطلوبة عمليًا في السوق السعودي. وتوجد المصلحة المشروعة كأساس نظامي لكنها أضيق من نظيرها الأوروبي، وليست ملاذًا آمنًا للتسويق السلوكي.

2. حقوق صاحب البيانات. للمقيمين في المملكة الآن الحق في الإبلاغ والاطلاع والتصحيح وطلب الإتلاف وسحب الموافقة في أي وقت. والأهم من ذلك أن لهم الحق في طلب نقل بياناتهم إلى مراقب آخر، والحق في تقديم شكوى مباشرة إلى سدايا. ويجب الإقرار بالطلبات والاستجابة لها خلال ثلاثين يومًا. وكل فريق تسويق يحتاج إلى سير عمل موثّق ومختبر للاستجابة لهذه الطلبات، لا إلى صندوق بريد مشترك على Gmail.

3. الإخطار بالاختراق خلال 72 ساعة. يجب إخطار سدايا بأي اختراق للبيانات الشخصية قد يُلحق ضررًا خلال 72 ساعة من العلم به، وإخطار الأفراد المتأثرين دون تأخير. هذه مدة ضيقة. ومعظم مكدسات التسويق — منصة البريد والمنصة المعرفية للعملاء ومدير العلامات ونماذج التقاط العملاء وموصّلات الـ CRM — كلها تقع ضمن نطاق تأثير أي اختراق، ولا يكاد أي منها مجهّز للإشارة إلى الاختراق تلقائيًا. إن بناء دليل استجابة للحوادث لعمليات التسويق أمر غير قابل للتفاوض.

4. توطين البيانات والتحول الذي جرى في 2023. كانت المسودة الأصلية في 2021 تفرض عمليًا تخزين البيانات الشخصية داخل المملكة باستثناءات ضيقة. وخفّف تعديل مارس 2023 من هذا الاشتراط بشكل ملموس، وأصبح الوضع الافتراضي الآن نظام نقل مسموح به بشروط بدلًا من قاعدة توطين صارمة. ومع ذلك، ما زالت البيانات الحساسة والبيانات ذات الأهمية الوطنية وبعض مجموعات بيانات القطاع العام تواجه توقعات توطين، وما زال كثير من العملاء السعوديين من القطاع الخاص الكبير — خصوصًا في المصارف والرعاية الصحية والجهات الحكومية — يشترطون الاستضافة داخل المملكة كشرط تعاقدي.

5. النقل عبر الحدود. يُسمح بنقل البيانات الشخصية خارج المملكة، لكن بناءً على أساس نظامي محدد. ويقوم الإطار على مفهوم الدول التي توفّر "مستوى حماية كافيًا" وفق تقييم سدايا، إضافة إلى القواعد الملزمة للشركات، والبنود التعاقدية الموحدة، وفي حالات محدودة الموافقة الصريحة أو اختبار ضرورة موثّق. عمليًا، يعني ذلك أن اتفاقيات معالجة البيانات لديك مع ميتا وجوجل وتيك توك وسناب وهب سبوت وسيلز فورس وأي مورد آخر خارج المملكة تحتاج إلى مراجعة وتحديث وحفظ.

التداعيات التسويقية: حيث يلتقي النظام بالتنفيذ

النظام ليس وثيقة قانونية تجريدية، بل يعيد كتابة تكتيكات محددة يستخدمها كل مسوّق خليجي يوميًا.

البريد الإلكتروني والرسائل النصية. إن إرسال رسائل تسويقية إلى قائمة جهات اتصال سعودية مشتراة أو مجمّعة دون موافقة أصبح نشاطًا غير مشروع بوضوح بموجب النظام. وتُعدّ الموافقة المزدوجة الموثقة بالطابع الزمني هي المعيار العملي. وتخضع الرسائل النصية لرقابة أشد لأنها تتقاطع مع قواعد مكافحة الإزعاج لدى هيئة الاتصالات والفضاء والتقنية التي تسبق النظام. ويجب أن تتضمن إيصالات الموافقة القناة والغرض والطابع الزمني والنص الذي وافق عليه المستخدم.

الواتساب والقنوات الحوارية. يتطلب واتساب للأعمال، وفق سياسة ميتا نفسها، موافقة مسبقة. وبموجب النظام يصبح الاشتراط أشد: يجب أن تكون الموافقة خاصة بالواتساب وقابلة للفصل عن بقية الموافقات ومُرجَعة بإجراء واحد. كما يجب ربط الرسائل القالبية ونوافذ خدمة العملاء لمدة 24 ساعة وقوائم البث بأساس نظامي موثق. وأسهل مخالفة يمكن ارتكابها في النظام كله هي البث الجماعي للواتساب إلى قائمة بُنيت في حقبة ما قبل النظام.

الإعلانات السلوكية وبكسلات إعادة الاستهداف. تُسقط بكسلات ميتا وجوجل وتيك توك ولينكدإن ومنصات أخرى ملفات ارتباط وتجمع معرّفات أجهزة تُعد بيانات شخصية. وتشغيل هذه الأدوات على الزيارات السعودية دون أساس نظامي صالح يُعد مخالفة. والنتيجة العملية: تحتاج إلى شعار ملفات ارتباط يقوم على الموافقة المسبقة لا شعار تجميلي. ويجب ألا تُطلق العلامات قبل الموافقة. وأصبحت وضعية الموافقة v2 من جوجل، وواجهة تحويلات ميتا مع إشارات الموافقة، ومنصة إدارة الموافقة المُهيّأة للسوق السعودي بنية تحتية أساسية لا رفاهية.

الإعلانات المبرمجة وأسواق الجمهور. إن رفع قائمة عملاء إلى منصة طلب، أو بناء جمهور مشابه على فيسبوك، يتطلب موافقة صريحة وموثقة من كل شخص في القائمة على ذلك الاستخدام المحدد. وتُعد حملات المطابقة وبحيرات إعادة الاستهداف ورفع التحويلات دون الاتصال الأنشطة الثلاثة الأعلى مخاطر في أي تدقيق سعودي. فإذا لم تستطع وكالتك إبراز سجل موافقة القائمة فلا ترفع القائمة.

شعارات ملفات الارتباط بشكل صحيح

تحتاج شعارات ملفات الارتباط في السوق السعودي إلى أربعة شروط لتفي بالنظام. أولًا، يجب أن تعرض خيارًا واضحًا — زر "قبول" وزر "رفض" وزر "إدارة" بنفس الوضوح والحجم. ثانيًا، يجب أن تمنع العلامات غير الضرورية من الإطلاق حتى اشتراك المستخدم. ثالثًا، يجب أن تكون مفصّلة ليستطيع المستخدم قبول التحليلات ورفض الإعلانات. رابعًا، يجب أن تُسجِّل الموافقة في سجل قابل للاسترجاع والمراجعة. ومعظم "إشعارات ملفات الارتباط" في الخليج اليوم لا تستوفي أيًا من هذه الشروط الأربعة. وهذا من أسرع المجالات التي تحقق فيها استشارات التسويق الاستراتيجية خفضًا فوريًا للمخاطر.

مسؤول حماية البيانات والحوكمة: من المحاسب فعليًا

يُلزم النظام بعض المراقبين بتعيين مسؤول لحماية البيانات. ويُعدّ تعيين مسؤول داخلي أو معادل خارجي موثّق إلزاميًا عمليًا إذا كنت جهة عامة، أو تعالج بيانات شخصية كنشاط رئيسي (والتسويق على نطاق واسع يندرج ضمن ذلك)، أو تعالج بيانات حساسة بنطاق واسع. ويجب أن يكون المسؤول متاحًا لأصحاب البيانات ولسدايا، وأن يرفع تقاريره إلى أعلى مستوى إداري. وتحتاج الوكالات التي تعمل معالجًا إلى محاكاة هذه البنية في مؤسساتها.

وبجانب مسؤول حماية البيانات، يتوقع النظام سجلًا لأنشطة المعالجة، وتقييم أثر على حماية البيانات للمعالجة عالية المخاطر، وسياسة تصنيف بيانات، وجدولًا زمنيًا للاحتفاظ، وسجلات عناية واجبة للموردين، واتفاقية معالجة موقّعة مع كل معالج. ويجب أن يظهر كل عنصر في مكدس التسويق الحديث — منصات البريد والمنصات المعرفية والـ CRM ومنصات إدارة الموافقة والمنصات الإعلانية والتحليلات — في سجل الأنشطة بالاسم والموقع والأساس النظامي.

النظام السعودي مقابل اللائحة الأوروبية: الفروق التي تهم فعليًا

إن فرضية "النظام السعودي مجرد لائحة أوروبية بغلاف عربي" هي الفرضية الأعلى كلفة التي يمكن أن يعتمدها المسوّق. فالإطاران متشابهان لكنهما يختلفان في نقاط تؤثر مباشرة على إستراتيجية الحملة.

تُصاغ الموافقة في النظام السعودي بشكل أكثر صرامة للتسويق. والمصلحة المشروعة كأساس نظامي أضيق وقلّما تصلح للإعلانات السلوكية. ويعتمد النقل عبر الحدود على قائمة كفاية تحددها سدايا لا على قائمة المفوضية الأوروبية، ولم تُمنح سوى جهات قليلة جدًا حتى تاريخه صفة الكفاية السعودية، ما يعني أن البنود التعاقدية الموحدة والقواعد الملزمة للشركات والموافقة الصريحة هي الآليات العملية. وتوقعات توطين البيانات الحساسة والبيانات القريبة من القطاع الحكومي أقوى في المملكة منها في اللائحة الأوروبية. كما توجد عقوبات جزائية في المملكة على الإفشاء الضار المتعمد، بينما تظل اللائحة الأوروبية نظامًا مدنيًا. وأخيرًا، موقف سدايا في الإنفاذ نشط وظاهر: فاشتراطات التسجيل وصلاحيات التدقيق والسجل العام المتنامي لقرارات الإنفاذ تجعل من "التحليق تحت الرادار" إستراتيجية ضعيفة أكثر فأكثر.

قائمة تحقق عملية للامتثال لفرق التسويق

استخدم هذه القائمة نقطة انطلاق مع فريقي الشؤون القانونية وتقنية المعلومات.

  1. رسم خريطة كل مجموعة بيانات تحتوي على بيانات شخصية لمقيمين سعوديين عبر منصة البريد والـ CRM والمنصة المعرفية والتحليلات والمنصات الإعلانية وأدوات التقاط العملاء.
  2. تحديد الأساس النظامي لكل نشاط معالجة وتدوينه في سجل الأنشطة.
  3. مراجعة كل سجل موافقة قائم. حيث تسبق الموافقة فترة النظام أو لا تفي باختبار "الحرة المحددة المستنيرة الموثقة"، يجب إعادة الموافقة أو الإخفاء.
  4. نشر منصة إدارة موافقة تقوم على الموافقة أولًا ومهيّأة للسوق السعودي، مع حجب العلامات افتراضيًا وفئات مفصّلة.
  5. تفعيل وضعية الموافقة v2 من جوجل، وواجهة تحويلات ميتا بإشارات الموافقة، ووسم من جانب الخادم حيثما أمكن.
  6. مراجعة كل اتفاقية معالجة بيانات مع موردي التسويق الدوليين لبنود النقل عبر الحدود ومكافئات البنود التعاقدية الموحدة.
  7. تعيين مسؤول لحماية البيانات أو معادل موثّق ونشر بيانات تواصله في إشعار الخصوصية.
  8. إجراء تقييم أثر على حماية البيانات لكل نوع حملة عالي المخاطر: الإعلانات المبرمجة، والجماهير المشابهة، واستهداف الفئات الحساسة، والرعاية الصحية والتمويل والقاصرين.
  9. بناء واختبار سير عمل استجابة لطلبات أصحاب البيانات باتفاقية مستوى خدمة مدتها ثلاثون يومًا.
  10. كتابة دليل استجابة اختراق مدته 72 ساعة يغطي أنظمة التسويق تحديدًا.
  11. تدريب فريق التسويق الداخلي وشركاء الوكالة. الفريق غير المدرَّب هو السبب الجذري الأكثر شيوعًا للاختراقات.

النظام ليس سببًا لإبطاء التسويق في السوق السعودي، بل سبب لتطويره مهنيًا. فالعلامات التي تتعامل مع الامتثال بوصفه قدرة لا كلفة ستبني أصول موافقة أكثر متانة، وقوائم عملاء محتملين أعلى جودة، ومخاطر اكتساب أقل بشكل قابل للقياس من منافسيها الذين يلتزمون بالدليل القديم. السوق السعودي هو الأكبر في الخليج وينمو بسرعة، وهو يكافئ المشغّلين الذين يحترمونه.

إذا رغبت في تدقيق حملة ومكدس تسويقي جاهز للنظام السعودي، يبني فريقنا برامج تسويق رقمي متوافقة وعالية الأداء للقطاعات المنظَّمة في المملكة ودول الخليج. احجز جلسة مراجعة امتثال وسنُقارن مكدسك الحالي بقائمة تحقق النظام في جلسة عمل واحدة.

الأسئلة الشائعة

هل ينطبق النظام على وكالتي في دبي إذا كان عميلي في الإمارات؟

نعم، إذا كان أي من جمهور الحملة أو العملاء المحتملين أو البيانات الشخصية المخزنة يتعلق بمقيمين سعوديين. فالنظام خارج إقليمي. وموقع وكالتك أو عميلك أو خوادمك لا يغيّر من قابلية التطبيق.

هل ما زال بإمكاني تشغيل حملات ميتا وجوجل في المملكة؟

نعم. يجب أن تضمن عدم إطلاق العلامات إلا بعد موافقة صالحة، وأن تكون بنود النقل عبر الحدود في اتفاقية المعالجة مع المنصة موثقة، وأن يكون أي رفع لجمهور مخصص مدعومًا بموافقة محددة موثقة لذلك الاستخدام. ووضعية الموافقة v2 وواجهة التحويلات هما المعيار الحالي.

ما حجم الغرامة على مخالفة النظام؟

يمكن أن تصل الغرامات الإدارية إلى خمسة ملايين ريال لكل مخالفة وتُضاعَف عند التكرار. وقد تؤدي حالات مشددة محددة إلى عقوبات إضافية مرتبطة بالإيراد السنوي. كما قد يؤدي الإفشاء الضار المتعمد للبيانات الشخصية إلى عقوبات جزائية تشمل السجن حتى عامين.

هل عليّ تخزين بيانات العملاء السعوديين داخل المملكة؟

ليس لمعظم الفئات بعد تعديل 2023 — إذ يُسمح بالنقل عبر الحدود وفق آليات نظامية محددة. ومع ذلك، تواجه البيانات الحساسة وبعض بيانات القطاع العام والبيانات المصنفة ذات أهمية وطنية توقعات توطين أقوى، وما زال كثير من فرق المشتريات في الشركات السعودية الكبرى يشترط الاستضافة داخل المملكة كشرط تعاقدي.

هل ما زال التسويق عبر الواتساب ممكنًا بموجب النظام؟

نعم، بموافقة محددة وقابلة للفصل ومسجّلة تخص قناة الواتساب، وغرض واضح، وإلغاء اشتراك بخطوة واحدة. والبث إلى قوائم ما قبل النظام دون موافقة جديدة هو أسرع طريقة لإحداث شكوى إلى سدايا.