قوانين خصوصية البيانات في البحرين: الدليل الكامل لقانون حماية البيانات الشخصية (PDPL) رقم 30 لسنة 2018 (2026)

دخل قانون حماية البيانات الشخصية في البحرين (PDPL)، القانون رقم 30 لسنة 2018، حيز التنفيذ في 1 أغسطس 2019، ليجعل المملكة أول دولة من دول مجلس التعاون الخليجي (GCC) تسن تشريعاً مستقلاً وشاملاً لحماية البيانات. وتتولى هيئة حماية البيانات الشخصية (PDPA) الإشراف على الامتثال لهذا القانون، حيث أُنيطت مهامها بوزارة العدل والشؤون الإسلامية والأوقاف بموجب المرسوم الملكي رقم 78 لسنة 2019.
تم التحقق من هذه المعلومات آخر مرة في 2026-05-19. لم تتم مراجعة هذه المقالة بعد من قبل محامٍ مرخص.
النطاق القانوني: تتناول هذه المقالة قانون حماية البيانات في مملكة البحرين بموجب القانون رقم 30 لسنة 2018 (PDPL) وقراراته التنفيذية. ولا تتناول قوانين الموافقة على التسجيل في البحرين؛ للاطلاع على ذلك، راجع قوانين التسجيل في البحرين.
إجابة سريعة: هل قانون حماية البيانات في البحرين مكافئ للائحة GDPR؟
يشترك قانون PDPL البحريني مع لائحة GDPR الأوروبية في البنية العامة نفسها: الأسس القانونية للمعالجة، وحقوق أصحاب البيانات، والإخطار بخرق البيانات، والرقابة من جهة إشرافية مختصة، والقيود على نقل البيانات عبر الحدود. أما الفروق الجوهرية فتتمثل في نطاق التنفيذ (إذ إن الحد الأقصى للغرامات في البحرين أقل بكثير من الحد الأقصى بموجب GDPR البالغ 20 مليون يورو أو 4% من إجمالي حجم الأعمال العالمي)، وغياب آلية رسمية للحماية الكافية معترف بها من جانب الاتحاد الأوروبي تجاه البحرين، وكون قانون PDPL مبنياً كتشريع واحد تكمّله عشرة قرارات وزارية بدلاً من لائحة تنفيذية مباشرة. وبشكل عام، تجد المؤسسات الخاضعة لكل من GDPR وPDPL أن الامتثال للائحة GDPR يغطي معظم التزامات PDPL، مع بعض الفجوات المتعلقة برسوم تسجيل أمين حماية البيانات، وإجراءات الإخطار الخاصة بالبحرين، وقائمة الحماية الكافية الواردة في القرار رقم 42 لسنة 2022.

قانون PDPL: الخلفية التاريخية والسياق التشريعي
أصدرت البحرين القانون رقم 30 لسنة 2018 بشأن حماية البيانات الشخصية في 12 يوليو 2018. ودخل القانون حيز التنفيذ في 1 أغسطس 2019 بعد فترة تطبيق مدتها سنة واحدة. ويحل هذا القانون محل أي تشريع سابق يتعارض مع أحكامه، وينطبق على جميع الأشخاص الطبيعيين والاعتباريين الذين يعالجون بيانات شخصية داخل البحرين أو انطلاقاً منها.
ويستمد هذا القانون بنيته من اللائحة العامة لحماية البيانات الأوروبية (GDPR)، مع مراعاة السياق القانوني البحريني بوصفها ملكية خليجية متأثرة بتقاليد القانون المدني. ولا ينقل قانون PDPL لائحة GDPR بكاملها؛ إذ يستبعد مفهوم الجهة الرقابية الرائدة في المعالجة عبر الحدود، ويحدد عقوبات مالية أقل، ويجعل الجهة الرقابية هيئة حكومية قائمة على مجلس إدارة بدلاً من سلطة إدارية مستقلة.
وفي 17 مارس 2022، أصدرت الهيئة عشرة قرارات وزارية (القرارات من 41 إلى 50 لسنة 2022)، دخلت حيز النفاذ في اليوم التالي فور نشرها في الجريدة الرسمية. وتستكمل هذه القرارات التفاصيل التنفيذية التي تركها قانون PDPL للتشريعات الفرعية.
وينطبق قانون PDPL على المعالجة التي يقوم بها متحكمون أو معالجون بيانات مستقرون في البحرين، كما ينطبق (بحكم يتسق مع المادة 3(2) من GDPR) على المعالجة التي تقوم بها جهات خارج البحرين متى تعلقت بالبيانات الشخصية لأفراد موجودين داخل البحرين.

الجهة الرقابية: هيكل هيئة حماية البيانات الشخصية وصلاحياتها
التأسيس بموجب المرسوم الملكي رقم 78 لسنة 2019
أنشأ قانون PDPL هيئة حماية البيانات الشخصية (PDPA) بوصفها الجهة الرقابية بموجب المواد من 27 إلى 39. ونظراً لأن مجلس إدارة الهيئة المستقل لم يكن قد شُكّل بعد عند دخول القانون حيز التنفيذ، أناط المرسوم الملكي رقم 78 لسنة 2019 مهام واختصاصات الهيئة بوزارة العدل والشؤون الإسلامية والأوقاف. ويعني هذا الترتيب أن الوزارة تتولى عملياً دور الجهة الرقابية، من خلال وحدة داخلية تابعة لها معنية بحماية البيانات الشخصية.
وسيضم مجلس إدارة الهيئة، عند اكتماله، ممثلين يُرشَّحون من الجهات التالية:
- هيئة تنظيم الاتصالات (TRA)
- مصرف البحرين المركزي (CBB)
- غرفة تجارة وصناعة البحرين (BCCI)
- الجهة الأكثر تمثيلاً للأطراف المعنية في قطاع المؤسسات المالية
- الجهة الأكثر تمثيلاً لأخصائيي تقنية المعلومات
الاختصاصات وصلاحيات الإنفاذ
تشمل اختصاصات الهيئة بموجب قانون PDPL ما يلي:
- مراقبة الامتثال للقانون وقراراته التنفيذية
- تلقي شكاوى أصحاب البيانات والتحقيق فيها (وفق الإجراءات المحددة في القرار رقم 49 لسنة 2022)
- إجراء عمليات تدقيق وتفتيش على المتحكمين بالبيانات والمعالجين
- إصدار الإرشادات والتوصيات والقرارات الإدارية الملزمة
- الاحتفاظ بالسجل الرسمي للإخطارات والتصاريح بموجب المادة 16
- إحالة القضايا للنيابة العامة في الحالات التي ينص فيها قانون PDPL على عقوبات جنائية
- إصدار أوامر وقف تحول دون جمع البيانات الشخصية أو معالجتها أو نقلها
وينشر الموقع الإلكتروني للهيئة (pdp.gov.bh) النص الكامل لقانون PDPL، وجميع القرارات الوزارية العشرة باللغتين العربية والإنجليزية، إضافة إلى وثائق إرشادية موجهة للمؤسسات.

النطاق والتعريفات الأساسية
الجهات والأنشطة الخاضعة للقانون
يشمل قانون PDPL معالجة البيانات الشخصية من قِبل أي شخص طبيعي أو اعتباري: الجهات الحكومية، والشركات الخاصة، والمنظمات غير الربحية، والأفراد. ولا يوجد أي استثناء لما يُسمى «المنشآت الصغيرة».
وتعني «المعالجة» أي عملية تُجرى على البيانات الشخصية، بما في ذلك: الجمع، والتسجيل، والتنظيم، والهيكلة، والتخزين، والتكييف، والاسترجاع، والاطلاع، والاستخدام، والإفصاح عن طريق النقل، والنشر، والتقييد، والمحو، والإتلاف.
والمتحكم بالبيانات هو الشخص الطبيعي أو الاعتباري الذي يحدد أغراض المعالجة ووسائلها. أما معالج البيانات فهو الشخص الذي يعالج البيانات نيابة عن المتحكم وبناءً على تعليماته.
البيانات الشخصية والبيانات الشخصية الحساسة
تعني «البيانات الشخصية» أي بيانات تتعلق بشخص طبيعي محدد الهوية أو قابل للتحديد، بشكل مباشر أو غير مباشر. ويشمل ذلك الأسماء، وأرقام الهوية، والعناوين، وأرقام الهاتف، وعناوين البريد الإلكتروني، وعناوين IP، وأي معلومات أخرى يمكن استخدامها لتحديد هوية الفرد.
وتشمل البيانات الشخصية الحساسة بموجب المادة 2 من قانون PDPL البيانات المتعلقة بما يلي:
- الأصل العرقي أو الإثني
- الآراء السياسية
- المعتقدات الدينية أو الآراء الفلسفية
- العضوية في النقابات العمالية
- الحالة الصحية الجسدية أو العقلية
- الحياة الجنسية
- السجلات أو المخالفات الجنائية
- الأصول العائلية
ويحدد القرار رقم 45 لسنة 2022 قواعد وإجراءات تفصيلية لمعالجة البيانات الشخصية الحساسة، بما في ذلك آلية الحصول على إذن مسبق من الهيئة عند اللزوم.
مبادئ جودة البيانات
تحدد المادة 6 من قانون PDPL مبادئ جودة البيانات التي تحكم جميع عمليات المعالجة. ويجب أن تكون البيانات الشخصية:
- معالَجة بطريقة مشروعة وشفافة
- مجموعة لأغراض محددة وصريحة ومشروعة، ولا تُعالَج لاحقاً بطريقة تتعارض مع تلك الأغراض
- كافية وملائمة ومقتصرة على ما هو ضروري بالنسبة للأغراض التي تُعالَج من أجلها
- دقيقة، ومحدَّثة عند الضرورة
- محفوظة بشكل يسمح بتحديد هوية أصحاب البيانات لمدة لا تتجاوز ما هو ضروري
- معالَجة بطريقة تضمن مستوى مناسباً من الأمان
وتنطبق هذه المبادئ بصرف النظر عن الأساس القانوني المعتمد للمعالجة.
الأسس القانونية للمعالجة
الموافقة كأساس رئيسي
تُعد الموافقة الأساس القانوني الافتراضي بموجب قانون PDPL. وبموجب المادة 3، تُشترط موافقة صاحب البيانات ما لم ينطبق أحد الاستثناءات الواردة في المادة 4. ويوضح القرار رقم 48 لسنة 2022 أنه عندما تكون الموافقة هي الأساس المعتمد وتُجمع البيانات مباشرة من صاحبها، يجب أن تكون الموافقة صريحة ويُحصل عليها كتابياً أو بوسيلة إلكترونية. ويحتفظ أصحاب البيانات بحق سحب موافقتهم في أي وقت؛ ويشترط قانون PDPL أن يكون سحب الموافقة بنفس سهولة منحها.
وبالنسبة للبيانات الشخصية الحساسة بموجب المادة 5، يشترط القانون موافقة صريحة. وتتطلب الموافقة الصريحة فعلاً إيجابياً واضحاً؛ ولا تفي المربعات المعلَّمة مسبقاً أو الموافقة المستنتَجة ضمنياً بهذا المعيار.
استثناءات المادة 4 من شرط الموافقة
تكون المعالجة دون موافقة مشروعة عندما تكون ضرورية لأحد الأغراض التالية:
- تنفيذ عقد يكون صاحب البيانات طرفاً فيه، أو اتخاذ خطوات بناءً على طلبه قبل إبرام العقد
- الامتثال لالتزام قانوني يخضع له المتحكم بالبيانات
- حماية المصالح الحيوية لصاحب البيانات عندما يكون غير قادر على منح الموافقة
- ممارسة أو الدفاع عن دعاوى قانونية
- تحقيق المصالح المشروعة للمتحكم أو لطرف ثالث يُفصح له عن البيانات، شريطة ألا تكون هذه المصالح راجحة على الحقوق والحريات الأساسية لصاحب البيانات (ولا ينطبق هذا الأساس على معالجة بيانات الأطفال)
- المهام التي تُنجز تحقيقاً للمصلحة العامة
استثناءات المادة 5 للبيانات الحساسة
يجوز معالجة البيانات الشخصية الحساسة دون موافقة صريحة عندما تكون المعالجة:
- لازمة للامتثال لالتزامات في مجال قانون العمل
- ضرورية لحماية شخص غير مؤهل قانوناً لمنح الموافقة
- متعلقة ببيانات جعلها صاحبها علنية بشكل واضح
- ضرورية لممارسة أو الدفاع عن دعاوى قانونية
- ضرورية للتشخيص الطبي أو تقديم الرعاية الصحية أو الإدارة الصحية، ويقوم بها أخصائي صحي ملتزم بواجب السرية المهنية
حقوق أصحاب البيانات
الحقوق الممنوحة
يمنح قانون PDPL أصحاب البيانات الحقوق القابلة للإنفاذ التالية:
- الحق في الإحاطة: يجب على المتحكمين تقديم معلومات عن هوية المتحكم وبيانات التواصل معه، وأغراض المعالجة وأساسها القانوني، وأي جهات متلقية للبيانات أو فئاتها، والنقل المزمع للبيانات خارج البحرين.
- الحق في الاطلاع: يجوز لأصحاب البيانات طلب تأكيد ما إذا كانت بياناتهم تُعالَج، وفي حال كان الأمر كذلك، الحصول على نسخة من البيانات ومعلومات عن كيفية معالجتها.
- الحق في التصحيح: يجوز لأصحاب البيانات طلب تصحيح البيانات غير الدقيقة أو الناقصة أو القديمة.
- الحق في المحو والحجب: يجوز لأصحاب البيانات طلب حذف البيانات أو حجبها عندما تكون المعالجة غير مشروعة أو عندما تنتفي الحاجة إليها.
- الحق في الاعتراض: يجوز لأصحاب البيانات الاعتراض على المعالجة، بما في ذلك لأغراض التسويق المباشر.
- الحق في سحب الموافقة: يمكن ممارسته في أي وقت عندما تكون الموافقة هي أساس المعالجة.
مهل الرد
تشترط المادة 14 من قانون PDPL أن يرد المتحكم بالبيانات على طلب صاحب البيانات، دون مقابل مادي، خلال 10 أيام عمل من استلام الطلب مشفوعاً بإثبات الهوية. وفي حال عدم امتثال المتحكم للطلب، يجب عليه تقديم مبرر مقبول قانوناً لرفضه خلال المدة ذاتها.
وعندما يقوم المتحكم بتصحيح البيانات الشخصية أو محوها أو حجبها بناءً على طلب صاحب البيانات، يجب عليه إخطار أي طرف ثالث سبق أن أُفصح له عن تلك البيانات بهذا الإجراء خلال 15 يوماً من تاريخ رده على صاحب البيانات.
ويجوز لأصحاب البيانات الذين يرون أن حقوقهم قد انتُهكت تقديم شكوى إلى الهيئة وفق الإجراءات المحددة في القرار رقم 49 لسنة 2022.
الإخطار بخرق البيانات
الإخطار خلال 72 ساعة
يحدد القرار الوزاري رقم 44 لسنة 2022 إطار الإخطار بخرق البيانات. ويجب على المتحكم بالبيانات الذي يعلم بوقوع خرق للبيانات الشخصية إخطار الهيئة خلال 72 ساعة من علمه بالخرق. وفي حال عدم تقديم الإخطار خلال 72 ساعة، يجب على المتحكم أن يُرفق بإخطاره للهيئة مبرراً موثقاً لسبب التأخير.
ويجب أن يتضمن الإخطار وصفاً لما يلي:
- طبيعة الخرق وفئات البيانات المتأثرة
- العدد التقريبي لأصحاب البيانات والسجلات المعنية
- اسم أمين حماية البيانات أو جهة الاتصال المعنية وبياناتها
- الآثار المحتملة المترتبة على الخرق
- التدابير المتخذة أو المقترحة لمعالجة الخرق والحد من آثاره
إخطار أصحاب البيانات
عندما يُرجَّح أن يؤدي الخرق إلى خطورة عالية على حقوق أصحاب البيانات ومصالحهم، يجب على المتحكم أيضاً إخطار الأفراد المتأثرين دون تأخير لا مبرر له. ولا يُشترط إخطار أصحاب البيانات إذا كان المتحكم قد طبّق تدابير حماية تقنية وتنظيمية مناسبة (مثل التشفير) تجعل البيانات غير مفهومة لأي شخص غير مخوّل بالوصول إليها، أو إذا اتُّخذت تدابير لاحقة تضمن أن الخطورة العالية لم تعد مرجحة الوقوع.
التزامات معالج البيانات
عندما يعلم معالج البيانات بوقوع خرق يؤثر على البيانات التي يعالجها نيابة عن متحكم، يجب عليه إخطار المتحكم دون تأخير لا مبرر له، حتى يتمكن المتحكم من الوفاء بالتزامه بالإخطار خلال 72 ساعة.
أمين حماية البيانات (DPG)
الدور
يستخدم قانون PDPL البحريني مصطلح «أمين حماية البيانات» (DPG)، وهو ما يقابل وظيفياً مصطلح «مسؤول حماية البيانات» (DPO) في لائحة GDPR. وبموجب المادة 15 من قانون PDPL والقرار رقم 46 لسنة 2022، يتولى أمين حماية البيانات المهام التالية:
- مساعدة المتحكم على الامتثال لقانون PDPL
- العمل كحلقة وصل رئيسية مع الهيئة
- مراقبة أنشطة المعالجة والاحتفاظ بالسجلات المطلوبة
- إبلاغ المتحكم بأي مخالفات، وفي حال عدم تصحيحها خلال 10 أيام، إبلاغ الهيئة مباشرة
- أداء المهام باستقلالية وحياد
ويجوز أن يكون أمين حماية البيانات موظفاً لدى المتحكم (أمين داخلي) أو جهة خارجية (أمين خارجي). ويجب أن يحمل الأمين الخارجي شهادة جامعية أو شهادة مهنية في تقنية المعلومات أو أمن المعلومات أو التدقيق أو مجال ذي صلة، أو أن يكون لديه خبرة عملية لا تقل عن سنتين في مجال ذي صلة.
الحالات التي يكون فيها تعيين أمين حماية البيانات إلزامياً
بموجب قانون PDPL، يُعد تعيين أمين حماية البيانات اختيارياً بالنسبة للمتحكمين بالبيانات عموماً، ما لم يقرر مجلس إدارة الهيئة أن فئات معينة من المتحكمين ملزمة بتعيين أمين. وقد مارست الهيئة هذه الصلاحية من خلال توجيهات قطاعية محددة:
القطاع المالي (مصرف البحرين المركزي، 24 مارس 2025): أصدر مصرف البحرين المركزي توجيهاً لجميع الجهات المرخصة لديه يُلزم كيانات القطاع المالي التي تُعد متحكمة بالبيانات بتعيين أمين حماية بيانات. ويجوز للمؤسسات المالية تعيين أمين داخلي أو خارجي، ويجب عليها إخطار الهيئة بالتعيين خلال ثلاثة أيام عمل.
قطاع الاتصالات (هيئة تنظيم الاتصالات): وجّهت هيئة تنظيم الاتصالات جميع المشغلين المرخصين بتعيين أمين حماية بيانات، عقب تصنيف هذا القطاع باعتباره عالي الخطورة من حيث معالجة البيانات الشخصية.
الرعاية الصحية الخاصة (الهيئة الوطنية لتنظيم المهن والخدمات الصحية): ألزمت الهيئة الوطنية لتنظيم المهن والخدمات الصحية جميع المرافق الصحية الخاصة (المستشفيات، والمراكز الطبية، والمختبرات) بتعيين أمين حماية بيانات.
التسجيل والرسوم
يجب تسجيل جميع أمناء حماية البيانات المعيَّنين لدى الهيئة. ويجب على المتحكمين إخطار الهيئة بأي تعيين لأمين حماية البيانات خلال 3 أيام عمل. وتحتفظ الهيئة بسجلين عامين: أحدهما لأمناء حماية البيانات الداخليين والآخر للأمناء الخارجيين.
ويحدد القرار رقم 47 لسنة 2022 رسوم التسجيل على النحو التالي:
- أمين حماية البيانات الخارجي (شخص اعتباري): حتى 500 دينار بحريني (نحو 1,326 دولار أمريكي)
- أمين حماية البيانات الداخلي: حتى 100 دينار بحريني (نحو 265 دولار أمريكي)
وتُطبَّق رسوم للتجديد. ويجب على المتحكمين إخطار الهيئة بأي تغييرات تطرأ على بيانات أمين حماية البيانات خلال 30 يوماً. ويجب على جميع أمناء حماية البيانات الإفصاح عن أي ظروف قد تؤدي إلى تعارض مصالح يؤثر على استقلاليتهم أو حيادهم.
القرارات الوزارية العشرة (2022)
أصدرت الهيئة عشرة قرارات وزارية في 17 مارس 2022، دخلت حيز النفاذ اعتباراً من 18 مارس 2022، وهي:
| القرار | الموضوع |
|---|---|
| رقم 41 لسنة 2022 | القواعد التنفيذية العامة لقانون PDPL |
| رقم 42 لسنة 2022 | قائمة الدول والأقاليم ذات الحماية الكافية للبيانات (قائمة الحماية الكافية) |
| رقم 43 لسنة 2022 | التدابير الأمنية التقنية والتنظيمية، والخصوصية حسب التصميم، وتقييمات الأثر على حماية البيانات |
| رقم 44 لسنة 2022 | قواعد وإجراءات الإخطارات المقدمة للهيئة، وطلبات الحصول على إذن مسبق، والإخطار بخرق البيانات |
| رقم 45 لسنة 2022 | قواعد وإجراءات معالجة البيانات الشخصية الحساسة والحصول على إذن مسبق |
| رقم 46 لسنة 2022 | أمناء حماية البيانات: التعيين والمؤهلات والواجبات |
| رقم 47 لسنة 2022 | رسوم تسجيل أمين حماية البيانات وتجديده |
| رقم 48 لسنة 2022 | الموافقة: متطلبات الشكل (صريحة، كتابية أو إلكترونية)، وإجراءات السحب |
| رقم 49 لسنة 2022 | قواعد وإجراءات تقديم الشكاوى إلى الهيئة |
| رقم 50 لسنة 2022 | متطلبات محتوى سجل معالجة البيانات |
نقل البيانات عبر الحدود
القيد الأساسي
يقيّد قانون PDPL نقل البيانات الشخصية إلى خارج البحرين. وتنص المادة 28 على أنه لا يجوز للمتحكم بالبيانات نقل البيانات الشخصية إلى دولة أخرى إلا إذا كانت الدولة المستقبلة توفر مستوى حماية كافياً للبيانات الشخصية، أو كان المتحكم قد حصل على إذن مسبق من الهيئة، أو كان صاحب البيانات قد منح موافقة صريحة على النقل.
القرار رقم 42 لسنة 2022: قائمة الحماية الكافية
يضع القرار رقم 42 لسنة 2022، الصادر بموجب المادة 28 من قانون PDPL، قائمة تضم نحو 83 دولة وإقليماً قررت الهيئة أنها توفر حماية كافية. ويجوز إجراء عمليات النقل إلى الدول المدرجة في قائمة الحماية الكافية دون الحاجة إلى إذن مسبق من الهيئة.
وتضم قائمة الحماية الكافية جميع الدول الأعضاء في الاتحاد الأوروبي، ودول المنطقة الاقتصادية الأوروبية (EEA) (آيسلندا، وليختنشتاين، والنرويج)، والمملكة المتحدة، والولايات المتحدة، وسويسرا، وكندا، وأستراليا، واليابان، وسائر دول مجلس التعاون الخليجي (السعودية والإمارات العربية المتحدة وقطر والكويت وعُمان)، وهو أمر لافت بالنسبة للتجارة الإقليمية. وتُنشر القائمة الكاملة باللغة الإنجليزية على الموقع الإلكتروني للهيئة pdp.gov.bh.
النقل إلى الدول غير المدرجة في القائمة
يتطلب النقل إلى الدول غير المدرجة في قائمة الحماية الكافية توافر أحد الشروط التالية:
- إذن مسبق من الهيئة: يقدم المتحكم طلباً يثبت أن الجهة المستقبِلة قد طبقت تدابير أمنية كافية وأن هناك ترتيبات تعاقدية مناسبة تحمي البيانات المنقولة.
- موافقة صريحة من صاحب البيانات: يُبلَّغ صاحب البيانات بالمخاطر المحتملة للنقل الناجمة عن غياب قرار بالحماية الكافية.
- تنفيذ عقد بين صاحب البيانات والمتحكم يكون النقل ضرورياً لتنفيذه.
- المصالح الحيوية: يكون النقل ضرورياً لحماية المصالح الحيوية لصاحب البيانات.
- المصادر المتاحة للعموم: يكون النقل من سجل مفتوح للاطلاع العام.
وعند طلب إذن من الهيئة، وإذا كان النقل يتم بموجب عقد مع الجهة المستقبِلة، يجب تقديم نسخة من هذا العقد.
العقوبات والإنفاذ
العقوبات الجنائية
تحدد المادة 54 من قانون PDPL العقوبات الجنائية. ويخضع أي شخص طبيعي يخالف أحكام قانون PDPL للحبس لمدة تصل إلى سنة واحدة، أو لغرامة تتراوح بين 1,000 و20,000 دينار بحريني (نحو 2,650 إلى 53,000 دولار أمريكي)، أو للعقوبتين معاً.
وتشمل المخالفات الجنائية المحددة ما يلي:
- معالجة البيانات الشخصية دون الموافقة المطلوبة أو دون إخطار الهيئة
- نقل البيانات الشخصية إلى خارج البحرين دون إذن من الهيئة أو موافقة صاحب البيانات
- تقديم معلومات غير دقيقة أو مضللة إلى الهيئة أو إلى أصحاب البيانات
- حجب أو إخفاء أو إتلاف المعلومات التي تطلبها الهيئة
- عرقلة سير أي تحقيق تجريه الهيئة
- استخدام المعلومات التي يتم الحصول عليها من خلال إجراءات الهيئة لتحقيق منفعة شخصية
مسؤولية الأشخاص الاعتباريين
عندما يرتكب شخص اعتباري (شركة أو مؤسسة أو أي كيان مؤسسي آخر) مخالفة بموجب قانون PDPL، يجوز مضاعفة الغرامة المقررة للأشخاص الطبيعيين. ويعني ذلك أن الكيانات الاعتبارية تواجه غرامات قصوى تصل إلى 40,000 دينار بحريني (نحو 106,000 دولار أمريكي). ولا تحل عقوبة الشخص الاعتباري محل المسؤولية الفردية: إذ يظل المسؤولون والموظفون داخل المؤسسة ممن يتحملون مسؤولية شخصية عن المخالفة عرضة للحبس والغرامات الفردية.
التعويض المدني
تنص المادة 57 من قانون PDPL على أنه يجوز لأي شخص يتضرر نتيجة مخالفة أحكام القانون أن يطالب بالتعويض أمام المحاكم المدنية. وهذا ينشئ سبباً مدنياً للدعوى موازياً للإنفاذ الجنائي، ومنفصلاً عن الإجراءات الإدارية التي تتخذها الهيئة.
الإنفاذ الإداري
تمارس الهيئة صلاحيات الإنفاذ الإداري بشكل مستقل عن الإجراءات الجنائية. وتشمل هذه الصلاحيات:
- أوامر الوقف التي تستوجب التوقف الفوري عن الجمع أو المعالجة أو النقل
- الأوامر التصحيحية التي تستوجب تصحيح البيانات أو محوها أو حجبها
- توجيهات الامتثال التي تستوجب تطبيق تدابير تنظيمية أو تقنية محددة
- الإحالة للنيابة العامة
متطلبات الأمان والخصوصية حسب التصميم
التدابير التقنية والتنظيمية
يشترط قانون PDPL على المتحكمين بالبيانات تطبيق تدابير تقنية وتنظيمية تتناسب مع المخاطر الناجمة عن المعالجة. ويحدد القرار رقم 43 لسنة 2022 أن هذه التدابير يجب أن تتناول ما يلي:
- ضوابط الوصول التي تقصر المعالجة على الأشخاص المخوَّلين
- تشفير البيانات الشخصية أثناء التخزين والنقل
- إجراءات النسخ الاحتياطي والاستعادة
- إجراءات الاختبار والتقييم الدوري لفعالية التدابير الأمنية
- إجراءات استعادة الوصول إلى البيانات الشخصية في حال وقوع حادث
ويجب أن تتناسب هذه التدابير مع طبيعة المعالجة ونطاقها وأغراضها، ومع احتمالية المخاطر التي تهدد أصحاب البيانات وجسامتها.
الخصوصية حسب التصميم وحسب الإعداد الافتراضي
يُدخل القرار رقم 43 لسنة 2022 مبدأي الخصوصية حسب التصميم والخصوصية حسب الإعداد الافتراضي كمتطلبات للامتثال. ويُلزَم المتحكمون بالبيانات بتطبيق مبادئ حماية البيانات منذ أولى مراحل تصميم الأنظمة، وضمان ألا تتم بشكل افتراضي معالجة سوى البيانات الشخصية الضرورية لكل غرض محدد.
تقييمات الأثر على حماية البيانات (DPIA)
يشترط القرار رقم 43 لسنة 2022 على المتحكمين إجراء تقييم للأثر على حماية البيانات قبل الشروع في أي معالجة يُرجَّح أن تؤدي إلى خطورة عالية على حقوق أصحاب البيانات ومصالحهم. ويجب أن يصف هذا التقييم المعالجة المزمعة، ويقيّم مدى ضرورتها وتناسبها، ويقيّم المخاطر التي تهدد أصحاب البيانات، ويحدد التدابير المزمع اتخاذها لمعالجة تلك المخاطر.
وعندما يشير التقييم إلى وجود خطورة متبقية عالية لا يمكن التخفيف منها، يجب على المتحكم استشارة الهيئة قبل المضي في المعالجة.
التزامات التسجيل والإخطار
سجل الإخطارات
تشترط المادة 16 من قانون PDPL على المتحكمين بالبيانات الاحتفاظ بسجل للإخطارات والتصاريح. ويجب على المتحكمين إخطار الهيئة قبل الشروع في أنشطة المعالجة. ويجب أن يتضمن الإخطار ما يلي:
- أسماء وعناوين المتحكم والمعالج
- الأغراض التي تُعالَج البيانات من أجلها
- وصف فئات أصحاب البيانات وأنواع البيانات
- أي عمليات نقل مقترحة إلى خارج البحرين
- وصف التدابير الأمنية بما يكفي لتمكين الهيئة من إجراء تقييم أولي لكفايتها
ويحدد القرار رقم 50 لسنة 2022 المحتوى المطلوب لسجل المعالجة الذي يجب على المتحكمين الاحتفاظ به داخلياً.
سجل المعالجة
يجب على المتحكمين الاحتفاظ بسجل داخلي لأنشطة المعالجة. ويحدد القرار رقم 50 الحقول الإلزامية التي يجب أن يتضمنها هذا السجل، ومنها: نوع البيانات، وغرض جمعها، والأساس القانوني، وفئات الجهات المتلقية، ومدد الاحتفاظ بها، وتاريخ آخر تحديث للسجل.
السياق الخليجي: موقع البحرين الإقليمي
دخل قانون PDPL البحريني حيز التنفيذ في أغسطس 2019 بوصفه أول قانون شامل ومستقل لحماية البيانات في دول مجلس التعاون الخليجي. وقد شهد المشهد الإقليمي منذ ذلك الحين تطوراً ملحوظاً:
| الدولة | القانون | الوضع (2026) |
|---|---|---|
| البحرين | PDPL، القانون رقم 30 لسنة 2018 | نافذ منذ أغسطس 2019 |
| قطر | القانون رقم 13 لسنة 2016 | نافذ منذ 2016 (نطاق قطاعي) |
| السعودية | قانون حماية البيانات الشخصية (المعدل في 2023) | إنفاذ كامل اعتباراً من سبتمبر 2024 |
| الإمارات العربية المتحدة | المرسوم بقانون اتحادي رقم 45 لسنة 2021 | نافذ؛ اللوائح التنفيذية قيد الإعداد |
| الكويت | قانون حماية البيانات لعام 2021 | إنفاذ كامل اعتباراً من فبراير 2025 |
| عُمان | قانون حماية البيانات الشخصية لعام 2022 | إنفاذ كامل اعتباراً من فبراير 2026 |
وتشمل قائمة الحماية الكافية البحرينية (القرار رقم 42 لسنة 2022) سائر دول مجلس التعاون الخليجي، ما يعني أن عمليات نقل البيانات الشخصية بين دول المجلس إلى السعودية والإمارات وقطر والكويت وعُمان تتم دون الحاجة إلى إذن مسبق من الهيئة، وهو ما يوفر ميزة عملية لعمليات الأعمال الإقليمية.
اعتبارات قطاعية محددة
الخدمات المالية
بالنظر إلى دور البحرين كمركز مالي خليجي، فإن الأثر العملي الأعمق لقانون PDPL يظهر في قطاع الخدمات المالية. ويجب على البنوك وشركات التأمين وشركات الاستثمار وسائر الجهات المرخصة من قِبل مصرف البحرين المركزي الامتثال لكل من قانون PDPL ومتطلبات البيانات القطاعية الخاصة بالمصرف المركزي.
ويُلزم توجيه مصرف البحرين المركزي الصادر في مارس 2025 جميع المتحكمين بالبيانات المرخصين من المصرف المركزي بتعيين أمين حماية بيانات وإخطار الهيئة خلال ثلاثة أيام عمل من التعيين. ويجعل هذا التوجيه تعيين أمين حماية البيانات إلزامياً لجميع المؤسسات المالية المرخصة، حتى في الحالات التي كانت ستُعفى فيها لولا ذلك بموجب الإطار العام لقانون PDPL.
الرعاية الصحية
يُلزَم توجيه الهيئة الوطنية لتنظيم المهن والخدمات الصحية المرافق الصحية الخاصة الخاضعة لإشرافها بتعيين أمين حماية بيانات. وتشترط معالجة البيانات الصحية موافقة صريحة بموجب المادة 5 من قانون PDPL، ويحدد القرار رقم 45 لسنة 2022 إجراءات ترخيص محددة لمعالجة البيانات الصحية.
الاتصالات
يجب على المشغلين المرخصين من هيئة تنظيم الاتصالات تعيين أمين حماية بيانات. ويعالج قطاع الاتصالات كميات كبيرة من البيانات الشخصية (بيانات المشتركين، وسجلات المكالمات، وبيانات الموقع الجغرافي)، ما يجعل إشراف أمين حماية البيانات ذا أهمية خاصة للامتثال لمتطلبات جودة البيانات وأمانها بموجب قانون PDPL.
التقنية والتقنية المالية
يعمل قطاع التقنية المالية والتقنية المتنامي في البحرين ضمن الإطار العام لقانون PDPL. وتتواجد مبادرة Bahrain FinTech Bay وغيرها من مبادرات بيئات الابتكار التجريبية إلى جانب التزامات الامتثال لقانون PDPL؛ ولا تُعفى الجهات العاملة ضمن بيئات الابتكار التجريبية من متطلبات هذا القانون.
أحدث التطورات (2024-2026)
تنظيم الذكاء الاصطناعي
في أبريل 2024، أقر مجلس الشورى البحريني بالإجماع مشروع قانون مستقل لتنظيم الذكاء الاصطناعي يتألف من 38 مادة. وينص المشروع على إنشاء وحدة للإشراف على الذكاء الاصطناعي، ووضع متطلبات ترخيص لمطوري أنظمة الذكاء الاصطناعي ومشغليها، وفرض مسؤولية مدنية وعقوبات إدارية عن الأضرار المرتبطة بالذكاء الاصطناعي.
ويتقاطع مشروع القانون هذا بشكل مباشر مع قانون PDPL: إذ تُجيز المادة 57 من قانون PDPL أصلاً المطالبة بالتعويض المدني عن سوء التعامل مع البيانات، بما في ذلك الأضرار الناجمة عن اتخاذ القرارات الآلية. وقد أشار مسؤولون إلى تفضيلهم تطوير التشريعات القائمة بدلاً من إنشاء قواعد متداخلة معها.
وفي يوليو 2025، نشرت هيئة المعلومات والحكومة الإلكترونية (iGA) السياسة العامة للمملكة لاستخدام الذكاء الاصطناعي (الإصدار 1.0). وتُدرج هذه السياسة الامتثال لقانون PDPL كأحد الركائز الأساسية الأربع لنشر تطبيقات الذكاء الاصطناعي في القطاع العام، وتُلزم بالتوافق مع «الدليل الاسترشادي لأخلاقيات استخدام الذكاء الاصطناعي» الصادر عن مجلس التعاون الخليجي.
توسع التوجيهات القطاعية
يأتي توجيه مصرف البحرين المركزي الصادر في مارس 2025 بشأن تعيين أمين حماية البيانات عقب توجيهات سابقة صادرة عن هيئة تنظيم الاتصالات والهيئة الوطنية لتنظيم المهن والخدمات الصحية. ويشير هذا النمط المتمثل في استخدام الجهات التنظيمية القطاعية لصلاحيات متسقة مع قانون PDPL لتوسيع نطاق الالتزام بتعيين أمين حماية البيانات إلى احتمال صدور توجيهات قطاعية إضافية في مجالات الطاقة أو التعليم أو التجزئة.
التعديل المقترح على قانون الجرائم الإلكترونية
في أواخر عام 2025، تقدم أعضاء في مجلس الشورى بمقترح لتعديل قانون الجرائم الإلكترونية البحريني بإضافة مادة جديدة تتناول خصوصية البيانات في الاتصالات الرقمية. وحتى مايو 2026، كانت لجنة الشؤون التشريعية والقانونية في مجلس الشورى قد وافقت على المقترح وأحالته لمزيد من المراجعة، ولم يكن قد أُقر بعد.
التنسيق الخليجي
مع امتلاك جميع دول مجلس التعاون الخليجي الست حالياً أطراً لحماية البيانات نافذة أو وشيكة النفاذ (عُمان اعتباراً من فبراير 2026)، تحول النقاش الإقليمي نحو مسألة التوافق التشغيلي. وتُعد قائمة الحماية الكافية الخليجية الواردة في القرار رقم 42 لسنة 2022 خطوة في هذا الاتجاه؛ إذ جرى نقاش حول الاعتراف المتبادل الرسمي بقرارات الحماية الكافية أو وضع إطار خليجي لنقل البيانات، لكن ذلك لم يُصَغ رسمياً بعد.
قائمة مرجعية للامتثال للمؤسسات
ينبغي على المؤسسات التي تعالج بيانات شخصية في البحرين اتباع الخطوات التالية، بالإشارة إلى الأحكام والقرارات المحددة في قانون PDPL:
| الخطوة | المتطلب | المصدر |
|---|---|---|
| 1. حصر عمليات المعالجة | تحديد جميع تدفقات البيانات وأغراضها وأسسها القانونية وفئاتها | المادة 6 من PDPL؛ القرار 50/2022 |
| 2. التسجيل لدى الهيئة | إخطار الهيئة قبل بدء المعالجة؛ والاحتفاظ بالسجل | المادة 16 من PDPL؛ القرار 44/2022 |
| 3. الأساس القانوني | تحديد الموافقة أو أحد استثناءات المادة 4 لكل نشاط معالجة | المواد 3-5 من PDPL |
| 4. آليات الموافقة | التأكد من أن الموافقة صريحة ومحددة ومستنيرة، وكتابية أو إلكترونية | القرار 48/2022 |
| 5. البيانات الحساسة | الحصول على موافقة صريحة أو تحديد أحد استثناءات المادة 5؛ والحصول على إذن مسبق من الهيئة عند اللزوم | المادة 5 من PDPL؛ القرار 45/2022 |
| 6. إشعار الخصوصية | تقديم المعلومات المطلوبة لأصحاب البيانات عند الجمع أو قبله | المادة 7 من PDPL |
| 7. طلبات أصحاب البيانات | وضع إجراء محدد؛ والرد خلال 10 أيام عمل؛ وإخطار الأطراف الثالثة خلال 15 يوماً | المادة 14 من PDPL |
| 8. التدابير الأمنية | تطبيق تدابير تقنية/تنظيمية؛ وإجراء تقييمات أثر للمعالجة عالية الخطورة | المادة 9 من PDPL؛ القرار 43/2022 |
| 9. الإخطار بخرق البيانات | إخطار الهيئة خلال 72 ساعة من العلم بالخرق؛ وإخطار أصحاب البيانات في حال الخطورة العالية | القرار 44/2022 |
| 10. النقل عبر الحدود | مراجعة قائمة الحماية الكافية في القرار 42؛ والحصول على إذن الهيئة للدول غير المدرجة | المادة 28 من PDPL؛ القرار 42/2022 |
| 11. أمين حماية البيانات | التعيين في حال العمل بالخدمات المالية أو الاتصالات أو الرعاية الصحية الخاصة؛ والتسجيل لدى الهيئة خلال 3 أيام | المادة 15 من PDPL؛ القرار 46/2022 |
| 12. تقييم الأثر | إجراؤه قبل المعالجة عالية الخطورة؛ واستشارة الهيئة إذا بقيت خطورة متبقية عالية | القرار 43/2022 |
الأسئلة الشائعة
إخلاء المسؤولية
تقدم هذه المقالة معلومات قانونية عامة عن قانون حماية البيانات في مملكة البحرين حتى تاريخ 19 مايو 2026. ولا تشكل هذه المقالة استشارة قانونية، ولا ينبغي الاعتماد عليها بهذه الصفة. وتخضع قوانين حماية البيانات للتعديل، وقد تُحدَّث القرارات التنفيذية الصادرة عن هيئة حماية البيانات الشخصية. وينبغي على المؤسسات والأفراد استشارة محامٍ مرخص في البحرين للحصول على استشارة تتناسب مع ظروفهم الخاصة.
المصادر المرجعية
- القانون رقم 30 لسنة 2018 بشأن حماية البيانات الشخصية (PDPL). النص الرسمي: https://www.pdp.gov.bh/en/assets/pdf/regulations.pdf
- المرسوم الملكي رقم 78 لسنة 2019 (بشأن إناطة مهام الهيئة بوزارة العدل). راجع: https://www.akingump.com/en/insights/blogs/ag-data-dive/bahrain-ministry-of-justice-to-act-as-data-protection-authority
- قرار وزارة العدل رقم 42 لسنة 2022 (قائمة الحماية الكافية). النص الرسمي باللغة الإنجليزية: https://www.pdp.gov.bh/assets/pdf/executive-decisions/eng/trans-order-countries-and-territories-with-adequate-protection-en.pdf
- قرار وزارة العدل رقم 43 لسنة 2022 (التدابير التقنية، وتقييم الأثر على حماية البيانات، والخصوصية حسب التصميم). راجع: https://www.clydeco.com/en/insights/2022/04/bahrain-issues-new-privacy-guidelines
- قرار وزارة العدل رقم 44 لسنة 2022 (الإخطار بخرق البيانات). راجع: https://www.clydeco.com/en/insights/2022/04/bahrain-issues-new-privacy-guidelines
- قرار وزارة العدل رقم 45 لسنة 2022 (البيانات الشخصية الحساسة). راجع: https://www.trowers.com/insights/2022/may/bahrain-enhances-its-data-protection-regime
- قرار وزارة العدل رقم 46 لسنة 2022 (أمناء حماية البيانات). راجع: https://resourcehub.bakermckenzie.com/bg-bg/resources/global-data-and-cyber-handbook/emea/bahrain/topics/dpos-and-notification-requirements
- قرار وزارة العدل رقم 47 لسنة 2022 (رسوم تسجيل أمين حماية البيانات). راجع: https://resourcehub.bakermckenzie.com/bg-bg/resources/global-data-and-cyber-handbook/emea/bahrain/topics/dpos-and-notification-requirements
- قرار وزارة العدل رقم 48 لسنة 2022 (الموافقة). راجع: https://www.clydeco.com/en/insights/2022/04/bahrain-issues-new-privacy-guidelines
- قرار وزارة العدل رقم 49 لسنة 2022 (إجراءات الشكاوى). راجع: https://www.trowers.com/insights/2022/may/bahrain-enhances-its-data-protection-regime
- قرار وزارة العدل رقم 50 لسنة 2022 (سجل المعالجة). راجع: https://raeesandco.com/thoughts/legal-update-10-ministerial-resolutions-for-elements-of-the-pdpl/
- هيئة حماية البيانات الشخصية، مملكة البحرين: https://www.pdp.gov.bh/en/index.html
- توجيه مصرف البحرين المركزي بشأن تعيين أمين حماية البيانات (24 مارس 2025). راجع: https://www.asarlegal.com/data-protection-officers-now-required-across-finance-telecom-and-health-sectors-in-bahrain/
- Al Tamimi: إناطة مهام الهيئة بوزارة العدل: https://www.tamimi.com/news/ministry-of-justice-islamic-affairs-and-awqaf-entrusted-with-the-tasks-and-competences-of-personal-data-protection-authority/
- Al Tamimi: القرارات الوزارية العشرة لقانون PDPL: https://www.tamimi.com/news/the-bahrain-personal-data-protection-authority-issues-10-ministerial-decisions-with-respect-to-the-personal-data-protection-law/
- DLA Piper: قوانين حماية البيانات حول العالم، البحرين: https://www.dlapiperdataprotection.com/index.html?t=law&c=BH
- Clyde and Co: البحرين تصدر إرشادات خصوصية جديدة (2022): https://www.clydeco.com/en/insights/2022/04/bahrain-issues-new-privacy-guidelines
- Trowers and Hamlins: البحرين تعزز نظامها لحماية البيانات (2022): https://www.trowers.com/insights/2022/may/bahrain-enhances-its-data-protection-regime
- Baker McKenzie: مسؤولو حماية البيانات ومتطلبات الإخطار، البحرين: https://resourcehub.bakermckenzie.com/bg-bg/resources/global-data-and-cyber-handbook/emea/bahrain/topics/dpos-and-notification-requirements
- ASAR Legal: إلزامية مسؤولي حماية البيانات في قطاعات المال والاتصالات والصحة: https://www.asarlegal.com/data-protection-officers-now-required-across-finance-telecom-and-health-sectors-in-bahrain/
- iGA: السياسة العامة لاستخدام الذكاء الاصطناعي (يوليو 2025): https://www.bahrain.bh/wps/wcm/connect/57fd391d-3cb9-42d4-bfbf-a42325bf41ce/General+Policy+for+the+Use+of+AI+-++Final+30+Jul+2025.pdf
Frequently Asked Questions
ما هو القانون الرئيسي لحماية البيانات في البحرين؟
القانون رقم 30 لسنة 2018 بشأن حماية البيانات الشخصية (PDPL) هو التشريع الشامل لحماية البيانات في البحرين. دخل حيز التنفيذ في 1 أغسطس 2019، وتكمّله عشرة قرارات وزارية (من رقم 41 إلى 50 لسنة 2022) صادرة عن هيئة حماية البيانات الشخصية في 17 مارس 2022. وتمارس وزارة العدل والشؤون الإسلامية والأوقاف حالياً مهام الهيئة بموجب المرسوم الملكي رقم 78 لسنة 2019.
ما هي عقوبات مخالفة قوانين حماية البيانات في البحرين؟
يواجه الأشخاص الطبيعيون الحبس لمدة تصل إلى سنة واحدة و/أو غرامات تتراوح بين 1,000 و20,000 دينار بحريني (نحو 2,650 إلى 53,000 دولار أمريكي) بموجب المادة 54 من قانون PDPL. وتواجه الكيانات الاعتبارية غرامات مضاعفة تصل إلى 40,000 دينار بحريني (نحو 106,000 دولار أمريكي). ويجوز للهيئة أيضاً إصدار أوامر وقف تحول دون المعالجة، وتمنح المادة 57 الأفراد المتضررين حق المطالبة بالتعويض المدني أمام المحاكم.
خلال أي مدة يجب الإبلاغ عن خرق البيانات في البحرين؟
يشترط القرار رقم 44 لسنة 2022 على المتحكمين بالبيانات إخطار الهيئة خلال 72 ساعة من العلم بوقوع خرق للبيانات. وفي حال تأخر الإخطار عن 72 ساعة، يجب أن يُرفق به مبرر موثق. وعندما يشكل الخرق خطورة عالية على أصحاب البيانات، يجب أيضاً إخطار الأفراد المتأثرين دون تأخير لا مبرر له.
هل يمكن نقل البيانات الشخصية إلى خارج البحرين؟
يُسمح بالنقل دون إذن مسبق من الهيئة إلى نحو 83 دولة مدرجة في قائمة الحماية الكافية الواردة في القرار رقم 42 لسنة 2022، والتي تضم جميع الدول الأعضاء في الاتحاد الأوروبي والمملكة المتحدة والولايات المتحدة وسائر دول مجلس التعاون الخليجي. أما النقل إلى الدول غير المدرجة في القائمة فيتطلب إذناً مسبقاً من الهيئة، أو موافقة صريحة من صاحب البيانات، أو أحد استثناءات المادة 28 الأخرى (تنفيذ العقد، أو المصالح الحيوية، أو البيانات المتاحة للعموم).
هل تُلزم البحرين المؤسسات بتعيين أمين لحماية البيانات؟
يُعد تعيين أمين حماية البيانات (المصطلح البحريني المقابل لمسؤول حماية البيانات) إلزامياً للمؤسسات العاملة في القطاع المالي (بموجب توجيه مصرف البحرين المركزي الصادر في مارس 2025)، والاتصالات (توجيه هيئة تنظيم الاتصالات)، والرعاية الصحية الخاصة (توجيه الهيئة الوطنية لتنظيم المهن والخدمات الصحية). أما بالنسبة لسائر المؤسسات، فتعيين أمين حماية البيانات اختياري بموجب قانون PDPL نفسه، ما لم يأمر مجلس إدارة الهيئة بذلك لفئات إضافية. ويجب تسجيل جميع أمناء حماية البيانات المعيَّنين لدى الهيئة خلال 3 أيام عمل.
ما هي الدول المدرجة في قائمة الحماية الكافية لحماية البيانات في البحرين؟
يُدرج القرار رقم 42 لسنة 2022 نحو 83 دولة وإقليماً، منها جميع الدول الأعضاء في الاتحاد الأوروبي، وآيسلندا، وليختنشتاين، والنرويج، والمملكة المتحدة، وسويسرا، والولايات المتحدة، وكندا، وأستراليا، واليابان، وسائر دول مجلس التعاون الخليجي الخمس (السعودية والإمارات وقطر والكويت وعُمان). وتُنشر القائمة الكاملة باللغة الإنجليزية على الموقع pdp.gov.bh. ولا يتطلب النقل إلى الدول المدرجة في القائمة إذناً مسبقاً من الهيئة.
كيف يقارَن قانون PDPL البحريني بلائحة GDPR الأوروبية؟
يشترك قانون PDPL ولائحة GDPR في المبادئ البنيوية ذاتها: الأسس القانونية، وجودة البيانات، وحقوق أصحاب البيانات، والتزامات الأمان، والإخطار بخرق البيانات، والرقابة من جهة إشرافية، والقيود على النقل عبر الحدود. وتشمل الفروق الرئيسية ما يلي: العقوبات المالية في البحرين أقل بكثير (حد أقصى قدره 40,000 دينار بحريني للكيانات الاعتبارية مقابل 20 مليون يورو أو 4% من إجمالي حجم الأعمال العالمي بموجب GDPR)؛ ويعتمد قانون PDPL مهلة رد مدتها عشرة أيام عمل لطلبات أصحاب البيانات بدلاً من شهر واحد؛ وتستخدم البحرين مصطلح «أمين حماية البيانات» بدلاً من «مسؤول حماية البيانات»؛ كما أن قانون PDPL تشريع تكمّله قرارات وليس لائحة تنفيذية مباشرة.
ما هي الأسس القانونية لمعالجة البيانات الشخصية في البحرين؟
بموجب المادة 3 من قانون PDPL، تُعد الموافقة الأساس الافتراضي. وتنص المادة 4 على ستة أسس قانونية للمعالجة دون موافقة: تنفيذ العقد؛ والالتزام القانوني؛ وحماية المصالح الحيوية؛ وممارسة الدعاوى القانونية أو الدفاع عنها؛ والمصالح المشروعة للمتحكم أو لطرف ثالث (لا تنطبق على بيانات الأطفال)؛ ومهام المصلحة العامة. أما بالنسبة للبيانات الشخصية الحساسة، فتطبق المادة 5 قواعد أكثر صرامة تشمل اشتراط موافقة صريحة أو توافر أحد استثناءات المادة 5 المحددة.
كم من الوقت يملك المتحكم بالبيانات للرد على طلب صاحب البيانات؟
بموجب المادة 14 من قانون PDPL، يجب على المتحكمين بالبيانات الرد على طلبات أصحاب البيانات دون مقابل مادي خلال 10 أيام عمل من استلام الطلب مشفوعاً بإثبات الهوية. وعندما يقوم المتحكم بتصحيح البيانات أو محوها أو حجبها، يجب عليه إخطار أي طرف ثالث أُفصح له عن البيانات خلال 15 يوماً من رده على صاحب البيانات. ويجوز لأصحاب البيانات تقديم شكوى إلى الهيئة بموجب القرار رقم 49 لسنة 2022 إذا لم تُعالَج طلباتهم بشكل صحيح.
ما هي العلاقة بين قانون PDPL البحريني ومشروع قانون تنظيم الذكاء الاصطناعي المقترح؟
أقر مجلس الشورى مشروع قانون لتنظيم الذكاء الاصطناعي في أبريل 2024 يتألف من 38 مادة. وينص المشروع على إنشاء وحدة للإشراف على الذكاء الاصطناعي، ويتناول المسؤولية المدنية عن الأضرار الناجمة عن الذكاء الاصطناعي. ويوفر قانون PDPL أصلاً حق التعويض المدني بموجب المادة 57 عن سوء التعامل مع البيانات، بما في ذلك اتخاذ القرارات الآلية. وقد أشار مسؤولون إلى تفضيلهم تطوير التشريعات القائمة بدلاً من إنشاء قواعد متداخلة معها. وفي يوليو 2025، نشرت هيئة المعلومات والحكومة الإلكترونية السياسة العامة للبحرين لاستخدام الذكاء الاصطناعي، التي تُدرج الامتثال لقانون PDPL كمتطلب أساسي لتطبيقات الذكاء الاصطناعي في القطاع العام.
Updates
تم توسيع المقالة من نحو 2,380 كلمة إلى نحو 5,200 كلمة. أُضيف متطلب الإخطار بخرق البيانات خلال 72 ساعة (القرار رقم 44 لسنة 2022)، وإلزامية تعيين أمين حماية البيانات القطاعية (توجيه مصرف البحرين المركزي في مارس 2025، وهيئة تنظيم الاتصالات، والهيئة الوطنية لتنظيم المهن والخدمات الصحية)، والقائمة الكاملة المرقمة للقرارات من رقم 41 إلى 50، والهيكل الرقابي بموجب المرسوم الملكي رقم 78 لسنة 2019، وتفاصيل قائمة الحماية الكافية الواردة في القرار رقم 42 لسنة 2022، ومهلة الرد على طلبات أصحاب البيانات المحددة بعشرة أيام عمل، والحق في التعويض المدني بموجب المادة 57، وقسم عن السياق الخليجي، وقسم التطورات الأخيرة للفترة 2024-2026 (مشروع قانون الذكاء الاصطناعي والتوجيهات القطاعية)، ومبادئ جودة البيانات، ومتطلبات الخصوصية حسب التصميم وتقييمات الأثر على حماية البيانات (DPIA). كما تم تحديث العنوان والوصف التعريفي ليعكسا النطاق الموسع للمقالة.
Sources and References
- هيئة حماية البيانات الشخصية، مملكة البحرين (الموقع الرسمي)(pdp.gov.bh).gov
- النص الكامل لقانون PDPL (PDF)، pdp.gov.bh(pdp.gov.bh).gov
- القرار رقم 42/2022: قائمة الحماية الكافية (نسخة PDF بالإنجليزية)(pdp.gov.bh).gov
- Al Tamimi: إناطة مهام الهيئة بوزارة العدل(tamimi.com)
- Al Tamimi: القرارات الوزارية العشرة لقانون PDPL(tamimi.com)
- Clyde & Co: البحرين تصدر إرشادات خصوصية جديدة (2022)(clydeco.com)
- Trowers & Hamlins: البحرين تعزز نظامها لحماية البيانات (2022)(trowers.com)
- DLA Piper: قوانين حماية البيانات حول العالم، البحرين(dlapiperdataprotection.com)
- Baker McKenzie: مسؤولو حماية البيانات ومتطلبات الإخطار، البحرين(resourcehub.bakermckenzie.com)
- ASAR Legal: إلزامية مسؤولي حماية البيانات في قطاعات المال والاتصالات والصحة(asarlegal.com)
- Akin Gump: وزارة العدل البحرينية تتولى دور هيئة حماية البيانات(akingump.com)
- قوانين التسجيل في البحرين، RecordingLaw.com