قوانين خصوصية البيانات في المملكة العربية السعودية: دليل الامتثال لنظام PDPL (2026)

ينظم نظام حماية البيانات الشخصية (PDPL) في المملكة العربية السعودية، الصادر بموجب المرسوم الملكي رقم M/19 والمعدَّل بالمرسوم الملكي رقم M/148، جمع البيانات الشخصية ومعالجتها بالنسبة لأي جهة تتعامل مع بيانات أفراد موجودين داخل المملكة. وقد بدأ الإنفاذ الكامل من قبل الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) في 14 سبتمبر 2024.
تم التحقق من هذه المعلومات آخر مرة في 19 مايو 2026
يمثل نظام حماية البيانات الشخصية (PDPL) في المملكة العربية السعودية أول إطار شامل لحماية البيانات في المملكة. وقد صدر بموجب المرسوم الملكي رقم M/19 في 16 سبتمبر 2021؛ وعُدِّل بموجب المرسوم الملكي رقم M/148 في 27 مارس 2023. ودخل النظام حيز النفاذ في 14 سبتمبر 2023، وبدأ الإنفاذ الكامل في 14 سبتمبر 2024. ويجب على أي جهة تعالج بيانات شخصية لأفراد موجودين داخل المملكة الامتثال له، بصرف النظر عن مكان تأسيس تلك الجهة.
يتناول هذا الدليل الإطار القانوني لنظام حماية البيانات الشخصية، ودور SDAIA في الإنفاذ وسجلها في هذا المجال، والأسس القانونية للمعالجة، وقواعد البيانات الحساسة، وحقوق أصحاب البيانات، والتزامات الجهات المتحكمة في البيانات، والإخطار بالاختراقات، ومتطلبات النقل عبر الحدود، والعقوبات، وأبرز التطورات التنظيمية بين عامي 2024 و2026.
للاطلاع على متطلبات قانون التسجيل في المملكة العربية السعودية، راجع مقالنا الشقيق عن قوانين التسجيل في المملكة العربية السعودية.
إجابة سريعة: ما هو قانون خصوصية البيانات في المملكة العربية السعودية؟
القانون الرئيسي لخصوصية البيانات في المملكة العربية السعودية هو نظام حماية البيانات الشخصية (PDPL)، الصادر بالمرسوم الملكي رقم M/19 في 16 سبتمبر 2021، والمعدَّل بالمرسوم الملكي رقم M/148 في 27 مارس 2023. وتتولى الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) إنفاذ هذا النظام من خلال منصة حوكمة البيانات الوطنية التابعة لها.
دخل النظام حيز النفاذ في 14 سبتمبر 2023. ومُنحت الجهات فترة سماح مدتها سنة واحدة لتحقيق الامتثال؛ وانتهت هذه الفترة في 14 سبتمبر 2024، وبات الإنفاذ الكامل سارياً منذ ذلك التاريخ. وحتى مطلع عام 2026، أصدرت SDAIA 48 قراراً بالإنفاذ بحق جهات مخالفة لنظام حماية البيانات الشخصية.
ومن أبرز سمات النظام: اعتماد الموافقة أساساً قانونياً افتراضياً للمعالجة؛ وحماية معززة للبيانات الشخصية الحساسة؛ والتزام بإخطار SDAIA خلال 72 ساعة من وقوع أي اختراق؛ وحقوق لأصحاب البيانات تشمل الاطلاع والتصحيح والحذف ونقل البيانات؛ وتسجيل إلزامي للجهات المتحكمة في البيانات على منصة SDAIA؛ وقيود على نقل البيانات عبر الحدود؛ وعقوبات تصل إلى 5 ملايين ريال سعودي عن المخالفات الإدارية، إلى جانب عقوبات جزائية عن الإفصاح المتعمد عن البيانات الحساسة.
يتناول هذا المقال قانون خصوصية البيانات في المملكة العربية السعودية بموجب نظام حماية البيانات الشخصية فقط. أما بالنسبة للقواعد الخاصة بقطاعات معينة (كالخدمات المالية والاتصالات والرعاية الصحية)، فينبغي للجهات الرجوع إلى الهيئة التنظيمية السعودية المختصة إلى جانب هذا النظام.
نظام حماية البيانات الشخصية: الإطار التشريعي والجهة التنظيمية

يُعد نظام حماية البيانات الشخصية أول تشريع عام لحماية البيانات في المملكة العربية السعودية. وهو يستند إلى أطر دولية، وعلى رأسها اللائحة العامة لحماية البيانات الأوروبية (GDPR)، مع تضمين أحكام خاصة بالسياق القانوني والأمني الوطني للمملكة.
التاريخ التشريعي
أبرز المحطات التشريعية لنظام حماية البيانات الشخصية هي:
- 16 سبتمبر 2021: صدور نظام حماية البيانات الشخصية بموجب المرسوم الملكي رقم M/19
- 27 مارس 2023: تعديل النظام بموجب المرسوم الملكي رقم M/148، الذي أضاف المصلحة المشروعة كأساس قانوني جديد وعزّز قواعد النقل عبر الحدود
- 7 سبتمبر 2023: نشر SDAIA للائحة التنفيذية
- 14 سبتمبر 2023: دخول النظام حيز النفاذ؛ وبدء فترة سماح مدتها سنة واحدة
- 14 سبتمبر 2024: انتهاء فترة السماح؛ وبدء الإنفاذ الكامل
- فبراير 2025: نشر SDAIA دليل تقييم المخاطر لنقل البيانات الشخصية خارج المملكة
- 27 أبريل 2025: فتح SDAIA جولة استطلاع عامة ثالثة بشأن التعديلات المقترحة على اللائحة التنفيذية (أُغلقت في 27 مايو 2025)
- نوفمبر 2025: نشر SDAIA إطار اعتماد الذكاء الاصطناعي، الذي أنشأ التزامات حوكمة موازية لأنظمة الذكاء الاصطناعي التي تعالج بيانات شخصية
- مطلع عام 2026: إعلان SDAIA عن 48 قراراً تراكمياً بالإنفاذ؛ وإعلان المملكة العربية السعودية عام 2026 عاماً للذكاء الاصطناعي
SDAIA: الجهة التنظيمية الحالية
تُعد الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) الجهة المختصة بإنفاذ نظام حماية البيانات الشخصية. وتملك SDAIA صلاحية إصدار اللوائح التنفيذية والإرشادات التكميلية، والتحقيق في المخالفات المحتملة من خلال إجراءات رسمية تقودها لجان متخصصة، وفرض الغرامات الإدارية، وإحالة المسائل الجزائية إلى المحاكم.
وينص النظام على أن تعمل SDAIA بصفتها الجهة المختصة خلال السنتين الأوليين من دخوله حيز النفاذ، مع إمكانية نقل الإشراف بعد ذلك إلى مكتب إدارة البيانات الوطني (NDMO)، رهناً بتقييم حكومي لمدى نضج قطاع البيانات. وقد امتدت الفترة الأولية البالغة سنتين من 14 سبتمبر 2023 حتى نحو سبتمبر 2025. وحتى مايو 2026، لا تزال SDAIA تعمل بصفتها الجهة التنظيمية الفعلية؛ ولم يُعلن عن أي نقل رسمي للإشراف إلى NDMO. وينبغي للجهات متابعة بوابتي SDAIA وهيئة الاتصالات الوطنية (NCC) لرصد أي إعلان بشأن الانتقال.
ويقع NDMO ضمن هيكل NCC، وهو مسؤول عن سياسة حوكمة البيانات الوطنية على نطاق أوسع، بما في ذلك منصة استطلاع الخاصة بجمع الملاحظات العامة على التعديلات التنظيمية المقترحة.
وتشغّل SDAIA منصة حوكمة البيانات الوطنية (NDGP) بوصفها البوابة المركزية لتسجيل الجهات المتحكمة في البيانات، والإبلاغ عن الاختراقات، وإشعارات تعيين مسؤول حماية البيانات، والمراسلات التنظيمية.
النطاق: من يجب عليه الامتثال؟
ينطبق نظام حماية البيانات الشخصية على:
- أي جهة أو فرد موجود داخل المملكة العربية السعودية يعالج بيانات شخصية، بصرف النظر عن جنسية أصحاب هذه البيانات
- أي جهة أو فرد خارج المملكة العربية السعودية يعالج بيانات شخصية لأفراد موجودين داخل المملكة، حتى من دون تواجد فعلي فيها
ويعكس هذا الامتداد خارج الحدود الإقليمية النهج المعتمد في اللائحة العامة لحماية البيانات الأوروبية (GDPR). فأي شركة يقع مقرها الرئيسي في الولايات المتحدة أو الاتحاد الأوروبي أو آسيا وتجمع أو تعالج بيانات مقيمين سعوديين عبر موقع إلكتروني أو تطبيق جوال أو خدمة ما، يجب عليها الامتثال لنظام حماية البيانات الشخصية.
البيانات الشخصية والبيانات الشخصية الحساسة
يُعرّف نظام حماية البيانات الشخصية البيانات الشخصية بأنها أي بيانات يمكن أن تحدد هوية فرد أو تجعله قابلاً للتعرف عليه، بشكل مباشر أو غير مباشر. ويشمل ذلك الأسماء وأرقام الهوية الوطنية والعناوين وأرقام الهواتف والصور الفوتوغرافية والتسجيلات الصوتية وأي معلومات أخرى مرتبطة بشخص يمكن التعرف عليه.
وتحظى البيانات الشخصية الحساسة بحماية معززة. ويعامل نظام حماية البيانات الشخصية الفئات التالية باعتبارها بيانات حساسة:
- الأصل العرقي أو الإثني
- المعتقدات الدينية أو الفكرية أو السياسية
- السجلات الجزائية والأمنية
- البيانات البيومترية (بصمات الأصابع، والتعرف على الوجه، ومسح الشبكية)
- البيانات الوراثية
- البيانات الصحية (السجلات الطبية، والحالات، والعلاجات)
- البيانات التي تكشف أن أحد والدي الفرد أو كليهما مجهول الهوية
وتُعد هذه الفئة الأخيرة سمة فريدة لنظام حماية البيانات الشخصية، ولا ترد في اللائحة العامة لحماية البيانات الأوروبية (GDPR) ولا في معظم الأطر المماثلة. وتواجه الجهات التي تعالج أياً من الفئات المذكورة أعلاه التزامات أكثر صرامة وتعرضاً أكبر للمسؤولية الجزائية مقارنة بالجهات التي تعالج بيانات شخصية عادية.
الأسس القانونية للمعالجة
يُرسّخ نظام حماية البيانات الشخصية نموذج الموافقة الاختيارية المسبقة بوصفه الأساس الافتراضي، مع أسس قانونية إضافية استحدثتها أو أوضحتها تعديلات عام 2023.
الموافقة
تُعد الموافقة الأساس القانوني الرئيسي بموجب نظام حماية البيانات الشخصية. ويشترط النظام أن تكون الموافقة:
- صريحة: يجب أن يوافق صاحب البيانات بشكل إيجابي؛ ولا يُعد الصمت أو عدم اتخاذ إجراء موافقة
- محددة: يجب الإفصاح عن كل غرض والحصول على الموافقة عليه بشكل منفصل
- موثّقة: يجب أن تكون الجهات قادرة على إثبات أن الموافقة قد مُنحت
- قابلة للسحب: يجب أن يتمكن أصحاب البيانات من سحب موافقتهم في أي وقت، ويجب على الجهة المتحكمة في البيانات وقف المعالجة عند السحب (ما لم ينطبق أساس قانوني آخر)
وبالنسبة للبيانات الشخصية الحساسة وبيانات الائتمان، يُشدَّد شرط الموافقة: إذ تكون الموافقة الصريحة المصحوبة بإفصاح تفصيلي إلزامية، ولا يمكن الاستعاضة عنها بأي أساس قانوني بديل.
أسس قانونية أخرى
وإلى جانب الموافقة، يعترف نظام حماية البيانات الشخصية بما يلي:
- الالتزام القانوني أو التنظيمي: المعالجة اللازمة للامتثال لقانون أو لائحة سعودية
- الضرورة التعاقدية: المعالجة اللازمة لتنفيذ التزامات بموجب عقد مبرم مع صاحب البيانات
- المصالح الحيوية: المعالجة اللازمة لحماية صحة صاحب البيانات أو سلامته أو حياته أو حياة شخص آخر
- المصلحة المشروعة: المعالجة اللازمة لتحقيق مصلحة مشروعة للجهة المتحكمة في البيانات، شريطة ألا تطغى هذه المصلحة على حقوق صاحب البيانات (أُدرجت بموجب تعديلات M/148 لعام 2023)
- المصلحة العامة أو الأمن الوطني: المعالجة اللازمة لتحقيق المصلحة العامة أو حماية الأمن الوطني
- البيانات المتاحة للعموم: معالجة البيانات التي أتاحها صاحبها للعموم بشكل مشروع
وثمة قيد جوهري: إذ لا يمكن استخدام أساس المصلحة المشروعة في معالجة البيانات الشخصية الحساسة. ويُعد هذا معياراً أكثر صرامة من اللائحة العامة لحماية البيانات الأوروبية (GDPR)، التي تسمح بالمصلحة المشروعة لبعض فئات البيانات الحساسة في حالات محدودة.
البيانات الشخصية الحساسة: التزامات معززة
تستوجب معالجة البيانات الشخصية الحساسة متطلبات أكثر صرامة من تلك الخاصة بالبيانات الشخصية العادية، في كل مرحلة من مراحل دورة الامتثال.
وتُشترط الموافقة الصريحة في جميع الحالات؛ ولا يجوز الاستعاضة عنها بأي أساس قانوني بديل (بما في ذلك المصلحة المشروعة). ويجب على الجهات إجراء تقييم أثر لحماية البيانات قبل الشروع في معالجة البيانات الحساسة. ولا يمكن للمصلحة المشروعة أن تبرر معالجة البيانات الحساسة تحت أي ظرف. كما لا يجوز استخدام البيانات الحساسة لأغراض تسويقية. ويجب تطبيق ضمانات أمنية تقنية وتنظيمية إضافية تتجاوز تلك المطلوبة للبيانات الشخصية العادية.
وتُعد العقوبات الجزائية المفروضة على الإفصاح غير المصرح به عن البيانات الشخصية الحساسة أشد من تلك المفروضة على المخالفات العامة لنظام حماية البيانات الشخصية، وقد استهدفت إجراءات إنفاذ SDAIA على وجه التحديد الجهات التي عالجت بيانات حساسة من دون أساس قانوني صحيح.
حقوق أصحاب البيانات
يمنح نظام حماية البيانات الشخصية الأفراد مجموعة من الحقوق القابلة للإنفاذ. وقد أبدت SDAIA استعدادها للتعامل مع شكاوى أصحاب البيانات، وواجهت الجهات المتحكمة في البيانات التي لم تستجب ضمن المهل النظامية إجراءات إنفاذ.
الحق في العلم
يحق لأصحاب البيانات معرفة: الأساس القانوني للمعالجة؛ والغرض من جمع البيانات؛ والوسيلة التي تُجمع بها البيانات؛ وهوية أي طرف ثالث قد يُفصح له عن البيانات.
الحق في الاطلاع
يمكن للأفراد طلب نسخة كاملة من جميع البيانات الشخصية التي تحتفظ بها جهة ما عنهم، بصيغة قابلة للقراءة. ويجب على الجهة المتحكمة في البيانات الرد خلال 30 يوماً، مع إمكانية تمديد هذه المدة 30 يوماً إضافية إذا استدعى حجم الطلب أو تعقيده ذلك. ويجب على الجهة إخطار صاحب البيانات بأي تمديد وبيان سببه قبل انتهاء المدة الأولى.
الحق في التصحيح
يمكن لأصحاب البيانات طلب تصحيح البيانات الشخصية غير الدقيقة. وعند إجراء التصحيح، يجب على الجهة المتحكمة في البيانات إخطار جميع الأطراف الثالثة التي سبق أن تلقت البيانات لتحديث سجلاتها.
الحق في الحذف
يمكن للأفراد طلب حذف بياناتهم الشخصية عندما لم تعد ضرورية للغرض الذي جُمعت من أجله، أو عند سحب الموافقة، أو عندما تكون المعالجة غير مشروعة. وتوجد استثناءات في الحالات التي تكون فيها البيانات لازمة لإجراءات قضائية أو للامتثال التنظيمي.
الحق في نقل البيانات
بناءً على الطلب، يجب على الجهة المتحكمة في البيانات توفير البيانات الشخصية بصيغة منظمة وقابلة للقراءة آلياً (مثل CSV أو JSON) للسماح لصاحب البيانات بنقلها إلى جهة أخرى.
الحق في سحب الموافقة
يمكن لأصحاب البيانات سحب موافقتهم في أي وقت. ولا يؤثر السحب في مشروعية المعالجة التي جرت قبله. وعند السحب، يجب على الجهة المتحكمة في البيانات وقف المعالجة ما لم ينطبق أساس قانوني آخر.
الحق في الاعتراض
يمكن لأصحاب البيانات الاعتراض على المعالجة في حالات معينة، لا سيما عندما تستند المعالجة إلى المصلحة المشروعة. ويجب على الجهة المتحكمة في البيانات وقف المعالجة ما لم تتمكن من إثبات أسباب مشروعة قاهرة تفوق مصالح صاحب البيانات.
التزام الرد خلال 30 يوماً
يجب على الجهات المتحكمة في البيانات الرد على جميع طلبات أصحاب البيانات خلال 30 يوماً. ويجوز تمديد هذه المدة 30 يوماً إضافية إذا برر ذلك التعقيد أو الحجم، على أن يُخطر صاحب البيانات قبل انتهاء المدة الأولى. وقد أدرجت إجراءات إنفاذ SDAIA عدم الرد على شكاوى أصحاب البيانات ضمن فئة مخالفة مستقلة.
التزامات الجهة المتحكمة في البيانات

تتحمل الجهات التي تحدد الغرض من معالجة البيانات الشخصية ووسيلتها الالتزامات الأساسية التالية بموجب نظام حماية البيانات الشخصية ولائحته التنفيذية.
تسجيل الجهة المتحكمة في البيانات على منصة NDGP
يجب على الجهات المتحكمة في البيانات التي تستوفي أياً من المعايير التالية التسجيل على منصة حوكمة البيانات الوطنية التابعة لـ SDAIA:
- جهة حكومية
- يتمثل نشاطها الأساسي في معالجة البيانات الشخصية
- تنقل بيانات شخصية خارج المملكة أو تفصح عنها دولياً
- تعالج بيانات شخصية حساسة
- تعالج بيانات أفراد يفتقرون إلى الأهلية القانونية الكاملة أو الجزئية
والتسجيل مجاني ويتم إلكترونياً بالكامل. وتسري شهادة التسجيل لمدة خمس سنوات؛ وتُخطر SDAIA الجهات المتحكمة في البيانات قبل 30 يوماً من انتهائها. وبموجب التعديلات المقترحة لعام 2025 على اللائحة التنفيذية، سيتم توضيح معايير التسجيل بشكل أكبر ودمجها مباشرة ضمن اللائحة التنفيذية.
إشعارات الخصوصية
يجب على الجهات المتحكمة في البيانات تزويد أصحاب البيانات بإشعار خصوصية قبل جمع البيانات أو عند جمعها. ويجب أن يفصح الإشعار عن: هوية الجهة المتحكمة في البيانات؛ وأغراض المعالجة؛ والأساس القانوني؛ وفئات البيانات المجمعة؛ وأي جهات مستقبلة للبيانات؛ وترتيبات النقل عبر الحدود؛ ومدد الاحتفاظ بالبيانات؛ وحقوق صاحب البيانات وكيفية ممارستها.
تعيين مسؤول حماية البيانات
تشترط قواعد SDAIA لتعيين مسؤول حماية البيانات تعيين مسؤول لحماية البيانات عندما تكون الجهة المتحكمة في البيانات:
- جهة حكومية تقدم خدمات واسعة النطاق تتضمن معالجة بيانات شخصية
- ذات أنشطة أساسية تتضمن مراقبة منتظمة ومنهجية لأصحاب البيانات على نطاق واسع
- ذات أنشطة أساسية تتضمن معالجة واسعة النطاق للبيانات الشخصية الحساسة
ويجب أن يحمل مسؤول حماية البيانات مؤهلات أكاديمية مناسبة وخبرة في مجال حماية البيانات، وأن يكون على دراية بإدارة المخاطر، وألا يكون قد صدرت بحقه أحكام تتعلق بعدم الأمانة أو خيانة الأمانة. ويجوز أن يكون مسؤول حماية البيانات موظفاً لدى الجهة أو متعاقداً خارجياً معها. ويجب تقديم بيانات التواصل الخاصة به إلى SDAIA عبر منصة NDGP وتحديثها كلما طرأ تغيير.
ومن شأن التعديلات المقترحة لعام 2025 دمج متطلبات مسؤول حماية البيانات ضمن اللائحة التنفيذية، وإلزام الجهات المتحكمة في البيانات بتوثيق تعيين هذا المسؤول رسمياً.
تقييمات أثر حماية البيانات
يُشترط إجراء تقييم أثر لحماية البيانات قبل الشروع في أي معالجة تنطوي على مخاطر مرتفعة على أصحاب البيانات. وتشمل الحالات التي يكون فيها هذا التقييم إلزامياً ما يلي:
- معالجة البيانات الشخصية الحساسة
- المعالجة المنهجية وواسعة النطاق لبيانات أفراد يفتقرون إلى الأهلية القانونية
- جمع البيانات أو ربطها من مصادر متعددة
- استخدام تقنيات جديدة ذات أثر كبير على الخصوصية
- اتخاذ قرارات آلية قد تلحق ضرراً جسيماً بخصوصية صاحب البيانات
- تقديم منتجات أو خدمات يُرجَّح أن تلحق ضرراً جسيماً بمصالح خصوصية صاحب البيانات
وتحدد اللائحة التنفيذية الحد الأدنى لمتطلبات تقييم أثر حماية البيانات، ويجب مشاركة نسخة منه مع أي معالج يتعامل مع البيانات المعنية.
الخصوصية بحكم التصميم
يشترط نظام حماية البيانات الشخصية على الجهات المتحكمة في البيانات دمج مبادئ حماية البيانات في الأنظمة والعمليات والمنتجات منذ مرحلة التصميم. ويجب دمج التدابير التقنية والتنظيمية في كل قرار تشغيلي يتعلق بالبيانات الشخصية؛ ولا يكفي التوثيق وحده للوفاء بهذا الالتزام.
سجلات أنشطة المعالجة
يجب على الجهات المتحكمة في البيانات الاحتفاظ بسجلات لأنشطة المعالجة تغطي: أغراض المعالجة؛ وفئات أصحاب البيانات والبيانات الشخصية؛ والجهات المستقبلة؛ وترتيبات النقل عبر الحدود؛ والتدابير الأمنية المطبقة. ويجب أن تكون السجلات دقيقة وأن يُحتفظ بها لمدة محددة، وأن تُقدَّم إلى SDAIA عند الطلب. وتُبسّط التعديلات المقترحة لعام 2025 متطلبات سجلات أنشطة المعالجة من خلال توضيح الالتزامات الأساسية بشكل أدق.
الالتزامات الأمنية
يجب على الجهات المتحكمة في البيانات تطبيق تدابير أمنية تقنية وتنظيمية تتناسب مع حجم المخاطر. وقد استهدفت إجراءات إنفاذ SDAIA على وجه التحديد الجهات ذات الضوابط الأمنية غير الكافية. ويُنصح بشدة بالتنسيق مع الضوابط الأساسية للأمن السيبراني الصادرة عن الهيئة الوطنية للأمن السيبراني (NCA) في المملكة العربية السعودية.
متطلبات الإخطار بالاختراقات
يفرض نظام حماية البيانات الشخصية إطاراً صارماً للإخطار بالاختراقات من دون أي حد أدنى لجسامة الحادثة.
إخطار SDAIA: مهلة 72 ساعة
بموجب المادة 24 من اللائحة التنفيذية، يجب على الجهات المتحكمة في البيانات إخطار SDAIA خلال 72 ساعة من علمها بوقوع اختراق قد يضر بالبيانات الشخصية أو بحقوق أصحابها. وتسري مهلة الـ72 ساعة بصرف النظر عن حجم الاختراق أو أثره الظاهري؛ ولا يسمح نظام حماية البيانات الشخصية للجهات المتحكمة في البيانات بتقدير جسامة الاختراق بنفسها والامتناع عن الإخطار.
محتوى الإخطار
يجب أن تتضمن الإخطارات المقدمة إلى SDAIA: وصفاً للحادثة وكيفية وقوعها؛ وفئة الأفراد المتأثرين وعددهم التقديري؛ وتقييماً للنتائج المحتملة؛ والتدابير المتخذة أو المزمع اتخاذها لاحتواء الاختراق ومنع تكراره.
إخطار أصحاب البيانات
يجب إخطار أصحاب البيانات من دون تأخير غير مبرر عندما يكون من شأن الاختراق إلحاق ضرر ببياناتهم الشخصية أو مصالحهم. ويجب أن يكون الإخطار مفصلاً بما يكفي لتمكين الأفراد من فهم المخاطر واتخاذ خطوات وقائية.
قناة الإبلاغ
يجب تقديم جميع إخطارات الاختراقات عبر منصة حوكمة البيانات الوطنية. ويجب على الجهات التسجيل قبل أن تتمكن من الوصول إلى وظيفة الإبلاغ عن الاختراقات؛ ولا يُعد الانتظار حتى وقوع اختراق للتسجيل نهجاً مقبولاً.
إطار الاستجابة الثلاثي المراحل لدى SDAIA
ويحدد دليل SDAIA الإجرائي لحوادث اختراق البيانات الشخصية بروتوكول استجابة من ثلاث مراحل: (1) الاحتواء والتقييم الأولي؛ (2) التحقيق التفصيلي وتقييم المخاطر؛ (3) المعالجة مع تقديم تقارير متابعة إلى SDAIA.
نقل البيانات عبر الحدود

يُعد نقل البيانات الشخصية خارج المملكة العربية السعودية من أكثر الجوانب تنظيماً في نظام حماية البيانات الشخصية. ويعمل نظام النقل عبر الحدود من خلال هذا النظام، ولائحة SDAIA بشأن نقل البيانات الشخصية خارج المملكة، ودليل تقييم المخاطر الصادر في فبراير 2025.
الشروط العامة للنقل
لا يجوز للجهات المتحكمة في البيانات نقل بيانات شخصية خارج المملكة إلا باستيفاء جميع الشروط التالية:
- ألا يُخل النقل بالأمن الوطني أو المصالح الحيوية للمملكة أو النظام العام
- أن توفر الدولة المستقبلة مستوى كافياً من حماية البيانات وفقاً لتقدير SDAIA
- أن يقتصر النقل على الحد الأدنى من البيانات اللازمة للغرض المحدد
- أن تكون هناك ضمانات مناسبة قائمة
تقييمات كفاية الحماية
تحدد SDAIA ما إذا كانت الدولة المستقبلة توفر حماية معادلة من خلال فحص إطارها القانوني لحماية البيانات، ومدى وجود جهة رقابية فاعلة تتعاون مع الجهات التنظيمية السعودية، ومدى تعارض إطار الدولة المستقبلة مع القانون السعودي أو مصالح المملكة. وحتى مايو 2026، لم تنشر SDAIA قائمة رسمية بالدول ذات الحماية الكافية مماثلة لقرارات الكفاية الصادرة عن الاتحاد الأوروبي.
الضمانات المعتمدة للدول غير ذات الحماية الكافية
بالنسبة لعمليات النقل إلى دول لم يصدر بشأنها قرار كفاية، يجب على الجهات المتحكمة في البيانات تطبيق ضمانات معتمدة من SDAIA:
- البنود التعاقدية المعيارية (SCCs) المعتمدة من SDAIA
- القواعد المؤسسية الملزمة لعمليات النقل الدولية داخل المجموعة الواحدة
- آليات تعاقدية أخرى توفر حماية معادلة لتلك المنصوص عليها في نظام حماية البيانات الشخصية
دليل تقييم المخاطر الصادر في فبراير 2025
نشرت SDAIA دليل تقييم المخاطر لنقل البيانات الشخصية خارج المملكة في فبراير 2025. وعلى الرغم من أن هذا الدليل غير ملزم قانوناً، فإنه يحدد المنهجية التي تتوقع SDAIA من الجهات المتحكمة في البيانات اتباعها، وهي منظمة في أربع مراحل:
المرحلة الأولى: الإعداد: تحديد أنواع البيانات الشخصية المراد نقلها، وفئات أصحاب البيانات، وتكرار عمليات النقل، ومدى التزام الجهة المستقبلة للبيانات.
المرحلة الثانية: تقييم المخاطر: تقييم ما إذا كان النقل قد يمس الأمن الوطني أو الاستقرار الاقتصادي أو المصلحة العامة. وتقييم التدابير التقنية والتنظيمية التي تطبقها الجهة المستقبلة.
المرحلة الثالثة: تطبيق الضمانات: توثيق الضمانات (البنود التعاقدية المعيارية، أو القواعد المؤسسية الملزمة، أو آليات أخرى) والتأكد من تطبيقها قبل بدء النقل.
المرحلة الرابعة: التوثيق والمراجعة: الاحتفاظ بسجلات تقييم المخاطر ومراجعتها كلما تغيرت الظروف، بما في ذلك تغير قانون الدولة المستقبلة أو إضافة فئة جديدة من البيانات إلى عملية النقل.
وبالنسبة لعمليات النقل المستمرة أو واسعة النطاق للبيانات الشخصية الحساسة، يكون تقييم المخاطر إلزامياً قبل بدء النقل.
اعتبارات توطين البيانات
لا يفرض نظام حماية البيانات الشخصية شرطاً عاماً بتوطين البيانات. غير أن الجهات السعودية أشارت إلى تفضيلها تخزين البيانات الحساسة والقابلة لتحديد الهوية داخل المملكة. وقد تفرض القواعد الخاصة بقطاعات معينة، كالخدمات المالية والاتصالات والصحة، التزامات إضافية بالتوطين. وتسري متطلبات الهيئة الوطنية للأمن السيبراني بالتوازي مع ذلك.
العقوبات والإنفاذ
العقوبات الإدارية
يجوز لـ SDAIA إصدار إنذار كتابي عن المخالفات الأولى أو البسيطة. أما بالنسبة للمخالفات الجوهرية، فيجوز لـ SDAIA فرض غرامة تصل إلى 5 ملايين ريال سعودي (نحو 1.33 مليون دولار أمريكي). وفي حال تكرار المخالفة، تتضاعف الغرامة لتصل إلى حد أقصى قدره 10 ملايين ريال سعودي (نحو 2.67 مليون دولار أمريكي).
وإلى جانب الغرامات، تملك SDAIA صلاحية الأمر بوقف أنشطة المعالجة. كما يجوز للمحاكم الأمر بنشر الحكم على نفقة المخالف، ومصادرة العائدات المتحصلة من المخالفة، وإتلاف البيانات التي جُمعت بشكل غير مشروع.
العقوبات الجزائية
يتضمن نظام حماية البيانات الشخصية عقوبات جزائية. ويُعد الإفصاح عن البيانات الشخصية الحساسة أو نشرها عمداً بقصد الإضرار بصاحب البيانات أو تحقيق منفعة شخصية جريمة يعاقب عليها هذا النظام. وتشمل عقوبات هذه الجريمة:
- السجن مدة تصل إلى سنتين
- غرامة تصل إلى 3 ملايين ريال سعودي (نحو 800,000 دولار أمريكي)
- أو العقوبتين معاً
وفي حال تكرار الجريمة، يجوز للمحاكم مضاعفة العقوبة لتصل إلى 6 ملايين ريال سعودي مع تمديد مدة السجن.
إجراءات الإنفاذ: مهلة الرد خلال خمسة أيام
تُجرى تحقيقات SDAIA من خلال إجراءات رسمية تقودها لجان متخصصة، وضمن مهل نظامية قصيرة. فبمجرد إخطار جهة ما بمخالفة مزعومة، لا تملك سوى خمسة أيام لتقديم ردها والأدلة الداعمة إلى SDAIA. وتكون الجهات التي لم تحدد مسبقاً ممثلين مفوضين، ولم تُعِد توكيلات قانونية سارية، ولم تختبر إمكانية الوصول إلى المنصات الإلكترونية لـ SDAIA في وضع غير موات بشكل كبير عند فتح أي تحقيق.
وتتم إجراءات الإنفاذ إلى حد كبير عبر منصة NDGP، وتملك SDAIA صلاحيات واسعة للحصول على المستندات والبيانات والإيضاحات من الجهة الخاضعة للتحقيق.
سجل الإنفاذ: 48 قراراً حتى مطلع عام 2026
حتى مطلع عام 2026، أصدرت لجان الإنفاذ التابعة لـ SDAIA 48 قراراً تراكمياً بالإنفاذ بحق جهات ثبتت مخالفتها لنظام حماية البيانات الشخصية. وكانت فئات المخالفات الرئيسية في هذه القرارات كما يلي:
- جمع البيانات الشخصية أو معالجتها من دون أساس قانوني صحيح
- الإفصاح غير المصرح به عن البيانات الشخصية
- عدم تطبيق ضوابط أمنية تقنية وتنظيمية كافية
- إرسال رسائل تسويقية من دون موافقة مسبقة
كما تعاملت SDAIA مع شكاوى أصحاب البيانات، حيث طالبت الجهات المتحكمة في البيانات بالرد ضمن مهل قصيرة وتقديم أدلة تثبت الامتثال. ومن المتوقع أن تزداد أنشطة الإنفاذ مع تنامي القدرة التحقيقية لدى SDAIA وازدياد وعي المقيمين في المملكة بحقوقهم بموجب نظام حماية البيانات الشخصية.
التعديلات المقترحة لعام 2025 على اللائحة التنفيذية
في 27 أبريل 2025، فتحت SDAIA جولة استطلاع عامة ثالثة بشأن التعديلات المقترحة على اللائحة التنفيذية لنظام حماية البيانات الشخصية عبر منصة استطلاع. وأُغلقت هذه الجولة في 27 مايو 2025.
وتستجيب التعديلات المقترحة للتحديات العملية التي واجهتها الجهات خلال السنة الأولى من الإنفاذ الكامل. ومن أبرز التغييرات المقترحة:
تسجيل الجهة المتحكمة في البيانات: دمج القواعد المستقلة الخاصة بالسجل الوطني للجهات المتحكمة في البيانات ضمن اللائحة التنفيذية، مع قائمة أوضح لمعايير التسجيل.
مسؤول حماية البيانات: دمج القواعد المستقلة الخاصة بتعيين مسؤول حماية البيانات ضمن اللائحة التنفيذية، مع اشتراط توثيق تعيينه رسمياً وتقديم بيانات التواصل الخاصة به إلى منصة SDAIA.
سجلات أنشطة المعالجة: تبسيط متطلبات سجلات أنشطة المعالجة، مع توضيح وجوب الاحتفاظ بالسجلات لمدة محددة، وأن تظل دقيقة ومحدَّثة، وأن تُقدَّم إلى SDAIA عند الطلب.
التسويق المباشر: توضيحات بشأن متطلبات الموافقة وآليات إلغاء الاشتراك.
الإخطار بالاختراقات: مراجعة التعريفات وتوضيح إجراءات الإخطار.
ولم تُنشر التعديلات النهائية حتى مايو 2026. وينبغي للجهات متابعة بوابة SDAIA للقوانين واللوائح للاطلاع على النسخة النهائية.
عام الذكاء الاصطناعي 2026 وتداعياته على نظام حماية البيانات الشخصية
أعلنت المملكة العربية السعودية عام 2026 عاماً رسمياً للذكاء الاصطناعي، في إشارة إلى التزام حكومي شامل بتسريع نشر تقنيات الذكاء الاصطناعي. وتقود SDAIA أجندتي حوكمة الذكاء الاصطناعي وحماية البيانات معاً، مما يهيئ بيئة امتثال متكاملة للجهات التي تنشر أنظمة ذكاء اصطناعي تعالج بيانات شخصية.
وفي نوفمبر 2025، نشرت SDAIA إطار اعتماد الذكاء الاصطناعي، الذي أرسى حداً أدنى إلزامياً للحوكمة يغطي خمسة محاور: حوكمة البيانات، والمساءلة عن النماذج، والشفافية، والإشراف البشري، وإدارة المخاطر. ويجب على أنظمة الذكاء الاصطناعي التي تعالج بيانات شخصية استيفاء متطلبات نظام حماية البيانات الشخصية وضوابط حوكمة إطار اعتماد الذكاء الاصطناعي في آن واحد.
وتشكّل إرشادات SDAIA السابقة بشأن الذكاء الاصطناعي التوليدي (2024) ومبادئ أخلاقيات الذكاء الاصطناعي المحدَّثة (2025) جزءاً من الإطار التنظيمي ذاته. ويجب على الجهات التي تستخدم أدوات الذكاء الاصطناعي في المملكة العربية السعودية تقييم ما إذا كانت هذه الأدوات تعالج بيانات شخصية لمقيمين سعوديين. وإذا كان الأمر كذلك، فإن التزامات الموافقة والشفافية وتقييم أثر حماية البيانات وتقليل البيانات بموجب نظام حماية البيانات الشخصية تنطبق إضافة إلى متطلبات الحوكمة الخاصة بالذكاء الاصطناعي.
قائمة التحقق من الامتثال للشركات
ينبغي للجهات الخاضعة لنظام حماية البيانات الشخصية معالجة ما يلي:
- إجراء جرد للبيانات الشخصية: تحديد جميع أنشطة المعالجة، وبيان البيانات المجمعة، والأساس القانوني لجمعها، وكيفية تدفقها داخل الجهة وخارجها
- توثيق الأسس القانونية: توثيق الأساس القانوني المنطبق بموجب نظام حماية البيانات الشخصية لكل نشاط معالجة
- تحديث إشعارات الخصوصية: التأكد من أن جميع الإفصاحات تستوفي متطلبات الشفافية بموجب النظام
- بناء آليات موافقة اختيارية مسبقة: تطبيق آليات تسجل موافقة صريحة ومحددة وقابلة للسحب بالنسبة للمعالجة القائمة على الموافقة
- التسجيل على منصة NDGP: إتمام التسجيل قبل بدء المعالجة إذا انطبق أي معيار من معايير التسجيل
- تعيين مسؤول حماية البيانات عند الاقتضاء: التحقق مما إذا كانت الجهة المتحكمة في البيانات تستوفي معايير تعيين هذا المسؤول، وفي حال الإيجاب، تعيينه وتسجيله على منصة NDGP
- إجراء تقييمات أثر حماية البيانات: قبل الشروع في أنشطة معالجة تنطوي على مخاطر مرتفعة على أصحاب البيانات
- وضع إجراء للاستجابة للاختراقات: التأكد من قدرة الجهة على اكتشاف الاختراقات وتقييمها وإخطار SDAIA خلال 72 ساعة
- تقييم عمليات النقل عبر الحدود: إجراء تقييمات مخاطر موثقة لجميع عمليات النقل خارج المملكة؛ وتطبيق البنود التعاقدية المعيارية أو ضمانات معتمدة أخرى
- الاستعداد للإنفاذ: تحديد ممثلين مفوضين، وإعداد توكيلات قانونية لإجراءات SDAIA، واختبار إمكانية الوصول إلى منصة NDGP
- تقييم أنظمة الذكاء الاصطناعي: تحديد ما إذا كانت أدوات الذكاء الاصطناعي التي تعالج بيانات شخصية تستوجب التزامات بموجب نظام حماية البيانات الشخصية وإطار اعتماد الذكاء الاصطناعي معاً
- تدريب الموظفين: التأكد من فهم جميع الموظفين الذين يتعاملون مع البيانات الشخصية لالتزاماتهم بموجب النظام
الأسئلة الشائعة
ليست استشارة قانونية: يقدم هذا المقال معلومات قانونية عامة عن نظام حماية البيانات الشخصية في المملكة العربية السعودية، وفق ما تم التحقق منه في مايو 2026. ولا يشكل هذا المقال استشارة قانونية، ولا يتناول جميع القواعد الخاصة بقطاعات معينة التي قد تنطبق على صناعات بعينها. والقوانين واللوائح عرضة للتغيير؛ لذا ينبغي التحقق من المتطلبات السارية مع محامٍ مرخص له في الولاية القضائية المعنية قبل اتخاذ أي إجراء.
الجهات المرجعية
Frequently Asked Questions
على من ينطبق نظام حماية البيانات الشخصية السعودي؟
ينطبق نظام حماية البيانات الشخصية على جميع الجهات والأفراد الموجودين داخل المملكة العربية السعودية الذين يعالجون بيانات شخصية بأي وسيلة. كما ينطبق خارج الحدود الإقليمية على الجهات خارج المملكة التي تعالج بيانات شخصية لأفراد موجودين داخل المملكة. ويجب على الشركات الدولية التي تقدم سلعاً أو خدمات لمقيمين سعوديين، أو تراقب سلوكهم، الامتثال حتى من دون تواجد فعلي في البلاد.
متى بدأ الإنفاذ الكامل لنظام حماية البيانات الشخصية؟
دخل نظام حماية البيانات الشخصية حيز النفاذ في 14 سبتمبر 2023. ومنحت SDAIA فترة سماح للامتثال مدتها سنة واحدة، انتهت في 14 سبتمبر 2024. وبدأ الإنفاذ الكامل اعتباراً من ذلك التاريخ. وحتى مطلع عام 2026، أصدرت SDAIA 48 قراراً تراكمياً بالإنفاذ بحق جهات ثبتت مخالفتها.
من هي الجهة التنظيمية لنظام حماية البيانات الشخصية: SDAIA أم NDMO؟
SDAIA هي الجهة التنظيمية الحالية والفعلية. وينص النظام على أن تعمل SDAIA بصفتها الجهة المختصة خلال السنتين الأوليين من دخوله حيز النفاذ، مع إمكانية نقل مسؤولية الإنفاذ بعد ذلك إلى مكتب إدارة البيانات الوطني (NDMO)، رهناً بتقييم حكومي لمدى نضج قطاع البيانات. وحتى مايو 2026، لم يُعلن عن أي نقل رسمي، وما زالت SDAIA تقود عملية الإنفاذ.
ما هي عقوبات عدم الامتثال لنظام حماية البيانات الشخصية؟
تصل الغرامات الإدارية إلى 5 ملايين ريال سعودي (نحو 1.33 مليون دولار أمريكي) عن المخالفات العامة، وتتضاعف إلى 10 ملايين ريال سعودي في حال التكرار. وتشمل العقوبات الجزائية عن الإفصاح المتعمد عن البيانات الشخصية الحساسة السجن مدة تصل إلى سنتين وغرامة تصل إلى 3 ملايين ريال سعودي، وتتضاعف إلى 6 ملايين ريال سعودي مع تمديد مدة السجن في حال تكرار الجريمة. كما يجوز للمحاكم الأمر بنشر الأحكام ومصادرة العائدات.
ما هي مهلة الإخطار بالاختراقات بموجب نظام حماية البيانات الشخصية؟
يجب على الجهات المتحكمة في البيانات إخطار SDAIA خلال 72 ساعة من علمها بوقوع اختراق للبيانات قد يضر بالبيانات الشخصية أو بحقوق أصحابها. ولا يوجد حد أدنى لجسامة الحادثة؛ إذ يجب الإبلاغ عن جميع الاختراقات التي تنطبق عليها هذه الصفة. وتُقدَّم الإخطارات عبر منصة حوكمة البيانات الوطنية على dgp.sdaia.gov.sa.
كيف يتعامل نظام حماية البيانات الشخصية مع نقل البيانات عبر الحدود؟
يستلزم نقل البيانات الشخصية خارج المملكة العربية السعودية استيفاء عدة شروط: ألا يُخل النقل بالأمن الوطني أو النظام العام؛ وأن توفر الدولة المستقبلة حماية كافية للبيانات وفقاً لتقييم SDAIA؛ وأن تكون هناك ضمانات مناسبة مثل البنود التعاقدية المعيارية المعتمدة من SDAIA؛ وأن تقتصر البيانات المنقولة على الحد الأدنى اللازم. وبالنسبة لعمليات النقل الحساسة أو واسعة النطاق، يكون إجراء تقييم مخاطر موثق وفقاً لدليل تقييم المخاطر الصادر عن SDAIA في فبراير 2025 إلزامياً.
هل تختلف الموافقة بموجب نظام حماية البيانات الشخصية عن الموافقة بموجب اللائحة العامة لحماية البيانات الأوروبية (GDPR)؟
توجد فروق جوهرية بينهما. إذ يولي نظام حماية البيانات الشخصية أهمية أكبر للموافقة بوصفها الأساس القانوني الافتراضي. ولا يمكن استخدام أساس المصلحة المشروعة في معالجة البيانات الشخصية الحساسة بموجب هذا النظام، وهو معيار أكثر صرامة من اللائحة الأوروبية. كما يتضمن النظام السعودي فئة فريدة من البيانات الحساسة تشمل الأفراد مجهولي الوالدين. ويتيح النظام السعودي عقوبة السجن عن الإفصاح المتعمد عن البيانات الحساسة، وهو ما لا يوجد له مقابل مباشر في اللائحة الأوروبية.
هل يتعين على الجهات تعيين مسؤول حماية البيانات؟
يُعد تعيين مسؤول حماية البيانات إلزامياً بالنسبة للجهات الحكومية التي تقدم خدمات واسعة النطاق تتضمن بيانات شخصية، والجهات التي تتضمن أنشطتها الأساسية مراقبة منتظمة ومنهجية لأصحاب البيانات على نطاق واسع، والجهات التي تتضمن أنشطتها الأساسية معالجة واسعة النطاق للبيانات الشخصية الحساسة. ويجب تسجيل مسؤول حماية البيانات على منصة حوكمة البيانات الوطنية التابعة لـ SDAIA. ومن شأن التعديلات المقترحة لعام 2025 دمج متطلبات هذا المسؤول ضمن اللائحة التنفيذية.
ما هي التعديلات المقترحة لعام 2025 على اللائحة التنفيذية لنظام حماية البيانات الشخصية؟
فتحت SDAIA جولة استطلاع عامة ثالثة بشأن التعديلات المقترحة في أبريل 2025، وأُغلقت في 27 مايو 2025. ومن شأن هذه المقترحات دمج قواعد تسجيل الجهات المتحكمة في البيانات وقواعد تعيين مسؤول حماية البيانات ضمن اللائحة التنفيذية (مع إلغاء الأدوات المستقلة الحالية)، وتبسيط متطلبات سجلات أنشطة المعالجة، وتوضيح التزامات الموافقة على التسويق المباشر، ومراجعة تعريفات الإخطار بالاختراقات. ولم تُنشر التعديلات النهائية حتى مايو 2026.
كيف يؤثر عام الذكاء الاصطناعي 2026 على الامتثال لنظام حماية البيانات الشخصية؟
أعلنت المملكة العربية السعودية عام 2026 عاماً للذكاء الاصطناعي. ويُنشئ إطار اعتماد الذكاء الاصطناعي الصادر عن SDAIA في نوفمبر 2025 التزامات حوكمة إلزامية لأنظمة الذكاء الاصطناعي تغطي حوكمة البيانات، والمساءلة عن النماذج، والشفافية، والإشراف البشري، وإدارة المخاطر. ويجب على أنظمة الذكاء الاصطناعي التي تعالج بيانات شخصية لمقيمين سعوديين الامتثال لنظام حماية البيانات الشخصية وإطار اعتماد الذكاء الاصطناعي في آن واحد. وينبغي للجهات تقييم ما إذا كانت أدوات الذكاء الاصطناعي التي تستخدمها تستوجب متطلبات الموافقة وتقييم أثر حماية البيانات وتقليل البيانات بموجب النظام.
Updates
تحديث شامل: إضافة سجل الإنفاذ لعام 2026 (48 قراراً)، وحالة انتقال الإشراف إلى NDMO، وسياق عام الذكاء الاصطناعي وإطار اعتماد الذكاء الاصطناعي الصادر عن SDAIA، وجولة الاستطلاع العامة الثالثة في أبريل 2025 بشأن تعديلات اللائحة التنفيذية، وتفاصيل دليل تقييم المخاطر الصادر في فبراير 2025، وإجراءات الإنفاذ (مهلة الرد خلال خمسة أيام)، وتوسيع أقسام النقل عبر الحدود والبيانات الحساسة وقائمة التحقق من الامتثال. وارتفع عدد الكلمات من نحو 2,847 كلمة إلى نحو 5,800 كلمة.
النشر الأولي: إطار نظام حماية البيانات الشخصية، وإنفاذ SDAIA، وحقوق أصحاب البيانات، والإخطار بالاختراقات، وقواعد النقل عبر الحدود، والعقوبات.
Sources and References
- بوابة SDAIA للقوانين واللوائح(sdaia.gov.sa).gov
- منصة حوكمة البيانات الوطنية(dgp.sdaia.gov.sa).gov
- دليل SDAIA الإجرائي لحوادث اختراق البيانات الشخصية(sdaia.gov.sa).gov
- قواعد SDAIA لتعيين مسؤول حماية البيانات(sdaia.gov.sa).gov
- لائحة SDAIA بشأن نقل البيانات الشخصية خارج المملكة(dgp.sdaia.gov.sa).gov
- دليل SDAIA لتقييم المخاطر لنقل البيانات الشخصية خارج المملكة(dgp.sdaia.gov.sa).gov
- البوابة الوطنية السعودية - تنظيم البيانات والأمن السيبراني(my.gov.sa).gov
- منصة استطلاع - التعديلات المقترحة على اللائحة التنفيذية لنظام حماية البيانات الشخصية(istitlaa.ncc.gov.sa).gov
- IAPP - الذكرى السنوية الأولى لنظام PDPL السعودي: التعديلات والإنفاذ والتطورات المستمرة(iapp.org)
- IAPP - الهيئة السعودية لحماية البيانات تكثف الإنفاذ(iapp.org)
- تقرير ICLG لقوانين ولوائح حماية البيانات 2025-2026: المملكة العربية السعودية(iclg.com)
- دليل Chambers لحماية البيانات والخصوصية 2026: المملكة العربية السعودية(practiceguides.chambers.com)
- Clyde and Co - إنفاذ نظام PDPL السعودي بات سارياً (مارس 2026)(clydeco.com)
- Clyde and Co - جولة الاستطلاع العامة الثالثة لنظام PDPL السعودي (مايو 2025)(clydeco.com)
- Clyde and Co - تحديث بشأن إرشادات تقييم المخاطر للنقل عبر الحدود في المملكة العربية السعودية(clydeco.com)
- Dentons - التعديلات المقترحة على اللائحة التنفيذية لنظام PDPL السعودي (مايو 2025)(dentons.com)
- Dentons - إطار المملكة العربية السعودية لنقل البيانات عبر الحدود(dentons.com)
- A and O Shearman - إنفاذ نظام حماية البيانات الشخصية السعودي(aoshearman.com)
- Global Privacy Blog - الإنفاذ الفعلي لنظام الخصوصية في المملكة العربية السعودية (مايو 2026)(globalprivacyblog.com)
- Global Privacy Blog - المملكة العربية السعودية تصدر إرشادات جديدة لتقييم مخاطر نقل البيانات(globalprivacyblog.com)
- CMS Law - الذكرى السنوية الأولى لنظام PDPL السعودي (سبتمبر 2025)(cms-lawnow.com)
- Morgan Lewis - دليل التسجيل كجهة متحكمة في البيانات بموجب نظام PDPL السعودي(morganlewis.com)
- King and Spalding - عمليات نقل البيانات الشخصية الدولية بموجب نظام PDPL السعودي(kslaw.com)
- Akin Gump - نظام PDPL السعودي ولائحته التنفيذية: الالتزامات الرئيسية(akingump.com)
- U.S. Commercial Service - قواعد نقل بيانات تقنية المعلومات والاتصالات عبر الحدود في المملكة العربية السعودية قيد الإنفاذ(trade.gov).gov
- Bird and Bird - الاستطلاع العام في المملكة العربية السعودية بشأن مسودة التعديلات على لوائح حماية البيانات(twobirds.com)
- دليل DLA Piper لقوانين حماية البيانات حول العالم: المملكة العربية السعودية(dlapiperdataprotection.com)