Saudi HRSaudi HR
ابدأ الآن
العودة للمدونة
حقوق الموظفإدارة الموارد البشرية

نظام حماية البيانات الشخصية وبيانات الموظفين: دليل الموارد البشرية 2026

فريق Saudi HR٢٦ فبراير ٢٠٢٦6 دقائق قراءة

نظام حماية البيانات الشخصية وأثره على بيانات الموظفين

إدارة الموارد البشرية هي أكثر جهة داخل المنشأة تتعامل مع البيانات الشخصية: الأسماء والأرقام الوطنية والرواتب والسجلات الطبية وتقييمات الأداء. مع بدء النفاذ الكامل لنظام حماية البيانات الشخصية في السعودية، لم تعد هذه البيانات مسألة تنظيمية داخلية فقط، بل التزام قانوني له عواقب مالية وجنائية. هذا الدليل يشرح لك ما تحتاج معرفته كمسؤول موارد بشرية لتبقى ممتثلا.

متى أصبح النظام نافذا بالكامل

نظام حماية البيانات الشخصية دخل حيز النفاذ في 14 سبتمبر 2023، ومُنحت المنشآت فترة سماح انتقالية مدتها سنة كاملة. انتهت فترة السماح في 14 سبتمبر 2024، وعند هذا التاريخ بدأ الإنفاذ النشط للنظام. بمعنى آخر، التاريخ الأول هو تاريخ النفاذ، بينما 14 سبتمبر 2024 هو بداية الإنفاذ الفعلي على المخالفات.

الجهة المشرفة على النظام هي الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، وهي الجهة المختصة المسؤولة عن تطبيق النظام والرقابة عليه في سنواته الأولى.

الإنفاذ ليس نظريا

أعلنت الهيئة السعودية للبيانات والذكاء الاصطناعي عن إصدار نحو 48 قرارا بحق المخالفين خلال السنة التي تلت انتهاء فترة السماح. هذا الرقم يؤكد أن الرقابة قائمة وفعالة وليست مجرد نص في النظام.

أبرز أنواع المخالفات التي رصدتها الجهات المختصة كانت:

  • معالجة البيانات الشخصية دون أساس نظامي
  • الإفصاح غير المصرح به عن البيانات
  • ضعف الضوابط التقنية والتنظيمية لحماية البيانات
  • التسويق دون موافقة صاحب البيانات

كل واحدة من هذه المخالفات قد تقع بسهولة داخل عمليات الموارد البشرية اليومية إذا لم تكن السياسات واضحة.

الغرامات والعقوبات

العواقب المالية والجنائية للمخالفات جدية، ويجب أن تكون واضحة لكل مسؤول موارد بشرية.

الغرامات الإدارية

تصل الغرامة الإدارية إلى 5 ملايين ريال عن المخالفة الواحدة. وفي حالة تكرار المخالفة، يجوز مضاعفة الغرامة لتصل إلى ضعف الحد الأقصى المقرر، أي ما يصل إلى 10 ملايين ريال. المهم هنا أن الحد النظامي الأقصى هو 5 ملايين ريال عن المخالفة الواحدة، والمضاعفة خيار يطبق على المخالف المتكرر وليس سقفا ثابتا منفصلا.

العقوبة الجنائية للبيانات الحساسة

الإفشاء المتعمد أو نشر البيانات الشخصية الحساسة، إذا تم بقصد الإضرار بصاحب البيانات أو لتحقيق منفعة شخصية، يُعرّض المخالف لعقوبة السجن مدة تصل إلى سنتين والغرامة التي تصل إلى 3 ملايين ريال. لاحظ القيد الجوهري هنا: العقوبة الجنائية ترتبط بالقصد والتعمد، ولا تنطبق على كل خطأ أو إهمال في التعامل مع البيانات الحساسة.

الأساس النظامي لمعالجة بيانات الموظفين

من أكثر الأخطاء شيوعا في الموارد البشرية الاعتماد على موافقة الموظف كأساس وحيد لمعالجة بياناته. هذا النهج خاطئ من الناحية النظامية.

النظام يعترف بأسس مشروعة متعددة للمعالجة بخلاف الموافقة، منها:

  • الضرورة التعاقدية، أي ما يلزم لتنفيذ عقد العمل
  • الالتزام النظامي، أي ما تفرضه الأنظمة على المنشأة
  • المصلحة الحيوية أو المصلحة المشروعة

والسبب في تفضيل هذه الأسس على الموافقة في سياق العمل أن العلاقة بين صاحب العمل والموظف غير متكافئة، فالموافقة قد لا تكون حرة بشكل كامل عندما يكون الموظف في موقع تبعية. لذلك يُفضل الاستناد إلى الضرورة التعاقدية أو الالتزام النظامي عند معالجة بيانات الموظف الروتينية.

تنبيه مهم: المصلحة المشروعة لا تصلح كأساس لمعالجة البيانات الحساسة. عند التعامل مع البيانات الطبية أو ما في حكمها من البيانات الحساسة، يجب البحث عن أساس نظامي آخر مناسب.

للمزيد حول صياغة عقود العمل بشكل سليم، راجع مقالنا حول العقد الموحد ومنصة قوى.

هل تحتاج إدارة الموارد البشرية إلى مسؤول حماية بيانات

هذا سؤال يتردد كثيرا، والإجابة وفق إرشادات الهيئة السعودية للبيانات والذكاء الاصطناعي واضحة. معالجة بيانات الموظفين من قبل إدارة الموارد البشرية تُعد نشاطا مساندا، ولا تشكل في حد ذاتها نشاطا أساسيا يستوجب تعيين مسؤول حماية بيانات.

تعيين مسؤول حماية البيانات يصبح إلزاميا فقط في الحالات التالية:

  • إذا كانت الجهة جهة عامة تعالج البيانات الشخصية على نطاق واسع
  • إذا كان النشاط الأساسي للجهة يتطلب مراقبة منتظمة وممنهجة لأصحاب البيانات
  • إذا كان النشاط الأساسي للجهة يقوم على معالجة البيانات الحساسة

الخلاصة العملية: إذا كانت معالجة البيانات الحساسة جزءا من النشاط الأساسي لمنشأتك وليست مجرد عملية مساندة للموارد البشرية، فقد ينشأ التزام بتعيين مسؤول حماية بيانات. أما المعالجة الروتينية لبيانات الموظفين فلا تستوجب ذلك بمفردها.

حقوق الموظف على بياناته

النظام يمنح صاحب البيانات، ومنه الموظف، حقوقا واضحة عليك احترامها كمسؤول موارد بشرية:

  • حق الوصول إلى بياناته الشخصية
  • حق التصحيح لما هو غير دقيق منها
  • حق المحو وفق الضوابط النظامية
  • حق الاعتراض على المعالجة

عند تلقي طلب من الموظف بشأن أي من هذه الحقوق، يجب على المنشأة الاستجابة خلال 30 يوما، وتجوز إضافة مدة 30 يوما أخرى عند الحاجة. ينبغي أن يكون لديك إجراء داخلي واضح لاستقبال هذه الطلبات والرد عليها في الوقت المحدد.

الإبلاغ عن خرق البيانات خلال 72 ساعة

في حال وقوع خرق للبيانات الشخصية قد يترتب عليه ضرر بالبيانات أو بأصحابها، يجب إبلاغ الهيئة السعودية للبيانات والذكاء الاصطناعي خلال 72 ساعة، وذلك وفق المادة 24 من اللائحة التنفيذية للنظام.

هذه المهلة قصيرة، ولذلك يجب أن يكون لديك خطة استجابة جاهزة مسبقا تحدد من يبلّغ ومتى وكيف يُوثّق الخرق. الاستعداد المسبق هو الفرق بين الامتثال والمخالفة عند وقوع الحادثة.

خطوات عملية لإدارة الموارد البشرية

لتقليل المخاطر وضمان الامتثال، ابدأ بهذه الخطوات:

  • راجع الأساس النظامي الذي تعتمد عليه في معالجة بيانات كل فئة من الموظفين، ولا تكتفِ بالموافقة
  • صنّف البيانات الحساسة وحدد ضوابط إضافية لحمايتها
  • ضع إجراء موثقا للرد على طلبات الموظفين خلال مهلة 30 يوما
  • جهّز خطة استجابة للخرق تضمن الإبلاغ خلال 72 ساعة
  • عزّز الضوابط التقنية والتنظيمية لأن ضعفها كان من أبرز أسباب المخالفات

للاطلاع على الإطار الأوسع لأنظمة العمل والامتثال، راجع مقالنا حول أهم تحديثات نظام العمل السعودي 2025.

الأسئلة الشائعة

هل موافقة الموظف كافية لمعالجة بياناته

لا يُنصح بالاعتماد على الموافقة كأساس وحيد، لأن العلاقة بين صاحب العمل والموظف غير متكافئة وقد تجعل الموافقة غير حرة. يُفضل الاستناد إلى الضرورة التعاقدية أو الالتزام النظامي للمعالجة الروتينية لبيانات الموظف.

كم تبلغ الغرامة على مخالفة نظام حماية البيانات

تصل الغرامة الإدارية إلى 5 ملايين ريال عن المخالفة الواحدة، ويجوز مضاعفتها لتصل إلى 10 ملايين ريال في حالة تكرار المخالفة. أما الإفشاء المتعمد للبيانات الحساسة بقصد الإضرار أو المنفعة الشخصية فعقوبته السجن حتى سنتين وغرامة تصل إلى 3 ملايين ريال.

كم المدة المتاحة للإبلاغ عن خرق البيانات

يجب إبلاغ الهيئة السعودية للبيانات والذكاء الاصطناعي خلال 72 ساعة من وقوع خرق قد يترتب عليه ضرر بالبيانات أو بأصحابها، وفق المادة 24 من اللائحة التنفيذية.

هل يجب على إدارة الموارد البشرية تعيين مسؤول حماية بيانات

ليس بالضرورة. معالجة بيانات الموظفين من قبل الموارد البشرية تُعد نشاطا مساندا لا يستوجب التعيين بمفرده. يصبح التعيين إلزاميا للجهات العامة التي تعالج البيانات على نطاق واسع، أو حين تكون المراقبة الممنهجة أو معالجة البيانات الحساسة نشاطا أساسيا للجهة.

كيف يساعدك Saudi HR

مساعد Saudi HR الذكي مُلمّ بنظام حماية البيانات الشخصية وأثره على عمليات الموارد البشرية. اسأله عن الأساس النظامي المناسب لمعالجة بيانات موظفيك أو عن خطوات الاستجابة لخرق البيانات، واحصل على إجابة فورية مبنية على الإطار النظامي الحالي.

هذا المقال لأغراض معلوماتية فقط ولا يشكل استشارة قانونية. للأسئلة القانونية المحددة، استشر محاميا متخصصا في حماية البيانات وأنظمة العمل.

الوسوم:وزارة الموارد البشريةالذكاء الاصطناعي في الموارد البشرية

مقالات ذات صلة

م
رؤية 2030إدارة الموارد البشرية

مهارات المستقبل وإعادة التأهيل في رؤية 2030: ما الذي يتغير في سوق العمل السعودي

كيف تعيد المملكة تأهيل قوتها العاملة عبر المنصة الوطنية للمهارات ومسرعة المهارات وبرامج صندوق تنمية الموارد البشرية، وماذا يعني ذلك لأصحاب العمل والموظفين.

١ أبريل ٢٠٢٦6 دقائق