هل يسري نظام PDPL على شركتي إذا كان مقرها خارج المملكة؟

نعم. يسري النظام على أي معالجة للبيانات الشخصية لأفراد موجودين في المملكة، بصرف النظر عن مكان تأسيس شركتك. فإذا كان لديك مستخدمون أو عملاء أو زوار موقع سعوديون تجمع بياناتهم، فأنت ضمن النطاق وبإمكان سدايا الإنفاذ ضدك.

ما المهلة المحددة للإبلاغ عن اختراق البيانات بموجب PDPL؟

يجب إبلاغ سدايا خلال 72 ساعة من علمك باختراق قد يضر بالبيانات الشخصية أو بحقوق أصحابها. ولا يوجد حد أدنى للأهمية، لذا تُحتسب حتى الاختراقات البسيطة، ويجب إبلاغ الأفراد المتأثرين متى كان قد يلحق بهم ضرر.

هل يمكنني تخزين بيانات العملاء السعوديين على خوادم خارج المملكة؟

كأصل عام، ينبغي معالجة بيانات الأفراد في المملكة داخل المملكة. ولا يُسمح بالنقل للخارج إلا بشروط: الملاءمة أو الشروط التعاقدية النموذجية المعتمدة من سدايا، وتقليل البيانات، وعدم الإضرار بالأمن الوطني، وتقييم مخاطر موثّق للنقل الحساس أو واسع النطاق.

ما حجم الغرامات في نظام PDPL؟

تستطيع لجان سدايا فرض غرامات تصل إلى 5 ملايين ريال (نحو 1.3 مليون دولار) لكل مخالفة، تُضاعَف عند التكرار، إلى جانب الإنذارات ونشر العقوبة علناً. كما قد يترتب على الإفصاح غير المشروع عن البيانات الحساسة عقوبات جزائية تشمل السجن.

هل يجب على الوكلاء الأذكياء وروبوتات المحادثة الامتثال لنظام PDPL؟

نعم. أي وكيل ذكي أو روبوت محادثة أو نظام RAG يعالج بيانات شخصية يجب أن يستوفي PDPL — الأساس النظامي وتحديد الغرض وتقليل البيانات والتوطين — إضافةً إلى إطار اعتماد الذكاء الاصطناعي ومبادئ أخلاقياته من سدايا. وانتبه بشكل خاص للبيانات المُرسلة إلى واجهات نماذج أطراف ثالثة، والاحتفاظ بالسجلات، والاستخدام الثانوي للتدريب.

What does Visperah Tech do?

Visperah Tech is a B2B digital and AI agency. We build AI agents & automation, SaaS and operations platforms, custom web and mobile apps, AI-enhanced UI/UX design, and AI-driven digital marketing for businesses worldwide. We work in Arabic and English, with deep Gulf-market expertise and a presence in Riyadh.

What are AI agents and how can they help my Saudi business?

AI agents are autonomous software that understand context and take action — beyond fixed chatbots or rule-based automation. Saudi businesses use them to qualify leads on WhatsApp in Gulf Arabic, resolve customer service 24/7, process documents, and run multi-step workflows across ERP and CRM. Done right, they cut support costs 40–70% while staying SDAIA and PDPL-aware.

How much does it cost to build a website in Saudi Arabia?

In 2026, a basic business website typically costs SAR 3,000–8,000, an SME site SAR 8,000–20,000, and a corporate site SAR 20,000–60,000. E-commerce stores range SAR 25,000–100,000+ depending on Saudi payment gateways (Mada, STC Pay), bilingual Arabic/English support, and custom features. Visperah scopes a fixed quote after a free strategy call.

Does my website need to comply with Saudi PDPL?

Yes, if you process personal data of people in Saudi Arabia. The Personal Data Protection Law has been enforced by SDAIA since 14 September 2024. You need clear consent, a privacy policy, data-subject rights (access, correction, deletion), 72-hour breach notification, and controller registration. Fines reach SAR 5 million. Visperah builds with a PDPL-aware posture by default.

Can AI chatbots understand Saudi Arabic dialects?

Yes. Modern AI agents handle Modern Standard Arabic plus Najdi and Hijazi dialects and Arabizi (Roman-script Arabic), detect intent, and reply naturally 24/7. Visperah builds agents that integrate with WhatsApp Business API and Saudi platforms like Salla and Zid, so customers are served in the Arabic they actually speak.

What payment gateways should a Saudi e-commerce site support?

A Saudi store should support Mada (the national debit network), STC Pay, Apple Pay, and major credit cards, plus optional buy-now-pay-later providers like Tamara and Tabby. Mada coverage is essential because most Saudi shoppers use Mada cards. These integrations affect build cost, typically pushing custom stores toward SAR 25,000+.

Can a remote-first agency deliver projects for Saudi companies?

Yes. What matters is Arabic-language capability, PDPL-aware data handling, Saudi payment and platform integrations (Mada, STC Pay, Salla, Zid), time-zone overlap, and clear accountability — not a large physical office. Visperah delivers remote-first with a presence being established in Riyadh for meetings, compliance, and local setup.

العودة إلى المقالات

Compliance7 دقائق قراءة·نُشر 2026-06-25

الامتثال لنظام حماية البيانات الشخصية (PDPL) للمواقع والتطبيقات السعودية: دليل عملي 2026

ما الذي يتطلبه فعلياً نظام حماية البيانات الشخصية (PDPL) من موقعك وتطبيقك في 2026 — الموافقة، الإبلاغ عن الاختراقات، التسجيل لدى سدايا، توطين البيانات، الغرامات، وما يعنيه ذلك للوكلاء الأذكياء.

أبرز النقاط

نظام PDPL نافذ بالكامل منذ 14 سبتمبر 2024 ويسري على أي معالجة للبيانات الشخصية لأفراد في المملكة، بما في ذلك الشركات الأجنبية — و2026 حقبة إنفاذ فعلي.
الالتزامات الجوهرية: موافقة فعلية (خصوصاً لتسويق واتساب والرسائل النصية والبريد)، وسياسة خصوصية شفافة ثنائية اللغة، وقناة حقيقية لحقوق أصحاب البيانات.
قواعد تشغيلية صارمة: إبلاغ سدايا خلال 72 ساعة من الاختراق (دون حد أدنى للأهمية)، وتسجيل جهات التحكم الأعلى مخاطرة في المنصة الوطنية لحوكمة البيانات، وتعيين مسؤول حماية بيانات عند الاقتضاء.
ينبغي أن تكون معالجة بيانات الأفراد السعوديين داخل المملكة كأصل عام؛ ويتطلب النقل عبر الحدود الملاءمة والشروط التعاقدية النموذجية من سدايا وتقليل البيانات وتقييم مخاطر موثّق.
تصل الغرامات إلى 5 ملايين ريال لكل مخالفة (وتُضاعَف عند التكرار)؛ ويجب على الوكلاء الأذكياء وأنظمة RAG التي تعالج البيانات الشخصية بناء الأساس النظامي وتقليل البيانات والتوطين في التصميم.

من يجب عليه الامتثال لنظام PDPL؟

يجب على أي جهة تعالج البيانات الشخصية للأفراد داخل المملكة العربية السعودية الامتثال لنظام حماية البيانات الشخصية (PDPL) — بصرف النظر عن مكان وجود الشركة نفسها. أصبح النظام نافذاً بالكامل في 14 سبتمبر 2024 بانتهاء فترة السماح الانتقالية البالغة عاماً واحداً، لذا فإن عام 2026 هو حقبة إنفاذ فعلي وليس مرحلة تحضير.

نطاق النظام واسع عن قصد. فخلافاً للائحة الأوروبية GDPR التي تربط نطاقها خارج الحدود بمحفزات محددة كالاستهداف أو مراقبة السلوك، يسري نظام PDPL على أي معالجة للبيانات الشخصية لأفراد داخل المملكة. فإذا كان موقعك يستقبل نماذج تواصل من الرياض، أو متجرك على سلة أو زد يشحن إلى جدة، أو تطبيقك يصادق مستخدمين سعوديين — فأنت ضمن النطاق. والجهة المنظِّمة هي سدايا (الهيئة السعودية للبيانات والذكاء الاصطناعي) التي تدير المنصة الوطنية لحوكمة البيانات.

الالتزامات الأساسية: الموافقة والإشعار وحقوق صاحب البيانات

التزاماتك الأساسية الثلاثة هي وجود أساس نظامي واضح للمعالجة (غالباً الموافقة)، وسياسة خصوصية شفافة، وآلية فعّالة تمكّن الأفراد من ممارسة حقوقهم. وهذه هي المجالات التي فرضت سدايا عقوبات فعلية بشأنها: إذ انطوت نسبة ملحوظة من قراراتها التنفيذية الـ48 الأولى على إرسال رسائل تسويقية وترويجية دون موافقة مسبقة.

عملياً، يجب أن تكون الموافقة محددة ومستنيرة وحرة — لا مربعات محددة مسبقاً، وموافقة فعلية قبل إرسال حملات عبر واتساب للأعمال (WhatsApp Business API) أو الرسائل النصية أو البريد الإلكتروني. ويجب أن تبيّن سياسة الخصوصية البيانات التي تجمعها وأسبابها والأساس النظامي ومدد الاحتفاظ وأي أطراف ثالثة أو معالجين فرعيين (بوابات الدفع مثل مدى وSTC Pay وتمارا وتابي؛ التحليلات؛ الاستضافة السحابية). ولأصحاب البيانات حقوق في الاطلاع والتصحيح وطلب الحذف وسحب الموافقة والعلم — ويحتاج موقعك أو تطبيقك إلى قناة حقيقية لتلبية هذه الطلبات، لا بريد مهمل.

الإبلاغ عن الاختراق، وتسجيل جهة التحكم، ومسؤول حماية البيانات

يجب إبلاغ سدايا خلال 72 ساعة من علمك بأي اختراق قد يضر بالبيانات الشخصية أو بحقوق أصحابها — ولا يوجد حد أدنى للأهمية، فالاختراقات «الصغيرة» تُحتسب أيضاً. كما يجب إبلاغ الأفراد المتأثرين متى كان الاختراق قد يلحق بهم ضرراً. تعامل مع مهلة الـ72 ساعة كموعد تشغيلي صارم: جهّز دليل استجابة للحوادث ومسؤولاً معيّناً وبيانات اتصال جاهزة قبل وقوع أي خطأ.

يجب على جهات التحكم الأعلى مخاطرة التسجيل في المنصة الوطنية لحوكمة البيانات التابعة لسدايا — وينطبق ذلك على الجهات العامة، والجهات التي تعالج بيانات حساسة، وتلك التي تنفذ عمليات نقل عبر الحدود، أو تعالج بيانات الأطفال أو الفئات المستضعفة. وغالباً ما تستوجب الفئات نفسها تعيين مسؤول حماية بيانات (DPO)، لا سيما حين تتضمن الأنشطة الرئيسية معالجة واسعة النطاق أو مراقبة منتظمة ومنهجية. وبعد التعيين، تُقدَّم بيانات المسؤول عبر المنصة ذاتها.

توطين البيانات والنقل عبر الحدود

كأصل عام، ينبغي معالجة البيانات الشخصية للأفراد في المملكة داخل المملكة، ويتطلب نقلها إلى الخارج استيفاء شروط محددة. وهذه هي النقطة التي تفرض في الغالب إعادة هيكلة لأنظمة SaaS والتحليلات والتطبيقات المستضافة سحابياً التي تستضيف بياناتها تلقائياً في مراكز بيانات بأوروبا أو الولايات المتحدة.

يجب ألا يخل النقل خارج المملكة بالأمن الوطني أو النظام العام، وأن توفّر الجهة المستقبِلة مستوى حماية ملائماً (وفق تقييم سدايا) أو تعتمد ضمانات معتمدة كالشروط التعاقدية النموذجية من سدايا، وأن يقتصر المنقول على الحد الأدنى الضروري. وبالنسبة للنقل الحساس أو واسع النطاق، يكون إجراء تقييم مخاطر موثّق وفق دليل تقييم المخاطر الصادر عن سدايا في فبراير 2025 إلزامياً. وعملياً: فضّل مناطق الاستضافة داخل المملكة، وارسم خريطة لموقع بيانات كل معالج فرعي، واحتفظ بمستندات النقل في ملفاتك.

الغرامات: كم يكلّف عدم الامتثال فعلياً

تستطيع لجان سدايا المتخصصة إصدار إنذارات، وفرض غرامات تصل إلى 5 ملايين ريال (نحو 1.3 مليون دولار) لكل مخالفة، ومضاعفتها في حال التكرار، والأمر بنشر العقوبة علناً. أما الإفصاح غير المشروع عن البيانات الحساسة فقد تترتب عليه عقوبات جزائية منفصلة، تشمل احتمال السجن.

والبُعد المتعلق بالسمعة لا يقل واقعية عن البُعد المالي. فقد أصدرت سدايا 48 قراراً تنفيذياً في موجتها الجوهرية الأولى، شملت الجمع غير المشروع، وضعف الضوابط التقنية والتنظيمية، والتسويق دون موافقة. وبالنسبة لعلامة B2B تبيع لكبار المسؤولين التنفيذيين السعوديين، فإن العقوبة المنشورة مشكلة ثقة تدوم أطول من الغرامة نفسها.

ماذا يعني نظام PDPL للوكلاء الأذكياء الذين يعالجون البيانات الشخصية

إذا كان الوكيل الذكي يقرأ بيانات شخصية للعملاء أو يخزّنها أو يستدل عليها، فإن جميع التزامات PDPL تظل سارية — إضافةً إلى طبقة حوكمة الذكاء الاصطناعي من سدايا فوقها. ومع جعل 2026 «عام الذكاء الاصطناعي» في السعودية ضمن رؤية 2030، تقرن الجهة المنظِّمة نظام PDPL بإطار اعتماد الذكاء الاصطناعي ومبادئ أخلاقياته، وقد اعتمدت سدايا نفسها معيار ISO 42001 لأنظمة إدارة الذكاء الاصطناعي.

وبشكل ملموس: الوكيل الذكي الذي يصيغ ردود واتساب، أو نظام RAG الذي يسترجع من نظام CRM أو ERP، أو الأتمتة التي تثري سجلات العملاء المحتملين — كلها تعالج بيانات شخصية وتحتاج إلى أساس نظامي وتحديد للغرض وتقليل للبيانات مدمجة في التصميم. انتبه لخروج البيانات من المملكة عبر واجهات نماذج الذكاء الاصطناعي لدى أطراف ثالثة، وللاحتفاظ بالأوامر وسجلات المحادثات، و«الاستخدام الثانوي» — أي إدخال البيانات الشخصية في تدريب النماذج أو أغراض جديدة لم تُجمع من أجلها. صمّم للمعالجة داخل المملكة حيثما أمكن، وسجّل ما يصل إليه الوكيل، وأبقِ مساراً بشرياً لطلبات أصحاب البيانات.

قائمة تحقق عملية للامتثال لنظام PDPL

ابدأ بهذه الخطوات الملموسة، وتعامل مع كل منها كدليل يمكنك عرضه على سدايا. (1) انشر سياسة خصوصية واضحة بالعربية والإنجليزية تغطي البيانات والغرض والأساس النظامي ومدد الاحتفاظ والمعالجين الفرعيين. (2) طبّق موافقة فعلية (Opt-in) قبل أي تسويق عبر واتساب أو الرسائل النصية أو البريد. (3) أنشئ قناة لطلبات أصحاب البيانات للاطلاع والتصحيح والحذف وسحب الموافقة. (4) ارسم خريطة لمكان وجود بياناتك — الاستضافة وبوابات الدفع والتحليلات — وفضّل المناطق داخل المملكة.

(5) وثّق عمليات النقل عبر الحدود بتقييم مخاطر وبالشروط التعاقدية النموذجية من سدايا عند الحاجة. (6) جهّز دليل استجابة لمهلة الـ72 ساعة مع مسؤول معيّن. (7) سجّل في المنصة الوطنية لحوكمة البيانات وعيّن مسؤول حماية بيانات إن استوجبت معالجتك ذلك. (8) أعدّ جرداً لكل وكيل ذكي وأتمتة يمسّان البيانات الشخصية، مع تسجيل الاحتفاظ والوصول. تبني Visperah Tech المواقع والتطبيقات والوكلاء الأذكياء السعوديين بنهج واعٍ للامتثال — الخصوصية حسب التصميم، وخيارات استضافة داخل المملكة، والموافقة والتدقيق مدمجة في المنتج — لكن هذا إرشاد هندسي وليس استشارة قانونية. وللتفسير الملزم لالتزاماتك، استشر محامياً سعودياً مختصاً في حماية البيانات.

الأسئلة المتكرّرة

لديك مشروع في بالك؟

احصل على عرض سعر مجاني — حدّثنا عن مشروعك وسنردّ بخطة واضحة بالريال.

احصل على عرض سعر مجاني