كيف تظل تحليلات الفيديو متوافقة مع نظام حماية البيانات الشخصية في المملكة العربية السعودية؟
تظل تحليلات الفيديو في موقع سعودي متوافقة مع نظام حماية البيانات الشخصية عبر تأسيس أساس قانوني موثق (عادة المصلحة المشروعة أو الالتزام القانوني للسلامة)، وتقليل البيانات الملتقطة، والاحتفاظ بالتسجيلات لمدة لا تتجاوز 30 يومًا ما لم يكن مفروضًا قانونيًا، والمعالجة داخل المنشأة في المملكة، وتسجيل المتحكمين والمعالجين لدى هيئة سدايا، وإجراء تقييم أثر حماية البيانات لأي ميزة هوية أو حيوية، ووضع لافتات ثنائية اللغة على الكاميرات.
دخل نظام حماية البيانات الشخصية (PDPL) حيز التنفيذ الكامل في سبتمبر 2024 تحت إشراف الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا). يطبق على أي معالجة لبيانات شخصية داخل المملكة أو متعلقة بالمقيمين السعوديين — بما في ذلك الوجوه ولوحات السيارات والصوت وأنماط السلوك الملتقطة على الكاميرا.
أعمدة الامتثال السبعة للذكاء الاصطناعي القائم على الكاميرات
1. الأساس القانوني
اختر واحدًا ووثقه قبل النشر. للمواقع الصناعية، الأسس النموذجية هي:
- الالتزام القانوني — لوائح OSH تتطلب مراقبة مناطق إلزام معدات الحماية.
- المصلحة المشروعة — منع السرقة أو التسلل أو الحوادث في الممتلكات الخاصة.
- الموافقة — نادرة لكاميرات المراقبة؛ غير عملية للقوى العاملة المتحركة.
- العقد — عندما تتضمن شروط توظيف العامل المراقبة.
2. تقليل البيانات
التقط فقط ما تحتاجه السلامة أو الأمن. اقطع الشرفات السكنية. أخفِ لوحات السيارات إذا لم يكن التعرف عليها ضمن النطاق. اجمع العدّ عند عدم الحاجة لهوية فردية.
3. الاحتفاظ
سقف افتراضي 30 يومًا للمراقبة العامة. التمديد فقط بمبرر موثق (تحقيق حادث، احتفاظ قانوني). الحذف التلقائي يجب أن يكون مفروضًا في النظام لا يدويًا.
4. الاستضافة
المادة 29 من PDPL تقيد نقل البيانات الشخصية عبر الحدود. يجب أن يبقى الفيديو ونتائج الاستدلال داخل المملكة أو في مناطق سحابية معتمدة من سدايا. مناطق AWS الرياض و Oracle الرياض و Google الدمام تلبي متطلب الإقامة؛ المناطق السحابية الأجنبية عادة لا تلبيها بدون آلية نقل معتمدة.
5. تسجيل المتحكم والمعالج
على المتحكمين (مالك الموقع أو المشغل) تسجيل أنشطة المعالجة. على المعالجين (مورد التحليلات) توقيع اتفاقية معالجة بيانات تذكر الأغراض والاحتفاظ والمعالجين الفرعيين والتزامات إخطار الانتهاكات (قاعدة إخطار سدايا خلال 72 ساعة).
6. تقييم أثر حماية البيانات للمعالجة عالية المخاطر
تقييم أثر حماية البيانات إلزامي قبل أي مما يلي:
- تحديد الهوية الحيوية (التعرف على الوجه، المشية).
- مراقبة العمال (الإنتاجية، فترات الراحة).
- الأطفال ضمن النطاق.
- مراقبة المناطق العامة على نطاق واسع.
يوثق التقييم الغرض والضرورة والتناسب والمخاطر والتخفيفات. قد تطلب سدايا نسخة عند التدقيق.
7. اللافتات والشفافية
لافتات ثنائية اللغة (عربية + إنجليزية) عند كل مدخل لمنطقة مراقبة. يجب أن تذكر اللافتة اسم المتحكم وجهة الاتصال والغرض والأساس القانوني وفترة الاحتفاظ وحقوق صاحب البيانات (الوصول، التصحيح، المحو، الاعتراض).
ثغرات الامتثال الشائعة في المواقع السعودية
| الثغرة | الحل |
|---|---|
| تحليلات سحابية في منطقة أوروبية أو أمريكية | الانتقال إلى منطقة المملكة أو خادم GPU داخل المنشأة |
| لا توجد سياسة احتفاظ مفروضة | تفعيل الحذف التلقائي بعد 30 يومًا في طبقة التخزين |
| تعرف على الوجه بدون DPIA | إيقاف الميزة؛ إكمال DPIA؛ الاستئناف بتخفيفات موثقة |
| غياب اللافتات العربية | إضافة لافتة ثنائية اللغة ضمن 3 أمتار من كل مدخل مراقب |
| لا توجد اتفاقية معالجة بيانات مع المورد | توقيع اتفاقية معالج مع قائمة معالجين فرعيين واتفاقية مستوى خدمة للانتهاكات |
قائمة تحقق عملية قبل البدء
- رسم كل كاميرا وما تلتقطه من بيانات شخصية.
- اختيار الأساس القانوني لكل حالة استخدام؛ التوثيق في سجلات المعالجة.
- تأكيد منطقة الاستضافة.
- توقيع DPA مع مورد التحليلات.
- إجراء DPIA إذا كانت البيومتريات أو تحديد الهوية في النطاق.
- تركيب لافتات ثنائية اللغة.
- تفعيل الحذف التلقائي للاحتفاظ.
- تدريب المشغلين على معالجة طلبات الوصول والشكاوى.
لاختيارات بنية النشر، راجع الحافة مقابل الخادم. للتكامل، راجع تكامل CCTV.
