Compliance 9 دقيقة قراءة
ENAR

قائمة مراجعة الامتثال لتحليلات الفيديو PDPL للمؤسسات في المملكة العربية السعودية

قائمة مرجعية للامتثال لـ PDPL لعام 2026 جاهزة ميدانيًا لأي مؤسسة سعودية تقوم بتشغيل تحليلات الفيديو - بدءًا من تعيين DPO وحتى الأساس القانوني، وقواعد النقل، والحق في المسح على الإطارات المخزنة، ونوافذ الاحتفاظ، ومسار التدقيق.

F
FI Tech Editorial Data Protection
٤ أبريل ٢٠٢٦
PDPLvideo analyticscomplianceSaudi Arabiadata protectionDPOright to erasure
Saudi data centre rack diagram annotated with PDPL data path checkpoints

<جانبا الطبقة = "tldr">
TL;DR. يعامل قانون حماية البيانات الشخصية (PDPL) في المملكة العربية السعودية، المعمول به منذ سبتمبر 2023 مع لوائح تنفيذية سارية حتى عام 2024، تحليلات الفيديو على أنها معالجة للبيانات الشخصية عندما يتم التعرف على الأفراد. بحلول عام 2026، تتوقع الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) من الشركات إثبات وجود DPO مسجل، وأساس قانوني موثق، ومسار بيانات للمقيمين السعوديين، وحق قابل للتنفيذ، ونوافذ الاحتفاظ متوافقة مع الغرض، ومسار تدقيق واضح للتلاعب. هذه القائمة المرجعية تجعل ذلك عمليًا.

لماذا تدخل تحليلات الفيديو ضمن النطاق؟

هناك أربع حقائق تجعل تحليلات CCTV والذكاء الاصطناعي ذات صلة بـ PDPL بشكل افتراضي في عام 2026:

  • يمكن للوجه أو الزي الرسمي الذي يحمل رقعة الاسم أو لوحة السيارة أو حتى المشية التعرف على الفرد. ينطبق PDPL على البيانات التي يمكن من خلالها تحديد هوية الشخص، بشكل مباشر أو غير مباشر. 2. تقوم المواقع الصناعية في المملكة العربية السعودية بشكل روتيني بتخزين لقطات من أسابيع إلى أشهر - من خلال الاحتفاظ بالتعريف لغرض معين. 3. تتدفق العديد من المواقع إلى البائعين خارج المملكة للمعالجة؛ هذا هو النقل عبر الحدود بموجب PDPL. 4. تواصل SDAIA نشر الإرشادات وتحديثات التنفيذ؛ تعامل مع قائمة المراجعة هذه باعتبارها ممارسة جيدة اعتبارًا من البيانات العامة في مايو 2026 وأعد التحقق من منشورات SDAIA الحالية قبل توقيع العقد.

للحصول على سياق أوسع، راجع قراءة الرقمنة لرؤية 2030 وشجرة قرارات بنية الحافة مقابل البنية السحابية.

القائمة المرجعية المكونة من 12 نقطة

1. يتم تعيين DPO وتسميته كتابيًا

تتطلب PDPL من المراقبين في النطاق تعيين مسؤول حماية البيانات. بالنسبة لعمليات نشر تحليلات الفيديو على أي نطاق ذي معنى، قم بتسمية مسؤول حماية البيانات (DPO) في العقد - وليس فقط في وثيقة سياسة المكتب الخلفي. يجب أن يكون DPO قابلاً للوصول من قبل أصحاب البيانات.

2. الأساس القانوني الموثق لكل حالة استخدام

كل حالة استخدام للذكاء الاصطناعي لها أساس قانوني مختلف. كن محددًا في إشعار الخصوصية والعقد:

| حالة الاستخدام | الأساس القانوني النموذجي |
|----------|----------------------|
| كشف معدات الوقاية الشخصية في مواقع المقاولين | المصالح المشروعة / الالتزام القانوني (HSE) |
| اقتحام محيط | المصالح المشروعة (حماية الأصول) |
| حضور العامل عبر الوجه | تنفيذ العقد + موافقة صريحة — أساس ضيق |
| إحصاء الزوار (مجهول) | مصالح مشروعة، ولكن تأكد من أن إخفاء الهوية حقيقي |
| أرشيف حوادث الإمتثال | التزام قانوني |

"الموافقة" العامة هي أضعف أساس في موقع العمل. بناء القضايا على المصالح المشروعة، أو الالتزام القانوني، أو أداء العقد حيثما يمكن الدفاع عنه.

3. إشعار الخصوصية منشور على الموقع، باللغتين العربية والإنجليزية

تحتاج المواقع السعودية إلى لافتات ثنائية اللغة عند كل مدخل تصف: من يتحكم في البيانات، والغرض من التسجيل، ونافذة الاحتفاظ، والأساس القانوني، وكيفية الاتصال بمسؤول حماية البيانات. يجب أن تكون اللافتة مرئية قبل دخول العامل أو الزائر إلى المنطقة التي تم التقاطها.

4. جرد البيانات ومخطط التدفق

الاحتفاظ بسجل رسمي لما يلي:

  • كل كاميرا ومنطقة الالتقاط الخاصة بها

  • كل موديل يعمل على اللقطات

  • كل موقع تخزين (جهاز طرفي، مسجل فيديو رقمي (NVR) محلي، سحابة مقيمة في السعودية، سحابة المورد)

  • مسار البيانات بينهما، مع تحديد بلد التشغيل

هذه هي الوثيقة التي يطلبها عادةً مفتشو ومدققو SDAIA أولاً. قم ببنائه قبل البث المباشر، وليس بأثر رجعي.

5. مسار بيانات المقيمين السعوديين

يتم تقييد نقل البيانات الشخصية عبر الحدود بموجب قانون PDPL. إن الوضع الافتراضي الذي يمكن الدفاع عنه لتحليلات الفيديو هو الإقامة السعودية الشاملة. عندما يكون من غير الممكن تجنب وجود جهة غير مقيمة (على سبيل المثال، إعادة تدريب النموذج المتخصص)، قم بتوثيق تقييم تأثير النقل والآلية القانونية، وقم فقط بتوجيه الحد الأدنى من البيانات الضرورية من خلاله.

للتعرف على مقايضة البنية، راجع شجرة قرارات الحافة مقابل السحابة.

6. نوافذ الاحتفاظ متوافقة مع الغرض

لم يعد الاحتفاظ العام لمدة 90 يومًا أمرًا يمكن الدفاع عنه. مواءمة الاحتفاظ مع الغرض الموثق:

| الغرض | نافذة نموذجية |
|---------|----------------|
| تنبيهات تشغيلية حية | 7-30 يومًا |
| التحقيق في الحادث | 90 يومًا، تمدد فقط مع ملف الحالة |
| أدلة الامتثال للصحة والسلامة والبيئة | عقد لكل مقاول، غالبًا 12 شهرًا |
| عقد قانوني | غير محدد، مسور من المتجر الرئيسي |

تنفيذ الحذف الآلي مع السجلات التي تثبت تنفيذ الحذف.

7. خط أنابيب حق المسح للإطارات المخزنة

هذه هي الفجوة التشغيلية التي ستواجهها معظم المؤسسات في عام 2026. يمكن للعامل أو المقاول أو الزائر أن يطلب المحو. يجب أن يكون خط الأنابيب:

  • استلام الطلب عبر قناة DPO المنشورة

  • التعرف على جميع الإطارات المخزنة التي تحتوي على الفرد (الوجه، الشارة، اللوحة)

  • قم بمسح تلك الإطارات الموجودة في وحدة التخزين الأساسية أو تسميتها باسم مستعار

  • امسح من ذاكرة التخزين المؤقت على الحافة، والتخزين المتوسط المستوى، والنسخ الاحتياطية المؤرشفة

  • قم بتسجيل الإجراء باستخدام الطوابع الزمنية ومعرفات المشغل

إذا لم تتمكن البنية من تنفيذ الخطوات من 3 إلى 5، فلن يكون النشر قابلاً للدفاع عن PDPL. تحدث معظم حالات الفشل في الخطوة 5، حيث تظل النسخ الاحتياطية أطول من عمر المحو.

8. ضوابط الوصول ومسار التدقيق


  • الوصول حسب الدور إلى نظام إدارة الفيديو، بما في ذلك لوحات معلومات مخرجات النموذج

  • سجل تدقيق لكل مستخدم لكل مقطع تم عرضه أو تصديره أو مشاركته

  • سجلات واضحة للتلاعب (سلسلة التجزئة أو الأحداث الموقعة) لدعم مراجعة الحوادث

  • مراجعة الوصول ربع السنوية مع تسجيل الخروج

9. ضوابط البائع والمعالج

يحتاج كل معالج - بائع الذكاء الاصطناعي، وموفر السحابة، والمتكامل - إلى اتفاقية معالجة البيانات:

  • تسمية المعالج والمعالجات الفرعية

  • وصف البيانات والغرض والمدة

  • تحديد التدابير الفنية والتنظيمية

  • تحديد الجداول الزمنية لإخطار الانتهاك

  • اشتراط الحذف أو الإرجاع عند نهاية العقد

  • تسمية DPO السعودي للمعالج

للتعرف على وضع المعالج لدينا، راجع صفحة الشهادات والثقة.

10. تقييم تأثير حماية البيانات (DPIA)

قم بإجراء تقييم حماية البيانات (DPIA) قبل نشر أي عبء عمل لتحليلات الفيديو يعالج البيانات الشخصية على نطاق واسع، أو يستخدم ميزات القياسات الحيوية، أو يعمل في مناطق يمكن الوصول إليها بشكل عام. وثيقة:

  • الضرورة والتناسب

  • المخاطر على الحقوق والحريات

  • التدابير التخفيفية

  • قبول المخاطر المتبقية من قبل DPO

يتم التحديث سنويًا أو عند تغيير المواد.

11. دليل الاستجابة للانتهاكات

دليل تشغيل موثق لانتهاكات بيانات الفيديو، بما في ذلك:

  • مصادر الكشف (SIEM، الكشف عن البائع، تقرير المستخدم)

  • سلسلة التصعيد الداخلي بأرقام الهواتف

  • DPO والجداول الزمنية للإخطار القانوني

  • إجراء إخطار SDAIA حيثما ينطبق ذلك

  • إجراء الإخطار بموضوع البيانات حيثما ينطبق ذلك

  • نموذج مراجعة ما بعد الحادث

اختبره سنويًا من خلال تمرين الطاولة.

12. تدريب وإحاطة المقاولين

يحتاج كل مشغل لديه إمكانية الوصول إلى مخرجات تحليلات الفيديو، وكل مشرف موقع يقوم بمراجعات الحوادث، وكل مكتب إدارة المشاريع (PMO) الخاص بالمقاول إلى تدريب للتوعية بـ PDPL. تحديث سنويا. الحفاظ على سجلات الحضور.

المخاطر الشائعة في عمليات النشر في المملكة العربية السعودية في عام 2026


  • التعامل مع الاحتفاظ باعتباره أمرا افتراضيا للبائع. يقوم البائعون بالشحن خلال 30/60/90 يومًا؛ يحتاج PDPL إلى نوافذ متوافقة مع الأغراض. 2. النقل الصامت عبر الحدود. تقوم SaaS للمراقبة ذات المستوى المجاني والموجودة في الخارج بمعالجة البيانات الوصفية؛ تحدد البيانات التعريفية العامل. 3. المحو الذي يفتقد النسخ الاحتياطية. تستمر النسخ الاحتياطية في الاحتفاظ بما قام المتجر الأساسي بمسحه. 4. DPO واحد عبر العديد من المواقع بدون موارد. إن DPO الاسمي الوحيد الذي لا يستطيع الاستجابة لطلبات الموضوع خلال 30 يومًا لا يفي بالالتزام. 5. إشعارات الخصوصية باللغة الإنجليزية فقط. لا يقرأ العاملون الميدانيون إشعارات الخصوصية باللغة الإنجليزية؛ ثنائي اللغة هو خط الأساس.

ربط القائمة المرجعية بموقع سعودي نموذجي

يحتاج موقع البناء النموذجي الذي يدعم الذكاء الاصطناعي والذي يعمل اكتشاف معدات الوقاية الشخصية وكشف التسلل وتتبع التقدم وسلامة المركبات والمشاة إلى ما يلي:

  • DPO واحد مذكور في اتفاقية الخدمات الرئيسية

  • أربع قواعد قانونية موثقة (واحدة لكل حالة استخدام)

  • إشعار خصوصية واحد ثنائي اللغة يغطي الأربعة

  • جرد بيانات واحد يغطي 50-500 كاميرا


  • أربع سياسات استبقاء، تلقائية

  • خط أنابيب واحد للحق في المحو

  • DPA بائع واحد يغطي موفر الذكاء الاصطناعي وموفر السحابة والمتكامل

  • يتم تحديث DPIA واحدًا سنويًا

  • يتم اختبار دليل اختراق واحد سنويًا

  • برنامج تدريبي واحد يتم تحديثه سنوياً

الخطوات التالية

إذا كنت تبحث عن نطاق امتثال PDPL لنشر تحليلات الفيديو السعودية لعام 2026، فابدأ بـ نظرة عامة على الثقة والشهادات، ومنصة تحليلات الذكاء الاصطناعي، ودليل هندسة الحافة مقابل البنية السحابية. للاطلاع على زاوية الشراء، راجع فحص واقع IKTVA.

اطلب تقييم الفجوة في PDPL وسنقوم بإعداد تقييم من 12 نقطة مقابل النشر الحالي الخاص بك في غضون 10 أيام عمل.

React to this article

مقالات ذات صلة

PDPL compliance dashboard showing face recognition lawful basis register and consent records
Compliance

التعرف على الوجوه + PDPL: ما يمكنك وما لا يمكنك فعله في المملكة العربية السعودية

٢١ يناير ٢٠٢٦

هل أنت مستعد لتحويل عملياتك؟

اكتشف كيف يمكن لـ Future Intelligence مساعدتك في الاستفادة من تقنية الطائرات بدون طيار والذكاء الاصطناعي لمشاريعك.

طلب عرض توضيحي مقالات أخرى