كيف تظل تحليلات الفيديو متوافقة مع نظام حماية البيانات الشخصية في المملكة العربية السعودية؟
للبقاء متوافقًا مع PDPL في موقع سعودي: وثّق الأساس القانوني قبل النشر (المصلحة المشروعة أو الالتزام بلوائح السلامة)، قلّل البيانات الملتقطة، لا تتجاوز 30 يومًا في الاحتفاظ ما لم يفرضه نظام، عالج البيانات داخل المنشأة على الأراضي السعودية، سجّل أنشطة المعالجة لدى سدايا، وأجرِ تقييم أثر حماية البيانات قبل أي ميزة هوية أو حيوية، وضع لافتات ثنائية اللغة عند كل كاميرا.
دخل نظام حماية البيانات الشخصية (PDPL) حيز التنفيذ الكامل في سبتمبر 2024 تحت إشراف هيئة سدايا. يسري على أي معالجة لبيانات شخصية داخل المملكة أو تخص مقيمين سعوديين — بما في ذلك الوجوه ولوحات السيارات والصوت وأنماط السلوك الملتقطة بالكاميرا.
أعمدة الامتثال السبعة للذكاء الاصطناعي القائم على الكاميرات
1. الأساس القانوني
اختر واحدًا ووثقه قبل النشر. للمواقع الصناعية، الأسس النموذجية هي:
- الالتزام القانوني — لوائح OSH تتطلب مراقبة مناطق إلزام معدات الحماية.
- المصلحة المشروعة — منع السرقة أو التسلل أو الحوادث في الممتلكات الخاصة.
- الموافقة — نادرة لكاميرات المراقبة؛ غير عملية للقوى العاملة المتحركة.
- العقد — عندما تتضمن شروط توظيف العامل المراقبة.
2. تقليل البيانات
التقط فقط ما تتطلبه السلامة أو الأمن. استبعد الشرفات السكنية من زاوية الكاميرا. اطمس لوحات السيارات إن لم يكن التعرف عليها ضمن النطاق. اكتفِ بالعدّ حين لا تحتاج تحديد هوية فردية.
3. الاحتفاظ
السقف الافتراضي 30 يومًا للمراقبة العامة. التمديد يشترط مبررًا موثقًا — تحقيق حادث أو التزام قانوني. الحذف التلقائي يجب أن يكون مفروضًا تقنيًا في النظام، لا معتمدًا على إجراء يدوي.
4. الاستضافة
المادة 29 من PDPL تقيد نقل البيانات الشخصية عبر الحدود. يجب أن يبقى الفيديو ونتائج الاستدلال داخل المملكة أو في مناطق سحابية معتمدة من سدايا. مناطق AWS الرياض و Oracle الرياض و Google الدمام تلبي متطلب الإقامة؛ المناطق السحابية الأجنبية عادة لا تلبيها بدون آلية نقل معتمدة.
5. تسجيل المتحكم والمعالج
على المتحكم (مالك الموقع أو المشغل) تسجيل أنشطة المعالجة. على المعالج (مورد التحليلات) توقيع اتفاقية معالجة بيانات تحدد الأغراض ومدة الاحتفاظ والمعالجين الفرعيين والتزامات إخطار الانتهاكات — مع التقيد بقاعدة سدايا للإخطار خلال 72 ساعة.
6. تقييم أثر حماية البيانات للمعالجة عالية المخاطر
تقييم أثر حماية البيانات إلزامي قبل أي مما يلي:
- تحديد الهوية الحيوية (التعرف على الوجه، المشية).
- مراقبة العمال (الإنتاجية، فترات الراحة).
- الأطفال ضمن النطاق.
- مراقبة المناطق العامة على نطاق واسع.
يوثق التقييم الغرض والضرورة والتناسب والمخاطر والتخفيفات. قد تطلب سدايا نسخة عند التدقيق.
7. اللافتات والشفافية
لافتة ثنائية اللغة (عربية + إنجليزية) عند كل مدخل لمنطقة مراقبة. تذكر اللافتة: اسم المتحكم وجهة التواصل، الغرض، الأساس القانوني، مدة الاحتفاظ، وحقوق صاحب البيانات (وصول، تصحيح، محو، اعتراض).
ثغرات الامتثال الشائعة في المواقع السعودية
| الثغرة | الحل |
|---|---|
| تحليلات سحابية في منطقة أوروبية أو أمريكية | الانتقال إلى منطقة المملكة أو خادم GPU داخل المنشأة |
| لا توجد سياسة احتفاظ مفروضة | تفعيل الحذف التلقائي بعد 30 يومًا في طبقة التخزين |
| تعرف على الوجه بدون DPIA | إيقاف الميزة؛ إكمال DPIA؛ الاستئناف بتخفيفات موثقة |
| غياب اللافتات العربية | إضافة لافتة ثنائية اللغة ضمن 3 أمتار من كل مدخل مراقب |
| لا توجد اتفاقية معالجة بيانات مع المورد | توقيع اتفاقية معالج مع قائمة معالجين فرعيين واتفاقية مستوى خدمة للانتهاكات |
قائمة تحقق عملية قبل الإطلاق
- رسّم خريطة لكل كاميرا وما تلتقطه من بيانات شخصية.
- حدد الأساس القانوني لكل حالة استخدام ووثّقه في سجلات المعالجة.
- تأكد من منطقة الاستضافة.
- وقّع DPA مع مورد التحليلات.
- أجرِ DPIA إذا كانت البيومتريات أو تحديد الهوية ضمن النطاق.
- ركّب لافتات ثنائية اللغة.
- فعّل الحذف التلقائي على مستوى التخزين.
- درّب المشغلين على التعامل مع طلبات الوصول والشكاوى.
لاختيارات بنية النشر، راجع الحافة مقابل الخادم. للتكامل، راجع تكامل CCTV.