القانون 25-11 ومتطلب مسؤول حماية البيانات: خارطة طريق التوظيف والامتثال للشركات الناشئة الجزائرية

ما يشترطه القانون 25-11 فعلياً من الشركات الناشئة

ارتكز إطار حماية البيانات الجزائري على القانون 18-07 الصادر في يونيو 2018 طوال سنواته السبع الأولى. والقانون 25-11 المنشور في الجريدة الرسمية في يوليو 2025 يُعدِّل هذا القانون الأساسي بمجموعة من المتطلبات التشغيلية التي تُقرِّب النظام الجزائري مادياً من اللائحة الأوروبية العامة لحماية البيانات — ليس في فلسفة التنفيذ، بل في الالتزامات الهيكلية المفروضة على المتحكمين في البيانات.

أهم ثلاثة التزامات تمس الشركات الناشئة هي: التعيين الإلزامي لمسؤول DPO، والاحتفاظ الإلزامي بسجل أنشطة المعالجة (ROPA)، وعملية رسمية لتقييم أثر حماية البيانات (DPIA) للأنشطة ذات المخاطر العالية. وهذه ليست توجيهات تطلعية بل نقاط تحكم في الامتثال ستستخدمها ANPDP في برنامجها التفتيشي حين تتوجه نحو القطاع الخاص.

وفقاً لدليل CMS Law المتعلق بحماية البيانات والأمن السيبراني في الجزائر، تُركِّز ANPDP حالياً نشاطها التفتيشي على الجهات العامة والمؤسسات الخاصة الكبيرة في القطاعات الخاضعة للتنظيم (البنوك والاتصالات والصحة). غير أن توسيع نطاق التفتيش مسألة وقت لا أكثر — والشركات الناشئة التي تبني بنية تحتية للامتثال مبكراً تتفادى الاستعجال وأتعاب الاستشارات والتعرض السمعي المصاحب للاستجابة لإشعار تفتيش.

دور مسؤول DPO: توظيف أم تعاقد أم تقاسم؟

الالتزام بتعيين مسؤول DPO مطلق لجميع المتحكمين في البيانات بموجب القانون 25-11 — فلا يوجد إعفاء للمؤسسات الصغيرة مماثل للإعفاء الأوروبي للمنظمات الصغيرة. تحليل CookieYes لقانون حماية البيانات الجزائري يؤكد أن الالتزام بمسؤول DPO يسري على نطاق واسع، مما يجعله التزاماً شبه عالمي للشركات الناشئة.

تتوفر للشركات الناشئة الجزائرية ثلاثة خيارات هيكلية، لكل منها ملف تكلفة وقدرات مختلف:

1. تعيين مسؤول DPO داخلي بدوام كامل

هذا هو الوضع الامتثالي الأقوى، ويناسب الشركات الناشئة التي تعالج كميات كبيرة من البيانات الشخصية الحساسة — السجلات الصحية والمعرّفات البيومترية وبيانات المعاملات المالية وبيانات الأطفال. يندمج مسؤول DPO الداخلي في فرق المنتج والهندسة، ويشارك في تخطيط السبرانت، ويراجع تغييرات نموذج البيانات قبل النشر، ويبني ذاكرة مؤسسية في مجال الخصوصية تصمد أمام دوران الموظفين.

تتراوح الرواتب الواقعية لمسؤول DPO مؤهَّل داخلي في الجزائر العاصمة عام 2026 بين 120,000 و180,000 دينار جزائري شهرياً. تشمل الشهادات المعترف بها في إطار ANPDP برامج CIPP/E وCIPM من IAPP، وكذلك اعتماد PECB Lead Privacy Implementer. خصِّص 3 إلى 6 أشهر لدورة التوظيف والإدماج.

2. تعيين مسؤول DPO خارجي (جزئي أو بعقد)

يمكن ممارسة وظيفة DPO من قِبَل مقاول خارجي بموجب القانون 25-11، شريطة توثيق الترتيب وإمكانية التواصل الفعلي مع مسؤول DPO من قِبَل أصحاب البيانات وANPDP. هذا هو المسار العملي للشركات الناشئة في مرحلة الأموال الأولية وSeries A التي لا تستطيع تبرير توظيف بدوام كامل.

خدمات DPO الخارجية في الجزائر لا تزال سوقاً ناشئة. تتراوح التكاليف عادةً بين 30,000 و80,000 دينار جزائري شهرياً. عند التعاقد مع مسؤول DPO خارجي، تحقق من أن اتفاقية الخدمة تُسنِد صراحةً المسؤوليات المطلوبة بموجب القانون 25-11.

3. تقاسم مسؤول DPO ضمن مجموعة شركات

بالنسبة لهياكل القابضة ومحافظ حاضنات الأعمال والمسرِّعات، يسمح القانون 25-11 لمسؤول DPO واحد بخدمة كيانات قانونية متعددة شريطة انتفاء تعارض المصالح وإبلاغ بيانات الاتصال بمسؤول DPO بشكل منفصل لكل كيان. هذا هو الهيكل الأكثر كفاءة في رأس المال لمجموعة من الشركات الناشئة المبكرة ذات أنشطة المعالجة المتقاربة.

بناء بنية تحتية للامتثال: ROPA وDPIA وبروتوكول الاختراق

تعيين مسؤول DPO هو الخطوة الأولى. وتشمل البنية التحتية الكاملة للامتثال التي يتطلبها القانون 25-11 ثلاثة مكونات إضافية ينبغي للشركات الناشئة بناؤها بالتسلسل.

4. صياغة سجل أنشطة المعالجة (ROPA) والحفاظ عليه

الـ ROPA وثيقة حية تُصنِّف كل نشاط معالجة تضطلع به الشركة: فئة البيانات الشخصية والغرض من المعالجة والأساس القانوني ومدة الاحتفاظ والتدابير الأمنية المُطبَّقة وأي معالجين من الأطراف الثالثة متورطين. تحليل GIDE حول إنشاء ANPDP يؤكد أن ANPDP تستخدم الـ ROPA باعتباره الوثيقة الرئيسية المطلوبة في بداية أي تفتيش.

5. إجراء تقييمات أثر حماية البيانات (DPIA) قبل إطلاق المنتجات عالية المخاطر

تُشترط تقييمات DPIA بموجب القانون 25-11 قبل أي نشاط معالجة يُرجَّح أن يُفضي إلى مخاطر عالية على حقوق الأفراد وحرياتهم. تشمل المعالجة عالية المخاطر: التنميط، والمعالجة واسعة النطاق لفئات خاصة (الصحة، والبيومترية، وبيانات الموقع الجغرافي)، والمراقبة المنهجية للموظفين أو المستخدمين، وأي معالجة تستخدم تقنيات جديدة.

6. وضع بروتوكول لإخطار الاختراقات الأمنية للبيانات

يُقدِّم القانون 25-11 التزامات رسمية بإخطار الاختراقات. يجب إخطار ANPDP بالاختراقات الخطيرة خلال مهلة محددة، ويجب إبلاغ الأشخاص المعنيين حيث يُشكِّل الاختراق خطراً عالياً على حقوقهم. ينبغي للشركات الناشئة تعيين مسؤول للاستجابة للاختراقات (عادةً مسؤول DPO)، وإنشاء قناة للإبلاغ عن الاختراقات، وتوثيق سير التصعيد الداخلي والإخطار الخارجي.

أين يقع هذا في مشهد الامتثال الجزائري لعام 2026

لا يوجد التزام DPO معزولاً. إنه يرتكز إلى جانب تتبع Digital Policy Alert لتطور إطار البيانات الجزائري، الذي يُظهر أن الجزائر سرَّعت نشاطها في حوكمة البيانات في 2025-2026 أسرع مما كان عليه في أي وقت منذ صدور القانون 18-07.

بالنسبة للشركات الناشئة الجزائرية التي تستهدف الوصول إلى السوق الأوروبية — وهو طموح متزايد الواقعية مع نمو شركات SaaS الجزائرية — فإن تعيين مسؤول DPO متوافق وإعداد سجل ROPA يُشكِّلان أيضاً الوثائق الأساسية لحجة تقييم الكفاءة. الاستثمار في الامتثال ليس ضخماً: يمثِّل ترتيب DPO جزئي وسجل ROPA منظَّم وتقييمان أو ثلاثة تقييمات DPIA سنوياً ميزانية 500,000 إلى 1,000,000 دينار جزائري سنوياً — ما يعادل تقريباً راتب مطوِّر مبتدئ.

الأسئلة الشائعة

المصادر والقراءات الإضافية

• إنشاء ANPDP: ما يعنيه للمتحكمين في البيانات — GIDE
• دليل قانون حماية البيانات الجزائري — CookieYes
• قوانين حماية البيانات والأمن السيبراني في الجزائر — CMS Law
• نشر القانون الجزائري المُعدِّل لقانون حماية البيانات — DataGuidance
• جولة بانورامية لحماية البيانات في أفريقيا — Digital Policy Alert