قانون حماية البيانات الجزائري اكتسب قوة تنفيذية: ما الذي تغيّر في 2025؟
أرسى القانون الجزائري رقم 18-07 المؤرخ في 10 يونيو 2018 الإطار التأسيسي لحماية البيانات الشخصية. ومنذ أن باتت ANPDP عاملةً — بعد تعيين رئيسها وأعضائها في 11 أغسطس 2022 — تعاملت معظم الشركات مع الامتثال باعتباره مجرد إجراء تسجيل: إيداع التصريح في بوابة الهيئة وتعيين ممثل والمضي قُدُماً.
يُغيّر القانون رقم 11-25 الذي أقرّه البرلمان الجزائري في يوليو 2025 هذه الحالة تغييراً جوهرياً من ثلاثة وجوه: أولاً، يجعل تعيين مسؤول حماية البيانات (DPO) إلزامياً. ثانياً، يستحدث دراسات تأثير حماية البيانات (AIPD) الإلزامية لأنشطة المعالجة عالية المخاطر. ثالثاً، يُلزم المنظمات بالاحتفاظ بسجلات تفصيلية لجميع أنشطة المعالجة.
جاءت إشارة التطبيق قبل القانون الجديد. ففي فبراير 2024، أعلنت ANPDP على موقعها الرسمي انطلاق أولى جولات التفتيش الميداني على شركات القطاع الخاص، مما يُجسّد تحولاً من النهج التصريحي المحض إلى وضعية التدقيق الفعلي.
الالتزامات الثلاثة الجديدة بموجب القانون 11-25
تعيين مسؤول حماية البيانات — من يحتاجه وما مهامه
يوجب القانون 11-25 على المنظمات تعيين مسؤول حماية البيانات وإبلاغ ANPDP ببياناته. يضطلع المسؤول بدور الواجهة الرئيسية بين المنظمة والسلطة، ويُشرف على الامتثال الداخلي، ويُشكّل نقطة الاتصال للأفراد الممارسين لحقوقهم (الوصول والتصحيح والمسح). ولا يشترط أن يكون المسؤول موظفاً بدوام كامل؛ يمكن إسناد المهمة إلى مسؤول امتثال أو قانوني أو أمن معلومات رفيع المستوى، شريطة انعدام أي تعارض في المصالح.
دراسات تأثير حماية البيانات — البوابة قبل إطلاق المنتجات عالية المخاطر
دراسة التأثير هي تقييم منهجي للمخاطر تُجريه المنظمة قبل إطلاق أي نشاط معالجة يُرجَّح أن يُشكّل خطراً مرتفعاً على حقوق الأفراد. تشمل الفئات عالية المخاطر: التنميط المنهجي الواسع، ومعالجة البيانات الحساسة (الصحة والقياسات الحيوية والمالية)، والأنشطة التي تنطوي على اتخاذ قرارات آلية على نطاق واسع.
سجل المعالجة — أساس التدقيق
يُلزم القانون 11-25 المنظماتِ بالاحتفاظ بسجل تفصيلي لجميع أنشطة معالجة البيانات، يتضمن: فئات البيانات المعالجة، والأغراض، والأساس القانوني، ومدد الاحتفاظ، والجهات المصرَّح لها بالوصول، وأي تحويلات خارج الجزائر.
إعلان
ما يعنيه ذلك لشركات التكنولوجيا الجزائرية
1. عيّن مسؤول حماية البيانات خلال الربع الثاني من 2026 — لا تنتظر إشعاراً
برنامج التفتيش الخاص بـ ANPDP نشط. فبراير 2024 كان بداية التفتيش الميداني. الشركات التي تتلقى إشعار تفتيش دون مسؤول حماية بيانات مُعيَّن تجد نفسها فوراً في وضع عدم الامتثال. يُرسَل إشعار بيانات المسؤول إلى ANPDP عبر بوابتها الإلكترونية anpdp.dz في خطوة واحدة.
2. ضع خريطة لأنشطة المعالجة قبل بناء السجل
السجل المبني انطلاقاً من سؤال “ما البيانات التي نحتفظ بها؟” يُنتج وثيقة منقوصة. المنهجية الصحيحة هي تدقيق تدفقات البيانات: ابدأ من مستوى الأنظمة (قواعد البيانات وأدوات CRM ومنصات التحليل وتطبيقات الهاتف وبوابات الدفع)، وتتبّع ما يُدخله كل نظام وما يُصدره، ثم صنّف كل تدفق حسب نوع البيانات والأساس القانوني ومدة الاحتفاظ. يستغرق هذا التدقيق أسبوعين إلى أربعة أسابيع لشركة من 20 إلى 50 موظفاً.
3. افحص ميزات المنتج الجديدة بحثاً عن مُثيّرات دراسة التأثير قبل التطوير
إجراء دراسة التأثير قبل بناء الميزة أقل تكلفة بكثير مما بعد إطلاقها. قائمة التحقق المُثيّرة واضحة: هل تعالج هذه الميزة بيانات صحية أو مالية أو بيومترية؟ هل تبني ملفات تعريف سلوكية لأكثر من 1000 مستخدم؟ هل تستخدم قرارات آلية تؤثر على الوصول إلى الخدمات؟ إذا كانت الإجابة بنعم على أي منها، فإن دراسة التأثير مطلوبة.
4. راجع مزودي الخدمات الخارجيين — ليس كل بائعي SDK ممتثلين لـ ANPDP
يشترط إطار حماية البيانات الجزائري أن تكون تحويلات البيانات خارج الجزائر — بما فيها إلى الخدمات السحابية وأدوات SaaS التحليلية — مُجازة من ANPDP أو مستوفيةً لشروط الملاءمة المحددة. كثير من الشركات الجزائرية الناشئة تستخدم Firebase أو Mixpanel أو أدوات دولية مماثلة دون إدراك أن تدفق البيانات إلى هذه المنصات قد يُشكّل نقلاً عابراً للحدود غير مُجاز.
5. ادمج إشعار الخرق في خطة الاستجابة للحوادث
تستوجب لوائح القانون 11-25 والقانون 18-07 الإبلاغ إلى ANPDP خلال 5 أيام من اكتشاف أي خرق للبيانات الشخصية. هذه مهلة ضيّقة لا تستطيع معظم المنظمات الوفاء بها دون إجراء محدد مسبقاً. يجب أن يتضمن الإشعار طبيعة الخرق وفئات الأفراد المتضررين وعددهم التقريبي والعواقب المحتملة والتدابير المتخذة.
بناء ثقافة الامتثال لا مجرد ملف الامتثال
يُشير نهج ANPDP في التطبيق — التفتيش الميداني على شركات القطاع الخاص، وبرامج التفتيش الرسمية المُعلَنة — إلى مسار نحو رقابة فاعلة لا مجرد تسجيل سلبي.
الإطار الأمتن هو التنظيمي: حماية البيانات الشخصية بُعدٌ نوعي للمنتجات الرقمية. تجربة هيئة حماية البيانات الشخصية في Singapore دالّة في هذا الشأن: الشركات التي استثمرت مبكراً في ممارسات الخصوصية المدمجة في التصميم واجهت الحد الأدنى من الاضطراب حين بدأت الهيئة إجراءاتها التنفيذية في 2023 و2024، بينما تعرّضت الشركات الأخرى لخطر تنظيمي وأضرار سمعية.
الخطوات الخمس أعلاه قابلة للتنفيذ في ربع سنوي وتُشكّل وضعية امتثال شاملة بموجب القانون 11-25.
الأسئلة الشائعة
مَن يجب تحديداً تعيين مسؤول حماية البيانات DPO بموجب القانون الجزائري 11-25؟
يُلزم القانون 11-25 بتعيين DPO لجميع المؤسسات التي تعالج البيانات الشخصية كنشاط أساسي على نطاق واسع. يشمل ذلك: الشركات ذات أكثر من 250 موظفاً التي تعالج بيانات الموظفين؛ المؤسسات التي تعالج البيانات الحساسة (الصحة والبيانات الحيوية والسجلات الجنائية) بغض النظر عن الحجم؛ السلطات العامة التي تعالج البيانات المواطنة.
ما الوظائف الإلزامية لمسؤول حماية البيانات DPO بموجب القانون 11-25؟
يجب على DPO: الحفاظ على سجل أنشطة المعالجة الخاص بالمؤسسة؛ تقديم المشورة بشأن تقييمات أثر حماية البيانات للأنشطة عالية المخاطر؛ الخدمة كجهة اتصال رئيسية مع ANPDP للتفتيش والإخطار بالانتهاكات؛ مراقبة الامتثال؛ وتدريب الموظفين. لا يمكن معاقبة DPO على أداء هذه الوظائف بحسن نية.
ماذا يحدث أثناء التفتيش الميداني للـ ANPDP وكيف ينبغي للمؤسسة الاستعداد؟
يطلب المفتشون عادةً: سجل أنشطة المعالجة (يجب أن يكون حديثاً وموقعاً من DPO)؛ توثيق إجراء الإخطار بالانتهاك؛ ودليل على تعيين DPO. المؤسسات التي تمتلك هذه الوثائق تستطيع عادةً إنهاء التفتيش في 2-3 ساعات دون إشكاليات.
