ما الذي يغيّره قانون 11-25 فعلياً على الشركات في الجزائر
يعدّل القانون رقم 25-11 الصادر في 24 يوليو 2025 ويكمل القانون الأساسي للجزائر في حماية البيانات، وهو القانون 18-07 المؤرخ في 10 يونيو 2018. يقرّب هذا التعديل الجزائر من الممارسات الدولية في حماية الخصوصية، ويطرح حزمة من الالتزامات الملموسة التي لم تواجهها معظم الشركات الجزائرية من قبل: مسؤول حماية بيانات إلزامي، وسجل رسمي لأنشطة المعالجة، وتقييمات أثر على حماية البيانات للمعالجات عالية المخاطر، واستشارة مسبقة مع السلطة، وإخطار إلزامي بالخروقات.
بالنسبة للقادة، لم يعد السؤال العملي «هل حماية البيانات أولوية؟» بل «كيف يبدو مسار الامتثال التشغيلي؟». كثير من مسؤولي المعالجة في الجزائر — من البنوك وشركات التأمين إلى منصات التجارة الإلكترونية والمستشفيات وأنظمة الموارد البشرية والخدمات الرقمية للجمهور — يعالجون بالفعل أحجاماً كبيرة من البيانات الشخصية. يحوّل قانون 11-25 هذه الممارسات إلى برنامج موثّق وقابل للتدقيق.
الخطوة 1 — تعيين DPO مؤهل وإخطار ANPDP
يجعل التعديل تعيين DPO إلزامياً، مع اشتراط المهارات والمعرفة في ممارسات وقوانين حماية البيانات. يجب على المنظمات التي تجمع البيانات الشخصية وتعالجها تعيين مسؤول حماية بيانات وتبليغ بياناته إلى Autorité Nationale de Protection des Données à Caractère Personnel (ANPDP)، وهي سلطة حماية البيانات المنشأة بموجب القانون 18-07.
أسئلة عملية على كل شركة أن تحسمها:
- داخلي أم خارجي؟ كثيراً ما تجد المنظمات الصغيرة والمتوسطة أن الاستعانة بـDPO خارجي (عادة محامٍ أو مستشار خصوصية بعقد سنوي) أسهل من تعيين بدوام كامل. أما الهياكل الأكبر ذات المعالجة المعقدة — البنوك ومشغلو الاتصالات والإدارات العامة وشركات التجزئة الكبرى — فيُفضَّل لها DPO داخلي له وصول مباشر إلى الإدارة التنفيذية.
- خط التقارير. يجب أن يعمل DPO باستقلالية. عملياً يعني ذلك أن يرفع تقاريره إلى الرئيس التنفيذي أو الأمين العام أو مستوى مجلس الإدارة — لا أن يُدفن داخل إدارة تقنية المعلومات أو الموارد البشرية حيث تنشأ تضاربات المصالح.
- الإخطار. بعد التعيين، يجب إبلاغ ANPDP رسمياً ببيانات اتصال DPO.
الخطوة 2 — بناء سجل أنشطة المعالجة (RoPA)
يفرض قانون 11-25 على المنظمات الاحتفاظ بسجل لأنشطة المعالجة. هذا هو العمود الفقري لبقية خطوات الامتثال: بدون خريطة لما يُعالَج من بيانات شخصية، ولأي غرض، ومن يفعل ذلك، ومع أي مستلمين، لا يمكن تشغيل تقييمات الأثر، ولا الرد على طلبات الأشخاص المعنيين، ولا تقييم الخروقات.
يجب أن يحتوي RoPA الأدنى القابل للتطبيق على ما يلي لكل نشاط معالجة: الغرض (الرواتب، CRM، استقبال العملاء، المراقبة بالفيديو، إلخ)، فئات الأشخاص المعنيين وفئات البيانات، الأساس القانوني، المستلمون بما في ذلك أي نقل خارج الجزائر، مدد الاحتفاظ، والتدابير الأمنية.
ابنِ النسخة الأولى في جدول بيانات إن اقتضى الأمر — الهدف هو الشمول لا الأناقة. حدّثه سنوياً على الأقل وكلما بدأ نشاط معالجة جديد.
إعلان
الخطوة 3 — إجراء AIPD على المعالجات عالية المخاطر
يفرض القانون تقييمات أثر على حماية البيانات للأنشطة عالية المخاطر. في السياق الجزائري الحالي تشمل هذه عادة: معالجة بيانات الصحة على نطاق واسع (المستشفيات وشركات التأمين)، التعرف البيومتري (التعرف على الوجه أو البصمات للدخول أو الدفع)، مراقبة الموظفين (التتبع الجغرافي، برامج الإنتاجية، CCTV تتجاوز الاستقبال)، تقييم الائتمان واتخاذ القرار الآلي الذي يؤثر على العملاء، معالجة بيانات القاصرين على نطاق واسع، وأنظمة الهوية الرقمية أو KYC العامة.
توثّق AIPD المعالجة وتقيّم المخاطر على الأشخاص المعنيين وتحدّد تدابير التخفيف. وحين يبقى الخطر المتبقي مرتفعاً، ينص قانون 11-25 على استشارة مسبقة مع ANPDP قبل الإطلاق.
الخطوة 4 — تجهيز خطة استجابة للخروقات خلال خمسة أيام
من أكثر التغييرات تطلّباً على الصعيد التشغيلي التزام الإخطار: يجب إخطار ANPDP بخروقات البيانات الشخصية خلال خمسة أيام. تتضمن الخطة الفعّالة مسار اكتشاف (مراقبة، تنبيهات SOC، بلاغات الموظفين) يصل إلى DPO خلال ساعات لا أيام؛ ومصفوفة قرار تميّز بين الحوادث (بلا أثر على البيانات الشخصية) والخروقات الواجبة الإخطار؛ ونموذج إخطار معدّاً مسبقاً يغطي طبيعة الخرق، وفئات وأعداد الأشخاص المعنيين تقريبياً، والعواقب المحتملة، وتدابير الاحتواء؛ وخطة اتصال للأشخاص المعنيين عندما يُرجَّح أن يؤدي الخرق إلى خطر مرتفع.
على المنظمات التي لا تملك اليوم دليلاً للاستجابة للحوادث أن تعتبر ذلك أولوية 2026. خمسة أيام ليست وقتاً كافياً بمجرد اكتشاف حادث.
الخطوة 5 — تحديث العقود والإشعارات ومسارات الموافقة
يجب مواءمة الإشعارات الموجّهة للعملاء، وسياسات خصوصية الموظفين، والعقود مع مزوّدي خدمات تقنية المعلومات والسحابة، مع الالتزامات الجديدة. المخرجات العملية: إشعارات الخصوصية على المواقع والتطبيقات مع الإشارة إلى القانون 18-07 المعدَّل بالقانون 25-11؛ إشعارات خصوصية الموظفين التي تصف معالجات الموارد البشرية والمراقبة والامتيازات؛ بنود معالجة البيانات في عقود المورّدين — وهي حرجة بشكل خاص للسحابة وSaaS والرواتب الخارجية؛ ومسارات الموافقة للتسويق وملفات تعريف الارتباط ومعالجة أي بيانات حساسة.
ستجد المنظمات التي تعمل بالفعل مع شركاء دوليين أن المواءمة مع ممارسات شبيهة بنمط GDPR تيسّر هذه الخطوة بشكل كبير، لأن معظم المخرجات المطلوبة موجودة أصلاً كقوالب.
الأسئلة الشائعة
ما الموعد النهائي لتعيين مسؤول حماية البيانات في الشركات الجزائرية؟
عدّل القانون 25-11 الصادر في 24 يوليو 2025 القانون 18-07 وأدخل التزام DPO. دخلت الالتزامات حيّز النفاذ منذ يوليو 2025؛ عملياً ينبغي أن يكون لدى مسؤولي المعالجة في الجزائر DPO معيّن في 2026 وأن تُبلَّغ بياناته إلى ANPDP. على المنظمات التي لا تملك DPO حتى الآن اعتبار ذلك أولوية امتثال فورية.
هل يمكن أن يغطّي DPO واحد عدة شركات جزائرية ضمن المجموعة نفسها؟
نعم — يمكن لمجموعة شركات تعيين DPO واحد يغطي عدة كيانات، شريطة أن يبقى متاحاً للأشخاص المعنيين في كل منظمة وأن يتمكن من تخصيص وقت كافٍ للدور. للشركات الصغيرة والمتوسطة، يُعدّ DPO مشترك أو خارجي (عادة مستشار خصوصية أو محامٍ بعقد سنوي) وسيلة عملية للوفاء بالالتزام دون توظيف بدوام كامل.
ماذا يحدث إذا لم تُخطر شركة جزائرية بخرق بيانات خلال خمسة أيام؟
ANPDP هي السلطة المختصة بإنفاذ حماية البيانات في الجزائر بموجب القانون 18-07 المعدَّل. يُعرّض عدم الامتثال لالتزامات الإخطار والالتزامات الأخرى المنظمةَ لعقوبات إدارية يحدّدها إطار حماية البيانات. إلى جانب العقوبات القانونية، يتجاوز الأثر السمعي لخرق تمت إدارته بشكل سيئ — خاصة عندما يمس بيانات مالية أو وثائق هوية — الكلفة التنظيمية في كثير من الأحيان.
