DPO قانون 11-25: مسار الامتثال 2026 في الجزائر

نُشر في أبريل 21, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

عدّل القانون 25-11 الصادر في 24 يوليو 2025 القانون 18-07، وجعل تعيين مسؤول حماية البيانات (DPO) إلزامياً، إلى جانب سجل أنشطة المعالجة، وتقييمات الأثر على البيانات للمعالجات عالية المخاطر، وإخطار ANPDP بالخروقات خلال خمسة أيام. تحتاج الشركات في الجزائر الآن إلى مسار عمل منظم يشمل تعيين مسؤول حماية البيانات، وبناء السجل، وتقييمات الأثر، والاستجابة للحوادث، وتحديث العقود.

خلاصة: على مسؤولي المعالجة في الجزائر تعيين مسؤول حماية بيانات (داخلي أو خارجي) خلال هذا الربع، والبدء بسجل أنشطة المعالجة ولو في جدول بيانات، وإعداد خطة استجابة للخروقات خلال خمسة أيام قبل الحادث المقبل.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
▾

ينطبق قانون 11-25 مباشرة على كل منظمة جزائرية تعالج البيانات الشخصية — من شركات صغيرة ومتوسطة بنظام CRM إلى البنوك والمستشفيات والخدمات الرقمية الحكومية.

الجدول الزمني للعمل
فوري
▾

التزامات DPO والسجل وAIPD وإخطار الخروقات سارية منذ يوليو 2025. المنظمات التي تدخل 2026 بدون مسار منظم تعمل تحت تعرّض تنظيمي.

أصحاب المصلحة الرئيسيون
المستشارون القانونيون, المدراء التقنيون, مسؤولو أمن المعلومات, مدراء الموارد البشرية, الرؤساء التنفيذيون

نوع القرار
تكتيكي
▾

بناء مسار الامتثال مشروع تشغيلي — تعيين DPO، توثيق المعالجات، صياغة السياسات — أكثر منه رهاناً استراتيجياً بعيد المدى.

مستوى الأولوية
عالي
▾

التزامات إلزامية تدعمها سلطة وطنية لحماية البيانات تستحق اهتماماً وميزانية فوريين على مستوى الإدارة العليا.

خلاصة سريعة: عيّن DPO الآن (داخلياً أو خارجياً)، ابدأ سجل أنشطة المعالجة ولو في جدول بيانات، وابنِ خطة استجابة للخروقات خلال خمسة أيام هذا الربع. عامل قانون 11-25 كمشروع حوكمة عادي لا كتجريد قانوني، ووزّع بقية الأعمال (AIPD، عقود المورّدين، مسارات الموافقة) على مدار 2026.

ما الذي يغيّره قانون 11-25 فعلياً على الشركات في الجزائر

يعدّل القانون رقم 25-11 الصادر في 24 يوليو 2025 ويكمل القانون الأساسي للجزائر في حماية البيانات، وهو القانون 18-07 المؤرخ في 10 يونيو 2018. يقرّب هذا التعديل الجزائر من الممارسات الدولية في حماية الخصوصية، ويطرح حزمة من الالتزامات الملموسة التي لم تواجهها معظم الشركات الجزائرية من قبل: مسؤول حماية بيانات إلزامي، وسجل رسمي لأنشطة المعالجة، وتقييمات أثر على حماية البيانات للمعالجات عالية المخاطر، واستشارة مسبقة مع السلطة، وإخطار إلزامي بالخروقات.

بالنسبة للقادة، لم يعد السؤال العملي «هل حماية البيانات أولوية؟» بل «كيف يبدو مسار الامتثال التشغيلي؟». كثير من مسؤولي المعالجة في الجزائر — من البنوك وشركات التأمين إلى منصات التجارة الإلكترونية والمستشفيات وأنظمة الموارد البشرية والخدمات الرقمية للجمهور — يعالجون بالفعل أحجاماً كبيرة من البيانات الشخصية. يحوّل قانون 11-25 هذه الممارسات إلى برنامج موثّق وقابل للتدقيق.

الخطوة 1 — تعيين DPO مؤهل وإخطار ANPDP

يجعل التعديل تعيين DPO إلزامياً، مع اشتراط المهارات والمعرفة في ممارسات وقوانين حماية البيانات. يجب على المنظمات التي تجمع البيانات الشخصية وتعالجها تعيين مسؤول حماية بيانات وتبليغ بياناته إلى Autorité Nationale de Protection des Données à Caractère Personnel (ANPDP)، وهي سلطة حماية البيانات المنشأة بموجب القانون 18-07.

أسئلة عملية على كل شركة أن تحسمها:

داخلي أم خارجي؟ كثيراً ما تجد المنظمات الصغيرة والمتوسطة أن الاستعانة بـDPO خارجي (عادة محامٍ أو مستشار خصوصية بعقد سنوي) أسهل من تعيين بدوام كامل. أما الهياكل الأكبر ذات المعالجة المعقدة — البنوك ومشغلو الاتصالات والإدارات العامة وشركات التجزئة الكبرى — فيُفضَّل لها DPO داخلي له وصول مباشر إلى الإدارة التنفيذية.
خط التقارير. يجب أن يعمل DPO باستقلالية. عملياً يعني ذلك أن يرفع تقاريره إلى الرئيس التنفيذي أو الأمين العام أو مستوى مجلس الإدارة — لا أن يُدفن داخل إدارة تقنية المعلومات أو الموارد البشرية حيث تنشأ تضاربات المصالح.
الإخطار. بعد التعيين، يجب إبلاغ ANPDP رسمياً ببيانات اتصال DPO.

الخطوة 2 — بناء سجل أنشطة المعالجة (RoPA)

يفرض قانون 11-25 على المنظمات الاحتفاظ بسجل لأنشطة المعالجة. هذا هو العمود الفقري لبقية خطوات الامتثال: بدون خريطة لما يُعالَج من بيانات شخصية، ولأي غرض، ومن يفعل ذلك، ومع أي مستلمين، لا يمكن تشغيل تقييمات الأثر، ولا الرد على طلبات الأشخاص المعنيين، ولا تقييم الخروقات.

يجب أن يحتوي RoPA الأدنى القابل للتطبيق على ما يلي لكل نشاط معالجة: الغرض (الرواتب، CRM، استقبال العملاء، المراقبة بالفيديو، إلخ)، فئات الأشخاص المعنيين وفئات البيانات، الأساس القانوني، المستلمون بما في ذلك أي نقل خارج الجزائر، مدد الاحتفاظ، والتدابير الأمنية.

ابنِ النسخة الأولى في جدول بيانات إن اقتضى الأمر — الهدف هو الشمول لا الأناقة. حدّثه سنوياً على الأقل وكلما بدأ نشاط معالجة جديد.

الخطوة 3 — إجراء AIPD على المعالجات عالية المخاطر

يفرض القانون تقييمات أثر على حماية البيانات للأنشطة عالية المخاطر. في السياق الجزائري الحالي تشمل هذه عادة: معالجة بيانات الصحة على نطاق واسع (المستشفيات وشركات التأمين)، التعرف البيومتري (التعرف على الوجه أو البصمات للدخول أو الدفع)، مراقبة الموظفين (التتبع الجغرافي، برامج الإنتاجية، CCTV تتجاوز الاستقبال)، تقييم الائتمان واتخاذ القرار الآلي الذي يؤثر على العملاء، معالجة بيانات القاصرين على نطاق واسع، وأنظمة الهوية الرقمية أو KYC العامة.

توثّق AIPD المعالجة وتقيّم المخاطر على الأشخاص المعنيين وتحدّد تدابير التخفيف. وحين يبقى الخطر المتبقي مرتفعاً، ينص قانون 11-25 على استشارة مسبقة مع ANPDP قبل الإطلاق.

الخطوة 4 — تجهيز خطة استجابة للخروقات خلال خمسة أيام

من أكثر التغييرات تطلّباً على الصعيد التشغيلي التزام الإخطار: يجب إخطار ANPDP بخروقات البيانات الشخصية خلال خمسة أيام. تتضمن الخطة الفعّالة مسار اكتشاف (مراقبة، تنبيهات SOC، بلاغات الموظفين) يصل إلى DPO خلال ساعات لا أيام؛ ومصفوفة قرار تميّز بين الحوادث (بلا أثر على البيانات الشخصية) والخروقات الواجبة الإخطار؛ ونموذج إخطار معدّاً مسبقاً يغطي طبيعة الخرق، وفئات وأعداد الأشخاص المعنيين تقريبياً، والعواقب المحتملة، وتدابير الاحتواء؛ وخطة اتصال للأشخاص المعنيين عندما يُرجَّح أن يؤدي الخرق إلى خطر مرتفع.

على المنظمات التي لا تملك اليوم دليلاً للاستجابة للحوادث أن تعتبر ذلك أولوية 2026. خمسة أيام ليست وقتاً كافياً بمجرد اكتشاف حادث.

الخطوة 5 — تحديث العقود والإشعارات ومسارات الموافقة

يجب مواءمة الإشعارات الموجّهة للعملاء، وسياسات خصوصية الموظفين، والعقود مع مزوّدي خدمات تقنية المعلومات والسحابة، مع الالتزامات الجديدة. المخرجات العملية: إشعارات الخصوصية على المواقع والتطبيقات مع الإشارة إلى القانون 18-07 المعدَّل بالقانون 25-11؛ إشعارات خصوصية الموظفين التي تصف معالجات الموارد البشرية والمراقبة والامتيازات؛ بنود معالجة البيانات في عقود المورّدين — وهي حرجة بشكل خاص للسحابة وSaaS والرواتب الخارجية؛ ومسارات الموافقة للتسويق وملفات تعريف الارتباط ومعالجة أي بيانات حساسة.

ستجد المنظمات التي تعمل بالفعل مع شركاء دوليين أن المواءمة مع ممارسات شبيهة بنمط GDPR تيسّر هذه الخطوة بشكل كبير، لأن معظم المخرجات المطلوبة موجودة أصلاً كقوالب.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

ما الموعد النهائي لتعيين مسؤول حماية البيانات في الشركات الجزائرية؟

عدّل القانون 25-11 الصادر في 24 يوليو 2025 القانون 18-07 وأدخل التزام DPO. دخلت الالتزامات حيّز النفاذ منذ يوليو 2025؛ عملياً ينبغي أن يكون لدى مسؤولي المعالجة في الجزائر DPO معيّن في 2026 وأن تُبلَّغ بياناته إلى ANPDP. على المنظمات التي لا تملك DPO حتى الآن اعتبار ذلك أولوية امتثال فورية.

هل يمكن أن يغطّي DPO واحد عدة شركات جزائرية ضمن المجموعة نفسها؟

نعم — يمكن لمجموعة شركات تعيين DPO واحد يغطي عدة كيانات، شريطة أن يبقى متاحاً للأشخاص المعنيين في كل منظمة وأن يتمكن من تخصيص وقت كافٍ للدور. للشركات الصغيرة والمتوسطة، يُعدّ DPO مشترك أو خارجي (عادة مستشار خصوصية أو محامٍ بعقد سنوي) وسيلة عملية للوفاء بالالتزام دون توظيف بدوام كامل.

ماذا يحدث إذا لم تُخطر شركة جزائرية بخرق بيانات خلال خمسة أيام؟

ANPDP هي السلطة المختصة بإنفاذ حماية البيانات في الجزائر بموجب القانون 18-07 المعدَّل. يُعرّض عدم الامتثال لالتزامات الإخطار والالتزامات الأخرى المنظمةَ لعقوبات إدارية يحدّدها إطار حماية البيانات. إلى جانب العقوبات القانونية، يتجاوز الأثر السمعي لخرق تمت إدارته بشكل سيئ — خاصة عندما يمس بيانات مالية أو وثائق هوية — الكلفة التنظيمية في كثير من الأحيان.