⚡ أبرز النقاط

قانون 25-11 الصادر في 24 يوليو 2025 يُعدِّل القانون 18-07 بإدخال المساءلة والمقاربة القائمة على المخاطر وتوثيق مهام DPO. يتعين على مراقبي البيانات الاحتفاظ بسجل المعالجة، وإجراء DPIAs للمعالجات عالية المخاطر، وإعداد ملف DPO قابل للتدقيق.

خلاصة: على المديرين التقنيين ومسؤولي الامتثال الجزائريين جعل 2026 عام تفعيل حزمة المساءلة — السجل، وسير عمل DPIA، وملف DPO، والاستجابة للانتهاكات — بدل انتظار النصوص التطبيقية.

اقرأ التحليل الكامل ↓

إعلان

🧭 رادار القرار

البُعد
التقييم
This dimension (التقييم) is an important factor in evaluating the article's implications.
الأهمية بالنسبة للجزائر
عالي
ينطبق قانون 25-11 على كل مؤسسة جزائرية تُعالج بيانات شخصية — من البنوك ومشغلي الاتصالات إلى الشركات الناشئة والمؤسسات الصغيرة والمتوسطة — مما يجعل الترقية نحو المساءلة موضوع امتثال رئيسياً.
الجدول الزمني للعمل
فوري
الالتزامات سارية بالفعل بعد الاعتماد في 24 يوليو 2025؛ يتعين على مراقبي البيانات تفعيل DPO والسجل وسير عمل DPIA خلال 2026.
أصحاب المصلحة الرئيسيون
المديرون التقنيون، DPOs، المستشارون القانونيون، مسؤولو الامتثال
نوع القرار
تكتيكي
تدعم المقالة قرارات تشغيلية ملموسة — من يُعيَّن DPO، وأي العمليات يجب توثيقها أولاً، وأين يجب إطلاق DPIAs.
مستوى الأولوية
عالي
المساءلة هي البوابة التي ستُقيّم ANPDP من خلالها كل التزام آخر، لذا فالثغرات التوثيقية تتحول مباشرة إلى تعرض قانوني.

خلاصة: على مراقبي البيانات الجزائريين التعامل مع قانون 25-11 باعتباره التزاماً بإنتاج الأدلة، لا فقط بحسن السلوك. بناء السجل وتعيين DPO وإجراء DPIAs على المعالجتين أو الثلاث الأكثر خطورة يجب أن يسبق أي ورشة امتثال أخرى.

طبقة مساءلة جديدة فوق القانون 18-07

قانون حماية البيانات الأصلي في الجزائر — القانون 18-07 المؤرخ في 10 يونيو 2018 — أنشأ السلطة الوطنية لحماية المعطيات ذات الطابع الشخصي (ANPDP) وحدّد المبادئ الأساسية للمعالجة. غير أنه لم يُلزم المؤسسات بإثبات امتثالها. إذ كان بإمكان مراقبي البيانات الادعاء بأنهم يحترمون القواعد دون توثيق أي شيء.

يسدّ القانون رقم 25-11 الصادر في 24 يوليو 2025، المعدِّل والمتمم للقانون 18-07، هذه الفجوة. وفقاً لـدليل CMS لحماية البيانات في الجزائر، يُدخل تعديل 2025 “متطلبات أقوى للمساءلة والمقاربة القائمة على المخاطر والحوكمة”، مع تعريفات محددة للبيانات البيومترية والتنميط (profiling) وإخفاء الهوية (pseudonymisation) وانتهاكات البيانات. عملياً، يتعين الآن على مراقبي البيانات الجزائريين بناء الأدلة التي تُظهر كيفية تعاملهم مع البيانات الشخصية والاحتفاظ بها.

هذه المقالة دليل توضيحي للشركات والفرق الهندسية التي تستعد لعام 2026. تركّز على المعنى العملي لمبدأ المساءلة والمقاربة القائمة على المخاطر وتوثيق DPO في العمليات اليومية — وليس على انتقاد أي جهة.

مبدأ المساءلة في الممارسة

بموجب التعديل، لم يعد مراقب البيانات يُحكم عليه فقط بالنتائج (هل وقع انتهاك؟) بل أيضاً بالعملية (هل يمكنك إظهار التدابير المتخذة؟). يترجم ذلك إلى ثلاث حزم توثيقية يجب على فريق البيانات الحديث الاحتفاظ بها:

  • سجلات أنشطة المعالجة — سجل حي يسرد كل غرض من أغراض المعالجة، وفئات البيانات، ومدة الاحتفاظ، والمستقبلين، والتدابير الأمنية. هذا هو أهم مستند خلال أي تفتيش مستقبلي من ANPDP.
  • السياسات والإجراءات — سياسة مكتوبة لحماية البيانات، وجدول احتفاظ، وإجراء حقوق أصحاب البيانات، وخطة استجابة للانتهاكات.
  • سجلات التدريب والتحكم في الوصول — دليل على أن الموظفين الذين يتعاملون مع البيانات تلقوا تدريباً، وأن الوصول إلى السجلات مقيد ومسجَّل.

كما يُشير CookieYes في دليله الخاص بالجزائر، فإن تعديل 2025 يُقرّب الإطار الجزائري من اللائحة العامة لحماية البيانات (GDPR) في الاتحاد الأوروبي. وهذا مفيد: فمعظم القوالب التي تُنتجها برامج GDPR القائمة (سجلات RoPA، قوالب DPIA، العقود النموذجية) يمكن تكييفها بدل إعادة بنائها.

الحوكمة القائمة على المخاطر: دراسات التأثير والاستشارة المسبقة

يُدخل قانون 25-11 مقاربة قائمة على المخاطر. كلما كانت المعالجة أوسع وأكثر حساسية، زادت الحاجة إلى التوثيق والمراجعة. أداتان تحملان الجزء الأكبر من هذا العبء:

  1. دراسات تأثير حماية البيانات (DPIA) إلزامية للمعالجات عالية المخاطر — مثلاً المعالجة البيومترية على نطاق واسع، أو المراقبة الممنهجة لفضاء عام، أو تنميط يُنتج آثاراً قانونية. يجب أن تَصِف DPIA المعالجة، وتُقيّم ضرورتها وتناسبها، وتُحدد المخاطر على أصحاب البيانات، وتُدرج إجراءات التخفيف.
  2. الاستشارة المسبقة مع ANPDP عندما تُظهر الـDPIA وجود خطر متبقٍ مرتفع لا يستطيع المراقب تخفيفه بمفرده. في هذه الحالة، لا يمكن انطلاق المعالجة إلا بعد استشارة السلطة.

يؤكد فصل الجزائر لدى DLA Piper أن الـDPIA وإجراء الاستشارة المسبقة جزء من الإطار المعدَّل، على غرار المادتين 35 و36 من GDPR. البنوك وشركات التأمين ومنصات الرعاية الصحية وشركات التجارة الإلكترونية التي تعتمد على التنميط السلوكي تقع كلها في نطاق التطبيق.

إعلان

ملف DPO: أكثر من بطاقة تعريف

أصبح تعيين مسؤول حماية البيانات إلزامياً للمؤسسات التي تعالج البيانات على نطاق واسع أو تتعامل مع فئات حساسة. لكن القانون لا يتوقف عند المنصب — بل يتوقع أن تكون أنشطة DPO موثقة وقابلة للتدقيق.

يجب أن يتضمن ملف DPO المتوافق:

  • كتاب التعيين، مع وصف لمهام DPO وخط المسؤولية (يجب أن يرفع التقارير إلى أعلى مستويات الإدارة).
  • مؤهلات DPO — التدريبات ذات الصلة، الشهادات، أو الخبرة المهنية في حماية البيانات.
  • خطة عمل سنوية ودليل تنفيذها (تدقيقات مُنفذة، DPIAs مراجعة، جلسات تدريب مُقدَّمة).
  • سجل لطلبات أصحاب البيانات (الوصول، التصحيح، الحذف) ولتفاعلات DPO مع ANPDP.
  • إعلان استقلالية: لا يتلقى DPO تعليمات حول طريقة أداء مهامه، ولا يجوز معاقبته على أدائها.

يمكن تعيين DPO واحد لعدة مؤسسات إذا سمح حجمها وهيكلها بذلك — وهو مفيد للمجموعات الجزائرية ذات الشركات التابعة المتعددة، أو للشركات الصغيرة التي تتشارك مسؤول DPO خارجي.

قائمة تحقق عملية للامتثال في 2026

بالنسبة للمديرين التقنيين والمستشارين القانونيين ومسؤولي الامتثال في الشركات الجزائرية، تُغطي القائمة التالية الالتزامات الأساسية التي أوجدها قانون 25-11:

  • [ ] تعيين DPO (داخلي أو خارجي) ونشر معلومات الاتصال.
  • [ ] بناء سجل أنشطة معالجة يُغطي كل عملية تلمس البيانات الشخصية.
  • [ ] تعيين المعالجات ذات “المخاطر العالية” وإجراء DPIA حيث يلزم.
  • [ ] تحديث إشعارات الخصوصية على المواقع والتطبيقات لتعكس الحقوق الجديدة ومعلومات DPO.
  • [ ] وضع إجراء استجابة للانتهاكات جاهز خلال 72 ساعة، يتماشى مع قواعد الإخطار في القانون 25-11.
  • [ ] تدريب كل موظف يتعامل مع البيانات مرة واحدة في السنة على الأقل والاحتفاظ بسجلات الحضور.
  • [ ] إضافة بنود حماية البيانات إلى جميع عقود المعالجين (الاستضافة، SaaS، الأجور، التسويق).
  • [ ] مراجعة التحويلات العابرة للحدود وتوثيق الأساس القانوني لكل منها.

لا يتطلب أي من هذه البنود انتظار نصوص تطبيقية — فهي تنبثق مباشرة من القانون 18-07 المعدَّل ويمكن تنفيذها الآن باستخدام قوالب GDPR مكيَّفة للسياق الجزائري.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn
تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

إعلان

الأسئلة الشائعة

متى يدخل قانون 25-11 حيز التنفيذ في الجزائر؟

اعتُمد قانون 25-11 في 24 يوليو 2025 ويُعدِّل القانون 18-07 لعام 2018. التزاماته الأساسية — المساءلة، وتعيين DPO، والـDPIAs، وإخطار الانتهاكات — سارية بالفعل. قد تُحدد النصوص التطبيقية التفاصيل، لكن ينبغي للشركات اعتبار المتطلبات فعّالة في 2026.

هل يتعين على الشركات الجزائرية الصغيرة تعيين DPO؟

تعيين DPO إلزامي عندما تُعالج المؤسسة البيانات على نطاق واسع أو تتعامل مع فئات حساسة (صحة، بيومتريا، تنميط). قد تُعفى الشركات الصغيرة جداً ذات المعالجة المحدودة، لكن يُسمح صراحة بمشاركة DPO خارجي بين عدة كيانات صغيرة بموجب التعديل.

كيف يُقارن قانون 25-11 بـGDPR بالنسبة للشركات الجزائرية؟

يُقرّب تعديل 2025 الإطار الجزائري من GDPR في المساءلة والـDPIAs ومهام DPO وإخطار الانتهاكات وحقوق أصحاب البيانات. يمكن للشركات التي تُدير برنامج GDPR بالفعل تكييف معظم توثيقها القائم. الخصوصيات المحلية الرئيسية هي دور ANPDP والعقوبات الجزائية المرتبطة ببعض مخالفات القانون الجزائري.

الأسئلة الشائعة

متى يدخل قانون 25-11 حيز التنفيذ في الجزائر؟

اعتُمد قانون 25-11 في 24 يوليو 2025 ويُعدِّل القانون 18-07 لعام 2018. التزاماته الأساسية — المساءلة، وتعيين DPO، والـDPIAs، وإخطار الانتهاكات — سارية بالفعل. قد تُحدد النصوص التطبيقية التفاصيل، لكن ينبغي للشركات اعتبار المتطلبات فعّالة في 2026.

هل يتعين على الشركات الجزائرية الصغيرة تعيين DPO؟

تعيين DPO إلزامي عندما تُعالج المؤسسة البيانات على نطاق واسع أو تتعامل مع فئات حساسة (صحة، بيومتريا، تنميط). قد تُعفى الشركات الصغيرة جداً ذات المعالجة المحدودة، لكن يُسمح صراحة بمشاركة DPO خارجي بين عدة كيانات صغيرة بموجب التعديل.

كيف يُقارن قانون 25-11 بـGDPR بالنسبة للشركات الجزائرية؟

يُقرّب تعديل 2025 الإطار الجزائري من GDPR في المساءلة والـDPIAs ومهام DPO وإخطار الانتهاكات وحقوق أصحاب البيانات. يمكن للشركات التي تُدير برنامج GDPR بالفعل تكييف معظم توثيقها القائم. الخصوصيات المحلية الرئيسية هي دور ANPDP والعقوبات الجزائية المرتبطة ببعض مخالفات القانون الجزائري.

المصادر والقراءات الإضافية