الحلول
المنتج
الأسعار
الموارد
ابدأ التجربة المجانية

تطبيق نظام حماية البيانات الشخصية السعودي أصبح ساريًا: ما يجب على المدارس المستخدِمة لواتساب فعله

تطبيق نظام حماية البيانات الشخصية السعودي أصبح ساريًا: ما يجب على المدارس المستخدِمة لواتساب فعله

إذا كنت تدير مدرسة في المملكة العربية السعودية أو في أي مكان آخر من منطقة الخليج، وكان موظفوك يتواصلون مع أولياء الأمور عبر مجموعات واتساب، فأنت على الأرجح تعالج بيانات شخصية دون أساس قانوني مشروع. هذه ليست مجرد مخاطرة نظرية، بل هي أولى فئات الانتهاكات الثلاث التي أفضت إلى 48 قرارًا تنفيذيًا صادرًا عن الهيئة السعودية للبيانات والذكاء الاصطناعي (سداية).

في سبتمبر 2024، انتقل نظام حماية البيانات الشخصية في المملكة العربية السعودية من إطار يتمتع بفترة سماح إلى مرحلة التطبيق الفعلي. وبحلول منتصف يناير 2026، أصدرت الهيئة تلك القرارات التنفيذية الـ48 بحق منظمات في قطاعات متعددة، مع غرامات فردية تصل إلى 5 ملايين ريال سعودي للانتهاك الواحد، مع إمكانية مضاعفتها في حالات التكرار، وفقًا لتحليل نشرته المحامية لميس بجنيد من مكتب كلايد وكو. ووصفت الهيئة عام 2025 بأنه “نقطة تحول في إشرافها على ممارسات خصوصية البيانات”، وفقًا لتقرير IAPP الذي أعدّته بسمة السبيعي من شركة Privacy Professionals LLC.

ثمانية وأربعون قرارًا: ما الذي تُعاقب عليه الهيئة فعلًا

تندرج القرارات التنفيذية الـ48 ضمن ثلاث فئات متمايزة من الانتهاكات، كما وردت في تحليل السبيعي على منصة IAPP:

  1. إرسال رسائل تسويقية أو مراسلات مباشرة دون الحصول على موافقة مسبقة من أصحاب البيانات
  2. معالجة البيانات الشخصية بما يتجاوز الحاجة للغرض المُعلَن، أو دون مسوّغ قانوني واضح
  3. الإخفاق في تطبيق الضوابط الأمنية التقنية والتنظيمية الكافية على البيانات الشخصية

وفقًا لتحليل بجنيد في مكتب كلايد وكو، لا تملك المنظمات سوى خمسة أيام للرد فور إشعار الهيئة لها بانتهاك ما. وبذلك يكون هامش التحضير صفرًا عمليًا في تلك المرحلة — إذ يجب أن يسبق الامتثال الإشعار لا أن يليه. وتكتب بجنيد: “التدخل القانوني المبكر أمر بالغ الأهمية لتقييم الانكشاف وإدارة التعامل مع الهيئة بفاعلية.”

وقد استهدف التطبيق الأولي قطاعات التجزئة والاتصالات والتمويل. غير أن الانكشاف القانوني لقطاع التعليم بنيويًا مطابق لها.

لماذا تُفعِّل مجموعات واتساب لأولياء الأمور الفئات الثلاث للانتهاكات

كشفت دراسة علمية محكّمة أجراها باتينة وآخرون عام 2026، نشرتها مجلة Digital Education Review بمشاركة باحث من جامعة الملك فيصل في المملكة العربية السعودية، أن واتساب أصبح العمود الفقري الافتراضي للتواصل في المدارس التي تفتقر إلى بنية رقمية مؤسسية. ويوثّق المؤلفون أن هذا الانتشار جرى “في غياب سياسة مؤسسية أو رقابة تربوية أو ضمانات أخلاقية.”

وفيما يلي كيفية تقاطع كل فئة من فئات انتهاكات الهيئة مع المنظومة القائمة على واتساب:

ثغرة الأساس القانوني — الأكثر ارتباطًا مباشرةً بالفئة الثانية: على الرغم من أن تطبيق الفئة الأولى استهدف الرسائل الترويجية، فإن إشكاليات الموافقة في مجموعات واتساب المدرسية ترتبط ارتباطًا أوثق بمتطلب الأساس القانوني في الفئة الثانية. فحين ينضم ولي أمر إلى مجموعة واتساب، لا تمتلك المدرسة عادةً سجلًا موثقًا للموافقة، ولا إشعارًا بالخصوصية يوضح كيفية معالجة البيانات، ولا آليةً تتيح لولي الأمر الاعتراض أو سحب الموافقة. فالانضمام إلى مجموعة دردشة لا يعادل قانونيًا الموافقة الحرة والمحددة والمستنيرة بموجب نظام حماية البيانات الشخصية.

الفئة الثانية — المعالجة بما يتجاوز الغرض المُعلَن: تمتص مجموعات واتساب التي أُنشئت لـ”تذكيرات الواجبات” سريعًا تحديثات الحضور والغياب، والملاحظات التأديبية، والاستفسارات الصحية، وصور الفعاليات، والمحادثات الشخصية. ويوثّق باتينة وآخرون كيف يتوسّع دور القناة في التواصل بين المدرسة وأولياء الأمور بصورة لم تُحسَب وقت التطبيق، بما في ذلك تراكم أنواع المراسلات داخل قناة واحدة. وكل حالة استخدام إضافية تستلزم أساسًا قانونيًا موثقًا مستقلًا بموجب نظام حماية البيانات الشخصية، وهو ما لم تنشئه المدارس في الغالب.

الفئة الثالثة — ضوابط أمنية غير كافية: تؤكد سياسة الخصوصية الرسمية لواتساب أن معلومات العضوية في المجموعات — بما فيها أرقام الهواتف وأسماء الملفات الشخصية وصورها وقوائم الأعضاء وبيانات “آخر ظهور” والتواجد الفعلي في الوقت الحقيقي ومعرّفات الأجهزة — تُشارَك مع شركات ميتا (فيسبوك وإنستغرام) ومزودي خدمات خارجيين لأغراض “البنية التحتية والسلامة والتخصيص والميزات المتكاملة”. ويعمل واتساب بوصفه خدمة استهلاكية وفق شروطه القياسية، مما يعني أن المدارس لا تستطيع تحديد متطلبات معالجة البيانات من خلال اتفاقية مؤسسية مخصصة.

خلاصة تحليل السبيعي صريحة: “الامتثال لنظام حماية البيانات الشخصية لم يعد اختياريًا.”

ما الذي يعالجه واتساب فعلًا نيابةً عن مدرستك

تجدر الدقة في وصف تدفقات البيانات، إذ كثيرًا ما يُقلَّل من حجمها. وفقًا لسياسة الخصوصية الحالية لواتساب، تشمل البيانات التي تعالجها المنصة لكل عضو في المجموعة:

  • رقم الهاتف (مطلوب للتسجيل ومرئي لجميع أعضاء المجموعة)
  • اسم الملف الشخصي وصورته
  • اسم المجموعة ووصفها
  • قائمة أعضاء المجموعة كاملةً
  • ختم وقت “آخر ظهور” ومؤشرات التواجد الفعلي في الوقت الحقيقي
  • بيانات تسليم الرسائل والنشاط
  • معرّفات الأجهزة وعناوين IP

وتنص سياسة واتساب: “نطلب معلومات معينة لتقديم خدماتنا، وبدونها لن نتمكن من تقديم خدماتنا لك.” يعني هذا أن المدرسة لا تستطيع ضبط واتساب لمعالجة بيانات أقل — إذ تكون عملية الجمع غير قابلة للتفاوض بحكم التصميم.

لمجموعة مدرسية تضم 300 من أولياء الأمور، يعني ذلك 300 رقم هاتف ومعرّفات أجهزة وأنماط سلوكية تتدفق إلى بنية ميتا التحتية، وتُعالَج وفق الضرورة التعاقدية لا بموجب موافقة تصدرها المدرسة، مع محدودية الرؤية في تدفقات البيانات إلى ما تكشفه سياسة واتساب العامة.

لماذا لا يمكنك الاعتماد على الموظفين لاكتشاف ذلك بأنفسهم

توثّق دراستان علميتان محكّمتان من عام 2024 نمطًا متسقًا: يقلّل المعلمون بصورة منهجية من تقدير حجم البيانات الشخصية المتدفقة عبر بيئاتهم المدرسية، ويفتقرون إلى وعي كافٍ باللوائح الناظمة لها.

كشفت دراسة هيرميدا وآخرين (2024)، المنشورة في Journal of Media Literacy Education، أن المعلمين قبل الخدمة يقلّلون من تقدير سلوك الأطفال في مشاركة بياناتهم الخاصة — إذ يختلف تصوّرهم لحجم البيانات التي يولّدها الطلاب في المدرسة اختلافًا جوهريًا عما تكشفه استطلاعات الطلاب أنفسهم. وتعتمد الدراسة على منهج الاستطلاع والارتباط، لذا لا تعزل السبب المباشر؛ غير أنها تكشف عن ثغرة متسقة في إدراك المعلمين لتدفقات البيانات.

وبالمثل، وجد كوك وغولجوكجو (2024)، في دراسة أجراها على معلمين قبل الخدمة في مؤتمر ICEMST 2024 في أنطاليا، أنه رغم فهم غالبية المشاركين للمفهوم العام للبيانات الشخصية، فإن “نحو نصفهم لم يكن على دراية باللوائح المتعلقة بهذا الموضوع”. وهذا اكتشاف ارتباطي من استطلاع محدود النطاق (76 مشاركًا)، إلا أنه يتسق مع نتائج دراسة هيرميدا. ولم تُجرَ أيٌّ من الدراستين في منطقة الخليج، غير أن اتساقهما عبر سياقات تعليمية مستقلة يدعو إلى اعتبار هذه الثغرة افتراضًا أساسيًا لا شذوذًا محليًا.

وبالتالي، فإن الاستنتاج العملي لمديري المدارس واضح: لا يمكنك الاعتماد على أعضاء هيئة التدريس منفردين لتحديد المخاطر. فالثغرة بنيوية لا فردية. ولذلك يستلزم الامتثال سياسةً مؤسسية لا يقظةً شخصية.

ما يجب على المدارس فعله الآن

تتوافق الخطوات الثلاث التالية مباشرةً مع فئات انتهاكات الهيئة الثلاث، ومرتّبة بحسب الأولوية.

الخطوة الأولى: توثيق الأساس القانوني قبل أي تواصل

بموجب نظام حماية البيانات الشخصية السعودي، تستلزم كل عملية لمعالجة البيانات الشخصية أساسًا قانونيًا. وبالنسبة للمدارس، أكثر الأسس دفاعيةً هما: الموافقة (حرة ومحددة ومستنيرة وموثقة) أو الضرورة التعاقدية (معالجة مطلوبة لتقديم الخدمة التعليمية المتفق عليها عند التسجيل).

عمليًا، يبدو ذلك كالتالي: إشعار بيانات التسجيل المؤلف من صفحة واحدة — يُسلَّم وقت التسجيل ويُحفظ كملف PDF موقَّع — ويذكر صراحةً كل قناة اتصال تستخدمها المدرسة، وما تعالجه كل قناة من بيانات، ومع من تُشارَك تلك البيانات. على الأقل، يجب أن يغطي الإشعار أربعة حقول لكل قناة:

  1. اسم القناة والغرض منها
  2. فئات البيانات الشخصية المعالجة
  3. الأطراف الثالثة التي تُشارَك معها البيانات
  4. فترة الاحتفاظ وإجراءات الحذف

ينبغي مراجعة الإشعار وتجديد التوقيع عليه سنويًا. إن كنت لا تمتلك حاليًا مثل هذه الوثيقة، فإن إنشاءها خلال هذا الفصل الدراسي هو أولويتك الأولى.

الخطوة الثانية: تحديد غرض كل قناة وإنفاذه

يجب أن تظل قناة الاتصال المخصصة لتذكيرات الواجبات محدودة بهذا الغرض. وكل حالة استخدام جديدة — سجلات الحضور والغياب، والمراسلات الصحية، ومشاركة الوسائط — تستلزم أساسًا قانونيًا موثقًا مستقلًا.

عمليًا، يبدو ذلك كالتالي: سياسة داخلية مكتوبة (صفحة واحدة، تُراجَع مرتين في السنة) تُدرج كل قناة نشطة باسمها ونطاقها المسموح به والموظف المسؤول عن إنفاذ ذلك النطاق (عادةً معلم الفصل لقنوات الفصل الدراسي، ومنسق البيانات أو مدير المدرسة للقنوات على مستوى المدرسة). حين ينشر ولي أمر استفسارًا شخصيًا في مجموعة تذكيرات الواجبات، يُغلق الموظف الخيط ويُحيل المحادثة إلى القناة الصحيحة. وتُقدَّم السياسة لجميع هيئة التدريس في بداية كل عام دراسي ويُقرّون بها كتابةً.

الخطوة الثالثة: استبدال المنصات التابعة لأطراف ثالثة غير الخاضعة للتحكم ببنية تحتية مخصصة

لا يمكن ضبط واتساب لوقف جمع معرّفات الأجهزة أو بيانات عضوية المجموعات أو بيانات النشاط. فالجمع مدمج في الخدمة. الحل البنيوي الوحيد هو نقل مراسلات أولياء الأمور إلى منصة تعمل بموجب اتفاقية معالجة بيانات، وتقصر الجمع على ما تأذن به المدرسة، وتوفر مسار تدقيق يتوقعه المنظمون.

عمليًا، يبدو ذلك كالتالي: استبدال مجموعة تذكيرات الواجبات غير الرسمية بقناة رسائل منظمة داخل منصة اتصال مدرسية مخصصة — تتحكم فيها المدرسة في من يملك صلاحية الوصول وما يُحتفظ به من بيانات ولأي مدة وتحت أي ولاية قضائية. يرسل معلم الفصل ملخصًا أسبوعيًا من ثلاث إلى خمس نقاط كل مساء الأحد عبر إشعار داخل التطبيق إلى حساب كل ولي أمر؛ فلا تُرسَل أي رسالة عبر رقم هاتف شخصي، ولا تغادر أي بيانات شخصية البنية التحتية المخصصة للمدرسة، وتستطيع المدرسة تقديم سجل تواصل كامل عند الطلب.

البنية التحتية المتوافقة بوصفها متطلبًا تشغيليًا

بالنسبة لمديري المدارس في الخليج، لم تعد مسألة الامتثال لنظام حماية البيانات الشخصية تتعلق بالاختيار بين المعالجة أو عدمها، بل تتعلق بالتوقيت — وقد حسمه جدول التطبيق مسبقًا. تثبت قرارات الهيئة الـ48 أنها نشطة وتوسّع تغطيتها القطاعية، وأن نافذة الخمسة أيام للرد لا تترك مجالًا للتحضير اللاحق.

المدارس التي لا تستطيع تقديم اتفاقية معالجة بيانات لمنصة التواصل الحالية مع أولياء الأمور، أو لا تستطيع توليد سجل تواصل كامل عند الطلب، تواجه ثغرة امتثال واضحة.

منصة التواصل المدرسي من بي نت مصمَّمة لهذا السياق التشغيلي — مع قنوات رسائل منظمة، وضوابط وصول قائمة على الأدوار، وبنية بيانات تحافظ على البيانات الشخصية داخل البيئة التي ضبطتها المدرسة. وبالنسبة للمدارس التي تقيّم خياراتها، تُمثّل منصتنا أحد مسارات التطبيق نحو وضع الامتثال الذي يستلزمه تطبيق نظام حماية البيانات الشخصية الآن.

السؤال ليس إن كنت تحتاج إلى بنية تحتية متوافقة. السؤال هو إن كنت ستعالج الأمر خلال هذا الفصل الدراسي أم ستردّ على إشعار من الهيئة في غضون خمسة أيام.


للاطلاع على المراجع والمصادر، راجع النسخة الإنجليزية من هذا المقال.

هل أنت مستعد لتطوير تواصل مدرستك؟

ابدأ بتوفير الوقت وزيادة مشاركة أولياء الأمور مع بي نت.

اطلب عرضاً