في 5 فبراير 2026، انتهت فترة التحول لقانون حماية البيانات الشخصية في سلطنة عُمان (المرسوم السلطاني 6/2022). أصبحت وزارة النقل والاتصالات وتقنية المعلومات تراقب الامتثال بنشاط ويمكنها ممارسة صلاحياتها التنفيذية. يجب أن تكون المؤسسات التي تعالج البيانات الشخصية في سلطنة عُمان أطرها في مكانها — ليست قيد التنفيذ، ولا مُخطط لها، بل تشغيلية.
بالنسبة للمؤسسات التي تستخدم أنظمة ذكاء اصطناعي، يخلق قانون حماية البيانات الشخصية التزامات تتجاوز حماية البيانات التقليدية. أنظمة الذكاء الاصطناعي تستهلك البيانات الشخصية على نطاق واسع، وتصنع أو تدعم قرارات تؤثر على الأفراد، وتعمل غالباً بطرق يصعب تفسيرها. لا يحتوي القانون على فصل منفصل حول الذكاء الاصطناعي، لكن متطلباته للمعالجة القانونية والشفافية وحقوق الأفراد ذوي الصلة وإشعار الخرق تنطبق بالكامل على أنشطة المعالجة المدفوعة بالذكاء الاصطناعي.
يربط هذا الدليل التزامات قانون حماية البيانات الشخصية الرئيسية بنموذج الحوكمة السباعي للذكاء الاصطناعي ويقدم قائمة مراجعة عملية للمؤسسات التي تحتاج إلى التحقق من وضع الامتثال لديها.
المعالجة القانونية والموافقة — الركائز 3 و5
يتطلب قانون حماية البيانات الشخصية من المؤسسات الحصول على موافقة صريحة ومُعلّمة من الأفراد ذوي الصلة قبل معالجة البيانات الشخصية، ما لم ينطبق استثناء قانوني. بالنسبة لأنظمة الذكاء الاصطناعي، يكون لهذا الالتزام آثار محددة تتجاهلها العديد من المؤسسات.
تحقق من أن كل نظام ذكاء اصطناعي يعالج البيانات الشخصية لديه أساس قانوني موثق. ليس هذا بياناً عاماً في سياسة الخصوصية — بل سجل لكل نظام يحدد أي البيانات الشخصية يعالجها النظام، وما هو غرض المعالجة، وما هو الأساس القانوني (موافقة، التزام قانوني، مصلحة مشروعة بموجب استثناء قابل للتطبيق). إذا كان الأساس القانوني هو الموافقة، تحقق من أن آلية الموافقة خاصة بنشاط معالجة الذكاء الاصطناعي، وليست مدمجة في قبول شروط الخدمة العامة. يتطلب قانون حماية البيانات الشخصية أن تكون الموافقة ممنوحة بحرية، وواضحة، وقابلة للتحقق. خانة اختيار مدفونة في نموذج تسجيل تذكر "التحليلات والمعالجة الآلية" في فقرة من أغراض أخرى من غير المرجح أن تلبي هذا المعيار.
بالنسبة لبيانات تدريب الذكاء الاصطناعي، تحقق من أن مجموعات البيانات المستخدمة لتدريب أو ضبط النماذج تم جمعها بموافقة تغطي غرض المعالجة المحدد. إذا كانت المؤسسة تستخدم بيانات تاريخية تم جمعها قبل دخول قانون حماية البيانات الشخصية حيز التنفيذ، قيّم ما إذا كانت الموافقة الأصلية أو الأساس القانوني يمتدان إلى تدريب الذكاء الاصطناعي. إذا لم يكن الأمر كذلك، تحتاج المؤسسة إما إلى الحصول على موافقة جديدة أو إثبات أن استثناءً قانونياً ينطبق.
الشفافية وإشعارات الخصوصية — الركائز 2 و5
يتطلب قانون حماية البيانات الشخصية من المؤسسات تزويد الأفراد ذوي الصلة بمعلومات كتابية واضحة حول المتحكم، وغرض المعالجة، ومصدر البيانات الشخصية، والحقوق المتاحة بموجب القانون. يجب أن تكون إشعارات الخصوصية دقيقة وسهلة الوصول ومُوصّلة قبل جمع البيانات.
بالنسبة لأنظمة الذكاء الاصطناعي، الشفافية تعني أكثر من إشعار خصوصية عام على الموقع الإلكتروني. تحقق من أن إشعارات الخصوصية لديك تفصح صراحةً عن أي صنع قرار آلي أو تحليل يؤثر على الأفراد ذوي الصلة. إذا كان نظام ذكاء اصطناعي يصنع أو يدعم قرارات حول الائتمان، أو الأهلية، أو التسعير، أو التوظيف، أو الوصول إلى الخدمة، يجب أن تصف إشعار الخصوصية هذا بعبارات يستطيع غير المتخصص فهمها. تحقق من أن الإشعار يحدد أنواع البيانات الشخصية المستخدمة في المعالجة الآلية ويشرح المنطق العام المُشارك — لا البنية التقنية، بل وصفاً ذا معنى لما هي العوامل التي تؤثر في القرار وكيف.
يتطلب قانون حماية البيانات الشخصية أن تُقدّم إشعارات الخصوصية باللغة العربية. يمكن للمؤسسات تقديم إصدارات ثنائية اللغة، لكن يجب التعامل مع النسخة العربية كالمرجع الأساسي. تحقق من أن الإفصاحات المتعلقة بالذكاء الاصطناعي مدرجة في النسخة العربية، وليس فقط في النص الإنجليزي.
حقوق الأفراد ذوي الصلة — الركائز 2، 3 و5
يمنح قانون حماية البيانات الشخصية الأفراد ذوي الصلة الحق في سحب الموافقة، وطلب تصحيح أو حذف البيانات الشخصية، والحصول على نسخ، وطلب نقل البيانات. يجب على المؤسسات الرد على الطلبات الكتابية خلال 45 يوماً وقد تحتاج إلى تعليق المعالجة أثناء معالجة الطلب.
بالنسبة لأنظمة الذكاء الاصطناعي، تخلق هذه الحقوق متطلبات تشغيلية يجب التخطيط لها مسبقاً. إذا سحب الفرد ذو الصلة موافقته لنشاط المعالجة الذي يُغذي نظام ذكاء اصطناعي، تحقق من أن المؤسسة لديها عملية موثقة لإيقاف معالجة بيانات هذا الفرد في خط أنابيب الذكاء الاصطناعي — بما في ذلك في مجموعات بيانات التدريب، ومتاجر الميزات، وسجلات الاستدلال. إذا طلب الفرد ذو الصلة تصحيح بيانات شخصية استُخدمت لتدريب نموذج، فكر في كيف يؤثر التصحيح على مخرجات النموذج. قد لا يكون إعادة التدريب الكامل عملياً لكل طلب تصحيح، لكن يجب أن يكون لدى المؤسسة موقف موثق حول كيفية التعامل مع التصحيحات وتوصيله للفرد ذي الصلة.
إذا طلب الفرد ذو الصلة الحذف، تحقق من أن المؤسسة تستطيع تحديد وإزالة بيانات ذلك الفرد من مجموعات بيانات تدريب الذكاء الاصطناعي، أو أنها تستطيع إثبات أن البيانات تم إخفاء هويتها إلى درجة لا تجعل إعادة التعريف ممكناً بشكل معقول. يعني نافذة الاستجابة البالغة 45 يوماً أن هذه العمليات يجب تصميمها واختبارها قبل وصول طلب، لا ارتجالها عند وصوله.
النقل عبر الحدود — الركائز 3 و6
يتطلب قانون حماية البيانات الشخصية أن يكون لنقل البيانات الشخصية خارج عُمان موافقة صريحة من الفرد ذي الصلة وألا تُضرّ بالأمن الوطني. يجب أن توفر الولايات القضائية المستلمة حمايات مكافئة لقانون حماية البيانات الشخصية. قد تتطلب نقل البيانات الحساسة موافقة من مركز الدفاع السيبراني.
بالنسبة لأنظمة الذكاء الاصطناعي، يتم تفعيل التزامات النقل عبر الحدود بطرق لا تتوقعها المؤسسات غالباً. إذا كانت المؤسسة تستخدم منصة ذكاء اصطناعي سحابية، تحقق من مكان معالجة البيانات وتخزينها — ليس فقط مكان مقر المزود، بل أي مراكز بيانات ومناطق تحديداً تتولى البيانات. العديد من منصات الذكاء الاصطناعي توجّه البيانات عبر ولايات قضائية متعددة للتدريب أو الاستدلال أو التحليلات. إذا كانت أي من هذه الولايات القضائية خارج عُمان، يجب على المؤسسة إما الحصول على موافقة صريحة للنقل أو التأكد من معالجة البيانات حصرياً داخل عُمان أو في ولاية قضائية توفر حمايات مكافئة.
إذا كانت المؤسسة تستخدم مورداً خارجياً للذكاء الاصطناعي يصل إلى البيانات الشخصية للتدريب على النماذج أو الدعم أو التحسين، تحقق من أن اتفاقية معالجة البيانات تتناول صراحةً النقل عبر الحدود وأن المورد يستطيع إثبات مكان وكيفية التعامل مع البيانات. يضع قانون حماية البيانات الشخصية التزام الامتثال على المتحكم، لا المورد.
مسؤول حماية البيانات — الركائز 2 و7
يتطلب قانون حماية البيانات الشخصية من المؤسسات تعيين مسؤول حماية بيانات وجعل تفاصيل الاتصال به متاحة للعموم. يخدم مسؤول حماية البيانات كنقطة الاتصال الرئيسية للأفراد ذوي الصلة والجهة التنظيمية، وقد أبلغت الجهة التنظيمية تفضيلها لوجود مسؤول حماية بيانات في عُمان فعلياً.
بالنسبة للمؤسسات التي تستخدم الذكاء الاصطناعي، يأخذ دور مسؤول حماية البيانات أهمية إضافية. يجب أن يُشرك مسؤول حماية البيانات في مراجعة أنظمة الذكاء الاصطناعي التي تعالج البيانات الشخصية — ليس بالضرورة على المستوى التقني، لكن بفهم كافٍ لتقييم ما إذا كانت المعالجة قانونية وشفافة ومتوافقة مع حقوق الأفراد ذوي الصلة. تحقق من أن مسؤول حماية البيانات تم إحاطته بجميع أنظمة الذكاء الاصطناعي التي تعالج البيانات الشخصية، ولديه وصول إلى توثيق حول تلك الأنظمة (مخططات تدفق البيانات، وتقييمات تأثير الخصوصية، وسجلات الموافقة)، ومُدرج في عملية الموافقة على نشرات الذكاء الاصطناعي الجديدة التي تتضمن بيانات شخصية.
إذا كان مسؤول حماية البيانات يفتقر إلى الخلفية التقنية لتقييم أنظمة الذكاء الاصطناعي، فهذه مسألة تدريب وكفاءة تندرج تحت الركيزة 7 (المواهب والمخاطر). لا يحتاج مسؤول حماية البيانات أن يكون عالماً في البيانات، لكنه يحتاج إلى فهم كافٍ حول كيفية معالجة أنظمة الذكاء الاصطناعي للبيانات ليؤدي دوره التنظيمي.
إشعار الخرق — الركائز 4 و6
يتطلب قانون حماية البيانات الشخصية من المؤسسات إبلاغ الجهة التنظيمية خلال 72 ساعة من أي خرق للبيانات الشخصية قد يشكل خطراً على حقوق الأفراد ذوي الصلة. حيث يحتمل أن يؤدي الخرق إلى ضرر جسيم، يجب أيضاً إبلاغ الأفراد ذوي الصلة المتأثرين خلال المهلة الزمنية نفسها.
بالنسبة لأنظمة الذكاء الاصطناعي، تشمل سيناريوهات الخرق ليس فقط سرقة البيانات التقليدية بل أيضاً الوصول غير المصرح به إلى بيانات تدريب النماذج، والتلاعب بمخرجات النماذج من خلال مدخلات معادية، والتعرض غير المقصود للبيانات الشخصية من خلال استدلال النماذج (حيث يكشف النموذج معلومات عن أفراد في بيانات تدريبه من خلال مخرجاته). تحقق من أن خطة الاستجابة للحوادث في مؤسستك تتضمن سيناريوهات خرق خاصة بالذكاء الاصطناعي وأن فريق الاستجابة يعرف كيفية تقييم واحتواء الخروقات الناشئة من أو المتأثرة بأنظمة الذكاء الاصطناعي.
نافذة الـ 72 ساعة ضيقة. تحقق من أن آليات اكتشاف الخرق تغطي بنية الذكاء الاصطناعي التحتية — ليس فقط قواعد البيانات التقليدية ومحيطات الشبكة — وأن مسار التصعيد من فريق عمليات الذكاء الاصطناعي إلى مسؤول حماية البيانات وعملية الإبلاغ التنظيمي موثق ومُتدرب.
العقوبات والتنفيذ — جميع الركائز
يُوفّر قانون حماية البيانات الشخصية عقوبات إدارية تشمل التحذيرات، وتعليق أو إلغاء تصاريح المعالجة، وغرامات تصل إلى 2,000 ريال عماني لكل مخالفة. بينما قد تبدو الغرامة لكل مخالفة متواضعة مقارنة بعقوبات اللائحة العامة لحماية البيانات، يمكن أن يكون التعرض التراكمي لمؤسسة ذات أنظمة ذكاء اصطناعي متعددة تعالج البيانات الشخصية عبر أنشطة غير متوافقة متعددة كبيراً. الأهم من ذلك، تشمل صلاحيات الجهة التنظيمية القدرة على تعليق أنشطة المعالجة — والتي، بالنسبة لنظام ذكاء اصطناعي مدمج في سير عمل حرج للعمل، يمكن أن تكون مدمرة تشغيلياً.
تضاعف المخاطر السمعة المخاطر التنظيمية. سوق عُمان مدمج ومبني على العلاقات. سيكون التحقيق التنظيمي ضد ممارسات الذكاء الاصطناعي لمؤسسة معروفاً بسرعة عبر القطاعات المهمة.
استخدام هذه القائمة المراجعة
هذه القائمة المراجعة ليست بديلاً عن المشورة القانونية. إنها أداة حوكمة تساعد المؤسسات على تحديد حيث قد تخلق أنظمة الذكاء الاصطناعي لديها فجوات امتثال لقانون حماية البيانات الشخصية، مرتبطةً بنموذج الحوكمة السباعي للذكاء الاصطناعي حتى يمكن إعطاء أولوية لجهود التصحيح ضمن برنامج حوكمة أوسع.
لكل بند أعلاه، دوّن الحالة الحالية (متوافق، متوافق جزئياً، غير متوافق، أو غير معروف)، وأنظمة الذكاء الاصطناعي المحددة المتأثرة، والمسؤول المكلف، وإجراء التصحيح والموعد النهائي. عامل "غير معروف" على أنه يعادل "غير متوافق" لأغراض التخطيط — إذا كانت المؤسسة لا تستطيع التحقق من الامتثال، فهي لا تستطيع إثباته للجهة التنظيمية.
إذا كان عدد الفجوات كبيراً، فكر في الاستعانة بتقييم منظم لحوكمة الذكاء الاصطناعي لإعطاء أولوية للتصحيح وبناء خارطة طريق شاملة للامتثال. تُصمم منهجية التقييم لنموذج الحوكمة السباعي للذكاء الاصطناعي لدمج امتثال قانون حماية البيانات الشخصية مع نضج الحوكمة الأوسع، بحيث تتناول المؤسسة المتطلبات التنظيمية ضمن إطار حوكمة مستدام بدلاً من إصلاحات مؤقتة قد لا تصمد أمام التدقيق.
هذا جزء من سلسلة أدلة الممارس. للأسس المفاهيمية، راجع سلسلة الركائز السبع.