- ·Most Gulf data-protection laws (Saudi Arabia, the UAE, Bahrain, Qatar, Oman) reach companies even outside the country and treat moving personal data abroad as restricted by default.معظم أنظمة حماية البيانات في الخليج (السعودية والإمارات والبحرين وقطر وعُمان) تطبَّق حتى على الشركات خارج البلد، وتعدّ نقل البيانات الشخصية إلى الخارج مقيَّداً بشكل افتراضي.
- ·For banks, health, and government the bar is higher. Saudi Arabia's central bank expects customer data to be processed and stored in the Kingdom unless it grants an exception, and the national cloud controls tie deployment to data classification.وفي البنوك والصحة والجهات الحكومية يرتفع السقف. فالبنك المركزي السعودي يتوقع أن تُعالَج بيانات العملاء وتُخزَّن داخل المملكة ما لم يمنح استثناءً، وضوابط الحوسبة السحابية الوطنية تربط مكان التشغيل بتصنيف البيانات.
- ·Calling a public cloud AI API sends your data abroad, which can be a cross-border transfer you must justify. Running the model in-country, on infrastructure you control, takes the transfer off the table.واستدعاء واجهة ذكاء اصطناعي سحابية عامة يرسل بياناتكم إلى الخارج، وقد يكون ذلك نقلاً عابراً للحدود عليكم تبريره. أما تشغيل النموذج داخل البلد على بنية تتحكمون بها فيُلغي مسألة النقل من أساسها.
You want to put AI to work on the data that matters most: customer records, financial files, patient histories, case documents. In the Gulf, the harder question is no longer whether the model can read it, but whether the model is allowed to touch it here. More and more, the law decides where that data may live and be processed, and a single call to a public AI API abroad can put you on the wrong side of it.تريدون تشغيل الذكاء الاصطناعي على أهم بياناتكم: سجلات العملاء والملفات المالية والسجلات الطبية وملفات القضايا. وفي الخليج لم يعد السؤال الأصعب هل يستطيع النموذج قراءتها، بل هل يُسمح للنموذج بأن يلمسها هنا. فالقانون يقرر أكثر فأكثر أين يجوز لتلك البيانات أن تُقيم وتُعالَج، واستدعاء واحد لواجهة ذكاء اصطناعي عامة في الخارج قد يضعكم في الجانب الخطأ.
One rule sits under every Gulf data lawقاعدة واحدة تحت كل نظام بيانات خليجي
The Gulf states have each passed a personal-data law: Saudi Arabia's PDPL, enforced by the data and AI authority and fully in force since September 2024; the United Arab Emirates' federal data-protection decree, applied since 2022; Bahrain's law from 2018; Qatar's from 2016, the region's first; and Oman's, which reaches full force in February 2026. Kuwait has no comprehensive law yet, though one is expected. Two ideas repeat in all of them. They apply even to a company outside the country if it processes residents' data, and moving personal data out of the country is restricted unless you clear specific gates: consent, a finding that the destination protects data adequately, approved contractual safeguards, or a documented risk assessment.أصدرت دول الخليج جميعها نظاماً للبيانات الشخصية: نظام حماية البيانات الشخصية في السعودية، الذي تشرف عليه الهيئة السعودية للبيانات والذكاء الاصطناعي وصار نافذاً بالكامل منذ سبتمبر ٢٠٢٤؛ والمرسوم الاتحادي لحماية البيانات في الإمارات، المطبَّق منذ ٢٠٢٢؛ وقانون البحرين من ٢٠١٨؛ وقانون قطر من ٢٠١٦، وهو الأول في المنطقة؛ وقانون عُمان الذي يصير نافذاً بالكامل في فبراير ٢٠٢٦. أما الكويت فلا قانون شاملاً لديها بعد، وإن كان متوقعاً. وتتكرر فكرتان في هذه الأنظمة كلها. فهي تنطبق حتى على شركة خارج البلد إن عالجت بيانات المقيمين فيه، ونقل البيانات الشخصية إلى خارج البلد مقيَّد ما لم تجتازوا بوابات محددة: الموافقة، أو إثبات أن الجهة المستقبِلة تحمي البيانات بقدر كافٍ، أو ضمانات تعاقدية معتمدة، أو تقييم مخاطر موثّق.
If the idea of residency itself is new, start with the plain-language primer in data residency in MENA, then come back here for the country detail.وإن كانت فكرة التوطين نفسها جديدة عليكم، فابدؤوا بالشرح المبسّط في توطين البيانات في الشرق الأوسط وشمال أفريقيا، ثم عودوا إلى هنا للتفاصيل بحسب كل بلد.
Banks, hospitals, and government raise the barالبنوك والمستشفيات والحكومة ترفع السقف
Sector rules sit on top of the general law and are stricter. In Saudi Arabia, the central bank (SAMA) expects bank customer data and key economic information to be processed and stored inside the Kingdom unless it grants an exception, and moving that data out needs its permission. The national cybersecurity authority's Cloud Cybersecurity Controls add localization expectations and require you to follow the National Data Management Office's data classification, which sorts data into four levels. So for a regulated institution, keeping data in the country is closer to the default than a preference.تأتي قواعد القطاعات فوق القانون العام وهي أكثر صرامة. ففي السعودية يتوقع البنك المركزي (ساما) أن تُعالَج بيانات عملاء البنوك والمعلومات الاقتصادية المهمة وتُخزَّن داخل المملكة ما لم يمنح استثناءً، ونقل تلك البيانات إلى الخارج يحتاج إذنه. كما تضيف ضوابط الأمن السيبراني للحوسبة السحابية من الهيئة الوطنية للأمن السيبراني متطلبات توطين، وتُلزمكم باتباع تصنيف البيانات الصادر عن مكتب إدارة البيانات الوطنية، الذي يرتب البيانات في أربعة مستويات. لذا فإن إبقاء البيانات داخل البلد، بالنسبة لمؤسسة خاضعة للتنظيم، أقرب إلى الأصل منه إلى الخيار.
Why a cloud AI API is a transfer you have to defendلماذا تُعدّ واجهة الذكاء الاصطناعي السحابية نقلاً عليكم الدفاع عنه
When you call a public AI API, your prompt and the data inside it travel to servers in another country and are processed there. Under these laws that is a cross-border transfer. Now you owe the paperwork: a lawful basis, perhaps an adequacy finding or standard contractual clauses, and for sensitive or large-scale data a documented risk assessment. Saudi Arabia's regulator published exactly such a transfer risk-assessment guideline in early 2025. For the most regulated data, the sector rules may not allow the transfer at all, exception or no exception.حين تستدعون واجهة ذكاء اصطناعي عامة، ينتقل أمركم والبيانات التي بداخله إلى خوادم في بلد آخر وتُعالَج هناك. وهذا في نظر هذه القوانين نقل عابر للحدود. وعندها يلزمكم التوثيق: أساس نظامي، وربما إثبات كفاية الحماية أو شروط تعاقدية معيارية، وللبيانات الحساسة أو واسعة النطاق تقييم مخاطر موثّق. وقد نشرت الجهة المنظِّمة في السعودية دليلاً لتقييم مخاطر النقل من هذا النوع في مطلع ٢٠٢٥. أما أشد البيانات تنظيماً فقد لا تسمح قواعد القطاع بنقلها أصلاً، باستثناء أو بغير استثناء.
How to keep AI on the right side of the lineكيف تُبقون الذكاء الاصطناعي في الجانب الصحيح
- 1 Classify the data firstصنّفوا البيانات أولاً
Map every dataset to your regulator's classes. In Saudi Arabia the national data office uses four levels; other Gulf states use similar tiers. The class, not the use case, decides what is allowed.اربطوا كل مجموعة بيانات بفئات جهتكم المنظِّمة. ففي السعودية يستخدم مكتب البيانات الوطني أربعة مستويات، وتستخدم بقية دول الخليج درجات مشابهة. والفئة، لا حالة الاستخدام، هي التي تقرر ما يُسمح به. - 2 Set a rule for each classضعوا قاعدة لكل فئة
The higher the classification, the more it must stay in-country. Public and low-sensitivity data has room to move. Confidential, financial, health, and personal data usually does not leave the border.كلما ارتفعت الفئة وجب أن تبقى داخل البلد أكثر. فالبيانات العامة والقليلة الحساسية لديها مجال للحركة. أما البيانات السرية والمالية والصحية والشخصية فلا تغادر الحدود عادة. - 3 Run the model where the data livesشغّلوا النموذج حيث تُقيم البيانات
For regulated classes, process the data with a model that runs in-country on infrastructure you control. If nothing leaves the border, there is no cross-border transfer to assess. The trade-offs are weighed in on-prem versus cloud AI.بالنسبة للفئات الخاضعة للتنظيم، عالِجوا البيانات بنموذج يعمل داخل البلد على بنية تتحكمون بها. وما دام لا شيء يغادر الحدود، فلا يوجد نقل عابر للحدود يستوجب التقييم. وتُوازَن المفاضلات في الذكاء الاصطناعي المحلي مقابل السحابي. - 4 Keep an audit trailاحتفظوا بسجل تدقيق
Auditors ask a simple question: where did this record go, and who touched it. Log every access and action so you can answer it. A practical pattern is in the AI audit trail.يسأل المدققون سؤالاً بسيطاً: إلى أين ذهب هذا السجل، ومن لمسه. فسجّلوا كل وصول وكل إجراء لتستطيعوا الإجابة. وهناك نمط عملي في سجل تدقيق الذكاء الاصطناعي. - 5 Write the decision downوثّقوا القرار
For each workflow, record the lawful basis, the data class, and where processing happens. That file is your defense if a regulator ever asks, and it turns a vague worry into a documented control.لكل مسار عمل، دوّنوا الأساس النظامي وفئة البيانات ومكان المعالجة. فهذا الملف هو دفاعكم إن سألت جهة منظِّمة يوماً، وهو يحوّل قلقاً غامضاً إلى ضابط موثّق.
The Gulf, country by countryالخليج، بلداً بلداً
Saudi Arabia: the personal-data law is in force and actively enforced, with finance and national cloud controls layered on top. The United Arab Emirates: a federal law has applied since 2022, while the financial free zones run their own separate regimes. Bahrain: a law since 2018 that limits transfers abroad. Qatar: the region's first, from 2016. Oman: a law that reaches full force in February 2026. Kuwait: no comprehensive law yet, though one is expected and a regulation already covers telecom data. The direction across all six is the same. More data is being pulled back in-country, and the obligation sits with the organization that holds it.السعودية: نظام البيانات الشخصية نافذ ويُطبَّق فعلياً، وفوقه ضوابط القطاع المالي والحوسبة السحابية الوطنية. الإمارات: قانون اتحادي مطبَّق منذ ٢٠٢٢، بينما تدير المناطق المالية الحرة أنظمتها المنفصلة. البحرين: قانون منذ ٢٠١٨ يقيّد النقل إلى الخارج. قطر: الأول في المنطقة، من ٢٠١٦. عُمان: قانون يصير نافذاً بالكامل في فبراير ٢٠٢٦. الكويت: لا قانون شامل بعد، وإن كان متوقعاً، وثمة تنظيم يغطي بيانات الاتصالات. والاتجاه في الدول الست واحد. فمزيد من البيانات يُسحَب إلى داخل البلد، والمسؤولية على المؤسسة التي تحتفظ بها.
Across the Gulf the rules are converging on one instinct: keep regulated data, and the AI that reads it, inside the country. The cleanest way to satisfy that is to stop moving the data and bring the model to it instead. Before production, run a measured pilot on your own documents so you can prove both accuracy and residency in the same step.في أنحاء الخليج تتقارب القواعد على غريزة واحدة: أبقوا البيانات الخاضعة للتنظيم، والذكاء الاصطناعي الذي يقرؤها، داخل البلد. وأنظف طريقة لتحقيق ذلك أن تتوقفوا عن نقل البيانات وتجلبوا النموذج إليها بدلاً من ذلك. وقبل الإنتاج، نفّذوا تجربة مُقاسة على مستنداتكم الخاصة لتثبتوا الدقة والتوطين في الخطوة نفسها.
