沙特阿拉伯王国的隐私和数据保护

隐私 & 沙特阿拉伯王国的数据保护
预计阅读时间: 6分钟

2021年9月, 沙特阿拉伯王国(KSA)发布了《日博体育在线》(PDPL),以规范个人数据的处理. PDPL是沙特阿拉伯首部独立的数据保护法,在数据所有者权利和数据控制者责任方面与欧盟的《日博体育在线》(GDPR)有许多相似之处. 

头两年, 负责实施该法律的机构将是沙特数据 & 人工智能管理局(“SDAIA”),但这一职能将委托给国家数据管理局(“NDMO”), 属于SDAIA, 立法实施后两年. 

PDPL将在最初宣布180天后生效,这意味着该法律将于3月23日生效, 2022年——但被推迟到3月17日, 2023年,根据当局在征求公众意见期间收到的反馈. 

个人资料保护法(PDPL)一瞥 

就范围而言, PDPL适用于企业或公共实体在沙特以任何方式对个人数据进行的任何处理, 包括沙特阿拉伯境外实体对沙特阿拉伯居民个人数据的处理. PDPL授予数据所有者许多熟悉的权利,包括:

  • 知情权 
  • 有权访问收集到的关于他们的数据 
  • 有权要求更正、填写和/或更新其个人资料 
  • 要求删除其数据的权利 

根据《日博》处理个人资料的主要依据是取得资料拥有人的同意. 资料拥有人可随时撤回对处理个人资料的同意. 在撰写本报告时,各方理解同意必须是一种明确的选择. 如果处理会取得明显的好处,则不需要征得同意, 如联络有关资料当事人是不可能或不切实际的, 如果法律或事先与数据主体达成协议要求这样做, 或者如果控制者是一个公共实体,出于安全或司法目的需要处理. 到目前为止还没有什么令人惊讶的, 但在数据传输和执行方面,立法采取了不同的方向. 

PDPL禁止数据控制者将个人数据转移到沙特阿拉伯以外的实体,除非被要求遵守沙特阿拉伯作为一方的协议, 服务于KSA的利益, 或者为条例规定的其他目的. Feedback on this point is the main reason for the delay in the legislation going live; it almost certainly means there will be additional exceptions but what they are and how to get one is yet to be confirmed.

数据控制器也需要注册, 并支付费用, SDAIA(高达SAR100,000 / $27,000 / £25,000 / €35,000). 除了, 数据控制者将被要求将处理活动的记录上传到一个新的在线门户,该门户必须包括处理的目的, 个人资料曾向或将向其披露的实体, 个人资料是否已或将会转移到KSA以外的地方, 以及预期的保留期. 

根据新法律,违规行为将受到严厉惩罚:

  • 非法使用敏感数据可导致最高两年的监禁和/或最高3兰特的罚款,000,000 / $800,000 / £660000 / €760,000.
  • 不遵守与转移个人资料有关的要求,可被判处最高一年的监禁和/或最高1兰特的罚款,000,000(约270美元),000). 
  • 上述两项都构成刑事犯罪,将由沙特阿拉伯检察官进行调查.
  • 除上述规定外,不遵守法规的要求可导致最高5兰特的罚款,000,000 / $1,350,000 / £1,185,000 / €1,285,000.
  • 重复犯罪可导致最高两倍于上述最高规定的处罚,包括监禁时间和罚款金额. 

但目前还不确定谁将在违规情况下被监禁, 如果我在2023年成为一家国际组织在沙特做生意的DPO,我会非常担心.

来自PDPL的其他亮点

PDPL提出了一些可能对公司在沙特阿拉伯的运营方式产生重大影响的要求,包括:

  • 数据控制者必须创建和维护他们如何处理个人数据的记录,这些数据必须在SDAIA注册.
  • Any foreign company operating in the Kingdom and processing personal data of Saudi residents must appoint a local representative; additional guidance on this point is in the works. 
  • 组织还将任命数据官来管理法律合规性.
  • 数据控制者必须评估项目, 产品, 以及识别个人数据保护风险的服务(基本上是影响评估).
  • 数据控制者必须实施隐私通知,规定在从个人收集个人数据之前如何处理数据. 
  • 数据控制者将被要求在发现数据泄露事件后立即向监管机构报告.
  • 比如遗传信息, 健康, 信贷, 财务数据被视为敏感数据, 会在法律范围内吗, 并可能受到额外的监管.

这对你/r的业务意味着什么?

在KSA运营的组织应该开始努力了解收集的数据, 如何使用, 如果是国际转移, 以及数据转移到哪里,您的组织应该已经完成或至少已经开始工作,以遵守欧盟和其他地区现有的隐私立法. 除此之外, 密切关注即将发布的额外指引, 收藏这篇文章,因为我们会在这里添加更新. 如果你不确定从哪里开始创建你的隐私策略, 我们来这里聊天.

你在你的组织中有关于隐私的营销问题吗?

当你需要我们的时候,我们的团队会在这里帮助你.
脸谱网
推特
LinkedIn
电子邮件
最后更新:2022年11月29日

你会喜欢的其他文章

CPRA退出协议:不出售或分享我的个人信息

CPRA退出协议:不出售或分享我的个人信息

当日历转到2023年, 这不仅是新的一年,而且还迎来了一个隐私的新时代。

6分钟阅读
拼接隐私:美国.S. 州立法综述

拼接隐私:美国.S. 州立法综述

到2023年,美国的隐私保护将有一个巨大的飞跃,五个州将有新的隐私法生效. 这个…

16分钟阅读
英国数据改革法案的最新进展

英国数据改革法案的最新进展

6月17日, 2022年,英国政府数字部门发布了一份新闻稿, 文化, 媒体 & 体育(DCMS)和Rt…

交汇处读
欧盟与美国资料共享协议的最新消息

欧盟与美国资料共享协议的最新消息

10月7日, 白宫宣布了一项“关于加强美国信号情报活动保障的行政命令”.“拜登总统做了这件事……

八分钟的阅读
俄亥俄州个人隐私法案:营销人员和广告商需要知道什么

俄亥俄州个人隐私法案:营销人员和广告商需要知道什么

关于2023年将成为美国隐私法规的清算年,人们已经做了很多事情, 有五个州出台了新法规……

10分钟读
2023年隐私领域的3大事件

2023年隐私领域的3大事件

首先,2023年数据隐私日快乐! 我们希望你同意今年找点乐子! 我们庆祝数据隐私日…

八分钟的阅读

进行评估

谢谢你!! 我们会尽快通知你的结果.
{{领域.占位符}}
{{选项.名称}}

跟我们说话

跟我们说话

接收图书更新

填写此表格以接收有关的电子邮件通知 爬,走,跑:通过谷歌营销平台提高分析成熟度. 这包括预售日期、正式发布日期等等.

搜索日博

给我们留下评论

请留下评论,让我们知道我们是怎么做的. 请只谈实际客户.