沙特阿拉伯个人数据保护法PDPL合规

 

什么是PDPL?

沙特阿拉伯新的《个人数据保护法》(PDPL)专注于加强王国内部的数据隐私和保护。PDPL旨在保护个人个人数据的隐私,并规范参与收集、处理、披露和保留个人数据的组织的做法。最初由沙特数据和人工智能局(SDAIA)管理,该法律的监督可能会移至国家数据管理办公室。

PDPL与沙特2030年愿景保持一致,该愿景专注于推进数字基础架构和创新,以促进繁荣的数字经济。PDPL涉及数据保护的基本方面,包括数据处理原则、数据主体的权利、组织义务和不合规的处罚。

谁必须遵守PDPL?

PDPL的适用性基于司法管辖区和数据类型:

  • 物质范围:处理沙特阿拉伯个人的个人和敏感数据,不包括为非商业目的处理的个人数据
  • 领土范围:在沙特阿拉伯境内处理个人数据的公共和私人实体以及处理与沙特居民相关数据的外国组织

不遵守PDPL的后果

不遵守PDPL将受到严厉的处罚:

  • US$参与未经授权向王国境外传输数据的个人可能面临最高一年的监禁和/或100万沙特里亚尔(26.7万美元)的罚款。
  • 披露敏感数据会受到更严厉的处罚,导致最高两年的监禁和/或300万沙特里亚尔的罚款。
  • SDAIA有权征收高达500万沙特里亚尔的罚款。

PDPL合规要求

根据PDPL,控制当局或数据控制者有义务在处理前确保个人数据的准确性、完整性和相关性。

1.同意要求

组织在处理个人数据之前必须获得所有者的明确同意,但SDAIA实施条例中详述的情况除外。个人必须愿意为数据处理的每个不同目的提供同意。随时撤回此同意的能力是一项基本权利,访问服务不应需要提供同意,除非这些同意与所涉及的处理直接相关。

同意要求的例外情况包括处理产生明显利益且与数据主体联系不切实际的情况;法律要求或先前的协议;公共实体安全或司法目的;符合法律的科学、研究或统计数据收集;以及合法利益所需的处理。这些例外情况不适用于敏感的个人数据。

2.隐私政策的创建

组织必须遵守PDPL,通过在收集数据之前,数据主体可以访问的简洁隐私政策。该政策应详细说明数据的目的、内容类型、收集、存储、处理和销毁,以及所有者的权利以及如何行使这些权利。

在直接收集数据时,组织必须根据基于组织活动的法规,告知主体法律理由、收集目的(强制性或可选)、收集者身份(除非出于安全起见)、将向其披露数据的实体、数据收集不完整的潜在后果、数据主体权利和其他相关要素。

3.基本安全标准

PDPL强调了安全的重要性,迫使组织实施必要的组织、行政和技术措施来维护个人数据的完整性,特别是在传输过程中。在这方面,遵守SDAIA的《实施条例》和《个人数据传输条例》中概述的规定和控制至关重要。

4.数据泄露披露指南

如果发生数据泄露,PDPL要求组织在检测到后72小时内通知监管机构。如果泄露对数据主体的个人数据构成重大风险,必须立即通知。此外,数据控制者负责提供相关数据保护官的联系信息,以查询泄露的数据。

5.任命数据保护官的义务

任命个人来监督数据保护措施的实施是组织的强制性要求。《实施条例》为这些任命的标准提供了指导,并概述了分配给数据保护官的具体责任。

6.数据保护的影响评估

组织必须评估与处理个人数据相关的潜在风险,特别是向公众提供的产品或服务。《执行条例》通过规定执行数据保护影响评估的最低信息先决条件,进一步详细说明了这一义务。

7.处理活动记录

实体必须记录其数据处理活动,并在处理期后将这些记录保留五年。这些记录必须包括:

  • 组织的详细联系方式。
  • 处理个人数据的目标。
  • 数据主体的类型。
  • 个人数据披露的接收者。
  • 国际数据传输或披露。
  • 预期个人数据保留期限。

8.第三方供应商评估

组织必须仔细选择能够为遵守PDPL法规提供充分保证的数据处理器。组织还必须始终如一地验证选定的实体是否遵守其关于个人数据保护的指示。

9.跨境数据传输条件

根据PDPL,只要目的地国保持足够的数据保护措施,个人数据就可以转移到沙特阿拉伯以外。SDAIA根据《个人数据传输条例》对国家、组织和部门进行评估,强调保护法、监管机构的存在和数据主体投诉的可访问渠道等标准。

10.在国家控制者登记册中注册

SDAIA正准备发布国家控制者登记册的注册流程指令,概述必须遵守《执行条例》规定的这一要求的控制者。早些时候,跨境数据传输仅限于特殊情况,如紧急保护数据主体的切身利益,每次传输都需要在逐案审查后获得个人SDAIA的批准。

PDPL下的数据主体权利

PDPL授予数据主体关键权利,如下所述。数据控制者必须告知用户这些权利,为用户建立行使权利的渠道,并在30天内回复请求,这比GDPR要求的时间框架更短。

  • 了解权:这包括了解处理数据的法律或功能依据。
  • 访问个人数据的权利:这包括允许数据主体访问个人数据并接收其免费副本。
  • 要求更正个人数据的权利:如果发现个人数据不准确或不完整,个人有权要求更改个人数据。
  • 要求销毁个人数据的权利:个人可以寻求删除其个人数据。

PDPL路线图

组织必须勤奋地遵循这些准则,以确保遵守沙特阿拉伯的PDPL:

  • 了解PDPL要求:熟悉PDPL的范围和义务,PDPL适用于所有处理沙特居民个人数据的实体。
  • 获得同意并提供隐私政策:确保对数据处理的明确同意,并告知个人如何使用其数据。
  • 报表数据泄露:如果发生数据泄露或未经授权的访问,请通知当局和受影响的个人。
  • 遵守数据处理原则:遵循数据准确性、安全性和个人同意的原则,特别是对于敏感数据。
  • 尊重数据主体的权利:确保个人访问、更正、删除和传输其数据的权利。
  • 维护处理记录:保存数据处理活动的详细记录,包括目的和保留期。
  • 进行隐私风险评估:评估您所有服务和产品的个人数据处理相关风险。
  • 实施数据保护保障措施:保护个人数据免受未经授权的访问,并遵守数据泄露通知要求。
  • 监管数据传输:确保数据传输符合PDPL标准,包括获得同意并尽量减少数据传输量。
  • 随时了解情况并使用技术辅助工具:及时了解PDPL的变化,并利用技术来保护数据并确保持续合规。

遵守PDPL的最佳做法:清单

  • 问责制:确保实体负责人或其指定人员作为数据控制者承担维护隐私政策和程序的责任。
  • 透明度:创建清晰、全面的隐私声明,因为它对于提供有关收集个人数据目的的信息至关重要。
  • 选择和同意:在收集、使用或披露个人数据之前,先获得明确同意作为先决条件。
  • 数据最小化:努力将数据收集限制在实现预期目的所需的最低限度。
  • 有目的的使用、保留和销毁:严格出于预期目的使用、保留和销毁个人数据,并始终遵守相关法律法规。
  • 访问数据:授权数据主体查看、更新和更正其个人信息。
  • 数据披露限制:将披露严格限制在隐私声明中概述并由数据主体授权的目的。
  • 数据安全:根据国家网络安全当局指令实施强有力的安全措施,以保护个人数据免受潜在漏洞的侵害,包括泄露、损坏、丢失、盗窃、误用或未经授权的访问等风险。
  • 数据质量:定期验证数据,以保持准确性和及时性。
  • 监控和合规:持续监督和遵守隐私政策,并解决相关问题和争议。

感谢您与我们联系。

我们很快就会回复你。

嗨,

了解如何使用合规管理工具实现流程自动化!
填写下方邮箱,工程师为您个性化演示
  .

点击“安排演示”,即表示您同意根据隐私政策处理个人数据。

PDPL:需要考虑的关键规则

PDPL要求 要求说明
第19条-信息安全 控制者应应用组织、行政和技术手段和措施,以确保个人数据主体在处理、使用和传输个人数据的所有阶段的隐私。
第23条-处理健康数据的控制和程序 控制者负责实施一系列组织、技术和行政战略和保障措施,以确保健康数据的保护。这些措施旨在防止未经授权的使用、误用或超出原始收集目的的使用,并防止数据泄露或破坏——所有这些都在维护健康数据的机密性的同时。
第24条-处理信用数据的控制和程序 控制者必须采取适当的组织、技术和行政策略,以保护信用数据免受任何未经授权的使用、滥用、未经授权的访问、意外使用、违规和破坏

使用EventLog Analyzer实现PDPL合规性

EventLog Analyzer是一个IT合规和日志管理解决方案,通过其实时监控和事件报表功能帮助企业遵守PDPL要求。该解决方案检测可疑活动,并深入了解安全事件。这使组织能够积极主动地应对与PDPL相关的安全威胁。

自动告警系统在检测到违反PDPL的行为时通过短信和电子邮件发送实时告警,确保对潜在的合规问题做出快速响应。这种主动告警机制不仅有助于合规,还加强了组织的整体安全态势。您可以安排演示,了解EventLog Analyzer如何简化合规性。

以前的LGPD
使用EventLog Analyzer简化IT合规性报表
请求演示
资源
相关
Back to Top