Các quy tắc cho Ả Rập Saudi 2023 là gì?

Cơ quan Trí tuệ Nhân tạo và Dữ liệu Ả Rập Xê Út (SDAIA) đã công bố Quy định thực thi Luật bảo vệ dữ liệu cá nhân (PDPL) của Vương quốc này vào ngày 7 tháng 9 năm 2023, một tuần trước khi PDPL có hiệu lực vào ngày 14 tháng 9 năm 2023. Các Quy định mới này làm rõ nhiều biện pháp mà các tổ chức sẽ cần thực hiện để tuân thủ PDPL trước khi kết thúc thời gian gia hạn

Quy định triển khai và Quy định chuyển dữ liệu cá nhân (cùng với Quy định) đều mở rộng các nguyên tắc và nghĩa vụ chung được nêu trong PDPL (được sửa đổi vào tháng 3 năm 2023) và đưa ra các yêu cầu tuân thủ mới đối với người kiểm soát dữ liệu. Trong bài viết này, chúng tôi cung cấp thông tin tổng quan về các yêu cầu chính mà Quy định đưa ra và một số điểm cần cân nhắc cụ thể đối với tất cả các tổ chức hoạt động kinh doanh tại Vương quốc Ả Rập Saudi (KSA)

Các yêu cầu chính được đưa ra bởi Quy định là gì?

Quy định đưa ra các điều kiện và yêu cầu bổ sung liên quan đến một số lĩnh vực tuân thủ bảo vệ dữ liệu, bao gồm

• Hệ thống đầy đủ để truyền dữ liệu. Quy định truyền dữ liệu cá nhân cho phép truyền dữ liệu cá nhân bên ngoài Vương quốc đến các quốc gia đã được SDAIA đánh giá là cung cấp mức độ bảo vệ dữ liệu phù hợp. Quy định đưa ra các tiêu chí đánh giá và quy trình xác định, đánh giá lại mức độ đầy đủ nhưng chưa ban hành danh sách các quốc gia phù hợp. Các miễn trừ đối với việc truyền dữ liệu đến các quốc gia không đủ điều kiện bao gồm các biện pháp quen thuộc trong các chế độ bảo vệ dữ liệu khác, chẳng hạn như Quy tắc ràng buộc của công ty đối với việc truyền dữ liệu trong nội bộ nhóm hoặc Quy tắc ứng xử ràng buộc được SDAIA phê duyệt, các điều khoản hợp đồng tiêu chuẩn (do SDAIA ban hành) và . Trong trường hợp không có quyết định phù hợp và cơ quan kiểm soát không thể sử dụng bất kỳ biện pháp nào đã nêu khác, có một số miễn trừ nhất định có thể cho phép chuyển nhượng trong một số trường hợp hạn chế, bao gồm cả trường hợp việc chuyển nhượng là cần thiết để ký kết hoặc thực hiện một thỏa thuận mà bên . Tuy nhiên, khi dựa vào các biện pháp bảo vệ hoặc miễn trừ hoặc khi việc truyền dữ liệu liên quan đến dữ liệu nhạy cảm đang diễn ra hoặc trên quy mô lớn, các đơn vị kiểm soát phải tiến hành đánh giá rủi ro để xác định xem việc truyền dữ liệu có thể dẫn đến rủi ro cao cho chủ thể dữ liệu hay không.  
• Cơ sở bổ sung cho việc truyền dữ liệu quốc tế. Quy định chuyển dữ liệu cá nhân đưa ra các cơ sở bổ sung để truyền dữ liệu cá nhân ra ngoài KSA, bao gồm cung cấp dịch vụ hoặc lợi ích cho chủ thể dữ liệu và thực hiện các quy trình vận hành để cho phép bên kiểm soát thực hiện các hoạt động của mình (bao gồm cả hoạt động của chính quyền trung tâm)
• Bằng lòng. Khi một tổ chức dựa vào sự đồng ý của một cá nhân để xử lý dữ liệu cá nhân của họ, thì sự đồng ý đó phải được đưa ra một cách tự do, mục đích xử lý phải rõ ràng và cụ thể và phải có sự đồng ý độc lập cho từng mục đích xử lý. Sự đồng ý cũng phải được lập thành văn bản và phải được đưa ra bởi người có đầy đủ năng lực pháp lý. Có những trường hợp cần có sự đồng ý “rõ ràng”, bao gồm cả trường hợp quá trình xử lý liên quan đến dữ liệu nhạy cảm, dữ liệu tín dụng và các quyết định hoàn toàn dựa trên quá trình xử lý tự động
• Cơ sở lợi ích chính đáng cho việc xử lý dữ liệu. Quy định yêu cầu bên kiểm soát phải đáp ứng các điều kiện cụ thể khi lấy lợi ích hợp pháp của mình làm cơ sở pháp lý để xử lý, bao gồm việc cân bằng quyền và lợi ích của chủ thể dữ liệu với lợi ích hợp pháp của bên kiểm soát. Đơn vị kiểm soát cũng phải tiến hành đánh giá lợi ích hợp pháp khi dựa vào cơ sở này để xử lý dữ liệu cá nhân
• Bộ xử lý dữ liệu. Bên kiểm soát phải ký kết thỏa thuận với bộ xử lý bên thứ ba có chứa thông tin cụ thể, bao gồm cam kết của bộ xử lý về việc thông báo ngay cho bộ kiểm soát về vi phạm dữ liệu cá nhân và không chậm trễ quá mức cũng như xác nhận của bất kỳ nhà thầu phụ nào do bộ xử lý dữ liệu hoặc bất kỳ bên nào khác mà bên xử lý dữ liệu thuê. . Đơn vị xử lý phải đáp ứng các điều kiện cụ thể khi ký hợp đồng với đơn vị xử lý phụ, bao gồm cả việc phải được đơn vị kiểm soát phê duyệt trước. Bộ điều khiển chịu trách nhiệm xác minh sự tuân thủ của bộ xử lý với PDPL và Quy định
• Quyền của chủ thể dữ liệu. Quy định đặt ra các chi tiết và yêu cầu mới liên quan đến quyền của chủ thể dữ liệu và yêu cầu bên kiểm soát phải phản hồi các yêu cầu của chủ thể dữ liệu trong vòng 30 ngày. Thời gian này có thể được kéo dài thêm 30 ngày khi việc đáp ứng yêu cầu đòi hỏi nỗ lực bổ sung bất ngờ hoặc bất thường hoặc khi bên kiểm soát nhận được nhiều yêu cầu từ chủ thể dữ liệu. Các tổ chức đa quốc gia cần lưu ý rằng đây là khoảng thời gian ngắn hơn so với GDPR, cho phép tối đa ba tháng theo lịch đối với các yêu cầu phức tạp hoặc nhiều yêu cầu
• Thông báo vi phạm dữ liệu. Quy định xác nhận rằng bên kiểm soát phải thông báo vi phạm dữ liệu cá nhân cho SDAIA trong vòng 72 giờ kể từ khi biết về vi phạm và phải thông báo cho chủ thể dữ liệu ngay lập tức. Ngưỡng báo cáo vi phạm cho SDAIA và chủ thể dữ liệu có vẻ tương tự nhau. một hành vi vi phạm phải được báo cáo cho SDAIA và chủ thể dữ liệu vì hành vi đó có thể gây tổn hại cho dữ liệu cá nhân (hoặc chủ thể dữ liệu, trong trường hợp thông báo cho SDAIA) hoặc xung đột với quyền hoặc lợi ích của họ
• Đánh giá tác động bảo vệ dữ liệu (DPIA). Quy định nêu rõ các trường hợp khác khi cần có Sở KHĐT. Sở KHĐT phải hoàn thành khi quá trình xử lý liên quan đến dữ liệu nhạy cảm; . Quy định cũng nêu rõ những thông tin tối thiểu phải được đưa vào PPIA
• Quảng cáo và tiếp thị trực tiếp. Cần có sự đồng ý để xử lý dữ liệu cá nhân cho mục đích quảng cáo và tiếp thị trực tiếp. Đơn vị kiểm soát cũng phải cung cấp cơ chế dễ dàng và đơn giản hóa để cho phép chủ thể dữ liệu ngừng nhận tài liệu quảng cáo và tiếp thị bất cứ lúc nào
• Cán bộ bảo vệ dữ liệu (DPO). Quy định nêu rõ khi nào người kiểm soát phải chỉ định một hoặc nhiều người chịu trách nhiệm bảo vệ dữ liệu cá nhân (i. e. một DPO). Các trường hợp bao gồm khi bên kiểm soát là một thực thể công cung cấp các dịch vụ bao gồm xử lý dữ liệu quy mô lớn; . DPO có thể là cán bộ, nhân viên của kiểm soát viên hoặc nhà thầu bên ngoài. Do đó, các tổ chức có thể chỉ định nội bộ hoặc thuê một công ty bên thứ ba cung cấp dịch vụ DPO. Tuy nhiên, Quy định không nêu rõ liệu DPO có nên đặt trụ sở tại Vương quốc Anh hay không. Dự kiến ​​sẽ có thêm các quy định về việc bổ nhiệm DPO
• Sổ đăng ký kiểm soát viên quốc gia. Quy định đưa ra lại yêu cầu đăng ký đơn vị kiểm soát với SDAIA (trước đây đã bị xóa khỏi PDPL sửa đổi). SDAIA sẽ ban hành các quy tắc đăng ký trong Sổ đăng ký quốc gia và sẽ chỉ định cơ quan kiểm soát nào sẽ phải đăng ký
• Hồ sơ hoạt động xử lý (ROPA). Không giống như các chế độ bảo vệ dữ liệu khác, Quy định chỉ định rằng bên kiểm soát phải duy trì ROPA trong thời gian tham gia vào các hoạt động xử lý có liên quan và thêm 5 năm nữa sau khi kết thúc hoạt động xử lý. Quy định cũng đưa ra thông tin cần có trong ROPA, chẳng hạn như mô tả các biện pháp tổ chức, hành chính và kỹ thuật mà cơ quan kiểm soát thực hiện

Các biện pháp kiểm soát và yêu cầu bổ sung cũng đã được đưa ra để xử lý dữ liệu cho mục đích khoa học và nghiên cứu cũng như để xử lý dữ liệu y tế và dữ liệu tín dụng, bao gồm việc áp dụng các yêu cầu và biện pháp kiểm soát do các cơ quan quản lý có liên quan (như Bộ Y tế và Chính phủ ban hành).

Các công ty nên làm gì tiếp theo?

PDPL bao gồm thời gian ân hạn 12 tháng để các tổ chức tuân thủ sau ngày có hiệu lực, do đó, việc thực thi đầy đủ PDPL sẽ bắt đầu từ ngày 14 tháng 9 năm 2024. Với các Quy định hiện có để bổ sung cho khuôn khổ do Luật thiết lập, sẽ có một lộ trình tuân thủ rõ ràng hơn cho tất cả các tổ chức muốn kinh doanh trong hoặc với KSA. Cần thực hiện các bước sớm để

• Đánh giá các hoạt động xử lý dữ liệu liên quan đến KSA nhằm tìm hiểu tác động của PDPL và Quy định cũng như mọi thay đổi hoạt động cần thiết để phù hợp với chúng
• Có được sự tham gia của quản lý cấp cao để thực hiện các thay đổi có thể cần thiết để áp dụng các khuôn khổ bảo vệ dữ liệu mới hoặc cập nhật. Đây có thể là một công việc phức tạp và điều quan trọng là ban quản lý cấp cao phải hiểu được những rủi ro có thể phát sinh do không tuân thủ PDPL, bao gồm các biện pháp trừng phạt tài chính (chẳng hạn như các khoản phạt tiềm năng và yêu cầu bồi thường), hình phạt hình sự và thiệt hại về danh tiếng.
• Các chính sách, quy trình và hợp đồng sẽ cần được phát triển hoặc xem xét để đánh giá xem liệu có cần cập nhật để tính đến các quyền và nghĩa vụ mới hay không, đặc biệt là thời hạn theo luật định để phản hồi các yêu cầu của chủ thể dữ liệu
• Kiểm soát viên sẽ cần đánh giá xem họ có cần chỉ định DPO hay không và nếu có, hãy đảm bảo rằng họ làm như vậy trước khi kết thúc thời gian gia hạn
• Các công ty nên ghi lại dữ liệu cá nhân mà họ nắm giữ để triển khai và duy trì ROPA cũng như tuân thủ các yêu cầu quản trị khác theo PDPL
• Các chính sách và quy trình vi phạm bảo mật cần được đưa ra hoặc cập nhật để đảm bảo tuân thủ thời hạn thông báo vi phạm được nêu rõ
• Kiểm soát viên sẽ phải đào tạo nhân viên về các điều khoản và nguyên tắc của PDPL cũng như Quy định. Các tổ chức sẽ cần thời gian để đưa biện pháp bảo vệ dữ liệu vào văn hóa kinh doanh và quy trình hoạt động

Chúng tôi đã làm việc với nhiều tổ chức để giúp họ hiểu và thực hiện các biện pháp cần thiết nhằm tuân thủ luật bảo vệ dữ liệu trên toàn thế giới. Đội ngũ chuyên gia về an ninh mạng và quyền riêng tư dữ liệu của chúng tôi ở Trung Đông đã giám sát chặt chẽ sự phát triển của PDPL (và các luật pháp khu vực khác) để giúp khách hàng của chúng tôi vượt qua thách thức tuân thủ

Nếu bạn muốn biết thêm thông tin về cách tạo khung bảo mật hiệu quả hoặc lời khuyên về PDPL và Quy định, vui lòng liên hệ với chúng tôi

Các quy định mới ở Ả Rập Saudi 2023 là gì?

Đi du lịch đến Ả Rập Saudi vào năm 2023 có an toàn không?

Những gì không được phép ở Ả Rập Saudi?

Một số quy tắc ở Ả Rập Saudi là gì?