数字化转型网企业出海将关注品牌出海,全球化战略,合规与风控,供应链管理,数据保护与隐私安全,知识产权,税务,海外团队建设,海外运营,人力资源管理,组织管理等企业出海、全球化相关全产业链相关环节。点击图片或扫描图片二维码,加入数字化转型网企业出海研习社:
1.适用范围
不论是PDPIR还是PDPL,均具有域内效力与域外效力。根据PDPL第2条,PDPL适用于沙特境内的所有个人数据处理活动以及在境外处理沙特居民个人数据的活动,不适用个人或家庭目的在家庭或有限的社交圈内处理个人数据的活动。数字化转型网www.szhzxw.cn
2.个人数据/敏感个人数据的定义
根据PDPL第1条,“个人数据”是指任何可用于特定识别个人、或者可直接或间接使识别个人成为可能的数据,无论其来源或形式如何,包括姓名、个人身份号码、住址、联系电话、执照号码、记录、个人资产、银行卡号和信用卡号、个人照片、个人录像及任何其他具有个人性质的数据;“敏感个人数据”是指揭示种族、民族血统、宗教、知识或政治信仰的个人数据,与安全、刑事定罪和违法行为有关的数据,用于识别个人身份的生物测定或遗传数据,健康数据,以及表明个人父母一方或双方不详的数据。
3.义务主体
与GDPR相同,PDPL采取了“控制者”与“处理者”二分概念。根据PDPL第1条,“数据控制者”是指明数据处理目的和方式的任何公共实体、自然人或企业法人,无论该数据由控制者还是处理者处理;“数据处理者”是指为控制者之利益并代表控制者处理个人数据的任何公共实体、自然人或企业法人。
4.告知与合法性基础
数据控制者在收集个人数据前应履行告知义务,并具备处理的合法性基础。具体而言,根据PDPL第4、13条以及PDPLIR第4条,控制者应在收集个人数据前告知个人如下事项:
i)控制者的身份、联系方式以及与控制者沟通的渠道;数字化转型网www.szhzxw.cn
ii)控制者指定的数据保护官的联系方式(如适用);
iii)收集和处理个人数据的法律依据和具体、清晰、明确的目的;
iv)个人数据的保存期限,如果无法提供具体期限,则说明用于确定保存期限的标准;
v)说明数据主体的权利以及行使该等权利的机制;
vi)说明如何撤销数据主体对处理个人数据的同意;
vii)解释收集或处理个人数据是强制性的还是选择性的。数字化转型网www.szhzxw.cn
根据PDPL第6条、PDPLIR第16条,控制者可以依赖的合法性基础包括:
i)取得数据主体的同意;如涉及处理敏感个人数据、信用数据、自动化决策等情形还需取得明确同意;如控制者依赖“同意”处理数据,应将“同意”的动作、时间、含义等信息以将来可审计的方式进行记录;
ii)处理符合数据主体的实际利益,但与数据主体的沟通不可能或困难;
iii)处理是根据其他法律或履行数据主体作为一方的先前协议;数字化转型网www.szhzxw.cn
iv)如果控制者是公共机构,处理是为了安全目的或满足司法要求;
v)在不违反法律规定、不损害数据主体的权利和利益且不涉及处理敏感个人数据的前提下,处理是为了控制者的合法利益(如披露欺诈行为、保障网络信息安全)。
5.数据合作
根据PDPL第8条、PDPLIR第17条,数据控制者选择合作方时应确保合作方可落实数据保护义务,并应向数据主体告知合作方的名称或类型,与合作方订立数据保护协议(在双方系独立的数据控制者的情况下无强制要求)。数字化转型网www.szhzxw.cn
数据控制者与处理者之间的协议须包括:
a)处理目的;
b)处理的个人数据类别;
c)处理期限;数字化转型网www.szhzxw.cn
d)数据处理者承诺在发生个人数据泄露时,按照法律规定及时通知数据控制者;
e)澄清数据处理者是否受其他国家法规的约束以及对其遵守法律及其规定的影响;
f)根据适用法律强制披露个人数据时,无需事先征得数据主体的同意,但数据处理者须通知控制者此类披露事宜;
g)列明处理者的任何分包商或将向其披露个人数据的任何其他方。
6.数据本地存储
根据沙特阿拉伯信息和通信技术委员会(CITI)发布的《物联网监管框架》第7条,物联网服务提供商应当托管用于提供服务的相关服务器,并将所有数据存储在沙特阿拉伯境内。PDPL没有规定一般性的数据本地化存储要求。数字化转型网www.szhzxw.cn
7.数据跨境转移
根据PDPL、PDTR相关规定,沙特有关数据跨境转移的监管规则梯次递进如下:
a)向具备“充分个人数据保护水平”的第三国/地区开展数据传输。就数据接收国个人数据保护水平,根据PDTR第3、4条,由主管当局根据一系列相关标准进行评估,包括当地数据保护法律保护水平、法律实施效果、数据主体权利、监管情况、政府调取数据程序的适当性等;
b)第三国缺乏充分个人数据保护水平情形下采取“适当措施”,即具有约束力的公司规则(BCRs)、标准合同条款(SCCs)或符合PDPL及其条例规定的认证,或有约束力的行为准则等;
c)无“充分个人数据保护水平”且无“适当措施”,符合特定豁免条件,包括为履行合同所必需、为保障数据主体的重大利益所必需(如为保护数据主体的生命或重大利益或为检查疾病等极端必要的情况)、为维护国家安全或公共利益所必需(控制者需为公共机构)、为开展刑事侦查等所必需(控制者需为公共机构)。数字化转型网www.szhzxw.cn
除遵守以上数据跨境规则外,控制者在开展数据跨境转移时,还应满足以下要求:
i)跨境转移不损害国家安全或重大利益;
ii)跨境转移的个人数据仅限于所需的最小必要范围;
iii)基于“适当措施”或“特定豁免条件”开展数据跨境转移,或持续大规模向境外传输敏感数据,须开展数据跨境风险评估。数字化转型网www.szhzxw.cn
8.数据主体权利
根据PDPL第4、21条以及PDPLIR第3-8条,数据主体享有知情权、访问权、纠正权和删除权。数据控制者应在不超过30天的期限内,对数据主体的权利请求进行响应。如果响应需要付出巨大努力或存在多项请求时,可延长响应期限,但延长时间不得超过30天,并应提前通知数据主体延长期限及延迟的原因。
9.数据保护负责人
根据PDPL第30条、PDPLIR第32条,在如下情况下,数据控制者应任命一人或多人担任数据保护官:
a)控制者为公共机构,涉及大规模处理个人数据;数字化转型网www.szhzxw.cn
b)控制者定期或持续大规模监控个人的情形;
c)控制者的核心活动是处理敏感个人数据。
数据保护官或数据保护负责人可以是控制者的雇员,亦可是外部供应商。
10.数据安全事件处置
根据PDPL第20条、PDPLIR第24条,发生数据安全事件后,数据控制者应根据监管机构确定的机制和程序立即通知监管机构,时间上不得迟于72小时。此外,如果相关安全事件会对数据主体的个人数据或数据主体本身产生严重损害,数据控制者应立即通知数据主体。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网企业出海专题包含哪些内容
数字化转型网企业出海将关注品牌出海,全球化战略,合规与风控,供应链管理,数据保护与隐私安全,知识产权,税务,海外团队建设,海外运营,人力资源管理,组织管理等企业出海、全球化相关全产业链相关环节。数字化转型网www.szhzxw.cn
数字化转型网企业出海专题包含:
1、企业出海、全球化外脑支持:100+企业出海、全球化相关专家、100+企业出海、全球化实践者、1000+相关资料
2、企业出海、全球化研习社:与出海、全球化相关的专家、实践者共同探讨相关问题,推动企业全球化发展! 数字化转型网(www.szhzxw.cn)
3、典型案例参考:与数字化转型网企业出海、全球化研习社社员一起学习典型案例,共探企业全球化发展!
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于北京市竞天公诚律师事务所;编辑/翻译:数字化转型网Jack。
