Saudi-Arabien: Einhaltung der PDPL: Wie man sich vorbereitet

Das saudi-arabische Datenschutzgesetz (PDPL) wurde geschaffen, um die Privatsphäre von Einzelpersonen und Unternehmen im Königreich Saudi-Arabien (KSA) zu schützen. Das Gesetz gilt für alle in Saudi-Arabien tätigen Unternehmen und verpflichtet Datenverantwortliche und -verarbeiter zum Schutz der personenbezogenen Daten von Einzelpersonen und Unternehmen.

Was ist das saudi-arabische Gesetz zum Schutz personenbezogener Daten?

Das PDPL ist das erste umfassende Datenschutzgesetz im Saudi-Arabien. Das saudi-arabische Gesetz zum Schutz personenbezogener Daten (PDPL) zielt darauf ab, die Privatsphäre von Einzelpersonen zu schützen und die Erhebung, Verarbeitung, Offenlegung und Speicherung personenbezogener Daten durch Organisationen zu regeln.

Das PDPL enthält umfassende Anforderungen in Bezug auf Verarbeitungsgrundsätze, Rechte der betroffenen Personen, die Pflichten von Organisationen bei der Verarbeitung personenbezogener Daten von Einzelpersonen und grenzüberschreitende Datenübertragungen Mechanismen und legt Strafen für Organisationen im Falle der Nichteinhaltung des PDPL fest.

PDPL vs. DSGVO

Seit seiner Verabschiedung im Jahr 2016 ist das Allgemeine Datenschutzverordnung (GDPR) hat viele der nachfolgenden Gesetze zu Datenschutz, -sicherheit und -verwaltung beeinflusst. Ein Vergleich des PDPL und der DSGVO zeigt, dass sich beide Gesetze im Kern ähneln, es gibt jedoch einige wesentliche Unterschiede zwischen beiden.

Das Datenschutzgesetz der VAE enthält weniger Informationen darüber, wie betroffene Personen ihre Rechte geltend machen können. Darüber hinaus sieht das PDPL strengere Beschränkungen für Organisationen vor, die personenbezogene Daten aus Saudi-Arabien übertragen möchten. Weitere Unterschiede sind die Registrierungspflichten für Verantwortliche und die stärkere Betonung der Einwilligung als Voraussetzung für eine rechtmäßige Datenverarbeitung.

Die Anforderungen des PDPL werden voraussichtlich durch die Veröffentlichung der Durchführungsverordnungen klarer definiert. Der Entwurf dieser Verordnungen wurde am 10. März 2022 zur öffentlichen Einsichtnahme vorgelegt. Die endgültige Fassung wird voraussichtlich vor dem Inkrafttreten des Gesetzes im Jahr 2023 veröffentlicht.

PDPL-Durchführungsbestimmungen

Die Durchführungsbestimmungen des KSA PDPL decken ein breites Spektrum an Datenschutzinitiativen ab, darunter:

• Regulierungsbehörde: Jede Regierungsbehörde oder jede Einrichtung mit unabhängiger öffentlich-rechtlicher Persönlichkeit, die im Rahmen ihrer Befugnisse und Zuständigkeiten Regulierungs- oder Aufsichtspflichten und -verantwortung für einen bestimmten Sektor oder eine bestimmte Tätigkeit im Königreich hat.
• Direktmarketing: Kommunikation auf jeglichem Wege mit einer Person oder einer Gruppe von Personen mit dem Ziel, dieser Person oder Gruppe Marketing-, Werbe- oder Sensibilisierungsmaterial zu senden.
• Praktischer Bedarf: Tatsächliche Notwendigkeit der Verarbeitung personenbezogener Daten auf faire und integere Weise und ohne Konflikte mit den Rechten und Erwartungen der betroffenen Person.
• Verletzung des Schutzes personenbezogener Daten: Jede Handlung, die in irgendeiner Weise zur illegalen Offenlegung personenbezogener Daten führt, unabhängig davon, ob sie vorsätzlich oder nicht erfolgt.
• Risiken und Auswirkungen: Die Möglichkeit, dass den betroffenen Personen durch die Verarbeitung ihrer personenbezogenen Daten ein Schaden entsteht, und die Auswirkungen eines solchen Risikos.
• Anonymisierung: Entfernen aller direkten oder indirekten Merkmale aus den personenbezogenen Daten, die eine konkrete Identifizierung der betroffenen Person ermöglichen könnten.
• Übermittlung personenbezogener Daten außerhalb des Königreichs: Senden oder Teilen personenbezogener Daten auf jegliche Art und Weise an oder mit einer Stelle außerhalb des Königreichs, um diese personenbezogenen Daten ganz oder teilweise für bestimmte Zwecke auf der Grundlage einer rechtlichen Begründung oder eines praktischen Bedarfs zu verarbeiten.
• Stillschweigende Zustimmung: Einwilligung, die nicht ausdrücklich von der betroffenen Person oder der autorisierten Person erteilt wird, sondern implizit durch die Handlungen der Person und die Fakten und Umstände der Situation gegeben wird

Verarbeitung von PDPL-Daten

Das PDPL gilt nur für Datenverantwortliche und -verarbeiter, die im Königreich Saudi-Arabien ansässig sind oder personenbezogene Daten von Personen im Königreich Saudi-Arabien verarbeiten. Das Gesetz gilt jedoch auch für Datenverantwortliche und -verarbeiter, die außerhalb des Landes tätig sind, sofern sie Daten von Personen im Königreich Saudi-Arabien verarbeiten.

Das PDPL legt einige wichtige Grundsätze fest, an die sich Datenverantwortliche und -verarbeiter halten müssen, darunter:

• Datenverantwortliche und -verarbeiter müssen vor der Erhebung, Verwendung, Übermittlung oder Speicherung personenbezogener Daten die Einwilligung einer Einzelperson einholen.
• Ausdrückliche Zustimmung ist für die Verarbeitung sensibler Daten zu Marketing- und Werbezwecken erforderlich.
• Personenbezogene Daten dürfen nur zu legitimen Zwecken erhoben und verwendet werden.
• Datenverantwortliche und -verarbeiter müssen sicherstellen, dass personenbezogene Daten richtig, relevant und aktuell sind.
• Personenbezogene Daten müssen sicher aufbewahrt werden und dürfen ohne die schriftliche Zustimmung der betreffenden Person nicht an Dritte weitergegeben werden.
• Datenverantwortliche und -verarbeiter müssen Löschen Sie alle personenbezogenen Daten, die nicht mehr benötigt werden.
• Datenverantwortliche und -verarbeiter müssen Einzelpersonen Informationen darüber bereitstellen, wie ihre Daten verwendet werden.
• Die Verantwortlichen dürfen persönliche Mitteilungen (einschließlich Post und E-Mail) nicht dazu verwenden, einer betroffenen Person Werbung oder Informationsmaterial zu senden, ohne zuvor ihre Zustimmung gegeben zu haben.
• Die Verantwortlichen müssen klare Opt-out Mechanismen.

PDPL-Verbraucherrechte

Artikel 4 der vorgeschlagenen Änderungen des PDPL schuf einklagbare Datenschutzrechte für saudi-arabische Bürger (betroffene Personen), darunter das Recht auf Auskunft, Berichtigung und Löschung. Darüber hinaus erlaubt das PDPL keine Änderung der Verarbeitungsdaten ohne Zustimmung des Verbrauchers. Ähnlich wie bei der DSGVO können Verbraucher ihre Einwilligung jedoch auch (ohne Ausnahmen) widerrufen.

• Recht auf Information: Verbraucher müssen über die Rechtsgrundlage und den Zweck der Verwendung personenbezogener Daten informiert werden.
• Recht auf Zugang: Verbraucher können ihre Informationen anfordern und haben das Recht zu erfahren, wie die Daten erhoben, gespeichert, verarbeitet und weitergegeben werden.
• Recht auf Berichtigung: Verbraucher können vom Verantwortlichen Aktualisierungen und Korrekturen verlangen. Der Verantwortliche muss jedoch auch alle Parteien, die die Informationen erhalten haben, benachrichtigen, um die personenbezogenen Daten zu korrigieren, zu vervollständigen oder zu aktualisieren.
• Recht auf Vernichtung: Verbraucher können die Löschung verlangen, mit Ausnahmen, beispielsweise wenn die Daten für einen rechtlichen Zweck erforderlich sind und nur für einen bestimmten Zeitraum gespeichert werden. Darüber hinaus können Verantwortliche personenbezogene Daten auch nach Wegfall des Erhebungszwecks aufbewahren, wenn sie identifizierende Elemente aus den personenbezogenen Daten entfernen.
• Recht auf Auskunft: Verbraucher haben das Recht, ihre personenbezogenen Daten in einem klaren und prägnanten Format zu erhalten, einschließlich des Rechts, eine Datenübertragung zu beantragen.

Aufzeichnung der Verarbeitungstätigkeiten

Gemäß dem PDPL müssen Organisationen ein Verzeichnis der Verarbeitung personenbezogener Daten führen, sodass die dokumentierten Aufzeichnungen der Behörde auf Anfrage zur Verfügung stehen. Die Aufzeichnungen sollten mindestens folgende Informationen enthalten:

• Zweck der Verarbeitung
• Eine Beschreibung der Kategorien betroffener Personen;
• Die Kontaktdaten der Organisation
• Jede andere Stelle, der personenbezogene Daten offengelegt wurden/werden.
• Ob die personenbezogenen Daten außerhalb des KSA übertragen oder offengelegt wurden/werden;
• Der voraussichtliche Zeitraum, für den personenbezogene Daten aufbewahrt werden.

Datenschutz-Risikobewertungen

Gemäß dem PDPL sind Organisationen verpflichtet, bei der Verarbeitung personenbezogener Daten in verbraucherorientierten Produkten oder Dienstleistungen eine Datenschutzrisikobewertung durchzuführen. In Fällen, in denen eine Risikofolgenabschätzung erforderlich ist, müssen zusätzliche Angaben gemacht werden, beispielsweise zu den betroffenen sensiblen Daten oder einer Beschreibung der automatisierten Verarbeitungsvorgänge.

Minimierung von Daten

Es gibt Hinweise zur Einhaltung der PDPL-Vorschrift, die Erhebung personenbezogener Daten streng auf das für einen bestimmten Zweck erforderliche Maß zu beschränken und eine Datenerhebung für unbestimmte zukünftige Verwendung zu vermeiden. Diese Leitlinien beschreiben wichtige Grundsätze für Verantwortliche und decken den gesamten Datenlebenszyklus von der Erhebung bis zur Vernichtung ab. Organisationen müssen einen legitimen Bedarf an den Daten nachweisen, klare und sichere Erhebungsmethoden anwenden und Daten sicher entsorgen, sobald sie nicht mehr benötigt werden. Darüber hinaus wird von Verantwortlichen erwartet, dass sie ihre Datenbestände regelmäßig bewerten und sicherstellen, dass die Verarbeitungsaktivitäten so strukturiert sind, dass unnötige Datenerhebungen vermieden werden.

Vernichtung, Anonymisierung und Pseudonymisierung

Das PDPL schreibt die Vernichtung personenbezogener Daten vor, auch auf Anfrage oder Widerruf der Einwilligung der betroffenen Person. Es schreibt vor, dass Verantwortliche strenge Verfahren befolgen müssen, um sicherzustellen, dass alle Kopien, einschließlich Backups, dauerhaft gelöscht werden und alle Empfänger der Daten dies ebenfalls tun. Darüber hinaus dienen effektive Anonymisierungs- und Pseudonymisierungstechniken – wie Datenmaskierung, Verschlüsselung, Generalisierung und Aggregation – als wesentliche Sicherheitsvorkehrungen zum Schutz personenbezogener Daten.

Datenschutzverletzungen

Das PDPL verpflichtet Organisationen, geeignete Sicherheitsvorkehrungen zu treffen, um personenbezogene Daten vor unbefugtem Zugriff, Offenlegung und Nutzung zu schützen. Darüber hinaus legt das Gesetz strenge Benachrichtigung über Datenschutzverletzungen Anforderungen, die Organisationen im Falle einer Datenschutzverletzung erfüllen müssen.

Das PDPL verpflichtet Unternehmen, die Aufsichtsbehörde innerhalb von drei Tagen nach dem Verstoß zu informieren. Darüber hinaus müssen sie eine umfassende Analyse des Verstoßes vorlegen und Maßnahmen zur künftigen Rechenschaftslegung aufzeigen.

Wenn einer Organisation ein Verstoß bekannt wird, der einer Einzelperson Schaden zufügen kann, muss diese Person gemäß den PDPL-Benachrichtigungsanforderungen benachrichtigt werden.

Datenübertragung und -freigabe

SDAIA hat das Rahmenwerk für den Datentransfer optimiert, um es besser an globale Standards wie die DSGVO anzupassen. Organisationen müssen bei der Übertragung personenbezogener Daten in Länder, deren Datenschutzniveau laut SDAIA nicht angemessen ist, entsprechende Sicherheitsvorkehrungen treffen.

Die Übermittlung personenbezogener Daten innerhalb und außerhalb Saudi-Arabiens erfolgt gemäß dem PDPL wie folgt:

• Datenübertragungen an Dritte sind unter Einhaltung gesetzlicher oder unternehmensinterner Datenschutzbestimmungen, die dem PDPL ähneln, zulässig.
• Bestimmte Arten der Übertragung sind von diesen Bedingungen ausgenommen, etwa wenn eine Person der Übertragung zugestimmt hat oder wenn die Übertragung zur Erfüllung einer Vereinbarung erforderlich ist.
• Artikel 4 besagt, dass die für die Verarbeitung Verantwortlichen Sicherheitsvorkehrungen für die Übermittlung personenbezogener Daten treffen müssen, wie etwa Standardvertragsklauseln, verbindliche gemeinsame Regeln und Akkreditierungszertifikate.
• Artikel 4 sieht vor, dass Verantwortliche, die sich auf die verfügbaren geeigneten Garantien verlassen, von der Verpflichtung befreit sind, nur die erforderliche Mindestmenge an personenbezogenen Daten zu übermitteln.
• Die Weitergabe und Übermittlung personenbezogener Daten ist auf das erforderliche Minimum beschränkt.
• Datenübermittlungen müssen die Interessen, die Gesundheit, die Sicherheit oder den Schutz des Lebens oder der Gesundheit einer bestimmten Person wahren
• Datenübertragungen dürfen die nationale Sicherheit oder lebenswichtige Interessen des Königreichs Saudi-Arabien nicht beeinträchtigen.

KSA PDPL-Durchsetzung

Gemäß Artikel 20 Absatz 1 des Datenschutzgesetzes sind Verantwortliche verpflichtet, die zuständige Behörde zu benachrichtigen, wenn ihnen eine Datenschutzverletzung bekannt wird. Die Durchführungsverordnung legt die Bedingungen fest, unter denen Verantwortliche betroffene Personen über eine Verletzung des Schutzes ihrer personenbezogenen Daten informieren müssen.

Wenn jedoch davon auszugehen ist, dass der Verstoß der betroffenen Person oder ihren personenbezogenen Daten erheblichen Schaden zufügt, muss der Verantwortliche sie gemäß Artikel 20(2) des PDPL unverzüglich über den Verstoß informieren. Die Durchführungsbestimmungen des PDPL der VAE sehen Strafen für die Offenlegung oder Veröffentlichung sensibler personenbezogener Daten vor, darunter Freiheitsstrafen von bis zu zwei Jahren und/oder eine Geldstrafe von höchstens 3 Millionen Saudi-Riyal.

Verstöße gegen die Datenübertragungsbestimmungen in Artikel 29 des PDPL können mit einer Freiheitsstrafe von bis zu einem Jahr und/oder einer Geldstrafe von höchstens 1.000.000 SAR geahndet werden. Verstöße gegen andere Bestimmungen des PDPL können mit einer Verwarnung oder einer Geldstrafe von höchstens 5.000.000 SAR geahndet werden.

Erreichen Sie PDPL-Konformität mit BigID

Das PDPL soll dazu beitragen, die Privatsphäre von Personen im Königreich Saudi-Arabien zu schützen und sicherzustellen, dass Unternehmen, die personenbezogene Daten verarbeiten, für deren Verwendung zur Verantwortung gezogen werden. Wenn Sie in Saudi-Arabien personenbezogene Daten erheben, verwenden, übertragen oder speichern, ist die Einhaltung des PDPL unerlässlich.

Mit BigIDkönnen Unternehmen Strafen vermeiden und den Herausforderungen der PDPL-Compliance zuvorkommen:

• Daten entdecken: Identifizieren Sie personenbezogene Daten und klassifizieren Sie sensible Daten.
• Daten kontextualisieren: Korrelieren Sie Beziehungen zwischen Daten, indem Sie persönlichen und sensiblen Daten einen Kontext verleihen.
• Kennzeichnen und kennzeichnen Sie Daten für rechtliche Zwecke: Stellen Sie sicher, dass die Daten in Übereinstimmung mit den Datenschutzbestimmungen verarbeitet werden.
• Verzeichnis der Verarbeitungstätigkeiten dokumentieren: Verwalten Sie ein Verzeichnis der Verarbeitungstätigkeiten (RoPA), um Datenbestände, Schutz, Verletzungsstatus, Standort, PIA, Datenfreigabe und -übertragungen zu bewerten
• Erkennen Sie richtlinienwidrige, grenzüberschreitende Datenübertragungen: Verfolgen Sie Verstöße gegen den Datenzugriff, die Datennutzung und die Datenübertragung im gesamten Unternehmen, um sofort Maßnahmen ergreifen zu können.
• Automatisieren Sie die Erfüllung von Datenrechten: Automatisieren Sie die manuelle Erfüllung einzelner Datenzugriffs- und Löschanfragen.
• Einwilligung erfassen: Automatisieren Sie den Lebenszyklus von Einwilligungen und Präferenzen über alle Kanäle, Systeme und Anwendungen hinweg in der gesamten Umgebung, einschließlich der Einwilligung zu Cookies, gezielter Anzeigenausrichtung, E-Mail, Direktmarketing und der Verarbeitung personenbezogener und sensibler Daten.
• Verwalten Sie Datenrisiken: Entdecken, klassifizieren und kartieren Sie Daten, um Kontrollen zur Reduzierung des Verletzungsrisikos anzuwenden und Datenschutz-Folgenabschätzungen (DSFA).
• Minimieren Sie doppelte oder vertrauliche Daten: Ermöglichen Sie Datenminimierung durch doppelte Identifizierung und wenden Sie Aufbewahrungsregeln basierend auf einem rechtlichen Zweck an.
• Bericht zum Datenrisiko: Aktivieren Sie Korrektur-Workflows und überprüfen Sie, ob vertrauliche Daten erfasst werden.
• Integration mit Anwendungen: Erweitern und bereichern Sie vorhandene Sicherheits-, Datenschutz-, Verwaltungs- und Compliance-Lösungen und -Workflows nahtlos, einschließlich Nafath.

Jede Organisation, die personenbezogene Daten von Einwohnern Saudi-Arabiens verarbeitet, sollte sicherstellen, dass sie die PDPL einhält, und alle Aktualisierungen der Aufsichtsbehörden in den nächsten Monaten aufmerksam verfolgen.

Informieren Sie sich, wie BigID Ihnen dabei helfen kann, die PDPL-Konformität Ihres Unternehmens sicherzustellen.

Autor

Verrion Wright

Strategie und Entwicklung von Inhalten

Verrion Wright ist ein sehr erfahrener und ehrgeiziger Vermarkter mit mehr als 20 Jahren Erfahrung in den Bereichen Produktmarketing, Inhaltsentwicklung und digitale Strategie. Mit dem Schwerpunkt auf datengesteuerten Erkenntnissen und integriertem Marketing hatte er leitende Positionen in verschiedenen Branchen inne, darunter IT-Dienstleistungen, Datenschutz, Marketing und Werbung (Medienplanung). Bei BigID ist Verrion Director of Content Strategy and Development und trägt dazu bei, Inhalte über alle Säulen, Regionen und Käufer hinweg zu verbessern, indem er durchgängig überzeugende Inhalte über verschiedene Medien erstellt - darunter Videos, Artikel, Checklisten, Whitepaper und Leitfäden.