हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंसऊदी अरब पीडीपीएल: व्यक्तिगत डेटा सुरक्षा अनुपालन
सऊदी अरब का व्यक्तिगत डेटा संरक्षण कानून (पीडीपीएल), 16 सितंबर, 2021 को रॉयल डिक्री एम/19 द्वारा अधिनियमित और 17 सितंबर, 2023 को लागू हुआ, किंगडम के पहले व्यापक डेटा संरक्षण कानून का प्रतिनिधित्व करता है। सऊदी डेटा और आर्टिफिशियल इंटेलिजेंस अथॉरिटी (एसडीएआईए) द्वारा प्रशासित, पीडीपीएल सऊदी निवासियों के व्यक्तिगत डेटा को संसाधित करने वाले संगठनों पर लागू होता है और सऊदी बाजार में काम करने वाले या सेवा देने वाले व्यवसायों के लिए महत्वपूर्ण निहितार्थ है।
पीडीपीएल अपने कार्यान्वयन विनियमों (मार्च 2023 में एसडीएआईए द्वारा जारी) के साथ था, जो तकनीकी और संगठनात्मक उपायों, डेटा विषय अधिकार प्रक्रियाओं और सीमा पार डेटा स्थानांतरण स्थितियों पर विस्तृत आवश्यकताएं प्रदान करता है। गैर-अनुपालन के परिणामस्वरूप SAR 5 मिलियन ($1.33 मिलियन USD) तक का जुर्माना और आपराधिक उल्लंघन के लिए एक वर्ष की कैद हो सकती है।
मुख्य बातें
- सऊदी पीडीपीएल सऊदी अरब में व्यक्तियों के व्यक्तिगत डेटा के किसी भी प्रसंस्करण पर लागू होता है, भले ही प्रसंस्करण इकाई कहीं भी स्थित हो
- प्रसंस्करण के लिए आठ कानूनी आधार मौजूद हैं; सहमति स्पष्ट, विशिष्ट, सूचित और सत्यापन योग्य होनी चाहिए
- संवेदनशील डेटा (स्वास्थ्य, आनुवांशिक, क्रेडिट, आपराधिक रिकॉर्ड, बायोमेट्रिक, यौन अभिविन्यास) के लिए स्पष्ट सहमति या विशिष्ट कानूनी अपवाद की आवश्यकता होती है
- सीमा पार स्थानांतरण के लिए एसडीएआईए अनुमोदन या विशिष्ट सुरक्षा उपायों की आवश्यकता होती है - डेटा स्थानीयकरण एक महत्वपूर्ण अनुपालन चुनौती है
- डेटा विषय अधिकारों में पहुंच, सुधार, विलोपन, पोर्टेबिलिटी और आपत्ति शामिल है - 30-दिन की प्रतिक्रिया समयसीमा के साथ
- बड़े पैमाने पर संवेदनशील डेटा संसाधित करने वाले कुछ संगठनों के लिए डीपीओ की नियुक्ति अनिवार्य है
- एसडीएआईए 5 मिलियन एसएआर तक जुर्माना लगा सकता है और नियामक शक्तियों में डेटा प्रोसेसिंग निलंबन शामिल है
- पीडीपीएल सऊदी सेंट्रल बैंक (एसएएमए) और अन्य नियामकों के सेक्टर-विशिष्ट नियमों के साथ लागू होता है
पीडीपीएल का दायरा और प्रयोज्यता
किसे अनुपालन करना चाहिए
सऊदी पीडीपीएल (1443 एएच/2021 का रॉयल डिक्री एम/19) इस पर लागू होता है:
- सऊदी अरब में प्रसंस्करण: कोई भी इकाई सऊदी क्षेत्र के भीतर व्यक्तिगत डेटा संसाधित कर रही है
- सऊदी निवासियों के डेटा का प्रसंस्करण: सऊदी अरब के बाहर की संस्थाएं जो सऊदी अरब में रहने वाले व्यक्तियों के व्यक्तिगत डेटा को संसाधित करती हैं
- सऊदी-आधारित उद्देश्यों के लिए प्रसंस्करण: सऊदी अरब में व्यक्तियों को सामान या सेवाएं प्रदान करने से संबंधित प्रसंस्करण
इस बाह्यक्षेत्रीय दायरे का मतलब है कि सऊदी ग्राहकों को सेवा देने वाले अंतर्राष्ट्रीय व्यवसाय - जिनमें ईकॉमर्स प्लेटफ़ॉर्म, SaaS प्रदाता और डिजिटल सेवाएँ शामिल हैं - को PDPL का अनुपालन करना होगा।
मुख्य परिभाषाएँ:
- व्यक्तिगत डेटा: कोई भी डेटा जो किसी व्यक्ति की विशिष्ट पहचान की ओर ले जाता है, या उनकी पहचान करना संभव बनाता है, जिसमें नाम, व्यक्तिगत पहचान संख्या, पता, संपर्क नंबर और कोई अन्य डेटा शामिल है जो व्यक्ति की पहचान करता है
- संवेदनशील व्यक्तिगत डेटा: स्वास्थ्य डेटा, आनुवांशिक डेटा, क्रेडिट और वित्तीय डेटा, विशेष आवश्यकता वाले व्यक्तियों से संबंधित डेटा, आपराधिक रिकॉर्ड, बायोमेट्रिक डेटा, नस्लीय या जातीय मूल, धार्मिक मान्यताओं को प्रकट करने वाला डेटा और यौन अभिविन्यास सहित निजी जीवन से संबंधित डेटा
छूट
पीडीपीएल इन पर लागू नहीं होता:
- सुरक्षा या न्यायिक उद्देश्यों के लिए सरकारी अधिकारियों द्वारा रखा गया व्यक्तिगत डेटा
- मृत व्यक्तियों का डेटा (परिजनों के अधिकारों का कोई प्रावधान नहीं)
- व्यक्तिगत डेटा व्यक्तिगत या पारिवारिक उद्देश्यों के लिए संसाधित किया गया
- डेटा को इस तरह से अज्ञात किया जाता है कि उसकी पुनः पहचान असंभव हो जाती है
प्रसंस्करण के लिए कानूनी आधार
पीडीपीएल कार्यान्वयन विनियम व्यक्तिगत डेटा के प्रसंस्करण के लिए कानूनी आधार स्थापित करते हैं। नियंत्रकों को प्रत्येक प्रसंस्करण गतिविधि के लिए लागू कानूनी आधार का दस्तावेजीकरण करना होगा:
| कानूनी आधार | विवरण |
|---|---|
| सहमति | डेटा विषय की स्पष्ट सहमति - मुफ़्त, विशिष्ट, सूचित और सत्यापन योग्य |
| अनुबंध | डेटा विषय के साथ अनुबंध निष्पादन के लिए आवश्यक प्रसंस्करण |
| कानूनी बाध्यता | कानूनी या नियामक दायित्व का अनुपालन |
| महत्वपूर्ण रुचियाँ | डेटा विषय के जीवन या स्वास्थ्य की सुरक्षा |
| जनहित | जनहित में कार्य करना |
| वैध हित | जहां नियंत्रक के हित डेटा विषय के अधिकारों के विरुद्ध वैध और संतुलित हैं |
| अनुसंधान और सांख्यिकी | उचित सुरक्षा उपायों के साथ वैज्ञानिक अनुसंधान या सांख्यिकीय उद्देश्यों के लिए |
| कानूनी अधिकारों की रक्षा | कानूनी दावों की स्थापना, अभ्यास, या बचाव |
पीडीपीएल के तहत सहमति आवश्यकताएँ:
- प्रसंस्करण उद्देश्य के लिए स्पष्ट और विशिष्ट होना चाहिए
- अन्य सहमति के साथ बंडल नहीं किया जा सकता
- तकनीकी शब्दजाल के बिना, सरल भाषा में होना चाहिए
- निकासी सहमति प्रदान करने जितनी ही आसान होनी चाहिए -सहमति का रिकार्ड रखना होगा
- विपणन और विज्ञापन के लिए अलग, स्पष्ट सहमति की आवश्यकता होती है
संवेदनशील डेटा: प्रसंस्करण के लिए स्पष्ट सहमति की आवश्यकता होती है या निम्नलिखित में से एक के अंतर्गत आता है: कानूनी दायित्व, डेटा विषय या दूसरों के महत्वपूर्ण हितों की सुरक्षा, स्वास्थ्य देखभाल गोपनीयता दायित्वों के साथ चिकित्सा आवश्यकता, कानूनी कार्यवाही के संबंध में प्रसंस्करण, या उचित सुरक्षा उपायों के साथ वैज्ञानिक अनुसंधान।
डेटा विषय अधिकार
पीडीपीएल डेटा विषयों को सामान्य 30-दिन की प्रतिक्रिया अवधि (अधिसूचना के साथ 30 अतिरिक्त दिनों तक बढ़ाया जा सकता है) के साथ निम्नलिखित अधिकार प्रदान करता है:
सूचित होने का अधिकार: डेटा संग्रह से पहले या उसके समय डेटा विषयों को प्रसंस्करण गतिविधियों के बारे में सूचित किया जाना चाहिए। नियंत्रकों को खुलासा करना होगा: पहचान और संपर्क विवरण, उद्देश्य, कानूनी आधार, डेटा की श्रेणियां, अवधारण अवधि, डेटा विषय अधिकार, सीमा पार स्थानांतरण जानकारी।
पहुंच का अधिकार: डेटा विषय इस बात की पुष्टि का अनुरोध कर सकते हैं कि उनका डेटा संसाधित किया जा रहा है या नहीं और एक प्रति प्राप्त कर सकते हैं। उत्तर 30 दिनों के भीतर प्रदान किया जाना चाहिए; प्रति 12 माह में एक निःशुल्क प्रति (अतिरिक्त प्रतियों के लिए शुल्क अनुमेय)।
सुधार का अधिकार: डेटा विषय गलत या पुराने व्यक्तिगत डेटा में सुधार का अनुरोध कर सकते हैं।
मिटाने का अधिकार: डेटा विषय हटाने का अनुरोध कर सकते हैं जहां: उद्देश्य पूरा हो गया है, सहमति वापस ले ली गई है (बिना किसी अन्य कानूनी आधार के), डेटा गैरकानूनी तरीके से एकत्र किया गया है, या कानूनी दायित्व के कारण हटाने की आवश्यकता है। अपवादों में बनाए रखने की कानूनी बाध्यता, कानूनी अधिकारों का प्रयोग और सार्वजनिक हित अनुसंधान शामिल हैं।
पोर्टेबिलिटी का अधिकार: डेटा विषय किसी अन्य नियंत्रक को ट्रांसमिशन के लिए एक संरचित, मशीन-पठनीय प्रारूप में अपने डेटा का अनुरोध कर सकते हैं।
आपत्ति का अधिकार: डेटा विषय वैध हितों के आधार पर प्रसंस्करण पर आपत्ति कर सकते हैं (नियंत्रक को डेटा विषय के हितों को ओवरराइड करते हुए सम्मोहक वैध आधार प्रदर्शित करना होगा)।
स्वचालित निर्णय लेने को प्रतिबंधित करने का अधिकार: डेटा विषय महत्वपूर्ण स्वचालित निर्णयों की मानव समीक्षा का अनुरोध कर सकते हैं।
नियंत्रक और प्रोसेसर दायित्व
गोपनीयता सूचना आवश्यकताएँ
नियंत्रकों को निम्नलिखित को कवर करते हुए एक स्पष्ट, सुलभ गोपनीयता सूचना प्रदान करनी होगी:
- इकाई का नाम और संपर्क जानकारी
- एकत्र किए गए व्यक्तिगत डेटा की श्रेणियाँ
- प्रसंस्करण के उद्देश्य और कानूनी आधार
- डेटा का उपयोग, खुलासा और हस्तांतरण कैसे किया जाता है
- डेटा अवधारण अवधि
- डेटा विषय अधिकार और उनका प्रयोग कैसे करें
- किसी भी सीमा पार स्थानांतरण के बारे में जानकारी
- डीपीओ के लिए संपर्क जानकारी (यदि नियुक्त हो)
सऊदी-आधारित संचालन के लिए गोपनीयता सूचनाएं अरबी में होनी चाहिए (अनुवाद की आवश्यकता सऊदी उपभोक्ताओं को सेवा देने वाले व्यवसायों पर लागू होती है)।
डेटा संरक्षण अधिकारी (डीपीओ)
पीडीपीएल कार्यान्वयन विनियमों के तहत, डीपीओ की नियुक्ति निम्नलिखित के लिए अनिवार्य है:
- संवेदनशील व्यक्तिगत डेटा को बड़े पैमाने पर संसाधित करने वाले नियंत्रक
- डेटा विषयों की बड़े पैमाने पर व्यवस्थित निगरानी करने वाले नियंत्रक
- सार्वजनिक प्राधिकरण (अपवादों के साथ)
डीपीओ को यह करना होगा:
- डेटा सुरक्षा और सूचना सुरक्षा का विशेषज्ञ ज्ञान रखें
- सीधे वरिष्ठ प्रबंधन को रिपोर्ट करें
- एसडीएआईए और डेटा विषयों के लिए संपर्क बिंदु के रूप में कार्य करें
- पीडीपीएल के अनुपालन की निगरानी करें
- डीपीआईए पर सलाह प्रदान करें
गोपनीयता नोटिस में डीपीओ के संपर्क विवरण का खुलासा किया जाना चाहिए।
डेटा सुरक्षा प्रभाव आकलन (डीपीआईए)
कार्यान्वयन विनियमों को उन गतिविधियों को संसाधित करने से पहले डीपीआईए की आवश्यकता होती है जिनके परिणामस्वरूप डेटा विषयों के लिए उच्च जोखिम हो सकता है, जिनमें शामिल हैं:
- संवेदनशील डेटा का बड़े पैमाने पर प्रसंस्करण
- डेटा विषयों की व्यवस्थित प्रोफाइलिंग
- नवीन प्रौद्योगिकियों से युक्त प्रसंस्करण
- बच्चों के डेटा का बड़े पैमाने पर प्रसंस्करण
DPIA दस्तावेज़ को बनाए रखा जाना चाहिए और अनुरोध पर SDAIA को उपलब्ध कराया जाना चाहिए।
सुरक्षा आवश्यकताएँ
नियंत्रकों को डेटा की संवेदनशीलता और प्रसंस्करण के जोखिमों के अनुरूप तकनीकी और संगठनात्मक उपाय लागू करने चाहिए, जिनमें शामिल हैं:
- भंडारण और ट्रांसमिशन में डेटा एन्क्रिप्शन
- न्यूनतम विशेषाधिकार के सिद्धांत के साथ अभिगम नियंत्रण
- व्यक्तिगत डेटा तक पहुंच के लिए ऑडिट लॉगिंग
- नियमित सुरक्षा परीक्षण और भेद्यता आकलन
- घटना प्रतिक्रिया प्रक्रियाएँ
- व्यक्तिगत डेटा सिस्टम के लिए व्यवसाय निरंतरता और आपदा पुनर्प्राप्ति
- विक्रेता सुरक्षा मूल्यांकन और संविदात्मक आवश्यकताएँ
सीमा पार डेटा स्थानांतरण
पीडीपीएल का अनुच्छेद 29 सऊदी अरब के बाहर व्यक्तिगत डेटा स्थानांतरित करने पर महत्वपूर्ण प्रतिबंध लगाता है। यह पीडीपीएल अनुपालन के सबसे परिचालन रूप से चुनौतीपूर्ण पहलुओं में से एक है।
अनुमत स्थानांतरण तंत्र:
- एसडीएआईए अनुमोदन: स्थानांतरण एसडीएआईए की पूर्व मंजूरी और उसके द्वारा निर्दिष्ट शर्तों के अधीन है
- पर्याप्त सुरक्षा: पर्याप्त स्तर की डेटा सुरक्षा वाले देश में स्थानांतरण (एसडीएआईए एक अनुमोदित सूची रखता है)
- संविदात्मक सुरक्षा उपाय: पर्याप्त सुरक्षा प्रदान करने वाले और एसडीएआईए आवश्यकताओं को पूरा करने वाले अनुबंधों के तहत स्थानांतरण
- बाध्यकारी कॉर्पोरेट नियम: अनुमोदित बाध्यकारी कॉर्पोरेट नियमों के तहत इंट्राग्रुप स्थानांतरण
- सहमति: डेटा विषय की स्पष्ट, सूचित सहमति
- अनुबंध आवश्यकता: डेटा विषय के साथ अनुबंध निष्पादन के लिए स्थानांतरण आवश्यक है
- महत्वपूर्ण हित: महत्वपूर्ण हितों की रक्षा के लिए स्थानांतरण आवश्यक है जहां सहमति प्राप्त नहीं की जा सकती
- सार्वजनिक हित: उचित सुरक्षा उपायों के साथ सार्वजनिक हित के लिए स्थानांतरण आवश्यक है
डेटा स्थानीयकरण विचार: एसएएमए (सऊदी अरब मौद्रिक प्राधिकरण), संचार, अंतरिक्ष और प्रौद्योगिकी आयोग (सीएसटी), और स्वास्थ्य मंत्रालय के क्षेत्र-विशिष्ट नियम वित्तीय, दूरसंचार और स्वास्थ्य डेटा के लिए डेटा स्थानीयकरण आवश्यकताओं को लागू करते हैं। क्लाउड प्रदाताओं को कुछ विनियमित डेटा श्रेणियों के लिए सऊदी अरब के भीतर डेटा केंद्र बनाए रखना होगा।
व्यावहारिक प्रभाव: सऊदी परिचालन वाली कई बहुराष्ट्रीय कंपनियों ने जटिल सीमा पार हस्तांतरण अनुपालन से बचने के लिए सऊदी अरब स्थित क्लाउड क्षेत्रों (एडब्ल्यूएस, एज़्योर और Google क्लाउड से उपलब्ध) का उपयोग करके डेटा रेजिडेंसी समाधान लागू किया है।
उल्लंघन अधिसूचना
पीडीपीएल के अनुच्छेद 20 में नियंत्रकों को डेटा विषयों के अधिकारों या हितों के लिए जोखिम पैदा करने वाले उल्लंघन का पता चलने के 72 घंटों के भीतर व्यक्तिगत डेटा उल्लंघनों के बारे में एसडीएआईए को सूचित करने की आवश्यकता होती है।
आवश्यक उल्लंघन अधिसूचना सामग्री:
- उल्लंघन की प्रकृति और परिस्थितियाँ
- प्रभावित डेटा विषयों की श्रेणियाँ और अनुमानित संख्या
- श्रेणियाँ और प्रभावित रिकॉर्ड की अनुमानित संख्या
- डीपीओ या अन्य संपर्क का नाम और संपर्क विवरण
- उल्लंघन के संभावित परिणाम
- उल्लंघन को संबोधित करने के लिए उपाय किए गए या योजना बनाई गई
डेटा विषयों के लिए अधिसूचना: जब उल्लंघन के परिणामस्वरूप डेटा विषयों के अधिकारों या स्वतंत्रता के लिए उच्च जोखिम होने की संभावना हो तो बिना किसी देरी के आवश्यक है। अधिसूचना में शामिल होना चाहिए: क्या हुआ, किस डेटा पर प्रभाव पड़ा, डेटा विषय खुद को बचाने के लिए क्या कदम उठा सकते हैं, और आगे की पूछताछ के लिए संपर्क जानकारी।
एसडीएआईए प्रवर्तन और दंड
नियामक शक्तियां
एसडीएआईए के पास पीडीपीएल के तहत व्यापक नियामक शक्तियां हैं:
- मार्गदर्शन और विनियम जारी करना
- डेटा विषयों से शिकायतों की जांच करना
- डेटा नियंत्रकों का ऑडिट करना
- प्रशासनिक प्रतिबंध लगाना
- पीडीपीएल का उल्लंघन करने वाली प्रसंस्करण गतिविधियों को निलंबित करना
- लोक अभियोजन को आपराधिक उल्लंघनों का संदर्भ देना
दंड
प्रशासनिक दंड:
- डेटा विषय अधिकारों या नियंत्रक दायित्वों के उल्लंघन के लिए SAR 1 मिलियन ($267,000 USD) तक का जुर्माना
- संवेदनशील व्यक्तिगत डेटा से जुड़े उल्लंघनों के लिए SAR 5 मिलियन ($1.33 मिलियन USD) तक का जुर्माना
- सीमा पार स्थानांतरण उल्लंघन के लिए SAR 5 मिलियन तक का जुर्माना
- दोबारा उल्लंघन करने पर दो साल के भीतर जुर्माना दोगुना किया जा सकता है
आपराधिक दंड:
- प्राधिकरण के बिना संवेदनशील डेटा का खुलासा या प्रकाशन: दो साल तक की कैद और/या एसएआर 3 मिलियन तक जुर्माना
- राष्ट्रीय हितों को नुकसान पहुंचाने के लिए सऊदी अरब के बाहर डेटा स्थानांतरित करना: एक वर्ष तक कारावास और/या एसएआर 1 मिलियन तक जुर्माना
सार्वजनिक प्रकटीकरण: एसडीएआईए सऊदी अरब के केंद्रित व्यापार बाजार में महत्वपूर्ण प्रतिष्ठित प्रभाव वाले उल्लंघनों और प्रतिबंधों के बारे में जानकारी प्रकाशित कर सकता है।
अन्य सऊदी विनियमों के साथ सहभागिता
SAMA साइबर सुरक्षा ढांचा
सऊदी सेंट्रल बैंक (एसएएमए) का अपना साइबर सुरक्षा फ्रेमवर्क (एसएएमएसीएफ) है जो सभी एसएएमए-विनियमित संस्थाओं (बैंकों, बीमा कंपनियों, वित्तपोषण कंपनियों) पर लागू होता है। रूपरेखा में शामिल हैं:
- डेटा वर्गीकरण और सुरक्षा आवश्यकताएँ पीडीपीएल के साथ संरेखित
- घटना प्रतिक्रिया और अधिसूचना आवश्यकताएँ
- तृतीय-पक्ष जोखिम प्रबंधन दायित्व
- क्लाउड सेवा प्रदाता मूल्यांकन आवश्यकताएँ
एसएएमए-विनियमित संस्थाओं को सख्त आवश्यकता के साथ एसएएमएसीएफ और पीडीपीएल दोनों का अनुपालन करना होगा।
सीएसटी व्यक्तिगत डेटा संरक्षण विनियम (दूरसंचार)
संचार, अंतरिक्ष और प्रौद्योगिकी आयोग ने दूरसंचार ऑपरेटरों के लिए ग्राहक डेटा सुरक्षा, स्थान डेटा प्रतिबंध और डेटा स्थानीयकरण सहित दूरसंचार-विशिष्ट डेटा सुरक्षा आवश्यकताएं जारी की हैं।
स्वास्थ्य क्षेत्र विनियम
स्वास्थ्य मंत्रालय और सऊदी स्वास्थ्य परिषद ने स्वास्थ्य देखभाल डेटा सुरक्षा आवश्यकताओं को अनिवार्य करते हुए जारी किया है: डेटा साझा करने के लिए रोगी की सहमति, स्वास्थ्य रिकॉर्ड के लिए डेटा स्थानीयकरण, स्वास्थ्य सूचना प्रणालियों के लिए विशिष्ट सुरक्षा मानक, और व्यावसायिक उद्देश्यों के लिए स्वास्थ्य डेटा का उपयोग करने पर प्रतिबंध।
सऊदी पीडीपीएल अनुपालन चेकलिस्ट
- पीडीपीएल प्रयोज्यता विश्लेषण पूरा हुआ (अतिरिक्तक्षेत्रीय दायरे सहित)
- व्यक्तिगत डेटा और संवेदनशील डेटा सूची पूरी हो गई
- प्रत्येक प्रसंस्करण गतिविधि के लिए कानूनी आधार प्रलेखित
- संवेदनशील डेटा प्रोसेसिंग के लिए अलग से स्पष्ट सहमति प्राप्त की गई
- सभी आवश्यक खुलासों के साथ गोपनीयता सूचना अरबी में (सऊदी उपयोगकर्ताओं के लिए) प्रकाशित की गई
- जहां आवश्यक हो वहां डीपीओ नियुक्त किया जाए; गोपनीयता सूचना में संपर्क जानकारी
- डेटा विषय अधिकार प्रक्रियाएं 30-दिवसीय प्रतिक्रिया तंत्र के साथ प्रलेखित
- प्रोसेसर अनुबंधों को पीडीपीएल आवश्यकताओं के साथ अद्यतन किया गया
- सीमा पार स्थानांतरण मूल्यांकन पूरा हो गया - एसडीएआईए-अनुमोदित तंत्र लागू
- विनियमित क्षेत्रों (वित्त, स्वास्थ्य, दूरसंचार) के लिए डेटा स्थानीयकरण मूल्यांकन
- DPIA उच्च जोखिम वाली प्रसंस्करण गतिविधियों के लिए आयोजित किया गया
- डेटा संवेदनशीलता के अनुपात में सुरक्षा उपाय लागू किए गए
- 72-घंटे की उल्लंघन अधिसूचना प्रक्रिया का दस्तावेजीकरण और परीक्षण किया गया
- अवधारण कार्यक्रम प्रलेखित और स्वचालित विलोपन कॉन्फ़िगर किया गया
- पीडीपीएल दायित्वों पर कर्मचारी प्रशिक्षण पूरा हुआ
अक्सर पूछे जाने वाले प्रश्न
सऊदी अरब का पीडीपीएल कब लागू करने योग्य हुआ?
पीडीपीएल को सितंबर 2021 में रॉयल डिक्री एम/19 द्वारा अधिनियमित किया गया था और इसके कार्यान्वयन नियम मार्च 2023 में जारी किए गए थे। प्रवर्तन 17 सितंबर, 2023 को शुरू हुआ - कानून के अधिनियमन के दो साल बाद। एसडीएआईए ने शुरुआत में अनुपालन तैयारी के लिए छूट अवधि का संकेत दिया था, लेकिन प्रवर्तन अब सक्रिय है। जिन व्यवसायों ने अभी तक अनुपालन कार्यक्रम शुरू नहीं किया है, उन्हें वास्तविक नियामक जोखिम का सामना करना पड़ता है।
क्या सऊदी पीडीपीएल सऊदी अरब के बाहर मेरे व्यवसाय पर लागू होता है?
हाँ, यदि आप सऊदी अरब में रहने वाले व्यक्तियों का व्यक्तिगत डेटा संसाधित करते हैं। बाह्यक्षेत्रीय दायरा जीडीपीआर के दृष्टिकोण के समान है: यदि आप सऊदी निवासियों को सामान या सेवाएं प्रदान करते हैं, या किसी भी उद्देश्य के लिए सऊदी निवासियों के डेटा को संसाधित करते हैं, तो पीडीपीएल लागू होता है। इसमें ईकॉमर्स व्यवसाय, SaaS प्रदाता, डिजिटल सेवाएं और सऊदी कर्मचारियों वाली कोई भी कंपनी (उनके रोजगार डेटा के लिए) शामिल है।
सऊदी अरब में डेटा स्थानीयकरण आवश्यकताएँ क्या हैं?
पीडीपीएल स्वयं समग्र डेटा स्थानीयकरण लागू नहीं करता है - यह अनुमोदित तंत्र के माध्यम से सीमा पार हस्तांतरण की अनुमति देता है। हालाँकि, सेक्टर-विशिष्ट नियम महत्वपूर्ण स्थानीयकरण आवश्यकताओं को बनाते हैं: एसएएमए-विनियमित वित्तीय संस्थानों को ग्राहक वित्तीय डेटा सऊदी अरब के भीतर रखना होगा; विनियमित स्वास्थ्य संस्थाओं के लिए स्वास्थ्य डेटा को सऊदी अरब के भीतर संग्रहीत किया जाना चाहिए; दूरसंचार ग्राहक डेटा की विशिष्ट निवास आवश्यकताएँ हैं। क्लाउड प्रदाता AWS, Microsoft Azure और Google Cloud ने इन आवश्यकताओं को पूरा करने के लिए सऊदी अरब क्लाउड क्षेत्रों की स्थापना की है।
पीडीपीएल बहुराष्ट्रीय कंपनियों के लिए जीडीपीआर के साथ कैसे इंटरैक्ट करता है?
जीडीपीआर और सऊदी पीडीपीएल दोनों के अधीन बहुराष्ट्रीय कंपनियों को दोनों रूपरेखाओं को एक साथ पूरा करना होगा। वे समान सिद्धांत साझा करते हैं लेकिन विशिष्टताओं में भिन्न हैं - पीडीपीएल सहमति आवश्यकताएं, सीमा पार हस्तांतरण तंत्र और उल्लंघन अधिसूचना समयसीमा में सऊदी-विशिष्ट आवश्यकताएं हैं। मुख्य व्यावहारिक चुनौती सीमा पार डेटा प्रवाह है: सऊदी अरब से यूरोपीय संघ के देशों में प्रवाहित होने वाला डेटा स्वचालित रूप से सऊदी पीडीपीएल के अनुरूप नहीं है, क्योंकि गंतव्य पर जीडीपीआर लागू होता है। प्रत्येक स्थानांतरण का मूल्यांकन पीडीपीएल के तंत्र के तहत किया जाना चाहिए।
एसडीएआईए क्या है और इसके पास क्या अधिकार हैं?
SDAIA (सऊदी डेटा और आर्टिफिशियल इंटेलिजेंस अथॉरिटी) सऊदी अरब में डेटा और AI की देखरेख के लिए जिम्मेदार सरकारी निकाय है। 2019 में स्थापित, एसडीएआईए पीडीपीएल का प्रबंधन करता है और इसके पास व्यापक नियामक, जांच और प्रवर्तन शक्तियां हैं। यह मार्गदर्शन और नियम जारी करता है, शिकायतों की जांच करता है, ऑडिट करता है, प्रशासनिक जुर्माना लगाता है और आपराधिक उल्लंघनों को सार्वजनिक अभियोजन के पास भेजता है। एसडीएआईए राष्ट्रीय डेटा गवर्नेंस फ्रेमवर्क का प्रबंधन भी करता है और सऊदी अरब के डेटा अर्थव्यवस्था विकास की देखरेख करता है।
अगले चरण
सऊदी अरब की बढ़ती डिजिटल अर्थव्यवस्था और विज़न 2030 परिवर्तन बढ़ती नियामक आवश्यकताओं के साथ-साथ महत्वपूर्ण व्यावसायिक अवसर पैदा कर रहे हैं। सऊदी सरकारी संस्थाओं, बैंकों, स्वास्थ्य सेवा संगठनों और उद्यम ग्राहकों के साथ व्यापार करने के लिए पीडीपीएल अनुपालन एक शर्त बनती जा रही है।
ECOSIRE संगठनों को अन्य क्षेत्रीय डेटा सुरक्षा आवश्यकताओं के साथ-साथ सऊदी पीडीपीएल अनुपालन में मदद करता है। हमारी सेवाओं में अनुपालन अंतराल मूल्यांकन, गोपनीयता कार्यक्रम डिजाइन, तकनीकी कार्यान्वयन और चल रहे अनुपालन प्रबंधन शामिल हैं।
और जानें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। सऊदी पीडीपीएल आवश्यकताएं एसडीएआईए मार्गदर्शन और प्रवर्तन निर्णयों के माध्यम से विकसित हो रही हैं। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य सऊदी कानूनी सलाहकार से परामर्श लें।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
Odoo Saudi Arabia 2026: ZATCA Phase 2, VAT & Fatoora Setup
Configure Odoo for Saudi compliance: l10n_sa_edi ZATCA Phase 2 clearance, Fatoora QR codes, VAT 15%, GOSI, bilingual Arabic invoices.
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.
रासायनिक उद्योग के लिए ईआरपी: सुरक्षा, अनुपालन और बैच प्रोसेसिंग
ईआरपी सिस्टम रासायनिक कंपनियों के लिए एसडीएस दस्तावेज़, पहुंच और जीएचएस अनुपालन, बैच प्रोसेसिंग, गुणवत्ता नियंत्रण, खतरनाक शिपिंग और फॉर्मूला प्रबंधन कैसे प्रबंधित करते हैं।
Compliance & Regulation से और अधिक
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.
ई-कॉमर्स के लिए साइबर सुरक्षा: 2026 में अपने व्यवसाय को सुरक्षित रखें
2026 के लिए पूर्ण ईकॉमर्स साइबर सुरक्षा गाइड। पीसीआई डीएसएस 4.0, डब्ल्यूएएफ सेटअप, बॉट सुरक्षा, भुगतान धोखाधड़ी की रोकथाम, सुरक्षा हेडर और घटना प्रतिक्रिया।
रासायनिक उद्योग के लिए ईआरपी: सुरक्षा, अनुपालन और बैच प्रोसेसिंग
ईआरपी सिस्टम रासायनिक कंपनियों के लिए एसडीएस दस्तावेज़, पहुंच और जीएचएस अनुपालन, बैच प्रोसेसिंग, गुणवत्ता नियंत्रण, खतरनाक शिपिंग और फॉर्मूला प्रबंधन कैसे प्रबंधित करते हैं।
आयात/निर्यात व्यापार के लिए ईआरपी: बहु-मुद्रा, रसद और अनुपालन
ईआरपी सिस्टम ट्रेडिंग कंपनियों के लिए क्रेडिट पत्र, सीमा शुल्क दस्तावेज़ीकरण, इनकोटर्म्स, बहु-मुद्रा पी एंड एल, कंटेनर ट्रैकिंग और शुल्क गणना को कैसे संभालते हैं।
ईआरपी के साथ स्थिरता और ईएसजी रिपोर्टिंग: अनुपालन गाइड 2026
ईआरपी सिस्टम के साथ 2026 में ईएसजी रिपोर्टिंग अनुपालन पर नेविगेट करें। सीएसआरडी, जीआरआई, एसएएसबी, स्कोप 1/2/3 उत्सर्जन, कार्बन ट्रैकिंग और ओडू स्थिरता को कवर करता है।
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.