हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंसऊदी अरब पीडीपीएल: व्यक्तिगत डेटा सुरक्षा अनुपालन
सऊदी अरब का व्यक्तिगत डेटा संरक्षण कानून (पीडीपीएल), 16 सितंबर, 2021 को रॉयल डिक्री एम/19 द्वारा अधिनियमित और 17 सितंबर, 2023 को लागू हुआ, किंगडम के पहले व्यापक डेटा संरक्षण कानून का प्रतिनिधित्व करता है। सऊदी डेटा और आर्टिफिशियल इंटेलिजेंस अथॉरिटी (एसडीएआईए) द्वारा प्रशासित, पीडीपीएल सऊदी निवासियों के व्यक्तिगत डेटा को संसाधित करने वाले संगठनों पर लागू होता है और सऊदी बाजार में काम करने वाले या सेवा देने वाले व्यवसायों के लिए महत्वपूर्ण निहितार्थ है।
पीडीपीएल अपने कार्यान्वयन विनियमों (मार्च 2023 में एसडीएआईए द्वारा जारी) के साथ था, जो तकनीकी और संगठनात्मक उपायों, डेटा विषय अधिकार प्रक्रियाओं और सीमा पार डेटा स्थानांतरण स्थितियों पर विस्तृत आवश्यकताएं प्रदान करता है। गैर-अनुपालन के परिणामस्वरूप SAR 5 मिलियन ($1.33 मिलियन USD) तक का जुर्माना और आपराधिक उल्लंघन के लिए एक वर्ष की कैद हो सकती है।
मुख्य बातें
- सऊदी पीडीपीएल सऊदी अरब में व्यक्तियों के व्यक्तिगत डेटा के किसी भी प्रसंस्करण पर लागू होता है, भले ही प्रसंस्करण इकाई कहीं भी स्थित हो
- प्रसंस्करण के लिए आठ कानूनी आधार मौजूद हैं; सहमति स्पष्ट, विशिष्ट, सूचित और सत्यापन योग्य होनी चाहिए
- संवेदनशील डेटा (स्वास्थ्य, आनुवांशिक, क्रेडिट, आपराधिक रिकॉर्ड, बायोमेट्रिक, यौन अभिविन्यास) के लिए स्पष्ट सहमति या विशिष्ट कानूनी अपवाद की आवश्यकता होती है
- सीमा पार स्थानांतरण के लिए एसडीएआईए अनुमोदन या विशिष्ट सुरक्षा उपायों की आवश्यकता होती है - डेटा स्थानीयकरण एक महत्वपूर्ण अनुपालन चुनौती है
- डेटा विषय अधिकारों में पहुंच, सुधार, विलोपन, पोर्टेबिलिटी और आपत्ति शामिल है - 30-दिन की प्रतिक्रिया समयसीमा के साथ
- बड़े पैमाने पर संवेदनशील डेटा संसाधित करने वाले कुछ संगठनों के लिए डीपीओ की नियुक्ति अनिवार्य है
- एसडीएआईए 5 मिलियन एसएआर तक जुर्माना लगा सकता है और नियामक शक्तियों में डेटा प्रोसेसिंग निलंबन शामिल है
- पीडीपीएल सऊदी सेंट्रल बैंक (एसएएमए) और अन्य नियामकों के सेक्टर-विशिष्ट नियमों के साथ लागू होता है
पीडीपीएल का दायरा और प्रयोज्यता
किसे अनुपालन करना चाहिए
सऊदी पीडीपीएल (1443 एएच/2021 का रॉयल डिक्री एम/19) इस पर लागू होता है:
- सऊदी अरब में प्रसंस्करण: कोई भी इकाई सऊदी क्षेत्र के भीतर व्यक्तिगत डेटा संसाधित कर रही है
- सऊदी निवासियों के डेटा का प्रसंस्करण: सऊदी अरब के बाहर की संस्थाएं जो सऊदी अरब में रहने वाले व्यक्तियों के व्यक्तिगत डेटा को संसाधित करती हैं
- सऊदी-आधारित उद्देश्यों के लिए प्रसंस्करण: सऊदी अरब में व्यक्तियों को सामान या सेवाएं प्रदान करने से संबंधित प्रसंस्करण
इस बाह्यक्षेत्रीय दायरे का मतलब है कि सऊदी ग्राहकों को सेवा देने वाले अंतर्राष्ट्रीय व्यवसाय - जिनमें ईकॉमर्स प्लेटफ़ॉर्म, SaaS प्रदाता और डिजिटल सेवाएँ शामिल हैं - को PDPL का अनुपालन करना होगा।
मुख्य परिभाषाएँ:
- व्यक्तिगत डेटा: कोई भी डेटा जो किसी व्यक्ति की विशिष्ट पहचान की ओर ले जाता है, या उनकी पहचान करना संभव बनाता है, जिसमें नाम, व्यक्तिगत पहचान संख्या, पता, संपर्क नंबर और कोई अन्य डेटा शामिल है जो व्यक्ति की पहचान करता है
- संवेदनशील व्यक्तिगत डेटा: स्वास्थ्य डेटा, आनुवांशिक डेटा, क्रेडिट और वित्तीय डेटा, विशेष आवश्यकता वाले व्यक्तियों से संबंधित डेटा, आपराधिक रिकॉर्ड, बायोमेट्रिक डेटा, नस्लीय या जातीय मूल, धार्मिक मान्यताओं को प्रकट करने वाला डेटा और यौन अभिविन्यास सहित निजी जीवन से संबंधित डेटा
छूट
पीडीपीएल इन पर लागू नहीं होता:
- सुरक्षा या न्यायिक उद्देश्यों के लिए सरकारी अधिकारियों द्वारा रखा गया व्यक्तिगत डेटा
- मृत व्यक्तियों का डेटा (परिजनों के अधिकारों का कोई प्रावधान नहीं)
- व्यक्तिगत डेटा व्यक्तिगत या पारिवारिक उद्देश्यों के लिए संसाधित किया गया
- डेटा को इस तरह से अज्ञात किया जाता है कि उसकी पुनः पहचान असंभव हो जाती है
प्रसंस्करण के लिए कानूनी आधार
पीडीपीएल कार्यान्वयन विनियम व्यक्तिगत डेटा के प्रसंस्करण के लिए कानूनी आधार स्थापित करते हैं। नियंत्रकों को प्रत्येक प्रसंस्करण गतिविधि के लिए लागू कानूनी आधार का दस्तावेजीकरण करना होगा:
| कानूनी आधार | विवरण |
|---|---|
| सहमति | डेटा विषय की स्पष्ट सहमति - मुफ़्त, विशिष्ट, सूचित और सत्यापन योग्य |
| अनुबंध | डेटा विषय के साथ अनुबंध निष्पादन के लिए आवश्यक प्रसंस्करण |
| कानूनी बाध्यता | कानूनी या नियामक दायित्व का अनुपालन |
| महत्वपूर्ण रुचियाँ | डेटा विषय के जीवन या स्वास्थ्य की सुरक्षा |
| जनहित | जनहित में कार्य करना |
| वैध हित | जहां नियंत्रक के हित डेटा विषय के अधिकारों के विरुद्ध वैध और संतुलित हैं |
| अनुसंधान और सांख्यिकी | उचित सुरक्षा उपायों के साथ वैज्ञानिक अनुसंधान या सांख्यिकीय उद्देश्यों के लिए |
| कानूनी अधिकारों की रक्षा | कानूनी दावों की स्थापना, अभ्यास, या बचाव |
पीडीपीएल के तहत सहमति आवश्यकताएँ:
- प्रसंस्करण उद्देश्य के लिए स्पष्ट और विशिष्ट होना चाहिए
- अन्य सहमति के साथ बंडल नहीं किया जा सकता
- तकनीकी शब्दजाल के बिना, सरल भाषा में होना चाहिए
- निकासी सहमति प्रदान करने जितनी ही आसान होनी चाहिए -सहमति का रिकार्ड रखना होगा
- विपणन और विज्ञापन के लिए अलग, स्पष्ट सहमति की आवश्यकता होती है
संवेदनशील डेटा: प्रसंस्करण के लिए स्पष्ट सहमति की आवश्यकता होती है या निम्नलिखित में से एक के अंतर्गत आता है: कानूनी दायित्व, डेटा विषय या दूसरों के महत्वपूर्ण हितों की सुरक्षा, स्वास्थ्य देखभाल गोपनीयता दायित्वों के साथ चिकित्सा आवश्यकता, कानूनी कार्यवाही के संबंध में प्रसंस्करण, या उचित सुरक्षा उपायों के साथ वैज्ञानिक अनुसंधान।
डेटा विषय अधिकार
पीडीपीएल डेटा विषयों को सामान्य 30-दिन की प्रतिक्रिया अवधि (अधिसूचना के साथ 30 अतिरिक्त दिनों तक बढ़ाया जा सकता है) के साथ निम्नलिखित अधिकार प्रदान करता है:
सूचित होने का अधिकार: डेटा संग्रह से पहले या उसके समय डेटा विषयों को प्रसंस्करण गतिविधियों के बारे में सूचित किया जाना चाहिए। नियंत्रकों को खुलासा करना होगा: पहचान और संपर्क विवरण, उद्देश्य, कानूनी आधार, डेटा की श्रेणियां, अवधारण अवधि, डेटा विषय अधिकार, सीमा पार स्थानांतरण जानकारी।
पहुंच का अधिकार: डेटा विषय इस बात की पुष्टि का अनुरोध कर सकते हैं कि उनका डेटा संसाधित किया जा रहा है या नहीं और एक प्रति प्राप्त कर सकते हैं। उत्तर 30 दिनों के भीतर प्रदान किया जाना चाहिए; प्रति 12 माह में एक निःशुल्क प्रति (अतिरिक्त प्रतियों के लिए शुल्क अनुमेय)।
सुधार का अधिकार: डेटा विषय गलत या पुराने व्यक्तिगत डेटा में सुधार का अनुरोध कर सकते हैं।
मिटाने का अधिकार: डेटा विषय हटाने का अनुरोध कर सकते हैं जहां: उद्देश्य पूरा हो गया है, सहमति वापस ले ली गई है (बिना किसी अन्य कानूनी आधार के), डेटा गैरकानूनी तरीके से एकत्र किया गया है, या कानूनी दायित्व के कारण हटाने की आवश्यकता है। अपवादों में बनाए रखने की कानूनी बाध्यता, कानूनी अधिकारों का प्रयोग और सार्वजनिक हित अनुसंधान शामिल हैं।
पोर्टेबिलिटी का अधिकार: डेटा विषय किसी अन्य नियंत्रक को ट्रांसमिशन के लिए एक संरचित, मशीन-पठनीय प्रारूप में अपने डेटा का अनुरोध कर सकते हैं।
आपत्ति का अधिकार: डेटा विषय वैध हितों के आधार पर प्रसंस्करण पर आपत्ति कर सकते हैं (नियंत्रक को डेटा विषय के हितों को ओवरराइड करते हुए सम्मोहक वैध आधार प्रदर्शित करना होगा)।
स्वचालित निर्णय लेने को प्रतिबंधित करने का अधिकार: डेटा विषय महत्वपूर्ण स्वचालित निर्णयों की मानव समीक्षा का अनुरोध कर सकते हैं।
नियंत्रक और प्रोसेसर दायित्व
गोपनीयता सूचना आवश्यकताएँ
नियंत्रकों को निम्नलिखित को कवर करते हुए एक स्पष्ट, सुलभ गोपनीयता सूचना प्रदान करनी होगी:
- इकाई का नाम और संपर्क जानकारी
- एकत्र किए गए व्यक्तिगत डेटा की श्रेणियाँ
- प्रसंस्करण के उद्देश्य और कानूनी आधार
- डेटा का उपयोग, खुलासा और हस्तांतरण कैसे किया जाता है
- डेटा अवधारण अवधि
- डेटा विषय अधिकार और उनका प्रयोग कैसे करें
- किसी भी सीमा पार स्थानांतरण के बारे में जानकारी
- डीपीओ के लिए संपर्क जानकारी (यदि नियुक्त हो)
सऊदी-आधारित संचालन के लिए गोपनीयता सूचनाएं अरबी में होनी चाहिए (अनुवाद की आवश्यकता सऊदी उपभोक्ताओं को सेवा देने वाले व्यवसायों पर लागू होती है)।
डेटा संरक्षण अधिकारी (डीपीओ)
पीडीपीएल कार्यान्वयन विनियमों के तहत, डीपीओ की नियुक्ति निम्नलिखित के लिए अनिवार्य है:
- संवेदनशील व्यक्तिगत डेटा को बड़े पैमाने पर संसाधित करने वाले नियंत्रक
- डेटा विषयों की बड़े पैमाने पर व्यवस्थित निगरानी करने वाले नियंत्रक
- सार्वजनिक प्राधिकरण (अपवादों के साथ)
डीपीओ को यह करना होगा:
- डेटा सुरक्षा और सूचना सुरक्षा का विशेषज्ञ ज्ञान रखें
- सीधे वरिष्ठ प्रबंधन को रिपोर्ट करें
- एसडीएआईए और डेटा विषयों के लिए संपर्क बिंदु के रूप में कार्य करें
- पीडीपीएल के अनुपालन की निगरानी करें
- डीपीआईए पर सलाह प्रदान करें
गोपनीयता नोटिस में डीपीओ के संपर्क विवरण का खुलासा किया जाना चाहिए।
डेटा सुरक्षा प्रभाव आकलन (डीपीआईए)
कार्यान्वयन विनियमों को उन गतिविधियों को संसाधित करने से पहले डीपीआईए की आवश्यकता होती है जिनके परिणामस्वरूप डेटा विषयों के लिए उच्च जोखिम हो सकता है, जिनमें शामिल हैं:
- संवेदनशील डेटा का बड़े पैमाने पर प्रसंस्करण
- डेटा विषयों की व्यवस्थित प्रोफाइलिंग
- नवीन प्रौद्योगिकियों से युक्त प्रसंस्करण
- बच्चों के डेटा का बड़े पैमाने पर प्रसंस्करण
DPIA दस्तावेज़ को बनाए रखा जाना चाहिए और अनुरोध पर SDAIA को उपलब्ध कराया जाना चाहिए।
सुरक्षा आवश्यकताएँ
नियंत्रकों को डेटा की संवेदनशीलता और प्रसंस्करण के जोखिमों के अनुरूप तकनीकी और संगठनात्मक उपाय लागू करने चाहिए, जिनमें शामिल हैं:
- भंडारण और ट्रांसमिशन में डेटा एन्क्रिप्शन
- न्यूनतम विशेषाधिकार के सिद्धांत के साथ अभिगम नियंत्रण
- व्यक्तिगत डेटा तक पहुंच के लिए ऑडिट लॉगिंग
- नियमित सुरक्षा परीक्षण और भेद्यता आकलन
- घटना प्रतिक्रिया प्रक्रियाएँ
- व्यक्तिगत डेटा सिस्टम के लिए व्यवसाय निरंतरता और आपदा पुनर्प्राप्ति
- विक्रेता सुरक्षा मूल्यांकन और संविदात्मक आवश्यकताएँ
सीमा पार डेटा स्थानांतरण
पीडीपीएल का अनुच्छेद 29 सऊदी अरब के बाहर व्यक्तिगत डेटा स्थानांतरित करने पर महत्वपूर्ण प्रतिबंध लगाता है। यह पीडीपीएल अनुपालन के सबसे परिचालन रूप से चुनौतीपूर्ण पहलुओं में से एक है।
अनुमत स्थानांतरण तंत्र:
- एसडीएआईए अनुमोदन: स्थानांतरण एसडीएआईए की पूर्व मंजूरी और उसके द्वारा निर्दिष्ट शर्तों के अधीन है
- पर्याप्त सुरक्षा: पर्याप्त स्तर की डेटा सुरक्षा वाले देश में स्थानांतरण (एसडीएआईए एक अनुमोदित सूची रखता है)
- संविदात्मक सुरक्षा उपाय: पर्याप्त सुरक्षा प्रदान करने वाले और एसडीएआईए आवश्यकताओं को पूरा करने वाले अनुबंधों के तहत स्थानांतरण
- बाध्यकारी कॉर्पोरेट नियम: अनुमोदित बाध्यकारी कॉर्पोरेट नियमों के तहत इंट्राग्रुप स्थानांतरण
- सहमति: डेटा विषय की स्पष्ट, सूचित सहमति
- अनुबंध आवश्यकता: डेटा विषय के साथ अनुबंध निष्पादन के लिए स्थानांतरण आवश्यक है
- महत्वपूर्ण हित: महत्वपूर्ण हितों की रक्षा के लिए स्थानांतरण आवश्यक है जहां सहमति प्राप्त नहीं की जा सकती
- सार्वजनिक हित: उचित सुरक्षा उपायों के साथ सार्वजनिक हित के लिए स्थानांतरण आवश्यक है
डेटा स्थानीयकरण विचार: एसएएमए (सऊदी अरब मौद्रिक प्राधिकरण), संचार, अंतरिक्ष और प्रौद्योगिकी आयोग (सीएसटी), और स्वास्थ्य मंत्रालय के क्षेत्र-विशिष्ट नियम वित्तीय, दूरसंचार और स्वास्थ्य डेटा के लिए डेटा स्थानीयकरण आवश्यकताओं को लागू करते हैं। क्लाउड प्रदाताओं को कुछ विनियमित डेटा श्रेणियों के लिए सऊदी अरब के भीतर डेटा केंद्र बनाए रखना होगा।
व्यावहारिक प्रभाव: सऊदी परिचालन वाली कई बहुराष्ट्रीय कंपनियों ने जटिल सीमा पार हस्तांतरण अनुपालन से बचने के लिए सऊदी अरब स्थित क्लाउड क्षेत्रों (एडब्ल्यूएस, एज़्योर और Google क्लाउड से उपलब्ध) का उपयोग करके डेटा रेजिडेंसी समाधान लागू किया है।
उल्लंघन अधिसूचना
पीडीपीएल के अनुच्छेद 20 में नियंत्रकों को डेटा विषयों के अधिकारों या हितों के लिए जोखिम पैदा करने वाले उल्लंघन का पता चलने के 72 घंटों के भीतर व्यक्तिगत डेटा उल्लंघनों के बारे में एसडीएआईए को सूचित करने की आवश्यकता होती है।
आवश्यक उल्लंघन अधिसूचना सामग्री:
- उल्लंघन की प्रकृति और परिस्थितियाँ
- प्रभावित डेटा विषयों की श्रेणियाँ और अनुमानित संख्या
- श्रेणियाँ और प्रभावित रिकॉर्ड की अनुमानित संख्या
- डीपीओ या अन्य संपर्क का नाम और संपर्क विवरण
- उल्लंघन के संभावित परिणाम
- उल्लंघन को संबोधित करने के लिए उपाय किए गए या योजना बनाई गई
डेटा विषयों के लिए अधिसूचना: जब उल्लंघन के परिणामस्वरूप डेटा विषयों के अधिकारों या स्वतंत्रता के लिए उच्च जोखिम होने की संभावना हो तो बिना किसी देरी के आवश्यक है। अधिसूचना में शामिल होना चाहिए: क्या हुआ, किस डेटा पर प्रभाव पड़ा, डेटा विषय खुद को बचाने के लिए क्या कदम उठा सकते हैं, और आगे की पूछताछ के लिए संपर्क जानकारी।
एसडीएआईए प्रवर्तन और दंड
नियामक शक्तियां
एसडीएआईए के पास पीडीपीएल के तहत व्यापक नियामक शक्तियां हैं:
- मार्गदर्शन और विनियम जारी करना
- डेटा विषयों से शिकायतों की जांच करना
- डेटा नियंत्रकों का ऑडिट करना
- प्रशासनिक प्रतिबंध लगाना
- पीडीपीएल का उल्लंघन करने वाली प्रसंस्करण गतिविधियों को निलंबित करना
- लोक अभियोजन को आपराधिक उल्लंघनों का संदर्भ देना
दंड
प्रशासनिक दंड:
- डेटा विषय अधिकारों या नियंत्रक दायित्वों के उल्लंघन के लिए SAR 1 मिलियन ($267,000 USD) तक का जुर्माना
- संवेदनशील व्यक्तिगत डेटा से जुड़े उल्लंघनों के लिए SAR 5 मिलियन ($1.33 मिलियन USD) तक का जुर्माना
- सीमा पार स्थानांतरण उल्लंघन के लिए SAR 5 मिलियन तक का जुर्माना
- दोबारा उल्लंघन करने पर दो साल के भीतर जुर्माना दोगुना किया जा सकता है
आपराधिक दंड:
- प्राधिकरण के बिना संवेदनशील डेटा का खुलासा या प्रकाशन: दो साल तक की कैद और/या एसएआर 3 मिलियन तक जुर्माना
- राष्ट्रीय हितों को नुकसान पहुंचाने के लिए सऊदी अरब के बाहर डेटा स्थानांतरित करना: एक वर्ष तक कारावास और/या एसएआर 1 मिलियन तक जुर्माना
सार्वजनिक प्रकटीकरण: एसडीएआईए सऊदी अरब के केंद्रित व्यापार बाजार में महत्वपूर्ण प्रतिष्ठित प्रभाव वाले उल्लंघनों और प्रतिबंधों के बारे में जानकारी प्रकाशित कर सकता है।
अन्य सऊदी विनियमों के साथ सहभागिता
SAMA साइबर सुरक्षा ढांचा
सऊदी सेंट्रल बैंक (एसएएमए) का अपना साइबर सुरक्षा फ्रेमवर्क (एसएएमएसीएफ) है जो सभी एसएएमए-विनियमित संस्थाओं (बैंकों, बीमा कंपनियों, वित्तपोषण कंपनियों) पर लागू होता है। रूपरेखा में शामिल हैं:
- डेटा वर्गीकरण और सुरक्षा आवश्यकताएँ पीडीपीएल के साथ संरेखित
- घटना प्रतिक्रिया और अधिसूचना आवश्यकताएँ
- तृतीय-पक्ष जोखिम प्रबंधन दायित्व
- क्लाउड सेवा प्रदाता मूल्यांकन आवश्यकताएँ
एसएएमए-विनियमित संस्थाओं को सख्त आवश्यकता के साथ एसएएमएसीएफ और पीडीपीएल दोनों का अनुपालन करना होगा।
सीएसटी व्यक्तिगत डेटा संरक्षण विनियम (दूरसंचार)
संचार, अंतरिक्ष और प्रौद्योगिकी आयोग ने दूरसंचार ऑपरेटरों के लिए ग्राहक डेटा सुरक्षा, स्थान डेटा प्रतिबंध और डेटा स्थानीयकरण सहित दूरसंचार-विशिष्ट डेटा सुरक्षा आवश्यकताएं जारी की हैं।
स्वास्थ्य क्षेत्र विनियम
स्वास्थ्य मंत्रालय और सऊदी स्वास्थ्य परिषद ने स्वास्थ्य देखभाल डेटा सुरक्षा आवश्यकताओं को अनिवार्य करते हुए जारी किया है: डेटा साझा करने के लिए रोगी की सहमति, स्वास्थ्य रिकॉर्ड के लिए डेटा स्थानीयकरण, स्वास्थ्य सूचना प्रणालियों के लिए विशिष्ट सुरक्षा मानक, और व्यावसायिक उद्देश्यों के लिए स्वास्थ्य डेटा का उपयोग करने पर प्रतिबंध।
सऊदी पीडीपीएल अनुपालन चेकलिस्ट
- पीडीपीएल प्रयोज्यता विश्लेषण पूरा हुआ (अतिरिक्तक्षेत्रीय दायरे सहित)
- व्यक्तिगत डेटा और संवेदनशील डेटा सूची पूरी हो गई
- प्रत्येक प्रसंस्करण गतिविधि के लिए कानूनी आधार प्रलेखित
- संवेदनशील डेटा प्रोसेसिंग के लिए अलग से स्पष्ट सहमति प्राप्त की गई
- सभी आवश्यक खुलासों के साथ गोपनीयता सूचना अरबी में (सऊदी उपयोगकर्ताओं के लिए) प्रकाशित की गई
- जहां आवश्यक हो वहां डीपीओ नियुक्त किया जाए; गोपनीयता सूचना में संपर्क जानकारी
- डेटा विषय अधिकार प्रक्रियाएं 30-दिवसीय प्रतिक्रिया तंत्र के साथ प्रलेखित
- प्रोसेसर अनुबंधों को पीडीपीएल आवश्यकताओं के साथ अद्यतन किया गया
- सीमा पार स्थानांतरण मूल्यांकन पूरा हो गया - एसडीएआईए-अनुमोदित तंत्र लागू
- विनियमित क्षेत्रों (वित्त, स्वास्थ्य, दूरसंचार) के लिए डेटा स्थानीयकरण मूल्यांकन
- DPIA उच्च जोखिम वाली प्रसंस्करण गतिविधियों के लिए आयोजित किया गया
- डेटा संवेदनशीलता के अनुपात में सुरक्षा उपाय लागू किए गए
- 72-घंटे की उल्लंघन अधिसूचना प्रक्रिया का दस्तावेजीकरण और परीक्षण किया गया
- अवधारण कार्यक्रम प्रलेखित और स्वचालित विलोपन कॉन्फ़िगर किया गया
- पीडीपीएल दायित्वों पर कर्मचारी प्रशिक्षण पूरा हुआ
अक्सर पूछे जाने वाले प्रश्न
सऊदी अरब का पीडीपीएल कब लागू करने योग्य हुआ?
पीडीपीएल को सितंबर 2021 में रॉयल डिक्री एम/19 द्वारा अधिनियमित किया गया था और इसके कार्यान्वयन नियम मार्च 2023 में जारी किए गए थे। प्रवर्तन 17 सितंबर, 2023 को शुरू हुआ - कानून के अधिनियमन के दो साल बाद। एसडीएआईए ने शुरुआत में अनुपालन तैयारी के लिए छूट अवधि का संकेत दिया था, लेकिन प्रवर्तन अब सक्रिय है। जिन व्यवसायों ने अभी तक अनुपालन कार्यक्रम शुरू नहीं किया है, उन्हें वास्तविक नियामक जोखिम का सामना करना पड़ता है।
क्या सऊदी पीडीपीएल सऊदी अरब के बाहर मेरे व्यवसाय पर लागू होता है?
हाँ, यदि आप सऊदी अरब में रहने वाले व्यक्तियों का व्यक्तिगत डेटा संसाधित करते हैं। बाह्यक्षेत्रीय दायरा जीडीपीआर के दृष्टिकोण के समान है: यदि आप सऊदी निवासियों को सामान या सेवाएं प्रदान करते हैं, या किसी भी उद्देश्य के लिए सऊदी निवासियों के डेटा को संसाधित करते हैं, तो पीडीपीएल लागू होता है। इसमें ईकॉमर्स व्यवसाय, SaaS प्रदाता, डिजिटल सेवाएं और सऊदी कर्मचारियों वाली कोई भी कंपनी (उनके रोजगार डेटा के लिए) शामिल है।
सऊदी अरब में डेटा स्थानीयकरण आवश्यकताएँ क्या हैं?
पीडीपीएल स्वयं समग्र डेटा स्थानीयकरण लागू नहीं करता है - यह अनुमोदित तंत्र के माध्यम से सीमा पार हस्तांतरण की अनुमति देता है। हालाँकि, सेक्टर-विशिष्ट नियम महत्वपूर्ण स्थानीयकरण आवश्यकताओं को बनाते हैं: एसएएमए-विनियमित वित्तीय संस्थानों को ग्राहक वित्तीय डेटा सऊदी अरब के भीतर रखना होगा; विनियमित स्वास्थ्य संस्थाओं के लिए स्वास्थ्य डेटा को सऊदी अरब के भीतर संग्रहीत किया जाना चाहिए; दूरसंचार ग्राहक डेटा की विशिष्ट निवास आवश्यकताएँ हैं। क्लाउड प्रदाता AWS, Microsoft Azure और Google Cloud ने इन आवश्यकताओं को पूरा करने के लिए सऊदी अरब क्लाउड क्षेत्रों की स्थापना की है।
पीडीपीएल बहुराष्ट्रीय कंपनियों के लिए जीडीपीआर के साथ कैसे इंटरैक्ट करता है?
जीडीपीआर और सऊदी पीडीपीएल दोनों के अधीन बहुराष्ट्रीय कंपनियों को दोनों रूपरेखाओं को एक साथ पूरा करना होगा। वे समान सिद्धांत साझा करते हैं लेकिन विशिष्टताओं में भिन्न हैं - पीडीपीएल सहमति आवश्यकताएं, सीमा पार हस्तांतरण तंत्र और उल्लंघन अधिसूचना समयसीमा में सऊदी-विशिष्ट आवश्यकताएं हैं। मुख्य व्यावहारिक चुनौती सीमा पार डेटा प्रवाह है: सऊदी अरब से यूरोपीय संघ के देशों में प्रवाहित होने वाला डेटा स्वचालित रूप से सऊदी पीडीपीएल के अनुरूप नहीं है, क्योंकि गंतव्य पर जीडीपीआर लागू होता है। प्रत्येक स्थानांतरण का मूल्यांकन पीडीपीएल के तंत्र के तहत किया जाना चाहिए।
एसडीएआईए क्या है और इसके पास क्या अधिकार हैं?
SDAIA (सऊदी डेटा और आर्टिफिशियल इंटेलिजेंस अथॉरिटी) सऊदी अरब में डेटा और AI की देखरेख के लिए जिम्मेदार सरकारी निकाय है। 2019 में स्थापित, एसडीएआईए पीडीपीएल का प्रबंधन करता है और इसके पास व्यापक नियामक, जांच और प्रवर्तन शक्तियां हैं। यह मार्गदर्शन और नियम जारी करता है, शिकायतों की जांच करता है, ऑडिट करता है, प्रशासनिक जुर्माना लगाता है और आपराधिक उल्लंघनों को सार्वजनिक अभियोजन के पास भेजता है। एसडीएआईए राष्ट्रीय डेटा गवर्नेंस फ्रेमवर्क का प्रबंधन भी करता है और सऊदी अरब के डेटा अर्थव्यवस्था विकास की देखरेख करता है।
अगले चरण
सऊदी अरब की बढ़ती डिजिटल अर्थव्यवस्था और विज़न 2030 परिवर्तन बढ़ती नियामक आवश्यकताओं के साथ-साथ महत्वपूर्ण व्यावसायिक अवसर पैदा कर रहे हैं। सऊदी सरकारी संस्थाओं, बैंकों, स्वास्थ्य सेवा संगठनों और उद्यम ग्राहकों के साथ व्यापार करने के लिए पीडीपीएल अनुपालन एक शर्त बनती जा रही है।
ECOSIRE संगठनों को अन्य क्षेत्रीय डेटा सुरक्षा आवश्यकताओं के साथ-साथ सऊदी पीडीपीएल अनुपालन में मदद करता है। हमारी सेवाओं में अनुपालन अंतराल मूल्यांकन, गोपनीयता कार्यक्रम डिजाइन, तकनीकी कार्यान्वयन और चल रहे अनुपालन प्रबंधन शामिल हैं।
और जानें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। सऊदी पीडीपीएल आवश्यकताएं एसडीएआईए मार्गदर्शन और प्रवर्तन निर्णयों के माध्यम से विकसित हो रही हैं। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य सऊदी कानूनी सलाहकार से परामर्श लें।
लेखक
ECOSIRE Research and Development Team
ECOSIRE में एंटरप्राइज़-ग्रेड डिजिटल उत्पाद बना रहे हैं। Odoo एकीकरण, ई-कॉमर्स ऑटोमेशन, और AI-संचालित व्यावसायिक समाधानों पर अंतर्दृष्टि साझा कर रहे हैं।
संबंधित लेख
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Compliance & Regulation से और अधिक
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.