हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंसऊदी अरब का व्यक्तिगत डेटा संरक्षण कानून (पीडीपीएल), 16 सितंबर, 2021 को रॉयल डिक्री एम/19 द्वारा अधिनियमित और 17 सितंबर, 2023 को लागू हुआ, किंगडम के पहले व्यापक डेटा संरक्षण कानून का प्रतिनिधित्व करता है। सऊदी डेटा और आर्टिफिशियल इंटेलिजेंस अथॉरिटी (एसडीएआईए) द्वारा प्रशासित, पीडीपीएल सऊदी निवासियों के व्यक्तिगत डेटा को संसाधित करने वाले संगठनों पर लागू होता है और सऊदी बाजार में काम करने वाले या सेवा देने वाले व्यवसायों के लिए महत्वपूर्ण निहितार्थ है।
पीडीपीएल अपने कार्यान्वयन विनियमों (मार्च 2023 में एसडीएआईए द्वारा जारी) के साथ था, जो तकनीकी और संगठनात्मक उपायों, डेटा विषय अधिकार प्रक्रियाओं और सीमा पार डेटा स्थानांतरण स्थितियों पर विस्तृत आवश्यकताएं प्रदान करता है। गैर-अनुपालन के परिणामस्वरूप SAR 5 मिलियन ($1.33 मिलियन USD) तक का जुर्माना और आपराधिक उल्लंघन के लिए एक वर्ष की कैद हो सकती है।
मुख्य बातें
- सऊदी पीडीपीएल सऊदी अरब में व्यक्तियों के व्यक्तिगत डेटा के किसी भी प्रसंस्करण पर लागू होता है, भले ही प्रसंस्करण इकाई कहीं भी स्थित हो
- प्रसंस्करण के लिए आठ कानूनी आधार मौजूद हैं; सहमति स्पष्ट, विशिष्ट, सूचित और सत्यापन योग्य होनी चाहिए
- संवेदनशील डेटा (स्वास्थ्य, आनुवांशिक, क्रेडिट, आपराधिक रिकॉर्ड, बायोमेट्रिक, यौन अभिविन्यास) के लिए स्पष्ट सहमति या विशिष्ट कानूनी अपवाद की आवश्यकता होती है
- सीमा पार स्थानांतरण के लिए एसडीएआईए अनुमोदन या विशिष्ट सुरक्षा उपायों की आवश्यकता होती है - डेटा स्थानीयकरण एक महत्वपूर्ण अनुपालन चुनौती है
- डेटा विषय अधिकारों में पहुंच, सुधार, विलोपन, पोर्टेबिलिटी और आपत्ति शामिल है - 30-दिन की प्रतिक्रिया समयसीमा के साथ
- बड़े पैमाने पर संवेदनशील डेटा संसाधित करने वाले कुछ संगठनों के लिए डीपीओ की नियुक्ति अनिवार्य है
- एसडीएआईए 5 मिलियन एसएआर तक जुर्माना लगा सकता है और नियामक शक्तियों में डेटा प्रोसेसिंग निलंबन शामिल है
- पीडीपीएल सऊदी सेंट्रल बैंक (एसएएमए) और अन्य नियामकों के सेक्टर-विशिष्ट नियमों के साथ लागू होता है
पीडीपीएल का दायरा और प्रयोज्यता
किसे अनुपालन करना चाहिए
सऊदी पीडीपीएल (1443 एएच/2021 का रॉयल डिक्री एम/19) इस पर लागू होता है:
- सऊदी अरब में प्रसंस्करण: कोई भी इकाई सऊदी क्षेत्र के भीतर व्यक्तिगत डेटा संसाधित कर रही है
- सऊदी निवासियों के डेटा का प्रसंस्करण: सऊदी अरब के बाहर की संस्थाएं जो सऊदी अरब में रहने वाले व्यक्तियों के व्यक्तिगत डेटा को संसाधित करती हैं
- सऊदी-आधारित उद्देश्यों के लिए प्रसंस्करण: सऊदी अरब में व्यक्तियों को सामान या सेवाएं प्रदान करने से संबंधित प्रसंस्करण
इस बाह्यक्षेत्रीय दायरे का मतलब है कि सऊदी ग्राहकों को सेवा देने वाले अंतर्राष्ट्रीय व्यवसाय - जिनमें ईकॉमर्स प्लेटफ़ॉर्म, SaaS प्रदाता और डिजिटल सेवाएँ शामिल हैं - को PDPL का अनुपालन करना होगा।
मुख्य परिभाषाएँ:
- व्यक्तिगत डेटा: कोई भी डेटा जो किसी व्यक्ति की विशिष्ट पहचान की ओर ले जाता है, या उनकी पहचान करना संभव बनाता है, जिसमें नाम, व्यक्तिगत पहचान संख्या, पता, संपर्क नंबर और कोई अन्य डेटा शामिल है जो व्यक्ति की पहचान करता है
- संवेदनशील व्यक्तिगत डेटा: स्वास्थ्य डेटा, आनुवांशिक डेटा, क्रेडिट और वित्तीय डेटा, विशेष आवश्यकता वाले व्यक्तियों से संबंधित डेटा, आपराधिक रिकॉर्ड, बायोमेट्रिक डेटा, नस्लीय या जातीय मूल, धार्मिक मान्यताओं को प्रकट करने वाला डेटा और यौन अभिविन्यास सहित निजी जीवन से संबंधित डेटा
छूट
पीडीपीएल इन पर लागू नहीं होता:
- सुरक्षा या न्यायिक उद्देश्यों के लिए सरकारी अधिकारियों द्वारा रखा गया व्यक्तिगत डेटा
- मृत व्यक्तियों का डेटा (परिजनों के अधिकारों का कोई प्रावधान नहीं)
- व्यक्तिगत डेटा व्यक्तिगत या पारिवारिक उद्देश्यों के लिए संसाधित किया गया
- डेटा को इस तरह से अज्ञात किया जाता है कि उसकी पुनः पहचान असंभव हो जाती है
प्रसंस्करण के लिए कानूनी आधार
पीडीपीएल कार्यान्वयन विनियम व्यक्तिगत डेटा के प्रसंस्करण के लिए कानूनी आधार स्थापित करते हैं। नियंत्रकों को प्रत्येक प्रसंस्करण गतिविधि के लिए लागू कानूनी आधार का दस्तावेजीकरण करना होगा:
| कानूनी आधार | विवरण |
|---|---|
| सहमति | डेटा विषय की स्पष्ट सहमति - मुफ़्त, विशिष्ट, सूचित और सत्यापन योग्य |
| अनुबंध | डेटा विषय के साथ अनुबंध निष्पादन के लिए आवश्यक प्रसंस्करण |
| कानूनी बाध्यता | कानूनी या नियामक दायित्व का अनुपालन |
| महत्वपूर्ण रुचियाँ | डेटा विषय के जीवन या स्वास्थ्य की सुरक्षा |
| जनहित | जनहित में कार्य करना |
| वैध हित | जहां नियंत्रक के हित डेटा विषय के अधिकारों के विरुद्ध वैध और संतुलित हैं |
| अनुसंधान और सांख्यिकी | उचित सुरक्षा उपायों के साथ वैज्ञानिक अनुसंधान या सांख्यिकीय उद्देश्यों के लिए |
| कानूनी अधिकारों की रक्षा | कानूनी दावों की स्थापना, अभ्यास, या बचाव |
पीडीपीएल के तहत सहमति आवश्यकताएँ:
- प्रसंस्करण उद्देश्य के लिए स्पष्ट और विशिष्ट होना चाहिए
- अन्य सहमति के साथ बंडल नहीं किया जा सकता
- तकनीकी शब्दजाल के बिना, सरल भाषा में होना चाहिए
- निकासी सहमति प्रदान करने जितनी ही आसान होनी चाहिए -सहमति का रिकार्ड रखना होगा
- विपणन और विज्ञापन के लिए अलग, स्पष्ट सहमति की आवश्यकता होती है
संवेदनशील डेटा: प्रसंस्करण के लिए स्पष्ट सहमति की आवश्यकता होती है या निम्नलिखित में से एक के अंतर्गत आता है: कानूनी दायित्व, डेटा विषय या दूसरों के महत्वपूर्ण हितों की सुरक्षा, स्वास्थ्य देखभाल गोपनीयता दायित्वों के साथ चिकित्सा आवश्यकता, कानूनी कार्यवाही के संबंध में प्रसंस्करण, या उचित सुरक्षा उपायों के साथ वैज्ञानिक अनुसंधान।
डेटा विषय अधिकार
पीडीपीएल डेटा विषयों को सामान्य 30-दिन की प्रतिक्रिया अवधि (अधिसूचना के साथ 30 अतिरिक्त दिनों तक बढ़ाया जा सकता है) के साथ निम्नलिखित अधिकार प्रदान करता है:
सूचित होने का अधिकार: डेटा संग्रह से पहले या उसके समय डेटा विषयों को प्रसंस्करण गतिविधियों के बारे में सूचित किया जाना चाहिए। नियंत्रकों को खुलासा करना होगा: पहचान और संपर्क विवरण, उद्देश्य, कानूनी आधार, डेटा की श्रेणियां, अवधारण अवधि, डेटा विषय अधिकार, सीमा पार स्थानांतरण जानकारी।
पहुंच का अधिकार: डेटा विषय इस बात की पुष्टि का अनुरोध कर सकते हैं कि उनका डेटा संसाधित किया जा रहा है या नहीं और एक प्रति प्राप्त कर सकते हैं। उत्तर 30 दिनों के भीतर प्रदान किया जाना चाहिए; प्रति 12 माह में एक निःशुल्क प्रति (अतिरिक्त प्रतियों के लिए शुल्क अनुमेय)।
सुधार का अधिकार: डेटा विषय गलत या पुराने व्यक्तिगत डेटा में सुधार का अनुरोध कर सकते हैं।
मिटाने का अधिकार: डेटा विषय हटाने का अनुरोध कर सकते हैं जहां: उद्देश्य पूरा हो गया है, सहमति वापस ले ली गई है (बिना किसी अन्य कानूनी आधार के), डेटा गैरकानूनी तरीके से एकत्र किया गया है, या कानूनी दायित्व के कारण हटाने की आवश्यकता है। अपवादों में बनाए रखने की कानूनी बाध्यता, कानूनी अधिकारों का प्रयोग और सार्वजनिक हित अनुसंधान शामिल हैं।
पोर्टेबिलिटी का अधिकार: डेटा विषय किसी अन्य नियंत्रक को ट्रांसमिशन के लिए एक संरचित, मशीन-पठनीय प्रारूप में अपने डेटा का अनुरोध कर सकते हैं।
आपत्ति का अधिकार: डेटा विषय वैध हितों के आधार पर प्रसंस्करण पर आपत्ति कर सकते हैं (नियंत्रक को डेटा विषय के हितों को ओवरराइड करते हुए सम्मोहक वैध आधार प्रदर्शित करना होगा)।
स्वचालित निर्णय लेने को प्रतिबंधित करने का अधिकार: डेटा विषय महत्वपूर्ण स्वचालित निर्णयों की मानव समीक्षा का अनुरोध कर सकते हैं।
नियंत्रक और प्रोसेसर दायित्व
गोपनीयता सूचना आवश्यकताएँ
नियंत्रकों को निम्नलिखित को कवर करते हुए एक स्पष्ट, सुलभ गोपनीयता सूचना प्रदान करनी होगी:
- इकाई का नाम और संपर्क जानकारी
- एकत्र किए गए व्यक्तिगत डेटा की श्रेणियाँ
- प्रसंस्करण के उद्देश्य और कानूनी आधार
- डेटा का उपयोग, खुलासा और हस्तांतरण कैसे किया जाता है
- डेटा अवधारण अवधि
- डेटा विषय अधिकार और उनका प्रयोग कैसे करें
- किसी भी सीमा पार स्थानांतरण के बारे में जानकारी
- डीपीओ के लिए संपर्क जानकारी (यदि नियुक्त हो)
सऊदी-आधारित संचालन के लिए गोपनीयता सूचनाएं अरबी में होनी चाहिए (अनुवाद की आवश्यकता सऊदी उपभोक्ताओं को सेवा देने वाले व्यवसायों पर लागू होती है)।
डेटा संरक्षण अधिकारी (डीपीओ)
पीडीपीएल कार्यान्वयन विनियमों के तहत, डीपीओ की नियुक्ति निम्नलिखित के लिए अनिवार्य है:
- संवेदनशील व्यक्तिगत डेटा को बड़े पैमाने पर संसाधित करने वाले नियंत्रक
- डेटा विषयों की बड़े पैमाने पर व्यवस्थित निगरानी करने वाले नियंत्रक
- सार्वजनिक प्राधिकरण (अपवादों के साथ)
डीपीओ को यह करना होगा:
- डेटा सुरक्षा और सूचना सुरक्षा का विशेषज्ञ ज्ञान रखें
- सीधे वरिष्ठ प्रबंधन को रिपोर्ट करें
- एसडीएआईए और डेटा विषयों के लिए संपर्क बिंदु के रूप में कार्य करें
- पीडीपीएल के अनुपालन की निगरानी करें
- डीपीआईए पर सलाह प्रदान करें
गोपनीयता नोटिस में डीपीओ के संपर्क विवरण का खुलासा किया जाना चाहिए।
डेटा सुरक्षा प्रभाव आकलन (डीपीआईए)
कार्यान्वयन विनियमों को उन गतिविधियों को संसाधित करने से पहले डीपीआईए की आवश्यकता होती है जिनके परिणामस्वरूप डेटा विषयों के लिए उच्च जोखिम हो सकता है, जिनमें शामिल हैं:
- संवेदनशील डेटा का बड़े पैमाने पर प्रसंस्करण
- डेटा विषयों की व्यवस्थित प्रोफाइलिंग
- नवीन प्रौद्योगिकियों से युक्त प्रसंस्करण
- बच्चों के डेटा का बड़े पैमाने पर प्रसंस्करण
DPIA दस्तावेज़ को बनाए रखा जाना चाहिए और अनुरोध पर SDAIA को उपलब्ध कराया जाना चाहिए।
सुरक्षा आवश्यकताएँ
नियंत्रकों को डेटा की संवेदनशीलता और प्रसंस्करण के जोखिमों के अनुरूप तकनीकी और संगठनात्मक उपाय लागू करने चाहिए, जिनमें शामिल हैं:
- भंडारण और ट्रांसमिशन में डेटा एन्क्रिप्शन
- न्यूनतम विशेषाधिकार के सिद्धांत के साथ अभिगम नियंत्रण
- व्यक्तिगत डेटा तक पहुंच के लिए ऑडिट लॉगिंग
- नियमित सुरक्षा परीक्षण और भेद्यता आकलन
- घटना प्रतिक्रिया प्रक्रियाएँ
- व्यक्तिगत डेटा सिस्टम के लिए व्यवसाय निरंतरता और आपदा पुनर्प्राप्ति
- विक्रेता सुरक्षा मूल्यांकन और संविदात्मक आवश्यकताएँ
सीमा पार डेटा स्थानांतरण
पीडीपीएल का अनुच्छेद 29 सऊदी अरब के बाहर व्यक्तिगत डेटा स्थानांतरित करने पर महत्वपूर्ण प्रतिबंध लगाता है। यह पीडीपीएल अनुपालन के सबसे परिचालन रूप से चुनौतीपूर्ण पहलुओं में से एक है।
अनुमत स्थानांतरण तंत्र:
- एसडीएआईए अनुमोदन: स्थानांतरण एसडीएआईए की पूर्व मंजूरी और उसके द्वारा निर्दिष्ट शर्तों के अधीन है
- पर्याप्त सुरक्षा: पर्याप्त स्तर की डेटा सुरक्षा वाले देश में स्थानांतरण (एसडीएआईए एक अनुमोदित सूची रखता है)
- संविदात्मक सुरक्षा उपाय: पर्याप्त सुरक्षा प्रदान करने वाले और एसडीएआईए आवश्यकताओं को पूरा करने वाले अनुबंधों के तहत स्थानांतरण
- बाध्यकारी कॉर्पोरेट नियम: अनुमोदित बाध्यकारी कॉर्पोरेट नियमों के तहत इंट्राग्रुप स्थानांतरण
- सहमति: डेटा विषय की स्पष्ट, सूचित सहमति
- अनुबंध आवश्यकता: डेटा विषय के साथ अनुबंध निष्पादन के लिए स्थानांतरण आवश्यक है
- महत्वपूर्ण हित: महत्वपूर्ण हितों की रक्षा के लिए स्थानांतरण आवश्यक है जहां सहमति प्राप्त नहीं की जा सकती
- सार्वजनिक हित: उचित सुरक्षा उपायों के साथ सार्वजनिक हित के लिए स्थानांतरण आवश्यक है
डेटा स्थानीयकरण विचार: एसएएमए (सऊदी अरब मौद्रिक प्राधिकरण), संचार, अंतरिक्ष और प्रौद्योगिकी आयोग (सीएसटी), और स्वास्थ्य मंत्रालय के क्षेत्र-विशिष्ट नियम वित्तीय, दूरसंचार और स्वास्थ्य डेटा के लिए डेटा स्थानीयकरण आवश्यकताओं को लागू करते हैं। क्लाउड प्रदाताओं को कुछ विनियमित डेटा श्रेणियों के लिए सऊदी अरब के भीतर डेटा केंद्र बनाए रखना होगा।
व्यावहारिक प्रभाव: सऊदी परिचालन वाली कई बहुराष्ट्रीय कंपनियों ने जटिल सीमा पार हस्तांतरण अनुपालन से बचने के लिए सऊदी अरब स्थित क्लाउड क्षेत्रों (एडब्ल्यूएस, एज़्योर और Google क्लाउड से उपलब्ध) का उपयोग करके डेटा रेजिडेंसी समाधान लागू किया है।
उल्लंघन अधिसूचना
पीडीपीएल के अनुच्छेद 20 में नियंत्रकों को डेटा विषयों के अधिकारों या हितों के लिए जोखिम पैदा करने वाले उल्लंघन का पता चलने के 72 घंटों के भीतर व्यक्तिगत डेटा उल्लंघनों के बारे में एसडीएआईए को सूचित करने की आवश्यकता होती है।
आवश्यक उल्लंघन अधिसूचना सामग्री:
- उल्लंघन की प्रकृति और परिस्थितियाँ
- प्रभावित डेटा विषयों की श्रेणियाँ और अनुमानित संख्या
- श्रेणियाँ और प्रभावित रिकॉर्ड की अनुमानित संख्या
- डीपीओ या अन्य संपर्क का नाम और संपर्क विवरण
- उल्लंघन के संभावित परिणाम
- उल्लंघन को संबोधित करने के लिए उपाय किए गए या योजना बनाई गई
डेटा विषयों के लिए अधिसूचना: जब उल्लंघन के परिणामस्वरूप डेटा विषयों के अधिकारों या स्वतंत्रता के लिए उच्च जोखिम होने की संभावना हो तो बिना किसी देरी के आवश्यक है। अधिसूचना में शामिल होना चाहिए: क्या हुआ, किस डेटा पर प्रभाव पड़ा, डेटा विषय खुद को बचाने के लिए क्या कदम उठा सकते हैं, और आगे की पूछताछ के लिए संपर्क जानकारी।
एसडीएआईए प्रवर्तन और दंड
नियामक शक्तियां
एसडीएआईए के पास पीडीपीएल के तहत व्यापक नियामक शक्तियां हैं:
- मार्गदर्शन और विनियम जारी करना
- डेटा विषयों से शिकायतों की जांच करना
- डेटा नियंत्रकों का ऑडिट करना
- प्रशासनिक प्रतिबंध लगाना
- पीडीपीएल का उल्लंघन करने वाली प्रसंस्करण गतिविधियों को निलंबित करना
- लोक अभियोजन को आपराधिक उल्लंघनों का संदर्भ देना
दंड
प्रशासनिक दंड:
- डेटा विषय अधिकारों या नियंत्रक दायित्वों के उल्लंघन के लिए SAR 1 मिलियन ($267,000 USD) तक का जुर्माना
- संवेदनशील व्यक्तिगत डेटा से जुड़े उल्लंघनों के लिए SAR 5 मिलियन ($1.33 मिलियन USD) तक का जुर्माना
- सीमा पार स्थानांतरण उल्लंघन के लिए SAR 5 मिलियन तक का जुर्माना
- दोबारा उल्लंघन करने पर दो साल के भीतर जुर्माना दोगुना किया जा सकता है
आपराधिक दंड:
- प्राधिकरण के बिना संवेदनशील डेटा का खुलासा या प्रकाशन: दो साल तक की कैद और/या एसएआर 3 मिलियन तक जुर्माना
- राष्ट्रीय हितों को नुकसान पहुंचाने के लिए सऊदी अरब के बाहर डेटा स्थानांतरित करना: एक वर्ष तक कारावास और/या एसएआर 1 मिलियन तक जुर्माना
सार्वजनिक प्रकटीकरण: एसडीएआईए सऊदी अरब के केंद्रित व्यापार बाजार में महत्वपूर्ण प्रतिष्ठित प्रभाव वाले उल्लंघनों और प्रतिबंधों के बारे में जानकारी प्रकाशित कर सकता है।
अन्य सऊदी विनियमों के साथ सहभागिता
SAMA साइबर सुरक्षा ढांचा
सऊदी सेंट्रल बैंक (एसएएमए) का अपना साइबर सुरक्षा फ्रेमवर्क (एसएएमएसीएफ) है जो सभी एसएएमए-विनियमित संस्थाओं (बैंकों, बीमा कंपनियों, वित्तपोषण कंपनियों) पर लागू होता है। रूपरेखा में शामिल हैं:
- डेटा वर्गीकरण और सुरक्षा आवश्यकताएँ पीडीपीएल के साथ संरेखित
- घटना प्रतिक्रिया और अधिसूचना आवश्यकताएँ
- तृतीय-पक्ष जोखिम प्रबंधन दायित्व
- क्लाउड सेवा प्रदाता मूल्यांकन आवश्यकताएँ
एसएएमए-विनियमित संस्थाओं को सख्त आवश्यकता के साथ एसएएमएसीएफ और पीडीपीएल दोनों का अनुपालन करना होगा।
सीएसटी व्यक्तिगत डेटा संरक्षण विनियम (दूरसंचार)
संचार, अंतरिक्ष और प्रौद्योगिकी आयोग ने दूरसंचार ऑपरेटरों के लिए ग्राहक डेटा सुरक्षा, स्थान डेटा प्रतिबंध और डेटा स्थानीयकरण सहित दूरसंचार-विशिष्ट डेटा सुरक्षा आवश्यकताएं जारी की हैं।
स्वास्थ्य क्षेत्र विनियम
स्वास्थ्य मंत्रालय और सऊदी स्वास्थ्य परिषद ने स्वास्थ्य देखभाल डेटा सुरक्षा आवश्यकताओं को अनिवार्य करते हुए जारी किया है: डेटा साझा करने के लिए रोगी की सहमति, स्वास्थ्य रिकॉर्ड के लिए डेटा स्थानीयकरण, स्वास्थ्य सूचना प्रणालियों के लिए विशिष्ट सुरक्षा मानक, और व्यावसायिक उद्देश्यों के लिए स्वास्थ्य डेटा का उपयोग करने पर प्रतिबंध।
सऊदी पीडीपीएल अनुपालन चेकलिस्ट
- पीडीपीएल प्रयोज्यता विश्लेषण पूरा हुआ (अतिरिक्तक्षेत्रीय दायरे सहित)
- व्यक्तिगत डेटा और संवेदनशील डेटा सूची पूरी हो गई
- प्रत्येक प्रसंस्करण गतिविधि के लिए कानूनी आधार प्रलेखित
- संवेदनशील डेटा प्रोसेसिंग के लिए अलग से स्पष्ट सहमति प्राप्त की गई
- सभी आवश्यक खुलासों के साथ गोपनीयता सूचना अरबी में (सऊदी उपयोगकर्ताओं के लिए) प्रकाशित की गई
- जहां आवश्यक हो वहां डीपीओ नियुक्त किया जाए; गोपनीयता सूचना में संपर्क जानकारी
- डेटा विषय अधिकार प्रक्रियाएं 30-दिवसीय प्रतिक्रिया तंत्र के साथ प्रलेखित
- प्रोसेसर अनुबंधों को पीडीपीएल आवश्यकताओं के साथ अद्यतन किया गया
- सीमा पार स्थानांतरण मूल्यांकन पूरा हो गया - एसडीएआईए-अनुमोदित तंत्र लागू
- विनियमित क्षेत्रों (वित्त, स्वास्थ्य, दूरसंचार) के लिए डेटा स्थानीयकरण मूल्यांकन
- DPIA उच्च जोखिम वाली प्रसंस्करण गतिविधियों के लिए आयोजित किया गया
- डेटा संवेदनशीलता के अनुपात में सुरक्षा उपाय लागू किए गए
- 72-घंटे की उल्लंघन अधिसूचना प्रक्रिया का दस्तावेजीकरण और परीक्षण किया गया
- अवधारण कार्यक्रम प्रलेखित और स्वचालित विलोपन कॉन्फ़िगर किया गया
- पीडीपीएल दायित्वों पर कर्मचारी प्रशिक्षण पूरा हुआ
अक्सर पूछे जाने वाले प्रश्न
सऊदी अरब का पीडीपीएल कब लागू करने योग्य हुआ?
पीडीपीएल को सितंबर 2021 में रॉयल डिक्री एम/19 द्वारा अधिनियमित किया गया था और इसके कार्यान्वयन नियम मार्च 2023 में जारी किए गए थे। प्रवर्तन 17 सितंबर, 2023 को शुरू हुआ - कानून के अधिनियमन के दो साल बाद। एसडीएआईए ने शुरुआत में अनुपालन तैयारी के लिए छूट अवधि का संकेत दिया था, लेकिन प्रवर्तन अब सक्रिय है। जिन व्यवसायों ने अभी तक अनुपालन कार्यक्रम शुरू नहीं किया है, उन्हें वास्तविक नियामक जोखिम का सामना करना पड़ता है।
क्या सऊदी पीडीपीएल सऊदी अरब के बाहर मेरे व्यवसाय पर लागू होता है?
हाँ, यदि आप सऊदी अरब में रहने वाले व्यक्तियों का व्यक्तिगत डेटा संसाधित करते हैं। बाह्यक्षेत्रीय दायरा जीडीपीआर के दृष्टिकोण के समान है: यदि आप सऊदी निवासियों को सामान या सेवाएं प्रदान करते हैं, या किसी भी उद्देश्य के लिए सऊदी निवासियों के डेटा को संसाधित करते हैं, तो पीडीपीएल लागू होता है। इसमें ईकॉमर्स व्यवसाय, SaaS प्रदाता, डिजिटल सेवाएं और सऊदी कर्मचारियों वाली कोई भी कंपनी (उनके रोजगार डेटा के लिए) शामिल है।
सऊदी अरब में डेटा स्थानीयकरण आवश्यकताएँ क्या हैं?
पीडीपीएल स्वयं समग्र डेटा स्थानीयकरण लागू नहीं करता है - यह अनुमोदित तंत्र के माध्यम से सीमा पार हस्तांतरण की अनुमति देता है। हालाँकि, सेक्टर-विशिष्ट नियम महत्वपूर्ण स्थानीयकरण आवश्यकताओं को बनाते हैं: एसएएमए-विनियमित वित्तीय संस्थानों को ग्राहक वित्तीय डेटा सऊदी अरब के भीतर रखना होगा; विनियमित स्वास्थ्य संस्थाओं के लिए स्वास्थ्य डेटा को सऊदी अरब के भीतर संग्रहीत किया जाना चाहिए; दूरसंचार ग्राहक डेटा की विशिष्ट निवास आवश्यकताएँ हैं। क्लाउड प्रदाता AWS, Microsoft Azure और Google Cloud ने इन आवश्यकताओं को पूरा करने के लिए सऊदी अरब क्लाउड क्षेत्रों की स्थापना की है।
पीडीपीएल बहुराष्ट्रीय कंपनियों के लिए जीडीपीआर के साथ कैसे इंटरैक्ट करता है?
जीडीपीआर और सऊदी पीडीपीएल दोनों के अधीन बहुराष्ट्रीय कंपनियों को दोनों रूपरेखाओं को एक साथ पूरा करना होगा। वे समान सिद्धांत साझा करते हैं लेकिन विशिष्टताओं में भिन्न हैं - पीडीपीएल सहमति आवश्यकताएं, सीमा पार हस्तांतरण तंत्र और उल्लंघन अधिसूचना समयसीमा में सऊदी-विशिष्ट आवश्यकताएं हैं। मुख्य व्यावहारिक चुनौती सीमा पार डेटा प्रवाह है: सऊदी अरब से यूरोपीय संघ के देशों में प्रवाहित होने वाला डेटा स्वचालित रूप से सऊदी पीडीपीएल के अनुरूप नहीं है, क्योंकि गंतव्य पर जीडीपीआर लागू होता है। प्रत्येक स्थानांतरण का मूल्यांकन पीडीपीएल के तंत्र के तहत किया जाना चाहिए।
एसडीएआईए क्या है और इसके पास क्या अधिकार हैं?
SDAIA (सऊदी डेटा और आर्टिफिशियल इंटेलिजेंस अथॉरिटी) सऊदी अरब में डेटा और AI की देखरेख के लिए जिम्मेदार सरकारी निकाय है। 2019 में स्थापित, एसडीएआईए पीडीपीएल का प्रबंधन करता है और इसके पास व्यापक नियामक, जांच और प्रवर्तन शक्तियां हैं। यह मार्गदर्शन और नियम जारी करता है, शिकायतों की जांच करता है, ऑडिट करता है, प्रशासनिक जुर्माना लगाता है और आपराधिक उल्लंघनों को सार्वजनिक अभियोजन के पास भेजता है। एसडीएआईए राष्ट्रीय डेटा गवर्नेंस फ्रेमवर्क का प्रबंधन भी करता है और सऊदी अरब के डेटा अर्थव्यवस्था विकास की देखरेख करता है।
अगले चरण
सऊदी अरब की बढ़ती डिजिटल अर्थव्यवस्था और विज़न 2030 परिवर्तन बढ़ती नियामक आवश्यकताओं के साथ-साथ महत्वपूर्ण व्यावसायिक अवसर पैदा कर रहे हैं। सऊदी सरकारी संस्थाओं, बैंकों, स्वास्थ्य सेवा संगठनों और उद्यम ग्राहकों के साथ व्यापार करने के लिए पीडीपीएल अनुपालन एक शर्त बनती जा रही है।
ECOSIRE संगठनों को अन्य क्षेत्रीय डेटा सुरक्षा आवश्यकताओं के साथ-साथ सऊदी पीडीपीएल अनुपालन में मदद करता है। हमारी सेवाओं में अनुपालन अंतराल मूल्यांकन, गोपनीयता कार्यक्रम डिजाइन, तकनीकी कार्यान्वयन और चल रहे अनुपालन प्रबंधन शामिल हैं।
और जानें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। सऊदी पीडीपीएल आवश्यकताएं एसडीएआईए मार्गदर्शन और प्रवर्तन निर्णयों के माध्यम से विकसित हो रही हैं। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य सऊदी कानूनी सलाहकार से परामर्श लें।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
Compliance & Regulation से और अधिक
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
GoHighLevel A2P 10DLC Compliance in 2026: Registration, Fees, and Fixing Blocked SMS
Complete GoHighLevel A2P 10DLC guide for 2026: brand and campaign registration steps, carrier fees, common rejection reasons, and how to fix filtered SMS.
GxP Validation for ERP Systems: What Your 2026 Validation RFP Must Require (CSV, IQ/OQ/PQ, Audit Trails)
What a GxP ERP validation RFP must require in 2026: CSV and CSA scope, 21 CFR Part 11, EU Annex 11, IQ/OQ/PQ deliverables, audit trails, and GAMP 5 risk.
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.