ہماری Compliance & Regulation سیریز کا حصہ
مکمل گائیڈ پڑھیںسعودی عرب PDPL: پرسنل ڈیٹا پروٹیکشن کمپلائنس
سعودی عرب کا پرسنل ڈیٹا پروٹیکشن قانون (PDPL)، جو 16 ستمبر 2021 کو رائل ڈیکری M/19 کے ذریعے نافذ کیا گیا اور 17 ستمبر 2023 کو نافذ ہوا، مملکت کے پہلے جامع ڈیٹا پروٹیکشن قانون کی نمائندگی کرتا ہے۔ سعودی ڈیٹا اینڈ آرٹیفیشل انٹیلی جنس اتھارٹی (SDAIA) کے زیر انتظام، PDPL سعودی باشندوں کے ذاتی ڈیٹا پر کارروائی کرنے والی تنظیموں پر لاگو ہوتا ہے اور سعودی مارکیٹ میں کام کرنے یا اس کی خدمت کرنے والے کاروباروں پر اس کے اہم اثرات ہیں۔
PDPL کے ساتھ اس کے نفاذ کے ضوابط (SDAIA کی طرف سے مارچ 2023 میں جاری کیے گئے) تھے، جو تکنیکی اور تنظیمی اقدامات، ڈیٹا کے موضوع کے حقوق کے عمل، اور سرحد پار ڈیٹا کی منتقلی کے حالات کے بارے میں تفصیلی تقاضے فراہم کرتے ہیں۔ عدم تعمیل کے نتیجے میں SAR 5 ملین ($1.33 ملین USD) تک جرمانہ اور مجرمانہ خلاف ورزیوں پر ایک سال قید ہو سکتی ہے۔
اہم ٹیک ویز
- سعودی PDPL سعودی عرب میں افراد کے ذاتی ڈیٹا کی کسی بھی پروسیسنگ پر لاگو ہوتا ہے، قطع نظر اس کے کہ پروسیسنگ ادارہ کہاں واقع ہے۔
- پروسیسنگ کے لیے آٹھ قانونی بنیادیں موجود ہیں؛ رضامندی واضح، مخصوص، باخبر اور قابل تصدیق ہونی چاہیے۔
- حساس ڈیٹا (صحت، جینیاتی، کریڈٹ، مجرمانہ ریکارڈ، بائیو میٹرک، جنسی رجحان) کے لیے واضح رضامندی یا مخصوص قانونی استثناء کی ضرورت ہوتی ہے
- سرحد پار منتقلی کے لیے SDAIA کی منظوری یا مخصوص حفاظتی اقدامات کی ضرورت ہوتی ہے — ڈیٹا لوکلائزیشن ایک اہم تعمیل چیلنج ہے
- ڈیٹا کے موضوع کے حقوق میں رسائی، تصحیح، حذف، نقل پذیری، اور اعتراض شامل ہیں - 30 دن کے جوابی ٹائم لائنز کے ساتھ ڈی پی او کی تقرری بعض تنظیموں کے لیے لازمی ہے جو حساس ڈیٹا کو بڑے پیمانے پر پروسیس کرتی ہیں۔
- SDAIA SAR 5 ملین تک کا جرمانہ عائد کر سکتا ہے اور ریگولیٹری اختیارات میں ڈیٹا پروسیسنگ کی معطلی شامل ہے
- PDPL سعودی سینٹرل بینک (SAMA) اور دیگر ریگولیٹرز کے سیکٹر کے مخصوص ضوابط کے ساتھ ساتھ لاگو ہوتا ہے
PDPL دائرہ کار اور قابل اطلاق
جس پر عمل کرنا ضروری ہے۔
سعودی PDPL (Royal Decree M/19 of 1443 AH / 2021) لاگو ہوتا ہے:
- سعودی عرب میں پروسیسنگ: سعودی سرزمین کے اندر ذاتی ڈیٹا پر کارروائی کرنے والا کوئی بھی ادارہ
- سعودی رہائشیوں کے ڈیٹا کی پروسیسنگ: سعودی عرب سے باہر کے ادارے جو سعودی عرب میں مقیم افراد کے ذاتی ڈیٹا پر کارروائی کرتے ہیں۔
- سعودی مقاصد کے لیے پروسیسنگ: سعودی عرب میں افراد کو سامان یا خدمات کی پیشکش سے متعلق پروسیسنگ
اس بیرونی دائرہ کار کا مطلب ہے کہ سعودی صارفین کی خدمت کرنے والے بین الاقوامی کاروبار — بشمول ای کامرس پلیٹ فارمز، SaaS فراہم کنندگان، اور ڈیجیٹل خدمات — کو PDPL کی تعمیل کرنی چاہیے۔
اہم تعریفیں:
- ذاتی ڈیٹا: کوئی بھی ڈیٹا جو خاص طور پر کسی فرد کی شناخت کا باعث بنتا ہے، یا ان کی شناخت ممکن بناتا ہے، بشمول نام، ذاتی شناختی نمبر، پتہ، رابطہ نمبر، اور کوئی دوسرا ڈیٹا جو فرد کی شناخت کرتا ہے۔
- حساس ذاتی ڈیٹا: صحت کا ڈیٹا، جینیاتی ڈیٹا، کریڈٹ اور مالیاتی ڈیٹا، خصوصی ضروریات والے افراد سے متعلق ڈیٹا، مجرمانہ ریکارڈ، بائیو میٹرک ڈیٹا، نسلی یا نسلی بنیادوں کو ظاہر کرنے والا ڈیٹا، مذہبی عقائد، اور نجی زندگی سے متعلق ڈیٹا بشمول جنسی رجحان
استثنیٰ
PDPL اس پر لاگو نہیں ہوتا:
- سرکاری حکام کے پاس حفاظتی یا عدالتی مقاصد کے لیے ذاتی ڈیٹا
- متوفی افراد کا ڈیٹا (قریبا کے حقوق کی کوئی اگلی شق نہیں)
- ذاتی ڈیٹا پر ذاتی یا خاندانی مقاصد کے لیے کارروائی کی جاتی ہے۔
- ڈیٹا کو اس انداز میں گمنام کیا گیا ہے جو دوبارہ شناخت کو ناممکن بنا دیتا ہے۔
پروسیسنگ کے لیے قانونی بنیادیں۔
PDPL کے نفاذ کے ضوابط ذاتی ڈیٹا پر کارروائی کے لیے قانونی بنیادیں قائم کرتے ہیں۔ کنٹرولرز کو ہر پروسیسنگ سرگرمی کے لیے قابل اطلاق قانونی بنیاد کو دستاویز کرنا چاہیے:
| قانونی بنیاد | تفصیل |
|---|---|
| رضامندی | ڈیٹا کے موضوع کی واضح رضامندی - مفت، مخصوص، باخبر، اور قابل تصدیق |
| معاہدہ | ڈیٹا سبجیکٹ کے ساتھ معاہدے پر عمل درآمد کے لیے ضروری پروسیسنگ |
| قانونی ذمہ داری | قانونی یا ریگولیٹری ذمہ داری کی تعمیل |
| اہم مفادات | ڈیٹا کے موضوع کی زندگی یا صحت کا تحفظ |
| مفاد عامہ | مفاد عامہ میں کام انجام دینا |
| جائز مفادات | جہاں کنٹرولر کے مفادات ڈیٹا کے موضوع کے حقوق کے خلاف جائز اور متوازن ہوں |
| تحقیق اور شماریات | مناسب حفاظتی تدابیر کے ساتھ سائنسی تحقیق یا شماریاتی مقاصد کے لیے |
| قانونی حقوق کا تحفظ | قانونی دعووں کا قیام، مشق، یا دفاع |
PDPL کے تحت رضامندی کے تقاضے:
- پروسیسنگ کے مقصد کے لیے واضح اور مخصوص ہونا چاہیے۔
- دوسری رضامندی کے ساتھ بنڈل نہیں کیا جا سکتا
- سادہ زبان میں ہونا چاہیے، بغیر تکنیکی اصطلاح کے
- واپسی اتنا ہی آسان ہونا چاہیے جتنا کہ رضامندی فراہم کرنا
- رضامندی کا ریکارڈ برقرار رکھنا ضروری ہے۔
- مارکیٹنگ اور اشتہارات کے لیے الگ الگ، واضح رضامندی کی ضرورت ہوتی ہے۔
حساس ڈیٹا: پروسیسنگ کے لیے واضح رضامندی کی ضرورت ہوتی ہے یا مندرجہ ذیل میں سے کسی ایک کے تحت آتا ہے: قانونی ذمہ داری، ڈیٹا کے موضوع یا دوسروں کے اہم مفادات کا تحفظ، صحت کی دیکھ بھال کی رازداری کی ذمہ داریوں کے ساتھ طبی ضرورت، قانونی کارروائی کے سلسلے میں پروسیسنگ، یا مناسب تحفظات کے ساتھ سائنسی تحقیق۔
ڈیٹا سبجیکٹ کے حقوق
PDPL ڈیٹا کے مضامین کو درج ذیل حقوق دیتا ہے، عمومی 30 دن کے جوابی وقفے کے ساتھ (اطلاع کے ساتھ 30 اضافی دنوں تک توسیع کی جاسکتی ہے):
باخبر ہونے کا حق: ڈیٹا کے مضامین کو ڈیٹا اکٹھا کرنے سے پہلے یا اس کے وقت پروسیسنگ کی سرگرمیوں سے آگاہ کیا جانا چاہیے۔ کنٹرولرز کو ظاہر کرنا چاہیے: شناخت اور رابطے کی تفصیلات، مقاصد، قانونی بنیاد، ڈیٹا کے زمرے، برقرار رکھنے کی مدت، ڈیٹا کے موضوع کے حقوق، سرحد پار منتقلی کی معلومات۔
** رسائی کا حق**: ڈیٹا کے مضامین اس بات کی تصدیق کی درخواست کر سکتے ہیں کہ آیا ان کے ڈیٹا پر کارروائی ہو رہی ہے اور ایک کاپی حاصل کر سکتے ہیں۔ جواب 30 دنوں کے اندر فراہم کیا جانا چاہیے؛ ایک مفت کاپی فی 12 ماہ (اضافی کاپیوں کے لیے فیس جائز ہے)۔
تصحیح کا حق: ڈیٹا کے مضامین غلط یا پرانے ذاتی ڈیٹا کی اصلاح کی درخواست کر سکتے ہیں۔
مٹانے کا حق: ڈیٹا کے مضامین حذف کرنے کی درخواست کر سکتے ہیں جہاں: مقصد پورا ہو گیا ہو، رضامندی واپس لے لی گئی ہو (بغیر کسی قانونی بنیاد کے)، ڈیٹا کو غیر قانونی طور پر جمع کیا گیا ہو، یا قانونی ذمہ داری کو حذف کرنے کی ضرورت ہو۔ مستثنیات میں برقرار رکھنے کی قانونی ذمہ داری، قانونی حقوق کا استعمال، اور مفاد عامہ کی تحقیق شامل ہے۔
پوری ایبلٹی کا حق: ڈیٹا کے مضامین دوسرے کنٹرولر کو ٹرانسمیشن کے لیے اپنے ڈیٹا کو ساختی، مشین سے پڑھنے کے قابل فارمیٹ میں درخواست کر سکتے ہیں۔
اعتراض کرنے کا حق: ڈیٹا کے مضامین جائز مفادات کی بنیاد پر پروسیسنگ پر اعتراض کر سکتے ہیں (کنٹرولر کو لازمی طور پر جائز بنیادوں کا مظاہرہ کرنا چاہیے جو ڈیٹا کے موضوع کے مفادات سے بالاتر ہو)۔
خودکار فیصلہ سازی کو محدود کرنے کا حق: ڈیٹا کے مضامین اہم خودکار فیصلوں کے انسانی جائزے کی درخواست کر سکتے ہیں۔
کنٹرولر اور پروسیسر کی ذمہ داریاں
رازداری کے نوٹس کے تقاضے
کنٹرولرز کو ایک واضح، قابل رسائی پرائیویسی نوٹس فراہم کرنا چاہیے جس کا احاطہ کرتا ہے:
- ہستی کا نام اور رابطے کی معلومات
- جمع کردہ ذاتی ڈیٹا کے زمرے
- پروسیسنگ کے مقاصد اور قانونی بنیادیں۔
- ڈیٹا کا استعمال، انکشاف اور منتقلی کیسے کیا جاتا ہے۔
- ڈیٹا برقرار رکھنے کی مدت
- ڈیٹا کے موضوع کے حقوق اور ان کا استعمال کیسے کریں۔
- کسی بھی سرحد پار منتقلی کے بارے میں معلومات
- ڈی پی او کے لیے رابطہ کی معلومات (اگر تعینات کیا گیا ہو)
سعودی پر مبنی کارروائیوں کے لیے رازداری کے نوٹس عربی میں ہونے چاہئیں (ترجمے کی شرط سعودی صارفین کو خدمات فراہم کرنے والے کاروباروں پر لاگو ہوتی ہے)۔
ڈیٹا پروٹیکشن آفیسر (DPO)
پی ڈی پی ایل کے نفاذ کے ضوابط کے تحت، ڈی پی او کی تقرری ان کے لیے لازمی ہے:
- بڑے پیمانے پر حساس ذاتی ڈیٹا پر کارروائی کرنے والے کنٹرولرز
- ڈیٹا کے مضامین کی بڑے پیمانے پر منظم نگرانی کرنے والے کنٹرولرز
- سرکاری حکام (استثنیات کے ساتھ)
ڈی پی او کو چاہیے کہ:
- ڈیٹا کے تحفظ اور معلومات کی حفاظت کے بارے میں ماہرانہ معلومات حاصل کریں۔
- براہ راست سینئر انتظامیہ کو رپورٹ کریں۔
- SDAIA اور ڈیٹا کے مضامین کے لیے رابطہ پوائنٹ کے طور پر کام کریں۔
- PDPL کے ساتھ تعمیل کی نگرانی کریں۔
- DPIAs کے بارے میں مشورہ فراہم کریں۔
ڈی پی او کے رابطے کی تفصیلات کو رازداری کے نوٹس میں ظاہر کرنا ضروری ہے۔
ڈیٹا پروٹیکشن امپیکٹ اسیسمنٹس (DPIAs)
لاگو کرنے والے ضوابط کو کارروائی کرنے سے پہلے DPIAs کی ضرورت ہوتی ہے جس کے نتیجے میں ڈیٹا کے مضامین کو زیادہ خطرہ ہو سکتا ہے، بشمول:
- حساس ڈیٹا کی بڑے پیمانے پر پروسیسنگ
- ڈیٹا کے مضامین کی منظم پروفائلنگ
- پروسیسنگ جس میں نئی ٹیکنالوجیز شامل ہوں۔
- پیمانے پر بچوں کے ڈیٹا کی پروسیسنگ
ڈی پی آئی اے کی دستاویزات لازمی طور پر اپنے پاس رکھی جائیں اور درخواست پر SDAIA کو دستیاب کرائی جائیں۔
سیکیورٹی کے تقاضے
کنٹرولرز کو ڈیٹا کی حساسیت اور پروسیسنگ کے خطرات کے مطابق تکنیکی اور تنظیمی اقدامات کو نافذ کرنا چاہیے، بشمول:
- اسٹوریج اور ٹرانسمیشن میں ڈیٹا کی خفیہ کاری
- کم سے کم استحقاق کے اصول کے ساتھ کنٹرول تک رسائی
- ذاتی ڈیٹا تک رسائی کے لیے آڈٹ لاگنگ
- باقاعدگی سے سیکورٹی ٹیسٹنگ اور خطرے کی تشخیص
- واقعے کے ردعمل کے طریقہ کار
- ذاتی ڈیٹا سسٹمز کے لیے کاروبار کا تسلسل اور ڈیزاسٹر ریکوری
- وینڈر سیکورٹی کی تشخیص اور معاہدے کی ضروریات
سرحد پار ڈیٹا کی منتقلی
PDPL کا آرٹیکل 29 سعودی عرب سے باہر ذاتی ڈیٹا کی منتقلی پر اہم پابندیاں عائد کرتا ہے۔ یہ PDPL تعمیل کے سب سے زیادہ عملی طور پر چیلنج کرنے والے پہلوؤں میں سے ایک ہے۔
منتقلی کے طریقہ کار:
- SDAIA کی منظوری: منتقلی SDAIA کی پیشگی منظوری اور اس کے بیان کردہ شرائط سے مشروط ہے۔
- مناسب تحفظ: ڈیٹا کے تحفظ کی مناسب سطح والے ملک میں منتقلی (SDAIA ایک منظور شدہ فہرست کو برقرار رکھتا ہے)
- معاہدے کے تحفظات: مناسب تحفظ اور SDAIA کی ضروریات کو پورا کرنے والے معاہدوں کے تحت منتقلی
- بائنڈنگ کارپوریٹ رولز: منظور شدہ بائنڈنگ کارپوریٹ رولز کے تحت انٹرا گروپ ٹرانسفر
- رضامندی: ڈیٹا کے موضوع کی واضح، باخبر رضامندی۔
- معاہدے کی ضرورت: ڈیٹا کے موضوع کے ساتھ معاہدے کی کارکردگی کے لیے ضروری منتقلی
- اہم مفادات: اہم مفادات کے تحفظ کے لیے منتقلی ضروری ہے جہاں رضامندی حاصل نہیں کی جاسکتی ہے
- عوامی مفاد: عوامی مفاد کے لیے مناسب حفاظتی اقدامات کے ساتھ منتقلی درکار ہے۔
ڈیٹا لوکلائزیشن کے تحفظات: SAMA (سعودی عربین مانیٹری اتھارٹی)، کمیونیکیشنز، اسپیس اینڈ ٹیکنالوجی کمیشن (CST) اور وزارت صحت کے شعبے سے متعلق ضوابط مالی، ٹیلی کام، اور صحت کے ڈیٹا کے لیے ڈیٹا لوکلائزیشن کے تقاضے عائد کرتے ہیں۔ کلاؤڈ فراہم کرنے والوں کو سعودی عرب کے اندر ڈیٹا سینٹرز کو کچھ ریگولیٹڈ ڈیٹا کیٹیگریز کے لیے برقرار رکھنا چاہیے۔
عملی اثر: سعودی آپریشنز کے ساتھ بہت سی ملٹی نیشنل کمپنیوں نے ڈیٹا ریذیڈنسی سلوشنز کو لاگو کیا ہے — سعودی عرب میں مقیم کلاؤڈ ریجنز (AWS، Azure، اور Google Cloud سے دستیاب) کا استعمال کرتے ہوئے — پیچیدہ سرحد پار منتقلی کی تعمیل سے بچنے کے لیے۔
خلاف ورزی کی اطلاع
PDPL کا آرٹیکل 20 کنٹرولرز سے مطالبہ کرتا ہے کہ وہ SDAIA کو ذاتی ڈیٹا کی خلاف ورزیوں کے بارے میں 72 گھنٹے کے اندر مطلع کریں جس سے ڈیٹا کے مضامین کے حقوق یا مفادات کو خطرہ لاحق ہو۔
مطلوبہ خلاف ورزی کی اطلاع کا مواد:
- خلاف ورزی کی نوعیت اور حالات
- زمرہ جات اور متاثرہ ڈیٹا مضامین کی تخمینی تعداد
- زمرے اور متاثرہ ریکارڈز کی تخمینی تعداد
- ڈی پی او یا دوسرے رابطہ کا نام اور رابطے کی تفصیلات
- خلاف ورزی کے ممکنہ نتائج
- خلاف ورزی کو دور کرنے کے لیے کیے گئے اقدامات یا منصوبہ بندی
ڈیٹا کے مضامین کے لیے اطلاع: بغیر کسی تاخیر کے مطلوب ہے جب خلاف ورزی کے نتیجے میں ڈیٹا کے مضامین کے حقوق یا آزادیوں کو زیادہ خطرہ لاحق ہو سکتا ہے۔ نوٹیفکیشن میں شامل ہونا چاہیے: کیا ہوا، کون سا ڈیٹا متاثر ہوا، ڈیٹا کے مضامین اپنی حفاظت کے لیے کیا اقدامات کر سکتے ہیں، اور مزید پوچھ گچھ کے لیے رابطہ کی معلومات۔
SDAIA نفاذ اور جرمانے
ریگولیٹری پاورز
SDAIA کے پاس PDPL کے تحت وسیع ریگولیٹری اختیارات ہیں:
- رہنمائی اور ضوابط جاری کرنا
- ڈیٹا کے مضامین سے شکایات کی تحقیقات
- ڈیٹا کنٹرولرز کے آڈٹ کا انعقاد
- انتظامی پابندیاں لگانا
- پروسیسنگ سرگرمیوں کو معطل کرنا جو PDPL کی خلاف ورزی کرتی ہیں۔
- مجرمانہ خلاف ورزیوں کا پبلک پراسیکیوشن کو حوالہ دینا
جرمانے
انتظامی جرمانے:
- ڈیٹا سبجیکٹ کے حقوق یا کنٹرولر کی ذمہ داریوں کی خلاف ورزی پر SAR 1 ملین ($267,000 USD) تک کا جرمانہ
- حساس ذاتی ڈیٹا کی خلاف ورزیوں پر SAR 5 ملین ($1.33 ملین USD) تک کا جرمانہ
- سرحد پار منتقلی کی خلاف ورزیوں پر SAR 5 ملین تک کا جرمانہ
- دو سال کے اندر دوبارہ خلاف ورزی کرنے پر جرمانے کو دوگنا کیا جا سکتا ہے۔
مجرمانہ سزائیں:
- بغیر اجازت کے حساس ڈیٹا کو ظاہر کرنا یا شائع کرنا: دو سال تک قید اور/یا 30 لاکھ ریال تک جرمانہ
- قومی مفادات کو نقصان پہنچانے کے لیے ڈیٹا کو سعودی عرب سے باہر منتقل کرنا: ایک سال تک قید اور/یا 10 لاکھ ریال تک جرمانہ
عوامی انکشاف: SDAIA خلاف ورزیوں اور پابندیوں کے بارے میں معلومات شائع کر سکتا ہے، جس میں سعودی عرب کی مرتکز کاروباری منڈی میں نمایاں ساکھ کے اثرات مرتب ہوں گے۔
دیگر سعودی ضوابط کے ساتھ تعامل
سما سائبرسیکیوریٹی فریم ورک
سعودی سینٹرل بینک (SAMA) کا اپنا سائبر سیکیورٹی فریم ورک (SAMACF) ہے جو SAMA کے زیر انتظام تمام اداروں (بینک، انشورنس کمپنیاں، مالیاتی کمپنیاں) پر لاگو ہوتا ہے۔ فریم ورک میں شامل ہیں:
- ڈیٹا کی درجہ بندی اور تحفظ کی ضروریات PDPL کے ساتھ منسلک ہیں۔
- واقعہ کا جواب اور اطلاع کی ضروریات
- تیسرے فریق کے رسک مینجمنٹ کی ذمہ داریاں
- کلاؤڈ سروس فراہم کنندہ کی تشخیص کی ضروریات
SAMA کے زیر انتظام اداروں کو SAMACF اور PDPL دونوں کی تعمیل کرنی چاہیے، سخت ضرورت کے ساتھ۔
CST پرسنل ڈیٹا پروٹیکشن ریگولیشنز (ٹیلی کام)
کمیونیکیشنز، اسپیس اینڈ ٹیکنالوجی کمیشن نے ٹیلی کام کے لیے مخصوص ڈیٹا پروٹیکشن کے تقاضے جاری کیے ہیں جن میں سبسکرائبر ڈیٹا پروٹیکشن، لوکیشن ڈیٹا کی پابندیاں، اور ٹیلی کام آپریٹرز کے لیے ڈیٹا لوکلائزیشن شامل ہیں۔
صحت کے شعبے کے ضوابط
وزارت صحت اور سعودی ہیلتھ کونسل نے ہیلتھ کیئر ڈیٹا کے تحفظ کے تقاضوں کو لازمی طور پر جاری کیا ہے: ڈیٹا شیئرنگ کے لیے مریض کی رضامندی، ہیلتھ ریکارڈز کے لیے ڈیٹا لوکلائزیشن، ہیلتھ انفارمیشن سسٹم کے لیے مخصوص حفاظتی معیارات، اور تجارتی مقاصد کے لیے ہیلتھ ڈیٹا کے استعمال پر پابندیاں۔
سعودی PDPL تعمیل چیک لسٹ
- PDPL قابل اطلاق تجزیہ مکمل ہو گیا (بشمول بیرونی دائرہ کار)
- ذاتی ڈیٹا اور حساس ڈیٹا انوینٹری مکمل ہو گئی۔
- ہر پروسیسنگ سرگرمی کے لیے دستاویزی قانونی بنیاد
- حساس ڈیٹا پروسیسنگ کے لیے حاصل کردہ علیحدہ واضح رضامندی۔
- رازداری کا نوٹس عربی میں شائع ہوا (سعودی صارفین کے لیے) تمام مطلوبہ انکشافات کے ساتھ
- جہاں ضرورت ہو ڈی پی او تعینات رازداری کے نوٹس میں رابطے کی معلومات
- 30 دن کے رسپانس میکانزم کے ساتھ دستاویزی ڈیٹا کے موضوع کے حقوق کے طریقہ کار
- پروسیسر کے معاہدوں کو PDPL کی ضروریات کے ساتھ اپ ڈیٹ کیا گیا ہے۔
- سرحد پار منتقلی کا جائزہ مکمل ہوا — SDAIA سے منظور شدہ میکانزم موجود ہیں
- ریگولیٹڈ سیکٹرز (فنانس، ہیلتھ، ٹیلی کام) کے لیے ڈیٹا لوکلائزیشن کی تشخیص
- DPIA ہائی رسک پروسیسنگ سرگرمیوں کے لیے کرایا گیا۔
- حفاظتی اقدامات ڈیٹا کی حساسیت کے متناسب لاگو کیے گئے ہیں۔
- 72 گھنٹے کی خلاف ورزی کے نوٹیفکیشن کا طریقہ کار دستاویزی اور جانچا گیا۔
- برقرار رکھنے کے نظام الاوقات دستاویزی اور خود کار طریقے سے حذف کرنے کی ترتیب
- PDPL ذمہ داریوں پر ملازمین کی تربیت مکمل ہو گئی۔
اکثر پوچھے گئے سوالات
سعودی عرب کا PDPL کب قابل نفاذ ہوا؟
PDPL کو رائل ڈیکری M/19 کے ذریعے ستمبر 2021 میں نافذ کیا گیا تھا اور اس کے نفاذ کے ضوابط مارچ 2023 میں جاری کیے گئے تھے۔ نفاذ قانون کے نفاذ کے دو سال بعد - 17 ستمبر 2023 کو شروع ہوا۔ SDAIA نے ابتدائی طور پر تعمیل کی تیاری کے لیے رعایتی مدت کی نشاندہی کی، لیکن نفاذ اب فعال ہے۔ وہ کاروبار جنہوں نے ابھی تک تعمیل پروگرام شروع نہیں کیے ہیں انہیں حقیقی ریگولیٹری خطرے کا سامنا ہے۔
کیا سعودی PDPL سعودی عرب سے باہر میرے کاروبار پر لاگو ہوتا ہے؟
ہاں، اگر آپ سعودی عرب میں مقیم افراد کے ذاتی ڈیٹا پر کارروائی کرتے ہیں۔ بیرونی دائرہ کار GDPR کے نقطہ نظر سے ملتا جلتا ہے: اگر آپ سعودی باشندوں کو سامان یا خدمات پیش کرتے ہیں، یا کسی بھی مقصد کے لیے سعودی باشندوں کے ڈیٹا پر کارروائی کرتے ہیں، تو PDPL لاگو ہوتا ہے۔ اس میں ای کامرس کاروبار، SaaS فراہم کرنے والے، ڈیجیٹل خدمات، اور سعودی ملازمین کے ساتھ کوئی بھی کمپنی (ان کے روزگار کے ڈیٹا کے لیے) شامل ہے۔
سعودی عرب میں ڈیٹا لوکلائزیشن کے تقاضے کیا ہیں؟
پی ڈی پی ایل خود ڈیٹا لوکلائزیشن کو لاگو نہیں کرتا ہے - یہ منظور شدہ میکانزم کے ذریعے سرحد پار منتقلی کی اجازت دیتا ہے۔ تاہم، سیکٹر کے لیے مخصوص ضوابط اہم لوکلائزیشن کے تقاضے پیدا کرتے ہیں: SAMA کے زیر انتظام مالیاتی اداروں کو سعودی عرب کے اندر کسٹمر کا مالی ڈیٹا رکھنا چاہیے۔ صحت کے اعداد و شمار کو سعودی عرب کے اندر ریگولیٹڈ ہیلتھ اداروں کے لیے محفوظ کیا جانا چاہیے۔ ٹیلی کام سبسکرائبر ڈیٹا کی مخصوص رہائش کی ضروریات ہوتی ہیں۔ کلاؤڈ فراہم کرنے والے AWS، Microsoft Azure، اور Google Cloud نے ان ضروریات کو پورا کرنے کے لیے سعودی عرب کے کلاؤڈ ریجنز قائم کیے ہیں۔
PDPL ملٹی نیشنل کمپنیوں کے لیے GDPR کے ساتھ کیسے تعامل کرتا ہے؟
GDPR اور سعودی PDPL دونوں سے مشروط ملٹی نیشنل کمپنیوں کو بیک وقت دونوں فریم ورک کو پورا کرنا چاہیے۔ وہ ایک جیسے اصولوں کا اشتراک کرتے ہیں لیکن تفصیلات میں مختلف ہیں — PDPL رضامندی کے تقاضے، سرحد پار منتقلی کے طریقہ کار، اور اطلاع کی خلاف ورزی کی ٹائم لائنز سعودی مخصوص تقاضوں پر مشتمل ہیں۔ اہم عملی چیلنج سرحد پار ڈیٹا کا بہاؤ ہے: سعودی عرب سے یورپی یونین کے ممالک کو بہنے والا ڈیٹا خود بخود سعودی PDPL کے ساتھ مطابقت نہیں رکھتا ہے کیونکہ GDPR منزل مقصود پر لاگو ہوتا ہے۔ ہر منتقلی کا اندازہ PDPL کے طریقہ کار کے تحت ہونا چاہیے۔
SDAIA کیا ہے اور اس کے پاس کیا اتھارٹی ہے؟
SDAIA (سعودی ڈیٹا اور مصنوعی ذہانت اتھارٹی) سعودی عرب میں ڈیٹا اور AI کی نگرانی کا ذمہ دار سرکاری ادارہ ہے۔ 2019 میں قائم کیا گیا، SDAIA PDPL کا انتظام کرتا ہے اور اس کے پاس وسیع ریگولیٹری، تفتیشی، اور نفاذ کے اختیارات ہیں۔ یہ رہنمائی اور ضوابط جاری کرتا ہے، شکایات کی چھان بین کرتا ہے، آڈٹ کرتا ہے، انتظامی جرمانے عائد کرتا ہے، اور مجرمانہ خلاف ورزیوں کو پبلک پراسیکیوشن کے حوالے کرتا ہے۔ SDAIA نیشنل ڈیٹا گورننس فریم ورک کا بھی انتظام کرتا ہے اور سعودی عرب کی ڈیٹا اکانومی کی ترقی کی نگرانی کرتا ہے۔
اگلے اقدامات
سعودی عرب کی بڑھتی ہوئی ڈیجیٹل معیشت اور ویژن 2030 کی تبدیلی تیزی سے سخت ریگولیٹری تقاضوں کے ساتھ اہم کاروباری مواقع پیدا کر رہی ہے۔ PDPL کی تعمیل سعودی حکومتی اداروں، بینکوں، صحت کی دیکھ بھال کرنے والی تنظیموں اور انٹرپرائز صارفین کے ساتھ کاروبار کرنے کے لیے ایک شرط بنتی جا رہی ہے۔
ECOSIRE تنظیموں کو دیگر علاقائی ڈیٹا کے تحفظ کی ضروریات کے ساتھ ساتھ سعودی PDPL کی تعمیل میں مدد کرتا ہے۔ ہماری خدمات میں تعمیل کے فرق کی تشخیص، رازداری کے پروگرام کا ڈیزائن، تکنیکی عمل درآمد، اور جاری تعمیل کا انتظام شامل ہے۔
مزید جانیں: ECOSIRE سروسز
ڈس کلیمر: یہ گائیڈ صرف معلوماتی مقاصد کے لیے ہے اور قانونی مشورے پر مشتمل نہیں ہے۔ سعودی PDPL کی ضروریات SDAIA رہنمائی اور نفاذ کے فیصلوں کے ذریعے تیار ہو رہی ہیں۔ اپنی تنظیم کے لیے مخصوص مشورے کے لیے اہل سعودی قانونی مشیر سے رجوع کریں۔
تحریر
ECOSIRE Research and Development Team
ECOSIRE میں انٹرپرائز گریڈ ڈیجیٹل مصنوعات بنانا۔ Odoo انٹیگریشنز، ای کامرس آٹومیشن، اور AI سے چلنے والے کاروباری حل پر بصیرت شیئر کرنا۔
متعلقہ مضامین
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Compliance & Regulation سے مزید
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.