Legea privind protecția datelor cu caracter personal a Regatului Arabiei Saudite

Article Protectia datelor in Arabia Saudita. PDPL

În septembrie 2023, Autoritatea Saudită pentru Date și Inteligență Artificială a emis:

Regulamentul de punere în aplicare a Legii privind protecția datelor cu caracter personal ("Regulamentul de aplicare") și

    Regulamentul privind transferul de date cu caracter personal în afara granițelor geografice ale Regatului.

Aceste regulamente au fost elaborate în urma consultării cu diverse entități guvernamentale și marchează o evoluție importantă în peisajul protecției datelor din Regatul Arabiei Saudite, deoarece acestea oferă claritate și detalii semnificative care completează Legea privind protecția datelor cu caracter personal ("PDPL").

PDPL este prima legislație națională cuprinzătoare privind protecția datelor din Regatul Arabiei Saudite. PDPL și regulamentele anexe au intrat în vigoare la 14 septembrie 2023, dar operatorii de date au la dispoziție o perioadă de grație de un an pentru a se conforma cu PDPL (până la 14 septembrie 2024).

Domeniul de aplicare

PDPL se aplică prelucrării datelor cu caracter personal în Arabia Saudită, incluzând orice metodă de prelucrare. În plus, PDPL are o sferă de aplicare extrateritorială, aplicându-se entităților din afara Arabiei Saudite care prelucrează datele cu caracter personal ale persoanelor fizice rezidente în Arabia Saudită.

O trăsătură distinctivă a PDPL, care o diferențiază de alte legi privind protecția datelor este includerea prelucrării datelor cu caracter personal ale persoanelor decedate. Această includere se aplică în cazul în care datele cu caracter personal pot conduce la identificarea persoanei decedate sau a membrilor familiei acesteia.

Principiile legii

1.     Consimțământul și utilizarea interesului legitim

 PDPL interzice prelucrarea datelor cu caracter personal fără consimțământul persoanei vizate, cu excepția unor circumstanțe specifice. Prin urmare, consimțământul este unul dintre principalele temeiuri juridice pentru prelucrarea datelor cu caracter personal, pentru colectarea indirectă a datelor cu caracter personal de la o persoană vizată sau pentru utilizarea datelor în orice alt scop decât cel pentru care au fost colectate inițial.

Cu toate acestea, există situații în care consimțământul nu este obligatoriu pentru furnizarea de servicii sau beneficii. Printre excepțiile de la cerința de consimțământ, așa cum sunt prezentate în PDPL, se numără:

      atunci când activitatea de prelucrare este în interesul persoanei vizate, iar contactarea acesteia este imposibilă sau dificilă;

      atunci când activitatea de prelucrare este efectuată în temeiul unei alte legi sau pentru a pune în aplicare un acord prealabil la care persoana vizată este parte; și

      în cazul în care operatorul de date este o entitate publică și prelucrarea preconizată este necesară pentru securitatea națională sau pentru administrarea justiției.

În plus, Regulamentul de aplicare prevede modalitățile în care un operator de date poate prelucra datele pe baza intereselor legitime. Dezvăluirea operațiunilor de fraudă și protecția securității rețelelor și a informațiilor sunt, de exemplu, câteva "interese legitime" în temeiul articolului 17 alineatul (2) din Regulamentul de aplicare. Regulamentul stipulează condițiile de utilizare a unui astfel de temei juridic:

      scopul nu trebuie să încalce nicio lege din Regatul Arabiei Saudite,

      trebuie să existe un echilibru între drepturile și interesele persoanei vizate și interesele legitime ale operatorului de date,

      o astfel de prelucrare se încadrează în "așteptările rezonabile" ale persoanei vizate, și

      datele sensibile sunt excluse de la o astfel de prelucrare.

Înainte de a prelucra date pe baza unor interese legitime, Regulamentul de aplicare prevede că operatorul de date trebuie să efectueze și să documenteze o evaluare a prelucrării propuse și a impactului acesteia asupra drepturilor și intereselor persoanelor vizate. Evaluarea trebuie să abordeze următoarele elemente:

      identificarea scopului;

      evaluarea legitimității;

      verificarea necesității;

      așteptări rezonabile;

      evaluarea daunelor potențiale; și

      măsuri de atenuare a riscurilor.

Acest lucru este similar cu evaluarea interesului legitim în conformitate cu GDPR. Cu toate acestea, testul în trei părți din GDPR există doar pentru a evalua dacă se aplică interesul legitim. Acesta nu este obligatoriu. Aceasta este o evaluare a riscurilor bazată pe contextul și circumstanțele specifice care asigură operatorului de date că prelucrarea este legală. De asemenea, îl poate ajuta pe operatorul de date să demonstreze conformitatea cu obligațiile sale de operator.

2.     Alte temeiuri juridice

2.1. Contractul cu persoana vizată

PDPL prevede că prelucrarea datelor cu caracter personal nu este supusă consimțământului în anumite circumstanțe, printre care se numără și cazul în care prelucrarea are loc ca urmare a punerii în aplicare a unui acord anterior la care persoana vizată este parte. Cu toate acestea, acest lucru pare să se bazeze pe un "acord anterior" la care persoana vizată este parte, mai degrabă decât "pentru executarea unui contract", așa cum prevede GDPR. Prin urmare, operatorii de date nu pot prelucra date cu caracter personal fără consimțământ pentru a lua măsuri înainte de încheierea unui contract, spre deosebire de GDPR.

2.2. Obligațiile legale

În conformitate cu articolul 6 alineatul (2) din PDPL, prelucrarea datelor cu caracter personal nu este supusă consimțământului în cazul în care prelucrarea este efectuată în temeiul unei alte legi (de exemplu, o obligație legală). În conformitate cu Regulamentul de aplicare, atunci când se divulgă date cu caracter personal ca răspuns la o solicitare din partea unei autorități publice în scopuri de securitate, pentru a pune în aplicare legile existente, pentru a îndeplini cerințele legale sau pentru a asigura sănătatea publică, siguranța sau bunăstarea anumitor persoane, trebuie respectate următoarele măsuri:

      cererea de divulgaintereselor realere ar trebui să fie documentată; și

      tipul de date cu caracter personal a căror divulgare este necesară ar trebui să fie definit cu exactitate.

2.3. Interesele persoanei vizate

Consimțământul nu este necesar pentru prelucrarea datelor cu caracter personal atunci când aceasta servește "intereselor reale" ale persoanei vizate, iar comunicarea cu persoana vizată este fie imposibilă, fie dificilă. Conform Regulamentului de aplicare, "interesele reale" sunt definite ca fiind "orice interes moral sau material al unei persoane vizate care este direct legat de scopul prelucrării datelor cu caracter personal și care este necesar pentru a realiza acest interes." În cazurile în care prelucrarea este necesară pentru a îndeplini un interes real al persoanei vizate, operatorul este obligat să păstreze dovezi care să confirme existența unui astfel de interes și să demonstreze dificultatea sau imposibilitatea de a contacta persoana vizată.

2.4. Interesul public

Deși PDPL nu are un echivalent direct al temeiul pentru îndeplinirea unei sarcini de interes public prevăzut în GDPR, conceptul de interes public se află la baza unor dispoziții din PDPL:

      În ceea ce privește motivele de prelucrare a datelor cu caracter personal, PDPL precizează că o entitate publică poate prelucra date cu caracter personal fără consimțământul persoanei vizate atunci când prelucrarea este necesară în scopuri de securitate sau pentru a îndeplini cerințe judiciare.

      În ceea ce privește colectarea datelor cu caracter personal, în timp ce regula generală impune colectarea datelor direct de la persoana vizată și limitează utilizarea datelor cu caracter personal la scopurile dezvăluite în momentul colectării, legislația permite colectarea indirectă sau prelucrarea în alte scopuri atunci când este în concordanță cu obiectivele de interes public, nevoile de securitate, punerea în aplicare a legii sau cerințele judiciare.

      PDPL permite, de asemenea, dezvăluirea datelor cu caracter personal în cazul în care entitatea solicitantă este o entitate publică, iar colectarea sau prelucrarea este esențială în scopuri de interes public sau de securitate, pentru a pune în aplicare o altă lege sau pentru a îndeplini cerințe judiciare.

În cazul în care o entitate publică (a) colectează date cu caracter personal direct de la o altă persoană decât persoana vizată, (b) prelucrează datele în alt scop decât cel pentru care au fost colectate sau (c) solicită divulgarea acestora pentru a realiza un interes public, trebuie să respecte următoarele condiții:

      să se asigure că astfel de acțiuni sunt necesare pentru a realiza un interes public bine definit;

      să confirme că interesul public identificat se aliniază cu competențele prevăzute de lege pentru entitatea publică;

      să pună în aplicare măsuri adecvate pentru a atenua potențialele prejudicii, inclusiv prin instituirea controalelor administrative și tehnice necesare pentru a se asigura că angajații respectă articolul 41 din PDPL. Acest articol prevede că orice persoană implicată în prelucrarea datelor cu caracter personal trebuie să mențină confidențialitatea datelor chiar și după încetarea contractului de muncă;

      să documenteze aceste operațiuni în registrele de evidență a activităților de prelucrare;

      să colecteze și să prelucreze numai cantitatea minimă de date cu caracter personal necesară pentru atingerea scopului propus.

3.     Dezvăluirea datelor cu caracter personal

PDPL specifică faptul că operatorii pot colecta date cu caracter personal de la persoana vizată și că orice prelucrare a acestor date trebuie să se facă în scopul pentru care au fost colectate. Cu toate acestea, în următoarele cazuri, un operator de date poate colecta date cu caracter personal de la o altă sursă (alta decât persoana vizată) sau poate prelucra datele cu caracter personal în alt scop:

      persoana vizată își dă consimțământul pentru colectarea datelor cu caracter personal sau pentru prelucrarea într-un scop nou;

      datele cu caracter personal sunt disponibile publicului sau sunt colectate din surse disponibile publicului;

      operatorul este o entitate publică, iar datele cu caracter personal nu au fost primite direct de la persoana vizată sau au fost prelucrate în alt scop decât cel pentru care au fost colectate, așa cum este necesar pentru obiective de interes public, în scopuri de securitate sau pentru a pune în aplicare o altă lege sau pentru a îndeplini cerințe judiciare;

      respectarea acestei restricții poate cauza prejudicii persoanei vizate sau poate afecta interesele vitale ale acesteia;

      colectarea sau prelucrarea datelor cu caracter personal este necesară pentru a proteja sănătatea publică, siguranța publică sau pentru a proteja viața sau sănătatea unei anumite persoane;

      datele cu caracter personal nu vor fi înregistrate sau stocate într-o formă care să facă posibilă identificarea directă sau indirectă a persoanei vizate (de exemplu, anonimizare); și

      colectarea sau prelucrarea datelor cu caracter personal este necesară pentru realizarea intereselor legitime ale operatorului sau ale oricărei alte părți, fără a aduce atingere drepturilor sau intereselor persoanei vizate și cu condiția ca datele cu caracter personal să nu fie date sensibile.

Există și circumstanțe în care divulgarea nu este permisă. Operatorul nu poate dezvălui date cu caracter personal în cazul în care dezvăluirea:

      prezintă riscuri de securitate, denaturează reputația Regatului Arabiei Saudite sau acționează împotriva intereselor Regatului;

      are un impact asupra relațiilor Regatului Arabiei Saudite cu alte țări;

      împiedică dezvăluirea unei infracțiuni, afectează drepturile unui acuzat de a beneficia de un proces echitabil sau afectează integritatea procedurilor penale în curs;

      expune oamenii la pericole;

      conduce la încălcarea vieții private a unei alte persoane decât persoana vizată, astfel cum se prevede în regulamente;

      intră în contradicție cu interesul unui minor sau al unei persoane aflate în incapacitate;

      încalcă standardele profesionale legale;

      încalcă un ordin, o procedură sau o obligație judiciară; sau

      dezvăluie o sursă de informații secrete care nu ar trebui să fie divulgată în interes public.

4.     Drepturile persoanelor vizate

La fel ca în cazul GDPR, operatorii de date sunt obligați să dea curs unei cereri din partea unei persoane vizate în termen de 30 de zile (cu excepția anumitor cazuri în care această perioadă poate fi prelungită cu încă 30 de zile, de exemplu, dacă operatorul de date primește mai multe cereri din partea persoanei vizate) și să ofere mijloace adecvate pentru ca cererile să fie prelucrate. În timp ce articolul 4 din PDPL subliniază diferitele drepturi disponibile pentru persoanele vizate, Regulamentul de aplicare oferă acum mai multe detalii și claritate, inclusiv:

      Dreptul de a fi informat: Regulamentul de aplicare face o distincție între cazurile în care datele sunt colectate (A) direct de la o persoană vizată și (B) de la o altă persoană decât persoana vizată.

      În ceea ce privește (A) datele colectate direct de la persoanele vizate, un operator de date trebuie să ia "măsurile necesare" pentru a informa persoanele vizate cu privire la informațiile prescrise, inclusiv temeiul juridic și "scopurile specifice, clare și explicite" al prelucrării. PDPL solicită în mod specific ca un operator de date să utilizeze o politică de confidențialitate pentru a pune anumite informații la dispoziția persoanelor vizate.

      În ceea ce privește (B) datele colectate de la o altă sursă decât persoana vizată, un operator de date trebuie "fără întârzieri nejustificate" și în termen de 30 de zile să ia măsuri pentru a informa persoana vizată cu privire la informațiile prevăzute, în plus față de sursa din care operatorul de date a obținut datele.

      Dreptul de acces și dreptul de a solicita o copie: Regulamentul de aplicare menționează că dreptul de acces și dreptul de a solicita o copie a datelor cu caracter personal într-un "format lizibil și clar" și într-un "format electronic utilizat în mod obișnuit" (deși persoana vizată poate solicita o copie tipărită pe suport de hârtie, dacă este posibil) sunt supuse anumitor condiții, inclusiv faptul că exercitarea dreptului nu trebuie să aibă un impact negativ asupra drepturilor altor persoane. Operatorii de date sunt obligați să se asigure că nu dezvăluie identitatea unei alte persoane atunci când acordă acces la date.

      Dreptul de a restricționa prelucrarea: Regulamentele de aplicare stipulează că persoanele vizate au dreptul de a restricționa prelucrarea datelor lor cu caracter personal în cazul în care exactitatea acestora este contestată (pentru o perioadă care să permită operatorului de date să verifice această exactitate), deși operatorul de date poate solicita dovezi justificative.

      Dreptul de a solicita distrugerea: Regulamentul de aplicare stabilește circumstanțele în care un operator de date trebuie să distrugă datele cu caracter personal, cum ar fi în cazul în care persoana vizată își exercită drepturile, în cazul în care datele cu caracter personal nu mai sunt necesare pentru atingerea scopului pentru care au fost colectate sau dacă operatorul de date constată că datele sunt prelucrate cu încălcarea PDPL. Regulamentul de aplicare prevede, de asemenea, măsurile pe care trebuie să le ia un operator de date atunci când distruge datele cu caracter personal.

Datele cu caracter personal în industria financiară

Principiile și normele de protecție a consumatorilor din domeniul financiar ale Agenției Monetare a Arabiei Saudite ("AMAS") evidențiază protejarea datelor și a informațiilor ca fiind unul dintre cele 10 principii fundamentale pentru protecția consumatorilor aplicabile în toate instituțiile financiare. Entitățile financiare au obligația de a stabili mecanisme adecvate în conformitate cu reglementările, instrucțiunile și politicile relevante pentru a asigura confidențialitatea informațiilor financiare, de credit, de asigurare sau personale ale consumatorilor. Drepturile prezentate în Legea privind protecția datelor cu caracter personal (PDPL) sunt stabilite ca standard de bază.

AMAS a emis, de asemenea, norme care reglementează schimbul de date între creditori și împrumutați, impunând confidențialitatea datelor cu caracter personal ale consumatorilor, limitând prelucrarea acestora exclusiv în scopul acordării de credite și impunând consultarea Biroului de Credit saudit pentru verificarea informațiilor. Un alt regulament emis de AMAS protejează confidențialitatea informațiilor financiare ale persoanelor fizice, subliniind obligația societăților financiare și a angajaților acestora de a păstra confidențialitatea datelor și a tranzacțiilor clienților. Orice divulgare este permisă numai în conformitate cu legile și instrucțiunile relevante.

În plus, în sectorul asigurărilor, există alte regulamente adiționale ce includ obligații în materie de confidențialitate și de protecție a datelor. De exemplu, Regulamentul privind externalizarea în domeniul asigurărilor impune asiguratorilor și furnizorilor de servicii de asigurare să instituie măsuri de protecție adecvate pentru a proteja integritatea și confidențialitatea datelor titularilor de polițe și a datelor financiare, inclusiv prin:

      încheierea de acorduri de confidențialitate;

      furnizarea de date financiare și de date ale asiguratului către o terță parte numai în cazul în care este necesar să fie cunoscute; și

      solicitarea ca partea terță să își separe datele de alte grupuri de date.

AMAS a emis, de asemenea, reglementări care prevăd că societățile trebuie să se asigure în permanență că datele personale ale clienților sunt protejate. Acest lucru înseamnă că datele:

      trebuie să fie obținute și utilizate numai în scopuri specificate și legale;

      trebuie să fie păstrate de către societatea din Arabia Saudită;

      trebuie să fie păstrate în siguranță și actualizate pentru o perioadă de 10 ani;

      trebuie să fie furnizate clientului la cererea scrisă a acestuia; și

      nu trebuie să fie divulgate unei terțe părți fără autorizația prealabilă a AMAS (altele decât auditorii, actuarii, reasigurătorii și coasiguratorii societăților).

Cu toate acestea, decretul de punere în aplicare a PDPL specifică faptul că Autoritatea saudită pentru date și inteligență artificială se va coordona cu AMAS și cu alte instituții pentru a pregăti un memorandum de înțelegere care să reglementeze unele dintre aspectele legate de aplicarea dispozițiilor PDPL și ale regulamentelor asupra entităților reglementate de AMAS. Acest lucru sugerează că va exista un anumit element de tranziție de la stadiul anterior de reglementare sectorială specifică către PDPL ca legislație generală privind datele în Arabia Saudită.

Concluzie: PDPL vs. GDPR

Există unele diferențe între legislația națională privind protecția datelor stabilită în Regatul Arabiei Saudite și GDPR, cum ar fi temeiurile juridice (consimțământul fiind principalul temei juridic) și domeniul de aplicare (regulamentul se aplică datelor cu caracter personal ale persoanelor decedate). Cu toate acestea, atât PDPL, cât și GDPR stabilesc o serie de principii care sunt foarte asemănătoare, cum ar fi:

      Limitarea scopului: Scopul colectării datelor cu caracter personal trebuie să fie direct legat de scopurile operatorului;

      Securitatea: Metodele și mijloacele de colectare a datelor cu caracter personal trebuie să fie adecvate circumstanțelor persoanei vizate, directe, clare, sigure și lipsite de orice tip de fraudă, înșelătorie sau șantaj;;

      Minimizarea datelor: Conținutul datelor cu caracter personal trebuie să fie relevant și restrâns la minimul necesar pentru atingerea scopului propus. Acest conținut nu trebuie să conducă la identificarea directă a persoanei vizate, cu condiția ca obiectivul colectării datelor să fie atins;

      Limitarea stocării: În cazul în care devine clar că datele cu caracter personal colectate nu mai sunt necesare pentru atingerea scopului urmărit prin colectarea lor, operatorul trebuie să oprească colectarea datelor și să distrugă datele fără întârziere;

      Precizie: Operatorul nu poate prelucra date cu caracter personal fără a lua măsuri suficiente să asigure acuratețea, corectitudinea, actualitatea și relevanța datelor în funcție de scopul colectării acestora.

 

 

Diana Cojocaru

Privacy & information

security consultant

Share:
DECALEX  TEAM
Autor: DECALEX TEAM We make privacy easy

PUNE O INTREBARE