技术在不断发展, 越来越多的设备连接到全球网络, 数据变得比以往任何时候都更加重要, 各国正在更加认真地对待数据隐私, 在管辖策略中考虑数据.
沙特阿拉伯于2021年宣布了其第一部数据隐私法——《澳门赌场官方软件》(PDPL).1 除了, 补充PDPL的行政条例草案, 这为PDPL增加了重要的细节, 于2022年3月10日发布以征询公众意见.2 PDPL将于2023年3月17日生效.
与世界各地的其他数据隐私法类似, PDPL似乎是基于欧盟通用数据保护条例(GDPR),3 但在罚款、通知、数据传输和其他警告方面存在一些差异. 这对管理人员和直接接触个人资料的人士很重要, 尤其是那些从事网络安全和数据隐私工作的人, 了解如何通过创建所需的策略为PDPL做好准备, 确保机密的程序和控制, 数据的完整性和可用性. 对于法律专业人员来说,理解PDPL以处理任何外部冲突和不遵守情况下的问题也是至关重要的.
由哪个实体监管PDPL?
头两年, PDPL将由沙特数据和人工智能管理局(saia)监督。. 两年后, 它将根据PDPL条款及其实施条例的应用结果以及数据部门的成熟程度,转移到沙特国家数据管理办公室(NDMO).4
然而, 必须应用PDPL的组织需要与不同的委员会协调, 比如沙特中央银行和沙特通信和信息技术委员会, 这取决于他们的业务和行业.5
哪些机构必须遵守PDPL?
在沙特阿拉伯以任何方式处理与个人有关的个人数据的任何公共或私人组织, 包括以任何方式从国外任何一方处理与居住在沙特阿拉伯的个人有关的个人数据,必须遵守PDPL. 例如, 一个组织即使不是在沙特阿拉伯成立,如果它向沙特阿拉伯的客户销售商品或服务,也可能受到PDPL的影响. PDPL还包括域外效力, 这意味着沙特阿拉伯以外的组织如果处理沙特阿拉伯居民的个人数据,将受到法律及其要求的约束. 在这一点上,PDPL的地域适用与GDPR非常相似.
任何在沙特阿拉伯经营或处理沙特阿拉伯居民个人数据的外国组织必须指定一名当地代表. 预计在即将出台的行政条例中将有更多关于这一要求何时生效的指导. 组织还将任命数据官员来管理对法律的遵守.6
受PDPL保护的信息
《澳门赌场官方软件》的主要目的是保障个人的个人资料私隐,以及规管机构的资料生命周期(例如.e.(收集、储存、使用、处理、保留、处置). 这些数据包括:
- 个人资料-任何可以直接识别个人身份或间接识别个人身份的数据, 包括名字, 个人识别号码, 地址, 联系号码, 牌照号码记录, 个人财产信息, 银行账号, 信用卡号, 个人的照片、录像及其他个人资料7
- 敏感数据-任何形式的个人陈述,包括提及个人的种族或部落血统或宗教信仰, 智力或政治信仰, 或表明个人在民间协会或机构的成员资格以及刑事和安全数据, bioidentifying数据, 基因数据, 信贷数据, 健康数据, 位置数据, 还有一些数据表明父母一方或双方都不认识这个人8
- 基因数据-与自然人的遗传特征或后天特征有关的、唯一识别该人的生理或健康特征或从该人的生物样本分析中提取的每项个人陈述, 例如分析DNA或任何其他导致提取基因数据的样本9
- 健康数据-所有与个人健康状况有关的个人陈述, 是否身体, 精神, 心理上的或与其健康服务相关的10
- 信贷数据-与个人融资请求有关的每一份个人陈述, 不管是为了个人还是家庭目的, 来自从事融资的实体, 包括与个人获得信贷能力有关的任何声明, 能够满足它或信用记录11
如何为PDPL组织做准备
对于需要遵守PDPL的组织, 准备PDPL应遵循三个阶段.
第一阶段:做好准备
必须遵守PDPL的组织必须在电子门户网站上注册,这将形成沙特控制当局的国家记录.12 如果一个组织在沙特阿拉伯境外运作并处理沙特阿拉伯居民的个人数据, 它必须在沙特阿拉伯指定一名代表,监管机构可以就适用法律的遵守情况与该代表联系.
组织应逐字阅读法律文件和执行条例草案,以了解法律的细节. 他们还应该向法律顾问寻求建议.
组织应逐字阅读法律文件和执行条例草案,以了解法律的细节. 他们还应该向法律顾问寻求建议.
最后, 各机构应设立一个数据隐私部门,由拥有国际隐私专业人员协会(IAPP)认证信息隐私经理(CIPM)等全球认可的隐私证书的隐私专家领导,13 ISACA的认证数据隐私解决方案工程师® (CDPSE®)认证14 以及PECB认证数据保护官(CDPO)认证.15 该数据隐私部门将负责实施数据隐私计划,并代表组织对保护其管理的个人数据隐私的承诺. 部门可以采取主动,与监督实体协调,以显示组织遵守PDPL的意图.
第二阶段:数据隐私计划
有效的数据保护计划可以最大限度地减少组织的敏感数据足迹,并有助于保持业务关键型和受监管数据的安全,使其不受未经授权访问的个人的影响. 如果违约确实发生, 数据保护程序可以通过安全地恢复受影响的数据来帮助减少影响.
数据分类和数据映射
一个组织如何保护它不知道的东西? 数据分类可以帮助组织了解它正在处理的数据类型,以及哪些关键数据需要更严格的安全对策. 数据映射是一种对组织收集的数据进行编目的系统,它记录了数据是如何创建的, 存储, 使用, 加工过的, 共享, 存档并销毁. 这允许组织进行组织, 管理和结构化数据以满足运营需求,并帮助组织在需要时轻松访问相关数据. 支持数据流跟踪和维护数据处理活动的充分记录,可以提高数据管理和保护的效率.
评估
隐私评估是确保组织准备就绪的关键因素. 这是一个识别和缩小隐私差距,提高对隐私风险水平及其对组织影响的认识的机会.
- 准备评估-评估组织是否采取了正确的措施(例如.e., 行政, 法律, 符合PDPL和组织现有的所有数据保护能力. 它识别和评价组织对处理性质的准备情况, 处理的合法依据, 安全措施, 数据保留策略, 同意和cookie机制, 数据主体请求框架, 分享个人资料及任何其他规管义务. 准备评估远不止是一张清单. 它让所有业务领域的涉众参与进来,并使用问题和他们的回答来识别当前组织政策和复杂监管需求之间的差距所造成的风险.
- 隐私影响评估(PIA)-要求组织有书面的政策和程序,组织可以在其项目中有效地实施. 应该为每个新项目执行PIA, 确保尽早识别所有隐私风险以将其最小化的流程或系统. PIA的主要目标是:
- 确保项目符合隐私法
- 在项目设计中体现隐私和个人信息
- 确定在不影响隐私的情况下实现项目目标的策略
- 尽早考虑隐私问题,从而降低成本
- 向利益相关者展示隐私优先的方法
- 资料保护影响评估-这有助于组织识别和最小化项目的数据保护风险.
政策
策略有助于在组织中创建文化. 除资讯科技政策外,有关资料私隐的最重要政策包括:
- 隐私通知-这是一份面向数据主体和数据保护机构的对外声明. 它描述了澳门赌场官方下载如何收集、使用、保留、保护和披露个人数据,16 它是由PDPL授权的.
- 隐私政策-这是一个向内的, 管理层正式表达的文件,描述了处理数据的员工必须遵循的总体意图和方向,以保护个人信息.
- 数据保留策略-本政策规定了机构可以保留个人资料的时间, 以及何时以及如何将这些数据收集后的目的和完成.
标准操作程序
标准操作程序(sop)的目的是概述在数据收集过程中应采取的必要步骤和行动, 如何存储和使用收集到的数据, 以及处理和保留组织使用的收集到的个人信息所需的行动,以确保安全处理收集到的与员工相关的个人信息, 客户, 利益相关者和其他受益者.
资讯保安及资料私隐架构
信息安全框架可帮助组织实施所需的保护措施,以维护收集和存储的个人数据的中央情报局. 数据隐私框架识别和管理隐私风险,以构建创新产品和服务,同时保护个人隐私. 美国国家标准与技术研究所(NIST)网络安全框架17 以及NIST数据隐私框架18 是否可以用于增强组织的信息安全和数据隐私程序,并使它们更加连贯.
阶段3:培训和反应
员工, 包括执行团队和董事会, 应否透过频繁的意识培训课程,让他们具备保护客户个人资料的知识,让他们知道个人资料的重要性,以及为什么必须时刻保护这些资料的安全.还应该有一个处理违规行为的既定流程, 例如事件响应和风险管理流程. 员工应该了解这些流程,他们应该包括如何为高级管理层准备行动后报告.
通知PDPL监管机构有关任何泄漏的程序, 遗失或未经授权存取个人资料亦应加以界定. 根据PDPL,通知必须是即时的19 这与GDPR不同,后者可以在事件发生后72小时内通知监管机构.20
不服从
在不遵守规定的情况下,除了罚款之外,组织还应该准备好承担后果.
任何违反法律规定披露或发布敏感数据的人都可能被处以最高2年的监禁或最高3里亚尔的罚款,000,000(约800美元),000)如果该违规行为的发生意图损害数据所有者或意图实现个人利益. 任何违反数据传输条款的人将被处以最高1年的监禁和最高1里亚尔的罚款,000,000(约266美元),000). 如果再次出现这种情况,沙特法院可能会将罚款加倍, 即使结果超过了它的最大限度, 但不得超过该限额的两倍.21
如果违反《澳门赌场官方下载》第35条规定,将处以警告或5韩元以下的罚款,000,000(约1美元),330,(000)适用于任何具有私人自然或法律能力的人,这些人受该制度条款的保护,并且违反了该制度或条例的任何条款.22
结论
任何想要有效工作并保持其在市场上声誉的组织都需要通过实施数据保护和隐私计划来确保其客户信息的安全.
一个好的隐私计划会告诉员工组织计划如何保护信息安全, 谁负责管理该计划?在发生安全漏洞时将采取什么行动. 隐私保护程序的范围很广,可以根据需要进行简短或详细的保护. 全面的概述, 例如, 可能包括具体的软件, 协议, 工具, 等相关数据保护措施到位.
如果在沙特阿拉伯运营或处理沙特居民数据的组织尚未开始其数据隐私计划, 还有时间, 但时间紧迫. 新的隐私法将于2023年3月生效. 必须遵守PDPL的组织现在应该采取行动来保持PDPL的合规性, 在市场中的竞争地位.
尾注
1 沙特阿拉伯部长会议专家局,”个人资料保障制度”
2 国家竞争力中心, 《澳门赌场官方下载》
3 《澳门赌场官方下载》, 2016年4月27日欧洲议会和理事会条例(EU) 2016/679(一般数据保护条例)
4 同前.
5 同前.
6 同前.
7 同前.
8 同前.
9 同前.
10 同前.
11 同前.
12 同前.
13 国际私隐专业人士协会(IAPP)注册信息隐私管理员认证”
14 ISACA®, “注册数据隐私解决方案工程师”
15 PECB。”GDPR:注册数据保护官”
16 ISACA, CDPSE评审手册2020年,美国
17 美国国家标准与技术研究院(NIST) 关键基础设施网络安全改进框架版本1.1.,美国,2018
18 美国国家标准与技术研究院(NIST) NIST隐私框架版本1.美国,2020年
19 Op cit 沙特阿拉伯部长会议专家局
20 Op cit 《澳门赌场官方下载》
21 Op cit 沙特阿拉伯部长会议专家局
22 同前.
巴塞尔因车祸Kablawi, CISM, CDPSE, COBIT Foundation, ITIL v3
信息安全和数据隐私顾问是否具有10年以上的经验,在电信行业的不同行业和技术中提供网络和安全管理和支持服务, 金融科技和非政府组织(NGO)领域. Kablawi促进信息安全和数据隐私, 就安全方向和资源投资向高层领导提供建议, 并设计适当的政策来管理信息安全和数据隐私程序.