+7 (499) 550-80-03
4people@grfc.ru
    • Главная Аналитика и законодательство Международные акты и акты иностранных государств в области персональных данных Акты иностранных государств Саудовская Аравия
    15 декабря 2022

    Саудовская Аравия

     

    ЗАКОНОДАТЕЛЬСТВО САУДОВСКОЙ АРАВИИ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Система законодательства. Основные нормативно-правовые акты

    Законодательство Королевства Саудовской Аравии (KSA) в области персональных данных включает:

    • Закон «О защите персональных данных» (PDPL), который опубликован 24.09.2021 и вступит в силу 17.03.2023;
    • Основной закон об управлении 1992 года (Королевский указ №A/90) определяет неприкосновенность частной жизни, гарантирует конфиденциальность общения, включает в себя принципы шариата, запрещающие вторжение в частную жизнь или разглашение секретов;
    • Закон «О борьбе с киберпреступностью» 2017 года (Королевский указ № M/17) направлен на обеспечение информационной безопасности, защиту прав, связанных с законным использованием компьютеров и информационных сетей, защиту общественных интересов, нравственности и защиту национальной экономики;
    • Закон «Об электронной коммерции» от 2019 года (Королевский указ № M/126) содержит некоторые положения о конфиденциальности и распространяется на поставщиков, включая тех, кто находится за пределами KSA, которые предлагают товары/услуги клиентам, базирующимся в KSA.

    Правовые акты Комиссии по коммуникациям и информационным технологиям (CITC):

    • Положение об общих правилах обеспечения конфиденциальности персональных данных пользователей в секторе телекоммуникаций и информационных технологий;
    • Руководство по конфиденциальности для оценки риска для поставщиков телекоммуникационных услуг;
    • Критерии для определения необходимости проведения оценки риска конфиденциальности.

    Кроме того, в 2020 году введены Временные правила защиты персональных данных (PDPIR), которые включены NDMO во Временные правила национального управления данными. Также утверждена Нормативная база облачных вычислений KSA (Cloud Computing Regulatory Framework (CCF) версия 3 в редакции от 03.12.2020), которая регулирует права и обязанности поставщиков облачных услуг (CSP), отдельных клиентов, государственных организаций и предприятий и является одним из немногих примеров нормативно-правовой базы для облачных вычислений и включает в себя принципы защиты данных. Некоторые из положений, например, уведомление о нарушении безопасности, соответствуют подходу, принятому в ЕС.

    Наряду с действующим законодательством, следует отметить проект исполнительного регламента (далее – Регламент) опубликованного Саудовским управлением по обработке данных и искусственному интеллекту (SDAIA) в сотрудничестве с Национальным управлением по управлению данными (NDMO) в марте 2022 г.

    Территориальная и материальная сферы действия

    PDPL применяется:

    • к юридическим лицам (государственным и частным) и их филиалам, которые обрабатывают персональные данные жителей KSA для предоставления им товаров или услуг;
    • к организациям, действующим за пределами KSA, которые обрабатывают персональные данные жителей KSA.

    Закон распространяется на персональные данные всех жителей KSA – как граждан, так и неграждан (то есть, лиц, имеющих вид на жительство). Любая обработка данных резидентов KSA, осуществляемая внутри страны или юридическими лицами, расположенными за ее пределами, также регулируется требованиями закона (экстерриториальное действие).

    Закон защищает персональные данные, включающие информацию, которая может быть использована для идентификации физического лица, в том числе умершего человека или членов его семьи, и исключает информацию, используемую для домашних или личных целей.

    Под личным использованием понимается обработка данных физическим лицом в пределах своей семьи или в пределах своего ограниченного социального круга, принимающего участие в какой-либо социальной или семейной деятельности. Исключение не применяется, когда физическое лицо публикует персональные данные для всеобщего сведения или раскрывает их любому лицу за пределами своей семьи или вне вышеупомянутого социального круга, или когда физическое лицо использует данные для какой-либо профессиональной, некоммерческой или коммерческой деятельности.

    Основные понятия

    Персональные данные

    Любая информация, которая идентифицирует человека или может привести к его идентификации, включая (но не ограничиваясь): имя, номер водительского удостоверения и телефона, адрес электронной почты и номер социального страхования.

    Чувствительные данные

    Конфиденциальные персональные данные в соответствии с PDPL — это любая информация об этносе, религиозных, интеллектуальных или политических убеждениях человека или указывающая на его членство в общественных объединениях или учреждениях; криминальные данные и данные безопасности, биометрические, генетические, кредитные, медицинские сведения, данные о местоположении и сведения, указывающие на то, что у человека один или оба родителя неизвестны.

    Конфиденциальные персональные данные в маркетинговых целях обрабатываться не могут.

    Трансграничная передача персональных данных

    Передача персональных данных за пределы KSA — это отправка персональных данных любыми способами юридическому лицу за пределами KSA или обмен с ним для полной или частичной обработки таких персональных данных для конкретных целей на основании юридического обоснования или практической необходимости.

    Передача данных сторонам за пределами KSA не осуществляется, если это не отвечает интересам KSA, а также в случаях:

    • когда это угрожает жизненно важным интересам физического лица за пределами KSA;
    • для предотвращения заболевания или его лечения;
    • для выполнения соглашения KSA.

    Передача данных должна соответствовать следующим условиям:

    • действия не влекут ущерб национальной безопасности или жизненно важным интересам KSA;
    • данные защищены от утечки или разглашения;
    • минимальный объем данных, необходимый для передачи;
    • компетентный орган одобрил передачу;
    • страна-получатель или компания обеспечивают надлежащий уровень защиты данных.

    Биометрические данные

    Согласно PDPL, «биометрические данные» включены в определение конфиденциальных данных.

    О несовершеннолетних

    Условия получения согласия на обработку персональных данных несовершеннолетних определены в Регламенте:

    • согласие любого лица в возрасте до 13 лет может быть дано только законным опекуном такого лица;
    • контролер может получить согласие лиц в возрасте от 13 до 18 лет в соответствии со следующими условиями: запрос о согласии и любой другой информации, касающейся согласия, должен быть сделан на языке, подходящем для возраста человека; местно ожидать, что лицо в возрастной группе, к которой относится деятельность контролера по обработке, будет осведомлено о последствиях обработки;
    • в случае если контролер получает согласие в отношении ребенка, контролер несет ответственность перед компетентным органом за доказательство того, что лицо в возрастной группе, к которому относятся действия контролера по обработке, осведомлено о последствиях обработки.

    Также NDMO выпущена Политика конфиденциальности детей и недееспособных лиц, положения которой распространяются на государственные органы и некоммерческие организации в KSA, если они обрабатываю данные лиц до 18 лет и полностью или частично недееспособных лиц любыми средствами (в том числе электронными). В Политике предусмотрено, что несовершеннолетний должен пользоваться всеми правами субъектов данных, предусмотренными в Регламенте, а опекун или родитель должны соблюдать эти права.

    Оператор и обработчик

    Согласно PDPL, контролер — это физическое или юридическое лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; а обработчик — это физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера.

    Все контроллеры данных должны зарегистрироваться в SDAIA, который создает электронный портал для ведения Национального реестра контролирующих субъектов и определит соответствующие сборы в соответствии с характером деятельности контролера.

    Права субъекта данных

    PDPL предоставляет жителям Саудовской Аравии права на:

    • получение информации (любая организация, которая обрабатывает персональные данные пользователя, должна информировать пользователя о правовых основаниях для сбора его персональных данных и их цели);
    • доступ (субъекты имеют право на доступ к своим персональным данным и на то, чтобы они были доступны контролирующему органу. Указанное также предполагает право на бесплатное получение копии своих персональных данных в легко читаемом формате в соответствии с законом);
    • исправление (возможность требовать от компаний исправления, обновления или дополнения своих персональных данных в разумные сроки);
    • удаление (возможность запросить удаление персональных данных, если они больше не нужны).

    Перечень не является исчерпывающим. PDPL предоставляет возможность реализовать и другие права, предусмотренные регламентом, например, право знать об использовании новейших технологий (таких как искусственный интеллект).

    Контролер обязан информировать субъекта персональных данных:

    • о содержании данных, которые необходимо собрать и обработать, включая данные, которые впоследствии обрабатываются контролером;
    • о методах и средствах сбора и обработки данных, а также о том, как эти методы и средства используются;
    • о сроках хранения данных;
    • об автоматизированном механизме принятия решений, если таковой имеется, на простом и ясном языке;
    • о методах и средствах, доступных для запроса вмешательства человека, возражения против автоматических решений или выражения точки зрения субъекта данных;
    • о контактных данных уполномоченного по защите персональных данных, если таковой имеется.

    Согласие на обработку персональных данных

    Согласие пользователей обязательно для осуществления обработки их персональных данных, а также для изменения первоначальной цели обработки. При этом субъекты данных могут отозвать свое согласие в любое время.

    Согласие не должно быть обязательным условием для того, чтобы оператор данных предлагал услугу (если только услуга или выгода конкретно не связаны с деятельностью по обработке, на которую получено согласие).

    Согласие на обработку персональных данных не требуется, если:

    • обработка выгодна лицу, а с ним нельзя связаться;
    • обработка требуется по закону или соглашению, стороной которого является физическое лицо; или контролер является государственным органом, и такая обработка требуется в целях безопасности или для удовлетворения судебных требований.

    Определение согласия на обработку персональных данных в Регламенте дифференцировано.

    Так, явное согласие – это устное или письменное выражение воли, которое является конкретным и свободно предоставленным субъектом данных, подтверждающее, что субъект данных согласен на обработку своих персональных данных.

    Подразумеваемое согласие — не дается явно субъектом данных или уполномоченным лицом, но дается конклюдентными действиями лица и подтверждается фактами (обстоятельствами), ситуацией.

    По Регламенту, для обработки персональных данных контролер должен получить согласие любым подходящим способом или в любой подходящей форме, в том числе с помощью письменных форм согласия, электронных форм, настройки в приложениях, устного согласия или подразумеваемого согласия, если они разрешены, при условии, что необходимо учитывать следующее:

    • получить и задокументировать явное согласие способом, который может быть доказан в будущем;
    • после уведомления субъекта персональных данных о цели и юридическом обосновании или практической необходимости согласия, информировании субъекта о доступных возможностях, а также о том, что обработка будет ограничена минимальным объемом данных, необходимым для достижения цели, и что субъект имеет право отозвать свое согласие в любое время.

    Для обработки конфиденциальных данных согласие должно быть исключительно в письменной форме.

    Законным опекуном или законным представителем в случае обработки данных, принадлежащих лицу, полностью или частично недееспособному или умершему, согласие оформляется в письменной форме, за исключением случаев, когда цель обработки связана с профилактической или консультационной службой, осуществляемой в целях безопасности.

    Согласие может быть подразумеваемым только в том случае, если субъект персональных данных в явном виде информирован об обработке и в разумных пределах не представляется возможным запросить у него явное согласие, а действие субъекта персональных данных четко и недвусмысленно подтверждает, что субъект дает согласие на обработку.

     Отраслевое регулирование

    Медицина

    К медицинским данным относится информация о состоянии здоровья человека, будь то физическое, психическое, психологическое или связана с оказанием ему медицинских услуг.

    Медицинские услуги – это услуги, связанные со здоровьем человека, включая профилактические, терапевтические, реабилитационные, фармацевтические услуги.

    Согласно PDPL, дополнительные средства контроля и процедуры в сфере медицины должны быть определены таким образом, чтобы это не противоречило положениям системы. В отношении обработки медицинских данных должна быть обеспечена конфиденциальность, при условии, что средства контроля включают следующее:

    • право доступа к медицинским данным (включая медицинские карты) должно быть ограничено как можно меньшим числом сотрудников и только в объеме, необходимом для предоставления необходимых медицинских услуг;
    • процедуры и процессы обработки медицинских данных должны быть ограничены как можно меньшим числом сотрудников для оказания медицинских услуг или предоставления программ медицинского страхования.

    Регламентом также предусмотрены особенности обработки медицинских данных. Так, контролер обязан принимать любые организационные, технологические, технические и административные средства и меры, которые достаточны для защиты данных о здоровье от любого несанкционированного использования, нарушения или уничтожения и обеспечить конфиденциальность данных о здоровье.

    Контролер обязан, в частности:

    • принять и внедрить требования и меры контроля, изданные Министерством здравоохранения, Центральным банком и Советом здравоохранения Саудовской Аравии в координации с Советом медицинского страхования и соответствующими организациями, которые определяют задачи и обязанности сотрудников поставщиков медицинских услуг;
    • предотвратить доступ любого юридического или физического лица к таким данным, кроме медицинской бригады и сотрудника, которым поручено вводить и обрабатывать такие данные, и только в той мере, в какой это необходимо;
    • ограничить обработку медицинских данных, насколько это возможно, минимальным числом сотрудников, которые должны быть честными и ответственными, определяя при этом их роли и пределы их обязанностей, и обеспечить подписание ими соглашений о сохранении конфиденциальности и неразглашении данных;
    • включить в кодексы поведения сотрудников общие правила о защите персональных данных;
    • распределить задачи и обязанности между сотрудниками таким образом, чтобы предотвратить дублирование ролей или неопределенное распределение ответственности за защиту данных о здоровье, а также обеспечить постепенный доступ к данным среди сотрудников, чтобы обеспечить самый высокий уровень защиты данных;
    • задокументировать все этапы обработки медицинских данных, предоставить средства для определения сотрудника, ответственного за каждый этап обработки, и ограничить доступ до минимально необходимого количества сотрудников;
    • указать в договорах, заключенных между контролером и обработчиками для выполнения работ или задач, связанных с обработкой медицинских данных, положения, обязывающие их следовать вышеуказанным средствам и мерам.

     

    Банковско-кредитная сфера

    В силу того, что принцип согласия на обработку персональных данных является основополагающим в PDPL,  для сбора кредитных данных лица или для изменения цели их сбора, раскрытия или публикации кредитной информации необходимо принять исчерпывающие меры по проверке наличия письменного согласия субъекта. Владелец персональных данных также должен быть уведомлен о поступлении запроса на раскрытие его кредитных данных третьим лицам.

    Согласно Регламенту контролер имеет аналогичные с предыдущей сферой обязанности, характерные для данной отрасли, например, принять и внедрить требования и меры контроля, изданные Центральным банком, Управлением рынка капитала, Налоговым и таможенным управлением и соответствующими органами, которые определяют задачи и обязанности сотрудников учреждений, предоставляющих финансовые продукты и услуги.

    Персональные данные при потребительском кредитовании могут обрабатываться только с целью оценки финансового положения заемщиков или поручителей и их способности погасить согласованный кредит. Саудовское кредитное бюро управляет центральной базой данных с целью регистрации и хранения кредитной информации потребителей и поручителей. Полученные персональные данные могут обрабатываться только с целью оценки финансового положения потребителя и гаранта и их способности погасить задолженность.

    Локализация

    PDPL запрещает контролерам передавать персональные данные или раскрывать персональные данные за пределы KSA, за исключением некоторых случаев.

    Предполагается, что любая иностранная компания, не имеющая юридического представительства в KSA, которая обрабатывает персональные данные жителей Саудовской Аравии, должна назначить местного представителя, имеющего лицензию для этой цели.

    Внимания также заслуживает факт, что в соответствии с CCRF v3 существуют различные требования к локализации. Например, среди прочих условий, поставщики облачных услуг, зарегистрированные в CITC, и клиенты облачных сервисов должны гарантировать, что правительственные данные KSA не передаются за пределы страны ни для каких целей и ни в какой форме, будь то постоянно или временно, если такая передача прямо не разрешена законом или другим нормативным актом в KSA.

    Особенности регулирования

    Контролер имеет возможность собирать персональные данные не только непосредственно от владельца, но и от лица, не являющегося таковым, а также обрабатывать их для целей, отличных от той, для которой они были собраны, в следующих случаях:

    • владелец персональных данных выразил на это согласие;
    • персональные данные находятся в открытом доступе или собраны из общедоступного источника;
    • контролер является публичной организацией и сбор персональных данных осуществляется не непосредственно от его владельца или обработка ведется для цели, отличной от той, для которой данные были собраны;
    • это требуется в целях безопасности для внедрения другой системы или для выполнения судебных требований;
    • если соблюдение запрета на такой сбор может нанести вред владельцу персональных данных или затронуть его жизненно важные интересы;
    • сбор или обработка персональных данных необходимы для защиты общественного здоровья или безопасности, защиты жизни или здоровья конкретного лица или отдельных лиц;
    • если персональные данные не будут записаны или сохранены в формате, позволяющем прямо или косвенно идентифицировать и идентифицировать их владельца.

    PDPL закрепляет, что официальные документы, идентифицирующие владельца персональных данных, не могут быть скопированы за исключением случаев, когда это предусмотрено положениями закона, или когда компетентный государственный орган запрашивает их ксерокопирование.

    Урегулирование споров. Ответственность за нарушения, штрафы

    Владелец персональных данных может подать в компетентный орган любую жалобу, возникающую в связи с применением законодательства о персональных данных. Потерпевшая сторона также может подать иск о возмещении ущерба.


    Надзорный орган

    Управление по обработке данных и искусственному интеллекту Саудовской Аравии (SDAIA) является надзорным органом относительно соблюдения PDPL, а Комиссия по коммуникациям и информационным технологиям (CITC) и Центральный банк Саудовской Аравии (SAMA) сохраняют юрисдикцию в их соответствующем секторе. Так, без ущерба для положений закона и полномочий Центрального банка в соответствии с соответствующими законодательными актами SDAIA должен осуществлять надзор за применением положений закона и нормативных актов; сотрудничать с компетентными органами для выполнения своих задач, а также принимать необходимые меры.

    Обзор отражает авторский взгляд ведущего специалиста-аналитика Болдыревой А.П.
    на зако    нодательство Саудовской Аравии.

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.