De Saoedische Personal Data Protection Law (PDPL), vastgesteld bij koninklijk besluit M/19 in september 2021 en gehandhaafd sinds september 2023, is de eerste brede wetgeving voor gegevensbescherming van het Koninkrijk. De PDPL creëert een kader voor het verzamelen, verwerken, opslaan en doorgeven van persoonsgegevens, waarmee Saoedi-Arabië dichter aansluit bij internationale normen voor gegevensbescherming terwijl het eigen regulatoire omgeving van het Koninkrijk wordt weerspiegeld. Bedrijven die in Saoedi-Arabië actief zijn of gegevens uit Saoedi-Arabië verwerken, moeten de vereisten van de PDPL begrijpen en naleven om aanzienlijke sancties te vermijden.
Achtergrond en wetgevingscontext
De PDPL is ontwikkeld onder het gezag van de Saudi Data and Artificial Intelligence Authority (SDAIA), die toezicht houdt op implementatie en handhaving van de wet. Vóór de PDPL werd gegevensbescherming in Saoedi-Arabië geregeld door een lappendeken van sectorspecifieke regels, waaronder bepalingen in de Anti-Cyber Crime Law en de E-Commerce Law. De PDPL consolideert deze gefragmenteerde regels in één brede wet die in alle sectoren en bedrijfstakken geldt. De wet weerspiegelt de ambitie van Saoedi-Arabië onder Vision 2030 om een moderne digitale economie te bouwen die buitenlandse investeringen en technologiebedrijven aantrekt en tegelijk privacyrechten van burgers beschermt.
Reikwijdte en toepasselijkheid
De PDPL geldt voor elke verwerking van persoonsgegevens die binnen Saoedi-Arabië wordt uitgevoerd, evenals voor verwerking van persoonsgegevens van inwoners van Saoedi-Arabië door entiteiten buiten het Koninkrijk. Persoonsgegevens worden ruim gedefinieerd als alle gegevens waarmee een individu direct of indirect kan worden geïdentificeerd, waaronder namen, identificatienummers, locatiegegevens, online identificatoren en biometrische gegevens. De wet geldt voor entiteiten in de private en publieke sector, met bepaalde uitzonderingen voor persoonlijk of gezinsgebruik, opsporingsactiviteiten en gegevens die voor statistische of archiefdoeleinden worden verwerkt wanneer passende waarborgen bestaan.
Rechten van betrokkenen
De PDPL geeft betrokkenen een brede set rechten over hun persoonsgegevens. Personen hebben het recht te worden geïnformeerd over het verzamelen en doel van hun gegevensverwerking, het recht op toegang tot hun gegevens, het recht om correctie van onjuiste gegevens te vragen en het recht om vernietiging van hun gegevens te vragen wanneer die niet langer nodig zijn voor het doel waarvoor zij zijn verzameld. Betrokkenen hebben ook het recht toestemming op elk moment in te trekken en het recht hun gegevens in machineleesbaar formaat te verkrijgen voor overdraagbaarheid. Verwerkingsverantwoordelijken moeten binnen vastgestelde termijnen reageren op verzoeken van betrokkenen en mogen geen buitensporige kosten in rekening brengen voor het uitvoeren van deze verzoeken.
Toestemming en rechtmatige verwerking
Toestemming is onder de PDPL de primaire rechtsgrond voor verwerking van persoonsgegevens. Toestemming moet expliciet, geïnformeerd en vrij gegeven zijn, en moet het doel van de verwerking specificeren. De wet erkent ook alternatieve rechtsgronden voor verwerking, waaronder contractuele noodzaak, naleving van wettelijke verplichtingen, bescherming van vitale belangen en gerechtvaardigde belangen van de verwerkingsverantwoordelijke wanneer deze de fundamentele rechten van de betrokkene niet verdringen. Gevoelige persoonsgegevens, waaronder gezondheidsgegevens, genetische gegevens, biometrische gegevens en gegevens die religieuze of politieke overtuigingen onthullen, vereisen expliciete toestemming en vallen onder aanvullende waarborgen.
Grensoverschrijdende gegevensdoorgiften
De PDPL stelt strikte voorwaarden aan doorgifte van persoonsgegevens buiten Saoedi-Arabië. Doorgiften zijn alleen toegestaan naar landen die volgens de bevoegde autoriteit een passend niveau van gegevensbescherming bieden, of wanneer passende waarborgen bestaan zoals bindende bedrijfsregels, standaardcontractbepalingen of expliciete toestemming van de betrokkene. De uitvoeringsregels van SDAIA geven verdere details over de mechanismen en voorwaarden voor grensoverschrijdende doorgiften. Bedrijven moeten effectbeoordelingen voor doorgiften uitvoeren en documentatie bijhouden die naleving van deze vereisten aantoont.
Nalevingsverplichtingen voor bedrijven
Organisaties die persoonsgegevens verwerken moeten robuuste kaders voor gegevensbeheer invoeren om aan de PDPL te voldoen. Belangrijke verplichtingen omvatten het aanstellen van een functionaris voor gegevensbescherming waar vereist, het bijhouden van registers van verwerkingsactiviteiten, het uitvoeren van gegevensbeschermingseffectbeoordelingen voor risicovolle verwerking, het implementeren van passende technische en organisatorische beveiligingsmaatregelen, en het melden van een datalek aan de bevoegde autoriteit en getroffen personen. Privacybeleid moet transparant en toegankelijk zijn en in het Arabisch zijn opgesteld. Bedrijven moeten ook dataminimalisatie toepassen en ervoor zorgen dat zij alleen gegevens verzamelen die noodzakelijk zijn voor gespecificeerde, legitieme doelen.
Sancties en handhaving
De PDPL voorziet in aanzienlijke sancties bij niet-naleving. Overtredingen kunnen leiden tot boetes tot SAR 5 miljoen, ongeveer USD 1,33 miljoen, met de mogelijkheid van hogere sancties bij herhaalde overtredingen. Strafrechtelijke sancties, waaronder gevangenisstraf tot twee jaar, gelden voor overtredingen waarbij gevoelige gegevens worden openbaar gemaakt met de bedoeling schade te veroorzaken. De bevoegde autoriteit heeft de macht om onderzoeken uit te voeren, waarschuwingen te geven, corrigerende maatregelen te bevelen en boetes op te leggen. Handhavingsacties zullen naar verwachting toenemen naarmate het regelgevingskader volwassen wordt en organisaties hun overgangsperiodes voor naleving afronden.
Impact op Vision 2030 en de digitale economie
De PDPL is een kritieke mogelijkmaker van de digitale transformatie van Saoedi-Arabië onder Vision 2030. Zij ondersteunt de bredere agenda voor regelgevingshervorming van het Koninkrijk. Door duidelijke normen voor gegevensbescherming vast te leggen, bouwt de wet vertrouwen in de digitale economie op, stimuleert zij adoptie van cloudcomputing en kunstmatige intelligentie, en positioneert zij Saoedi-Arabië als geloofwaardige bestemming voor internationale technologiebedrijven en datagedreven ondernemingen. De aansluiting van de wet op mondiale normen zoals de Algemene Verordening Gegevensbescherming van de EU, de AVG/GDPR, faciliteert grensoverschrijdende datastromen en commerciële partnerschappen en ondersteunt de integratie van het Koninkrijk in de mondiale digitale economie.