欢迎点击上方 TMT法律论坛 关注我们
导读
NEWS
★
NEWS
★
近日,沙特数据与人工智能管理局(“SDAIA”)在接受公众咨询意见后,发布其个人数据传输的标准合同条款(“SCC”)和个人数据传输约束通用规则指南(“BCR指南”)。主要内容如下:
一、标准合同条款(SCC)
SDAIA强调,SCC的目的是确保个人数据保护符合《个人数据保护法》(“PDPL”)及其相关规定在国际数据传输方面的要求。SCC规定了向未提供适当个人数据保护的国家或国际组织转移个人数据的各方的义务。SCC是控制者和处理者除了获得SDAIA许可的机构的BCR和认证证书外,还可以使用的适当保障措施之一。
SDAIA发布了以下SCC模板:
控制者到控制者的合同;
控制者到处理者的合同;
处理者到处理者的合同;
处理者到控制者的合同。
二、BCR指南
SDAIA指出,《BCR指南》为在沙特阿拉伯境内外经营的一系列实体提供了关于BCR编制准备的全面指导。
(1)适用范围:《BCR指南》适用于由位于沙特阿拉伯境内的控制者向沙特阿拉伯境外的任何国家/组织进行的所有个人数据传输。
(2)具体要求:
实体集团必须确保BCR包括PDPL及其条例中规定的控制者义务,以及数据主体的权利,包括对侵犯这些权利造成的损害提出索赔;
BCR必须由实体集团内的授权人员进行内部批准;
BCR应对实体集团的每个成员具有法律效力,并提供一致的数据保护标准;
控制者必须根据要求向SDAIA提供其遵守BCR、PDPL及其规定的证据;和
BCR必须包括在发现可能损害所传输的个人数据或数据主体,或与他们的权利或利益相冲突的数据泄露时通知SDAIA和数据主体的程序。
《BCR指南》还规定,除BCR外,还应制定关于数据保护、数据主体权利、安全措施、审计计划以及根据PDPL及其规定处理数据泄露事件和投诉的机制的详细政策。
三、SDAIA 规则和指引
除上述内容外,SDAIA 还发布了一系列规则和指引,以提供适用框架的更多细节,帮助促进对《隐私政策和隐私保护法》等其他关键领域的合规性,如 数据保护官(“DPO”) 的任命、隐私政策的实施和处理活动记录( “RoPA”) 的实施。包括如下规则和指引:
个人数据保护官任命规则;
制定和发展隐私政策指引;
最小个人信息确定指引;
国家控制登记册管理规则;
个人数据销毁、匿名化和假名化规则;
个人数据披露案例指引;
个人数据处理活动记录指引。
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 马辰
