Luật Bảo vệ Dữ liệu Cá nhân của Ả-Rập Xê-út và các Quy định Thực thi đã có hiệu lực

Luật Bảo vệ Dữ liệu Cá nhân đã được ban hành vào ngày 16 tháng 9 năm 2021, theo sắc lệnh của hoàng gia, với thời gian ân hạn là 720 ngày để đưa vào thực hiện sau khi công bố văn bản luật gốc trong công báo chính thức. Năm văn bản sửa đổi luật đã được công bố bởi một sắc lệnh hoàng gia khác được ban hành vào ngày 27 tháng 3 năm 2023. Cơ quan Trí tuệ Nhân tạo và Dữ liệu Xê-út (SDAIA) đã công bố Các Quy định Thực thi luật này vào ngày 7 tháng 9 năm 2023, một tuần trước khi PDPL có hiệu lực vào ngày 14 tháng 9.

Các chuyên gia pháp lý tại quốc gia này chỉ ra rằng đây là luật bảo vệ dữ liệu toàn diện đầu tiên ở Ả-rập Xê-út nhằm bảo vệ quyền riêng tư cá nhân bằng cách điều chỉnh việc thu thập, xử lý, tiết lộ và bảo quản dữ liệu. Họ nhấn mạnh rằng văn bản luật này đã cung cấp một khung khổ chi tiết về các tiêu chuẩn xử lý, quyền của các chủ thể dữ liệu, nghĩa vụ của các cơ quan có liên quan khi xử lý, chủ quyền dữ liệu, và hình phạt trong trường hợp vi phạm các quy định của luật này.

Theo PDPL, dữ liệu cá nhân được định nghĩa là mọi dữ liệu - đến từ bất kỳ nguồn hoặc tồn tại dưới dạng nào - dẫn đến việc xác định được cá nhân một cách cụ thể hoặc gián tiếp, bao gồm: tên, mã số định danh, ngày sinh, địa chỉ, số điện thoại, số giấy phép, hồ sơ, tài sản cá nhân, tài khoản ngân hàng và số thẻ tín dụng, hình ảnh cố định hoặc di chuyển của cá nhân, và các dữ liệu khác có tính chất cá nhân.

PDPL định nghĩa dữ liệu nhạy cảm là dữ liệu cá nhân bao gồm tham chiếu đến nguồn gốc chủng tộc hoặc dân tộc cá nhân, hoặc niềm tin tôn giáo, trí tuệ hoặc chính trị, cũng như dữ liệu hình sự và bảo mật, sinh trắc học, dữ liệu di truyền, dữ liệu tín dụng, dữ liệu sức khỏe và dữ liệu chỉ ra được cha mẹ của cá nhân đó là ai (có thể là một người trong số đó hoặc có thể là cả hai).

PDPL giải thích dữ liệu di truyền có nghĩa là mọi dữ liệu cá nhân liên quan đến đặc điểm di truyền hoặc mắc phải của một người tự nhiên, xác định được các đặc điểm sinh lý hoặc sức khỏe của người đó, và được trích xuất từ phân tích mẫu sinh học của người đó, chẳng hạn như phân tích DNA hoặc phân tích bất kỳ mẫu nào khác dẫn đến việc trích xuất dữ liệu di truyền. Theo luật, dữ liệu sức khỏe có nghĩa là mọi tuyên bố cá nhân liên quan đến tình trạng sức khỏe của một cá nhân, cho dù về thể chất, tinh thần, tâm lý hoặc liên quan đến các dịch vụ y tế của anh ta, đều được xem xét.       

Điều 10 của luật quy định rằng cơ quan kiểm soát chỉ có thể thu thập dữ liệu cá nhân từ chủ sở hữu của nó, và dữ liệu đó chỉ có thể được xử lý theo đúng mục đích của việc thu thập dữ liệu.       

Điều 13 tại phần Các Quy định Thực thi bắt buộc người giám hộ hợp pháp của người không đầy đủ hoặc mất năng lực hành vi phải thực hiện các hành động cần thiết để bảo vệ dữ liệu của người mình đang giám hộ, trên cơ sở vì lợi ích tốt nhất của người đó. Điều 16 của luật coi việc công bố các hoạt động gian lận và bảo vệ an ninh mạng là những trường hợp mà cơ quan có thẩm quyền được quyền xử lý và thu thập dữ liệu cá nhân. Điều 15 của luật quy định chi tiết các trường hợp mà cơ quan có thẩm quyền có thể tiết lộ dữ liệu cá nhân.        

Các Quy định Thực thi cũng quy định các trường hợp cho phép chuyển dữ liệu cá nhân ra ngoài Ả-rập Xê-út, cùng với đó là các biện pháp kiểm soát và thủ tục cần được thực hiện. Điều 36 của luật nêu thẩm quyền xem xét các hành vi vi phạm và áp dụng các hình phạt được quy định trong luật, theo đó một ủy ban - được thành lập trên cơ sở quyết định ban hành bởi người đứng đầu của cơ quan có thẩm quyền - chịu trách nhiệm xem xét các hành vi vi phạm và áp dụng hình phạt tương ứng.

Phong Linh