Privacy and Data Protection Legislation and Regulations (PDF)

Summary

This document provides an overview of privacy and data protection legislation and regulations. It covers topics such as data privacy, data protection principles, and international regulations. This document is from Umm Al-qura University.

Full Transcript

Privacy and Data Protection Legislation and Regulations

‫تشريعات ولوائح الخصوصية وحماية‬
‫البيانات‬
1
 Privacy and Data Protection Legislation and Regulations
‫تشريعات ولوائح الخصوصية وحماية البيانات‬

Introduction ‫مقدمة‬
Data privacy, also called information privacy, is an aspect of data
،‫ وال تي تس مى أيًض ا خصوص ية المعلوم ات‬،‫خصوص ية البيان ات‬
protection that addresses the proper storage, access, retention,
‫هي أح د ج وانب حماي ة البيان ات ال تي تتن اول التخ زين المناس ب‬
immutability and security of sensitive data..‫للبيانات الحساسة والوصول إليها واالحتفاظ بها وثباتها وأمانها‬
Data privacy is typically associated with the proper handling of
‫ترتب ط خصوص ية البيان ات ع ادًة بالمعالج ة الس ليمة للبيان ات‬
personal data or personally identifiable information (PII), such as
‫ مث ل األس ماء‬،))PII ‫الشخص ية أو معلوم ات التعري ف الشخص ية‬
names, addresses, Social Security numbers and credit card.‫والعناوين وأرقام الضمان االجتماعي وأرقام بطاقات االئتمان‬
numbers. However, the idea also extends to other valuable or
‫ تمت د الفك رة أيًض ا إلى البيان ات القيم ة أو الس رية‬،‫وم ع ذل ك‬
confidential data, including financial data, intellectual property
‫ بم ا في ذل ك البيان ات المالي ة والملكي ة الفكري ة‬،‫األخ رى‬
and personal health information. Vertical industry guidelines ‫ غالًب ا م ا تحكم إرش ادات‬.‫والمعلوم ات الص حية الشخص ية‬
often govern data privacy and data protection initiatives, as well ،‫الص ناعة الرأس ية خصوص ية البيان ات ومب ادرات حماي ة البيان ات‬
as regulatory requirements of various governing bodies and ‫باإلض افة إلى المتطلب ات التنظيمي ة لمختل ف الهيئ ات اإلداري ة‬
jurisdictions..‫والواليات القضائية‬

2
 Privacy and Data Protection Legislation and Regulations
‫تشريعات ولوائح الخصوصية وحماية البيانات‬

Data privacy is not a single concept or approach. Instead, ‫ وبدًال‬.‫خصوصية البيانات ليست مفهوًم ا أو نهًج ا واح ًدا‬
it's a discipline involving rules, practices, guidelines and
‫ فه و نظ ام يش تمل على قواع د وممارس ات‬،‫من ذل ك‬
tools to help organizations establish and maintain
required levels of privacy compliance. Data privacy is
‫وإرش ادات وأدوات لمس اعدة المؤسس ات على إنش اء‬
generally composed of the following six elements: ‫المس تويات المطلوب ة من االمتث ال للخصوص ية‬
1. Legal framework. Prevailing legislation enacted and
‫ تتكون خصوصية البيانات بشكل عام‬.‫والحفاظ عليها‬
applied to data issues, such as data privacy laws. :‫من العناصر الستة التالية‬
2. Policies. Established business rules and policies to ‫ التش ريعات الس ائدة ال تي تم س نها‬.‫ إط ار ق انوني‬.1
protect employees and user data privacy. ‫ مث ل ق وانين‬،‫وتطبيقه ا على قضايا البيان ات‬
3. Practices. Best-practices put in place to guide IT.‫خصوصية البيانات‬
infrastructure, data privacy and protection.
‫ وض ع قواع د وسياس ات العم ل لحماي ة‬.‫ سياس ات‬.2.‫خصوصية الموظفين وبيانات المستخدم‬
‫ تم وض ع أفضل الممارس ات لتوجي ه‬.‫ الممارس ات‬.3
3
‫البني ة التحتي ة لتكنولوجي ا المعلوم ات وخصوص ية‬
 Privacy and Data Protection Legislation and Regulations
‫تشريعات ولوائح الخصوصية وحماية البيانات‬

4. Third-party associations. Any third-party
،‫ أي مؤسس ات خارجي ة‬.‫ جمعي ات الط رف الث الث‬.4
organizations, such as cloud service providers, that
‫مثل موفري الخدمات السحابية التي تتفاعل مع‬
interact with data..‫البيانات‬
5. Data governance. Standards and practices used to
store, secure, retain and access data. ‫ المع ايير والممارس ات‬.‫ مراقب ة البيان ات‬.5
6. Global requirements. Any differences or variations of ‫المس تخدمة لتخ زين البيان ات وتأمينه ا واالحتف اظ‬
data privacy and compliance requirements among.‫بها والوصول إليها‬
legal jurisdictions around the world such as the U.S.
‫ أي اختالف ات أو اختالف ات‬.‫ المتطلب ات العالمي ة‬.6
and European Union (EU).
‫في خصوص ية البيان ات ومتطلب ات االمتث ال بين‬
‫الس لطات القانوني ة ح ول الع الم مث ل الوالي ات‬.‫المتحدة واالتحاد األوروبي‬

4
 Privacy and Data Protection Legislation and Regulations
‫تشريعات ولوائح الخصوصية وحماية البيانات‬

Data privacy is a subset of the broader data protection
‫خصوص ية البيان ات هي مجموع ة فرعي ة من‬
concept. It includes traditional data protection -- such
as data backups and disaster recovery considerations -- ‫ ويتضمن‬.‫مفه وم حماي ة البيان ات األوس ع‬
and data security. The goal of data protection is to ‫ مث ل النس خ‬- ‫حماي ة البيان ات التقليدي ة‬
ensure the continued privacy and security of sensitive ‫االحتياطي ة للبيان ات واعتب ارات التع افي من‬
business data, while maintaining the availability,
consistency and immutability of that data.
‫ اله دف من حماي ة‬.‫ وأمن البيان ات‬- ‫الك وارث‬
‫البيان ات ه و ض مان اس تمرار خصوص ية وأمن‬
‫ م ع الحف اظ على‬،‫بيان ات األعم ال الحساس ة‬.‫توافر تلك البيانات واتساقها وثباتها‬

5
 General Data Protection Regulation (GDPR)
)GDPR( ‫الالئحة العامة لحماية البيانات‬

The General Data Protection Regulation (abbreviated
)GDPR ‫الالئحة العامة لحماية البيانات (المختصرة بـ‬
GDPR) is a European Union regulation on Information
‫هي إح دى الئح ة االتح اد األوروبي بش أن خصوص ية‬
privacy in the European Union (EU) and the European
Economic Area (EEA). The GDPR is an important
‫المعلومات في االتح اد األوروبي والمنطقة االقتصادية‬
component of EU privacy law and human rights law, in ‫) يع د الق انون الع ام لحماي ة البيان ات‬EEA( ‫األوروبي ة‬
particular Article 8(1) of the Charter of Fundamental ‫) عنص ًر ا مهًم ا في ق انون الخصوص ية وق انون‬GDPR(
Rights of the European Union. It also governs the transfer ‫ وال س يما الم ادة‬،‫حق وق اإلنس ان في االتح اد األوروبي‬
of personal data outside the EU and EEA. The GDPR's.‫) من ميث اق الحق وق األساس ية لالتح اد األوروبي‬1( 8
goals are to enhance individuals' control and rights over ‫كم ا أن ه يحكم نق ل البيان ات الشخص ية خ ارج االتح اد‬
their personal information and to simplify the regulations ‫ تتمث ل‬.‫األوروبي والمنطق ة االقتص ادية األوروبي ة‬
for international business.
‫) في‬GDPR( ‫أه داف الالئح ة العام ة لحماي ة البيان ات‬
‫تعزي ز س يطرة األف راد وحق وقهم في معلوم اتهم‬.‫الشخصية وتبسيط لوائح األعمال التجارية الدولية‬

6
 General Data Protection Regulation (GDPR)
)GDPR( ‫الالئحة العامة لحماية البيانات‬

The European Parliament and Council of the European
‫اعتم د البرلم ان األوروبي ومجلس االتح اد األوروبي‬
Union adopted the GDPR on 14 April 2016, to became
effective on 25 May 2018. As an EU regulation (instead of a
،2016 ‫ أبري ل‬14 ‫الالئح ة العام ة لحماي ة البيان ات في‬
directive), GDPR is directly applicable with force of law on.2018 ‫ م ايو‬25 ‫لتص بح س ارية المفع ول في‬
its own without the need of transposition. However, it also ،)‫وباعتباره ا الئح ة لالتح اد األوروبي (ب دًال من التوجي ه‬
provides flexibility for individual member states to modify ‫ف إن الالئح ة العام ة لحماي ة البيان ات قابل ة للتط بيق‬
(derogate from) some of its provisions.
‫مباش رة بق وة الق انون من تلق اء نفس ها دون الحاج ة‬
The regulation became a model for many other laws around ‫ فهو يوفر أيًض ا المرونة للدول‬،‫ ومع ذلك‬.‫إلى التحويل‬
the world, including in KSA, Turkey, Mauritius, Chile, Japan,.‫األعضاء الفردية لتعديل (االنتقاص من) بعض أحكامه‬
Brazil, South Korea, South Africa, Argentina and Kenya. As
of 6 October 2022, the United Kingdom enacted its own law ‫وأص بحت الالئح ة نموذج ا للعدي د من الق وانين األخ رى‬
identical to the GDPR despite no longer being an EU ‫ بم ا في ذل ك في المملك ة‬،‫في جمي ع أنح اء الع الم‬
member state
‫العربي ة الس عودية وتركي ا وموريش يوس وتش يلي‬
‫والياب ان والبرازي ل وكوري ا الجنوبي ة وجن وب أفريقي ا‬
7 ‫ س نت‬،2022 ‫ أكت وبر‬6 ‫ اعتب اًر ا من‬.‫واألرجن تين وكيني ا‬
 General Data Protection Regulation (GDPR)
)GDPR( ‫الالئحة العامة لحماية البيانات‬

It applies to all organizations within the EU, as well as those
،‫ينطب ق على جمي ع المنظم ات داخ ل االتح اد األوروبي‬
supplying goods or services to the EU or monitoring EU
‫وك ذلك تل ك ال تي ت زود االتح اد األوروبي بالس لع أو‬
citizens. Therefore it is essential for businesses and
organizations to understand explicitly what GDPR means. It ،‫ ل ذلك‬.‫الخ دمات أو ت راقب مواط ني االتح اد األوروبي‬
is the legislative force established to protect the fundamental ‫من الضروري للش ركات والمؤسس ات أن تفهم‬
rights of data subjects whose personal information and ‫بوض وح م ا يعني ه الق انون الع ام لحماي ة البيان ات‬
sensitive data is stored in organizations. Data subjects will ‫ إنه ا الق وة التش ريعية ال تي تم إنش اؤها‬.)GDPR(
now have the right to demand subject access to their personal
‫لحماية الحقوق األساسية ألصحاب البيانات الذين يتم‬
information, and the right to demand that an organization
destroys their personal information. These regulations will
‫تخ زين معلوم اتهم الشخص ية وبيان اتهم الحساس ة في‬
affect most sectors within business, from marketing to health ‫ أص بح ألص حاب البيان ات به ا الح ق في‬.‫المنظم ات‬
services. Therefore, to avoid the crippling fines administered ‫ والح ق‬،‫المطالب ة بالوص ول إلى معلوم اتهم الشخص ية‬
by the Information Commissioner’s Office (ICO) it is ‫في مطالب ة إح دى المنظم ات بت دمير معلوم اتهم‬
essential to become GDPR compliant.
‫ وت ؤثر ه ذه الل وائح على معظم قطاع ات‬.‫الشخص ية‬
،‫ ل ذلك‬.‫ من التس ويق إلى الخ دمات الص حية‬،‫األعم ال‬
8
‫لتجنب الغرام ات المعوق ة ال تي ي ديرها مكتب مف وض‬
 General Data Protection Regulation (GDPR)
)GDPR( ‫الالئحة العامة لحماية البيانات‬
Why Is GDPR Important?
) )GDPR ‫لم اذا تعت بر الالئح ة العام ة لحماي ة البيان ات‬
Primarily GDPR is important since it provides a single set of
‫مهمة؟‬
rules for all EU organizations to adhere to, thus giving
businesses a level playing field and making the transfer of ‫تع د الالئح ة العام ة لحماي ة البيان ات مهم ة في المق ام‬
data between EU countries quicker and more transparent. It ‫األول ألنه ا ت وفر مجموع ة واح دة من القواع د ال تي‬
also empowers EU citizens by giving them more control over
‫يجب على جمي ع منظم ات االتح اد األوروبي االل تزام‬
the ways in which their personal data is used. Prior to
introducing the new GDPR legislations, the European ‫ مم ا يمنح الش ركات فرًص ا متكافئ ة ويجع ل نق ل‬،‫به ا‬
commission found that a mere 15% of citizens felt that they ‫البيان ات بين دول االتح اد األوروبي أس رع وأك ثر‬
had complete control over the information that they provided ‫ كم ا أن ه يعم ل على تمكين مواط ني االتح اد‬.‫ش فافية‬
online. With such low trust amongst the general public it is ‫ًدا من التحكم في‬ ‫األوروبي من خالل منحهم مزي‬
clear that consumer habits will ultimately be affected.
‫ قبل‬.‫الطرق التي يتم بها استخدام بياناتهم الشخصية‬
Measures to rebuild this confidence, through introduction
‫تق ديم تش ريعات الالئح ة العام ة لحماي ة البيان ات‬
and proper implementation of GDPR, are expected to
increase trade. ‫ فق ط‬%15 ‫ وج دت المفوض ية األوروبي ة أن‬،‫الجدي دة‬
‫من المواط نين ش عروا أنهم يتمتع ون بالس يطرة‬
9.‫الكاملة على المعلومات التي يقدمونها عبر اإلنترنت‬
 General Data Protection Regulation (GDPR)
)GDPR( ‫الالئحة العامة لحماية البيانات‬

Why Is GDPR Important? ) )GDPR ‫لم اذا تعت بر الالئح ة العام ة لحماي ة البيان ات‬
Thorough implementation of data protection policies and ‫مهمة؟‬
staff education are important as non-compliance could result
‫يعد التنفيذ الشامل لسياسات حماية البيانات وتثقيف‬
in a data breach. The Information Commissioner’s Office
(ICO) can issue fines of up to 4% of your annual turnover or ‫الم وظفين أم ًر ا مهًم ا ألن ع دم االمتث ال ق د ي ؤدي إلى‬
€20 million, whichever is greater, in the event of a serious ‫ يمكن لمكتب مف وض المعلوم ات‬.‫خ رق البيان ات‬
data breach. Data protection training is a necessity in ‫ من مبيعات ك‬%4 ‫)) إص دار غرام ات تص ل إلى‬ICO
mitigating the risk of data breaches. ‫ في حال ة‬،‫ أيهم ا أك بر‬،‫ ملي ون ي ورو‬20 ‫الس نوية أو‬
‫ يعد التدريب على حماية‬.‫حدوث خرق خطير للبيانات‬
‫البيان ات أم ًر ا ض رورًيا للتخفي ف من مخ اطر اخ تراق‬.‫البيانات‬

10
 General Data Protection Regulation (GDPR)
)GDPR( ‫الالئحة العامة لحماية البيانات‬

Who Does GDPR Apply To? ‫على من تنطبق الالئحة العامة لحماية البيانات؟‬
The General Data Protection Regulation (GDPR) governs the
way in which personal data is gathered and handled in the
‫تحكم الالئح ة العام ة لحماي ة البيان ات الطريق ة ال تي‬
European Union (EU). Personal data is defined as any ‫يتم به ا جم ع البيان ات الشخص ية والتعام ل معه ا في‬
information relating to an identified or identifiable, living ‫ يتم تعري ف البيان ات الشخص ية على‬.‫االتح اد األوروبي‬
person. GDPR applies to any individual or organization that ‫أنه ا أي معلوم ات تتعل ق بش خص حي مح دد أو يمكن‬
handles personal data within the EU. Countries outside of ‫ ينطب ق الق انون الع ام لحماي ة البيان ات‬.‫التع رف عليه‬
the EU that handle personal data are known as ‘Third
‫على أي فرد أو منظمة تتعامل مع البيانات الشخصية‬
Countries’ under GDPR. They may have their own data
protection legislation but they are required to comply with ‫ ُتع رف البل دان خ ارج االتح اد‬.‫داخ ل االتح اد األوروبي‬
GDPR in the following circumstances: When supplying ‫األوروبي ال تي تتعام ل م ع البيان ات الشخص ية باس م‬
goods/services to the EU When processing data about ‫"ال دول الثالث ة" بم وجب الالئح ة العام ة لحماي ة‬
citizens residing within the EU ‫ قد يكون لديهم تشريعات خاصة بهم لحماية‬.‫البيانات‬
‫البيان ات ولكن يتعين عليهم االل تزام بالالئح ة العام ة‬
11
‫ عن د توري د‬:‫لحماي ة البيان ات في الظ روف التالي ة‬
 General Data Protection Regulation (GDPR)
)GDPR( ‫الالئحة العامة لحماية البيانات‬

The key aspects of GDPR: :‫الجوانب الرئيسية للقانون العام لحماية البيانات‬
GDPR has replaced the 1995 Data Protection Directive,
which established minimum requirements for data protection
‫حل الق انون الع ام لحماي ة البيان ات مح ل توجيه ات‬
across Europe. This moderate approach to data protection, ‫ وال ذي ح دد الح د األدنى‬،1995 ‫حماي ة البيان ات لع ام‬
prior to 2018, led to a series of data breaches and scandals,.‫من متطلب ات حماي ة البيان ات في جمي ع أنح اء أوروب ا‬
allowing the compromise of data subjects’ personal ‫ قب ل ع ام‬،‫أدى ه ذا النهج المعت دل لحماي ة البيان ات‬
information. Now, the changes established in the GDPR will ،‫ إلى سلس لة من خروق ات البيان ات والفضائح‬،2018
provide better protection of data subjects’ fundamental
‫مم ا س مح ب اختراق المعلوم ات الشخص ية ألص حاب‬
rights.
‫ ستوفر التغييرات التي تم إدخالها على‬،‫ اآلن‬.‫البيانات‬
Extended Jurisdiction: The GDPR now applies to any
organization which processes personal data of data
‫الالئح ة العام ة لحماي ة البيان ات حماي ة أفضل للحق وق‬
subjects who are in the EU. This means that GDPR.‫األساسية ألصحاب البيانات‬
applies to big and small organizations, in and outside of
‫ ينطبق القانون العام‬:‫ االختصاص القضائي الموسع‬
the EU.
‫لحماية البيانات اآلن على أي منظمة تقوم بمعالجة‬
12 ‫البيانات الشخصية ألصحاب البيانات الموجودين في‬
 General Data Protection Regulation (GDPR)
)GDPR( ‫الالئحة العامة لحماية البيانات‬

The key aspects of GDPR: :‫الجوانب الرئيسية للقانون العام لحماية البيانات‬
Consent: There is a strict focus on consent, it has to be
specific and clear. ‫ ويجب‬،‫ هناك تركيز صارم على الموافقة‬:‫ الموافقة‬
Right to Access: A data subject can issue a subject access
request to view their personal information, and an.‫أن تكون محددة وواضحة‬
organization must comply.
Right to be Forgotten: A data subject can demand that ‫ يمكن لص احب البيان ات إص دار طلب‬:‫ حق الوص ول‬
their personal information is destroyed by a data ،‫وص ول للموض وع لع رض معلومات ه الشخص ية‬
controller..‫ويجب أن تمتثل المؤسسة لذلك‬
Data Protection Officer: Data controllers are now expected
to have a DPO in their team, to ensure data protection ‫ يمكن لص احب البيان ات أن‬:‫ الح ق في النس يان‬
regulations are being upheld.
Penalties: The ICO can now issue much harsher ‫يطلب ت دمير معلومات ه الشخص ية بواس طة م راقب‬
repercussions for a data breach, this includes fining an.‫البيانات‬
organization up to €20 million or 4% of an organization's
global turnover, whichever is highest. ‫ من المتوقع اآلن أن يكون‬:‫ مسؤول حماية البيانات‬
‫ل دى مراق بي البيان ات مس ؤول حماي ة البيان ات في‬
13.‫ لضمان الحفاظ على لوائح حماية البيانات‬،‫فريقهم‬
 General Data Protection Regulation (GDPR)
)GDPR( ‫الالئحة العامة لحماية البيانات‬

The 7 principles of the GDPR ‫المبادئ السبعة للقانون العام لحماية البيانات‬
The data processing requirements enforced by the GDPR
‫إن متطلب ات معالج ة البيان ات ال تي يفرض ها الق انون‬
are rooted in 7 general principles for privacy.
‫ مب ادئ عام ة‬7 ‫الع ام لحماي ة البيان ات متج ذرة في‬
Understanding the 7 principles of the GDPR will make it
‫ إن فهم المب ادئ الس بعة للق انون الع ام‬.‫للخصوص ية‬
easier for you to understand the rules and regulations.
‫لحماي ة البيان ات س يجعل من الس هل علي ك فهم‬
The 7 data protection principles are:.‫القواعد واللوائح‬
1. Lawfulness, fairness, and transparency ‫ قيود التخزين‬.5
:‫المبادئ السبعة لحماية البيانات هي‬
2. Purpose limitation 5. Storage limitations ‫ النزاهة والسرية‬.6
‫ القانونية والعدالة والشفافية‬.1
3. Data minimization 6. Integrity and ‫ المسئولية‬.7
4. Accuracy confidentiality ‫ تقييد الغرض‬.2

7. Accountability ‫ التقليل من البيانات‬.3
‫ الدقة‬.4
14
 General Data Protection Regulation (GDPR)
)GDPR( ‫الالئحة العامة لحماية البيانات‬

1. Lawfulness, fairness and transparency ‫ القانونية والعدالة والشفافية‬.1
This principle tells us that the processing of personal data
‫يح دد ه ذا المب دأ أن معالج ة البيان ات الشخص ية يجب‬
must be conducted in a lawful, fair, and transparent way.
Here’s what that means:
‫ إليك ما يعنيه‬.‫أن تتم بطريقة قانونية وعادلة وشفافة‬
:‫ذلك‬
Lawful means that you are gathering data and processing it
with a valid legal basis. For instance, getting consent from ‫قانوني يع ني أن ك تق وم بجم ع البيان ات ومعالجته ا‬
the user that you can process their data is a very common ‫ يع د‬،‫ على س بيل المث ال‬.‫على أس اس ق انوني ص الح‬
way of obtaining a legal basis for processing personal data.
‫الحص ول على موافق ة المس تخدم بأن ك تس تطيع‬
There are many legal grounds for processing personal data in
‫معالج ة بيانات ه طريق ة ش ائعة ج ًدا للحص ول على‬
the GDPR.
‫ هن اك‬.‫أس اس ق انوني لمعالج ة البيان ات الشخص ية‬
Fair means that your processing of personal data is in the
best interest of the person the data is about and that the scope
‫العدي د من األس باب القانوني ة لمعالج ة البيان ات‬
of the processing can be reasonably expected by the person..‫الشخصية في الالئحة العامة لحماية البيانات‬
‫عادل يع ني أن معالج ة بيانات ك الشخص ية تص ب في‬
15 ‫مصلحة الشخص الذي تدور حوله البيانات وأن نطاق‬
 General Data Protection Regulation (GDPR)
)GDPR( ‫الالئحة العامة لحماية البيانات‬

1. Lawfulness, fairness and transparency (Cont.) )‫ الشرعية والعدالة والشفافية (تكملة‬. 1
Transparent means that you clearly communicate what,
‫الش فافية تع ني أن ك تق وم بوض وح بتوص يل م ا تق وم‬
how, and why you process data to those whose data you
‫ إلى أولئ ك‬،‫ وكي ف ولم اذا تع الج البيان ات‬،‫بمعالجت ه‬
process. This should be in a way that enables the people
whose data you process to easily understand the scope
‫ وينبغي أن يك ون ذل ك‬.‫ال ذين تق وم بمعالج ة بيان اتهم‬
and methods of your processing. ‫بطريقة تمكن األشخاص الذين تقوم بمعالجة بياناتهم‬
2. Purpose limitation.‫من فهم نطاق المعالجة وطرق معالجتها بسهولة‬
This principle tells us that you should only process ‫ تحديد الغرض‬.2
personal data for the purpose that you originally intended. ‫يخبرنا هذا المبدأ أنه يجب عليك فقط معالجة البيانات‬
In other words, you should not reuse personal data for ‫ بمع نى‬.‫الشخص ية للغ رض ال ذي قص دته في األص ل‬
other purposes.
‫ ال يج وز ل ك إع ادة اس تخدام البيان ات الشخص ية‬،‫آخ ر‬.‫ألغراض أخرى‬

16
 General Data Protection Regulation (GDPR)
)GDPR( ‫الالئحة العامة لحماية البيانات‬

3. Data minimization ‫ تقليل البيانات‬.3
When it comes to data, we are all guilty of hoarding it.
‫ فنحن جميًع ا م ذنبون‬،‫عن دما يتعل ق األم ر بالبيان ات‬
We keep things because they’re nice to have, but we never
‫ نحن نحتف ظ باألش ياء ألن ه من الجمي ل أن‬.‫باكتنازه ا‬
end up using them. Regarding the third GDPR principle,
we shouldn’t keep data lying around if we have no need.‫ ولكن ال ينتهي بن ا األم ر إلى اس تخدامها أب ًدا‬،‫نمتلكه ا‬
for it. ‫وفيما يتعلق بالمبدأ الثالث من الالئحة العامة لحماية‬
This principle tells us that we should not gather more
‫ فال ينبغي لن ا أن نحتف ظ بالبيان ات إذا لم نكن‬،‫البيان ات‬
personal data than we need to deliver the service. In other.‫في حاجة إليها‬
words, only gather and process the exact amount of data ‫يخبرنا هذا المبدأ أنه ال ينبغي لنا جمع بيانات شخصية‬
that is needed. ‫ قم فقط‬،‫ بمعنى آخر‬.‫أكثر مما نحتاجه لتقديم الخدمة‬.‫بجمع ومعالجة الكمية الدقيقة من البيانات المطلوبة‬

17
 General Data Protection Regulation (GDPR)
)GDPR( ‫الالئحة العامة لحماية البيانات‬

4. Accuracy ‫ الدقة‬.4
This principle might be a little confusing. While all the
‫ في حين أن‬.‫قد يك ون ه ذا المبدأ مربًكا بعض الش يء‬
other principles that we have seen so far are about
‫جمي ع المب ادئ األخ رى ال تي رأيناه ا ح تى اآلن تتعل ق‬
knowing as little as possible about the people whose data
we process, this one is sort of the opposite. This principle
‫بمعرف ة أق ل ق در ممكن عن األش خاص ال ذين نع الج‬
is about having the most accurate data possible. ‫ يتعل ق‬.‫ ف إن ه ذا المب دأ ه و ن وع من العكس‬،‫بيان اتهم‬
It means that the personal data we are processing must be.‫هذا المبدأ بالحصول على أدق البيانات الممكنة‬
correct and up to date, and that you as the data controller ‫ويع ني ذل ك أن البيان ات الشخص ية ال تي نعالجه ا يجب‬
and/or processor should take “reasonable measures” to ‫ ويجب علي ك بص فتك‬،‫أن تك ون ص حيحة وحديث ة‬
ensure that. "‫أو المع الج اتخ اذ "ت دابير معقول ة‬/‫م راقب البيان ات و‬
This is, however, only relevant when the accuracy of the.‫لضمان ذلك‬
personal data is of importance for the person the data is
‫ ال يك ون ه ذا مهًم ا إال عن دما تك ون دق ة‬،‫وم ع ذل ك‬
about.
‫البيانات الشخصية ذات أهمية بالنسبة للشخص الذي‬
18.‫تتناوله البيانات‬
 General Data Protection Regulation (GDPR)
)GDPR( ‫الالئحة العامة لحماية البيانات‬

5. Storage limitations ‫ قيود التخزين‬.5
This principle is about deleting personal data when you
‫يتعل ق ه ذا المب دأ بح ذف البيان ات الشخص ية عن دما ال‬
don’t need it anymore. Basically, you should not store
‫ ال ينبغي علي ك‬،‫ في األس اس‬.‫تحت اج إليه ا بع د اآلن‬
personal data which is no longer of use for the purpose it
was intended. This principle is very similar to the data
‫تخ زين البيان ات الشخص ية ال تي لم تع د ص الحة‬
minimization principle, and many organizations consider ‫ يش به ه ذا المب دأ‬.‫لالس تخدام للغ رض المقص ود منه ا‬
deleting old data as a part of data minimization. ‫ وتنظ ر العدي د من‬،‫إلى ح د كب ير مب دأ تقلي ل البيان ات‬
Implementing a process for destroying data in a secure ‫المنظم ات إلى ح ذف البيان ات القديم ة كج زء من‬
way can help you ensure that the data no longer needed is ‫ يمكن أن يس اعدك تنفيذ عملية تدمير‬.‫تقليل البيانات‬
really removed and not still stored on a device or in the ‫البيانات بطريقة آمنة على ضمان إزالة البيانات التي‬
cloud, where it could be a potential security risk. ‫لم تع د هن اك حاج ة إليه ا وع دم تخزينه ا على جه از أو‬
‫ حيث يمكن أن تش كل خط ًر ا أمنًي ا‬،‫في الس حابة‬.‫محتمًال‬

19
 General Data Protection Regulation (GDPR)
)GDPR( ‫الالئحة العامة لحماية البيانات‬

6. Integrity and confidentiality ‫ النزاهة والسرية‬.6
If you are familiar with cyber security or information
‫إذا كنت على دراي ة ب األمن الس يبراني أو أمن‬
security, you have probably heard about the ‘CIA-
‫ فمن المحتم ل أن ك س معت عن "مثلث‬،‫المعلوم ات‬
Triangle’. It sounds cool, but rather than the Central
Intelligence Agency, it relates to a triangle that stands for
‫ ولكن ب دًال من وكال ة‬،‫ يب دو األم ر رائًع ا‬."CIA
Confidentiality, Integrity and Availability. ‫ فه و يرتب ط بمثلث يرم ز إلى‬،‫االس تخبارات المركزي ة‬
This principle is concerned with two of the edges of that.‫السرية والنزاهة والتوافر‬
triangle. Integrity is about making sure that personal data ‫ تتعلق‬.‫يتعلق هذا المبدأ باثنين من حواف هذا المثلث‬
is correct and cannot be manipulated by others (i.e., you ‫النزاه ة بالتأك د من ص حة البيان ات الشخص ية وع دم‬
should opt to protect your systems against hackers). ‫ يجب عليك‬،‫إمكانية التالعب بها من قبل اآلخرين (أي‬
Confidentiality is about making sure that only the people ‫ تتعلق الس رية‬.)‫اختي ار حماية أنظمت ك من المتس للين‬
who should have access to the personal data are
‫بالتأك د من أن األش خاص ال ذين يجب أن يك ون ل ديهم‬
processing it.
‫ح ق الوص ول إلى البيان ات الشخص ية هم فق ط من‬
20.‫يقومون بمعالجتها‬
 General Data Protection Regulation (GDPR)
)GDPR( ‫الالئحة العامة لحماية البيانات‬

7. Accountability ‫ المساءلة‬.7
As the name suggests, this principle relates to taking
‫ يتعل ق ه ذا المب دأ بتحم ل‬،‫وكم ا ي وحي االس م‬
responsibility for your data processing. It means that you,
،‫ وه ذا يع ني أن ك‬.‫المس ؤولية عن معالج ة بيان اتك‬
as the data controller and/or processor, must be
accountable for the proper processing of personal data
‫ يجب أن تك ون‬،‫أو المع الج‬/‫بص فتك م راقب البيان ات و‬
and compliance with the rules of the GDPR. ‫مس ؤوًال عن المعالج ة الس ليمة للبيان ات الشخص ية‬
When we talk about taking responsibility, it is not only.‫واالمتثال لقواعد الالئحة العامة لحماية البيانات‬
about fulfilling the various requirements of the GDPR, ‫ ف إن األم ر ال‬،‫عن دما نتح دث عن تحم ل المس ؤولية‬
but also being able to document that you are doing so. ‫يتعل ق فق ط بالوف اء بالمتطلب ات المختلف ة للق انون‬
‫ ولكن أيًض ا الق درة على توثي ق‬،‫الع ام لحماي ة البيان ات‬.‫قيامك بذلك‬

21
 ‫)‪Personal Data Protection Law (PDPL‬‬
‫نظام حماية البيانات الشخصية‬

‫‪Similar to GDPR, Saudi Arabia introduced the Personal Data‬‬
‫على غ رار الالئح ة العام ة لحماي ة البيان ات‪ ،‬ق دمت‬
‫‪Protection Laws (PDPL) in September 2021. Following‬‬
‫‪amendments, this policy will become effective on September‬‬
‫المملك ة العربي ة الس عودية نظ ام حماي ة البيان ات‬
‫‪14, 2023, and companies have until September 13, 2024, to‬‬ ‫الشخص ية‪ ) )PDPL‬في س بتمبر ‪.2021‬وبع د‬
‫‪achieve full compliance.‬‬ ‫التعديالت‪ ،‬أصبحت هذه السياسة سارية المفعول في‬
‫‪We will discuss the similarities and differences between‬‬ ‫‪ 14‬سبتمبر ‪ ،2023‬وأمام الشركات حتى ‪ 13‬سبتمبر‬
‫‪Saudi’s PDPL and the EU’s GDPR.‬‬ ‫‪ 2024‬لتحقيق االمتثال الكامل‪.‬‬
‫سنناقش فيم ا يلي أوج ه التش ابه واالختالف بين نظ ام‬
‫حماية البيانات الشخصية ‪ ))PDPL‬السعودي والالئحة‬
‫العامة لحماية البيانات‪ ) )GDPR‬في االتحاد األوروبي‪.‬‬

‫‪22‬‬
 ‫)‪Personal Data Protection Law (PDPL‬‬
‫نظام حماية البيانات الشخصية‬

‫‪Key differences between the PDPL and the GDPR‬‬ ‫االختالف ات الرئيس ية بين ‪ PDPL‬والالئح ة العام ة لحماي ة‬
‫‪1- Transferring personal data‬‬ ‫البيانات‬
‫‪In contrast to the GDPR, the initial version of the PDPL‬‬ ‫‪ -1‬نقل البيانات الشخصية‬
‫‪imposes stricter criteria for transferring data outside of Saudi‬‬
‫على النقيض من الالئح ة العام ة لحماي ة البيان ات‪ ،‬ف إن‬
‫‪Arabia. The GDPR necessitates that the receiving location‬‬
‫‪has data protection laws akin to its own. However, the PDPL‬‬ ‫اإلص دار األولي من نظ ام حماي ة البيان ات الشخص ية‬
‫‪in Saudi Arabia mandates obtaining approval from the Saudi‬‬ ‫يف رض مع ايير أك ثر ص رامة لنق ل البيان ات خ ارج‬
‫‪Authority for Data and Artificial Intelligence (SDAIA) for‬‬ ‫المملك ة العربي ة الس عودية‪.‬يتطلب الق انون الع ام‬
‫‪such transfers.‬‬ ‫لحماية البيانات أن يكون لدى الموقع المتلقي قوانين‬
‫حماي ة البيان ات المش ابهة لقوانين ه الخاص ة‪.‬وم ع ذل ك‪،‬‬
‫ف إن نظ ام حماي ة البيان ات الشخص ية في المملك ة‬
‫العربي ة الس عودية يتطلب الحص ول على موافق ة من‬
‫الهيئة السعودية للبيانات والذكاء االصطناعي ‪SDAIA‬‬
‫لعمليات النقل هذه‪.‬‬
‫‪23‬‬
 Personal Data Protection Law (PDPL)
‫نظام حماية البيانات الشخصية‬

1- Transferring personal data (Cont.) )‫ نقل البيانات الشخصية (تكملة‬-1
Although the amended version of the PDPL relaxed some of ‫على ال رغم من أن النس خة المعدل ة من نظ ام حماي ة‬
these requirements a bit, personal data can only be
،‫البيان ات الشخص ية خففت بعًض ا من ه ذه المتطلب ات‬
transferred outside Saudi Arabia on a limited basis and must
meet the following conditions: ‫إال أن ه ال يمكن نق ل البيان ات الشخص ية إال خ ارج‬
1. Personal data should not undermine national security or
‫المملكة العربية السعودية على أساس محدود ويجب‬
jeopardize national interests. :‫أن تستوفي الشروط التالية‬
2. The data transfer should only be to a location with ‫ يجب أال تق وض البيان ات الشخص ية األمن الق ومي‬.1
similar data protection. The SDAIA will determine if the.‫أو تعرض المصالح الوطنية للخطر‬
location meets this requirement.
3. The transfer should involve only the essential and
‫ يجب أن يتم نق ل البيان ات فق ط إلى موق ع يتمت ع‬.2
minimal personal data required, avoiding any excessive ‫ م ا إذا‬SDAIA ‫ س تحدد‬.‫بحماي ة مماثل ة للبيان ات‬
or unnecessary sharing..‫كان الموقع يلبي هذا المطلب‬

24
‫ يجب أن يش مل النق ل فق ط البيان ات الشخص ية‬.3
 Personal Data Protection Law (PDPL)
‫نظام حماية البيانات الشخصية‬

2- Consent in marketing ‫ الموافقة في التسويق‬-2
To send promotional or awareness materials, the PDPL
requires businesses to obtain consent from the data owners.
PDPL ‫ يتطلب نظام‬،‫إلرسال مواد ترويجية أو توعوية‬
Unlike the GDPR, there is no exception that allows ‫من الش ركات الحص ول على موافق ة أص حاب‬
businesses to send marketing materials without consent if the ،‫ على عكس الالئح ة العام ة لحماي ة البيان ات‬.‫البيان ات‬
product or service is similar to what the customer previously ‫ال يوج د اس تثناء يس مح للش ركات بإرس ال م واد‬
purchased. As a business leader, you should keep this in ‫تس ويقية دون موافق ة إذا ك ان المنتج أو الخدم ة‬
mind when developing your marketing strategies for Saudi
،‫ كرائ د أعم ال‬.‫مش ابًها لم ا اش تراه العمي ل مس بًقا‬
Arabia and ensure that they have proper consent in place
from both existing and potential customers. ‫يجب علي ك أن تضع ذل ك في االعتب ار عن د تط وير‬
‫اس تراتيجياتك التس ويقية للمملك ة العربي ة الس عودية‬
‫والتأك د من حص ولهم على الموافق ة المناس بة من‬.‫العمالء الحاليين والمحتملين‬

25
 Personal Data Protection Law (PDPL)
‫نظام حماية البيانات الشخصية‬

3- Legitimate interests’ legal basis ‫ األساس القانوني للمصالح المشروعة‬-3
While the PDPL and GDPR have similarities in their rules
for personal data usage, one significant difference stands out.
‫في حين أن نظ ام حماي ة البيان ات الشخص ية والالئح ة‬
Unlike the GDPR, the original version of the PDPL did not ‫العام ة لحماي ة البيان ات ل ديهما أوج ه تش ابه في‬
acknowledge the concept of processing personal data based ‫ إال أن هن اك‬،‫قواع دهما الس تخدام البيان ات الشخص ية‬
on ‘legitimate interests’. Legitimate interests enable data ‫ على عكس الالئحة العامة‬.‫اختالًف ا مهًم ا واح ًدا واض ًح ا‬
controllers to balance their business interests with the rights ‫ لم تعترف النسخة األصلية من نظام‬،‫لحماية البيانات‬
of individuals when collecting and processing non-personal
‫حماي ة البيان ات الشخص ية بمفه وم معالج ة البيان ات‬
data.
‫ تمكن‬."‫الشخص ية على أس اس "المص الح المش روعة‬
While the updated PDPL permits data controllers to utilize
the Legitimate Interest legal basis for processing non-
‫المص الح المش روعة مراق بي البيان ات من تحقي ق‬
sensitive data, it doesn’t have specific guidelines on how to ‫الت وازن بين مص الحهم التجاري ة وحق وق األف راد عن د‬
implement it..‫جمع البيانات غير الشخصية ومعالجتها‬
‫في حين أن نظ ام حماي ة البيان ات الشخص ية المح دث‬
26 ‫يس مح لمراق بي البيان ات باس تخدام األس اس الق انوني‬
 Personal Data Protection Law (PDPL)
‫نظام حماية البيانات الشخصية‬

4- Records of data processing ‫ سجالت معالجة البيانات‬-4
Although the PDPL and GDPR direct data-controlling
entities to register with a central authority, the PDPL goes a
‫ يوجه ان كيان ات‬GDPR‫ و‬PDPL ‫على ال رغم من أن‬
step further to state that all controlling entities must upload ،‫التحكم في البيان ات للتس جيل ل دى س لطة مركزي ة‬
their record of data processing activities to a designated ‫ ي ذهب إلى أبع د من ذل ك لينص على أن ه‬PDPL ‫ف إن‬
electronic portal maintained by the SDAIA. This is different ‫يجب على جمي ع الكيان ات المس يطرة تحمي ل س جلها‬
from the GDPR as there is no such regulation from the ‫ألنش طة معالج ة البيان ات إلى بواب ة إلكتروني ة معين ة‬
PDPL.
‫ وه ذا يختل ف عن الالئح ة العام ة‬.SDAIA ‫تحتف ظ به ا‬
‫لحماي ة البيان ات حيث ال يوج د ه ذا التنظيم مث ل‬.PDPL

27
 Personal Data Protection Law (PDPL)
‫نظام حماية البيانات الشخصية‬

5- Obtaining a license & appointing licensed representatives ‫ الحصول على الترخيص وتعيين الممثلين المرخصين‬- 5
Similar to the GDPR’s requirement for non-European businesses
subject to its regulations to appoint a representative in the ‫على غ رار م ا تتطلب ه الالئح ة العام ة لحماي ة البيان ات‬
European Union, non-Saudi-based entities that handle the ‫من الش ركات غ ير األوروبي ة الخاض عة للوائحه ا لتع يين‬
personal data of individuals residing in Saudi Arabia will need to ‫ س تحتاج الكيان ات غ ير‬،‫ممث ل في االتح اد األوروبي‬
appoint a representative licensed by the Authority. This
‫الس عودية ال تي تتعام ل م ع البيان ات الشخص ية لألف راد‬
representative will be responsible for fulfilling the entity’s
obligations under the law. Since these representatives require ‫المقيمين في المملك ة العربي ة الس عودية إلى تع يين‬
licensing, their status, and role may be subject to closer ‫ وس يكون ه ذا الممث ل‬.‫ممث ل م رخص من قب ل الهيئ ة‬
regulation and scrutiny compared to the GDPR..‫مسؤوًال عن الوفاء بالتزامات الكيان بموجب القانون‬
It’s worth noting that the Council of Ministers resolution ‫ فق د‬،‫وبم ا أن ه ؤالء الممثلين يحت اجون إلى ت رخيص‬
accompanying the PDPL grants the SDAIA the power to
‫تخضع ح التهم ودورهم إلى تنظيم وت دقيق أك ثر دق ة‬
postpone the implementation of Article 33 for a maximum of
five years. Since this policy is still being reviewed, there may yet.‫مقارنًة بالالئحة العامة لحماية البيانات‬
be some amendments to this provision later.
‫ومن الج دير بال ذكر أن ق رار مجلس ال وزراء‬
28 ‫المص احب لنظ ام حماي ة البيان ات الشخص ية يمنح‬
 Personal Data Protection Law (PDPL)
‫نظام حماية البيانات الشخصية‬

6- Breach notification ‫ إشعار االختراق‬-6
For the GDPR, controllers are required to inform the
regulating authority of a data breach less than 72 hours after
‫ ُيطلب‬،‫بالنس بة إلى الالئح ة العام ة لحماي ة البيان ات‬
they become aware of it. However, for the PDPL, no specific ‫من المراقبين إبالغ السلطة التنظيمية بخرق البيانات‬
time was stated. ،‫ وم ع ذل ك‬.‫ س اعة بع د علمهم به‬72 ‫في أق ل من‬
7- Penalties.‫ لم يتم تحديد وقت محدد‬،PDPL ‫بالنسبة لـ‬
The penalties differ slightly from the PDPL to GDPR for ‫ الجزائيات‬-7
malpractice. Under the PDPL, offenders can pay as much as
$1.3 million for non-compliance. Disclosing sensitive ‫تختل ف العقوب ات قليًال عن نظ ام حماي ة البيان ات‬
personal data for personal benefit or to punish the data owner ‫الشخص ية والالئح ة العام ة لحماي ة البيان ات لس وء‬
will attract a penalty of as much as $800,000, in addition to ،‫ وبموجب نظام حماية البيانات الشخصية‬.‫الممارسة‬
imprisonment of two years. ‫ ملي ون دوالر‬1.3 ‫يمكن للمخ الفين دف ع م ا يص ل إلى‬
‫ إن الكش ف عن بيان ات شخص ية‬.‫لع دم االمتث ال‬
‫حساس ة لتحقي ق منفع ة شخص ية أو لمعاقب ة ص احب‬
29 ‫ أل ف‬800 ‫البيان ات س يؤدي إلى عقوب ة تص ل إلى‬
 Personal Data Protection Law (PDPL)
‫نظام حماية البيانات الشخصية‬

7- Penalties (cont.) )‫ الجزائيات (تكملة‬-7
Repeat offenders could pay up to double the normal fines,
and the person whose personal data was abused could press
‫يمكن للمخ الفين المتك ررين دف ع م ا يص ل إلى ض عف‬
for compensation from the offender. The SDAIA could also ‫ ويمكن للش خص ال ذي تم إس اءة‬،‫الغرام ات العادي ة‬
seize the controller’s means of committing this offense. ‫اس تخدام بيانات ه الشخص ية أن يط الب الج اني‬
With the GDPR, offenders can pay as much as €20 million or ‫ أيًض ا االس تيالء على‬SDAIA ‫ يمكن لـ‬.‫بالتعويض‬
4% of the total worldwide annual turnover of the preceding.‫وسائل المخالف الرتكاب هذه الجريمة‬
financial year, whichever is higher, for certain severe
violations. ‫ يمكن‬،‫بم وجب الالئح ة العام ة لحماي ة البيان ات‬
%4 ‫ ملي ون ي ورو أو‬20 ‫للمخ الفين دف ع م ا يص ل إلى‬
‫من إجمالي المبيعات السنوية العالمية للسنة المالية‬
‫ مقاب ل بعض االنتهاك ات‬،‫ أيهم ا أعلى‬،‫الس ابقة‬.‫الجسيمة‬

30
 ‫المراجع‬

‫ القانون العام لحماية البيانات‬
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:02016R0679-201605
04
"Data Protection Principles: The 7 Principles Of GDPR Explained" Ismail Özkan ,
https://www.cyberpilot.io/cyberpilot-blog/data-protection-principles-the-7-
principles-of-gdpr-explained/
‫ نظام حماية البيانات الشخصية بالمملكة العربية السعودية‬
https://laws.boe.gov.sa/BoeLaws/Laws/LawDetails/b7cfae89-828e-4994-b167-adaa00
e37188/1
Key differences between Saudi Arabia’s PDPL and the EU’s GDPR

https://incountry.com/blog/key-differences-between-saudi-arabias-pdpl-and-the-eus-
gdpr/
31
 ‫شكرا لكم‬
Thank you
32