사우디아라비아의 개인정보 보호법 이해하기

Understanding Saudi Arabia’s personal data protection law

HIPAA, GDPR, CCPA와 같은 데이터 보호법에 대해 들어 보셨을 것입니다. 그런데 다른 나라에서도 포괄적인 규제를 도입하고 있다는 사실을 알고 계셨나요?

점점 늘어나고 있는 데이터 보호 문제를 해결하기 위해 사우디아라비아에서는 2021년 9월에 개인 데이터 보호법(PDPL)이 시행되었습니다.

이후 이 법은 2023년 3월에 개정되어 국제 데이터 보호 표준을 준수하기 위한 사우디아라비아의 노력에 중요한 이정표가 되었습니다.

이 새로운 법안은 사우디 아라비아에 대한 PDPL의 중요성 외에도 현지 및 전 세계 조직에 영향을 미칠 것입니다.

You may be familiar with data protection laws like HIPAA, GDPR and CCPA. But did you know that other foreign countries are also introducing comprehensive regulations?

To address escalating data protection challenges, the Personal Data Protection Law (PDPL) was implemented in Saudi Arabia in September 2021. The law was later modified in March 2023, signifying a significant milestone in the country’s efforts to comply with international data protection standards.

In addition to the PDPL’s significance to Saudi Arabia, this new legislation will affect organizations locally and around the world.

PDPL의 간략한 개요

A brief overview of the PDPL

PDPL은 2021년 9월 17일, 왕실 법령 M/19에 의해 시행되고 2023년 3월 21일에 개정된 사우디아라비아 최초의 데이터 보호법입니다. 사우디 데이터 및 인공 지능 당국(SDAIA)과국가 데이터 관리 사무소(NDMO)가 감독하는 이 법은 개인 데이터의 프라이버시를 보장하고 데이터 공유를 규제하며 개인 데이터의 오용을 방지하기 위해 만들어졌습니다.

PDPL에서 다루는 주요 원칙은 다음과 같습니다:

목적 제한 및 데이터 최소화: 데이터 컨트롤러는 구체적이고 명시적이며 합법적인 목적으로만 개인 데이터를 수집할 수 있습니다. 일단 수집된 데이터는 원래 수집 목적에 부합하는 방식으로만 사용되어야 합니다. 또한 개인 데이터는 적절하고 관련성이 있어야 하며 처리 목적에 맞게 제한되어야 합니다.

컨트롤러의 의무: 개인 데이터 처리의 목적과 수단을 결정하는 조직 또는 개인을 "컨트롤러"로 간주합니다. 컨트롤러의 책임은 다음과 같습니다:

      등록. 개인 데이터를 처리하는 주체는 관련 기관에 등록하여 데이터 처리 활동에 대한 세부 정보를 제공해야 합니다.

      데이터 처리 기록의 유지. 컨트롤러는 투명성과 책임성을 위해 데이터 처리 활동에 대한 포괄적인 기록을 유지해야 합니다.

The PDPL, implemented by Royal Decree M/19 of September 17, 2021, and amended on March 21, 2023, is Saudi Arabia’s first data protection law. Overseen by The Saudi Data & Artificial Intelligence Authority (SDAIA) and the National Data Management Office (NDMO), the law was created to ensure the privacy of personal data, regulate data sharing and prevent the misuse of personal data.

Key principles covered by the PDPL include:

Purpose limitation and data minimization: Data controllers can only collect personal data for specific, explicit and legitimate purposes. Once gathered, the data should only be used in ways that align with the original reasons for collecting it. Personal data must also be adequate, relevant and limited to the purposes for which it is processed.

Controller obligations: Organizations or individuals that determine the purposes and means of processing personal data are considered “controllers.” Controllers’ responsibilities include:

• Registration. Entities processing personal data must register with the relevant authority, providing details about their data processing activities.
• Maintenance of data processing records. Controllers must maintain comprehensive records of their data processing activities for the purposes of transparency and accountability.

데이터 주체 권리: 개인은 PDPL에 따라 처리된 데이터와 관련하여 다음을 포함하는 특정 권리를 갖습니다:

• 접근 권한: 개인은 자신에 대해 처리되는 개인 데이터에 대한 정보를 요청할 수 있습니다.
• 수정 권리: 개인 데이터가 부정확하거나 불완전한 경우 개인은 이를 수정할 수 있는 권리가 있습니다.
• 삭제 권리: 특정 조건 하에서 개인은 자신의 개인 데이터 삭제를 요청할 수 있습니다.
• 반대 권리: 개인은 특정 이유로(예: 직접 마케팅) 자신의 개인 데이터 처리에 반대할 수 있습니다.

규정 위반에 대한 처벌: PDPL을 준수하지 않을 경우 유형(금전적) 및 무형(평판) 불이익을 포함한 심각한 처벌을 받을 수 있습니다. 법률에는 데이터 유출에 대한 구체적인 벌금 및 제재를 명시하고 있습니다.

Data subject rights: Individuals have specific rights surrounding their processed data under the PDPL, which include:

• Right to access: Individuals can request information about the personal data being processed about them.
• Right to rectification: If personal data is inaccurate or incomplete, individuals have the right to have it corrected.
• Right to erasure: Under certain conditions, individuals can request the deletion of their personal data.
• Right to object: Individuals can object to the processing of their personal data for specific reasons — direct marketing, for example.

Penalties for breach of provisions: Non-compliance with the PDPL can result in severe penalties — tangible (financial) and non-tangible (reputational). The law outlines specific fines and sanctions for data breaches.

조직에 대한 시사점

Implications for organizations

사우디아라비아가 이 기념비적인 발걸음을 내딛으면서 조직은 중대한 기로에 서게 되었습니다. 데이터 보안은 더 이상 뒷전으로 밀려나서는 안 되며, 비즈니스 운영의 근간으로 자리 잡아야 합니다.

다음은 조직에 미치는 몇 가지 주요 영향입니다.

책임성 강화: PDPL을 준수하려면 포괄적인 데이터 보호 정책을 채택하고, 정기적인 감사를 실시하며, 데이터 보호가 운영에 통합되도록 해야 합니다.

데이터 보호 책임자(DPO): 대규모 조직이나 고위험 데이터 처리에 관여하는 조직은 데이터 보호 활동을 감독하고 PDPL 준수를 보장할 수 있는 DPO를 임명해야 할 수 있습니다.

데이터 유출 알림: 데이터 유출이 발생한 경우 조직은 특정 기간 내에 관련 당국 및 영향을 받은 개인에게 통보해야 할 수 있습니다. 이때 강력한 침해 탐지, 조사 및 내부 보고 절차를 갖추는 것이 가장 중요합니다.

국경 간 데이터 전송: PDPL은 개인 데이터를 사우디아라비아 외부로 전송하는 것을 제한할 수 있습니다. 조직은 데이터를 해외로 전송할 때 적절한 보호 장치를 마련해야 합니다.

교육 및 인식: 조직은 PDPL의 요구 사항과 규정 준수 보장에 대한 역할을 이해할 수 있도록 직원 교육에 투자해야 합니다.

공급업체 관리: 조직은 제3자도 PDPL 요구 사항을 충족하는지 확인하기 위해 개인 데이터를 대신 처리하는 제3자 공급업체와의 계약을 검토해야 합니다.

기술적 영향: 조직은 기본적으로 데이터 보호를 보장하기 위해 새로운 기술에 투자하거나 기존 기술을 업데이트해야 할 수 있습니다.

재정적 영향: 규정을 준수하지 않을 경우 막대한 벌금이 부과될 수 있습니다. 따라서 조직은 예산 책정 및 계획 수립 시 규정 미준수로 인한 잠재적인 재정적 영향을 포함해야 합니다.

As Saudi Arabia takes this monumental step forward, organizations find themselves at a pivotal crossroads. Data security can no longer be an afterthought; it must be woven into the very fabric of business operations.

Here are some of the key organizational implications.

Increased accountability: Compliance with PDPL entails a requirement to adopt comprehensive data protection policies, conduct regular audits and ensure that data protection is integrated into operations.

Data protection officers (DPOs): Larger organizations or those involved in high-risk data processing may need to appoint a DPO who can oversee data protection activities and ensure compliance with the PDPL.

Data breach notifications: In the event of a data breach, organizations may be required to notify the relevant authorities and affected individuals within a specific timeframe. Here, having robust breach detection, investigation and internal reporting procedures in place is paramount.

Cross-border data transfers: The PDPL may impose restrictions on transferring personal data outside Saudi Arabia. Organizations must have adequate safeguards in place when transferring data internationally.

Training and awareness: Organizations will need to invest in staff training to ensure they understand the PDPL’s requirements and their role in ensuring compliance.

Vendor management: Organizations should review contracts with third-party vendors that process personal data on their behalf to ensure third parties also meet PDPL requirements.

Technological implications: Organizations may need to invest in new technologies or update existing ones to ensure data protection by design and default.

Financial implications: Non-compliance can result in hefty fines. Therefore, organizations must include the potential financial impact of non-compliance when budgeting and planning.

Explore IBM Guardium Insights

PDPL이 사우디아라비아에 미치는 의미

The significance of the PDPL to Saudi Arabia

사우디아라비아에 개인 데이터 보호법(PDPL)의 도입은 사이버 보안에 있어 중요한 진전이며, 국가에 중대한 영향을 미칩니다.

다음은 PDPL이 사우디아라비아에 미치는 몇 가지 영향입니다.

국제 표준 준수: PDPL을 통해 사우디아라비아는 유럽연합의 일반 데이터 보호 규정(GDPR)과 같은 글로벌 데이터 보호 표준에 더욱 긴밀하게 부합할 수 있게 되었습니다.

디지털 경제 활성화: 사우디아라비아의 비전 2030은 경제를 다각화하고 디지털 기업과 소비자에게 신뢰를 심어주기 위한 디지털 혁신의 중요성을 강조합니다.

시민의 권리 보호: PDPL은 시민의 권리와 개인정보를 보호하고 개인에게 개인 데이터에 대한 통제권을 부여하려는 사우디아라비아의 노력을 강조합니다.

신뢰 강화: 디지털 서비스가 성공하려면 사용자는 자신의 데이터가 안전하다는 것을 신뢰해야 합니다.

외국인 투자 유치: 강력한 데이터 보호 프레임워크는 사우디아라비아를 외국인 투자자, 특히 방대한 양의 개인 데이터를 처리하는 기술 기업에게 더욱 매력적인 곳으로 다가올 수 있게 합니다.

지역 벤치마크 설정: 일부 중동 국가에서는 데이터 보호법이 시행되고 있지만, PDPL은 해당 지역에 대한 높은 표준을 제시하며 다른 중동 국가들이 데이터 보호 프레임워크를 강화하도록 영감을 줄 수 있습니다.

현대의 과제 해결: 빅데이터, AI 및 고급 분석의 시대에 개인 데이터의 오용 가능성이 커지고 있습니다. PDPL은 이러한 현대적 과제를 해결하기 위한 사우디아라비아의 선제적 조치로, 기술이 발전함에 따라 개인의 권리가 계속 보호될 수 있도록 보장합니다.

문화적, 사회적 고려: PDPL은 단순히 국제법을 복사한 것이 아닙니다. 이 법률은 사우디아라비아의 고유한 문화적, 사회적 맥락에 맞게 조정되었으며 사우디 국민의 가치와 신념에 공감을 불러일으킵니다.

The introduction of the Personal Data Protection Law (PDPL) in Saudi Arabia is a significant step forward for cybersecurity, with profound implications for the nation.

Here are just a few ways in which the PDPL impacts the country.

Alignment with international standards: The PDPL brings Saudi Arabia into closer alignment with global data protection standards, such as the European Union’s General Data Protection Regulation (GDPR).

Boosting digital economy: Saudi Arabia’s Vision 2030 emphasizes the importance of a digital transformation to diversify the economy, instilling confidence in digital enterprises and consumers.

Protection of citizens’ rights: The PDPL underscores Saudi Arabia’s commitment to safeguarding its citizens’ rights and privacy, granting individuals control over their personal data.

Strengthening trust: For digital services to thrive, users must trust that their data is safe.

Attracting foreign investment: A robust data protection framework can make Saudi Arabia more attractive to foreign investors, especially tech companies that handle vast amounts of personal data.

Setting a regional benchmark: While some Middle Eastern countries have data protection laws in place, the PDPL sets a high standard for the region and may inspire other Middle Eastern nations to bolster their data protection frameworks.

Addressing modern challenges: In an era of big data, AI and advanced analytics, the potential for misuse of personal data has grown. The PDPL is a proactive step by Saudi Arabia to address these modern challenges, ensuring that as technology evolves, the rights of individuals remain protected.

Cultural and societal considerations: The PDPL is not merely a carbon copy of international laws. It is tailored to fit Saudi Arabia’s unique cultural and societal context and resonates with the values and beliefs of the Saudi population.

IBM Security Guardium으로 기업이 규정을 준수할 수 있도록 돕는 방법

How IBM Security Guardium can help your business meet compliance regulations

데이터 규정 준수는 전 세계적으로 중요한 문제입니다. 이를 위해 IBM Security Guardium Insights는 규정 준수 정책 시행을 자동화하고 여러 클라우드에서 데이터 활동을 중앙 집중화하는 데이터 보안 플랫폼입니다. 이 프로세스는 하이브리드 환경에서 중요 데이터 액세스 및 사용에 대한 통합된 보기를 제공합니다.

소프트웨어 및 SaaS 배포 옵션을 갖춘 Guardium Insights는 숙련된 데이터 보안 팀을 보유한 대기업은 물론 데이터 컴플라이언스 여정을 막 시작한 소규모 기업 모두 지원 할 수 있습니다.

Compliance with data regulations is a worldwide concern. To that end, IBM Security Guardium Insights is a data security platform that automates compliance policy enforcement and centralizes data activity across multiple clouds. This process provides a consolidated view of critical data access and usage in hybrid environments.

With software and SaaS deployment options, Guardium Insights caters to both large enterprises with seasoned data security teams as well as smaller enterprises just beginning their data compliance journey — wherever they’re located.

IBM Guardium | PDPL | Personal Data Protection Law | Saudi Arabia | Government | Guardium | IBM Security Guardium

https://securityintelligence.com/articles/understanding-saudi-arabias-personal-data-protection-law/