Seitenbereiche
info@k11-consulting.de

Datenschutz News

© k11-consulting.com

Saudi-Arabien: SDAIA veröffentlicht Entwurf der PDPL-Verordnung zur öffentlichen Konsultation

 

Am 11. Juli 2023 hat die saudische Behörde für Daten und künstliche Intelligenz (Saudi Data & Artificial Intelligence Authority, SDAIA) zwei öffentliche Konsultationen eingeleitet, und zwar zum Entwurf der Durchführungsbestimmungen des Gesetzes zum Schutz personenbezogener Daten in der Fassung vom 21. März 2023 (PDPL in der geänderten Fassung) und zum Entwurf der Verordnung über die Übermittlung personenbezogener Daten außerhalb der geografischen Grenzen des Königreichs. Kommentare können bis zum 31. Juli 2023 über die entsprechenden Portale, hier und hier, eingereicht werden.

 

Entwurf der PDPL-Durchführungsverordnung

 

Der Entwurf der PDPL-Durchführungsbestimmungen ergänzt und spezifiziert verschiedene Bestimmungen der PDPL. Der Entwurf der PDPL-Durchführungsbestimmungen behandelt unter anderem folgende Punkte:

 

Ausnahmen für den persönlichen oder familiären Gebrauch;

Rechtsgrundlagen für die Verarbeitung personenbezogener Daten;

Rechte der betroffenen Person;

Bedingungen für eine gültige Einwilligung, einschließlich des Rechts, diese zu widerrufen;

Erziehungsberechtigte;

Verarbeitung personenbezogener Daten für sekundäre Zwecke;

Informationssicherheit;

Meldung von Verletzungen des Schutzes personenbezogener Daten;

Bewertung der potenziellen Auswirkungen und Risiken der Datenverarbeitung;

Verarbeitung von Gesundheitsdaten und Kreditdaten;

Direktmarketing;

Datenschutzbeauftragter;

Aufzeichnungen von Verarbeitungstätigkeiten, einschließlich der Festlegung von Aufbewahrungsfristen; und

Eintragung in das nationale Register der für die Verarbeitung Verantwortlichen.

Entwurf der Verordnung zur Übermittlung personenbezogener Daten

Der Entwurf der Verordnung über die Übermittlung personenbezogener Daten legt die Bestimmungen und Verfahren in Bezug auf die Zwecke und Bedingungen für die Übermittlung von Daten außerhalb Saudi-Arabiens gemäß Artikel 29 Absatz 4 des geänderten PDPL fest. Der Entwurf der Verordnung über die Übermittlung personenbezogener Daten umfasst insbesondere Datenübermittlungen auf der Grundlage eines angemessenen Schutzniveaus für personenbezogene Daten, das von den zuständigen Behörden anhand einer Liste von Kriterien und in Bezug auf Länder, bestimmte Sektoren oder internationale Organisationen zu bewerten ist. Darüber hinaus zielt der Entwurf der Verordnung über die Übermittlung personenbezogener Daten darauf ab, die Regeln für Datenübermittlungen festzulegen, wenn in einem Drittland kein angemessenes Schutzniveau für personenbezogene Daten besteht. In solchen Fällen sieht der Entwurf der Verordnung über die Übermittlung personenbezogener Daten vor, dass ein für die Verarbeitung Verantwortlicher zunächst feststellen sollte, dass die rechtlichen Anforderungen in dem Drittland (oder seinen Sektoren) oder der internationalen Organisation keine negativen Auswirkungen auf die Privatsphäre der betroffenen Personen oder deren Fähigkeit zur Ausübung ihrer Rechte haben. Darüber hinaus sollte der für die Verarbeitung Verantwortliche (vorbehaltlich von Ausnahmen) bestimmte Garantien annehmen, nämlich verbindliche unternehmensinterne Vorschriften (Binding Corporate Rules, BCR), Standardvertragsklauseln (Standard Contractual Clauses, SCC), Bescheinigungen über die Einhaltung der PDPL und ihrer Vorschriften oder verbindliche Verhaltenskodizes.

Saudi Arabien, 12.07.2023

 

 

USA: Internationale Handelsbehörde veröffentlicht Beratung zur Angemessenheitsentscheidung und Zertifizierung

 

Am 11. Juli 2023 veröffentlichte die U.S. International Trade Administration (ITA) ein Advisory zur Angemessenheitsentscheidung der Europäischen Kommission für das EU-US Data Privacy Framework (DPF).

 

Zertifizierung

 

Darin wird daran erinnert, dass die EU-US-Datenschutzrahmenprinzipien am selben Tag in Kraft getreten sind und dass Unternehmen, die ihre Verpflichtung zur Einhaltung der EU-US-Datenschutzschild-Rahmenprinzipien selbst zertifiziert haben, ihre Datenschutzrichtlinien bis zum 10. Oktober 2023 aktualisieren müssen, um den Prinzipien zu entsprechen.

 

Organisationen, die sich selbst nach dem EU-US-Datenschutzschild zertifiziert haben, müssen jedoch keine gesonderte Selbstzertifizierung einreichen, um an der EU-US-DSGVO teilzunehmen, und können sich sofort auf den Angemessenheitsbeschluss der EU-US-DSGVO berufen, um personenbezogene Daten aus der EU und dem EWR zu erhalten.

 

Im Advisory wird insbesondere darauf hingewiesen, dass das ITA die DPF-Website einrichten wird, damit in den USA ansässige Organisationen am 17. Juli 2023 erste Zertifizierungsanträge für die Teilnahme an der EU-US-DSGVO, der britischen Erweiterung der EU-US-DSGVO und/oder der Schweiz-US-DSGVO stellen können. Organisationen können ab demselben Datum auch ihre jährliche Rezertifizierung für die DPF EU-USA, die britische Erweiterung der DPF EU-USA und/oder die DPF Schweiz-USA einreichen.

Darüber hinaus hat das ITA festgelegt, dass die Privacy-Shield-Website am 14. Juli 2023 offline genommen wird, dass aber Personen mit aktiven Konten für das Privacy-Shield-Programm ihre bestehenden Anmeldedaten für die DPF-Website verwenden können.

 

UK

 

Berechtigte Organisationen, die ihre Konformität mit der britischen Erweiterung der EU-US-DSGVO selbst zertifizieren möchten, können dies ab dem 17. Juli 2023 tun, jedoch nicht vor Inkrafttreten der britischen Angemessenheitsvorschriften zur Umsetzung der Datenbrücke für die britische Erweiterung der EU-US-DSGVO. Die Empfehlung stellt klar, dass Organisationen, die an der britischen Erweiterung teilnehmen möchten, auch an der EU-US-DSGVO teilnehmen müssen.

 

Schweiz

 

Die DPF-Prinzipien für die Schweiz und die USA werden am 17. Juli 2023 in Kraft treten. Organisationen, die ihre Übereinstimmung mit den Grundsätzen des Privacy Shield Frameworks selbst zertifiziert haben, müssen die Swiss-US DPF Principles einhalten, indem sie ihre Datenschutzrichtlinien bis zum 17. Oktober 2023 aktualisieren. In der Empfehlung wird klargestellt, dass sich solche Organisationen bei der Übermittlung personenbezogener Daten aus der Schweiz erst ab dem Datum des Inkrafttretens der voraussichtlichen Anerkennung der Angemessenheit des Datenschutzschildes Schweiz-USA durch die Schweizer Bundesverwaltung auf den Datenschutzschild Schweiz-USA berufen können.

USA, 12.07.2023

 

Erstellt:

Experte für Datenschutz gesucht? Neben dem großen Thema Datenschutz unterstützen wir Sie im Interim Management, bei strategischen & betriebswirtschaftlichen Managementaufgaben. Sie haben Fragen, genug vom Blabla und wollen Genaueres wissen? Hier unverbindlich kontaktieren.

Mit diesem QR-Code gelangen Sie schnell und einfach auf diese Seite
Mit diesem QR-Code gelangen Sie schnell und einfach auf diese Seite

Scannen Sie ganz einfach mit einem QR-Code-Reader auf Ihrem Smartphone die Code-Grafik links und schon gelangen Sie zum gewünschten Bereich auf unserer Homepage.