Suudi Veri ve Yapay Zeka Kurumu (SDAIA), kişisel verilerin Krallık dışına aktarımına yönelik kapsamlı bir rehber yayımlamıştır. Bu rehber, bağlayıcı olmamakla birlikte, kuruluşlara riskleri değerlendirme ve hafifletme konusunda sistematik bir yaklaşım sunarak Suudi Kişisel Veri Koruma Yasası’na (PDPL) uyumu sağlamayı hedeflemektedir.

Rehber, veri aktarımlarına ilişkin riskleri belirlemek ve azaltmak için dört aşamalı bir süreç öngörmüştür:

1. Hazırlık: Veri işleme faaliyetlerinin detayları belirlenmeli ve aktarımın amaçları netleştirilmelidir.
2. Risk Analizi: Veri işleme sürecindeki olumsuz etkiler ve riskler değerlendirilmeli, uygun önlemler belirlenmelidir.
3. Verilerin Krallık Dışındaki Kuruluşlara Aktarımı İçin Risk Değerlendirmesi: Krallık dışına yapılan veri transferlerinde, alıcı kuruluşların uyumluluğu ve alınan güvenlik önlemleri incelenmelidir.
4. Ulusal Çıkarların Korunması: Aktarımların Suudi Arabistan’ın stratejik çıkarları üzerindeki olası etkileri göz önünde bulundurulmalıdır.

Eğer değerlendirme sonucunda yüksek riskler tespit edilirse alternatif yöntemler araştırılmalı ve ek güvenlik önlemleri uygulanmalıdır.

SDAIA’nın rehberi, uluslararası veri koruma uygulamaları ile uyumlu olmakla birlikte, özellikle veri ihracatçılarının aldığı önlemlere odaklanmaktadır. Avrupa Birliği’nin GDPR yaklaşımı ise daha çok üçüncü ülkelerin mevzuatlarını ve ek güvenlik önlemlerini dikkate almaktadır. Ayrıca, SDAIA rehberinin dördüncü aşaması, ulusal çıkarların korunmasına vurgu yapmasıyla Avrupa yaklaşımından ayrılmaktadır.

Krallık içinde faaliyet gösteren şirketler, Krallık dışına kişisel veri aktarmadan veya ifşa etmeden önce kapsamlı risk değerlendirmeleri yapmalı, veri işleme süreçlerini açık şekilde belgelemeli, veri alıcısı kuruluşların PDPL’e uyumunu doğrulamalı, veri aktarım süreçlerini düzenli olarak gözden geçirmeli ve veri aktarımının ülkenin stratejik çıkarları üzerindeki etkilerini analiz etmelidir.