Apa Sebenarnya PDPL Itu

PDPL adalah undang-undang privasi komprehensif pertama Arab Saudi. Diterbitkan melalui Keputusan Kerajaan M/19 pada 2021, diamendemen pada Maret 2023 untuk lebih menyelaraskannya dengan standar global yang ditetapkan oleh GDPR dan rezim serupa, dan mulai berlaku penuh pada 14 September 2024 setelah masa tenggang satu tahun. Undang-undang ini berada dalam tumpukan tata kelola data Arab Saudi yang lebih luas yang mencakup Peraturan Sementara Tata Kelola Data Nasional, Kerangka Regulasi Komputasi Awan, dan aturan kebebasan informasi SDAIA — tetapi bagi penerbit, PDPL adalah bagian yang mengatur cookie, pelacakan iklan, analitik, dan pemrosesan data pribadi lainnya yang terkait dengan situs web atau aplikasi.

Peraturan Pelaksana

PDPL singkat. Detail ada dalam dua peraturan pelaksana yang diterbitkan oleh SDAIA pada September 2023 dan disempurnakan sepanjang 2024 dan 2025: Peraturan Pelaksana (umum) dan Peraturan Transfer Data Pribadi (lintas batas). Bersama-sama ini memberikan jawaban konkret bagi penerbit tentang kualitas persetujuan, retensi, tenggat waktu pemberitahuan pelanggaran, dan kondisi untuk mengirim data penduduk Arab Saudi ke luar Kerajaan. Siapa pun yang masih menggunakan teks 2021 saja sedang membaca peta yang sudah usang.

Jadwal Penegakan yang Harus Diketahui Penerbit

SDAIA memberi organisasi waktu hingga 14 September 2024 untuk mencapai kepatuhan penuh. Gelombang pertama surat audit keluar pada akhir 2024 ke pengontrol besar di bidang keuangan, telekomunikasi, dan layanan pemerintah. Sepanjang 2025 program audit diperluas untuk mencakup media yang didanai iklan, e-commerce, dan platform mana pun yang memproses lebih dari volume data penduduk Arab Saudi yang ditentukan. Pada 2026 SDAIA telah memberi sinyal bahwa penerbit kecil dan menengah kini masuk dalam cakupan — terutama operator yang konten berbahasa Arab atau pengeluaran iklannya menandakan audiens Arab Saudi yang disengaja.

Siapa yang SDAIA Anggap sebagai Pengontrol Data

PDPL berlaku secara ekstrateritorial. Anda tidak memerlukan entitas Arab Saudi, server Arab Saudi, atau rekening bank Arab Saudi untuk menjadi pengontrol berdasarkan hukum. Jika situs atau aplikasi Anda memproses data pribadi individu yang tinggal di Kerajaan, Anda masuk dalam cakupan. Bagi penerbit kait ini dipicu oleh aliran data ad-tech rutin: alamat IP, ID perangkat, email yang di-hash, cookie perilaku, dan pengenal pengguna yang mengalir melalui lelang programatik semuanya dihitung sebagai data pribadi ketika dikaitkan dengan penduduk Arab Saudi.

Persyaratan Perwakilan Lokal

Pengontrol asing tanpa kehadiran di Kerajaan harus menunjuk perwakilan lokal yang terdaftar di SDAIA. Perwakilan tersebut adalah titik kontak hukum untuk permintaan subjek data dan korespondensi regulator. Penerbit yang lebih kecil sering menangani ini melalui perusahaan layanan privasi daripada mendirikan perusahaan lokal — tetapi penunjukan wajib dilakukan setelah melampaui ambang pemrosesan Arab Saudi yang rutin.

Skenario Pengontrol Bersama untuk Ad Tech

Rantai pasokan yang memonetisasi slot iklan programatik — CMP Anda, server iklan Anda, SSP yang Anda panggil, DSP yang melakukan penawaran, vendor verifikasi, dan mitra pengukuran — menciptakan hubungan pengontrol bersama dan beberapa di bawah PDPL seperti halnya di bawah GDPR. Penerbit tidak dapat mengalihkan kewajiban PDPL ke vendor. SDAIA mengharapkan penerbit untuk menunjukkan bahwa setiap mitra hilir memiliki dasar hukum sendiri dan komitmen kontraktual yang sesuai dengan apa yang dijanjikan penerbit di banner persetujuan.

Persetujuan Cookie Berdasarkan Peraturan Pelaksana

PDPL mengakui persetujuan sebagai salah satu dasar hukum untuk memproses data pribadi, dan Peraturan Pelaksana menguraikan seperti apa persetujuan yang valid. Standarnya tinggi — lebih dekat ke GDPR daripada ke CCPA — dan mencakup cookie, piksel, SDK, sidik jari, dan teknologi pelacakan lainnya yang membaca atau menulis data di perangkat pengguna.

Apa yang Dihitung sebagai Persetujuan yang Valid

Persetujuan harus diberikan secara bebas, spesifik, berdasarkan informasi, dan eksplisit. Kotak yang sudah dicentang sebelumnya, dinding cookie yang memblokir konten kecuali pengguna menerimanya, dan pemberitahuan "dengan melanjutkan browsing" yang ambigu semuanya gagal memenuhi standar. Pengguna harus melakukan tindakan afirmatif yang jelas — biasanya klik pada tombol Terima — dan tindakan itu harus dikaitkan dengan deskripsi yang jelas tentang tujuan pemrosesan. Persetujuan terbundel yang menggabungkan analitik, periklanan, dan personalisasi ke dalam satu ya-atau-tidak secara eksplisit tidak diizinkan.

Kategori Tujuan Granular

Panduan SDAIA mencantumkan kategori tujuan yang harus ditampilkan oleh CMP penerbit: sangat diperlukan, fungsional, analitik, periklanan, personalisasi, dan pemrosesan data sensitif apa pun seperti kesehatan atau inferensi biometrik. Setiap kategori memerlukan toggle tersendiri, deskripsi tujuan tersendiri, dan daftar vendor tersendiri. Kerangka IAB Europe TCF v2.3, yang diperluas dengan teks khusus PDPL dalam bahasa Arab, adalah jalur paling umum yang digunakan penerbit untuk memenuhi persyaratan granularitas.

Penarikan dan Persetujuan Ulang

Hak untuk menarik persetujuan harus semudah hak untuk memberikannya. Ikon preferensi persetujuan yang mengambang, tautan footer, atau panel pengaturan dalam aplikasi semuanya memenuhi syarat; opt-out hanya melalui email yang tersembunyi tidak memenuhi syarat. Penerbit harus merencanakan persetujuan ulang berkala untuk perubahan material — mitra iklan baru, tujuan cookie baru, SDK baru — dan SDAIA mengharapkan log audit CMP untuk merekam setiap peristiwa persetujuan ulang dengan cap waktu.

Transfer Lintas Batas dan Lokalisasi Data

Peraturan Transfer Data Pribadi adalah bagian PDPL yang paling mungkin menjebak penerbit, karena pada saat alamat IP pengguna Arab Saudi masuk ke lelang programatik, secara efektif telah ditransfer ke tempat SSP dan DSP beroperasi. SDAIA tidak memperlakukan ini sebagai aliran bebas.

Daftar Kecukupan dan Kontrak Standar

Pengontrol dapat mentransfer data pribadi ke luar Kerajaan di bawah salah satu dari tiga mekanisme utama: keputusan kecukupan yang disetujui SDAIA untuk negara tujuan, kontrak standar yang disetujui SDAIA, atau aturan perusahaan yang mengikat untuk transfer dalam grup. Daftar kecukupan per 2026 mencakup sejumlah kecil tetangga GCC dan segelintir yurisdiksi Eropa, tetapi sebagian besar tujuan ad-tech — termasuk Amerika Serikat — berada di luarnya dan memerlukan kontrak standar atau pengecualian.

Penilaian Dampak Transfer Data

Untuk transfer berisiko tinggi SDAIA memerlukan Penilaian Dampak Transfer Data (DTIA) yang terdokumentasi sebelum transfer dimulai. Ini adalah analogi Arab Saudi dari penilaian dampak transfer EU setelah Schrems II. Penerbit harus bekerja sama dengan vendor CMP dan ad-tech mereka untuk menyusun DTIA template yang mencakup aliran programatik yang berulang, dan memperbaruinya setiap kali vendor mengubah lokasi pemrosesan.

Langkah Kepatuhan Praktis untuk Penerbit

Program PDPL dibagi menjadi lima tugas operasional yang dipetakan dengan bersih ke CMP dan tumpukan iklan penerbit yang ada. Tidak ada yang asing bagi siapa pun yang telah mengimplementasikan kepatuhan GDPR atau LGPD — perbedaannya ada pada detail teks Arab Saudi dan aturan transfer spesifik.

Daftar Periksa Konfigurasi CMP

Konfirmasikan bahwa banner persetujuan Anda ditampilkan dalam bahasa Arab untuk pengunjung KSA dan bahasa Inggris untuk yang lainnya, bahwa kategori tujuan sepenuhnya granular, bahwa jalur tolak-semua adalah satu klik dan secara visual setara dengan terima-semua, dan bahwa string persetujuan mengalir ke hilir melalui Google Consent Mode v2 atau integrasi TCF Anda. Pastikan CMP Anda merekam tanda terima persetujuan khusus PDPL dengan cap waktu, versi kebijakan, dan pengenal pengguna sehingga respons audit dapat disusun dalam hitungan menit bukan hari.

Log Persetujuan dan Jejak Audit

Tim audit SDAIA meminta bukti persetujuan dalam bentuk yang familiar: siapa yang menyetujui, untuk apa, kapan, dengan versi banner apa, dan apa yang mereka katakan pada saat persetujuan. Rencanakan retensi log ini setidaknya dua tahun dan simpan dengan cara yang tahan terhadap perubahan vendor CMP — mengekspor ke gudang data milik pengontrol adalah pola yang paling bersih.

Alur Kerja Hak Subjek Data

PDPL memberikan hak akses, koreksi, penghapusan, dan portabilitas, dengan tenggat waktu respons tiga puluh hari. Penerbit dengan satu kotak masuk privasi@ dan tidak ada alur kerja tiket akan melewatkan tenggat waktu lebih sering daripada memenuhinya. Dirikan proses intake-ke-respons yang terdokumentasi, latih satu pemilik bernama, dan integrasikan alur kerja dengan catatan persetujuan CMP dan server iklan Anda sehingga permintaan penghapusan merambat ke hilir.

Kesimpulan

PDPL Arab Saudi di 2026 bukan rezim lunak yang dapat diprioritaskan rendah oleh penerbit di belakang GDPR dan CCPA. SDAIA memiliki pendanaan, kapasitas audit, dan dukungan politik untuk menegakkannya, dan aturan transfer lintas batas khususnya menciptakan gesekan nyata dengan rantai pasokan ad-tech global yang harus direkayasa oleh penerbit. Kabar baiknya adalah PDPL cukup banyak meminjam dari GDPR sehingga penerbit dengan postur kepatuhan Eropa yang matang sudah sebagian besar sampai di sana. Lokalisasi banner persetujuan Anda ke dalam bahasa Arab, lapisi teks tujuan khusus PDPL di atas pengaturan TCF Anda yang ada, dokumentasikan mekanisme transfer Anda, tunjuk perwakilan lokal jika lalu lintas Arab Saudi Anda memerlukannya, dan audiens KSA Anda tetap dapat dimonetisasi sementara operator yang mengabaikan PDPL sebagai latihan kertas menghabiskan 2026 membaca surat audit.