البند (1) الغرض والنطاق

أ. الغرض من هذه البنود هو ضمان تطبيق مستوى مناسب من حماية البيانات الشخصية يعادل مستوى الحماية الساري بموجب قانون حماية البيانات الشخصية ولوائحه التنفيذية في غياب مستوى مناسب من حماية البيانات الشخصية خارج المملكة من خلال تحديد التزامات الأطراف المعنية في نقل البيانات الشخصية إلى إحدى الدول أو المنظمات الدولية التي ليس لديها مستوى مناسب من حماية البيانات الشخصية. يعرض الملحق (1) البيانات لكل من مُصدّري البيانات ومستوردي البيانات.

ب. تسري هذه البنود على نقل البيانات الشخصية على النحو المحدد في الملحق (2) ("البيانات الشخصية التي سيتم نقلها أو الإفصاح عنها").

البند (2) التعديل والتأثير 

أ. تحدد هذه البنود الضمانات المناسبة، ومنها حقوق تقديم الشكوى من قبل أصحاب البيانات الشخصية، ولا يمكن تعديلها إلا لاختيار النموذج المناسب أو لإضافة أو تحديث معلومات في الملحق.

ب. يجوز للطرفين دمج هذه البنود في اتفاقية شاملة أو إضافة بنود أخرى أو ضمانات إضافية، شريطة ألا تتعارض بشكل مباشر أو غير مباشر مع هذه البنود أو تتعدى على الحقوق الأساسية لأصحاب البيانات الشخصية.

ج. لا تُعفي هذه البنود أي طرف من التزاماته بموجب القانون واللوائح، ولا تخل بأحكام القوانين واللوائح المعمول بها في المملكة أو الاتفاقيات التي تكون المملكة طرفًا فيها.

البند (3) حقوق أصحاب البيانات الشخصية

أ. لا تخل البنود التعاقدية القياسية هذه بحقوق أصحاب البيانات الشخصية بموجب القانون واللوائح.

ب. يجوز لأصحاب البيانات الشخصية التي يتم نقل بياناتهم الشخصية من الطرفين بناءً على البنود التعاقدية القياسية هذه إخطار السلطة المختصة ("الهيئة السعودية للبيانات والذكاء الاصطناعي") إذا علموا بأي انتهاك لهذه البنود التعاقدية القياسية.

البند (4) التفسير

أ. ما لم يقتض السياق خلاف ذلك، فإن الكلمات والعبارات المستخدمة في هذه البنود لها المعاني المخصصة لها في المادة (1) من قانون حماية البيانات الشخصية الصادر بموجب المرسوم الملكي رقم (M/19) بتاريخ 9/2/1443 هـ، والمعدل بموجب المرسوم الملكي رقم (M/148) بتاريخ 5/9/1444 هـ، والمادة (1) من اللائحة التنفيذية لقانون حماية البيانات الشخصية (PDPL) والمادة (1) من اللائحة المتعلقة بنقل البيانات الشخصية خارج المملكة.

ب. تُقرأ هذه البنود وتُفسَّر في ضوء أحكام القانون واللوائح المشار إليها في الفقرة (أ) من هذه المادة ووفقًا لها، ولا يجوز تفسيرها بأي طريقة أخرى تتعارض مع أحكام القانون واللوائح.

البند (5) التعارض 

في حالة وجود تعارض بين هذه البنود وأي بند في أي اتفاقية أخرى بين الطرفين، تسود هذه البنود.

البند (6) تفاصيل عمليات النقل

النقل/عمليات النقل، بالإضافة إلى فئات البيانات الشخصية وأغراض عمليات النقل، موضحة في الملحق.

البند (7) إضافة أطراف جديدة

أ. يجوز لأي مستورد أو مُصدّر للبيانات الشخصية ليس طرفًا في هذه البنود القياسية الانضمام إلى البنود التعاقدية القياسية عن طريق استكمال الملحق (1) والتوقيع عليه، وذلك بموافقة الأطراف الموجودة. يجب أن يكون الكيان المنضم إما مستورد البيانات الشخصية أو مُصدّر البيانات الشخصية.

ب. بمجرد استكمال الملحق (1) والتوقيع عليه، يصبح الكيان المنضم طرفًا في هذه البنود، ويتحمل الكيان المنضم حديثًا، اعتبارًا من تاريخ انضمامه، مسؤولياته على حسب طبيعة عمليات معالجة ونقل البيانات الشخصية التي حدثت في أو بعد تاريخ انضمامه، ويحق له ممارسة الحقوق والالتزامات المقابلة لدوره على النحو المحدد في هذه البنود.

البند (8) القانون الحاكم والاختصاص القضائي

تخضع هذه البنود التعاقدية القياسية للقوانين المعمول بها في المملكة العربية السعودية. أي نزاع ينشأ عن تطبيق أحكام هذه البنود يقع ضمن الاختصاص القضائي للمملكة ويحال إلى محاكمها. يوافق مستورد البيانات الشخصية، بموجب هذه البنود التعاقدية القياسية، على الخضوع للاختصاص القضائي للمملكة العربية السعودية.

البند (9) الامتثال لطلبات السلطة المختصة

أ. يوافق كل طرف على الامتثال لأي طلبات من السلطة المختصة فيما يتعلق بهذه البنود التعاقدية القياسية أو بمعالجة البيانات الشخصية المنقولة.

ب. يوافق مستورد البيانات الشخصية على التعاون مع السلطة المختصة والامتثال لجميع طلباتها واستفساراتها، وعلى تقديم الوثائق والمعلومات اللازمة لضمان الامتثال للبنود التعاقدية القياسية.

ج. يوافق مستورد البيانات الشخصية على الالتزام بالتدابير التي اعتمدتها السلطة المختصة، بما فيها التدابير التصحيحية والتعويض.

البند (10) التعويض

أ. إذا نشأ أي نزاع بين صاحب البيانات الشخصية وطرفٍ ما فيما يتعلق بالامتثال للبنود التعاقدية القياسية، يجب على هذا الطرف استخدام جميع الوسائل اللازمة لتسوية النزاع وديًا مع صاحب البيانات الشخصية، ويجب على جميع الأطراف إبلاغ بعضها البعض بوجود هذا النزاع لضمان حله بالتعاون مع بعضها البعض.

ب. يجوز لصاحب البيانات الشخصية أن يقدم إلى السلطة المختصة أي شكوى تنشأ عن تطبيق أحكام البنود التعاقدية القياسية، وفقًا لإجراءات تقديم الشكاوى المحددة في القانون واللوائح.

ج. يحق لصاحب البيانات الشخصية المطالبة أمام المحكمة المختصة بتعويض عن الضرر المادي أو المعنوي بما يتناسب مع حجم الضرر الناشئ عن تطبيق البنود التعاقدية القياسية.

البند (11) أمن البيانات الشخصية

أ. يجب على جميع الأطراف اتخاذ التدابير التنظيمية والإدارية والفنية اللازمة التي تضمن الحفاظ على خصوصية البيانات الشخصية ضد أي خرق في جميع مراحل المعالجة، بما في ذلك أمن البيانات الشخصية أثناء عملية النقل.  عند تقييم المستوى المناسب من الأمن، يجب على الطرفين مراعاة الحالة الحالية للتكنولوجيا وتكاليف التنفيذ وطبيعة البيانات الشخصية المنقولة، بالإضافة إلى طبيعة ونطاق وسياق وأغراض والمخاطر التي تنطوي عليها معالجة البيانات الشخصية، والأخذ في الاعتبار على وجه التحديد بتطبيق التشفير أو طمس الهوية، بما في ذلك أثناء نقل البيانات الشخصية، حيثما أمكن تحقيق الغرض من معالجة البيانات بهذه الطريقة.

ب. يجب على مُصدّر البيانات الشخصية مساعدة مستورد البيانات الشخصية في الوفاء بمتطلبات أمن البيانات الضرورية، وفي حالة حدوث أي خرق للبيانات الشخصية في ما يتعلق بالبيانات الشخصية المنقولة التي تتم معالجتها من قبل مُصدّر البيانات الشخصية بموجب البنود التعاقدية القياسية، يجب على مُصدّر البيانات الشخصية إخطار مستورد البيانات الشخصية دون تأخير بعد علمه بذلك الخرق، ويجب عليه مساعدة مستورد البيانات الشخصية في احتواء ذلك الخرق.

ج. يضمن مُصدّر البيانات التزام الأشخاص المفوّضين بمعالجة البيانات الشخصية المنقولة بالسرية وعدم الإفصاح بموجب التزام قانوني مناسب بالسرية وعدم الإفصاح.

البند (12) المدة والإنهاء

أ. إذا تعذر على مستورد البيانات الشخصية لأي سبب من الأسباب الوفاء بالتزاماته بموجب هذه البنود التعاقدية القياسية، يجب عليه إبلاغ مصدر البيانات الشخصية في غضون (24) ساعة من الوقت الذي يصبح فيه على علم بذلك.

ب. في حالة انتهاك مستورد البيانات الشخصية لهذه البنود التعاقدية القياسية أو إذا تعذر عليه الامتثال لها، يجب على مُصدّر البيانات الشخصية التوقف فورًا عن نقل البيانات الشخصية إلى مستورد البيانات الشخصية حتى يضمن مستورد البيانات الشخصية عودته إلى الامتثال مرة أخرى، شريطة أن يتم منح مُستورد البيانات الشخصية فترة (30) يومًا، قابلة للتمديد لفترة مماثلة كحد أقصى، لإثبات قدرته على الامتثال لهذه البنود، وإذا انتهت الفترة دون تحقيق ذلك، يوافق الطرفان على إنهاء العقد، دون أي مسؤولية على مُصدّر البيانات الشخصية أو المتحكم بها، حسب الحالة.

ج. يجب على مُصدّر البيانات الشخصية أو المتحكم بها، حسب الحالة، ضمان الإتلاف الكامل لجميع البيانات الشخصية التي تم نقلها سابقًا إلى مستورد البيانات الشخصية قبل إنهاء البنود التعاقدية القياسية بموجب الفقرة (ب) أعلاه. ويجب عليه أيضًا ضمان إتلاف أي نسخ لديه من هذه البيانات الشخصية.

د. يجب على مستورد البيانات الشخصية توثيق إتلاف البيانات، ويجب تقديم هذه الوثائق إلى مُصدّر البيانات الشخصية أو المتحكم بها عند الطلب.

هـ. يجب على مستورد البيانات الشخصية مواصلة ضمان امتثاله للبنود التعاقدية القياسية إلى أن يتم إتلاف البيانات.

البند (13) حماية البيانات الشخصية المنقولة

يجب على مُصدّر البيانات الشخصية ومستورد البيانات الشخصية معالجة البيانات الشخصية المنقولة وفقًا لطبيعة وأغراض النقل على النحو التالي:

بنود من المتحكم إلى المتحكم

.1 قيود معالجة البيانات

مستورد البيانات الشخصية ملزم بمعالجة البيانات الشخصية المنقولة وفقًا للأغراض المنصوص عليها في الملحق .(2)

.2 الامتثال لطلبات السلطة المختصة

2.1 يجب على الطرفين تقديم نسخة من هذه البنود إلى السلطة المختصة عند الطلب ودون تأخير لا مبرر له حتى تتمكن السلطة المختصة من ممارسة صلاحياتها بموجب القانون واللوائح. يجوز للسلطة المختصة طلب أي معلومات إضافية تتعلق بعمليات نقل البيانات الشخصية.

2.2 يوافق كل طرف على الامتثال لأي طلبات من السلطة المختصة فيما يتعلق بهذه البنود أو بمعالجة البيانات المنقولة. 

2.3 يجب على مستورد البيانات الشخصية (سواء بشكل مباشر أو من خلال مُصدّر البيانات الشخصية)، عند الطلب، الإفصاح عن هويته وتفاصيل الاتصال به وفئات البيانات الشخصية التي تتم معالجتها إلى صاحب البيانات الشخصية وتقديم نسخة من هذه العناصر

.3 الحد الأدنى من البيانات الشخصية اللازمة لتحقيق الغرض 

يجب على جميع الأطراف ضمان أن تكون البيانات الشخصية المنقولة كافية ومحدودة إلى أدنى مقدار لازم لتحقيق الأغراض المنصوص عليها في الملحق .(2) إذا أصبح أي طرف على علم بأي نقل غير ضروري للبيانات الشخصية، يجب على هذا الطرف إبلاغ الطرف (الأطراف) الآخر بمجرد أن يصبح على علم بذلك.

.4 الاحتفاظ بالبيانات الشخصية 

يجب على مستورد البيانات الشخصية الاحتفاظ بالبيانات الشخصية المنقولة إذا كانت ضرورية لتحقيق الأغراض المنصوص عليها في الملحق ،(2) شريطة أن يقوم مستورد البيانات الشخصية، دون تأخير غير مبرر، بحذف البيانات الشخصية المنقولة أو إخفاء هويتها إلا في الحالات التالية: 

4.1 إذا كان ذلك وفقًا لتبرير قانوني بموجب قوانين المملكة وقانون حماية البيانات الشخصية ولوائحه؛ في هذه الحالة، يجب إتلاف البيانات بعد انتهاء الفترة أو بمجرد تحقيق الغرض من جمعها، أيهما أطول. 

4.2 إذا كان الاحتفاظ بالبيانات الشخصية المنقولة لفترة إضافية مرتبطًا ارتباطًا مباشرًا بقضية معلقة أمام سلطة قضائية، وكان ذلك الاحتفاظ مطلوبًا لهذا الغرض، يجب إتلاف البيانات بعد اكتمال الإجراءات القضائية المتعلقة بالقضية. 

4.3 إذا كان الاحتفاظ بالبيانات الشخصية المنقولة لفترة إضافية ضروريًا لحماية حياة صاحب البيانات أو مصالحه الحيوية.

.5 أمن البيانات الشخصية وإخطارات انتهاك البيانات الشخصية

يجب على الطرفين ضمان أن توفر التدابير التنظيمية والإدارية والفنية المحددة في الملحق (3) مستوى كافيًا من الحماية للبيانات الشخصية المنقولة امتثالاً لمتطلبات المادة (19) من القانون والمادة (23) من اللوائح التنفيذية. 

5.1 يجب على مستورد البيانات الشخصية تنفيذ التدابير الأمنية المحددة في الملحق (3) وتطبيق هذه التدابير على جميع البيانات الشخصية المنقولة لضمان أمن البيانات الشخصية وحمايتها ضد أي انتهاك قد يلحق ضررًا بصاحب البيانات الشخصية أو أي إجراء غير قانوني أو فقدان أو تغيير أو إفصاح أو وصول غير مصرح به.

5.2 يجب على مستورد البيانات الشخصية مراجعة التدابير الأمنية المنصوص عليها في الملحق (3) بشكل دوري لضمان تنفيذها حسب الاقتضاء وتحديثها حسب الحاجة لضمان الامتثال للمادة (19) من القانون والمادة (23) من اللوائح التنفيذية. 

5.3 إذا علم مستورد البيانات الشخصية بحادث خرق للبيانات قد يضر بالبيانات الشخصية المنقولة أو بأصحاب البيانات، أو يتعارض مع حقوقهم أو مصالحهم، يجب على مستورد البيانات الشخصية إخطار السلطة المختصة في غضون (72) ساعة من علمه بالحادث، وفقًا للمتطلبات المنصوص عليها في المادة (24) من اللوائح التنفيذية للقانون. 

.6 البيانات الحساسة 

دون الإخلال بأي قيود تتعلق بالبيانات الحساسة المنصوص عليها في القانون واللوائح التنفيذية للقانون، يجب على مُصدّر البيانات الشخصية ضمان اعتماد مستورد البيانات الشخصية لضمانات إضافية مناسبة لطبيعة البيانات الحساسة، وضمان حمايتها من أي مخاطر عند معالجتها مع ضمان تطبيق القيود والضمانات الإضافية الموضحة في الملحق .(2) 

.7 النقل اللاحق

7.1 لا يجوز لمستورد البيانات الشخصية نقل البيانات الشخصية المنقولة أو الإفصاح عنها إلى طرف ثالث خارج المملكة ما لم ينضم هذا الطرف إلى هذه البنود ووفقًا للنموذج المناسب وأحكام البند (7) أعلاه. 

7.2 دون الإخلال بأحكام المادتين (8) و(15) من القانون و(17) من اللائحة التنفيذية للقانون، تسري أحكام القانون واللوائح على النقل اللاحق للبيانات الشخصية التي تم نقلها أو الإفصاح عنها سابقًا إلى كيان خارج المملكة.

.8 تعيين جهات معالجة البيانات 

مستورد البيانات الشخصية ملزم بتعيين جهة معالجة بيانات توفر ضمانات كافية لحماية البيانات الشخصية المنقولة، ويجب أن تتضمن الاتفاقية مع جهة جهة معالجة البيانات جميع المتطلبات المنصوص عليها في المادة (17) من اللائحة التنفيذية، ويجب أن تستند معالجة البيانات إلى تعليمات مستورد البيانات فقط، شريطة أن تكون هذه التعليمات متسقة مع المتطلبات المنصوص عليها في هذه البنود.

.9 الامتثال لهذه البنود 

9.1 يجب على جميع الأطراف إثبات الامتثال الكامل لهذه البنود إلى السلطة المختصة عند الطلب، ويجب على مستورد البيانات الشخصية الاحتفاظ بالوثائق المتعلقة بأنشطة معالجة البيانات الشخصية التي يتم تنفيذها تحت إشرافه، بالإضافة إلى سجلات أنشطة معالجة البيانات الشخصية على النحو المنصوص عليه في المادة (33) من اللائحة. 

9.2 يجب على مستورد البيانات الشخصية تقديم هذه الوثائق إلى السلطة المختصة عند الطلب. 

.10 المساءلة 

10.1 يكون كل طرف مسؤولاً أمام الطرف الآخر عن أي أضرار تلحق بالطرف الآخر نتيجة انتهاك أي من هذه البنود التعاقدية القياسية. 

10.2 يكون كل طرف مسؤولاً أمام صاحب البيانات الشخصية، دون الإخلال بمساءلة مُصدّر البيانات الشخصية بموجب القانون واللوائح، ويحق لصاحب البيانات الشخصية الحصول على تعويض عن أي أضرار مادية أو معنوية ناتجة عن الطرف المهمل الذي يضر بصاحب البيانات الشخصية. إذا كان أكثر من طرف مسؤول عن التسبب في ضرر لصاحب البيانات الشخصية نتيجة انتهاك هذه البنود التعاقدية القياسية، تتم محاسبة الأطراف المسؤولة بشكل مشترك أو فردي، ويكون لصاحب البيانات الشخصية الحق في اتخاذ إجراء قانوني أمام المحكمة ضد أي من هذه الأطراف. 

10.3 يوافق الطرفان على أنه إذا تحمّل أي طرف المسؤولية (ب)، يحق له المطالبة من الطرف الآخر/الأطراف الأخرى بذلك الجزء من التعويض المقابل لمسؤوليته/مسؤوليتهم عن الضرر.

10.4 لا يجوز لمستورد البيانات الشخصية الاعتماد على سلوك جهة معالجة البيانات أو جهة معالجة البيانات الفرعية لتجنب المساءلة. 

.11 حق أصحاب البيانات الشخصية 

11.1 يجب على مستورد البيانات الشخصية (بدعم من مُصدّر البيانات الشخصية)، حسب الاقتضاء، التعامل مع أي استفسارات أو طلبات يتم تلقيها من صاحب البيانات فيما يتعلق بمعالجة البيانات الشخصية وممارسة الحقوق المنصوص عليها في القانون واللوائح المعمول بها دون أي تأخير خلال فترة لا تتجاوز ثلاثين (30) يومًا من تاريخ استلام مثل ذلك الطلب. يجوز تمديد هذه الفترة لفترة مماثلة تصل إلى ثلاثين (30) يومًا كحد أقصى إذا تطلب تنفيذ الطلب جهدًا استثنائيًا أو إذا تلقى مستورد البيانات الشخصية طلبات عديدة من صاحب البيانات الشخصية. يتم إخطار صاحب البيانات مسبقًا بذلك التمديد وأسبابه. 

11.2 كل البيانات المدلى بها إلى صاحب البيانات الشخصية يجب أن تُقدم بشكل واضح ومقروء ويمكن الوصول إليه.

الملحق

للاطلاع على المعلومات الواردة في الملاحق 1 و2 و ،3 راجع شروط الخصوصية السعودية.