Клауза (1) Цел и обхват

a. Целта на настоящите Клаузи е да се гарантира, че се прилага подходящо ниво на защита на личните данни, еквивалентно на нивото на защита, приложимо съгласно Закона за защита на личните данни и регламентите за неговото прилагане, при липса на подходящо ниво на защита на личните данни извън Кралството, чрез определяне на задълженията на страните, участващи в прехвърлянето на лични данни към държава или международна организация, която няма подходящо ниво на защита на личните данни. Приложение (1) показва данните както за износителите на данни, така и за вносителите на данни.

б. Настоящите Клаузи се прилагат за прехвърлянето на лични данни, както е посочено в Приложение (2) („Лични данни, които подлежат на прехвърляне или разкриване“).

Клауза (2) Модификация и въздействие 

a. Настоящите Клаузи определят подходящи гаранции, включително права на жалба от Субекти на лични данни, и не могат да бъдат изменяни, освен за избор на подходящия шаблон или за добавяне или актуализиране на информация в приложението.

б. Страните могат да включат настоящите Клаузи в цялостно споразумение или да добавят други клаузи или допълнителни гаранции, при условие че не противоречат пряко или непряко на настоящите Клаузи или не нарушават основните права на субектите на лични данни.

в. Настоящите Клаузи не освобождават никоя страна от задълженията й съгласно Закона и подзаконовите актове, нито засягат разпоредбите на законите и подзаконовите актове, които са в сила в Кралството или споразуменията, по които Кралството е страна.

Клауза (3) Права на субектите на лични данни

a. Настоящите стандартни договорни клаузи не засягат правата на субектите на лични данни съгласно Закона и подзаконовите актове.

б. Субектите на лични данни, чиито лични данни се прехвърлят от страните въз основа на настоящите Стандартни договорни клаузи, могат да уведомят Компетентния орган („Saudi Data & AI Authority“), ако узнаят за каквото и да е нарушение на настоящите Стандартни договорни клаузи.

Клауза (4) Тълкуване

a. Освен ако контекстът не изисква друго, думите и фразите, използвани в настоящите Клаузи, имат значението, което им е придадено в член (1) от Закона за защита на личните данни, издаден с Кралски указ № (M/19) от 9/2/1443 AH и изменен с Кралски указ № (M/148) от 5/9/1444 AH, член (1) от Регламента за прилагане на ЗЗЛД и член (1) от Регламента за прехвърляне на лични данни извън Кралството.

б. Настоящите Клаузи трябва да се четат и тълкуват в светлината на и в съответствие с разпоредбите на Закона и подзаконовите актове, посочени в буква а) от настоящия член, и не могат да се тълкуват по какъвто и да е друг начин, който е несъвместим с разпоредбите на Закона и подзаконовите актове.

Клауза (5) Конфликт

В случай на противоречие между настоящите Клаузи и всяка разпоредба във всяко друго споразумение между страните, настоящите Клаузи имат предимство.

Клауза (6) Подробности за прехвърлянията

Прехвърлянето/ята, както и категориите лични данни и целите на прехвърлянето, са описани в Приложението.

Клауза (7) Добавяне на нови страни

а. Всеки вносител на лични данни или износител на лични данни, който не е страна по тези стандартни клаузи, може да се присъедини към тези стандартни договорни клаузи, като попълни и подпише Приложение (1) със съгласието на съществуващите страни. Присъединяващото се лице е или вносителят на лични данни, или износителят на лични данни.

б. След като Приложение (1) бъде завършено и подписано, Присъединяващото се лице е страна по настоящите Клаузи и новоприсъединеното лице трябва, от датата на присъединяване, да поема отговорностите в зависимост от естеството на операциите по обработка на лични данни и прехвърляне на такива, които са настъпили на или след датата на присъединяване, и има право да упражнява правата и задълженията, съответстващи на ролята му, както е определена в настоящите Клаузи.

Клауза (8) Приложимо право и юрисдикция

Настоящите стандартни договорни клаузи се уреждат от приложимите закони на Кралство Саудитска Арабия. Всеки спор, произтичащ от прилагането на разпоредбите на настоящите Клаузи, попада под юрисдикцията на Кралството и се възлага на неговите съдилища. Вносителят на лични данни, съгласно настоящите стандартни договорни клаузи, се съгласява да се подчини на юрисдикцията на Кралство Саудитска Арабия.

Клауза (9) Съответствие с исканията на Компетентния орган

а. Всяка страна се съгласява да спазва всички искания на Компетентния орган във връзка с настоящите стандартни договорни клаузи или обработката на прехвърлените лични данни.

б. Вносителят на лични данни се съгласява и се ангажира да си сътрудничи с Компетентния орган и да се съобразява с всички негови искания и запитвания и да предоставя необходимите документи и информация, за да се гарантира спазването на стандартните договорни клаузи.

в. Вносителят на лични данни се съгласява да се съобразява с мерките, приети от Компетентния орган, включително коригиращи мерки и обезщетение.

Клауза (10) Обезщетение

а. Ако между субекта на лични данни и една от страните възникне спор относно спазването на стандартните договорни клаузи, тази страна използва всички необходими средства за разрешаване на спора по взаимно съгласие със субекта на лични данни и всички страни се информират взаимно за съществуването на такъв спор, за да се гарантира, че той ще бъде разрешен в сътрудничество помежду им.

б. Субектът на лични данни може да подаде до Компетентния орган всяка жалба, произтичаща от прилагането на разпоредбите на настоящите Стандартни договорни клаузи, в съответствие с процедурите за подаване на жалби, определени от Закона и подзаконовите актове.

в. Субектът на лични данни има право да предяви иск пред компетентния съд за обезщетение за материални или морални вреди, пропорционално на размера на вредите, произтичащи от прилагането на настоящите стандартни договорни клаузи.

Клауза (11) Сигурност на личните данни

а. Всички страни предприемат необходимите организационни, административни и технически мерки, които гарантират запазването на поверителността на личните данни срещу всякакви нарушения на всички етапи на обработката, включително сигурността на личните данни по време на процеса на прехвърляне.  При оценката на подходящото ниво на сигурност страните вземат предвид настоящото състояние на технологиите, разходите за изпълняване и естеството на прехвърлените лични данни, както и естеството, обхвата, контекста, целите, рисковете, свързани с обработката на личните данни, и по-специално обмислят прилагането на криптиране или деидентификация, включително по време на прехвърлянето на лични данни, когато целта на обработката на данни може да бъде постигната по този начин.

б. Износителят на лични данни съдейства на вносителя на лични данни при изпълнението на необходимите изисквания за сигурност на данните и в случай на каквото и да е нарушение на личните данни във връзка с прехвърлените лични данни, обработвани от износителя на лични данни съгласно настоящите стандартни договорни клаузи, износителят на лични данни уведомява вносителя на лични данни незабавно, след като узнае за такова нарушение и подпомага вносителя на лични данни при овладяването на такова нарушение.

в. Износителят на данни гарантира, че лицата, упълномощени да обработват прехвърлените лични данни, са обвързани с поверителност и неразкриване съгласно подходящо правно задължение за поверителност и неразкриване.

Клауза (12) Продължителност и Прекратяване

а. Ако по някаква причина вносителят на лични данни не е в състояние да изпълни задълженията си съгласно настоящите стандартни договорни клаузи, той трябва да уведоми износителя на лични данни в рамките на (24) часа от момента, в който узнае за това.

б. В случай, че вносителят на лични данни наруши настоящите стандартни договорни клаузи или не е в състояние да ги спазва, износителят на лични данни незабавно преустановява прехвърлянето на лични данни към вносителя на лични данни, докато вносителят на лични данни не гарантира, че отново ще ги спазва, при условие че на вносителя на лични данни се дава срок от (30) дни, който може да бъде удължен за подобен максимален срок, за да докаже способността си да спазва тези Клаузи, и ако срокът изтече, без да се постигне това, двете страни се съгласяват да прекратят договора, без никаква отговорност за износителя на лични данни или за администратора, в зависимост от случая.

в. Износителят на лични данни или администраторът, в зависимост от случая, гарантира, че всички лични данни, прехвърлени преди това на вносителя на лични данни, са напълно унищожени преди прекратяването на стандартните договорни клаузи съгласно буква б) по-горе. Той също така гарантира, че всички копия на такива лични данни, с които разполага, са унищожени.

г. Вносителят на лични данни трябва да документира унищожаването на данните и тази документация трябва да бъде предоставена на износителя на лични данни или на администратора при поискване.

д. Вносителят на лични данни трябва да продължи да гарантира – до унищожаването на данните – че се съобразява с настоящите стандартни договорни клаузи.

Клауза (13) Защита на прехвърлените лични данни

Износителят на лични данни и вносителят на лични данни обработват прехвърлените лични данни в съответствие с естеството и целите на прехвърлянето, както следва:

Клаузи от администратор към администратор

1. Ограничения на обработката

Вносителят на лични данни е длъжен да обработва прехвърлените лични данни в съответствие с целите, посочени в Приложение (2).

Клауза (9) Съответствие с исканията на Компетентния орган

2.1 Страните предоставят копие от настоящите Клаузи на Компетентния орган при поискване и без ненужно забавяне, за да може Компетентният орган да упражни правомощията си съгласно Закона и подзаконовите актове. Компетентният орган може да поиска всякаква допълнителна информация относно прехвърлянето на лични данни.

2.2 Всяка страна се съгласява да се съобразява с всички искания, направени от Компетентния орган във връзка с настоящите клаузи или обработката на прехвърлените данни. 

2.3 При поискване вносителят на лични данни (пряко или чрез износителя на лични данни) разкрива своята самоличност и данни за контакт и категориите лични данни, които се обработват, на субекта на лични данни и предоставя копие от тези данни

3. Минималното количество лични данни, необходими за изпълнение на Целта 

Всички страни гарантират, че прехвърлените лични данни са достатъчни и ограничени до минималния размер, необходим за изпълнение на целите, посочени в Приложение (2). Ако някоя страна узнае за прехвърляне на ненужни лични данни, тази страна уведомява другата страна(и) веднага щом узнае за това.

4. Запазване на лични данни 

Вносителят на лични данни запазва прехвърлените лични данни, ако това е необходимо за изпълнение на целите, посочени в Приложение (2), при условие че вносителят на лични данни без ненужно забавяне изтрива или анонимизира прехвърлените лични данни, с изключение на следните случаи: 

4.1 Ако е в съответствие с правно основание съгласно законите на Кралството и Закона за защита на личните данни и неговите подзаконови актове; в този случай данните се унищожават след изтичане на срока или след като целта за събирането им е била изпълнена, в зависимост от това кое от двете е по-дълго. 

4.2 Ако запазването на прехвърлените лични данни за допълнителен срок е пряко свързано с висящо дело пред съдебен орган и такова запазване се изисква за тази цел, данните се унищожават след приключване на съдебните производства, свързани със случая. 

4.3 Ако запазването на прехвърлените лични данни за допълнителен срок е необходимо, за да се защити животът на субекта на данни или неговите жизненоважни интереси.

5. Сигурност на личните данни и уведомления за нарушения на личните данни

Страните гарантират, че организационните, административните и техническите мерки, посочени в Приложение (3), осигуряват достатъчно ниво на защита на прехвърлените лични данни, за да се спазят изискванията на член (19) от Закона и член (23) от Правилника за прилагане. 

5.1 Вносителят на лични данни прилага мерките за сигурност, посочени в Приложение (3), и прилага тези мерки към всички лични данни, прехвърлени, за да се гарантира сигурността и защитата на личните данни срещу всякакви нарушения, които могат да доведат до вреди на субекта на лични данни, незаконни действия, загуба, промяна, разкриване на лични данни или неразрешен достъп.

5.2 Вносителят на лични данни трябва периодично да преглежда мерките за сигурност, посочени в Приложение (3), за да гарантира, че те се прилагат съгласно изискванията и да ги актуализира, ако е необходимо, за да се гарантира спазването на член (19) от Закона и член (23) от Регламентите за прилагане. 

5.3 Ако вносителят на лични данни узнае за инцидент с нарушение на данните, който може да навреди на прехвърлените лични данни или на субектите на данни или да е в противоречие с техните права или интереси, вносителят на лични данни трябва да уведоми компетентния орган в рамките на (72) часа, след като е узнал за инцидента, в съответствие с изискванията, посочени в член (24) от Правилника за прилагане на Закона. 

6. Чувствителни данни 

Без да се засягат ограниченията, свързани с чувствителни данни, предвидени в Закона и подзаконовите актове за прилагане на Закона, износителят на лични данни гарантира, че вносителят на лични данни приема допълнителни гаранции, подходящи за естеството на чувствителните данни, и гарантира, че е защитен от всякакви рискове при обработката им, като същевременно гарантира, че се прилагат ограниченията и допълнителните гаранции, описани в Приложение (2). 

7. Последващо прехвърляне

7.1 Вносителят на лични данни няма право да прехвърля или разкрива прехвърлените лични данни на трета страна извън Кралството, освен ако тази страна не се е присъединила към настоящите Клаузи и в съответствие с подходящия образец и разпоредбите на Клауза (7) по-горе. 

7.2 Без да се засягат разпоредбите на членове (8) и (15) от Закона и (17) от Правилника за прилагане на Закона, разпоредбите на Закона и подзаконовите актове се прилагат за последващо прехвърляне на лични данни, които преди това са били прехвърлени или разкрити на юридическо лице извън Кралството.

8. Възлагане на обработващи данни 

Вносителят на лични данни е длъжен да избере обработващ данни, който предоставя достатъчно гаранции за защита на прехвърлените лични данни, като споразумението с обработващия данни включва всички изисквания, посочени в член (17) от Регламента за прилагане, и обработването се основава единствено на инструкциите на вносителя на данни, при условие че тези инструкции са в съответствие с изискванията, посочени в настоящите клаузи.

9. Съответствие с настоящите клаузи 

9.1 Всички страни доказват пълно съответствие с настоящите клаузи пред Компетентния орган при поискване, а вносителят на лични данни поддържа документи, свързани с дейностите по обработка на лични данни, извършени под негов надзор, в допълнение към регистрите за дейностите по обработка на лични данни, предвидени в член (33) от Регламента. 

9.2 Вносителят на лични данни предоставя тези документи на Компетентния орган при поискване. 

10. Отговорност 

10.1 Всяка страна носи отговорност пред другата страна за всякакви вреди, причинени на другата страна в резултат на нарушение на някоя от настоящите стандартни договорни клаузи. 

10.2 Всяка страна носи отговорност пред субекта на лични данни, без да се засяга отговорността на износителя на лични данни съгласно Закона и подзаконовите актове, и субектът на лични данни има право на обезщетение за всички материални и морални вреди, причинени от небрежната страна, която вреди на субекта на лични данни. Ако повече от една страна е отговорна за причиняване на вреди на субекта на лични данни в резултат на нарушение на настоящите стандартни договорни клаузи, отговорните страни носят съвместна или индивидуална отговорност, а субектът на лични данни има право да предяви правни искове пред съд срещу всяка от тези страни. 

10.3 Страните се съгласяват, че ако някоя страна поеме отговорност (б), тя има право да предяви иск срещу другата страна(и) за онази част от обезщетението, която съответства на неговата/нейната/тяхната отговорност за вредите.

10.4 Вносителят на лични данни не може да разчита на поведението на обработващия данни или на подобработващия данни, за да избегне отговорност. 

11. Права на субектите на лични данни 

11.1 Вносителят на лични данни (с подкрепата на износителя на лични данни) разглежда, когато е необходимо, всички запитвания или искания, получени от субекта на данни относно обработването на лични данни и упражняването на правата, предвидени в съответствие със Закона и приложимите подзаконови актове, без забавяне в срок не повече от тридесет (30) дни от датата на получаване на такова искане. Този срок може да бъде удължен за подобен срок до максимум тридесет (30) дни, ако изпълнението на искането изисква извънредни усилия или ако вносителят на лични данни получи много искания от субекта на лични данни. Субектът на данни се уведомява предварително за това удължаване и причините за него. 

11.2 Всички изявления, направени към субекта на лични данни, трябва да бъдат представени в ясен, четлив и достъпен формат.

Приложение

За информацията в Приложение 1, 2 и 3 вижте Условията за поверителност на Саудитска Арабия.