Doložka 1 - Účel a rozsah

a. Účelem těchto Doložek je zajistit odpovídající úroveň ochrany osobních údajů, která je rovnocenná úrovni ochrany platné podle zákona o chraně osobních údajů a jeho prováděcích předpisů, pokud neexistuje odpovídající úroveň ochrany osobních údajů mimo království, a to tím, že stanovuje závazky stran zapojených do přenosu osobních údajů do země nebo mezinárodní organizace, která nemá zavedenou odpovídající úroveň ochrany osobních údajů. Příloha 1 uvádí údaje jak pro vývozce údajů, tak pro jejich dovozce.

b. Tyto Doložky se vztahují na přenos osobních údajů, jak je uvedeno v příloze 2 („Osobní údaje, které mají být přeneseny nebo zveřejněny“).

Doložka 2 - Úprava a účinek 

a. Tyto Doložky stanovují vhodná bezpečnostní opatření, včetně práva subjektů údajů na podání stížnosti, a nelze je měnit, s výjimkou výběru vhodné šablony nebo přidání příp. aktualizace informací v příloze.

b. Strany mohou zahrnout tyto Doložky do komplexních smluv nebo přidat další doložky nebo dodatečná bezpečnostní opatření, a to za předpokladu, že nebudou v přímém nebo nepřímém rozporu s těmito Doložkami nebo že neporušují základní práva subjektů údajů.

c. Tyto Doložky nezbavují žádnou smluvní stranu jejích povinností podle právních předpisů, ani nemají vliv na ustanovení právních předpisů platných v království, případně smluv, jichž je království smluvní stranou.

Doložka 3 - Práva subjektů údajů

a. Těmito Standardními smluvními doložkami nejsou dotčena práva subjektů údajů podle platných právních předpisů.

b. Subjekty údajů, jejichž osobní údaje jsou přenášeny mezi smluvními stranami na základě těchto Standardních smluvních doložek, mohou informovat příslušný orgán („Saúdský orgán pro umělou inteligenci a ochranu osobních údajů“), pokud se dozví o jakémkoli porušení těchto Standardních smluvních doložek.

Doložka 4 - Výklad

a. Nevyžaduje-li kontext jinak, mají slova a fráze použité v těchto Doložkách význam, který je jim přiřazen v článku 1 zákona o ochraně osobních údajů, který byl vydán královským výnosem č. (M/19) ze dne 9. 2. 1443 AH (16. září 2021), ve znění královského výnosu č. (M/148) ze dne 5. 9. 1444 AH (27. března 2023), článku 1 prováděcího předpisu PDPL a článku 1 nařízení o přenosu osobních údajů mimo království.

b. Tyto Doložky je nutné číst a vykládat ve smyslu a v souladu s ustanoveními právních předpisů uvedených v odstavci a) tohoto článku, a nesmějí být vykládány žádným jiným způsobem, který by byl v rozporu s ustanoveními těchto právních předpisů.

Doložka 5 - Rozpor 

V případě rozporu mezi těmito Doložkami a jakýmkoli ustanovením jakékoli jiné smlouvy uzavřené mezi smluvními stranami, mají přednost tyto Doložky.

Doložka 6 - Podrobnosti o přenosech

Přenos(y) i kategorie osobních údajů a účely takových přenosů jsou popsány v příloze.

Doložka 7 - Připojení nových stran

a. Jakýkoli dovozce osobních údajů, který není smluvní stranou těchto Standardních doložek, se může připojit k těmto Standardním smluvním doložkám tak, že vyplní a podepíše přílohu 1, a to za souhlasu stávajících smluvních stran. Připojující se subjekt je buď dovozcem osobních údajů, nebo vývozcem osobních údajů.

b. Po vyplnění a podepsání přílohy 1 se připojující subjekt stává smluvní stranou těchto Doložek a tento nově připojený subjekt ode dne připojení převezme odpovědnost v závislosti na povaze zpracovávání osobních údajů a provádění přenosů, které proběhnou v den připojení nebo po něm, a bude oprávněn vykonávat práva a povinnosti odpovídající jeho roli, jak je definováno v těchto Doložkách.

Doložka 8 - Rozhodné právo a příslušnost soudů

Tyto Standardní smluvní doložky se řídí platnými právními předpisy Saúdské Arábie. Jakékoli spory vyplývající z použití ustanovení těchto Doložek podléhají jurisdikci království a jsou svěřeny jeho soudům. Dovozce osobních údajů dle těchto Standardních smluvních doložek souhlasí s tím, že se podrobí jurisdikci Saúdské Arábie.

Doložka 9 - Vyhovění žádostem příslušného orgánu

a. Každá smluvní strana souhlasí s tím, že vyhoví veškerým požadavkům příslušného orgánu učiněným ve vztahu k těmto Standardním smluvním doložkám nebo zpracovávání přenášených osobních údajů.

b. Dovozce osobních údajů souhlasí a zavazuje se spolupracovat s příslušným orgánem a vyhovět všem jeho žádostem a dotazům a poskytnout nezbytné dokumenty a informace k zajištění souladu se Standardními smluvními doložkami.

c. Dovozce osobních údajů souhlasí s tím, že bude dodržovat opatření přijatá příslušným orgánem, včetně nápravných opatření a odškodnění.

Doložka 10 - Odškodnění

a. Pokud mezi subjektem údajů a smluvní stranou dojde k jakémukoli sporu ohledně souladu se Standardními smluvními doložkami, tato strana využije všech prostředků nezbytných k vyřešení sporu se subjektem údajů smírnou cestou, přičemž všechny smluvní strany jsou povinny se vzájemně informovat o existenci takového sporu, aby se zajistilo jeho řešení ve vzájemné spolupráci.

b. Subjekt údajů může podat příslušnému orgánu jakoukoli stížnost týkající se použití ustanovení těchto Standardních smluvních doložek, a to v souladu s postupy pro podávání stížností, které stanovují právní předpisy.

c. Subjekt osobních údajů má právo požadovat u příslušného soudu odškodnění za majetkovou nebo nemajetkovou újmu, jehož rozsah bude úměrný rozsahu škody nebo újmy vyplývající z použití těchto Standardních smluvních doložek.

Doložka 11 - Zabezpečení osobních údajů

a. Všechny smluvní strany jsou povinny přijmout nezbytná organizační, administrativní a technická opatření, která zajistí zachování ochrany osobních údajů proti jakémukoli narušení bezpečnosti ve všech fázích zpracování, včetně zabezpečení osobních údajů během přenosu.  Při posuzování odpovídající úrovně zabezpečení smluvní strany vezmou v úvahu současný stav technologie, náklady na realizaci a povahu přenášených osobních údajů, jakož i povahu, rozsah, kontext, účely a rizika spojená se zpracováním osobních údajů, a zejména zváží použití šifrování nebo anonymizace, a to i během přenosu osobních údajů, pokud lze takto dosáhnout účelu zpracování údajů.

b. Vývozce osobních údajů bude pomáhat dovozci osobních údajů při plnění nezbytných požadavků na zabezpečení údajů, a v případě jakéhokoli porušení ochrany osobních údajů ve vztahu k přenášeným osobním údajům, které zpracovává vývozce osobních údajů podle těchto Standardních smluvních doložek, vývozce osobních údajů neprodleně informuje dovozce osobních údajů, jakmile se o takovém porušení dozví, a bude mu nápomocen při jeho mitigaci.

c. Vývozce údajů zajistí, aby osoby oprávněné zpracovávat přenášené osobní údaje byly vázány povinností důvěrnosti a nezveřejňování, a to prostřednictvím příslušné právní povinnosti důvěrnosti a nezveřejňování.

Doložka 12 - Doba trvání a ukončení

a. Pokud dovozce osobních údajů není z jakéhokoli důvodu schopen splnit své závazky podle těchto Standardních smluvních doložek, musí o tom informovat vývozce osobních údajů do 24 hodin od chvíle, kdy se o tom dozví.

b. V případě, že dovozce osobních údajů poruší tyto Standardní smluvní doložky nebo není schopen je dodržovat, vývozce osobních údajů ihned zastaví přenos osobních údajů dovozci osobních údajů, dokud dovozce osobních údajů nezajistí obnovení souladu s Doložkami, na což mu bude poskytnuta lhůta 30 dnů, kterou je možné prodloužit o obdobnou maximální dobu, aby prokázal svou schopnost dodržovat tyto Doložky, a pokud tato doba uplyne, aniž by bylo tohoto cíle dosaženo, obě smluvní strany se zavazují ukončit tuto smlouvu, aniž by vznikla jakákoli odpovědnost pro vývozce osobních údajů nebo případně pro správce osobních údajů.

c. Vývozce osobních údajů případně správce údajů zajistí, aby všechny osobní údaje, které byly dříve přeneseny dovozci osobních údajů, byly zcela zničeny před ukončením Standardních smluvních doložek podle písmene b) výše. Rovněž zajistí zničení veškerých kopií takových osobních údajů, které má v držení.

d. Dovozce osobních údajů musí zdokumentovat zničení údajů a tento důkaz musí být na požádání poskytnut vývozci osobních údajů nebo správci údajů.

e. Dovozce osobních údajů musí nadále zajišťovat, že bude dodržovat tyto Standardní smluvní doložky, dokud nebudou údaje zničeny.

Doložka 13 - Ochrana předávaných osobních údajů

Vývozce osobních údajů a dovozce osobních údajů budou zpracovávat přenášené osobní údaje podle povahy a účelů takto:

Doložky mezi správci údajů

1. Omezení zpracování

Dovozce osobních údajů je povinen zpracovávat přenášené osobní údaje v souladu s účely, které jsou uvedeny v příloze 2.

2. Vyhovění žádostem příslušného orgánu 

2.1 Smluvní strany poskytnou kopii těchto Doložek příslušnému orgánu na jeho žádost a bez zbytečného odkladu, aby příslušný orgán mohl vykonávat své pravomoci podle zákona a právních předpisů. Příslušný orgán je oprávněn si vyžádat jakékoli další informace týkající se přenosů osobních údajů.

2.2 Každá smluvní strana se zavazuje vyhovět veškerým požadavkům příslušného orgánu v souvislosti s těmito Doložkami nebo zpracováváním přenášených údajů. 

2.3 Dovozce osobních údajů (buď přímo, nebo prostřednictvím vývozce osobních údajů) na požádání poskytne subjektu údajů svou totožnost a kontaktní údaje, jakož i kategorie osobních údajů, které zpracovává, a poskytne mu kopii těchto údajů.

3. Minimální množství osobních údajů, které je potřebné pro naplnění účelu 

Všechny smluvní strany jsou povinny zajistit, aby přenášené osobní údaje byly dostatečné a omezené na minimální množství nezbytné pro naplnění účelů uvedených v příloze 2. Pokud se některá ze stran dozví o jakémkoli přenosu nadbytečných osobních údajů, tato strana je povinna informovat druhou stranu nebo strany, jakmile se o této skutečnosti dozví.

4. Uchovávání osobních údajů 

Dovozce osobních údajů bude uchovávat přenesené osobní údaje, pokud je to nutné pro naplnění účelů uvedených v příloze 2, za předpokladu, že dovozce osobních údajů bez zbytečného odkladu smaže nebo anonymizuje přenesené osobní údaje, s výjimkou následujících případů: 

4.1 Pokud je to v souladu s právními předpisy království, zákonem o ochraně osobních údajů a jeho nařízeními, v takovém případě budou údaje zničeny po uplynutí této doby nebo po naplnění účelu jejich shromažďování, co z toho je pozdější. 

4.2 Pokud uchovávání přenesených osobních údajů po dodatečné období přímo souvisí s případem projednávaným soudem a takové uchovávání je pro tento účel nezbytné, budou údaje zničeny po skončení soudních řízení souvisejících s tímto případem. 

4.3 Pokud je uchovávání přenesených osobních údajů po delší dobu nezbytné pro ochranu života subjektů údajů nebo jejich životně důležitých zájmů.

5. Zabezpečení osobních údajů a oznámení o porušení ochrany osobních údajů

Smluvní strany jsou povinny zajistit, aby organizační, administrativní a technická opatření uvedená v příloze 3 poskytovala dostatečnou úroveň ochrany přenášených osobních údajů, a to za účelem splnění požadavků článku 19 zákona a článku 23 prováděcích předpisů. 

5.1 Dovozce osobních údajů je povinen zavést bezpečnostní opatření uvedená v příloze 3 a tato opatření použít na veškeré přenesené osobní údaje, aby byla zajištěna bezpečnost a ochrana osobních údajů proti jakémukoli porušení, které může vést k újmě subjektu údajů, protiprávnímu jednání, ztrátě, změně, zveřejnění osobních údajů nebo neoprávněnému přístupu.

5.2 Dovozce osobních údajů je povinen pravidelně kontrolovat bezpečnostní opatření uvedená v příloze 3, aby se ujistil, že jsou zavedena dle požadavků, a podle potřeby je aktualizovat, aby byl zajištěn soulad s článkem 19 zákona a článkem 23 prováděcích předpisů. 

5.3 Pokud se dovozce osobních údajů dozví o porušení zabezpečení, které by mohlo poškodit přenesené osobní údaje nebo způsobit újmu subjektům údajů, nebo být v rozporu s jejich právy nebo zájmy, dovozce osobních údajů musí informovat příslušný orgán do 72 hodin od chvíle, kdy se o této události dozví, v souladu s požadavky uvedenými v článku 24 prováděcích předpisů zákona. 

6. Citlivé údaje 

Aniž jsou dotčena jakákoli omezení týkající se citlivých údajů, která jsou stanovena v zákoně a v prováděcích předpisech tohoto zákona, vývozce osobních údajů zajistí, aby dovozce osobních údajů přijal další záruky odpovídající povaze citlivých údajů, a také aby byl chráněn před veškerými riziky při jejich zpracovávání, a zároveň zajistí, aby byla uplatněna omezení a dodatečné záruky popsané v příloze 2. 

7. Následný přenos

7.1 Dovozce osobních údajů nebude přenášet nebo zveřejňovat přenesené osobní údaje třetí straně mimo království, pokud tato strana nepřistoupila k těmto Doložkám a v souladu s příslušnou šablonou a ustanoveními doložky 7 výše. 

7.2 Aniž jsou dotčena ustanovení článků 8 a 15 zákona a článku 17 prováděcího předpisu tohoto zákona, ustanovení zákona a předpisů se budou vztahovat na následný přenos osobních údajů, které byly dříve přeneseny nebo zpřístupněny subjektům mimo království.

8. Přiřazování zpracovatelů 

Dovozce osobních údajů bude povinen vybrat zpracovatele, který poskytne dostatečné záruky ohledně ochrany přenášených osobních údajů, a dohoda se zpracovatelem musí zahrnovat všechny požadavky uvedené v článku 17 prováděcího nařízení, a zpracování se bude zakládat výhradně na pokynech dovozce údajů, pokud jsou tyto pokyny v souladu s požadavky uvedenými v těchto Doložkách.

9. Soulad s těmito Doložkami 

9.1 Všechny strany jsou povinny prokázat příslušnému orgánu na jeho požádání úplný soulad s těmito Doložkami, dovozce osobních údajů bude uchovávat dokumenty týkající se činností zpracování osobních údajů, které jsou prováděny pod jeho dohledem, kromě záznamů o činnostech zpracování osobních údajů, jak je stanoveno v článku 33 nařízení. 

9.2 Dovozce osobních údajů poskytne tyto dokumenty příslušnému orgánu na jeho vyžádání. 

10. Odpovědnost 

10.1 Každá ze stran je odpovědná vůči druhé straně za jakékoli škody a újmy způsobené této druhé straně v důsledku porušení kterékoli z těchto Standardních smluvních doložek. 

10.2 Každá ze stran bude odpovědná vůči subjektům údajů, aniž je dotčena odpovědnost vývozce osobních údajů podle právních předpisů, a subjekt údajů bude mít právo na odškodnění za veškeré majetkové a nemajetkové škody způsobené stranou, která se dopustila nedbalosti vedoucí k újmě subjektu údajů. Pokud je za škodu nebo újmu způsobenou subjektu údajů v důsledku porušení těchto Standardních smluvních doložek odpovědná více než jedna strana, tyto odpovědné strany nesou společnou a nerozdílnou odpovědnost a subjekt údajů bude mít právo podat žalobu u soudu proti kterékoli z těchto stran. 

10.3 Smluvní strany se dohodly, že pokud některá ze stran přijme odpovědnost za škodu nebo újmu uvedenou pod písmenem b), bude oprávněna požadovat od druhé strany nebo stran tu část odškodnění, která odpovídá její/jejich odpovědnosti za škodu.

10.4 Dovozce osobních údajů se nesmí spoléhat na jednání zpracovatele údajů nebo dílčích zpracovatelů, aby se vyhnul odpovědnosti. 

11. Práva subjektů údajů 

11.1 Dovozce osobních údajů (za pomoci vývozce osobních údajů) je povinen dle potřeby řešit veškeré dotazy nebo požadavky, které obdrží od subjektů údajů v souvislosti se zpracováváním osobních údajů a výkonem práv udělených v souladu se zákonem a platnými nařízeními, a to neprodleně a ve lhůtě nejvýše třiceti (30) dnů od data přijetí takové žádosti. Tato doba může být prodloužena o obdobnou dobu, nejvýše však na třicet (30) dnů, pokud vyřízení žádosti vyžaduje mimořádné úsilí nebo pokud dovozce osobních údajů obdrží velké množství žádostí od subjektů údajů. Subjekt údajů musí být o tomto prodloužení a o jeho důvodech předem informován. 

11.2 Všechna prohlášení určená subjektu osobních údajů musí být uvedena v jasném, čitelném a přístupném formátu.

Příloha

Informace v přílohách 1, 2 a 3 naleznete v Podmínkách ochrany osobních údajů pro Saúdskou Arábii.