Paragraf (1) Formål og anvendelsesområde

a. Formålet med disse bestemmelser er at sikre, at et passende niveau af beskyttelse af personlige data svarende til det beskyttelsesniveau, der gælder i henhold til loven om beskyttelse af personlige data og dens gennemførelsesbestemmelser, anvendes i fravær af et passende niveau af beskyttelse af personlige data uden for Kongeriget ved at specificere forpligtelserne for de parter, der er involveret i overførslen af personlige data til et land eller en international organisation, der ikke har et passende niveau af beskyttelse af personlige data. Bilag (1) viser data for både dataeksportører og dataimportører.

b. Disse bestemmelser gælder for overførsel af personlige data, som specificeret i Bilag (2) ("Personlige data, der skal overføres eller offentliggøres").

Paragraf (2) Ændring og virkning 

a. Disse klausuler angiver passende sikkerhedsforanstaltninger, herunder klagerettigheder for personlige dataemner, og kan ikke ændres undtagen for at vælge den passende skabelon eller for at tilføje eller opdatere oplysninger i bilaget.

b. Parterne kan inkorporere disse bestemmelser i en omfattende aftale eller tilføje andre bestemmelser eller yderligere garantier, forudsat at de ikke direkte eller indirekte strider mod disse bestemmelser eller krænker de grundlæggende rettigheder for personlige registrerede.

c. Disse bestemmelser fritager ikke nogen part for deres forpligtelser i henhold til loven og forordningerne, ej heller berører de bestemmelserne i de love og forordninger, der er gældende i Kongeriget eller aftaler, som Kongeriget er en del af.

Paragraf (3) Rettigheder for de registrerede

a. Disse standardkontraktbestemmelser er uden præjudice for rettighederne for personlige registrerede i henhold til loven og forordningerne.

b. Personlige registrerede, hvis personlige data overføres fra parterne baseret på disse standardkontraktbestemmelser, kan underrette den kompetente myndighed ("saudiarabiske data- og AI-myndighed"), hvis de bliver opmærksomme på en overtrædelse af disse standardkontraktbestemmelser.

Klausul (4) Fortolkning

a. Medmindre konteksten kræver andet, skal ordene og sætninger, der anvendes i disse bestemmelser, have de betydninger, der er tildelt dem i artikel (1) i Loven om beskyttelse af personlige data, der er udstedt af kongeligt dekret nr. (M/19) dateret 9/2/1443 AH og ændret ved kongeligt dekret nr. (M/148) dateret 5/9/1444 AH, artikel (1) i Implementeringsforordningen for PDPL og artikel (1) i forordningen om overførsel af persondata uden for Kongeriget.

b. Disse klausuler skal læses og fortolkes i lyset af og i overensstemmelse med bestemmelserne i loven og forordningerne, der henvises til i afsnit (a) i denne artikel, og må ikke fortolkes på nogen anden måde, der er uforenelig med bestemmelserne i loven og forordningerne.

Paragraf (5) Konflikt 

I tilfælde af en konflikt mellem disse klausuler og enhver bestemmelse i enhver anden aftale mellem parterne, skal disse klausuler have forrang.

Paragraf (6) Detaljer om overførsler

Overførslen/overførslerne, samt kategorierne med personlige data og formålene med overførslerne, er beskrevet i tillægget.

Paragraf (7) Tilføjelse af nye parter

a. Enhver importør af personlige data eller eksportør af personlige data, der ikke er part i disse standardkontraktbestemmelser, kan tilslutte sig disse standardkontraktbestemmelser ved at udfylde og underskrive Bilag (1) med samtykke fra de eksisterende parter. Den fusionerende enhed skal enten være importøren af de personlige data eller eksportøren af de personlige data.

b. Når tillæg (1) er blevet udfyldt og underskrevet, skal den fusionerende enhed være en part i disse klausuler, og den nyligt fusionerede enhed skal fra datoen for tiltrædelse og påtage sig ansvaret afhængigt af karakteren af de personlige databehandlings- og overførselsoperationer, der fandt sted på eller efter datoen for tiltrædelse, og skal være berettiget til at udøve de rettigheder og forpligtelser, der svarer til dens rolle som defineret i disse klausuler.

Paragraf (8) Gældende lov og jurisdiktion

Disse standardkontraktbestemmelser skal være underlagt de gældende love i Kongeriget Saudi-Arabien. Enhver tvist, der opstår som følge af anvendelsen af bestemmelserne i disse klausuler, skal falde under Kongerigets jurisdiktion og skal tildeles dets domstole. Importøren af personlige data, under disse standardkontraktbestemmelser, accepterer at underkaste sig jurisdiktionen i Kongeriget Saudi-Arabien.

Paragraf (9) Overholdelse af anmodninger fra den kompetente myndighed

a. Hver part indvilliger i at overholde alle anmodninger fra den kompetente myndighed i forbindelse med disse standardkontraktbestemmelser eller behandlingen af overførte personlige data.

b. Importøren af de personlige data accepterer og forpligter sig til at samarbejde med den kompetente myndighed og overholde alle dens anmodninger og forespørgsler og til at levere de nødvendige dokumenter og oplysninger for at sikre overholdelse af standardkontraktbestemmelserne.

c. Importøren af de personlige data accepterer at overholde de foranstaltninger, der er vedtaget af den kompetente myndighed, herunder korrigerende foranstaltninger og kompensation.

Paragraf (10) Kompensation

a. Hvis der opstår en tvist mellem den personlige registrerede og en part vedrørende overholdelse af standardkontraktbestemmelserne, skal denne part bruge alle nødvendige midler til at afgøre tvisten i mindelighed med den personlige registrerede, og alle parter skal informere hinanden om eksistensen af en sådan tvist for at sikre, at den er løst i samarbejde med hinanden.

b. Den personlige registrerede kan indsende enhver klage, der opstår som følge af anvendelsen af bestemmelserne i disse standardkontraktbestemmelserne til den kompetente myndighed, i overensstemmelse med procedurerne for indsendelse af klager, der er specificeret af loven og forordningerne.

c. Den personlige registrerede har ret til at kræve erstatning for den kompetente domstol for materiel eller moralsk skade i forhold til størrelsen af den skade, der opstår som følge af anvendelsen af disse standardkontraktbestemmelser.

Paragraf (11) Sikkerhed for personlige data

a. Alle parter skal træffe de nødvendige organisatoriske, administrative og tekniske foranstaltninger, der sikrer at opretholde privatlivets fred i personlige data mod ethvert brud på alle stadier af behandlingen, herunder sikkerhed for personlige data under overførselsprocessen.  Ved vurderingen af det passende sikkerhedsniveau skal parterne tage højde for den aktuelle tilstand af teknologi, implementeringsomkostninger og karakteren af de overførte personlige data samt karakteren, omfanget, konteksten, formålene og de risici, der er involveret i behandlingen af de personlige data, og specifikt overveje anvendelsen af kryptering eller de-identifikation, herunder under overførsel af personlige data, hvor formålet med databehandlingen kan opnås på denne måde.

b. Eksportøren af de personlige data skal hjælpe importøren af de personlige data med at opfylde de nødvendige datasikkerhedskrav, og i tilfælde af et brud på de personlige data i forbindelse med de overførte personlige data, der er behandlet af eksportøren af de personlige data under disse standardkontraktbestemmelser, skal eksportøren af de personlige data underrette importøren af de personlige data uden forsinkelse, efter at være blevet opmærksom på et sådant overtrædelse og skal hjælpe importøren af de personlige data med at begrænse en sådan overtrædelse.

c. Dataeksportøren sikrer, at personer, der er autoriseret til at behandle de overførte personlige data, er bundet af fortrolighed og ikke-videregivelse under en passende juridisk forpligtelse til fortrolighed og ikke-videregivelse.

Paragraf (12) Varighed og opsigelse

a. Hvis importøren af de personlige data af en eller anden grund ikke er i stand til at opfylde sine forpligtelser i henhold til disse standardkontraktbestemmelser, skal importøren af de personlige data informeres om dette til eksportøren af de personlige data inden for (24) timer fra det tidspunkt han bliver klar over dette.

b. I tilfælde af, at importøren af de personlige data overtræder disse standardkontraktbestemmelser eller ikke er i stand til at overholde dem, skal eksportøren af de personlige data straks ophøre med overførslen af de personlige data til importøren, indtil importøren af de personlige data sikrer, at den er tilbage til overholdelse, forudsat at importøren af de personlige data, skal have en frist på (30) dage, som kan forlænges i en lignende maksimumsperiode for at bevise sin evne til at overholde disse bestemmelser, og hvis perioden udløber uden at opnå dette, skal de to parter acceptere at opsige kontrakten uden noget ansvar for eksportøren af de personlige data eller den dataansvarlige, alt efter hvad der er relevant.

c. Eksportøren af de personlige data eller den dataansvarlige skal, alt efter tilfældet, sikre, at alle de personlige data, der tidligere er overført til importøren af de personlige data, er fuldt destrueret, før standardkontraktbestemmelserne under afsnit (b) ovenfor opsiges. Det skal også sikre, at alle kopier, det har af sådanne personlige data, bliver destrueret.

d. Importøren af de personlige data skal dokumentere destruktionen af dataene, og denne dokumentation skal leveres til eksportøren af de personlige data eller den dataansvarlige efter anmodning.

e. Importøren af de personlige data skal fortsat sikre - indtil dataene er blevet destrueret - at den overholder disse standardkontraktbestemmelser.

Paragraf (13) Beskyttelse af overførte personlige data

Eksportøren af de personlige data og importøren af de personlige data skal behandle de overførte personlige data i overensstemmelse med karakteren af og formålene med overførslen som følger:

Klausul Dataansvarlig til Dataansvarlig

1. Behandlingsrestriktioner

Importøren af de personlige data er forpligtet til at behandle de overførte personlige data i overensstemmelse med de formål, der er fastsat i tillæg (2).

2. Overholdelse af anmodninger fra den kompetente myndighed 

2.1 Parterne skal efter anmodning og uden unødig forsinkelse levere en kopi af disse klausuler til den kompetente myndighed for at den kompetente myndighed kan udøve sine beføjelser i henhold til loven og forordningerne. Den kompetente myndighed kan anmode om alle yderligere oplysninger vedrørende overførslerne af personlige data.

2.2 Hver part indvilliger i at overholde alle anmodninger fra den kompetente myndighed i forbindelse med disse klausuler eller behandlingen af de overførte data. 

2.3 Efter anmodning skal importøren af de personlige data (enten direkte eller via eksportøren af de personlige data) videregive sin identitet og kontaktoplysninger og de kategorier af de personlige data, der behandles, til den personlige registrerede og levere en kopi af disse elementer

3. Minimumsmængden af personlige data, der er nødvendige for at opfylde formålet 

Alle parter skal sikre, at de overførte personlige data er tilstrækkelige og begrænset til det minimumsbeløb, der er nødvendigt for at opfylde de formål, der er fastsat i tillæg (2). Hvis en part bliver opmærksom på en overførsel af unødvendige personlige data, skal denne part informere den eller de andre parter, så snart den bliver opmærksom på det.

4. Opbevaring af personlige data 

Importøren af de personlige data skal beholde de overførte personlige data, hvis det er nødvendigt for at opfylde de formål, der er fastsat i tillæg (2), forudsat at importøren af de personlige data uden unødig forsinkelse skal slette eller anonymisere de overførte personlige data undtagen i følgende tilfælde: 

4.1 Hvis det er i overensstemmelse med en juridisk begrundelse i henhold til kongerigets love og loven om beskyttelse af personlige data og dens forordninger; i dette tilfælde skal dataene destrueres efter udløbet af perioden, eller når formålet med at indsamle det er opfyldt, alt efter hvad der er længst. 

4.2 Hvis opbevaring af de overførte personlige data i en yderligere periode er direkte relateret til en sag, der verserer for en retslig myndighed, og en sådan opbevaring er påkrævet til dette formål, skal dataene destrueres efter afslutningen af de retslige procedurer i forbindelse med sagen. 

4.3 Hvis det er nødvendigt at beholde de overførte personlige data i en yderligere periode for at beskytte den registreredes liv eller deres vitale interesser.

5. Meddelelser om sikkerhed for personlige data og brud på personlige data

Parterne skal sikre, at de organisatoriske, administrative og tekniske foranstaltninger, der er specificeret i tillæg (3), yder et tilstrækkeligt beskyttelsesniveau for de overførte personlige data for at overholde kravene i artikel (19) i loven og artikel (23) i gennemførelsesbestemmelserne. 

5.1 Importøren af de personlige data skal implementere de sikkerhedsforanstaltninger, der er specificeret i tillæg (3), og anvende disse foranstaltninger på alle personlige data, der er overført for at sikre sikkerheden og beskyttelsen af personlige data mod enhver overtrædelse, der kan resultere i skade på den personlige registrerede, ulovlig handling, tab, ændring, videregivelse af personlige data eller uautoriseret adgang.

5.2 Importøren af de personlige data skal regelmæssigt gennemgå de sikkerhedsforanstaltninger, der er fastsat i tillæg (3) for at sikre, at de bliver implementeret som påkrævet og opdatere dem efter behov for at sikre overholdelse af artikel (19) i loven og artikel (23) i gennemførelsesforordningerne. 

5.3 Hvis importøren af de personlige data bliver opmærksom på en hændelse med et brud på data, der kan skade de overførte personlige data eller de registrerede eller være i konflikt med deres rettigheder eller interesser, skal importøren af de personlige data underrette den kompetente myndighed inden for (72) timer efter at være blevet opmærksom på hændelsen i overensstemmelse med de krav, der er fastsat i artikel (24) i gennemførelsesbestemmelserne for loven. 

6. Følsomme data 

Uden at det berører eventuelle restriktioner vedrørende følsomme data, der er fastsat i loven og gennemførelsesforordninger for loven, skal eksportøren af de personlige data sikre, at importøren af de personlige data vedtager yderligere sikkerhedsforanstaltninger, der er passende for karakteren af de følsomme data og sikrer, at den er beskyttet mod alle risici, når den behandler det, samtidig med at det sikres, at de restriktioner og yderligere sikkerhedsforanstaltninger, der er beskrevet i tillæg (2), anvendes. 

7. Efterfølgende overførsel

7.1 Importøren af de personlige data må ikke overføre eller videregive de overførte personlige data til en tredjepart uden for kongeriget, medmindre denne part har tiltrådt disse klausuler og i overensstemmelse med den passende skabelon og bestemmelserne i klausul (7) ovenfor. 

7.2 Uden at det berører bestemmelserne i artikel (8) og (15) i loven og (17) i gennemførelsesforordningen for loven, skal bestemmelserne i loven og forordninger gælde for efterfølgende overførsel af personlige data, der tidligere er overført eller videregivet til en enhed uden for kongeriget.

8. Tildeling af databehandlere 

Importøren af de personlige data skal være forpligtet til at vælge en databehandler, der yder tilstrækkelige garantier for beskyttelsen af de overførte personlige data, og aftalen med databehandleren skal omfatte alle de krav, der er fastsat i artikel (17) i gennemførelsesforordningen, og behandlingen skal udelukkende være baseret på dataimportørens instruktioner, forudsat at disse instruktioner er i overensstemmelse med de krav, der er fastsat i disse klausuler.

9. Overholdelse af disse klausuler 

9.1 Alle parter skal efter anmodning demonstrere fuld overholdelse af disse klausuler til den kompetente myndighed, og importøren af de personlige data skal opretholde dokumenter relateret til de behandlingsaktiviteter for de personlige data, der er udført under dets tilsyn ud over optegnelserne over behandlingsaktiviteter for personlige data, som er fastsat i artikel (33) i forordningen. 

9.2 Importøren af de personlige data skal efter anmodning levere disse dokumenter til den kompetente myndighed. 

10. Ansvarlighed 

10.1 Hver part skal være ansvarlig over for den anden part for alle skader påført den anden part som følge af et brud på en af disse standardkontraktbestemmelser. 

10.2 Hver part skal være ansvarlig over for den personlige registrerede uden at det berører ansvaret for eksportøren af de personlige data i henhold til loven og forordningerne, og den personlige registrerede skal være berettiget til kompensation for alle materielle og moralske skader forårsaget af den forsømmelige part, der skader den personlige registrerede. Hvis mere end én part er ansvarlig for at forvolde skade på den personlige registrerede som følge af overtrædelsen af disse standardkontraktbestemmelser, skal de ansvarlige parter holdes solidarisk eller individuelt ansvarlige, og den personlige registrerede skal have ret til at tage retslige skridt for en domstol mod nogen af disse parter. 

10.3 Parterne er enige om, at hvis en part påtager sig ansvar (b), skal den være berettiget til at kræve fra den eller de andre parter den del af kompensationen, der svarer til deres ansvar for skaden.

10.4 Importøren af de personlige data må ikke stole på databehandlerens eller underdatabehandlerens adfærd for at undgå ansvarlighed. 

11. Ret til de registrerede for personlige data 

11.1 Importøren af de personlige data (med støtte fra eksportøren af de personlige data) skal behandle, som det er relevant, alle forespørgsler eller anmodninger modtaget fra den registrerede vedrørende behandlingen af personlige data og udøvelsen af de rettigheder, der er fastsat i overensstemmelse med loven og gældende forordninger uden nogen forsinkelse inden for en periode på højst tredive (30) dage fra datoen for modtagelsen af en sådan anmodning. Denne periode kan forlænges i en lignende periode op til maksimalt tredive (30) dage, hvis udførelsen af anmodningen kræver en ekstraordinær indsats, eller hvis importøren af de personlige data modtager mange anmodninger fra den personlige registrerede. Den registrerede underrettes på forhånd om denne udvidelse og årsagerne hertil. 

11.2 Alle udsagn til den personlige registrerede skal præsenteres i et klart, læseligt og tilgængeligt format.

Bilag

For oplysninger i tillæg 1, 2 og 3 skal du henvise til de saudiarabiske privatlivsvilkår.