Lauseke (1) Tarkoitus ja soveltamisala

a. Näiden lausekkeiden tarkoituksena on varmistaa, että henkilötietojen suojan asianmukaista tasoa, joka vastaa tietosuojalain ja sen täytäntöönpanoasetusten nojalla sovellettavaa suojan tasoa, sovelletaan, jos henkilötietojen suojan taso ei ole asianmukainen kuningaskunnan ulkopuolella, määrittelemällä niiden osapuolten velvollisuudet, jotka ovat osallisia henkilötietojen siirrossa maahan tai kansainväliseen organisaatioon, jossa henkilötietojen suojan taso ei ole asianmukainen. Liitteessä (1) esitetään sekä tietojen viejien että tietojen tuojien tiedot.

b. Näitä lausekkeita sovelletaan liitteessä (2) (”Siirrettävät tai luovutettavat henkilötiedot”) määriteltyjen henkilötietojen siirtoon.

Lauseke (2) Muutokset ja vaikutukset 

a. Näissä lausekkeissa esitetään asianmukaiset suojatoimet, mukaan lukien henkilötietorekisteröityjen valitusoikeudet, eikä niitä voida muuttaa muutoin kuin valitsemalla asianmukainen malli tai lisäämällä tai päivittämällä tietoja liitteeseen.

b. Osapuolet voivat sisällyttää nämä lausekkeet kattavaan sopimukseen tai lisätä muita lausekkeita tai lisätakeita edellyttäen, etteivät ne ole suoraan tai epäsuorasti ristiriidassa näiden lausekkeiden kanssa tai loukkaa henkilötietorekisteröityjen perusoikeuksia.

c. Nämä lausekkeet eivät vapauta ketään osapuolta lain ja asetusten mukaisista velvoitteistaan, eivätkä ne rajoita kuningaskunnassa voimassa olevien lakien ja asetusten määräysten tai sellaisten sopimusten soveltamista, joiden osapuoli kuningaskunta on.

Lauseke (3) Henkilötietorekisteröityjen oikeudet

a. Nämä vakiosopimuslausekkeet eivät rajoita lain ja asetusten mukaisia henkilötietorekisteröityjen oikeuksia.

b. Henkilötietorekisteröidyt, joiden henkilötietoja siirretään osapuolilta näiden vakiosopimuslausekkeiden perusteella, voivat ilmoittaa toimivaltaiselle viranomaiselle (”Saudi-Arabian tieto- ja tekoälyviranomainen”), jos he saavat tietää minkään näiden vakiosopimuslausekkeiden rikkomisesta.

Lauseke (4) Tulkinta

a. Ellei asiayhteys toisin vaadi, näissä lausekkeissa käytetyillä sanoilla ja ilmaisuilla on sama merkitys kuin 9.2.1443 AH päivätyllä kuninkaallisella asetuksella N:o (M/19) annetun ja 5.9.1444 AH päivätyllä kuninkaallisella asetuksella N:o (M/148) muutetun tietosuojaa koskevan lain (1) artiklassa, tietosuojaa koskevan lain täytäntöönpanoasetuksen (1) artiklassa ja henkilötietojen siirtämistä kuningaskunnan ulkopuolelle koskevan asetuksen (1) artiklassa.

b. Näitä lausekkeita on luettava ja tulkittava tämän artiklan (a) kohdassa tarkoitettujen lain ja asetusten säännösten valossa ja niiden mukaisesti, eikä niitä saa tulkita millään muulla tavalla, joka on ristiriidassa lain ja asetusten säännösten kanssa.

Lauseke (5) Ristiriita 

Mikäli nämä lausekkeet ovat ristiriidassa minkä tahansa muun osapuolten välisen sopimuksen kohdan kanssa, näitä lausekkeita sovelletaan ensisijaisesti.

Lauseke (6) Siirtojen yksityiskohdat

Siirto tai siirrot sekä henkilötietoryhmät ja siirtojen tarkoitukset on kuvattu liitteessä.

Lauseke (7) Uusien osapuolten lisääminen

a. Sellainen henkilötietojen tuoja tai henkilötietojen viejä, joka ei ole näiden vakiolausekkeiden osapuoli, voi liittyä näihin vakiosopimuslausekkeisiin täyttämällä ja allekirjoittamalla liitteen (1) nykyisten osapuolten suostumuksella. Liittyvä yhteisö on joko henkilötietojen tuoja tai henkilötietojen viejä.

b. Kun liite (1) on täytetty ja allekirjoitettu, liittyvä yhteisö on näiden lausekkeiden osapuoli, ja uusi liittynyt yhteisö ottaa liittymispäivästä alkaen vastuun liittymispäivänä tai sen jälkeen tapahtuneiden henkilötietojen käsittely- ja siirtotoimenpiteiden luonteen mukaisesti ja on oikeutettu käyttämään näissä lausekkeissa määriteltyä tehtäväänsä vastaavia oikeuksia ja velvollisuuksia.

Lauseke (8) Sovellettava laki ja toimivalta

Näihin vakiosopimuslausekkeisiin sovelletaan Saudi-Arabian kuningaskunnan soveltuvia lakeja. Kaikki näiden ehtojen soveltamisesta aiheutuvat kiistat kuuluvat kuningaskunnan toimivaltaan ja sen tuomioistuinten ratkaistaviksi. Henkilötietojen tuoja suostuu näiden vakiosopimuslausekkeiden nojalla hyväksymään Saudi-Arabian kuningaskunnan toimivallan.

Lauseke (9) Toimivaltaisen viranomaisen pyyntöjen noudattaminen

a. Jokainen osapuoli sitoutuu noudattamaan toimivaltaisen viranomaisen pyyntöjä, jotka liittyvät näihin vakiosopimuslausekkeisiin tai siirrettyjen henkilötietojen käsittelyyn.

b. Henkilötietojen tuoja suostuu ja sitoutuu tekemään yhteistyötä toimivaltaisen viranomaisen kanssa ja täyttämään kaikki sen pyynnöt ja tiedustelut sekä toimittamaan tarvittavat asiakirjat ja tiedot vakiosopimuslausekkeiden noudattamisen varmistamiseksi.

c. Henkilötietojen tuoja sitoutuu noudattamaan toimivaltaisen viranomaisen hyväksymiä toimenpiteitä, joihin luetaan mukaan korjaavat toimenpiteet ja korvaukset.

Lauseke (10) Korvaukset

a. Jos henkilötietorekisteröidyn ja osapuolen välillä syntyy kiistaa vakiosopimuslausekkeiden noudattamisesta, kyseisen osapuolen on käytettävä kaikkia tarvittavia keinoja kiistan ratkaisemiseksi sovinnollisesti henkilötietorekisteröidyn kanssa, ja kaikkien osapuolten on ilmoitettava toisilleen kiistan olemassaolosta sen varmistamiseksi, että kiista ratkaistaan keskinäisessä yhteistyössä.

b. Henkilötietorekisteröity voi tehdä toimivaltaiselle viranomaiselle valituksen, joka liittyy näiden vakiosopimuslausekkeiden määräysten soveltamiseen, laissa ja asetuksissa määriteltyjen valitusten esittämistä koskevien menettelyjen mukaisesti.

c. Henkilötietorekisteröidyllä on oikeus vaatia toimivaltaisessa tuomioistuimessa korvausta aineellisesta tai henkisestä vahingosta, jonka suuruus on verrannollinen näiden yleisten sopimusehtojen soveltamisesta aiheutuneen vahingon suuruuteen.

Lauseke (11) Henkilötietojen turvallisuus

a. Kaikkien osapuolten on toteutettava tarvittavat organisatoriset, hallinnolliset ja tekniset toimenpiteet, joilla varmistetaan, että henkilötietojen yksityisyyden suoja säilyy kaikissa käsittelyvaiheissa, mihin luetaan mukaan henkilötietojen turvallisuus siirtomenettelyn aikana.  Asianmukaista turvallisuustasoa arvioidessaan osapuolet ottavat huomioon tekniikan nykytilan, täytäntöönpanokustannukset ja siirrettävien henkilötietojen luonteen sekä henkilötietojen käsittelyn luonteen, laajuuden, asiayhteyden, tarkoitukset ja siihen liittyvät riskit ja harkitsevat erityisesti tai tunnistetietojen poistamisen tai salauksen soveltamista, myös henkilötietojen siirron aikana, jos tietojenkäsittelyn tarkoitus voidaan saavuttaa tällä tavoin.

b. Henkilötietojen viejän on avustettava henkilötietojen tuojaa tarvittavien tietoturvavaatimusten täyttämisessä, ja mikäli henkilötietojen viejän näiden vakiosopimuslausekkeiden mukaisesti käsittelemiin, siirrettyihin henkilötietoihin liittyen tapahtuu henkilötietojen tietoturvaloukkaus, henkilötietojen viejän on ilmoitettava siitä henkilötietojen tuojalle viipymättä sen jälkeen, kun se on saanut tiedon tietoturvaloukkauksesta, ja avustettava henkilötietojen tuojaa tietoturvaloukkauksen torjunnassa.

c. Tietojen viejä varmistaa, että henkilöitä, joilla on valtuudet käsitellä siirrettyjä henkilötietoja, sitoo salassapito- ja vaitiolovelvollisuus asianmukaisen oikeudellisen salassapito- ja vaitiolovelvollisuuden nojalla.

Lauseke (12) Kesto ja purkaminen

a. Jos henkilötietojen tuoja ei jostakin syystä pysty täyttämään näiden vakiosopimuslausekkeiden mukaisia velvoitteitaan, sen on ilmoitettava asiasta henkilötietojen viejälle (24) tunnin kuluessa siitä, kun se on saanut tiedon asiasta.

b. Mikäli henkilötietojen tuoja rikkoo näitä vakiosopimuslausekkeita tai ei kykene noudattamaan niitä, henkilötietojen viejän on välittömästi lopetettava henkilötietojen siirto henkilötietojen tuojalle, kunnes henkilötietojen tuoja varmistaa, että henkilötietojen tuoja noudattaa niitä jälleen, edellyttäen, että henkilötietojen tuojalle annetaan (30) vuorokauden määräaika, jota voidaan pidentää vastaavalla enintään yhtä kauan kestävällä ajalla, osoittaa kykenevänsä noudattamaan näitä lausekkeita, ja jos määräaika päättyy ilman, että näin tapahtuu, osapuolet sopivat sopimuksen purkamisesta ilman, että henkilötietojen viejä tai rekisterinpitäjä, tapauksesta riippuen, on minkäänlaisessa vastuussa.

c. Henkilötietojen viejän tai rekisterinpitäjän, tapauksesta riippuen, on varmistettava, että kaikki henkilötietojen tuojalle aiemmin siirretyt henkilötiedot tuhotaan kokonaan ennen kuin vakiosopimuslausekkeet irtisanotaan edellä olevan kohdan (b) mukaisesti. Sen on myös varmistettava, että kaikki sen hallussa olevat kopiot tällaisista henkilötiedoista tuhotaan.

d. Henkilötietojen tuojan on dokumentoitava tietojen tuhoaminen, ja tämä dokumentaatio on toimitettava pyydettäessä henkilötietojen viejälle tai rekisterinpitäjälle.

e. Henkilötietojen tuojan on varmistettava, että se noudattaa näitä vakiosopimuslausekkeita, kunnes tiedot on tuhottu.

Lauseke (13) Siirrettyjen henkilötietojen suojaaminen

Henkilötietojen viejä ja henkilötietojen tuoja käsittelevät siirrettyjä henkilötietoja siirron luonteen ja tarkoitusten mukaisesti seuraavasti:

Rekisterinpitäjien väliset lausekkeet

1. Käsittelyrajoitukset

Henkilötietojen tuoja on velvollinen käsittelemään siirrettyjä henkilötietoja liitteessä (2) esitettyjen tarkoitusten mukaisesti.

2. Toimivaltaisen viranomaisen pyyntöjen noudattaminen 

2.1 Osapuolet toimittavat pyynnöstä ja ilman aiheetonta viivytystä jäljennöksen näistä lausekkeista toimivaltaiselle viranomaiselle, jotta toimivaltainen viranomainen voi käyttää lain ja asetusten mukaista toimivaltaansa. Toimivaltainen viranomainen voi pyytää lisätietoja henkilötietojen siirtoihin liittyen.

2.2 Jokainen osapuoli sitoutuu noudattamaan kaikkia toimivaltaisen viranomaisen näitä lausekkeita tai siirrettyjen tietojen käsittelyä koskevia pyyntöjä. 

2.3 Henkilötietojen tuoja (joko suoraan tai henkilötietojen viejän välityksellä) ilmoittaa pyynnöstä henkilöllisyytensä ja yhteystietonsa sekä käsiteltävien henkilötietojen luokat henkilötietorekisteröidylle ja toimittaa jäljennöksen näistä tiedoista.

3. Tarkoituksen toteuttamiseksi tarvittavien henkilötietojen vähimmäismäärä 

Kaikkien osapuolten on varmistettava, että siirretyt henkilötiedot ovat riittävät ja rajoittuvat vähimmäismäärään, joka tarvitaan liitteessä (2) esitettyjen tarkoitusten täyttämiseksi. Jos jokin osapuoli saa tietää tarpeettomasta henkilötietojen siirrosta, sen on ilmoitettava siitä toiselle osapuolelle tai toisille osapuolille heti, kun se saa siitä tiedon.

4. Henkilötietojen säilyttäminen 

Henkilötietojen tuojan on säilytettävä siirretyt henkilötiedot, jos se on tarpeen liitteessä (2) esitettyjen tarkoitusten täyttämiseksi, edellyttäen, että henkilötietojen maahantuoja poistaa tai anonymisoi siirretyt henkilötiedot ilman aiheetonta viivytystä lukuun ottamatta seuraavia tapauksia: 

4.1 Jos se on kuningaskunnan lakien ja tietosuojalain ja sen asetusten mukaisen oikeudellisen perusteen mukaista, tässä tapauksessa tiedot tuhotaan määräajan päätyttyä tai kun niiden keräämisen tarkoitus on täytetty, sen mukaan, kumpi on pidempi. 

4.2 Jos siirrettyjen henkilötietojen säilyttäminen pidempään liittyy suoraan oikeusviranomaisen käsiteltävänä olevaan tapaukseen ja jos säilyttäminen on tarpeen tätä tarkoitusta varten, tiedot on hävitettävä tapaukseen liittyvien oikeudellisten menettelyjen päätyttyä. 

4.3 Jos siirrettyjen henkilötietojen säilyttäminen pidempään on tarpeen rekisteröidyn elämän tai elintärkeiden etujen suojelemiseksi.

5. Henkilötietojen turvallisuus ja henkilötietojen tietoturvaloukkauksista ilmoittaminen

Osapuolet varmistavat, että liitteessä (3) määritellyt organisatoriset, hallinnolliset ja tekniset toimenpiteet tarjoavat siirretyille henkilötiedoille riittävän tasoisen suojan lain (19) artiklan ja täytäntöönpanoasetusten (23) artiklan vaatimusten täyttämiseksi. 

5.1 Henkilötietojen tuojan on pantava täytäntöön liitteessä (3) määritellyt turvatoimenpiteet ja sovellettava näitä toimenpiteitä kaikkiin siirrettyihin henkilötietoihin varmistaakseen henkilötietojen turvallisuuden ja suojan kaikilta rikkomuksilta, jotka voivat johtaa henkilötietorekisteröidylle kohdistuviin vahinkoihin, laittomaan toimintaan, henkilötietojen katoamiseen, muuttamiseen tai luovuttamiseen tai luvattomaan käyttöön.

5.2 Henkilötietojen tuojan on määräajoin tarkistettava liitteessä (3) määrätyt turvatoimenpiteet varmistaakseen, että niitä pannaan täytäntöön vaaditulla tavalla, ja päivitettävä niitä tarvittaessa lain (19) artiklan ja täytäntöönpanoasetusten (23) artiklan noudattamisen varmistamiseksi. 

5.3 Jos henkilötietojen tuoja saa tietää tietoturvaloukkauksesta, joka voi vahingoittaa siirrettyjä henkilötietoja tai rekisteröityjä tai olla ristiriidassa heidän oikeuksiensa tai etujensa kanssa, henkilötietojen tuojan on ilmoitettava asiasta toimivaltaiselle viranomaiselle (72) tunnin kuluessa siitä, kun se on saanut tietää tapahtumasta, lain täytäntöönpanoasetusten (24) artiklassa esitettyjen vaatimusten mukaisesti.

6. Arkaluonteiset tiedot 

Henkilötietojen viejän on varmistettava, että henkilötietojen tuoja ottaa käyttöön arkaluonteisten tietojen luonteeseen sopivia lisäturvatoimia ja varmistaa, että arkaluonteisia tietoja käsiteltäessä niitä suojataan kaikilta riskeiltä, samalla kun se varmistaa, että liitteessä (2) kuvattuja rajoituksia ja lisäturvatoimia sovelletaan, edellä sanotun kuitenkaan rajoittamatta arkaluonteisiin tietoihin liittyvien rajoitusten soveltamista, joista säädetään laissa ja lain täytäntöönpanoasetuksissa. 

7. Myöhemmät siirrot

7.1 Henkilötietojen tuoja ei saa siirtää tai luovuttaa siirrettyjä henkilötietoja kolmannelle osapuolelle kuningaskunnan ulkopuolelle, ellei kyseinen osapuoli ole liittynyt näihin lausekkeisiin ja asianmukaisen mallin sekä edellä olevan lausekkeen (7) määräysten mukaisesti. 

7.2 Rajoittamatta lain (8) ja (15) artiklan sekä lain täytäntöönpanoasetuksen (17) säännösten soveltamista lain ja asetusten säännöksiä sovelletaan sellaisten henkilötietojen myöhempään siirtoon, jotka on aiemmin siirretty tai luovutettu kuningaskunnan ulkopuoliselle toimijalle.

8. Käsittelijöiden nimeäminen 

Henkilötietojen tuoja on velvollinen valitsemaan henkilötietojen käsittelijän, joka antaa riittävät takeet siirrettyjen henkilötietojen suojasta, ja henkilötietojen käsittelijän kanssa tehdyn sopimuksen on käsitettävä kaikki täytäntöönpanoasetuksen (17) artiklassa säädetyt vaatimukset, ja käsittely perustuu yksinomaan tietojen tuojan ohjeisiin edellyttäen, että nämä ohjeet ovat näissä lausekkeissa säädettyjen vaatimusten mukaisia.

9. Näiden lausekkeiden noudattaminen 

9.1 Kaikkien osapuolten on pyydettäessä osoitettava toimivaltaiselle viranomaiselle noudattavansa näitä lausekkeita täysimääräisesti, ja henkilötietojen maahantuojan on säilytettävä valvonnassaan suoritettuihin henkilötietojen käsittelytoimiin liittyviä asiakirjoja asetuksen (33) artiklassa säädettyjen henkilötietojen käsittelytoimia koskevien rekisterien lisäksi. 

9.2 Henkilötietojen tuoja toimittaa nämä asiakirjat toimivaltaiselle viranomaiselle tämän pyynnöstä. 

10. Vastuuvelvollisuus 

10.1 Kumpikin osapuoli on vastuussa toiselle osapuolelle kaikista vahingoista, joita toiselle osapuolelle aiheutuu näiden vakiosopimuslausekkeiden rikkomisesta. 

10.2 Kumpikin osapuoli on vastuussa henkilötietorekisteröidylle tämän kuitenkaan rajoittamatta henkilötietojen viejän vastuullisuutta lain ja asetusten mukaisesti, ja henkilötietorekisteröidyllä on oikeus saada korvaus kaikista aineellisista vahingoista ja henkisestä kärsimyksestä, joita huolimaton osapuoli on aiheuttanut henkilötietorekisteröidyn vahingoksi. Jos useampi kuin yksi osapuoli on vastuussa siitä, että henkilötietorekisteröidylle aiheutuu vahinkoa näiden vakiosopimuslausekkeiden rikkomisen seurauksena, vastuulliset osapuolet ovat yhdessä tai erikseen vastuussa, ja henkilötietorekisteröidyllä on oikeus nostaa kanne tuomioistuimessa mitä tahansa näistä osapuolista vastaan. 

10.3 Osapuolet hyväksyvät, että jos jokin osapuoli ottaa vastuuvelvollisuuden (b), sillä on oikeus vaatia toiselta osapuolelta (toisilta osapuolilta) sitä osaa korvauksesta, joka vastaa sen vastuuta vahingosta.

10.4 Henkilötietojen tuoja ei voi luottaa tietojen käsittelijän tai tämän alihankkijan käyttäytymiseen välttääkseen vastuuvelvollisuutensa. 

11. Henkilötietorekisteröityjen oikeus 

11.1 Henkilötietojen tuoja (henkilötietojen viejän tuella) käsittelee tarvittaessa kaikki rekisteröidyltä saadut kyselyt tai pyynnöt, jotka koskevat henkilötietojen käsittelyä ja lain ja sovellettavien säännösten mukaisten oikeuksien käyttämistä, viivytyksettä ja enintään kolmenkymmenen (30) vuorokauden kuluessa tällaisen pyynnön vastaanottamisesta. Tätä määräaikaa voidaan pidentää vastaavalla, enintään kolmekymmentä (30) vuorokautta kestävällä ajalla, jos pyynnön toteuttaminen vaatii poikkeuksellisia ponnisteluja tai jos henkilötietojen tuoja saa useita pyyntöjä henkilötietorekisteröidyltä. Rekisteröidylle ilmoitetaan etukäteen tästä pidennyksestä ja sen syistä. 

11.2 Kaikki henkilötietorekisteröidylle annettavat lausunnot on esitettävä selkeässä, luettavassa ja helposti saatavilla olevassa muodossa.

Liite

Liitteissä 1, 2 ja 3 olevat tiedot löytyvät Saudi-Arabian tietosuojaehdoista.