Klauzula (1) Svrha i opseg

a. Svrha ovih klauzula je osigurati da se u nedostatku odgovarajuće razine zaštite osobnih podataka primjenjuje odgovarajuća razina zaštite osobnih podataka ekvivalentna razini zaštite koja se primjenjuje prema Zakonu o zaštiti osobnih podataka i njegovim provedbenim propisima izvan Kraljevine određivanjem obveza stranaka uključenih u prijenos Osobnih podataka u zemlju ili međunarodnu organizaciju koja nema odgovarajuću razinu zaštite Osobnih podataka. Dodatak (1) prikazuje podatke i za izvoznike podataka i za uvoznike podataka.

b. Ove Klauzule primjenjuju se na prijenos Osobnih podataka kako je navedeno u Dodatku (2) ("Osobni podaci koje je potrebno prenijeti ili otkriti").

Klauzula (2) Izmjena i utjecaj 

a. Ove Klauzule utvrđuju odgovarajuće zaštitne mjere, uključujući prava na prigovor Subjekata Osobnih podataka i ne mogu se izmijeniti osim radi odabira odgovarajućeg predloška ili dodavanja ili ažuriranja informacija u prilogu.

b. Stranke mogu uključiti ove Klauzule u sveobuhvatni ugovor ili dodati druge klauzule ili dodatna jamstva, pod uvjetom da one nisu u izravnoj ili neizravnoj suprotnosti s ovim Klauzulama ili da ne krše temeljna prava Subjekata Osobnih podataka.

c. Ove Klauzule ne oslobađaju nijednu stranu njezinih obveza prema Zakonu i propisima, niti dovode u pitanje odredbe zakona i propisa na snazi u Kraljevini ili ugovora u kojima je Kraljevina stranka.

Klauzula (3) Prava Subjekata Osobnih podataka

a. Ove Standardne ugovorne klauzule ne dovode u pitanje prava Subjekata Osobnih podataka prema Zakonu i propisima.

b. Subjekti Osobnih podataka čiji se Osobni podaci prenose od stranaka na temelju ovih Standardnih ugovornih klauzula mogu obavijestiti Nadležno tijelo ("Saudi Data & AI Authority") ako postanu svjesni bilo kakvog kršenja ovih Standardnih ugovornih klauzula.

Klauzula (4) Tumačenje

a. Osim ako kontekst ne zahtijeva drugačije, riječi i fraze koje se koriste u ovim Klauzulama morat će imati značenja koja su im dodijeljena u članku (1) Zakona o zaštiti Osobnih podataka izdanog Kraljevskom uredbom br. (M/19) 9/2/1443 hidžretske godine koja je izmijenjena Kraljevskom uredbom br. (M/148) 5/9/1444 hidžretske godine, Članak (1) Provedbene uredbe PDPL-a i Članak (1) Uredbe o prijenosu Osobnih podataka izvan Kraljevine.

b. Ove Klauzule moraju se čitati i tumačiti u svjetlu i u skladu s odredbama Zakona i propisa navedenih u stavku (a) ovog članka i ne smiju se tumačiti na bilo koji drugi način koji nije u skladu s odredbama Zakona i propisa.

Klauzula (5) Sukob 

U slučaju sukoba između ovih Klauzula i bilo koje odredbe u bilo kojem drugom ugovoru između stranaka, prednost će imati ove Klauzule.

Klauzula (6) Pojedinosti Prijenosa

Prijenos(i), kao i kategorije Osobnih podataka i svrhe prijenosa, opisani su u Dodatku.

Klauzula (7) Dodavanje Novih Stranaka

a. Bilo koji Uvoznik osobnih podataka ili Izvoznik osobnih podataka koji nije stranka u ovim Standardnim klauzulama može se pridružiti ovim Standardnim ugovornim klauzulama popunjavanjem i potpisivanjem Dodatka (1), uz pristanak postojećih strana. Subjekt koji se pridružuje bit će ili Uvoznik Osobnih podataka ili Izvoznik Osobnih podataka.

b. Nakon što se Dodatak (1) popuni i potpiše, Subjekt koji se pridružuje postaje stranka u ovim Klauzulama, a novopridruženi subjekt će, od datuma pridruživanja, preuzeti odgovornosti ovisno o prirodi operacija obrade Osobnih podataka i prijenosa koji su se dogodili na ili nakon datuma pridruživanja, te će imati pravo ostvarivati prava i obveze koje odgovaraju njegovoj ulozi kako je definirana u ovim Klauzulama.

Klauzula (8) Primjenjivo pravo i nadležnost

Ove Standardne ugovorne klauzule regulirat će se primjenjivim zakonima Kraljevine Saudijske Arabije. Svaki spor koji proizlazi iz primjene odredbi ovih Klauzula potpadat će u nadležnost Kraljevine i biće povjeren njezinim sudovima. Uvoznik Osobnih podataka, prema ovim Standardnim ugovornim klauzulama, pristaje se podvrgnuti nadležnosti Kraljevine Saudijske Arabije.

Klauzula (9) Usklađenost sa zahtjevima Nadležnog tijela

a. Svaka strana suglasna je pridržavati se svih zahtjeva Nadležnog tijela u vezi s ovim Standardnim ugovornim klauzulama ili obradom prenesenih Osobnih podataka.

b. Uvoznik Osobnih podataka suglasan je i obvezuje se surađivati s Nadležnim tijelom i pridržavati se svih njegovih zahtjeva i upita, te pružiti potrebne dokumente i informacije kako bi se osigurala usklađenost sa Standardnim ugovornim klauzulama.

c. Uvoznik Osobnih podataka pristaje se pridržavati mjera koje je donijelo Nadležno tijelo, uključujući korektivne mjere i kompenzaciju.

Klauzula (10) Kompenzacija

a. Ako nastane bilo kakav spor između Subjekta Osobnih podataka i stranke u vezi s poštivanjem Standardnih ugovornih klauzula, ta stranka će upotrijebiti sva potrebna sredstva za mirno rješavanje spora sa Subjektom Osobnih podataka, a sve stranke će se međusobno obavijestiti o postojanju takvog spora kako bi osigurale da se on riješi u međusobnoj suradnji.

b. Subjekt Osobnih podataka može podnijeti Nadležnom tijelu bilo koji prigovor koji proizlazi iz primjene odredbi ovih Standardnih ugovornih klauzula, u skladu s postupcima za podnošenje pritužbi navedenim Zakonom i propisima.

c. Subjekt Osobnih podataka ima pravo pred nadležnim sudom zatražiti naknadu materijalne ili moralne štete srazmjerno veličini štete koja proizlazi iz primjene ovih Standardnih ugovornih klauzula.

Klauzula (11) Sigurnost Osobnih podataka

a. Sve stranke će poduzeti potrebne organizacijske, administrativne i tehničke mjere koje osiguravaju održavanje privatnosti Osobnih podataka od bilo kakvog kršenja u svim fazama obrade, uključujući sigurnost osobnih podataka tijekom procesa prijenosa.  U procjeni odgovarajuće razine sigurnosti, Stranke će uzeti u obzir trenutno stanje tehnologije, troškove implementacije i prirodu Osobnih podataka koji se prenose, kao i prirodu, opseg, kontekst, svrhe, rizike uključene u obradu Osobnih podataka, a posebno razmatrati primjenu šifriranja ili de-identifikacije, uključujući tijekom prijenosa Osobnih podataka, gdje se svrha obrade podataka može postići na ovaj način.

b. Izvoznik Osobnih podataka dužan je pomoći Uvozniku Osobnih podataka u ispunjavanju potrebnih zahtjeva za sigurnost podataka, a u slučaju bilo kakvog kršenja Osobnih podataka u vezi s prenesenim Osobnim podacima koje obrađuje Izvoznik Osobnih podataka prema ovim Standardnim ugovornim klauzulama, Izvoznik Osobnih podataka bez odgode obavijestit će Uvoznika Osobnih podataka bez odgode nakon što postane svjestan takvog kršenja i pomoći Uvozniku Osobnih podataka u obuzdavanju takvog kršenja.

c. Izvoznik podataka osigurava da osobe ovlaštene za obradu prenesenih Osobnih podataka budu obvezane povjerljivošću i neotkrivanjem prema odgovarajućoj pravnoj obvezi povjerljivosti i neotkrivanja.

Klauzula (12) Trajanje i raskid

a. Ako iz bilo kojeg razloga Uvoznik osobnih podataka ne može ispuniti svoje obveze u skladu s ovim Standardnim ugovornim klauzulama, mora obavijestiti Izvoznika Osobnih podataka u roku od (24) sata od trenutka kada postane svjestan toga.

b. U slučaju da Uvoznik osobnih podataka krši ove Standardne ugovorne klauzule ili ih se ne može pridržavati, Izvoznik osobnih podataka odmah će obustaviti prijenos Osobnih podataka Uvozniku Osobnih podataka dok Uvoznik Osobnih podataka ponovno ne osigura njegov povratak na usklađenost, pod uvjetom da Uvozniku Osobnih podataka bude dato razdoblje od (30) dana, koji se može produljiti za slično maksimalno razdoblje, kako bi dokazala svoju sposobnost pridržavanja ovih Klauzula, a ako razdoblje istekne bez postizanja toga, dvije strane će se složiti raskinuti ugovor, bez ikakve odgovornosti za Izvoznika Osobnih podataka ili Kontrolora, ovisno o slučaju.

c. Izvoznik Osobnih podataka ili Kontrolor, ovisno o slučaju, osigurat će da svi Osobni podaci prethodno preneseni Uvozniku Osobnih podataka u potpunosti budu uništeni prije raskida Standardnih ugovornih klauzula prema prethodnom stavku (b). Također će osigurati da sve kopije takvih osobnih podataka koje posjeduje budu uništene.

d. Uvoznik Osobnih podataka mora dokumentirati uništavanje podataka, a ova dokumentacija mora se na zahtjev dostaviti Izvozniku Osobnih podataka ili voditelju obrade.

e. Uvoznik Osobnih podataka mora nastaviti osiguravati - dok podaci ne budu uništeni - da se pridržava ovih Standardnih ugovornih klauzula.

Klauzula (13) Zaštita Prenesenih Osobnih podataka

Izvoznik Osobnih podataka i Uvoznik Osobnih podataka obrađivat će prenesene Osobne podatke prema prirodi i svrhama prijenosa kako slijedi:

Klauzule između kontrolora

1. Ograničenja obrade

Uvoznik Osobnih podataka dužan je obraditi prenesene Osobne podatke u skladu sa svrhama navedenim u Dodatku (2).

2. Udovoljavanje zahtjevima nadležnog tijela 

2.1 Stranke će na zahtjev i bez nepotrebne odgode dostaviti primjerak ovih Klauzula Nadležnom tijelu kako bi Nadležno tijelo moglo izvršavati svoje ovlasti prema Zakonu i propisima. Nadležno tijelo može zatražiti bilo kakve dodatne informacije u vezi s prijenosima Osobnih podataka.

2.2 Svaka strana suglasna je pridržavati se svih zahtjeva Nadležnog tijela u vezi s ovim Klauzulama ili obradom prenesenih podataka. 

2.3 Na zahtjev Uvoznik Osobnih podataka (izravno ili putem Izvoznika Osobnih podataka) otkrit će Subjektu Osobnih podataka svoj identitet i podatke za kontakt i kategorije Osobnih podataka koje se obrađuju i dostaviti primjerak ovih stavki

3. Minimalna količina Osobnih podataka potrebna za ispunjavanje Svrhe 

Sve stranke će osigurati da Preneseni Osobni podaci budu dostatni i ograničeni na minimalni iznos potreban za ispunjavanje svrha navedenih u Dodatku (2). Ako bilo koja strana postane svjesna bilo kakvog prijenosa nepotrebnih Osobnih podataka, ta stranka će obavijestiti drugu stranku ili stranke čim postane svjesna toga.

4. Zadržavanje Osobnih podataka 

Uvoznik Osobnih podataka zadržat će prenesene Osobne podatke ako je to potrebno za ispunjavanje svrha navedenih u Dodatku (2), pod uvjetom da Uvoznik Osobnih podataka bez nepotrebne odgode izbriše ili anonimizira prenesene Osobne podatke osim u sljedećim slučajevima: 

4.1 Ako je to u skladu s pravnim opravdanjem prema zakonima Kraljevine i Zakonu o zaštiti osobnih podataka i njegovim propisima; u ovom slučaju, podaci će se uništiti nakon isteka razdoblja ili nakon što se svrha njihovog prikupljanja ispuni, ovisno o tome što je dulje. 

4.2 Ako je zadržavanje prenesenih osobnih podataka na dodatno razdoblje izravno povezano s predmetom koji je u tijeku pred pravosudnim tijelom i takvo zadržavanje je potrebno u ovu svrhu, podaci će se uništiti nakon završetka sudskih postupaka povezanih sa slučajem. 

4.3 Ako je zadržavanje prenesenih osobnih podataka na dodatno razdoblje potrebno za zaštitu života subjekta ili njegovih vitalnih interesa.

5. Obavijesti o sigurnosti Osobnih podataka i povredi Osobnih podataka

Stranke će osigurati da organizacijske, administrativne i tehničke mjere navedene u Dodatku (3) pružaju dostatnu razinu zaštite za prenesene Osobne podatke kako bi se pridržavali zahtjeva Članka (19) Zakona i Članka (23) Provedbenih propisa. 

5.1 Uvoznik Osobnih podataka provodit će sigurnosne mjere navedene u Dodatku (3) i primijeniti te mjere na sve prenesene Osobne podatke kako bi osigurao sigurnost i zaštitu Osobnih podataka od bilo kakvog kršenja koje može rezultirati štetom Subjekta Osobnih podataka, nezakonitom radnjom, gubitkom, izmjenom, otkrivanjem Osobnih podataka ili neovlaštenim pristupom.

5.2 Uvoznik Osobnih podataka mora povremeno pregledavati sigurnosne mjere navedene u Dodatku (3) kako bi osigurao da se one provode prema potrebi i ažurirati ih prema potrebi kako bi se osigurala usklađenost s člankom (19) Zakona i člankom (23) Provedbenih propisa. 

5.3 Ako Uvoznik Osobnih podataka postane svjestan incidenta povrede podataka koji bi mogao naštetiti prenesenim osobnim podacima ili ispitanicima ili biti u sukobu s njihovim pravima ili interesima, Uvoznik Osobnih podataka mora obavijestiti nadležno tijelo u roku od (72) sata od kada postane svjestan incidenta, u skladu sa zahtjevima navedenim u članku (24) Provedbenih propisa Zakona. 

6. Osjetljivi podaci 

Ne dovodeći u pitanje bilo kakva ograničenja koja se odnose na osjetljive podatke propisana Zakonom i Provedbenim propisima Zakona, Izvoznik Osobnih podataka osigurat će da Uvoznik Osobnih podataka usvoji dodatne mjere zaštite primjerene prirodi osjetljivih podataka i osigurava da su zaštićeni od bilo kakvih rizika prilikom njihove obrade, osiguravajući da se ograničenja i dodatne mjere zaštite opisane u Dodatku (2) primjenjuju. 

7. Naknadni Prijenos

7.1 Uvoznik Osobnih podataka neće prenijeti ili otkriti prenesene Osobne podatke trećoj strani izvan Kraljevine osim ako ta stranka nije pristupila ovim Klauzulama i u skladu s odgovarajućim predloškom i odredbama ranije navedene Klauzule (7). 

7.2 Ne dovodeći u pitanje odredbe Članaka (8) i (15) Zakona i (17) Provedbene uredbe Zakona, odredbe Zakona i propisa primjenjivat će se na naknadni prijenos Osobnih podataka koji su prethodno preneseni ili otkriveni subjektu izvan Kraljevine.

8. Dodjeljivanje Obrađivača 

Uvoznik Osobnih podataka bit će dužan odabrati Obrađivača koji pruža dostatna jamstva za zaštitu prenesenih Osobnih podataka, a ugovor sa Obrađivačem uključivat će sve zahtjeve navedene u članku (17) Provedbene uredbe, a obrada će se temeljiti isključivo na uputama Uvoznika podataka, pod uvjetom da su ove upute u skladu sa zahtjevima navedenim u ovim Klauzulama.

9. Usklađenost s ovim Klauzulama 

9.1 Sve stranke će na zahtjev dokazati potpunu usklađenost s ovim Klauzulama Nadležnom tijelu, a Uvoznik Osobnih podataka održavat će dokumente povezane s aktivnostima obrade Osobnih podataka koje se provode pod njegovim nadzorom, uz evidenciju aktivnosti obrade Osobnih podataka kako je predviđeno člankom (33) Uredbe. 

9.2 Uvoznik Osobnih podataka na zahtjev dostavit će ove dokumente Nadležnom tijelu. 

10. Odgovornost 

10.1 Svaka stranka će biti odgovorna drugoj stranci za bilo kakvu štetu prouzročenu drugoj stranci kao rezultat kršenja bilo koje od ovih Standardnih ugovornih klauzula. 

10.2 Svaka stranka će biti odgovorna Subjektu Osobnih podataka, ne dovodeći u pitanje odgovornost Izvoznika Osobnih podataka prema Zakonu i propisima, a Subjekt Osobnih podataka imat će pravo na naknadu bilo kakve materijalne i moralne štete prouzročene nemarnom strankom koja nanosi štetu Subjektu Osobnih podataka. Ako je više stranaka odgovorno za uzrokovanje štete Subjektu Osobnih podataka kao rezultat kršenja ovih Standardnih ugovornih klauzula, odgovorne stranke će se smatrati zajednički ili pojedinačno odgovornim, a Subjekt Osobnih podataka imat će pravo na sudsku radnju protiv bilo koje od ovih stranaka. 

10.3 Stranke su suglasne da ako bilo koja stranka preuzme odgovornost (b), imat će pravo od druge stranke ili drugih stranaka zatražiti onaj dio naknade koji odgovara njegovoj/njenoj/njihovoj odgovornosti za štetu.

10.4 Uvoznik Osobnih podataka ne može se oslanjati na ponašanje Obrađivača podataka ili Podobrađivača kako bi izbjegao odgovornost. 

11. Pravo Subjekata Osobnih podataka 

11.1 Uvoznik Osobnih podataka (uz podršku Izvoznika Osobnih podataka) bavit će se, prema potrebi, svim upitima ili zahtjevima Primljenim od Subjekta u vezi s obradom Osobnih podataka i ostvarivanjem prava predviđenih Zakonom i primjenjivim propisima bez ikakve odgode u razdoblju od najviše trideset (30) dana od datuma primitka takvog zahtjeva. Ovo razdoblje može se produljiti za slično razdoblje do maksimalno trideset (30) dana ako izvršenje zahtjeva zahtijeva izvanredan napor ili ako Uvoznik Osobnih podataka primi mnoge zahtjeve Subjekta Osobnih podataka. Subjekt obrade unaprijed se obavještava o ovom produljenju i njegovim razlozima. 

11.2 Sve izjave Subjektu Osobnih podataka moraju se predstaviti u jasnom, čitljivom i dostupnom formatu.

Dodatak

Za informacije u Dodatku 1, 2 i 3 pogledajte Uvjete privatnosti u Saudijskoj Arabiji.