1. Záradék Cél és hatály

a. Jelen Záradékok célja annak biztosítása, hogy a személyes adatok védelmének megfelelő szintje, amely egyenértékű a személyes adatok védelméről szóló törvény és végrehajtási rendeletei alapján alkalmazandó védelmi szinttel, a személyes adatoknak a Királyságon kívülre történő továbbítása esetén is biztosított legyen, azáltal, hogy meghatározzák a személyes adatoknak a személyes adatok védelmének megfelelő szinttel nem rendelkező országba vagy nemzetközi szervezethez történő továbbításában érintett felek kötelezettségeit. Az 1. függelék mutatja az adat továbbítók és az adat fogadók számára az adatokat.

b. Ezek a feltételek a személyes adatok 2. függelékben meghatározott továbbítására vonatkoznak ("Továbbítandó vagy közzéteendő személyes adatok").

2. Záradék Módosítás és Hatás 

a. Ezek a Záradékok határozzák meg a megfelelő garanciákat, beleértve az érintett személyek panaszhoz való jogát, ezek nem módosíthatóak, kivéve a megfelelő sablon kiválasztását vagy a függelékben található információk hozzáadását vagy frissítését.

b. A felek beépíthetik ezeket a Záradékokat egy átfogó megállapodásba, vagy más záradékokkal vagy kiegészítő garanciákkal egészíthetik ki, feltéve, hogy azok közvetlenül vagy közvetve nem ellentétesek ezekkel a Záradékokkal, és nem sértik az érintett személyek alapvető jogait.

c. Ezek a Záradékok nem mentesítik egyik felet sem a törvény és rendeletek szerinti kötelezettségeik alól, és nem érintik a Királyságban hatályos törvények és rendeletek vagy olyan megállapodások rendelkezéseit, amelyekben a Királyság részes fél.

3. Záradék Érintett személyek jogai

a. Ezek az Általános Szerződési Feltételek nem érintik az érintett személyek törvények és rendeletek szerinti jogait.

b. Azok az érintett személyek, akiknek a személyes adatait a felek a jelen Általános Szerződési Feltételek alapján továbbítják, értesíthetik az illetékes hatóságot ("Szaúd-Arábiai Adat- és M.I. Hatóság"), ha tudomást szereznek a jelen Általános Szerződési Feltételek bármely megsértéséről.

4. Záradék Értelmezés

a. Hacsak a kontextus másként nem követeli meg, jelen Záradékokban használt szavak és kifejezések a 9/2/1443 AH keltezésű (M/19) számú Királyi rendelettel kiadott és az (M/148) számú 5/9/1444 AH keltezésű Királyi rendelettel módosított személyes adatok védelméről szóló törvény 1. cikkében, a PDPL végrehajtási rendeletének (1) bekezdésében és a személyes adatoknak a Királyságon kívülre történő továbbításáról szóló rendelet 1. cikkében meghatározott jelentéssel bírnak.

b. Ezeket a Záradékokat a jelen cikk a) bekezdésében említett törvények és rendeletek rendelkezései fényében és azokkal összhangban kell értelmezni, és nem értelmezhetők a törvények és a rendeletek rendelkezéseivel ellentétes más módon.

5. Záradék Jogütközés 

A jelen Záradékok és a felek közötti bármely más megállapodás bármely rendelkezése közötti ellentmondás esetén jelen Záradékok az irányadóak.

6. Záradék Adattovábbítások részletei

A továbbítás(ok), valamint a Személyes Adatok kategóriáinak és a továbbítás céljainak leírásait a függelék tartalmazza.

7. Záradék Új Felek hozzáadása

a. Bármely személyes adatot fogadó vagy személyes adatot továbbító, aki nem részese a jelen Általános Szerződési Feltételeknek, csatlakozhat a jelen Általános Szerződési Záradékokhoz az 1. függelék kitöltésével és aláírásával, illetve a meglévő felek hozzájárulásával. A Csatlakozó Jogalany a személyes adatot fogadó vagy a személyes adatot továbbító lehet.

b. Az 1. függelék kitöltését és aláírását követően a csatlakozó jogalany a jelen Záradékok részes felévé válik, és az újonnan csatlakozott jogalany a csatlakozás időpontjától kezdődően vállalja a csatlakozás időpontjában vagy azt követően bekövetkezett személyes adat feldolgozási és továbbítási műveletek jellegétől függő felelősségeket, és jogosult a jelen Záradékokban meghatározott szerepének megfelelő jogok és kötelezettségek gyakorlására.

8. Záradék Irányadó jog és joghatóság

Jelen Általános Szerződési Feltételeket a Szaúd-Arábiai Királyság alkalmazandó jogszabályai szabályozzák. Jelen Záradékok rendelkezéseinek alkalmazásából eredő bármely vita a Királyság joghatósága és annak bíróságai alá tartozik. A személyes adatokat fogadó a jelen Általános Szerződési Záradékok alapján elfogadja, hogy aláveti magát a Szaúd-Arábiai Királyság joghatóságának.

9. Záradék Az illetékes hatóság kéréseinek való megfelelés

a. Mindegyik fél vállalja, hogy eleget tesz az Illetékes hatóság kéréseinek a jelen Általános Szerződési Záradékokkal vagy a továbbított személyes adatok feldolgozásával kapcsolatban.

b. A személyes adatot fogadó beleegyezik és vállalja, hogy együttműködik az Illetékes Hatósággal, és teljesíti annak összes kérését és megkeresését, és biztosítja a szükséges dokumentumokat és információkat az Általános Szerződési Záradékoknak való megfelelés biztosításához.

c. A személyes adatot fogadó vállalja, hogy betartja az Illetékes Hatóság által elfogadott intézkedéseket, beleértve a korrekciós intézkedéseket és a kártérítést.

10. Záradék Kártérítés

a. Amennyiben bármilyen vita merül fel az érintett személy és valamelyik fél között az Általános Szerződési Záradékoknak való megfelelést illetően, az adott fél minden szükséges eszközt igénybe vesz, hogy a vitát békés úton rendezze az érintett személlyel, és minden fél tájékoztatja egymást az ilyen vita fennállásáról annak biztosítása érdekében, hogy azt egymással együttműködve oldják meg.

b. Az érintett személy a jelen Általános Szerződési Záradékok rendelkezéseinek alkalmazásából eredő panaszát a törvény és a rendeletek által meghatározott panasztételi eljárásnak megfelelően nyújthatja be az illetékes hatósághoz.

c. Az érintett személy jogosult az illetékes bíróság előtt kártérítést követelni jelen Általános Szerződési Záradékok alkalmazásából eredő kár mértékével arányos anyagi vagy nem vagyoni kárért.

11. Záradék Személyes adatok biztonsága

a. Minden fél megteszi a szükséges szervezési, adminisztratív és technikai intézkedéseket, amelyek biztosítják a személyes adatok védelmét minden feldolgozási szakaszban, ideértve a személyes adatok biztonságát az átvitel során is.  A megfelelő biztonsági szint értékelésekor a Felek figyelembe veszik a technológia jelenlegi állását, a végrehajtás költségeit és az átadott személyes adatok jellegét, valamint a személyes adatok feldolgozásának jellegét, hatókörét, kontextusát, céljait és kockázatait, és különös figyelmet fordítanak a titkosítás vagy az anonimizálás alkalmazására, beleértve a személyes adatok továbbítását is, ha az adatfeldolgozás célja ily módon megvalósítható.

b. A személyes adatot továbbító segíti a személyes adatot fogadót a szükséges adatbiztonsági követelmények teljesítésében, és amennyiben a személyes adatot továbbító által a jelen Általános Szerződési Záradékok alapján feldolgozott, továbbított személyes adatokkal kapcsolatos személyes adatok megsértése történik, a személyes adatot továbbító az ilyen jogsértésről való tudomásszerzést követően haladéktalanul értesíti a személyes adatot átvevőt és segít a személyes adatot fogadónak a jogsértés következményeinek elhárításában.

c. Az adat továbbító biztosítja, hogy az átadott személyes adatok feldolgozására jogosult személyek a megfelelő jogi titoktartási, illetve közzéteteli tilalom kötelezettségek alapján titoktartásra és bizalmas kezelésre legyenek kötelezettek.

12. Záradék Időtartam és megszűnés

a. Amennyiben bármilyen okból a személyes adatok fogadója nem tudja teljesíteni a jelen Általános Szerződési Záradékok szerinti kötelezettségeit, köteles a tudomására jutásától számított (24) órán belül erről tájékoztatni a személyes adatok továbbítóját.

b. Abban az esetben, ha a személyes adatot fogadó megsérti a jelen Általános Szerződési Záradékokat, vagy nem képes betartani azokat, a személyes adatok továbbítója haladéktalanul beszünteti a személyes adatok továbbítását a személyes adatok fogadója részére, amíg a személyes adatokat fogadó biztosítja a megfeleléshez való visszatérést, feltéve, hogy a személyes adatot fogadó részére (30) napot biztosít, amely hasonló maximális időtartamra meghosszabbítható, hogy bizonyítsa a jelen Záradékok betartására való képességét, és amennyiben az időszak ennek elérése nélkül jár le, a két fél megállapodik abban, hogy megszüntetik a szerződést, anélkül, hogy a személyes adatot továbbítót vagy az adatkezelőt - az esettől függően - bármilyen felelősség terhelné.

c. A személyes adatot továbbító vagy az adatkezelő, az esettől függően, biztosítja, hogy a korábban a személyes adatot fogadó részére továbbított összes személyes adat teljes mértékben megsemmisüljön a fenti b) bekezdés szerinti Általános Szerződési Záradékok megszűnése előtt. Biztosítja továbbá, hogy a birtokában lévő ilyen személyes adatok másolatait megsemmisítsék.

d. A személyes adatot fogadó köteles dokumentálni az adatok megsemmisítését, és ezt a dokumentációt kérésre a személyes adatot továbbító vagy az adatkezelő rendelkezésére kell bocsátani.

e. A személyes adatot fogadó továbbra is biztosítja - az adatok megsemmisítéséig - a jelen Általános Szerződési Záradékok betartását.

13. Záradék Továbbított személyes adatok védelme

A személyes adatot továbbító és a személyes adatot fogadó a továbbított személyes adatokat a továbbítás jellegének és céljainak megfelelően dolgozza fel, amelyek az alábbiak:

Adatkezelők közötti Záradékok

1. Feldolgozási korlátozások

A személyes adatot fogadó köteles a 2. függelékben meghatározott céloknak megfelelően feldolgozni a továbbított személyes adatokat.

2. Az illetékes hatóság kéréseinek való megfelelés 

2.1 A felek kérésre és indokolatlan késedelem nélkül kötelesek a jelen Záradékok másolatait az illetékes hatóság rendelkezésére bocsátani annak érdekében, hogy az illetékes hatóság a törvények és a rendeletek szerinti hatáskörét gyakorolhassa. Az illetékes hatóság további információkat kérhet a személyes adatok továbbításával kapcsolatban.

2.2 Mindegyik fél vállalja, hogy eleget tesz az Illetékes hatóság kéréseinek a jelen Záradékokkal vagy a továbbított adatok feldolgozásával kapcsolatban. 

2.3 Kérésre a személyes adatot fogadó (közvetlenül vagy a személyes adatot továbbítón keresztül) köteles a személyazonosságát és a kapcsolattartási adatait, valamint a feldolgozott személyes adat kategóriákat az érintett személy rendelkezésére bocsátani, és ezen elemek másolatait biztosítani

3. A cél eléréséhez szükséges minimális személyes adatok mennyisége 

Minden fél biztosítja, hogy a továbbított személyesadatok elégségesek és a 2. függelékben meghatározott célok teljesítéséhez szükséges minimális mennyiségre korlátozódjanak. Amennyiben bármelyik fél tudomást szerez szükségtelen személyes adat továbbításáról, köteles a tudomására jutását követően haladéktalanul tájékoztatni a másik felet/feleket.

4. Személyes adatok megőrzése 

A személyes adatot fogadó köteles a 2. függelékben meghatározott célok teljesítéséhez szükséges mértékben megőrizni a továbbított személyes adatokat, feltéve, hogy a személyes adatot fogadó köteles indokolatlan késedelem nélkül törölni vagy anonimizálni a továbbított személyes adatokat, kivéve a következő eseteket: 

4.1 Amennyiben a Királyság törvényei, valamint a személyes adatok védelméről szóló törvény és annak rendelete szerinti jogi indoklásnak megfelel; ebben az esetben az adatokat a határidő lejárta után vagy a gyűjtés céljának teljesítését követően meg kell semmisíteni, attól függően, hogy melyik a hosszabb. 

4.2 Amennyiben a továbbított személyes adatok további időtartamra történő megőrzése közvetlenül kapcsolódik egy igazságügyi hatóság előtt folyamatban lévő üggyel, és e célból szükséges a megőrzés, az adatokat az üggyel kapcsolatos bírósági eljárások befejezését követően meg kell semmisíteni. 

4.3 Amennyiben a továbbított személyes adatok további időtartamra történő megőrzése szükséges az érintett életének vagy létfontosságú érdekeinek védelméhez.

5. Személyes adatok biztonsága és a személyes adatok megsértéséről szóló értesítések

A felek biztosítják, hogy a 3. függelékben meghatározott szervezési, adminisztratív és technikai intézkedések a törvény 19. cikkének és a végrehajtási rendelet 23. cikkében foglalt követelményeknek való megfelelés érdekében megfelelő szintű védelmet biztosítsanak a továbbított személyes adatok számára. 

5.1 A személyes adatot fogadó köteles a 3. függelékben meghatározott biztonsági intézkedéseket végrehajtani, és ezeket az intézkedéseket alkalmazni minden továbbított személyes adatra a személyes adatok biztonságának és védelmének biztosítása érdekében, amely a személyes érintett számára kárt okozhat, illetve jogellenes cselekményeket, elvesztést, módosítást, a személyes adatok nyilvánosságra hozatalát vagy a jogosulatlan hozzáférést eredményezhet.

5.2 A személyes adatot fogadó köteles rendszeres időközönként felül vizsgálni a 3. függelékben meghatározott biztonsági intézkedéseket a szükséges végrehajtás biztosítása érdekében, és szükség szerint frissíteni kell azokat a törvény 19. cikkének és a végrehajtási rendelet 23. cikkének való megfelelés biztosítása érdekében. 

5.3 Amennyiben a személyes adatot fogadó tudomást szerez olyan adatok megsértéséről szóló eseményről, amely kárt okozhat a továbbított személyes adatokban vagy az érintetteknek, vagy ellentétes a jogaikkal vagy érdekeikkel, a személyes adatot fogadó köteles a tudomására jutásától számított 72 órán belül a törvény végrehajtási rendeletének 24. cikkében meghatározott követelményeknek megfelelően értesíteni az illetékes hatóságot. 

6. Érzékeny adatok 

A törvényben és a törvény végrehajtási rendeletében meghatározott érzékeny adatokra vonatkozó korlátozások sérelme nélkül a személyes adatot továbbító biztosítja, hogy a személyes adatot fogadó további az érzékeny adatok jellegének megfelelő biztosítékokat hozzon, és biztosítsa a feldolgozás során a kockázatok elleni védelmet, miközben biztosítja a 2. függelékben leírt korlátozások és további biztosítékok alkalmazását. 

7. Későbbi továbbítás

7.1 A személyes adatot fogadó nem továbbíthatja vagy hozhatja nyilvánosságra a továbbított személyes adatokat a Királyságon kívüli harmadik fél számára, kivéve, ha az a fél csatlakozott a jelen Záradékokhoz a megfelelő sablonnak és a fenti 7. Záradék rendelkezéseinek megfelelően. 

7.2 A törvény 8. és 15. cikkének, valamint a törvény végrehajtási rendeletének 17. cikkének sérelme nélkül a törvény és a rendeletek rendelkezéseit kell alkalmazni a korábban a Királyságon kívüli szervezet részére továbbított vagy nyilvánosságra hozott személyes adatok későbbi továbbítására.

8. Adatfeldolgozók kijelölése 

A személyes adatot fogadó köteles olyan adatfeldolgozót választani, aki elegendő garanciát nyújt a továbbított személyes adatok védelméhez, és az adatfeldolgozóval kötött megállapodásnak tartalmaznia kell a végrehajtási rendelet 17. cikkében meghatározott összes követelményt, és a feldolgozás kizárólag az adatfogadó utasításain alapulhat, feltéve, hogy ezek az utasítások összhangban vannak a jelen Záradékokban meghatározott követelményekkel.

9. Jelen Záradékok betartása 

9.1 Minden fél köteles kérésre bizonyítani a jelen Záradékok teljes betartását az Illetékes Hatóság számára, és a személyes adatot fogadó köteles a felügyelete alatt végzett személyes adat feldolgozási tevékenységekhez kapcsolódó dokumentumokat a rendelet 33. cikkében meghatározott személyes adat feldolgozási tevékenységek nyilvántartásán kívül megőrizni. 

9.2 A személyes adatot fogadó köteles ezeket a dokumentumokat kérésre az illetékes hatóság rendelkezésére bocsátani. 

10. Elszámoltathatóság 

10.1 Mindegyik fél felelős a másik fél felé a jelen Általános Szerződési Záradékok bármelyik pontjának megsértése eredményeként a másik félnek okozott károkért. 

10.2 Mindegyik fél felelősséggel tartozik az érintett személy felé, a személyes adatot fogadó törvények és rendeletek szerinti felelősségének sérelme nélkül, és az érintett személy kártérítésre jogosult az érintett személyt károsító gondatlan fél által okozott anyagi és nem vagyoni kárért. Amennyiben egynél több fél felelős a jelen Általános Szerződési Záradékok megsértése eredményeként az érintett személyt ért kárért, a felelős felek együttesen vagy egyénileg felelősek, és az érintett személynek joga van bíróság előtt jogi lépéseket indítani e felek bármelyike ellen. 

10.3 A felek megállapodnak abban, hogy amennyiben bármelyik fél vállalja a felelősséget b), jogosult a másik féltől/felektől a kártérítés azon részének követelésére, amely megfelel a kárért való felelősségének/felelősségüknek.

10.4 A személyes adatot fogadó nem támaszkodhat az adatfeldolgozó vagy az al-adatfeldolgozó magatartására a felelősség elkerülése érdekében. 

11. Az érintett személyek jogai 

11.1 A személyes adatot fogadó (a személyes adatot továbbító támogatásával) köteles szükség szerint foglalkozni az érintettől kapott kérdésekkel vagy kérésekkel, amelyek a személyes adatok feldolgozásával és a törvényeknek és az alkalmazandó rendeleteknek megfelelően biztosított jogok gyakorlásával kapcsolatosak, késedelem nélkül, legkésőbb harminc (30) napon belül az ilyen kérelem kézhezvételétől számolva. Ez az időszak hasonló időtartamra, legfeljebb harminc (30) napra meghosszabbítható, amennyiben a kérelem végrehajtása rendkívüli erőfeszítést igényel, vagy ha a személyes adatot fogadó sok kérést kap az érintett személytől. Az érintett személyt előzetesen értesítik erről a meghosszabbításról és annak okairól. 

11.2 Az érintett személynek tett összes nyilatkozatot világos, olvasható és hozzáférhető formában kell megadni.

Függelék

Az 1., 2. és 3. függelékben szereplő információkért lásd a Szaúd-Arábiai Adatvédelmi Feltételeket.