1 sąlyga. Tikslas ir taikymo sritis

a. Šių Sąlygų tikslas – užtikrinti, kad nesant tinkamo lygio Asmens duomenų apsaugos už Karalystės ribų būtų taikoma tinkamo lygio Asmens duomenų apsauga, atitinkanti apsaugos lygį, taikomą pagal Duomenų apsaugos įstatymą ir jo Įgyvendinimo taisykles, nurodant šalių, dalyvaujančių perduodant Asmens duomenis šaliai ar tarptautinei organizacijai, kuriose neužtikrinama tinkamo lygio Duomenų apsauga, įsipareigojimus. 1 priede pateikiami ir Duomenų eksportuotojų, ir Duomenų importuotojų duomenys.

b. Šios Sąlygos taikomos perduodant Asmens duomenis, nurodytus 2 priede („Perduodami arba atskleidžiami asmens duomenys“).

2 sąlyga. Keitimas ir poveikis 

a. Šiose Sąlygose nustatytos tinkamos apsaugos priemonės, įskaitant Asmens duomenų subjektų teisę pateikti skundą, ir jos negali būti keičiamos, išskyrus siekiant pasirinkti tinkamą šabloną arba papildyti arba atnaujinti priede pateiktą informaciją.

b. Šalys gali įtraukti šias Sąlygas į visapusišką susitarimą arba numatyti kitų sąlygų ar papildomų garantijų, jei jos tiesiogiai ar netiesiogiai neprieštarauja šioms Sąlygoms ir nepažeidžia Asmens duomenų subjektų pagrindinių teisių.

c. Pagal šias Sąlygas jokia šalis neatleidžiama nuo Įstatyme ir Taisyklėse numatytų įsipareigojimų, taip pat šios Sąlygos nepažeidžia Karalystėje galiojančių įstatymų ir reglamentų nuostatų ar sutarčių, kurių šalis yra Karalystė.

3 sąlyga. Asmens duomenų subjektų teisės

a. Šios Standartinės sutarčių sąlygos nepažeidžia Įstatyme ir Taisyklėse numatytų Asmens duomenų subjektų teisių.

b. Asmens duomenų subjektai, kurių Asmens duomenys perduodami iš šalių pagal šias Standartines sutarčių sąlygas, sužinoję apie bet kokį šių Standartinių sutarčių sąlygų pažeidimą, apie jį gali pranešti kompetentingai institucijai („Saudo Arabijos duomenų ir DI institucija“).

4 sąlyga. Aiškinimas

a. Jei pagal kontekstą nereikalaujama kitaip, šiose Sąlygose vartojami žodžiai ir frazės suprantami taip, kaip nurodyta Asmens duomenų apsaugos įstatymo, priimto 1443 m. vasario 2 d. (Hidžros metai) Karališkuoju dekretu Nr. (M/19) ir pakeisto 1444 m. rugsėjo 9 d. (Hidžros metai) Karališkuoju dekretu Nr. (M/148), 1 straipsnyje, ADAĮ įgyvendinimo taisyklių 1 straipsnyje ir Taisyklių dėl asmens duomenų perdavimo už Karalystės ribų 1 straipsnyje.

b. Šios Sąlygos turi būti suprantamos ir aiškinamos atsižvelgiant į šio straipsnio a punkte nurodytas Įstatymo ir Taisyklių nuostatas ir vadovaujantis jomis ir negali būti aiškinamos jokiu kitu būdu, nesuderinamu su Įstatymo ir reglamentų nuostatomis.

5 sąlyga. Prieštaravimas 

Esant prieštaravimui tarp šių Sąlygų ir bet kokios kito šalių susitarimo nuostatos, pirmenybė teikiama šioms Sąlygoms.

6 sąlyga. Išsami informacija apie duomenų perdavimą

Duomenų perdavimas, taip pat Asmens duomenų kategorijos ir duomenų perdavimo tikslai aprašyti Priede.

7 sąlyga. Naujų Šalių įtraukimas

a. Bet kuris Asmens duomenų importuotojas arba Asmens duomenų eksportuotojas, nesantis šių Standartinių sąlygų šalimi, gavęs esamų šalių sutikimą gali prisijungti prie šių Standartinių sutarčių sąlygų, užpildydamas ir pasirašydamas 1 priedą. Prisijungiantis subjektas yra arba Asmens duomenų importuotojas, arba Asmens duomenų eksportuotojas.

b. Užpildęs ir pasirašęs 1 priedą, Prisijungiantis subjektas tampa šių Sąlygų šalimi, o naujai prisijungęs subjektas nuo prisijungimo dienos prisiima įsipareigojimus atsižvelgiant į Asmens duomenų tvarkymo ir perdavimo operacijų, vykdytų prisijungimo dieną ar vėliau, pobūdį, ir gali naudotis teisėmis ir vykdyti pareigas, atitinkančias šiose Sąlygose apibrėžtą jo vaidmenį.

8 sąlyga. Taikoma teisė ir jurisdikcija

Šioms Standartinėms sutarčių sąlygoms taikomi Saudo Arabijos Karalystės įstatymai. Bet koks ginčas, kylantis taikant šių Sąlygų nuostatas, priklauso Karalystės jurisdikcijai ir nagrinėjamas jos teismuose. Pagal šias Standartines sutarčių sąlygas Asmens duomenų importuotojas sutinka paklusti Saudo Arabijos Karalystės jurisdikcijai.

9 sąlyga. Kompetentingos institucijos prašymų vykdymas

a. Kiekviena šalis sutinka vykdyti bet kokius Kompetentingos institucijos prašymus, susijusius su šiomis Standartinėmis sutarčių sąlygomis arba perduotų Asmens duomenų tvarkymu.

b. Asmens duomenų importuotojas sutinka ir įsipareigoja bendradarbiauti su Kompetentinga institucija ir vykdyti visus jos prašymus bei užklausas ir teikti būtinus dokumentus bei informaciją siekiant užtikrinti Standartinių sutarčių sąlygų laikymąsi.

c. Asmens duomenų importuotojas sutinka laikytis Kompetentingos institucijos patvirtintų priemonių, įskaitant taisomąsias priemones ir kompensaciją.

10 sąlyga. Kompensacija

a. Tarp Asmens duomenų subjekto ir šalies kilus bet kokiam ginčui dėl Standartinių sutarčių sąlygų laikymosi, ta šalis imasi visų būtinų priemonių, kad ginčas su Asmens duomenų subjektu būtų išspręstas taikiai, o apie tokį ginčą visos šalys informuoja viena kitą, siekdamos užtikrinti, kad jis būtų išspręstas bendradarbiaujant.

b. Asmens duomenų subjektas, vadovaudamasis Įstatyme ir Taisyklėse nustatyta skundų pateikimo tvarka, gali pateikti Kompetentingai institucijai bet kokį skundą, susijusį su šių Standartinių sutarčių sąlygų nuostatų taikymu.

c. Asmens duomenų subjektas turi teisę kompetentingame teisme reikalauti kompensacijos už turtinę ar neturtinę žalą, proporcingos žalos, atsiradusios taikant šias Standartines sutarčių sąlygas, dydžiui.

11 sąlyga. Asmens duomenų saugumas

a. Visos šalys imasi būtinų organizacinių, administracinių ir techninių priemonių, skirtų užtikrinti, kad visuose duomenų tvarkymo etapuose būtų išsaugotas Asmens duomenų privatumas apsaugant nuo bet kokių pažeidimų, įskaitant asmens duomenų saugumą perduodant duomenis.  Vertindamos tinkamo lygio saugumą, Šalys atsižvelgia į naujausias technologijas, įgyvendinimo išlaidas ir perduodamų Asmens duomenų pobūdį, taip pat į Asmens duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus ir pavojus, ir visų pirma svarsto galimybę taikyti šifravimo arba asmeninės informacijos pašalinimo priemones, taip pat ir perduodant Asmens duomenis, kai taip galima pasiekti duomenų tvarkymo tikslą.

b. Asmens duomenų eksportuotojas padeda Asmens duomenų importuotojui vykdyti būtinus duomenų saugumo reikalavimus, o įvykus bet kokiam Asmens duomenų pažeidimui, susijusiam su perduotais Asmens duomenimis, kuriuos Asmens duomenų eksportuotojas tvarko pagal šias Standartines sutarčių sąlygas, Asmens duomenų eksportuotojas, sužinojęs apie tokį pažeidimą, nedelsdamas apie jį praneša Asmens duomenų importuotojui ir padeda jam šį pažeidimą pašalinti.

c. Duomenų eksportuotojas užtikrina, kad asmenys, kuriems leidžiama tvarkyti perduotus Asmens duomenis, būtų įpareigoti užtikrinti informacijos konfidencialumą ir jos neatskleisti taikant tinkamą teisinį konfidencialumo ir neatskleidimo įsipareigojimą.

12 sąlyga. Trukmė ir nutraukimas

a. Jei dėl kokių nors priežasčių Asmens duomenų importuotojas negali vykdyti savo įsipareigojimų pagal šias Standartines sutarčių sąlygas, jis per 24 valandas nuo šių aplinkybių sužinojimo turi apie tai pranešti Asmens duomenų eksportuotojui.

b. Jei Asmens duomenų importuotojas pažeidžia šias Standartines sutarčių sąlygas arba negali jų laikytis, jis nedelsdamas nutraukia Asmens duomenų perdavimą Asmens duomenų importuotojui, kol Asmens duomenų importuotojas vėl užtikrins reikalavimų laikymąsi, su sąlyga, kad Asmens duomenų importuotojui suteikiamas 30 dienų laikotarpis, kuris gali būti daugiausiai tiek pat pratęstas, kad šis įrodytų, jog gali laikytis šių Sąlygų, o, jei laikotarpis baigiasi ir to nepavyksta padaryti, abi šalys susitaria nutraukti sutartį be jokios Asmens duomenų eksportuotojo ar Duomenų valdytojo atsakomybės.

c. Asmens duomenų eksportuotojas arba Duomenų valdytojas užtikrina, kad prieš nutraukiant Standartinių sutarčių sąlygas pagal pirmesnį b punktą visi Asmens duomenų importuotojui anksčiau perduoti Asmens duomenys būtų visiškai sunaikinti. Jie taip pat užtikrina, kad visos jų turimos tokių asmens duomenų kopijos būtų sunaikintos.

d. Asmens duomenų importuotojas turi dokumentuose fiksuoti duomenų sunaikinimą, o šie dokumentai paprašius turi būti pateikti Asmens duomenų eksportuotojui arba Duomenų valdytojui.

e. Iki duomenų sunaikinimo Asmens duomenų importuotojas turi toliau užtikrinti, kad jis laikysis šių Standartinių sutarčių sąlygų.

13 sąlyga. Perduodamų Asmens duomenų apsauga

Asmens duomenų eksportuotojas ir Asmens duomenų importuotojas perduodamus Asmens duomenis tvarko atsižvelgdami į duomenų perdavimo pobūdį ir tikslus:

Sąlygos vienam Duomenų valdytojui perduodant duomenis kitam Duomenų valdytojui

1. Duomenų tvarkymo apribojimai

Asmens duomenų importuotojas perduodamus Asmens duomenis privalo tvarkyti atsižvelgdamas į 2 priede nurodytus tikslus.

2. Kompetentingos institucijos prašymų vykdymas 

2.1 Kompetentingai institucijai paprašius šalys nepagrįstai nedelsdamos jai pateikia šių Sąlygų kopiją, kad Kompetentinga institucija galėtų vykdyti savo įgaliojimus pagal Įstatymą ir Taisykles. Kompetentinga institucija gali prašyti pateikti papildomos informacijos apie Asmens duomenų perdavimą.

2.2 Kiekviena šalis sutinka vykdyti bet kokius Kompetentingos institucijos prašymus, susijusius su šiomis Sąlygomis arba perduotų duomenų tvarkymu. 

2.3 Gavęs prašymą, Asmens duomenų importuotojas Asmens duomenų subjektui (tiesiogiai arba per Asmens duomenų eksportuotoją) atskleidžia savo tapatybę, kontaktinę informaciją ir tvarkomų Asmens duomenų kategorijas ir pateikia šių duomenų kopiją

3. Mažiausias Asmens duomenų kiekis, reikalingas Tikslui pasiekti 

Visos šalys užtikrina, kad perduodami Asmens duomenys būtų pakankami ir apriboti iki mažiausio kiekio, kurio reikia 2 priede nurodytiems tikslams pasiekti. Bet kuri šalis, sužinojusi apie bet kokį nereikalingų Asmens duomenų perdavimą, apie tai iš karto praneša kitai (-oms) šaliai (-ims).

4. Asmens duomenų saugojimas 

Asmens duomenų importuotojas saugo perduotus Asmens duomenis, jei tai būtina 2 priede nurodytiems tikslams pasiekti, su sąlyga, kad Asmens duomenų importuotojas nepagrįstai nedelsdamas ištrins perduotus Asmens duomenis arba pavers juos anonimiškais, išskyrus šiuos atvejus: 

4.1 Jei saugojimas turi teisinį pagrindą pagal Karalystės įstatymus ir Asmens duomenų apsaugos įstatymą bei jo Taisykles; šiuo atveju duomenys sunaikinami pasibaigus laikotarpiui arba pasiekus duomenų rinkimo tikslą, atsižvelgiant į tai, kuris laikotarpis yra ilgesnis.

4.2 Jei perduotų asmens duomenų saugojimas papildomą laikotarpį yra tiesiogiai susijęs su teisminėje institucijoje nagrinėjama byla ir toks saugojimas yra būtinas šiuo tikslu, duomenys sunaikinami pasibaigus su byla susijusiam teismo procesui. 

4.3 Jei saugoti perduotus asmens duomenis papildomą laikotarpį būtina siekiant apsaugoti duomenų subjekto gyvybę arba gyvybiškai svarbius jo interesus.

5. Asmens duomenų saugumas ir pranešimai apie asmens duomenų pažeidimus

Šalys užtikrina, kad 3 priede nurodytomis organizacinėmis, administracinėmis ir techninėmis priemonėmis būtų užtikrinta pakankamo lygio perduotų Asmens duomenų apsauga, atitinkanti Įstatymo 19 straipsnio ir Įgyvendinimo taisyklių 23 straipsnio reikalavimus. 

5.1 Asmens duomenų importuotojas įgyvendina 3 priede nurodytas saugumo priemones ir taiko šias priemones visiems perduotiems Asmens duomenims, kad užtikrintų jų saugumą ir apsaugą nuo bet kokių pažeidimų, dėl kurių Asmens duomenų subjektui gali būti padaryta žala, gali būti atlikti neteisėti veiksmai, asmens duomenys gali būti prarasti, pakeisti, atskleisti arba gauta neteisėta prieiga prie jų.

5.2 Asmens duomenų importuotojas turi periodiškai peržiūrėti 3 priede nurodytas saugumo priemones siekdamas užtikrinti, kad jos būtų įgyvendinamos taip, kaip reikalaujama, ir prireikus jas atnaujinti, kad būtų užtikrinta, jog laikomasi Įstatymo 19 straipsnio ir Įgyvendinimo taisyklių 23 straipsnio. 

5.3 Jei Asmens duomenų importuotojas sužino apie duomenų pažeidimo incidentą, kuris gali pakenkti perduotiems asmens duomenims ar duomenų subjektams arba prieštarauti jų teisėms ar interesams, jis per 72 valandas nuo tada, kai sužinojo apie incidentą, turi apie jį pranešti kompetentingai institucijai, atsižvelgdamas į Įstatymo įgyvendinimo taisyklių 24 straipsnyje nurodytus reikalavimus. 

6. Neskelbtini duomenys 

Nepažeisdamas jokių Įstatyme ir Įstatymo įgyvendinimo taisyklėse numatytų apribojimų, susijusių su neskelbtinais duomenimis, Asmens duomenų eksportuotojas užtikrina, kad Asmens duomenų importuotojas imsis papildomų apsaugos priemonių, atitinkančių neskelbtinų duomenų pobūdį, ir užtikrins, kad tvarkant duomenis jie bus apsaugoti nuo bet kokių pavojų, kartu užtikrindamas, kad bus taikomi 2 priede aprašyti apribojimai ir papildomos apsaugos priemonės. 

7. Tolesnis duomenų perdavimas

7.1 Asmens duomenų importuotojas neperduoda ir neatskleidžia perduotų Asmens duomenų trečiajai šaliai už Karalystės ribų, nebent ta šalis prisijungė prie šių Sąlygų pagal atitinkamą šabloną ir atsižvelgdama į 7 sąlygos nuostatas. 

7.2 Nepažeidžiant Įstatymo 8 ir 15 straipsnių ir Įstatymo įgyvendinimo taisyklių 17 straipsnio, tolesniam Asmens duomenų, kurie prieš tai buvo perduoti arba atskleisti subjektui už Karalystės ribų, perdavimui taikomos Įstatymo ir reglamentų nuostatos.

8. Duomenų tvarkytojų paskyrimas 

Asmens duomenų importuotojas privalo pasirinkti duomenų tvarkytoją, kuris suteikia pakankamai garantijų dėl perduodamų Asmens duomenų apsaugos; į susitarimą su Duomenų tvarkytoju turi būti įtraukti visi Įgyvendinimo taisyklių 17 straipsnyje nurodyti reikalavimai, o duomenys turi būti tvarkomi tik vadovaujantis Duomenų importuotojo nurodymais, jei šie nurodymai atitinka šiose Sąlygose nustatytus reikalavimus.

9. Šių Sąlygų laikymasis 

9.1 Kompetentingai institucijai paprašius visos šalys turi įrodyti, kad jos visiškai laikosi šių Sąlygų, o Asmens duomenų importuotojas turi saugoti dokumentus, susijusius su jo prižiūrima Asmens duomenų tvarkymo veikla, taip pat Asmens duomenų tvarkymo veiklos įrašus, nurodytus Taisyklių 33 straipsnyje. 

9.2 Gavęs prašymą, Asmens duomenų importuotojas pateikia šiuos dokumentus Kompetentingai institucijai. 

10. Atsakomybė 

10.1 Kiekviena šalis yra atsakinga kitai šaliai už bet kokią jai padarytą žalą dėl bet kurios iš šių Standartinių sutarčių sąlygų pažeidimo.

10.2 Nepažeidžiant Asmens duomenų eksportuotojo atsakomybės pagal Įstatymą ir Taisykles, kiekviena šalis yra atsakinga Asmens duomenų subjektui, o Asmens duomenų subjektas turi teisę gauti kompensaciją už bet kokią turtinę ir neturtinę aplaidžios šalies jam padarytą žalą. Jei už žalą, Asmens duomenų subjektui padarytą dėl šių Standartinių sutarčių sąlygų pažeidimo, atsako daugiau nei viena šalis, atsakingos šalys laikomos atsakingomis kartu arba atskirai o Asmens duomenų subjektas turi teisę bet kuriai iš šių šalių pareikšti ieškinį teisme. 

10.3 Šalys susitaria, kad, jei kuri nors šalis prisiima atsakomybę pagal b punktą, ji turi teisę reikalauti iš kitos (-ų) šalies (-ių) kompensacijos dalies, atitinkančios jos (-ų) atsakomybę už žalą.

10.4 Asmens duomenų importuotojas negali remtis Duomenų tvarkytojo ar Pagalbinio duomenų tvarkytojo elgesiu siekdamas išvengti atsakomybės. 

11. Asmens duomenų subjektų teisė 

11.1 Asmens duomenų importuotojas (padedamas Asmens duomenų eksportuotojo), nedelsdamas ir ne vėliau kaip per trisdešimt (30) dienų nuo gavimo dienos, atsako į bet kokias Duomenų subjekto užklausas ar prašymus, susijusius su Asmens duomenų tvarkymu ir naudojimusi teisėmis, numatytomis pagal Įstatymą ir taikomas taisykles. Šis laikotarpis gali būti pratęstas daugiausiai iki 30 dienų, jei prašymui vykdyti reikia ypatingų pastangų arba jei Asmens duomenų importuotojas gauna daug Asmens duomenų subjekto prašymų. Duomenų subjektui iš anksto pranešama apie šį pratęsimą ir jo priežastis. 

11.2 Visi pareiškimai Asmens duomenų subjektui turi būti pateikiami aiškiu, įskaitomu ir prieinamu formatu.

Priedas

Dėl informacijos 1, 2 ir 3 prieduose žr. Saudo Arabijos privatumo taisykles.