1. punkts Mērķis un Darbības joma

a. Šo Klauzulu mērķis ir nodrošināt, ka atbilstošs Personas datu aizsardzības līmenis, kas līdzvērtīgs Personas datu aizsardzības likumā un tā Īstenošanas noteikumos paredzētajam aizsardzības līmenim, tiek piemērots gadījumā, ja nepastāv atbilstošs Personas datu aizsardzības līmenis ārpus Karalistes, nosakot Personas datu nodošanā valstij vai starptautiskai organizācijai, kurai nav pienācīga Personas datu aizsardzības līmeņa, iesaistīto pušu pienākumus. 1. pielikumā ir parādīti dati gan Datu eksportētājiem, gan Datu importētājiem.

b. Šīs klauzulas attiecas uz Personas datu nodošanu, kā norādīts 2. pielikumā (“Nododamie vai Izpaužamie personas dati”).

2. punkts Izmaiņas un Ietekme 

a. Šīs Klauzulas nosaka atbilstošus drošības pasākumus, tostarp Personas datu subjektu tiesības iesniegt sūdzību, un tās nevar grozīt, izņemot atbilstošas veidnes atlasīšanu vai pielikumā norādītās informācijas pievienošanu vai atjaunināšanu.

b. Puses var iekļaut šīs Klauzulas visaptverošā līgumā vai pievienot citas klauzulas vai papildu garantijas, ja tās nav tieši vai netieši pretrunā ar šīm Klauzulām vai neskar Personas datu subjektu pamattiesības.

c. Šīs Klauzulas neatbrīvo nevienu pusi no Tiesību aktos noteiktajām tās saistībām, kā arī neskar Karalistē spēkā esošo Tiesību aktu vai līgumu, kuru puse ir Karaliste, noteikumus.

3. punkts Personas datu subjektu tiesības

a. Šīs Līguma standartklauzulas neskar Tiesību aktos noteiktās Personas datu subjektu tiesības.

b. Personas datu subjekti, kuru Personas datus puses nodod, pamatojoties uz šīm Līguma standartklauzulām, var paziņot Kompetentajai iestādei (“Saūda Arābijas Datu un mākslīgā intelekta iestāde”), ja viņiem kļūst zināms par jebkādu šo Līguma standartklauzulu pārkāpumu.

4. punkts Interpretācija

a. Ja vien konteksts nenosaka citādi, šajās Klauzulās izmantotajiem vārdiem un frāzēm ir tāda nozīme, kāda tām noteikta ar Karalisko dekrētu Nr. (M/19), datētu ar 9/2/1443 AH, un grozītu ar Karalisko dekrētu Nr. (M/148), datētu ar 5/9/1444 AH, izdotā Personas datu aizsardzības likuma 1. pantā, PDPL Īstenošanas noteikumu 1. pantā un Noteikumu par personas datu nodošanu ārpus Karalistes 1. pantā.

b. Šīs Klauzulas jālasa un jātulko, ņemot vērā šī panta a) punktā minēto Tiesību aktu noteikumus un saskaņā ar tiem, un tās nedrīkst iztulkot nekādā citādā veidā, kas nav saderīgs ar Tiesību aktu noteikumiem.

5. punkts Pretrunas 

Pretrunu starp šīm Klauzulām un jebkura cita pušu līguma jebkādu noteikumu gadījumā noteicošās ir šīs Klauzulas.

6. punkts Sīka informācija par nodošanu

Nodošana(-as), kā arī Personas datu kategorijas un nodošanas mērķi ir aprakstīti Pielikumā.

7. punkts Jaunu pušu pievienošana

a. Katrs Personas datu importētājs vai Personas datu eksportētājs, kurš nav šo Standartklauzulu puse, var pievienoties šīm Līguma standartklauzulām, aizpildot un parakstot 1. Pielikumu, ar esošo pušu piekrišanu. Organizācijai, kura pievienojas, jābūt vai nu Personas datu importētājam, vai Personas datu eksportētājam.

b. Tiklīdz 1. Pielikums ir aizpildīts un parakstīts, Organizācija, kura pievienojas, ir šo klauzulu puse, un jaunpievienotā Organizācija no pievienošanās datuma uzņemas pienākumus atkarībā no to Personas datu apstrādes un nodošanas darbību veida, kas notiek pievienošanās datumā vai pēc tā, un tai ir tiesības īstenot tādas tiesības un pienākumus, kas atbilst šajās Klauzulās noteiktajai tās lomai.

8. punkts Reglamentējošie tiesību akti un Jurisdikcija

Šīs Līguma standartklauzulas reglamentē spēkā esošie Saūda Arābijas Karalistes tiesību akti. Jebkurš strīds, kas izriet no šo Klauzulu noteikumu piemērošanas, ir Karalistes jurisdikcijā un ir piekritīgs tās tiesām. Personas datu importētājs saskaņā ar šīm Līguma standartklauzulām piekrīt pakļauties Saūda Arābijas Karalistes jurisdikcijai.

9. punkts Kompetentās iestādes pieprasījumu ievērošana

a. Katra puse piekrīt izpildīt visus Kompetentās iestādes pieprasījumus attiecībā uz šīm Līguma standartklauzulām vai nodoto Personas datu apstrādi.

b. Personas datu importētājs piekrīt un apņemas sadarboties ar Kompetento iestādi un izpildīt visus tās lūgumus un pieprasījumus, kā arī iesniegt nepieciešamos dokumentus un informāciju, lai nodrošinātu atbilstību Līguma standartklauzulām.

c. Personas datu importētājs piekrīt ievērot Kompetentās iestādes noteiktos pasākumus, tostarp izlabošanas pasākumus un kompensēšanas pienākumus.

10. punkts Kompensācija

a. Ja starp Personas datu subjektu un pusi rodas jebkāds strīds attiecībā uz Līguma standartklauzulu ievērošanu, šai pusei jāizmanto visus nepieciešamos līdzekļus, lai izbeigtu strīdu ar Personas datu subjektu ar mierizlīgumu, un visām pusēm jāinformē viena otru par šāda strīda pastāvēšanu, lai nodrošinātu tā atrisināšanu savstarpēji sadarbojoties.

b. Personas datu subjekts var iesniegt Kompetentajai iestādei jebkādu sūdzību, kas izriet no šo Līguma standartklauzulu noteikumu piemērošanas, saskaņā ar Tiesību aktos noteikto sūdzību iesniegšanas kārtību.

c. Personas datu subjektam ir tiesības kompetentā tiesā pieprasīt materiāla vai morāla kaitējuma atlīdzināšanu proporcionāli to zaudējumu apjomam, kas izriet no šo Līguma standartklauzulu piemērošanas.

11. punkts Personas datu drošība

a. Visām pusēm jāveic nepieciešamie organizatoriskie, administratīvie un tehniskie pasākumi, lai nodrošinātu Personas datu privātuma saglabāšanu, attiecībā pret jebkādiem pārkāpumiem visos apstrādes posmos, ieskaitot personas datu drošību nodošanas procesa laikā.  Novērtējot drošības līmeņa atbilstību, Pusēm jāņem vērā aktuālais tehnoloģiju stāvoklis, ieviešanas izmaksas un nodoto Personas datu raksturs, kā arī Personas datu apstrādes veids, apjoms, konteksts, mērķi un riski, kā arī īpaši jāapsver šifrēšanas vai anonimizēšanas piemērošanu, tostarp Personas datu nodošanas laikā, ja šādā veidā var sasniegt datu apstrādes mērķi.

b. Personas datu eksportētājam jāpalīdz Personas datu importētājam izpildīt nepieciešamās datu drošības prasības, un jebkāda Personas datu pārkāpuma gadījumā attiecībā uz nodotajiem Personas datiem, ko Personas datu eksportētājs apstrādā saskaņā ar šīm līguma standartklauzulām, Personas datu eksportētājam nekavējoties jāziņo Personas datu importētājam, tiklīdz tam kļūst zināms par šādu pārkāpumu, un jāpalīdz Personas datu importētājam šādu pārkāpumu novērst.

c. Datu eksportētājs nodrošina, ka personām, kuras ir pilnvarotas apstrādāt nodotos Personas datus, ir saistošs konfidencialitātes un neizpaušanas pienākums saskaņā ar atbilstošu juridisku konfidencialitātes ievērošanas un neizpaušanas pienākumu.

12. punkts Termiņš un Izbeigšana

a. Ja Personas datu importētājs jebkāda iemesla dēļ nespēj pildīt savus šajās Līguma standartklauzulās paredzētos pienākumus, tam ir jāinformē Personas datu eksportētājs 24 stundu laikā no brīža, kad tas par to uzzinājis.

b. Gadījumā, ja Personas datu importētājs pārkāpj šīs Līguma standartklauzulas vai nespēj tās ievērot, Personas datu eksportētājam nekavējoties jāpārtrauc Personas datu nodošana Personas datu importētājam līdz brīdim, kad Personas datu importētājs atkal nodrošina atbilstību, ar nosacījumu, ka Personas datu importētājam tiek dots 30 dienu termiņš, kas var tikt pagarināts uz tādu pat maksimālo termiņu, lai pierādītu tā spēju ievērot šīs Klauzulas, un, ja, termiņam beidzoties, tas netiek panākts, abām pusēm jāvienojas par līguma izbeigšanu, ne Personas datu eksportētājam, ne Pārzinim, atkarībā no situācijas, neuzņemoties nekādu atbildību.

c. Personas datu eksportētājam vai Pārzinim, atkarībā no situācijas, jānodrošina, ka visi Personas datu importētājam iepriekš nodotie Personas dati, tiek pilnībā iznīcināti pirms Līguma standartklauzulu izbeigšanas saskaņā ar iepriekšējo b) punktu. Tam arī jānodrošina, lai visas tā rīcībā esošās šādu personas datu kopijas tiktu iznīcinātas.

d. Personas datu importētājam ir jādokumentē datu iznīcināšana, un pēc pieprasījuma jāiesniedz šo dokumentāciju Personas datu eksportētājam vai pārzinim.

e. Personas datu importētājam jāturpina nodrošināt šo Līguma standartklauzulu ievērošanu līdz brīdim, kad dati tiek iznīcināti.

13. punkts Nodoto personas datu aizsardzība

Personas datu eksportētājam un Personas datu importētājam jāapstrādā nodotie Personas dati atbilstoši nodošanas veidam un mērķiem šādi:

Nodošanas no pārziņa pārzinim klauzulas

1. Apstrādes ierobežojumi

Personas datu importētājam ir pienākums apstrādāt nodotos Personas datus saskaņā ar 2. Pielikumā izklāstītajiem mērķiem.

2. Kompetentās iestādes pieprasījumu ievērošana

2.1. Pusēm pēc pieprasījuma un bez nepamatotas kavēšanās jāiesniedz Kompetentajai iestādei šo klauzulu kopija, lai Kompetentā iestāde varētu īstenot tai saskaņā ar Tiesību aktiem paredzētās pilnvaras. Kompetentā iestāde var pieprasīt jebkādu papildu informāciju par Personas datu nodošanu.

2.2. Katra puse apņemas izpildīt visus Kompetentās iestādes pieprasījumus attiecībā uz šīm Klauzulām vai nodoto datu apstrādi.

2.3 Pēc pieprasījuma Personas datu importētājam (tieši vai ar Personas datu eksportētāja starpniecību) jāatklāj sava identitāte un kontaktinformācija, kā arī apstrādāto Personas datu kategorijas, un jāiesniedz šo vienumu kopija

3. Minimālais Personas datu apjoms, kāds nepieciešams Mērķa sasniegšanai 

Visām pusēm jānodrošina, lai nodotie Personas dati būtu pietiekami un ierobežoti līdz minimālajam apjomam, kāds nepieciešams 2. Pielikumā noteikto mērķu sasniegšanai. Ja jebkurai pusei kļūst zināms par jebkādu nevajadzīgu Personas datu nodošanu, šai pusei jāinformē otru pusi(-es), tiklīdz tai kļūst zināms par to.

4. Personas datu saglabāšana 

Personas datu importētājam jāsaglabā nodotie Personas dati, ja tas nepieciešams 2. Pielikumā izklāstītajiem mērķiem ar nosacījumu, ka Personas datu importētājam bez nepamatotas kavēšanās jāizdzēš vai jāpadara anonīmi nodotie Personas dati, izņemot šādus gadījumus: 

4.1. Ja tas atbilst Karalistes tiesību aktos un Personas datu aizsardzības likumā un tā Noteikumos paredzētam juridiskam pamatojumam - šādā gadījumā dati jāiznīcina pēc termiņa beigām vai tiklīdz ir sasniegts to apkopošanas mērķis, atkarībā no tā, kurš termiņš ir ilgāks.

4.2 Ja nodoto personas datu saglabāšana uz papildu laika posmu ir tieši saistīta ar tiesu iestādē izskatāmu lietu un šāda saglabāšana ir nepieciešama šim mērķim, dati jāiznīcina pēc ar lietu saistītā tiesas procesa pabeigšanas. 

4.3 Ja nodoto personas datu saglabāšana uz papildu laika posmu ir nepieciešama, lai aizsargātu datu subjekta dzīvību vai tā būtiskas intereses.

5. Personas datu drošība un paziņojumi par Personas datu pārkāpumu

Pusēm jānodrošina, lai 3. Pielikumā norādītie organizatoriskie, administratīvie un tehniskie pasākumi nodrošinātu pietiekamu nodoto Personas datu aizsardzības līmeni, lai ievērotu Likuma 19. Panta un Īstenošanas noteikumu 23. Panta prasības.

5.1 Personas datu importētājam jāievieš 3. Pielikumā norādītie drošības pasākumi un jāpiemēro šie pasākumi visiem nodotajiem Personas datiem, lai nodrošinātu Personas datu drošību un aizsardzību pret jebkādiem pārkāpumiem, kas var radīt kaitējumu Personas datu subjektam, nelikumīgu darbību, Personas datu zaudēšanu, grozīšanu, izpaušanu vai neatļautu piekļuvi tiem.

5.2 Personas datu importētājam periodiski jāpārskata 3. Pielikumā paredzētie drošības pasākumi, lai nodrošinātu to ieviešanu atbilstoši prasībām un atjauninātu tos, kad nepieciešams, lai nodrošinātu atbilstību Likuma 19. Pantam un Īstenošanas noteikumu 23. Pantam. 

5.3 Ja Personas datu importētājam kļūst zināms par datu aizsardzības pārkāpumu, kas varētu nodarīt kaitējumu nodotajiem personas datiem vai datu subjektiem vai būt pretrunā ar to tiesībām vai interesēm, Personas datu importētājam 72 stundu laikā no brīža, kad tam kļūst zināms par incidentu, jāziņo kompetentajai iestādei saskaņā ar Likuma Īstenošanas noteikumu 24. Pantā noteiktajām prasībām.

6. Sensitīvie dati 

Neskarot nekādus Likumā un Likuma Īstenošanas noteikumos paredzētos ierobežojumus attiecība uz sensitīviem datiem, Personas datu eksportētājam jānodrošina, lai Personas datu importētājs ieviestu sensitīvo datu raksturam atbilstošus papildu drošības pasākumus un nodrošinātu to aizsardzību pret jebkādiem riskiem, tos apstrādājot, vienlaikus nodrošinot 2. Pielikumā aprakstīto ierobežojumu un papildu drošības pasākumu piemērošanu. 

7. Tālāka nodošana

7.1 Personas datu importētājs nedrīkst nodot vai izpaust nodotos Personas datus trešajai personai ārpus Karalistes, ja vien šī persona nav pievienojusies šīm Klauzulām, un saskaņā ar atbilstošu veidni un 7. Punkta noteikumiem. 

7.2 Neskarot Likuma 8. un 15. Panta un Likuma Īstenošanas noteikumu 17. Panta noteikumus, Tiesību aktu noteikumi attiecas uz tālāku to Personas datu nodošanu, kas iepriekš tikuši nodoti vai izpausti organizācijai ārpus Karalistes.

8. Apstrādātāju iecelšana

Personas datu importētājam ir pienākums izvēlēties Apstrādātāju, kurš sniedz pietiekamas garantijas nodoto Personas datu aizsardzībai, un līgumā ar Apstrādātāju jāietver visas Īstenošanas regulas 17. Pantā noteiktās prasības, kā arī apstrāde jābalsta tikai uz Datu importētāja norādījumiem, ar nosacījumu, ka šie norādījumi atbilst šajās Klauzulās izklāstītajām prasībām.

9. Šo Klauzulu ievērošana 

9.1 Visām pusēm pēc pieprasījuma jāpierāda Kompetentajai iestādei pilnīga šo Klauzulu ievērošana, un Personas datu importētājam, papildus Personas datu apstrādes darbību uzskaites datiem, kā paredzēts Regulas 33. Pantā, jāsaglabā dokumenti par tā uzraudzībā veiktajām Personas datu apstrādes darbībām. 

9.2 Personas datu importētājam pēc pieprasījuma jāiesniedz šie dokumenti Kompetentajai iestādei. 

10. Atbildība 

10.1 Katra puse ir atbildīga otras puses priekšā par visiem zaudējumiem, kādi nodarīti otrai pusei jebkuras no šīm Līguma standartklauzulām pārkāpuma rezultātā.

10.2 Katra puse ir atbildīga Personas datu subjekta priekšā, neskarot Tiesību aktos paredzēto Personas datu eksportētāja atbildību, un Personas datu subjektam ir tiesības saņemt kompensāciju par jebkādu materiālu vai morālu kaitējumu, ko radījusi nevērīga puse, kura nodara kaitējumu Personas datu subjektam. Ja par kaitējuma nodarīšanu Personas datu subjektam šo Līguma standartklauzulu pārkāpuma rezultātā ir atbildīga vairāk nekā viena puse, atbildīgās puses ir atbildīgas solidāri, un Personas datu subjektam ir tiesības celt prasību tiesā pret jebkuru no šīm pusēm.

10.3 Puses vienojas, ka, ja jebkura puse uzņemas atbildību (b), tai ir tiesības pieprasīt no otras puses(-ēm) to kompensācijas daļu, kas atbilst tās(-o) atbildībai par zaudējumiem.

10.4 Personas datu importētājs nedrīkst paļauties uz datu Apstrādātāja vai Apakšapstrādātāja rīcību, lai izvairītos no atbildības. 

11. Personas datu subjektu tiesības 

11.1 Personas datu importētājam (ar Personas datu eksportētāja atbalstu) bez kavēšanās jārisina visi no Datu subjekta saņemtie jautājumi vai pieprasījumi par Personas datu apstrādi un saskaņā ar Likumu un spēkā esošajiem noteikumiem piešķirto tiesību īstenošanu, un to jāizdara ne ilgāk kā trīsdesmit (30) dienu laikā no šāda pieprasījuma saņemšanas datuma. Šo periodu var pagarināt par tādu pašu laika posmu līdz trīsdesmit (30) dienām, ja pieprasījuma izpilde prasa ārkārtējas pūles vai ja Personas datu importētājs saņem daudz pieprasījumu no Personas datu subjekta. Datu subjekts tiek iepriekš informēts par šādu pagarinājumu un tā iemesliem. 

11.2 Visiem Personas datu subjektam sniegtajiem paziņojumiem jābūt skaidrā, salasāmā un pieejamā formātā.

Pielikums

1., 2. un 3. Pielikumā minēto informāciju skatiet Saūda Arābijas Privātuma noteikumos.