Klausul (1) Formål og omfang

a. Formålet med disse klausulene er å sikre at et passende beskyttelsesnivå for personopplysninger, tilsvarende nivået som gjelder under personvernloven og dens implementeringsforskrifter, anvendes der det ikke foreligger et passende beskyttelsesnivå for personopplysninger utenfor Kongeriket, ved å spesifisere forpliktelsene til partene som er involvert i overføringen av personopplysninger til et land eller en internasjonal organisasjon uten et adekvat beskyttelsesnivå for personopplysninger. Vedlegg (1) viser dataene for både dataeksportører og dataimportører.

b. Disse klausulene gjelder for overføring av personopplysninger som spesifisert i vedlegg (2) («Personopplysninger som skal overføres eller utleveres»).

Klausul (2) Endring og virkning

a. Disse klausulene fastsetter passende sikkerhetstiltak, inkludert klagerett for registrerte personer og kan ikke endres, bortsett fra å velge den aktuelle malen eller legge til eller oppdatere informasjon i vedlegget.

b. Partene kan innlemme disse klausulene i en helhetlig avtale, eller legge til andre klausuler eller ytterligere garantier, forutsatt at disse ikke direkte eller indirekte strider mot disse klausulene eller krenker de registrertes grunnleggende rettigheter.

c. Disse klausulene fritar ingen parter fra deres forpliktelser under loven og forskriftene, og vedrører heller ikke bestemmelsene i gjeldende lover og forskrifter i Kongeriket eller avtaler som Kongeriket er part i.

Klausul (3) Rettigheter for registrerte personer

a. Disse standardkontraktsklausulene innskrenker ikke de registrertes rettigheter etter loven og forskriftene.

b. Registrerte personer hvis personopplysninger overføres av partene i henhold til disse standardkontraktsklausulene, kan melde fra til den kompetente myndigheten («Saudi Data & AI Authority») hvis de oppdager brudd på disse klausulene.

Klausul (4) Tolkning

a. Med mindre konteksten tilsier noe annet, skal ord og uttrykk som brukes i disse klausulene ha den betydningen som er tillagt dem i artikkel 1 i personvernloven, utstedt ved kongelig resolusjon nr. (M/19) datert 9/2/1443 AH og endret ved kongelig resolusjon nr. (M/148) datert 5/9/1444 AH, artikkel 1 i PDPLs implementeringsforskrift og artikkel 1 i forskriften om overføring av personopplysninger utenfor kongeriket.

b. Disse klausulene må leses og tolkes i lys av og i samsvar med bestemmelsene i loven og forskriftene nevnt i avsnitt (a) i denne artikkelen, og kan ikke tolkes på noen annen måte som er uforenlig med lovens og forskriftenes bestemmelser.

Klausul (5) Konflikt 

I tilfelle konflikt mellom disse klausulene og bestemmelser i en annen avtale mellom partene, skal disse klausulene ha forrang.

Klausul (6) Detaljer om overføringer

Overføringen(e), samt kategoriene av personopplysninger og formålene med overføringene, er beskrevet i vedlegget.

Klausul (7) Innlemmelse av nye parter

a. Enhver importør eller eksportør av personopplysninger som ikke er part i disse standardklausulene, kan tilslutte seg disse ved å fylle ut og signere Vedlegg (1), med samtykke fra de eksisterende partene. Den tilsluttende enheten skal enten være importøren eller eksportøren av personopplysninger.

b. Så snart Vedlegg (1) er utfylt og signert, blir den tilsluttende enheten part i disse klausulene. Den nye parten skal, fra tilslutningsdatoen, overta ansvaret avhengig av arten til personopplysningsbehandlingen og overføringsoperasjonene som har funnet sted på eller etter tilslutningsdatoen, og skal ha rett til å utøve de rettigheter og forpliktelser som tilsvarer sin rolle som definert i disse klausulene.

Klausul (8) Gjeldende lovgivning og jurisdiksjon

Gjeldende lovgivning i Kongeriket Saudi-Arabia skal styre disse standard kontraktsklausulene. Enhver tvist som oppstår ved anvendelsen av bestemmelsene i disse klausulene, skal være underlagt Kongerikets jurisdiksjon og tilhøre dets domstoler. Importøren av personopplysninger, under disse standard kontraktklausulene, samtykker i å underordne seg jurisdiksjonen til Kongeriket Saudi-Arabia.

Klausul (9): Etterlevelse av anmodninger fra den kompetente myndigheten

a. Hver av partene forplikter seg til å etterleve enhver forespørsel fra den kompetente myndigheten vedrørende disse standard kontraktsklausulene eller behandlingen av overførte personopplysninger.

b. Importøren av personopplysninger samtykker i og forplikter seg til å samarbeide med den kompetente myndigheten, etterkomme alle dens anmodninger og henvendelser, og fremskaffe nødvendige dokumenter og informasjon for å sikre overholdelse av standard kontraktsklausulene.

c. Importøren av personopplysninger samtykker i å overholde tiltak fastsatt av den kompetente myndigheten, inkludert utbedrende tiltak og kompensasjon.

Klausul (10) Erstatning

a. Dersom det oppstår en uenighet mellom den registrerte og en part om hvorvidt standard kontraktsklausulene overholdes, skal denne parten iverksette alle nødvendige tiltak for å løse tvisten i minnelighet med den registrerte. Alle parter er forpliktet til å informere hverandre om tvisten for å sikre en felles løsning.

b. Den registrerte kan sende inn klager som oppstår fra anvendelsen av disse standard kontraktsklausulene til den kompetente myndigheten, i samsvar med prosedyrene for klagebehandling spesifisert i loven og forskriftene.

c. Den registrerte har rett til å kreve kompensasjon for materiell eller immateriell skade, proporsjonalt med skadens omfang, som følge av anvendelsen av disse standard kontraktsklausulene, og legge dette fram for en kompetent domstol.

Klausul (11) Sikkerhet knyttet til personopplysninger

a. Alle parter skal iverksette nødvendige organisatoriske, administrative og tekniske tiltak for å opprettholde personopplysningenes konfidensialitet og beskytte dem mot brudd i alle faser av behandlingen, inkludert under selve overføringen. Partene skal, når de vurderer et passende sikkerhetsnivå, ta i betraktning dagens teknologiske nivå, kostnadene ved implementering, og hvilken type personopplysninger som overføres. De skal videre vurdere arten, omfanget, konteksten og formålet til behandlingen av personopplysninger, samt risikoene involvert, og spesielt vurdere anvendelsen av kryptering eller avidentifisering, også under dataoverføring, ettersom dette kan tjene databehandlingens formål.

b. Eksportøren av personopplysninger skal bistå importøren av personopplysninger med å oppfylle nødvendige krav til datasikkerhet. Skulle det oppstå et personopplysningsbrudd i forbindelse med overførte personopplysninger behandlet av eksportøren under disse standard kontraktsklausulene, skal eksportøren umiddelbart varsle importøren etter å ha fått kjennskap til bruddet, og bidra til å begrense det.

c. Dataeksportøren sørger for at personer som er autorisert til å behandle de overførte personopplysningene, er underlagt en passende juridisk plikt om konfidensialitet og taushetsplikt.

Klausul (12) Varighet og oppsigelse

a. Dersom importøren av personopplysninger av en eller annen grunn ikke er i stand til å oppfylle sine forpliktelser under disse standard kontraktsklausulene, må eksportøren av personopplysninger informeres innen tjuefire (24) timer fra den blir oppmerksom på dette.

b. I tilfelle importøren av personopplysninger bryter disse standard kontraktsklausulene eller er ikke i stand til å overholde dem, skal eksportøren av personopplysninger umiddelbart opphøre overføringen av personopplysninger til importøren av personopplysninger inntil importøren igjen er i samsvar med kravene. Importøren av personopplysninger gis en frist på (30) dager, som kan forlenges med en tilsvarende maksimumsperiode, for å vise at den kan overholde disse klausulene. Dersom fristen utløper uten at dette er oppnådd, skal partene enes om å si opp avtalen, uten ansvar for eksportøren av personopplysninger eller den behandlingsansvarlige, avhengig av tilfellet.

c. Eksportøren eller behandlingsansvarlig, alt etter hva som er aktuelt, skal sikre at alle personopplysninger som tidligere er overført til importøren av personopplysninger, blir fullstendig slettet før standard kontraktsklausulene under avsnitt (b) ovenfor opphører. Den skal også sikre at eventuelle kopier av slike personopplysninger blir slettet.

d. Importøren av personopplysninger må dokumentere slettingen av dataene, og denne dokumentasjonen må gis til eksportøren eller behandlingsansvarlige på forespørsel.

e. Importøren av personopplysninger må fortsette å sikre – inntil dataene er slettet – at den overholder disse standard kontraktsklausulene.

Klausul (13) Beskyttelse av overførte personopplysninger

Eksportøren og importøren av personopplysninger skal behandle de overførte personopplysningene i henhold til overføringens art og formål, som følger:

Klausuler mellom behandlingsansvarlige

1. Restriksjoner knyttet til behandling

Importøren av personopplysninger er forpliktet til å behandle overførte personopplysninger i samsvar med formålene som er beskrevet i Vedlegg (2).

2. Imøtekommelse av anmodninger fra den kompetente myndigheten

2.1 Partene skal uten unødig forsinkelse fremskaffe en kopi av disse klausulene til den kompetente myndigheten, slik at myndigheten kan utøve sine fullmakter i henhold til lov og forskrift. Den kompetente myndigheten kan be om ytterligere informasjon vedrørende overføringen av personopplysninger.

2.2 Hver av partene forplikter seg til å etterkomme enhver forespørsel fra den kompetente myndigheten vedrørende disse klausulene eller behandlingen av de overførte dataene. 

2.3 Etter anmodning skal importøren av personopplysninger (direkte eller gjennom eksportøren av personopplysninger) opplyse den registrerte om sin identitet og kontaktinformasjon, samt hvilke kategorier av personopplysninger som behandles, og fremskaffe en kopi av disse

3. Minimumsmengden personopplysninger som er nødvendig for å oppfylle formålet 

Alle parter skal sikre at overførte personopplysninger er tilstrekkelige og begrenset til det absolutt nødvendige for å oppfylle formålene beskrevet i Vedlegg (2). Dersom en part blir oppmerksom på at unødvendige personopplysninger er overført, skal vedkommende varsle den/de andre parten(e) umiddelbart.

4. Oppbevaring av personopplysninger 

Importøren av personopplysninger skal oppbevare overførte personopplysninger dersom det er nødvendig for å oppfylle formålene som er beskrevet i Vedlegg (2), forutsatt at importøren uten unødig forsinkelse sletter eller anonymiserer de overførte personopplysningene, med unntak av følgende tilfeller:

4.1 Dersom det er i tråd med et rettslig grunnlag under Kongerikets lover og personvernloven og dens forskrifter, skal dataene i så fall slettes etter at perioden er utløpt eller når innsamlingsformålet er oppnådd, avhengig av hva som inntreffer sist.

4.2 Skulle oppbevaring av overførte personopplysninger for en ekstra periode være direkte forbundet med en sak som behandles av en rettslig instans, og slik oppbevaring er et krav for dette formålet, skal dataene destrueres etter at de rettslige prosedyrene for saken er gjennomført.

4.3 Dersom det er nødvendig å oppbevare de overførte personopplysningene i en ekstra periode for å beskytte den registrerte eller deres vitale interesser.

5. Sikkerhet tilknyttet personopplysninger og varsler om databrudd

Partene skal sikre at de organisatoriske, administrative og tekniske tiltakene spesifisert i Vedlegg (3) gir et tilstrekkelig beskyttelsesnivå for de overførte personopplysningene, i samsvar med kravene i Artikkel (19) i Forskriftens artikkel (23) i Implementeringsforskriftene.

5.1 Importøren av personopplysninger skal iverksette sikkerhetstiltakene spesifisert i Vedlegg (3), og anvende disse tiltakene for alle overførte personopplysninger for å sikre og beskytte personopplysningene mot brudd som kan føre til skade på den registrerte, ulovlig handling, tap, endring, utlevering av personlig data eller uautorisert tilgang.

5.2 Importøren av personopplysninger må periodisk gjennomgå sikkerhetstiltakene som er beskrevet i Vedlegg (3) for å sikre at de blir iverksatt som nødvendig, og oppdatere dem etter behov for å sikre overholdelse med artikkel (19) i Forskriftens artikkel (23) i Implementeringsforskriftene.

5.3 Dersom importøren av personopplysninger blir oppmerksom på et databrudd som kan skade de overførte personopplysningene eller de registrerte eller være i strid med deres rettigheter eller interesser, må importøren varsle den kompetente myndigheten innen (72) timer etter å ha fått kjennskap til hendelsen, i samsvar med kravene i artikkel (24) i lovens implementeringsforskrifter.

6. Sensitive data

Med forbehold om restriksjoner for sensitive data i loven og dens forskrifter, skal eksportøren sørge for at importøren iverksetter ytterligere sikkerhetstiltak tilpasset sensitive datas art, og beskytter dem mot risiko under behandling. Samtidig må importøren sørge for at restriksjonene og de supplerende sikkerhetstiltakene i Vedlegg (2) overholdes.

7. Etterfølgende overføring

7.1 Importøren av personopplysninger skal ikke overføre eller utlevere de overførte personopplysningene til en tredjepart utenfor Kongeriket, med mindre denne parten har tilsluttet seg disse klausulene og overholder den passende malen og bestemmelsene i klausul (7) ovenfor. 

7.2 Med forbehold for bestemmelsene i lovens artikler (8) og (15) og forskriftens artikkel (17), skal lovens og forskriftenes bestemmelser gjelde for etterfølgende overføring av personopplysninger som tidligere er overført eller utlevert til en enhet utenfor Kongeriket.

8. Tilordning av behandlere 

Importøren av personopplysninger er forpliktet til å velge en behandler som gir tilstrekkelige garantier for beskyttelsen av de overførte personopplysningene, og avtalen med behandleren skal omfatte alle kravene som er beskrevet i artikkel (17) i implementeringsforskriften, og behandlingen skal utelukkende være basert på importørens instruksjoner, forutsatt at disse instruksjonene overholder kravene i disse klausulene.

9. Overholdelse av disse klausulene 

9.1 Alle parter plikter å dokumentere full overholdelse av disse klausulene overfor den kompetente myndigheten ved forespørsel. Importøren skal dessuten oppbevare dokumenter relatert til behandlingen av personopplysninger under dens tilsyn, i tillegg til poster over behandlingen av personopplysninger som fastsatt i artikkel (33) i forskriften.

9.2 Importøren av personopplysninger skal fremskaffe disse dokumentene til den kompetente myndigheten på forespørsel. 

10. Ansvarlighet 

10.1 Hver av partene skal være ansvarlig overfor den andre parten for eventuelle skader som er påført den andre parten som et resultat av brudd på noen av disse standard kontraktsklausulene. 

10.2 Hver av partene skal være ansvarlig overfor den registrerte, med forbehold for eksportørens ansvar under loven og forskriftene, og den registrerte skal ha rett til kompensasjon for eventuelle materielle og immaterielle skader forårsaket av den uaktsomme parten som skader den registrerte. Dersom flere parter er ansvarlige for skade på den registrerte som følge av brudd på disse standard kontraktsklausulene, skal disse partene holdes felles eller enkeltvis ansvarlige. Den registrerte har rett til å reise sak for retten mot hvilken som helst av disse partene.

10.3 Partene er enige om at dersom en part påtar seg ansvaret (b), har vedkommende rett til å kreve den andelen av kompensasjonen som tilsvarer dens/deres ansvar for skaden, fra den/de andre partene.

10.4 Importøren av personopplysninger kan ikke fraskrive seg ansvar ved å vise til databehandlerens eller underdatabehandlerens handlinger.

11. Registrerte personers rettigheter 

11.1 Importøren av personopplysninger (med støtte fra eksportøren av personopplysninger) skal, etter behov, behandle eventuelle spørsmål eller forespørsler fra den registrerte vedrørende behandlingen av personopplysninger og utøvelsen av rettigheter gitt i henhold til lov og gjeldende forskrifter, uten forsinkelse, innen en periode på maksimalt tretti (30) dager fra datoen for mottak av en slik forespørsel. Denne perioden kan forlenges med en tilsvarende periode på opptil tretti (30) dager, dersom behandlingen av forespørselen krever ekstraordinær innsats, eller dersom importøren mottar mange forespørsler fra den registrerte. Den registrerte informeres i forkant om denne forlengelsen og årsakene til den.

11.2 Alle erklæringer rettet til den registrerte må gis i et tydelig, leselig og tilgjengelig format.

Vedlegg

For informasjon i Vedlegg 1, 2 og 3, se de saudiske personvernvilkårene.