Clausule (1) Doel en toepassingsgebied

a. Het doel van deze clausules is ervoor te zorgen dat een passend niveau van bescherming van persoonsgegevens wordt toegepast dat gelijkwaardig is aan het beschermingsniveau dat van toepassing is onder de Wet bescherming persoonsgegevens en de uitvoeringsvoorschriften daarvan, in het geval van afwezigheid van een passend niveau van bescherming van persoonsgegevens buiten het Koninkrijk door de verplichtingen van de partijen die betrokken zijn bij de overdracht van persoonsgegevens aan een land of internationale organisatie die geen passend niveau van bescherming van persoonsgegevens heeft, te specificeren. Bijlage (1) toont de gegevens voor zowel gegevensexporteurs als gegevensimporteurs.

b. Deze clausules zijn van toepassing op de overdracht van persoonsgegevens zoals gespecificeerd in bijlage (2) ('Over te dragen of openbaar te maken persoonlijke gegevens').

Clausule (2) Wijziging en impact 

a. Deze clausules bevatten passende waarborgen, inclusief klachtenrechten van betrokkenen, en kunnen niet worden gewijzigd, behalve om het juiste sjabloon te selecteren of om informatie in de bijlage toe te voegen of bij te werken.

b. De partijen kunnen deze clausules opnemen in een uitgebreide overeenkomst of andere clausules of aanvullende garanties toevoegen, op voorwaarde dat ze niet direct of indirect in strijd zijn met deze clausules of inbreuk maken op de fundamentele rechten van betrokkenen.

c. Deze clausules ontheffen geen partij van haar verplichtingen onder de wet- en regelgeving, noch doen ze afbreuk aan de bepalingen van de in het Koninkrijk van kracht zijnde wetten en regels of overeenkomsten waarbij het Koninkrijk partij is.

Clausule (3) Rechten van betrokkenen van persoonsgegevens

a. Deze standaardcontractbepalingen doen geen afbreuk aan de rechten van betrokkenen onder de wet- en regelgeving.

b. Betrokkenen van wie de persoonlijke gegevens worden overgedragen van de partijen op basis van deze standaardcontractbepalingen kunnen de bevoegde autoriteit op de hoogte stellen ('Saudische gegevens- en AI-autoriteit') als ze zich bewust worden van een schending van deze standaardcontractbepalingen.

Clausule (4) Interpretatie

a. Tenzij de context anders vereist, hebben de woorden en zinsdelen die in deze clausules worden gebruikt de betekenis die eraan wordt toegekend in artikel (1) van de Wet op de bescherming persoonsgegevens die is uitgegeven bij Koninklijk Besluit nr. (M/19) gedateerd 9/2/1443 AH en gewijzigd bij Koninklijk Besluit nr. (M/148) gedateerd 5/9/1444 AH, artikel (1) van de uitvoeringsverordening van de PDPL en artikel (1) van de verordening inzake de overdracht van persoonsgegevens buiten het Koninkrijk.

b. Deze bepalingen moeten worden gelezen en geïnterpreteerd in het licht van en in overeenstemming met de bepalingen van de wet- en regelgeving waarnaar in paragraaf (a) van dit artikel wordt verwezen en mogen niet worden geïnterpreteerd op een andere manier die in strijd is met de bepalingen van de Wet en Voorschriften.

Clausule (5) Conflict 

In het geval van een conflict tussen deze clausules en een bepaling in een andere overeenkomst tussen de partijen, prevaleren deze clausules.

Clausule (6) Details van overdrachten

De overdracht(en), evenals de categorieën persoonsgegevens en de doeleinden van de overdrachten, worden beschreven in de bijlage.

Clausule (7) Toevoeging van nieuwe partijen

a. Elke importeur of exporteur van persoonsgegevens die geen partij is bij deze standaardcontractbepalingen kan zich bij deze standaardcontractbepalingen aansluiten door bijlage (1) in te vullen en te ondertekenen, met toestemming van de bestaande partijen. De toetredende entiteit is ofwel de importeur van persoonsgegevens of de exporteur van persoonsgegevens.

b. Zodra bijlage (1) is ingevuld en ondertekend, is de toetredende entiteit partij bij deze clausules en de nieuw toegelaten entiteit zal vanaf de datum van toetreding de verantwoordelijkheden op zich nemen afhankelijk van de aard van de verwerking en overdrachtsoperaties die op of na de datum van toetreding hebben plaatsgevonden, en heeft het recht om de rechten en verplichtingen uit te oefenen die overeenkomen met haar rol zoals gedefinieerd in deze clausules.

Clausule (8) Toepasselijk recht en rechtsgebied

Deze standaardcontractbepalingen zijn onderworpen aan de toepasselijke wetten van het Koninkrijk Saudi-Arabië. Elk geschil dat voortvloeit uit de toepassing van de bepalingen van deze clausules valt onder de rechtsbevoegdheid van het Koninkrijk en wordt voorgelegd aan de rechtbanken daarvan. De importeur van persoonsgegevens stemt ermee in, onder deze standaardcontractbepalingen, mee in zich te onderwerpen aan de jurisdictie van het Koninkrijk Saudi-Arabië.

Clausule (9) Naleving van de verzoeken van de bevoegde autoriteit

a. Elke partij stemt ermee in om te voldoen aan alle verzoeken van de bevoegde autoriteit met betrekking tot deze standaardcontractbepalingen of de verwerking van overgedragen persoonlijke gegevens.

b. De importeur van persoonsgegevens stemt ermee in en verbindt zich ertoe om met de bevoegde autoriteit samen te werken en te voldoen aan al haar verzoeken en vragen en de nodige documenten en informatie te verstrekken om naleving van de standaardcontractbepalingen te waarborgen.

c. De persoonsgegevensimporteur stemt ermee in zich te houden aan de maatregelen die door de bevoegde autoriteit zijn vastgesteld, inclusief corrigerende maatregelen en compensatie.

Clausule (10) Vergoeding

a. Als er een geschil ontstaat tussen de betrokkene en een partij met betrekking tot de naleving van de standaardcontractbepalingen, zal die partij alle nodige middelen gebruiken om het geschil minnelijk te beslechten met de betrokkene, en alle partijen zullen elkaar op de hoogte stellen van het bestaan van een dergelijk geschil om ervoor te zorgen dat het in samenwerking met elkaar wordt opgelost.

b. De betrokkene kan elke klacht indienen bij de bevoegde autoriteit die voortvloeit uit de toepassing van de bepalingen van deze standaardcontractbepalingen, in overeenstemming met de procedures voor het indienen van klachten die door de wet- en regelgeving worden gespecificeerd.

c. De betrokkene heeft het recht om bij de bevoegde rechtbank een vordering te indienen voor materiële of morele schade in verhouding tot de omvang van de schade die voortvloeit uit de toepassing van deze standaardcontractclausules.

Clausule (11) Beveiliging van persoonsgegevens

a. Alle partijen zullen de nodige organisatorische, administratieve en technische maatregelen nemen die ervoor zorgen dat de privacy van persoonsgegevens wordt gehandhaafd tegen elke schending in alle stadia van de verwerking, inclusief de beveiliging van persoonsgegevens tijdens het overdrachtsproces.  Bij het beoordelen van het juiste beveiligingsniveau zullen de partijen rekening houden met de huidige staat van technologie, implementatiekosten en de aard van de overgedragen persoonlijke gegevens, evenals de aard, het toepassingsgebied, de context, de doeleinden, de risico's die betrokken zijn bij de verwerking van de persoonsgegevens, en specifiek de toepassing van codering of de-identificatie overwegen, inclusief tijdens de overdracht van persoonsgegevens, wanneer het doel van de gegevensverwerking op deze manier kan worden bereikt.

b. De persoonsgegevensexporteur zal de persoonsgegevensimporteur helpen bij het voldoen aan de nodige gegevensbeveiligingsvereisten, en in het geval van een inbreuk op persoonsgegevens met betrekking tot de overgedragen persoonlijke gegevens die door de persoonsgegevensexporteur onder deze standaardcontractbepalingen worden verwerkt, zal de persoonsgegevensexporteur de persoonsgegevensimporteur onmiddellijk op de hoogte stellen nadat hij zich van een dergelijke schending bewust is geworden en de persoonsgegevensimporteur helpen bij het beperken van een dergelijke schending.

c. De gegevensexporteur zorgt ervoor dat personen die gemachtigd zijn om de overgedragen persoonlijke gegevens te verwerken, gebonden zijn aan vertrouwelijkheid en niet-openbaarmaking onder een passende wettelijke verplichting tot vertrouwelijkheid en niet-openbaarmaking.

Clausule (12) Duur en beëindiging

a. Als de persoonsgegevensimporteur om welke reden dan ook niet in staat is om aan zijn verplichtingen onder deze standaardcontractbepalingen te voldoen, moet hij de persoonsgegevensexporteur binnen (24) uur vanaf het moment dat hij zich hiervan bewust wordt, op de hoogte stellen.

b. In het geval dat de persoonsgegevensimporteur deze standaardcontractbepalingen schendt of niet in staat is zich te houden aan, zal de persoonsgegevensexporteur de overdracht van persoonsgegevens aan de persoonsgegevensimporteur onmiddellijk stopzetten totdat de persoonsgegevensimporteur ervoor zorgt dat deze weer voldoet aan de naleving, op voorwaarde dat de persoonsgegevensimporteur een periode van (30) dagen krijgt, verlengbaar voor een soortgelijke maximumperiode, om te bewijzen dat het in staat is om deze clausules te respecteren, en als de periode verloopt zonder dit te bereiken, zullen de twee partijen ermee instemmen om het contract te beëindigen, zonder enige aansprakelijkheid voor de exporteur of de controller, afhankelijk van het geval.

c. De persoonsgegevensexporteur of de controller, afhankelijk van het geval, zal ervoor zorgen dat alle persoonlijke gegevens die eerder aan de persoonsgegevensimporteur zijn overgedragen, volledig worden vernietigd voordat de standaardcontractbepalingen onder paragraaf (b) hierboven worden beëindigd. Het zal er ook voor zorgen dat alle kopieën die het van dergelijke persoonlijke gegevens heeft, worden vernietigd.

d. De persoonsgegevensimporteur moet de vernietiging van de gegevens documenteren, en deze documentatie moet op verzoek aan de persoonsgegevensexporteur of -controller worden verstrekt.

e. De persoonsgegevensimporteur moet ervoor blijven zorgen - totdat de gegevens worden vernietigd - dat hij deze standaardcontractbepalingen naleeft.

Clausule (13) Bescherming van overgedragen persoonlijke gegevens

De persoonsgegevensexporteur en de persoonsgegevensimporteur zullen de overgedragen persoonlijke gegevens als volgt verwerken op basis van de aard en de doeleinden van de overdracht:

Controller naar controller-clausules

1. Verwerkingsbeperkingen

De persoonsgegevensimporteur is verplicht om de overgedragen persoonlijke gegevens te verwerken in overeenstemming met de doeleinden die in bijlage (2) worden uiteengezet.

Clausule (9) Naleving van de verzoeken van de bevoegde autoriteit

2.1 De partijen zullen op verzoek en zonder onnodige vertraging een kopie van deze clausules aan de bevoegde autoriteit verstrekken, zodat de bevoegde autoriteit haar bevoegdheden onder de wet- en regelgeving kan uitoefenen. De bevoegde autoriteit kan aanvullende informatie opvragen met betrekking tot de overdracht van persoonsgegevens.

2.2 Elke partij stemt ermee in om te voldoen aan alle verzoeken van de bevoegde autoriteit met betrekking tot deze clausules of de verwerking van de overgedragen gegevens. 

2.3 Op verzoek zal de persoonsgegevensimporteur (rechtstreeks of via de persoonsgegevensexporteur) zijn identiteits- en contactgegevens en de categorieën persoonlijke gegevens die worden verwerkt, aan de betrokkene openbaar maken en een kopie van deze items verstrekken.

3. De minimale hoeveelheid persoonlijke gegevens die nodig is om het doel te vervullen 

Alle partijen zullen ervoor zorgen dat de overgedragen persoonlijke gegevens voldoende zijn en beperkt zijn tot het minimumbedrag dat nodig is om de doeleinden die in bijlage (2) worden uiteengezet, te vervullen. Als een partij zich bewust wordt van een overdracht van onnodige persoonlijke gegevens, zal die partij de andere partij(en) op de hoogte stellen zodra ze zich ervan bewust wordt.

4. Bewaring van persoonsgegevens 

De persoonsgegevensimporteur zal de overgedragen persoonlijke gegevens bewaren als het nodig is om de doeleinden die in bijlage (2) worden uiteengezet, op voorwaarde dat de persoonsgegevensimporteur de overgedragen persoonlijke gegevens zonder onnodige vertraging zal verwijderen of anonimiseren, behalve in de volgende gevallen: 

4.1 Als het in overeenstemming is met een wettelijke rechtvaardiging onder de wetten van het Koninkrijk en de Wet op de bescherming persoonsgegevens en de voorschriften daarvan; in dit geval worden de gegevens vernietigd na het verstrijken van de periode of zodra het doel voor het verzamelen ervan is vervuld, afhankelijk van wat langer is. 

4.2 Als het bewaren van de overgedragen persoonlijke gegevens voor een aanvullende periode rechtstreeks verband houdt met een zaak die bij een gerechtelijke autoriteit aanhangig is, en een dergelijke bewaring voor dit doel vereist is, worden de gegevens vernietigd na voltooiing van de gerechtelijke procedures met betrekking tot de zaak. 

4.3 Als het bewaren van de overgedragen persoonlijke gegevens voor een aanvullende periode noodzakelijk is om het leven van het gegevenssubject of hun vitale belangen te beschermen.

5. Beveiliging van persoonsgegevens en meldingen van inbreuken op persoonsgegevens

De partijen zullen ervoor zorgen dat de organisatorische, administratieve en technische maatregelen die in bijlage (3) worden gespecificeerd, een voldoende niveau van bescherming bieden voor de overgedragen persoonlijke gegevens om te voldoen aan de vereisten van artikel (19) van de wet en artikel (23) van de uitvoeringsvoorschriften. 

5.1 De persoonsgegevensimporteur zal de beveiligingsmaatregelen die in bijlage (3) worden gespecificeerd implementeren en die maatregelen toepassen op alle overgedragen persoonlijke gegevens om de veiligheid en bescherming van persoonsgegevens te waarborgen tegen elke schending die kan leiden tot schade aan de betrokkene, onwettige actie, verlies, wijziging, openbaarmaking van persoonsgegevens of ongeautoriseerde toegang.

5.2 De persoonsgegevensimporteur moet de beveiligingsmaatregelen die in bijlage (3) worden bepaald periodiek herzien om ervoor te zorgen dat ze zoals vereist worden geïmplementeerd en ze indien nodig bijwerken om naleving van artikel (19) van de wet en artikel (23) van de uitvoeringsvoorschriften te waarborgen. 

5.3 Als de persoonsgegevensimporteur zich bewust wordt van een gegevensinbreukincident dat de overgedragen persoonlijke gegevens of de betrokkenen kan schaden, of in strijd is met hun rechten of belangen, moet de persoonsgegevensimporteur de bevoegde autoriteit binnen (72) uur nadat hij zich van het incident bewust is geworden, op de hoogte stellen, in overeenstemming met de vereisten die in artikel (24) van de uitvoeringsvoorschriften van de wet. 

6. Gevoelige gegevens 

Onverminderd eventuele beperkingen met betrekking tot gevoelige gegevens die in de wet en de uitvoeringsvoorschriften van de wet worden bepaald, zal de persoonsgegevensexporteur ervoor zorgen dat de persoonsgegevensimporteur aanvullende waarborgen treft die geschikt zijn voor de aard van de gevoelige gegevens en ervoor zorgt dat hij wordt beschermd tegen eventuele risico's bij het verwerken ervan, terwijl hij ervoor zorgt dat de beperkingen en aanvullende waarborgen die in bijlage (2) worden beschreven, worden toegepast. 

7. Daaropvolgende overdracht

7.1 De persoonsgegevensimporteur zal de overgedragen persoonlijke gegevens niet overdragen of openbaar maken aan een derde partij buiten het Koninkrijk, tenzij die partij tot deze clausules is toegetreden en in overeenstemming met het juiste sjabloon en de bepalingen van clausule (7) hierboven. 

7.2 Onverminderd de bepalingen van de artikelen (8) en (15) van de wet en (17) van de uitvoeringsverordening van de wet, zijn de bepalingen van de wet- en regelgeving van toepassing op de daaropvolgende overdracht van persoonsgegevens die eerder zijn overgedragen of openbaar gemaakt aan een entiteit buiten het Koninkrijk.

8. Toewijzingsverwerkers 

De persoonsgegevensimporteur is verplicht om een verwerker te selecteren die voldoende garanties biedt voor de bescherming van de overgedragen persoonsgegevens, en de overeenkomst met de verwerker zal alle vereisten bevatten die in artikel (17) van de uitvoeringsverordening worden uiteengezet, en de verwerking zal uitsluitend gebaseerd zijn op de instructies van de gegevensimporteur, op voorwaarde dat deze instructies in overeenstemming zijn met de vereisten die in deze clausules worden uiteengezet.

9. Naleving van deze clausules 

9.1 Alle partijen zullen op verzoek volledige naleving van deze clausules aan de bevoegde autoriteit aantonen, en de persoonsgegevensimporteur zal documenten bewaren met betrekking tot de persoonsgegevensverwerkingsactiviteiten die onder zijn toezicht worden uitgevoerd, naast de records van persoonsgegevensverwerkingsactiviteiten zoals bepaald in artikel (33) van de verordening. 

9.2 De persoonsgegevensimporteur zal deze documenten op verzoek aan de bevoegde autoriteit verstrekken. 

10. Verantwoordingsplicht 

10.1 Elke partij is aansprakelijk voor de andere partij voor eventuele schade die de andere partij wordt veroorzaakt als gevolg van een schending van een van deze standaardcontractbepalingen. 

10.2 Elke partij is aansprakelijk jegens de betrokkene, onverminderd de aansprakelijkheid van de persoonsgegevensexporteur onder de wet- en regelgeving, en de betrokkene heeft recht op vergoeding voor materiële en morele schade die wordt veroorzaakt door de nalatige partij die de betrokkene schade toebrengt. Als meer dan één partij verantwoordelijk is voor het toebrengen van schade aan de betrokkene als gevolg van de schending van deze standaardcontractbepalingen, worden de verantwoordelijke partijen gezamenlijk of individueel aansprakelijk gesteld, en heeft de betrokkene het recht om juridische stappen te ondernemen voor een rechtbank tegen een van deze partijen. 

10.3 De partijen komen overeen dat als een partij de aansprakelijkheid (b) op zich neemt, hij het recht heeft om dat deel van de vergoeding van de andere partij(en) te vorderen dat overeenkomt met zijn/haar/hun verantwoordelijkheid voor de schade.

10.4 De persoonsgegevensimporteur kan niet vertrouwen op het gedrag van de gegevensverwerker of sub-verwerker om aansprakelijkheid te vermijden. 

11. Rechten van betrokkenen 

11.1 De persoonsgegevensimporteur (met de steun van de persoonsgegevensexporteur) zal, indien van toepassing, alle vragen of verzoeken die van de betrokkene worden ontvangen met betrekking tot de verwerking van persoonsgegevens en de uitoefening van de rechten waarin de wet en de toepasselijke regelgeving zonder vertraging binnen een periode van niet langer dan dertig (30) dagen vanaf de datum van ontvangst van een dergelijk verzoek, behandelen. Deze periode kan voor een soortgelijke periode tot maximaal dertig (30) dagen worden verlengd als de uitvoering van het verzoek buitengewone inspanningen vereist of als de persoonsgegevensimporteur veel verzoeken van het persoonlijke gegevenssubject ontvangt. Het gegevenssubject wordt vooraf op de hoogte gesteld van deze uitbreiding en de redenen daarvoor. 

11.2 Alle verklaringen aan het persoonlijke gegevenssubject moeten in een duidelijk, leesbaar en toegankelijk formaat worden gepresenteerd.

Bijlage

Raadpleeg de Saudische privacyvoorwaarden voor informatie in bijlage 1, 2 en 3.