Klauzula (1) Cel i zakres

a. Celem niniejszych Klauzul jest zapewnienie odpowiedniego poziomu ochrony danych osobowych, równoważnego poziomowi ochrony obowiązującemu na mocy ustawy o ochronie danych osobowych i rozporządzeń wykonawczych do niej, w przypadku braku odpowiedniego poziomu ochrony danych osobowych poza Królestwem poprzez określenie zobowiązań stron zaangażowanych w przekazywanie danych osobowych do kraju lub organizacji międzynarodowej, które nie mają odpowiedniego poziomu ochrony danych osobowych. Dodatek (1) zawiera dane dotyczące zarówno podmiotów przekazujących dane, jak i podmiotów odbierających dane.

b. Niniejsze Klauzule mają zastosowanie do przekazywania danych osobowych zgodnie z Dodatkiem (2) („Przekazane lub ujawnione dane osobowe”).

Klauzula (2) Modyfikacja i wpływ 

a. Niniejsze Klauzule określają odpowiednie zabezpieczenia, w tym prawa do składania skarg przez osoby, których dane dotyczą, i nie można ich zmieniać, z wyjątkiem wybrania odpowiedniego szablonu lub dodania albo aktualizacji informacji w załączniku.

b. Strony mogą włączyć niniejsze Klauzule do kompleksowej umowy lub dodać inne klauzule lub dodatkowe gwarancje, pod warunkiem że nie są one bezpośrednio lub pośrednio sprzeczne z niniejszymi Klauzulami lub nie naruszają praw podstawowych osób, których dane dotyczą.

c. Niniejsze Klauzule nie zwalniają żadnej ze stron ze zobowiązań wynikających z ustaw i rozporządzeń, ani nie naruszają postanowień ustaw i rozporządzeń obowiązujących w Królestwie lub umów, których Królestwo jest stroną.

Klauzula (3) Prawa osób, których dane dotyczą

a. Niniejsze Standardowe klauzule umowne nie naruszają praw osób, których dane dotyczą, na mocy przepisów i rozporządzeń.

b. Osoby, których dane dotyczą a których dane osobowe są przekazywane od stron na podstawie niniejszych Standardowych klauzul umownych, mogą powiadomić właściwy organ („Urząd ds. danych i sztucznej inteligencji w Arabii Saudyjskiej”), jeśli dowiedzą się o naruszeniu niniejszych Standardowych klauzul umownych.

Klauzula (4) Interpretacja

a. O ile z kontekstu nie wynika inaczej, słowa i wyrażenia użyte w niniejszych Klauzulach mają znaczenie nadane im w art. 1 ustawy o ochronie danych osobowych wydanej dekretem królewskim nr (M/19) z dnia 9/2/1443 AH, zmienionym dekretem królewskim nr (M/148) z dnia 5/9/1444 AH, art. 1 rozporządzenia wykonawczego do PDPL i art. 1 rozporządzenia w sprawie przekazywania danych osobowych poza Królestwo.

b. Niniejsze Klauzule należy czytać i interpretować w świetle i zgodnie z postanowieniami prawa i rozporządzeń, o których mowa w ust. (a) niniejszego artykułu, i nie mogą być interpretowane w żaden inny sposób niezgodny z postanowieniami prawa i rozporządzeń.

Klauzula (5) Sprzeczność 

W przypadku sprzeczności między niniejszymi Klauzulami a jakimikolwiek postanowieniami innej umowy między stronami, niniejsze Klauzule mają pierwszeństwo.

Klauzula (6) Szczegóły dotyczące przekazywania danych

Przekazywanie danych osobowych, a także kategorie danych osobowych i cele przekazywania danych zostały opisane w Dodatku.

Klauzula (7) Dodanie nowych stron

a. Każdy podmiot odbierający lub podmiot przekazujący dane osobowe, który nie jest stroną niniejszych Standardowych klauzul osobowych, może przystąpić do niniejszych Standardowych klauzul umownych poprzez wypełnienie i podpisanie Dodatku (1), za zgodą istniejących stron. Podmiot przystępujący będzie albo podmiotem odbierającym dane osobowe, albo podmiotem przekazującym dane osobowe.

b. Po wypełnieniu i podpisaniu Dodatku (1) podmiot przystępujący staje się stroną niniejszych Klauzul, a nowo przyłączony podmiot zobowiązany, począwszy od daty przystąpienia do umowy, przejąć odpowiedzialność w zależności od charakteru operacji przetwarzania i przekazywania danych osobowych, które miały miejsce w dniu lub po dacie przystąpienia, oraz jest uprawniony do wykonywania praw i obowiązków odpowiadających jego roli określonej w niniejszych Klauzulach.

Klauzula (8) Prawo właściwe i jurysdykcja

Niniejsze Standardowe klauzule umowne podlegają obowiązującemu prawu Królestwa Arabii Saudyjskiej. Wszelkie spory wynikające ze stosowania postanowień niniejszych Klauzul będą podlegać jurysdykcji Królestwa i będą rozstrzygane przez jego sądy. Podmiot odbierający dane osobowe, na mocy niniejszych Standardowych klauzul umownych, zgadza się poddać jurysdykcji Królestwa Arabii Saudyjskiej.

Klauzula (9) Zgodność z żądaniami właściwego organu

a. Każda ze stron wyraża zgodę na wypełnianie wszelkich żądań właściwego organu w związku z niniejszymi Standardowymi klauzulami umownymi lub przetwarzaniem przekazanych danych osobowych.

b. Podmiot odbierający dane osobowe zgadza się i zobowiązuje się do współpracy z właściwym organem i spełniania wszystkich jego żądań oraz odpowiedzi na jego zapytania, a także dostarczania niezbędnych dokumentów i informacji w celu zapewnienia zgodności ze Standardowymi klauzulami umownymi.

c. Podmiot odbierający dane osobowe zgadza się przestrzegać środków przyjętych przez właściwy organ, w tym środków naprawczych i odszkodowawczych.

Klauzula (10) Odszkodowanie

a. Jeśli między osobą, której dane dotyczą, a stroną powstanie jakikolwiek spór w odniesieniu do zgodności ze Standardowymi klauzulami umownymi, strona ta powinna wykorzystać wszelkie niezbędne środki w celu polubownego rozstrzygnięcia sporu z osobą, której dane dotyczą, a wszystkie strony poinformują się wzajemnie o istnieniu takiego sporu w celu zapewnienia jego rozwiązania na zasadzie współpracy.

b. Osoba, której dane dotyczą, może złożyć do właściwego organu dowolną skargę wynikającą ze stosowania postanowień niniejszych Standardowych klauzul umownych, zgodnie z procedurami składania skarg określonymi w ustawie i rozporządzeniach.

c. Osoba, której dane dotyczą, ma prawo do dochodzenia przed właściwym sądem roszczeń odszkodowawczych za szkody materialne lub moralne proporcjonalnie do wielkości szkód wynikających ze stosowania niniejszych Standardowych klauzul umownych.

Klauzula (11) Bezpieczeństwo danych osobowych

a. Wszystkie strony podejmują niezbędne środki organizacyjne, administracyjne i techniczne, które zapewniają utrzymanie poufności danych osobowych przed jakimkolwiek naruszeniem na wszystkich etapach przetwarzania, w tym bezpieczeństwo danych osobowych podczas procesu przekazywania.  Oceniając odpowiedni poziom bezpieczeństwa, strony biorą pod uwagę aktualny stan technologii, koszty wdrożenia i charakter przekazywanych danych osobowych, a także charakter, zakres, kontekst, cele i ryzyko związane z przetwarzaniem danych osobowych, a w szczególności rozważają zastosowanie szyfrowania lub usunięcia elementów umożliwiających identyfikację, w tym podczas przekazywania danych osobowych, jeśli cel przetwarzania danych może zostać osiągnięty w ten sposób.

b. Podmiot przekazujący dane osobowe pomoże podmiotowi odbierającemu dane osobowe w spełnianiu niezbędnych wymogów bezpieczeństwa danych, a w przypadku jakiegokolwiek naruszenia danych osobowych w związku z przekazanymi danymi osobowymi przetwarzanymi przez podmiot przekazujący dane osobowe na mocy niniejszych Standardowych klauzul umownych, podmiot przekazujący dane osobowe powiadomi podmiot odbierający dane osobowe niezwłocznie po powzięciu wiadomości o takim naruszeniu i pomoże podmiotowi odbierającemu dane osobowe w ograniczeniu skutków takiego naruszenia.

c. Podmiot przekazujący dane zapewnia, że osoby upoważnione do przetwarzania przekazanych danych osobowych są zobowiązane do zachowania poufności i nieujawniania informacji na mocy odpowiedniego prawnego obowiązku w zakresie poufności i nieujawniania informacji.

Klauzula (12) Okres obowiązywania i rozwiązanie umowy

a. Jeśli z jakiegokolwiek powodu podmiot odbierający dane osobowe nie jest w stanie wypełnić swoich zobowiązań wynikających z niniejszych Standardowych klauzul umownych, musi poinformować o tym podmiot przekazujący dane osobowe w ciągu (24) godzin od momentu uzyskania o tym wiedzy.

b. W przypadku, gdy podmiot odbierający dane osobowe naruszy niniejsze Standardowe klauzule umowne lub nie jest w stanie ich przestrzegać, podmiot przekazujący dane osobowe natychmiast zaprzestanie przekazywania danych osobowych podmiotowi odbierającemu dane osobowe, dopóki podmiot odbierający dane osobowe nie zapewni przywrócenia stanu zgodności z przepisami, pod warunkiem że podmiot odbierający dane osobowe będzie miał okres (30) dni, z możliwością przedłużenia o podobny maksymalny okres, w celu udowodnienia swojej zdolności do spełniania niniejszych Klauzul, a jeśli okres ten upływie bez osiągnięcia tego celu, obie strony zgadzają się rozwiązać umowę, bez żadnej odpowiedzialności dla podmiotu przekazującego dane osobowe lub administratora danych, w zależności od przypadku.

c. Podmiot przekazujący dane osobowe lub administrator danych, w zależności od przypadku, dopilnują, aby wszystkie dane osobowe przekazane uprzednio podmiotowi odbierającemu dane osobowe zostały całkowicie zniszczone przed rozwiązaniem Standardowych klauzul umownych na mocy ust. (b) powyżej. Dopilnuje również, aby wszelkie posiadane kopie takich danych osobowych zostały zniszczone.

d. Podmiot odbierający dane osobowe musi udokumentować zniszczenie danych, a dokumentacja ta musi zostać udostępniona na żądanie podmiotu przekazującego dane osobowe lub administratora.

e. Podmiot odbierający dane osobowe musi nadal zapewniać – do momentu zniszczenia danych – zgodność z niniejszymi Standardowymi klauzulami umownymi.

Klauzula (13) Ochrona przekazywanych danych osobowych

Podmiot przekazujący dane osobowe i podmiot odbierający dane osobowe przetwarzają przekazane dane osobowe zgodnie z charakterem i celami przekazania w następujący sposób:

Klauzule dotyczące powierzenia przetwarzania danych osobowych zawierane pomiędzy administratorami

1. Ograniczenia przetwarzania

Podmiot odbierający dane osobowe jest zobowiązany do przetwarzania przekazanych danych osobowych zgodnie z celami określonymi w Dodatku (2).

2. Zgodność z żądaniami właściwego organu 

2.1 Strony dostarczą kopię niniejszych Klauzul właściwemu organowi na żądanie i bez zbędnej zwłoki, aby właściwy organ mógł wykonać swoje uprawnienia na mocy ustawy i rozporządzeń. Właściwy organ może zażądać wszelkich dodatkowych informacji dotyczących przekazywania danych osobowych.

2.2 Każda ze stron wyraża zgodę na wypełnianie wszelkich żądań właściwego organu w związku z niniejszymi Klauzulami lub przetwarzaniem przekazanych danych. 

2.3 Na żądanie podmiot odbierający dane osobowe (bezpośrednio lub za pośrednictwem podmiotu przekazującego dane osobowe) ujawni osobie, której dane dotyczą, swoją tożsamość i dane kontaktowe oraz kategorie danych osobowych przetwarzanych oraz dostarczy kopię tych informacji

3. Minimalna ilość danych osobowych niezbędna do osiągnięcia celu 

Wszystkie strony zapewniają, aby przekazane dane osobowe były wystarczające i ograniczone do minimalnej ilości niezbędnej do spełnienia celów określonych w Dodatku (2). Jeśli którakolwiek ze stron dowie się o jakimkolwiek przekazaniu niepotrzebnych danych osobowych, strona ta powinna poinformować drugą stronę lub strony niezwłocznie po uzyskaniu takiej wiedzy.

4. Przechowywanie danych osobowych 

Podmiot odbierający dane osobowe zachowa przekazane dane osobowe, jeśli jest to niezbędne do spełnienia celów określonych w Dodatku (2), pod warunkiem że podmiot odbierający dane osobowe bez zbędnej zwłoki usunie lub zanonimizuje przekazane dane osobowe, z wyjątkiem następujących przypadków: 

4.1 Jeśli jest to uzasadnione prawnie na mocy prawa Królestwa oraz ustawy o ochronie danych osobowych i jej rozporządzeń. W takim przypadku dane zostaną zniszczone po upływie okresu ich ważności lub po spełnieniu celu ich gromadzenia, w zależności od tego, który z tych okresów jest dłuższy. 

4.2 Jeśli zatrzymanie przekazanych danych osobowych przez dodatkowy okres jest bezpośrednio związane ze sprawą toczącą się przed organem sądowym, a takie przechowywanie jest wymagane do tego celu, dane zostaną zniszczone po zakończeniu procedur sądowych związanych ze sprawą. 

4.3 Jeśli przechowywanie przekazanych danych osobowych przez dodatkowy okres jest konieczne w celu ochrony życia osoby, której dane dotyczą, lub jej żywotnych interesów.

5. Bezpieczeństwo danych osobowych i powiadomienia o naruszeniu danych osobowych

Strony zapewniają, że środki organizacyjne, administracyjne i techniczne określone w Dodatku (3) zapewniają wystarczający poziom ochrony przekazanych danych osobowych, aby były one zgodne z wymogami art. (19) ustawy i art. (23) rozporządzeń wykonawczych. 

5.1 Podmiot odbierający dane osobowe wdroży środki bezpieczeństwa określone w Dodatku (3) i stosuje te środki do wszystkich przekazanych danych osobowych w celu zapewnienia bezpieczeństwa i ochrony danych osobowych przed jakimkolwiek naruszeniem, które może skutkować szkodami dla osoby, której dane dotyczą, działaniami niezgodnymi z prawem, utratą, zmianą, ujawnieniem danych osobowych lub nieuprawnionym dostępem.

5.2 Podmiot odbierający dane osobowe musi okresowo dokonywać przeglądu środków bezpieczeństwa określonych w Dodatku (3), aby upewnić się, że są one wdrażane zgodnie z wymaganiami, i w razie potrzeby aktualizować je w celu zapewnienia zgodności z art. (19) ustawy i art. (23) rozporządzeń wykonawczych. 

5.3 Jeśli podmiot odbierający dane osobowe dowie się o incydencie związanym z naruszeniem danych, które może zaszkodzić przekazanym danym osobowym lub osobom, których dane dotyczą, lub pozostaje w konflikcie z ich prawami lub interesami, podmiot odbierający dane osobowe musi powiadomić właściwy organ w ciągu (72) godzin od uzyskania wiedzy o incydencie, zgodnie z wymogami określonymi w art. (24) rozporządzeń wykonawczych do ustawy. 

6. Dane o szczególnym znaczeniu 

Bez uszczerbku dla wszelkich ograniczeń dotyczących danych o szczególnym znaczeniu określonych w ustawie i rozporządzeniach wykonawczych do ustawy, podmiot przekazujący dane osobowe zapewnia, że podmiot odbierający dane osobowe przyjmuje dodatkowe zabezpieczenia odpowiednie do charakteru danych o szczególnym znaczeniu i zapewnia, że są one chronione przed wszelkimi ryzykami podczas przetwarzania, zapewniając jednocześnie stosowanie ograniczeń i dodatkowych zabezpieczeń opisanych w Dodatku (2). 

7. Późniejsze przekazanie danych

7.1 Podmiot odbierający dane osobowe nie przekaże ani nie ujawni przekazanych danych osobowych stronie trzeciej poza Królestwem, chyba że strona ta przystąpiła do niniejszych Klauzul zgodnie z odpowiednim szablonem i postanowieniami Klauzuli (7) powyżej. 

7.2 Bez uszczerbku dla postanowień art. (8) i (15) ustawy oraz (17) rozporządzenia wykonawczego do ustawy, postanowienia ustawy i rozporządzeń mają zastosowanie do późniejszego przekazania danych osobowych, które zostały uprzednio przekazane lub ujawnione podmiotowi poza Królestwem.

8. Przydzielanie podmiotów przetwarzających 

Podmiot odbierający dane osobowe będzie zobowiązany do wybrania podmiotu przetwarzającego, który zapewnia wystarczające gwarancje ochrony przekazanych danych osobowych, a umowa z podmiotem przetwarzającym będzie obejmować wszystkie wymogi określone w art. 17 rozporządzenia wykonawczego. Przetwarzanie będzie opierać się wyłącznie na instrukcjach podmiotu odbierającego dane, pod warunkiem że instrukcje te są zgodne z wymogami określonymi w niniejszych Klauzulach.

9. Zgodność z niniejszymi Klauzulami 

9.1 Wszystkie strony wykażą na żądanie właściwego organu pełną zgodność z niniejszymi Klauzulami, a podmiot odbierający dane osobowe będzie przechowywać dokumenty związane z działaniami przetwarzania danych osobowych prowadzonymi pod jego nadzorem wraz z rejestrami działań przetwarzania danych osobowych zgodnie z art. (33) rozporządzenia. 

9.2 Podmiot odbierający dane osobowe dostarczy te dokumenty właściwemu organowi na żądanie. 

10. Odpowiedzialność 

10.1 Każda ze stron ponosi odpowiedzialność wobec drugiej strony za wszelkie szkody wyrządzone drugiej stronie w wyniku naruszenia którejkolwiek z niniejszych Standardowych klauzul umownych. 

10.2 Każda ze stron ponosi odpowiedzialność wobec osoby, której dane dotyczą, bez uszczerbku dla odpowiedzialności podmiotu przekazującego dane osobowe na mocy ustawy i rozporządzeń, a osoba, której dane dotyczą, jest uprawniona do odszkodowania za wszelkie szkody materialne i moralne spowodowane przez stronę popełniającą zaniedbania i wyrządzającą szkodę osobie, której dane dotyczą. Jeśli więcej niż jedna strona jest odpowiedzialna za wyrządzenie szkód osobie, której dane dotyczą, w wyniku naruszenia niniejszych Standardowych klauzul umownych, strony odpowiedzialne ponoszą wspólnie lub indywidualnie odpowiedzialność, a osoba, której dane dotyczą, ma prawo do podjęcia działań prawnych przed sądem przeciwko każdej z tych stron. 

10.3 Strony zgadzają się, że jeśli którakolwiek ze stron przyjmie odpowiedzialność (b), jest uprawniona do dochodzenia od drugiej strony części odszkodowania odpowiadającej jej odpowiedzialności za szkody.

10.4 Podmiot odbierający dane osobowe nie może polegać na zachowaniu podmiotu przetwarzającego dane lub podwykonawcy przetwarzającego dane w celu uniknięcia odpowiedzialności. 

11. Prawa osób, których dane dotyczą 

11.1 Podmiot odbierający dane osobowe (przy wsparciu podmiotu przekazującego dane osobowe) rozpatrzy, w odpowiedni sposób, wszelkie zapytania lub żądania otrzymane od osoby, której dane dotyczą, dotyczące przetwarzania danych osobowych i wykonywania praw przewidzianych zgodnie z ustawą i obowiązującymi rozporządzeniami bez żadnej zwłoki w okresie nie dłuższym niż trzydzieści (30) dni od daty otrzymania takiego żądania. Okres ten może zostać przedłużony o podobny okres, do maksymalnie trzydziestu (30) dni, jeśli wykonanie żądania wymaga nadzwyczajnego wysiłku lub jeśli podmiot odbierający dane osobowe otrzyma wiele żądań od osoby, której dane dotyczą. Osoba, której dane dotyczą, jest z wyprzedzeniem powiadamiana o takim przedłużeniu i jego przyczynach. 

11.2 Wszystkie oświadczenia skierowane do osoby, której dane dotyczą, muszą zostać przedstawione w jasnym, czytelnym i dostępnym formacie.

Dodatek

Informacje zawarte w Dodatkach 1, 2 i 3 można znaleźć w Warunkach Ochrony Prywatności w Arabii Saudyjskiej.