Cláusula (1) Finalidade e âmbito

a. A finalidade das presentes Cláusulas é garantir que seja aplicado um nível adequado de proteção dos Dados Pessoais, equivalente ao nível de proteção aplicável nos termos da Lei de Proteção de Dados Pessoais e dos seus Regulamentos de Execução, na ausência de um nível adequado de proteção dos Dados Pessoais fora do Reino especificando as obrigações das partes envolvidas na transferência de Dados Pessoais para um país ou organização internacional que não tenha um nível adequado de proteção de Dados Pessoais. O Apêndice (1) mostra os dados para os Exportadores de Dados e Importadores de Dados.

b. As presentes Cláusulas aplicam-se à transferência de Dados Pessoais conforme especificado no Apêndice (2) ("Dados Pessoais a serem Transferidos ou Divulgados").

Cláusula (2) Modificação e impacto 

a. As presentes Cláusulas estabelecem as salvaguardas adequadas, incluindo direitos de reclamação por parte de Titulares de Dados Pessoais, e não podem ser alteradas exceto para selecionar o modelo adequado ou para adicionar ou atualizar informações no apêndice.

b. As partes podem incorporar estas Cláusulas num acordo global ou adicionar outras cláusulas ou garantias adicionais, desde que não entrem em conflito direta ou indiretamente com as presentes Cláusulas nem violem os direitos fundamentais de Titulares de Dados Pessoais.

c. As presentes Cláusulas não isentam nenhuma das partes das suas obrigações nos termos da Lei e dos Regulamentos, nem prejudicam as disposições das Leis e Regulamentos em vigor no Reino ou dos acordos dos quais o Reino é parte.

Cláusula (3) Direitos dos titulares de dados pessoais

a. As presentes cláusulas contratuais-tipo não prejudicam os direitos dos Titulares de Dados Pessoais ao abrigo da Lei e dos Regulamentos.

b. Os Titulares de Dados Pessoais cujos Dados Pessoais são transferidos das partes com base nas presentes cláusulas contratuais-tipo podem notificar a Autoridade Competente ("Autoridade de Dados e IA da Arábia Saudita") se tomarem conhecimento de qualquer violação das presentes cláusulas contratuais-tipo.

Cláusula (4) Interpretação

a. Salvo se o contexto exigir de outra forma, as palavras e frases utilizadas nestas Cláusulas devem ter os significados que lhes são atribuídos no Artigo (1) da Lei de Proteção de Dados Pessoais emitida pelo Decreto Real n.º (M/19) de 9/2/1443 AH e alterado pelo Decreto Real n.º (M/148) de 5/9/1444 AH, no Artigo (1) do Regulamento de Execução da PDPL e no artigo (1) do Regulamento sobre a Transferência de Dados Pessoais para Fora do Reino.

b. Estas Cláusulas devem ser lidas e interpretadas à luz e em conformidade com as disposições da Lei e dos Regulamentos referidas no parágrafo (a) do presente artigo, e não podem ser interpretadas de qualquer outra forma que seja inconsistente com as disposições da Lei e dos Regulamentos.

Cláusula (5) Conflito 

Em caso de conflito entre estas Cláusulas e qualquer disposição de qualquer outro acordo entre as partes, as presentes Cláusulas prevalecem.

Cláusula (6) Detalhes das transferências

A(s) transferência(s), bem como as categorias de Dados Pessoais e as finalidades das transferências, estão descritas no Apêndice.

Cláusula (7) Adição de novas partes

a. Qualquer Importador de Dados Pessoais ou Exportador de Dados Pessoais que não seja parte nas presentes cláusulas-tipo pode aderir às presentes cláusulas contratuais-tipo preenchendo e assinando o Apêndice (1), com o consentimento das partes existentes. A entidade aderente deve ser o Importador de Dados Pessoais ou o Exportador de Dados Pessoais.

b. Quando o Apêndice (1) tiver sido preenchido e assinado, a Entidade aderente deve ser parte das presentes Cláusulas e a Entidade recém-Aderida deve, a partir da data de adesão, assumir as responsabilidades dependendo da natureza das operações de tratamento e transferência de Dados Pessoais que ocorreram na ou após a data de adesão, e terá o direito de exercer os direitos e obrigações correspondentes à sua função, conforme definido nestas Cláusulas.

Cláusula (8) Lei aplicável e jurisdição

As presentes cláusulas contratuais-tipo devem ser regidas pelas leis aplicáveis do Reino da Arábia Saudita. Qualquer litígio decorrente da aplicação das disposições das presentes Cláusulas será da competência do Reino e submetido aos seus tribunais. O Importador de Dados Pessoais, ao abrigo das presentes cláusulas contratuais-tipo, concorda em se submeter à jurisdição do Reino da Arábia Saudita.

Cláusula (9) Cumprimento dos pedidos da autoridade competente

a. Cada parte concorda em cumprir quaisquer pedidos da Autoridade Competente em relação a estas cláusulas contratuais-tipo ou ao tratamento de Dados Pessoais transferidos.

b. O Importador de Dados Pessoais concorda e compromete-se a cooperar com a Autoridade Competente e a cumprir todos os seus pedidos e consultas e a fornecer os documentos e informações necessários para garantir a conformidade com as cláusulas contratuais-tipo.

c. O Importador de Dados Pessoais concorda em cumprir as medidas adotadas pela Autoridade Competente, incluindo medidas corretivas e compensação.

Cláusula (10) Compensação

a. Se surgir qualquer litígio entre o Titular de Dados Pessoais e uma das partes no que diz respeito ao cumprimento das cláusulas contratuais-tipo, essa parte deve envidar todos os esforços necessários para resolver o litígio de forma amigável com o Titular de Dados Pessoais e todas as partes devem informar-se mutuamente da existência desse litígio, a fim de garantir que este seja resolvido em cooperação mútua.

b. O Titular de Dados Pessoais pode apresentar à Autoridade Competente qualquer reclamação decorrente da aplicação das disposições das presentes cláusulas contratuais-tipo, de acordo com os procedimentos para a apresentação de reclamações especificados pela Lei e pelos Regulamentos.

c. O Titular de Dados Pessoais tem o direito de reclamar perante o tribunal competente uma indemnização por danos materiais ou morais na proporção da magnitude dos danos decorrentes da aplicação das presentes cláusulas contratuais-tipo.

Cláusula (11) Segurança dos dados pessoais

a. Todas as partes devem adotar as medidas organizacionais, administrativas e técnicas necessárias que garantam a manutenção da privacidade dos Dados pessoais contra qualquer violação em todas as fases do tratamento, incluindo a segurança dos dados pessoais durante o processo de transferência.  Ao avaliar o nível adequado de segurança, as Partes devem ter em conta o estado atual da tecnologia, os custos de implementação e a natureza dos Dados Pessoais transferidos, bem como a natureza, o âmbito, o contexto, as finalidades, os riscos envolvidos no tratamento dos Dados Pessoais e, especificamente, devem considerar a aplicação da encriptação ou desidentificação, incluindo durante a transferência de Dados Pessoais, quando a finalidade do tratamento dos dados pode ser alcançada desta forma.

b. O Exportador de Dados Pessoais deve auxiliar o Importador de Dados Pessoais a cumprir os requisitos de segurança dos dados necessários e, em caso de qualquer violação dos Dados Pessoais em relação aos Dados Pessoais transferidos tratados pelo Exportador de Dados Pessoais ao abrigo das presentes cláusulas contratuais-tipo, o Exportador de Dados Pessoais deve notificar o Importador de Dados Pessoais sem demora após ter conhecimento dessa violação e deve auxiliar o Importador de Dados Pessoais a conter a referida violação.

c. O Exportador de Dados garante que as pessoas autorizadas a tratar os Dados Pessoais transferidos estão vinculadas à confidencialidade e à não divulgação ao abrigo de uma obrigação legal adequada de confidencialidade e não divulgação.

Cláusula (12) Duração e rescisão

a. Se, por qualquer motivo, o Importador de Dados Pessoais não puder cumprir as suas obrigações ao abrigo das presentes cláusulas contratuais-tipo, deve informar o Exportador de Dados Pessoais no prazo de (24) horas a contar do momento em que toma conhecimento do facto.

b. No caso de o Importador de Dados Pessoais violar as presentes cláusulas contratuais-tipo ou não ser capaz de as cumprir, o Exportador de Dados Pessoais deve cessar imediatamente a transferência de Dados Pessoais para o Importador de Dados Pessoais até que o Importador de Dados Pessoais garanta novamente o seu regresso à conformidade, desde que ao Importador de Dados Pessoais seja concedido um período de (30) dias, prorrogável por um período máximo semelhante, para provar a sua capacidade de cumprir as presentes Cláusulas e, se o período expirar sem que este objetivo seja alcançado, as duas partes devem concordar em rescindir o contrato, sem qualquer responsabilidade para o Exportador de Dados Pessoais ou para o Responsável pelo Tratamento, consoante o caso.

c. O Exportador de Dados Pessoais ou o responsável pelo tratamento, consoante o caso, devem garantir que todos os Dados Pessoais anteriormente transferidos para o Importador de Dados Pessoais sejam totalmente destruídos antes de rescindir as cláusulas contratuais-tipo ao abrigo do parágrafo (b) acima. Deve igualmente garantir que quaisquer cópias que tenha desses dados pessoais sejam destruídas.

d. O Importador de Dados Pessoais deve documentar a destruição dos dados e esta documentação deve ser fornecida ao Exportador de Dados Pessoais ou ao responsável pelo tratamento de dados, mediante pedido.

e. O Importador de Dados Pessoais deve continuar a garantir - até que os dados sejam destruídos - que cumpre as presentes cláusulas contratuais-tipo.

Cláusula (13) Proteção dos dados pessoais transferidos

O Exportador de Dados Pessoais e o Importador de Dados Pessoais devem tratar os Dados Pessoais transferidos de acordo com a natureza e as finalidades da transferência da seguinte forma:

Cláusulas de responsável pelo tratamento para responsável pelo tratamento

1. Restrições ao tratamento

O Importador de Dados Pessoais é obrigado a tratar os Dados Pessoais transferidos de acordo com as finalidades estabelecidas no Apêndice (2).

2. Cumprimento dos pedidos da autoridade competente 

2.1 As partes devem fornecer uma cópia das presentes Cláusulas à Autoridade Competente mediante pedido e sem demora injustificada para que a Autoridade Competente possa exercer os seus poderes ao abrigo da Lei e dos Regulamentos. A Autoridade Competente pode solicitar quaisquer informações adicionais no que diz respeito às transferências de Dados Pessoais.

2.2 Cada parte concorda em cumprir quaisquer pedidos efetuados pela Autoridade Competente em relação a estas cláusulas ou ao tratamento de dados transferidos. 

2.3 Mediante pedido, o Importador de Dados Pessoais (diretamente ou através do Exportador de Dados Pessoais) deve divulgar a sua identidade e detalhes de contacto e as categorias de Dados Pessoais que estão a ser tratados ao Titular de Dados Pessoais e fornecer uma cópia destes itens

3. A quantidade mínima de dados pessoais necessários para cumprir a finalidade 

Todas as partes devem garantir que os Dados Pessoais transferidos sejam suficientes e limitados à quantidade mínima necessária para cumprir as finalidades estabelecidas no Apêndice (2). Se qualquer das partes tomar conhecimento de qualquer transferência de Dados Pessoais desnecessários, essa parte deve informar a(s) outra(s) parte(s) assim que tomar conhecimento do facto.

4. Retenção dos dados pessoais 

O Importador de Dados Pessoais deve reter os Dados Pessoais transferidos se for necessário para cumprir as finalidades estabelecidas no Apêndice (2), desde que o Importador de Dados Pessoais, sem demora injustificada, elimine ou anonimize os Dados Pessoais transferidos, exceto nos seguintes casos: 

4.1 Se estiver em conformidade com uma justificação legal ao abrigo das leis do Reino e da Lei de Proteção de Dados Pessoais e seus regulamentos; neste caso, os dados serão destruídos após o termo do prazo ou assim que a finalidade da sua recolha tiver sido cumprida, consoante o que for mais longo. 

4.2 Se a retenção dos dados pessoais transferidos por um período adicional estiver diretamente relacionada com um caso pendente perante uma autoridade judicial e essa retenção for necessária para esta finalidade, os dados devem ser destruídos após a conclusão dos procedimentos judiciais relacionados com o caso. 

4.3 Se for necessário reter os dados pessoais transferidos por um período adicional para proteger a vida do titular dos dados ou os seus interesses vitais.

5. Segurança dos dados pessoais e notificações de violação dos dados pessoais

As Partes devem garantir que as medidas organizacionais, administrativas e técnicas especificadas no Apêndice (3) forneçam um nível suficiente de proteção para que os Dados Pessoais transferidos possam cumprir os requisitos do artigo (19) da Lei e do artigo (23) dos Regulamentos de Execução. 

5.1 O Importador de Dados Pessoais deve implementar as medidas de segurança especificadas no Apêndice (3) e aplicar essas medidas a todos os Dados Pessoais transferidos para garantir a segurança e a proteção dos Dados Pessoais contra qualquer violação que possa resultar em danos para o Titular de Dados Pessoais, ação ilegal, perda, alteração, divulgação de Dados Pessoais ou acesso não autorizado.

5.2 O Importador de Dados Pessoais deve rever periodicamente as medidas de segurança estipuladas no Apêndice (3) para garantir que estejam a ser implementadas conforme exigido e atualizá-las conforme necessário para garantir a conformidade com o artigo (19) da Lei e o artigo (23) dos Regulamentos de Execução. 

5.3 Se o Importador de Dados Pessoais tomar conhecimento de um incidente de violação de dados que possa prejudicar os dados pessoais transferidos ou os titulares dos dados, ou entrar em conflito com os seus direitos ou interesses, o Importador de Dados Pessoais deve notificar a autoridade competente no prazo de (72) horas após tomar conhecimento do incidente, de acordo com os requisitos declarados no artigo (24) dos Regulamentos de Execução da Lei. 

6. Dados sensíveis 

Sem prejuízo de quaisquer restrições relativas a dados sensíveis estipuladas na Lei e nos Regulamentos de Execução da Lei, o Exportador de Dados Pessoais deve garantir que o Importador de Dados Pessoais adota salvaguardas adicionais adequadas à natureza dos dados sensíveis e garante que estes são protegidos contra quaisquer riscos durante o seu tratamento, assegurando simultaneamente que as restrições e salvaguardas adicionais descritas no Apêndice (2) são aplicadas. 

7. Transferência subsequente

7.1 O Importador de Dados Pessoais não deve transferir ou divulgar os Dados Pessoais transferidos para terceiros fora do Reino, a menos que essa parte tenha aderido a estas Cláusulas e em conformidade com o modelo adequado e as disposições da Cláusula (7) acima. 

7.2 Sem prejuízo das disposições dos Artigos (8) e (15) da Lei e (17) do Regulamento de Execução da Lei, as disposições da Lei e dos Regulamentos devem aplicar-se à transferência subsequente de Dados Pessoais que tenham sido anteriormente transferidos ou divulgados para uma entidade fora do Reino.

8. Atribuição de subcontratantes 

O Importador de Dados Pessoais é obrigado a selecionar um Subcontratante que ofereça garantias suficientes para a proteção dos dados pessoais transferidos, e o acordo com o Subcontratante deve incluir todos os requisitos estabelecidos no artigo (17) do Regulamento de Execução, e o tratamento deve basear-se exclusivamente nas instruções do Importador de Dados, desde que essas instruções sejam consentâneas com os requisitos estabelecidos nas presentes Cláusulas.

9. Cumprimento das presentes Cláusulas 

9.1 Todas as partes devem demonstrar a plena conformidade com estas Cláusulas à Autoridade Competente mediante pedido e o Importador de Dados Pessoais deve manter os documentos relacionados com as atividades de tratamento de Dados Pessoais conduzidas sob a sua supervisão, para além dos registos das atividades de tratamento de Dados Pessoais, conforme estipulado no Artigo (33) do Regulamento. 

9.2 O Importador de Dados Pessoais deve fornecer estes documentos à Autoridade Competente mediante pedido. 

10. Responsabilidade 

10.1 Cada parte será responsável perante a outra parte por quaisquer danos causados à outra parte em resultado da violação de qualquer uma destas cláusulas contratuais-tipo. 

10.2 Cada parte será responsável perante o Titular de Dados Pessoais, sem prejuízo da responsabilidade do Exportador de Dados Pessoais ao abrigo da Lei e dos Regulamentos, e o Titular de Dados Pessoais terá direito a uma indemnização por quaisquer danos materiais e morais causados pela parte negligente que prejudica o Titular de Dados Pessoais. Se mais do que uma das partes for responsável por causar danos ao Titular de Dados Pessoais em resultado da violação destas cláusulas contratuais-tipo, as partes responsáveis devem ser responsabilizadas conjunta ou individualmente e o Titular de Dados Pessoais deve ter o direito de interpor uma ação legal perante um tribunal contra qualquer uma destas partes. 

10.3 As partes concordam que, se qualquer das partes assumir a responsabilidade (b), terá o direito de reclamar da(s) outra(s) parte(s) a parcela da indemnização correspondente à sua responsabilidade pelos danos.

10.4 O Importador de Dados Pessoais não pode invocar o comportamento do Subcontratante ou do Subcontratante Secundário para se eximir da sua responsabilidade. 

11. Direito dos titulares de dados pessoais 

11.1 O Importador de Dados Pessoais (com o apoio do Exportador de Dados Pessoais) deve tratar, conforme adequado, de quaisquer consultas ou pedidos recebidos do Titular dos Dados no que diz respeito ao tratamento de Dados Pessoais e ao exercício dos direitos previstos em conformidade com a Lei e os regulamentos aplicáveis sem qualquer demora num período não superior a trinta (30) dias a contar da data de receção desse pedido. Este período pode ser prorrogado por um período semelhante, até um máximo de trinta (30) dias, se a execução do pedido exigir um esforço extraordinário ou se o Importador de Dados Pessoais receber muitos pedidos do Titular de Dados Pessoais. O Titular dos Dados é notificado antecipadamente sobre esta extensão e os seus motivos. 

11.2 Todas as declarações efetuadas ao Titular de Dados Pessoais devem ser apresentadas num formato claro, legível e acessível.

Apêndice

Para obter informações no Apêndice 1, 2 e 3, consulte os Termos de Privacidade da Arábia Saudita.