Clauza (1) Scopul și domeniul de aplicare

a. Scopul acestor Clauze este de a asigura aplicarea unui nivel adecvat de protecție a datelor cu caracter personal, echivalent cu nivelul de protecție prevăzut de Legea privind protecția datelor cu caracter personal și regulamentele sale de punere în aplicare, în situațiile în care un astfel de nivel adecvat de protecție nu este asigurat în afara Regatului, prin specificarea obligațiilor părților implicate în transferul datelor cu caracter personal către o țară sau o organizație internațională care nu oferă un nivel corespunzător de protecție a acestor date. Anexa (1) prezintă datele atât pentru Exportatorii de date, cât și pentru Importatorii de date.

b. Aceste Clauze se aplică transferului de date cu caracter personal, astfel cum este specificat în Anexa (2) („Date cu caracter personal care urmează să fie transferate sau divulgate”).

Clauza (2) Modificarea și impactul 

a. Aceste clauze stabilesc garanții adecvate, inclusiv drepturi de plângere pentru persoanele vizate de datele cu caracter personal, și nu pot fi modificate, cu excepția alegerii șablonului corespunzător sau pentru a adăuga sau actualiza informații în anexă.

b. Părțile pot încorpora aceste clauze într-un acord cuprinzător sau pot adăuga alte clauze ori garanții suplimentare, cu condiția ca acestea să nu contravină direct sau indirect acestor clauze și să nu aducă atingere drepturilor fundamentale ale persoanelor vizate de datele cu caracter personal.

c. Aceste clauze nu absolvă nicio parte de obligațiile care îi revin în temeiul legii și al reglementărilor, și nici nu aduc atingere dispozițiilor legilor și reglementărilor aflate în vigoare în Regat sau acordurilor la care Regatul este parte.

Clauza (3) Drepturile persoanelor vizate de datele cu caracter personal

a. Aceste Clauze Contractuale Standard nu aduc atingere drepturilor persoanelor vizate de datele cu caracter personal, prevăzute de lege și reglementări.

b. Persoanele vizate ale căror date cu caracter personal sunt transferate de către părți în baza acestor Clauze Contractuale Standard pot notifica Autoritatea Competentă („Autoritatea Saudită pentru Date și Inteligență Artificială”) dacă iau cunoștință de vreo încălcare a acestor Clauze Contractuale Standard.

Clauza (4) Interpretare

a. Cu excepția cazului în care contextul impune altfel, termenii și expresiile utilizate în aceste clauze vor avea semnificațiile care le sunt atribuite în articolul (1) din Legea privind protecția datelor cu caracter personal, emisă prin Decretul Regal nr. (M/19) din data de 9/2/1443 AH și modificată prin Decretul Regal nr. (M/148) din data de 5/9/1444 AH, articolul (1) din Regulamentul de aplicare al acestei legi, precum și articolul (1) din Regulamentul privind transferul datelor cu caracter personal în afara Regatului.

b. Aceste clauze trebuie citite și interpretate în lumina și în conformitate cu dispozițiile legii și reglementărilor menționate la alineatul (a) al acestui articol și nu pot fi interpretate în niciun alt mod care să fie în contradicție cu prevederile legii și ale reglementărilor.

Clauza (5) Conflictul 

În cazul unui conflict între aceste clauze și orice prevedere dintr-un alt acord încheiat între părți, aceste clauze vor prevala.

Clauza (6) Detalii privind transferurile

Transferul (transferurile), precum și categoriile de date cu caracter personal și scopurile acestor transferuri, sunt descrise în Anexă.

Clauza (7) Adăugarea de noi părți

a. Orice importator sau exportator de date cu caracter personal care nu este parte la aceste Clauze Contractuale Standard poate adera la acestea prin completarea și semnarea Anexei (1), cu acordul părților existente. Entitatea care aderă va fi fie Importatorul de Date cu Caracter Personal, fie Exportatorul de Date cu Caracter Personal.

b. Odată ce Anexa (1) a fost completată și semnată, Entitatea Aderentă va deveni parte la aceste Clauze, iar, începând cu data aderării, aceasta va prelua responsabilitățile aferente, în funcție de natura operațiunilor de prelucrare și transfer al datelor cu caracter personal care au avut loc la sau după data aderării, și va avea dreptul să exercite drepturile și obligațiile corespunzătoare rolului său, astfel cum este definit în aceste Clauze.

Clauza (8) Legea aplicabilă și jurisdicția

Aceste clauze contractuale standard sunt reglementate de legile aplicabile ale Regatului Arabiei Saudite. Orice litigiu care rezultă din aplicarea dispozițiilor acestor Clauze va intra în competența Regatului și va fi sesizat în instanțele acestuia. Importatorul de date cu caracter personal, în temeiul acestor Clauze Contractuale Standard, este de acord să se supună jurisdicției Regatului Arabiei Saudite.

Clauza (9) Respectarea solicitărilor autorității competente

a. Fiecare parte este de acord să se conformeze oricăror solicitări din partea Autorității Competente în legătură cu aceste Clauze Contractuale Standard sau cu prelucrarea datelor cu caracter personal transferate.

b. Importatorul de date cu caracter personal este de acord și se angajează să coopereze cu Autoritatea Competentă, să răspundă tuturor solicitărilor și cererilor acesteia și să furnizeze documentele și informațiile necesare pentru a asigura conformitatea cu Clauzele Contractuale Standard.

c. Importatorul de date cu caracter personal este de acord să respecte măsurile adoptate de Autoritatea Competentă, inclusiv măsurile corective și cele privind compensațiile.

Clauza (10) Despăgubiri

a. În cazul apariției unui litigiu între persoana vizată și o parte privind respectarea Clauzelor Contractuale Standard, acea parte va utiliza toate mijloacele necesare pentru a soluționa amiabil litigiul cu persoana vizată, iar toate părțile se vor informa reciproc despre existența unui astfel de litigiu pentru a asigura rezolvarea acestuia în cooperare.

b. Persoana vizată poate înainta Autorității Competente orice plângere care decurge din aplicarea prevederilor acestor Clauze Contractuale Standard, în conformitate cu procedurile de depunere a plângerilor prevăzute de Lege și Reglementări.

c. Persoana vizată are dreptul să solicite în fața instanței competente despăgubiri pentru prejudicii materiale sau morale, proporțional cu amploarea daunelor cauzate prin aplicarea acestor Clauze Contractuale Standard.

Clauza (11) Securitatea datelor cu caracter personal

a. Toate părțile vor lua măsurile organizaționale, administrative și tehnice necesare pentru a asigura protejarea confidențialității datelor cu caracter personal împotriva oricărei încălcări în toate etapele prelucrării, inclusiv securitatea datelor cu caracter personal pe parcursul procesului de transfer.  În evaluarea nivelului adecvat de siguranță, părțile vor lua în considerare stadiul actual al tehnologiei, costurile de implementare și natura datelor cu caracter personal transferate, precum și natura, amploarea, contextul, scopurile și riscurile implicate în prelucrarea datelor cu caracter personal, și vor analiza în mod special aplicarea criptării sau a de-identificării, inclusiv pe durata transferului datelor cu caracter personal, atunci când scopul prelucrării datelor poate fi atins în acest mod.

b. Exportatorul de date cu caracter personal va asista Importatorul de date cu caracter personal în îndeplinirea cerințelor necesare privind securitatea datelor, iar în cazul oricărei încălcări a securității datelor cu caracter personal referitoare la datele transferate și prelucrate de Exportatorul de date cu caracter personal în temeiul acestor Clauze Contractuale Standard, Exportatorul de date cu caracter personal va notifica fără întârziere Importatorul de date cu caracter personal după ce ia cunoștință de respectiva încălcare și îl va asista în conținerea acesteia.

c. Exportatorul de date asigură că persoanele autorizate să prelucreze datele cu caracter personal transferate sunt obligate la confidențialitate și nedivulgare, în baza unei obligații legale corespunzătoare de confidențialitate și nedivulgare.

Clauza (12) Durata și rezilierea

a. Dacă, din orice motiv, Importatorul de date cu caracter personal nu poate îndeplini obligațiile care îi revin în temeiul acestor Clauze Contractuale Standard, acesta trebuie să informeze Exportatorul de date cu caracter personal în termen de 24 de ore de la momentul în care ia cunoștință de această situație.

b. În cazul în care Importatorul de date cu caracter personal încalcă aceste Clauze Contractuale Standard sau nu poate să le respecte, Exportatorul de date cu caracter personal va înceta imediat transferul datelor cu caracter personal către Importatorul de date cu caracter personal până când Importatorul asigură revenirea la conformitate. Importatorului i se va acorda un termen de 30 de zile, care poate fi extins cu o perioadă similară maximă, pentru a demonstra capacitatea de a respecta aceste Clauze. Dacă termenul expiră fără îndeplinirea acestei condiții, cele două părți vor conveni să înceteze contractul, fără nicio răspundere pentru Exportator sau Operator, după caz.

c. Exportatorul de date cu caracter personal sau Operatorul, după caz, va asigura că toate datele cu caracter personal transferate anterior către Importatorul de date cu caracter personal sunt complet distruse înainte de încetarea Clauzelor Contractuale Standard conform alineatului (b) de mai sus. De asemenea, va asigura că orice copii ale acestor date cu caracter personal aflate în posesia sa sunt distruse.

d. Importatorul de date cu caracter personal trebuie să documenteze distrugerea datelor, iar această documentație trebuie pusă la dispoziția Exportatorului de date cu caracter personal sau Operatorului, la cerere.

e. Importatorul de date cu caracter personal trebuie să continue să asigure — până la distrugerea datelor — respectarea acestor Clauze Contractuale Standard.

Clauza (13) Protecția datelor cu caracter personal transferate

Exportatorul de date cu caracter personal și Importatorul de date cu caracter personal vor prelucra datele cu caracter personal transferate conform naturii și scopurilor transferului, după cum urmează:

Clauze între Operator și Operator

1. Restricții de prelucrare

Importatorul de date cu caracter personal este obligat să prelucreze datele cu caracter personal transferate în conformitate cu scopurile prevăzute în Anexa (2).

2. Respectarea solicitărilor Autorității competente 

2.1 Părțile vor pune la dispoziția Autorității competente o copie a acestor Clauze, la cerere și fără întârziere nejustificată, pentru ca Autoritatea competentă să își poată exercita atribuțiile conform Legii și Reglementărilor. Autoritatea competentă poate solicita orice informații suplimentare privind transferurile de date cu caracter personal.

2.2 Fiecare parte este de acord să se conformeze oricăror solicitări făcute de Autoritatea competentă în legătură cu aceste Clauze sau cu prelucrarea datelor transferate. 

2.3 La cerere, Importatorul de date cu caracter personal (direct sau prin intermediul Exportatorului de date cu caracter personal) va dezvălui persoanei vizate identitatea sa, datele de contact și categoriile de date cu caracter personal prelucrate, precum și va pune la dispoziție o copie a acestor informații

3. Cantitatea minimă de date cu caracter personal necesară pentru a îndeplini scopul 

Toate părțile vor asigura că datele cu caracter personal transferate sunt suficiente și limitate la minimul necesar pentru îndeplinirea scopurilor prevăzute în Anexa (2). Dacă oricare parte ia cunoștință de un transfer de date cu caracter personal nejustificat, aceasta va informa celelalte părți imediat ce devine conștientă de situație.

4. Păstrarea datelor cu caracter personal 

Importatorul de date cu caracter personal va păstra datele cu caracter personal transferate dacă acest lucru este necesar pentru îndeplinirea scopurilor prevăzute în Anexa (2), cu condiția ca Importatorul să șteargă sau să anonimizeze datele transferate, fără întârziere nejustificată, cu excepția următoarelor cazuri: 

4.1 Dacă acest lucru este în conformitate cu o justificare legală prevăzută de legile Regatului și de Legea privind protecția datelor cu caracter personal și regulamentele acesteia; în acest caz, datele vor fi distruse după expirarea perioadei sau după îndeplinirea scopului pentru care au fost colectate, în funcție de care dintre acestea este mai lungă. 

4.2 Dacă păstrarea datelor cu caracter personal transferate pentru o perioadă suplimentară este direct legată de un caz aflat în curs de soluționare în fața unei autorități judiciare și această păstrare este necesară în acest scop, datele vor fi distruse după finalizarea procedurilor judiciare aferente cazului. 

4.3 Dacă păstrarea datelor cu caracter personal transferate pentru o perioadă suplimentară este necesară pentru a proteja viața persoanei vizate sau interesele sale vitale.

5. Securitatea datelor cu caracter personal și notificări privind încălcările securității datelor cu caracter personal

Părțile vor asigura că măsurile organizaționale, administrative și tehnice specificate în Anexa (3) oferă un nivel suficient de protecție pentru datele cu caracter personal transferate, pentru a respecta cerințele Articolului (19) din Lege și Articolului (23) din Regulamentul de aplicare. 

5.1 Importatorul de date cu caracter personal va implementa măsurile de securitate specificate în Anexa (3) și va aplica aceste măsuri tuturor datelor cu caracter personal transferate pentru a asigura securitatea și protecția datelor împotriva oricărei încălcări care ar putea cauza prejudicii persoanei vizate, acțiuni ilegale, pierderi, modificări, divulgări neautorizate sau acces neautorizat.

5.2 Importatorul de date cu caracter personal trebuie să revizuiască periodic măsurile de securitate stipulate în Anexa (3) pentru a se asigura că acestea sunt aplicate conform cerințelor și să le actualizeze după necesitate, pentru a garanta conformitatea cu articolul (19) din Lege și articolul (23) din Regulamentul de aplicare. 

5.3 Dacă Importatorul de date cu caracter personal ia cunoștință de un incident de încălcare a securității datelor care ar putea prejudicia datele cu caracter personal transferate sau persoanele vizate ori ar putea intra în conflict cu drepturile sau interesele acestora, Importatorul trebuie să notifice autoritatea competentă în termen de 72 de ore de la momentul luării la cunoștință a incidentului, în conformitate cu cerințele prevăzute în articolul (24) din Regulamentul de aplicare al Legii. 

6. Date cu caracter sensibil 

Fără a aduce atingere oricăror restricții referitoare la datele sensibile prevăzute în Lege și în Regulamentul de aplicare al Legii, Exportatorul de date cu caracter personal va asigura că Importatorul de date adoptă măsuri suplimentare de protecție adecvate naturii datelor sensibile și garantează protecția acestora împotriva oricăror riscuri în timpul prelucrării, asigurând totodată aplicarea restricțiilor și a măsurilor suplimentare descrise în Anexa (2). 

7. Transfer ulterior

7.1 Importatorul de date cu caracter personal nu va transfera sau dezvălui datele cu caracter personal transferate unei terțe părți din afara Regatului, decât dacă această parte a aderat la aceste Clauze, în conformitate cu șablonul corespunzător și prevederile Clauzei (7) de mai sus. 

7.2 Fără a aduce atingere prevederilor articolelor (8) și (15) din Lege și articolului (17) din Regulamentul de aplicare al Legii, dispozițiile Legii și ale Reglementărilor se vor aplica transferului ulterior al datelor cu caracter personal care au fost anterior transferate sau dezvăluite unei entități din afara Regatului.

8 Desemnarea procesatorilor 

Importatorul de date cu caracter personal are obligația de a selecta un procesator care oferă garanții suficiente pentru protecția datelor cu caracter personal transferate, iar acordul cu procesatorul trebuie să includă toate cerințele prevăzute în articolul (17) din Regulamentul de aplicare, iar prelucrarea datelor se va realiza exclusiv pe baza instrucțiunilor Importatorului de date, cu condiția ca aceste instrucțiuni să fie conforme cu cerințele stipulate în aceste Clauze.

9. Respectarea acestor clauze 

9.1 Toate părțile vor demonstra conformitatea deplină cu aceste Clauze față de Autoritatea Competentă, la cerere, iar Importatorul de date cu caracter personal va păstra documentele referitoare la activitățile de prelucrare a datelor cu caracter personal desfășurate sub supravegherea sa, pe lângă evidențele activităților de prelucrare a datelor cu caracter personal prevăzute în articolul (33) din Regulament. 

9.2 Importatorul de date cu caracter personal va pune aceste documente la dispoziția Autorității Competente, la cerere. 

10. Responsabilitatea 

10.1 Fiecare parte va răspunde față de cealaltă parte pentru orice prejudicii cauzate acesteia ca urmare a încălcării oricăreia dintre aceste Clauze Contractuale Standard. 

10.2 Fiecare parte va răspunde față de persoana vizată, fără a aduce atingere responsabilității Exportatorului de date cu caracter personal conform Legii și Reglementărilor, iar persoana vizată are dreptul la despăgubiri pentru orice prejudicii materiale și morale cauzate de partea neglijentă care îi aduce atingere. Dacă mai multe părți sunt responsabile pentru cauzarea prejudiciului persoanei vizate ca urmare a încălcării acestor Clauze Contractuale Standard, părțile responsabile vor răspunde solidar sau individual, iar persoana vizată are dreptul să întreprindă acțiuni legale în fața instanței împotriva oricăreia dintre aceste părți. 

10.3 Părțile sunt de acord că, dacă o parte își asumă răspunderea conform alineatului (b), aceasta va avea dreptul să solicite celeilalte părți sau celorlalte părți acea parte din despăgubiri corespunzătoare responsabilității sale pentru prejudiciu.

10.4 Importatorul de date cu caracter personal nu se poate prevala de comportamentul procesatorului sau subprocesatorului de date pentru a evita răspunderea. 

11. Drepturile persoanelor vizate de datele cu caracter personal 

11.1 Importatorul de date cu caracter personal (cu sprijinul Exportatorului de date cu caracter personal) va gestiona, după caz, orice solicitări sau întrebări primite din partea persoanei vizate privind prelucrarea datelor cu caracter personal și exercitarea drepturilor prevăzute conform Legii și reglementărilor aplicabile, fără întârziere, în termen de cel mult treizeci (30) de zile de la data primirii acestei solicitări. Acest termen poate fi prelungit cu o perioadă similară, până la maximum treizeci (30) de zile, dacă executarea solicitării necesită un efort extraordinar sau dacă Importatorul de date cu caracter personal primește un număr mare de cereri din partea persoanei vizate. Persoana vizată este informată în prealabil despre această prelungire și motivele acesteia. 

11.2 Toate declarațiile făcute persoanei vizate trebuie să fie prezentate într-un format clar, lizibil și accesibil.

Anexă

Pentru informații din Anexele 1, 2 și 3, consultați Termenii de Confidențialitate ai Arabiei Saudite.