Klauzula (1) Účel a rozsah pôsobnosti

Účelom týchto klauzúl je zabezpečiť, že v prípade absencie primeranej úrovne ochrany osobných údajov sa uplatní primeraná úroveň ochrany osobných údajov, ktorá zodpovedá úrovni ochrany uplatniteľnej podľa zákona o ochrane osobných údajov a jeho vykonávacích predpisov. mimo územia Spojeného kráľovstva ustanovením povinností zúčastnených strán pri prenose osobných údajov do krajiny alebo medzinárodnej organizácie, ktorá nemá primeranú úroveň ochrany osobných údajov. Dodatok (1) uvádza údaje pre vývozcov aj dovozcov údajov.

b. Tieto klauzuly sa vzťahujú na prenos osobných údajov, ako je uvedené v dodatku (2) („osobné údaje, ktoré sa majú preniesť alebo zverejniť“).

Klauzula (2) Úprava a vplyv 

a. Tieto Klauzuly stanovujú primerané záruky vrátane práv na sťažnosť dotknutých osôb s osobnými údajmi a nemožno ich zmeniť s výnimkou výberu príslušnej šablóny alebo pridania alebo aktualizácie informácií v dodatku.

b. Zmluvné strany môžu začleniť tieto klauzuly do komplexnej dohody alebo pridať iné klauzuly alebo dodatočné záruky za predpokladu, že priamo alebo nepriamo nie sú v rozpore s týmito klauzulami alebo neporušia základné práva dotknutých osôb.

c. Tieto Klauzuly nezbavujú žiadnu stranu jej povinností podľa zákona a predpisov, ani neovplyvňujú ustanovenia zákonov a predpisov platných v Spojenom kráľovstve alebo zmlúv, ktorých je kráľovstvo zmluvnou stranou.

Klauzula (3) Práva dotknutých osôb

a. Týmito štandardnými zmluvnými klauzulami nie sú ovplyvnené práva dotknutých osôb podľa zákona a predpisov.

b. Dotknuté osoby, ktorých osobné údaje sú prenášané od strán na základe týchto štandardných zmluvných klauzúl, môžu informovať príslušný orgán („Saudi Data & AI Authority“), ak sa dozvedia o akomkoľvek porušení týchto štandardných zmluvných klauzúl.

Klauzula (4) Výklad

a. Ak si kontext nevyžaduje inak, slová a frázy použité v týchto klauzulách majú význam, ktorý im je priradený v článku (1) zákona o ochrane osobných údajov vydaného kráľovským dekrétom č. (M/19) zo dňa 9.2.1443 AH a zmeneného kráľovským dekrétom č. (M/148) zo dňa 5.9.1444 AH, článku (1) vykonávacieho nariadenia PDPL a článku (1) nariadenia o prenose osobných údajov mimo Spojeného kráľovstva.

b. Tieto Klauzuly sa musia čítať a vykladať vo svetle a v súlade s ustanoveniami zákona a predpisov uvedených v odseku (a) tohto článku a nesmú sa vykladať žiadnym iným spôsobom, ktorý nie je v súlade s ustanoveniami zákona a predpisov.

Klauzula (5) Rozpor 

V prípade rozporu medzi týmito klauzulami a ustanoveniami v inej dohode medzi stranami majú prednosť tieto klauzuly.

Klauzula (6) Podrobnosti o prevodoch

Prenos (prenosy), ako aj kategórie osobných údajov a účely prenosov sú opísané v dodatku.

Klauzula (7) Pridanie nových strán

a. Každý dovozca alebo vývozca osobných údajov, ktorý nie je zmluvnou stranou týchto štandardných klauzúl, môže pristúpiť k týmto štandardným zmluvným klauzulám vyplnením a podpísaním dodatku (1) so súhlasom existujúcich strán. Pristupujúci subjekt je buď dovozca alebo vývozca osobných údajov.

b. Po vyplnení a podpísaní dodatku (1) sa pristupujúci subjekt stane zmluvnou stranou týchto klauzúl a novo pristupujúci subjekt odo dňa pristúpenia prevezme zodpovednosti v závislosti od povahy operácií spracovania osobných údajov a prenosu, ktoré sa uskutočnili v alebo po dátume pristúpenia, a bude oprávnený uplatňovať práva a povinnosti zodpovedajúce jeho úlohe, ako je vymedzené v týchto klauzulách.

Klauzula (8) Rozhodné právo a jurisdikcia

Tieto štandardné zmluvné klauzuly sa riadia platnými zákonmi Saudskoarabského kráľovstva. Akýkoľvek spor vyplývajúci z uplatnenia ustanovení týchto klauzúl patrí do jurisdikcie Spojeného kráľovstva a je zverený jeho súdom. Dovozca osobných údajov podľa týchto štandardných zmluvných klauzúl súhlasí s tým, že sa podriadi jurisdikcii Saudskoarabského kráľovstva.

Klauzula (9) Súlad so žiadosťami príslušného orgánu

a. Každá zmluvná strana súhlasí s tým, že bude dodržiavať všetky požiadavky príslušného orgánu v súvislosti s týmito štandardnými zmluvnými klauzulami alebo spracovaním prenášaných osobných údajov.

b. Dovozca osobných údajov súhlasí a zaväzuje sa spolupracovať s príslušným orgánom a vyhovieť všetkým jeho žiadostiam a otázkam a poskytnúť potrebné dokumenty a informácie na zabezpečenie súladu so štandardnými zmluvnými klauzulami.

c. Dovozca osobných údajov súhlasí s tým, že bude dodržiavať opatrenia prijaté príslušným orgánom vrátane nápravných opatrení a kompenzácie.

Klauzula (10) Kompenzácia

a. Ak vznikne akýkoľvek spor medzi dotknutou osobou a stranou týkajúci sa súladu so štandardnými zmluvnými klauzulami, daná strana využije všetky potrebné prostriedky na priateľské urovnanie sporu s dotknutou osobou a všetky strany sa navzájom informujú o existencii takéhoto sporu, aby zabezpečili jeho vyriešenie vo vzájomnej spolupráci.

b. Dotknutá osoba môže podať príslušnému orgánu sťažnosť vyplývajúcu z uplatňovania ustanovení týchto štandardných zmluvných klauzúl v súlade s postupmi podávania sťažností stanovenými zákonom a predpismi.

c. Dotknutá osoba má právo nárokovať na príslušnom súde o kompenzáciu za materiálnu alebo nemorálnu škodu úmernú rozsahu škody vyplývajúcej z uplatnenia týchto štandardných zmluvných klauzúl.

Klauzula (11) Bezpečnosť osobných údajov

a. Všetky strany prijmú potrebné organizačné, administratívne a technické opatrenia, ktoré zabezpečia zachovanie súkromia osobných údajov proti akémukoľvek porušeniu vo všetkých fázach spracovania vrátane bezpečnosti osobných údajov počas procesu prenosu.  Pri posudzovaní primeranej úrovne bezpečnosti zohľadňujú zmluvné strany súčasný stav technológie, náklady na implementáciu a povahu prenášaných osobných údajov, ako aj povahu, rozsah, kontext, účely, riziká spojené so spracovaním osobných údajov a osobitne zvážia uplatnenie šifrovania alebo de-identifikácie, a to aj počas prenosu osobných údajov, ak účel spracovania údajov možno dosiahnuť týmto spôsobom.

b. Vývozca osobných údajov pomáha dovozcovi osobných údajov pri plnení potrebných požiadaviek na bezpečnosť údajov a v prípade porušenia ochrany osobných údajov v súvislosti s prenášanými osobnými údajmi spracovanými vývozcom osobných údajov podľa týchto štandardných zmluvných klauzúl to oznámi dovozcovi osobných údajov bezodkladne po tom, čo sa o takomto porušení dozvie, a pomôže dovozcovi osobných údajov pri obmedzení takéhoto porušenia.

c. Vývozca údajov zabezpečuje, že osoby oprávnené spracúvať prenášané osobné údaje sú viazané mlčanlivosťou a povinnosťou nezverejňovania na základe primeranej zákonnej povinnosti mlčanlivosti a nezverejňovania.

Klauzula (12) Trvanie a ukončenie

a. Ak dovozca osobných údajov z akéhokoľvek dôvodu nie je schopný splniť svoje povinnosti vyplývajúce z týchto štandardných zmluvných klauzúl, musí o tom informovať vývozcu osobných údajov do (24) hodín od okamihu, keď sa o tom dozvedel.

b. V prípade, že dovozca osobných údajov poruší tieto štandardné zmluvné klauzuly alebo nie je schopný ich dodržiavať, vývozca osobných údajov musí okamžite zastaviť prenos osobných údajov dovozcovi osobných údajov, až kým dovozca osobných údajov opätovne nezabezpečí súlad s týmito klauzulami, pričom dovozcovi osobných údajov sa poskytne lehota (30) dní, ktorú možno predĺžiť o ďalšie maximálne rovnaké obdobie, na preukázanie svojej schopnosti dodržiavať tieto klauzuly, a ak táto lehota uplynie bez dosiahnutia súladu, obe strany sa dohodnú na ukončení zmluvy, bez akejkoľvek zodpovednosti na strane vývozcu alebo prevádzkovateľa osobných údajov, podľa okolností.

c. Vývozca osobných údajov alebo prevádzkovateľ, podľa toho, čo je možné, zabezpečí, že všetky osobné údaje, ktoré boli predtým prenesené dovozcovi, budú úplne zlikvidované pred ukončením štandardných zmluvných klauzúl podľa odseku b) uvedenom vyššie. Rovnako zabezpečí, aby všetky kópie takýchto osobných údajov, ktoré má k dispozícii, boli zlikvidované.

d. Dovozca osobných údajov musí zdokumentovať likvidáciu údajov a táto dokumentácia musí byť poskytnutá vývozcovi alebo prevádzkovateľovi osobných údajov na požiadanie.

e. Dovozca osobných údajov musí až do likvidácie údajov naďalej zabezpečovať dodržiavanie týchto štandardných zmluvných klauzúl.

Klauzula (13) Ochrana prenesených osobných údajov

Vývozca osobných údajov a dovozca osobných údajov spracúvajú prenášané osobné údaje podľa povahy a účelov prenosu takto:

Klauzuly medzi prevádzkovateľmi

1. Obmedzenia spracovania

Dovozca osobných údajov je povinný spracúvať prenášané osobné údaje v súlade s účelmi uvedenými v dodatku (2).

Súlad so žiadosťami príslušného orgánu

2.1 Zmluvné strany poskytnú kópiu týchto Klauzúl príslušnému orgánu na požiadanie a bez zbytočného odkladu, aby príslušný orgán mohol uplatniť svoje právomoci podľa zákona a predpisov. Príslušný orgán môže požiadať o dodatočné informácie týkajúce sa prenosov osobných údajov.

2.2 Každá zmluvná strana súhlasí s tým, že bude dodržiavať všetky požiadavky príslušného orgánu v súvislosti s týmito klauzulami alebo spracovaním prenášaných údajov. 

2.3 Dovozca osobných údajov (buď priamo alebo prostredníctvom vývozcu osobných údajov) na požiadanie oznámi dotknutej osobe svoju totožnosť a kontaktné údaje a kategórie spracúvaných osobných údajov a poskytne kópiu týchto údajov

3. Minimálne množstvo osobných údajov potrebných na splnenie účelu 

Všetky strany zabezpečia, že prenášané osobné údaje budú dostatočné a obmedzené na minimálne množstvo potrebné na splnenie účelov uvedených v dodatku (2). Ak sa ktorákoľvek strana dozvie o prenose nepotrebných osobných údajov, bezodkladne o tom informuje druhú stranu (alebo strany).

4. Uchovávanie osobných údajov 

Dovozca osobných údajov uchováva prenesené osobné údaje, ak je to potrebné na splnenie účelov uvedených v dodatku (2) za predpokladu, že dovozca osobných údajov bez zbytočného odkladu vymaže alebo anonymizuje prenášané osobné údaje s výnimkou nasledujúcich prípadov: 

4.1 Ak je to v súlade s právnym odôvodnením podľa zákonov Spojeného kráľovstva a Zákona o ochrane osobných údajov a jeho predpisov; v tomto prípade sa údaje zlikvidujú po uplynutí lehoty alebo po splnení účelu ich zhromažďovania podľa toho, čo nastane neskôr

4.2 Ak uchovávanie prenášaných osobných údajov na dodatočné obdobie priamo súvisí s prípadom prebiehajúcim na súdnom orgáne a takéto uchovávanie je potrebné na tento účel, údaje budú zlikvidované po ukončení súdnych konaní týkajúcich sa daného prípadu. 

4.3 Ak je uchovávanie prenášaných osobných údajov počas dodatočného obdobia potrebné na ochranu života dotknutej osoby alebo jej životne dôležitých záujmov.

5. Bezpečnosť osobných údajov a oznámenia o porušení ochrany osobných údajov

Zmluvné strany zabezpečia, že organizačné, administratívne a technické opatrenia uvedené v dodatku (3) poskytnú dostatočnú úroveň ochrany prenášaných osobných údajov na splnenie požiadaviek článku (19) Zákona a článku (23) Vykonávacích predpisov. 

5.1 Dovozca osobných údajov zavedie bezpečnostné opatrenia uvedené v dodatku (3) a uplatní tieto opatrenia na všetky prenášané osobné údaje s cieľom zabezpečiť bezpečnosť a ochranu osobných údajov pred porušením, ktoré môže viesť k poškodeniu dotknutej osoby, nezákonnému konaniu, strate, zmene, zverejneniu osobných údajov alebo neoprávnenému prístupu.

5.2 Dovozca osobných údajov musí pravidelne preskúmavať bezpečnostné opatrenia uvedené v dodatku (3), aby sa ubezpečil o tom, že sa vykonávajú podľa požiadaviek, a podľa potreby ich aktualizovať na zabezpečenie súladu s článkom (19) Zákona a článkom (23) Vykonávacích predpisov. 

5.3 Ak sa dovozca osobných údajov dozvie o incidente narušenia ochrany údajov, ktorý by mohol ohroziť prenesené osobné údaje alebo dotknuté osoby, prípadne byť v rozpore s ich právami alebo záujmami, musí o tom informovať príslušný orgán do 72 hodín od okamihu, keď sa o incidente dozvedel, v súlade s požiadavkami uvedenými v článku 24 vykonávaných predpisov zákona.

6. Citlivé údaje 

Bez toho, aby boli dotknuté akékoľvek obmedzenia týkajúce sa citlivých údajov stanovené v zákone a vykonávacích predpisoch zákona, vývozca osobných údajov zabezpečí, aby dovozca osobných údajov prijal dodatočné záruky primerané povahe citlivých údajov a zabezpečil ich ochranu pred akýmkoľvek rizikom pri ich spracúvaní, pričom zároveň zabezpečí uplatnenie obmedzení a dodatočných záruk opísaných v prílohe (2).

7. Následný prenos

7.1 Dovozca osobných údajov neprenesie ani nezverejní prenášané osobné údaje tretej strane mimo Spojeného kráľovstva, pokiaľ táto strana nepristúpila k týmto klauzulám a v súlade s príslušnou šablónou a ustanoveniami klauzuly (7) uvedenej vyššie. 

7.2 Bez toho, aby boli dotknuté ustanovenia článkov 8 a 15 zákona a článku 17 vykonávacích predpisov zákona, na posledný prenos osobných údajov, ktoré boli predtým prenesené alebo sprístupnené subjektu mimo Spojeného kráľovstva, sa vzťahujú ustanovenia zákona a vykonávacích predpisov.

8. Priradenie procesorov 

Dovozca osobných údajov je povinný vybrať sprostredkovateľa, ktorý poskytuje dostatočné záruky na ochranu prenesených osobných údajov, pričom zmluva so sprostredkovateľom musí obsahovať všetky požiadavky uvedené v článku 17 vykonávacích predpisov a spracúvanie sa musí vykonávať výlučne na základe pokynov dovozcu osobných údajov, za predpokladu, že tieto pokyny sú v súlade s požiadavkami stanovenými v týchto klauzulách.

9. Súlad s týmito klauzulami 

9.1 Všetky strany musia na požiadanie preukázať príslušnému orgánu úplný súlad s týmito klauzulami a dovozca osobných údajov je povinný uchovávať dokumenty týkajúce sa činností spracúvania osobných údajov vykonávaných pod jeho dohľadom, ako aj záznamy o činnostiach spracúvania osobných údajov v súlade s článkom (33) vykonávacích predpisov. 

9.2 Dovozca osobných údajov poskytne tieto dokumenty na požiadanie príslušnému orgánu. 

10. Zodpovednosť 

10.1 Každá strana zodpovedá voči druhej strane za akúkoľvek škodu spôsobenú porušením ktoréhokoľvek ustanovenia týchto štandardných zmluvných klauzúl. 

10.2 Každá strana zodpovedá voči dotknutej osobe, bez toho, aby bola dotknutá zodpovednosť vývozcu osobných údajov podľa zákona a vykonávacích predpisov, a dotknutá osoba má nárok na náhradu za majetkovú aj nemajetkovú ujmu spôsobenú nedbanlivou stranou, ktorá jej spôsobila škodu. Ak je za spôsobenie škody dotknutej osobe v dôsledku porušenia týchto štandardných zmluvných klauzúl zodpovedných viacero strán, tieto strany nesú zodpovednosť spoločne alebo jednotlivo a dotknutá osoba má právo podniknúť právne kroky pred súdom voči ktorejkoľvek z týchto strán. 

10.3 Strany sa dohodli, že ak ktorákoľvek strana prevezme zodpovednosť (b), má právo považovať od druhej strany (alebo strán) tú časť náhrady škody, ktorá zodpovedá miere jej zodpovednosti za spôsobenú škodu.

10.4 Dovozca osobných údajov sa nesmie spoliehať na správanie sprostredkovateľa údajov alebo subdodávateľa s cieľom vyhnúť sa zodpovednosti. 

11. Práva dotknutých osôb 

11.1 Dovozca osobných údajov (s podporou vývozcu osobných údajov) podľa potreby vybavuje primeraným spôsobom otázky alebo žiadosti prijaté od dotknutej osoby týkajúce sa spracúvania osobných údajov a uplatňovania práv stanovených v súlade so zákonom a príslušnými predpismi bez zbytočného odkladu, najneskôr od tridsiatich (30) dní odo dňa prijatia takejto žiadosti. Táto lehota môže byť predĺžená o podobné obdobie, najviac však o tridsať (30) dní, ak vybavenie žiadosti vyžaduje mimoriadne úsilie alebo ak dovozca osobných údajov prijme od dotknutej osoby viacero žiadostí. Dotknutá osoba je o tomto predĺžení a jeho dôvodoch informovaná vopred. 

11.2 Všetky vyhlásenia adresované dotknutej osobe musia byť predložené v zrozumiteľnom, čitateľnom a prístupnom formáte.

Dodatok

Informácie uvedené v prílohách 1, 2 a 3 sú dostupné v Podmienkach ochrany súkromia Saudskej Arábie.