Klavzula (1) Namen in obseg

a. Namen teh klavzul je zagotoviti, da se uporablja ustrezna raven varstva osebnih podatkov, ki je enakovredna ravni varstva, določeni z Zakonom o varstvu osebnih podatkov in njegovimi izvedbenimi predpisi, kadar ustrezna raven varstva osebnih podatkov ni zagotovljena zunaj Kraljevine, in sicer z določitvijo obveznosti strank, vključenih v prenos osebnih podatkov v državo ali mednarodno organizacijo, ki ne zagotavlja ustrezne ravni varstva osebnih podatkov. Priloga (1) prikazuje podatke tako za izvoznike kot za uvoznike podatkov.

b. Te klavzule se uporabljajo za prenos osebnih podatkov, kot je določeno v Prilogi (2) (»Osebni podatki, ki jih je treba prenesti ali razkriti«).

Klavzula (2) Spremembe in vpliv 

a. Te klavzule določajo ustrezne zaščitne ukrepe, vključno s pravico do pritožbe s strani posameznikov, na katere se nanašajo osebni podatki, in jih ni mogoče spreminjati, razen če gre za izbiro ustrezne predloge ali za dodajanje ali posodobitev informacij v prilogi.

b. Pogodbeni stranki lahko te klavzule vključita v celovit sporazum ali dodata druge klavzule ali dodatna jamstva, pod pogojem, da niso neposredno ali posredno v nasprotju s temi klavzulami ali ne posegajo v temeljne pravice posameznikov, na katere se nanašajo osebni podatki.

c. Te klavzule ne razbremenjujejo nobene stranke njenih obveznosti v skladu z Zakonom in predpisi, niti ne posegajo v zakone in predpise, ki veljajo v Kraljevini, ali v sporazume, katerih pogodbenica je Kraljevina.

Klavzula (3) Pravice posameznikov, na katere se nanašajo osebni podatki

a. Te standardne pogodbene klavzule ne posegajo v pravice posameznikov, na katere se nanašajo osebni podatki, določene z Zakonom in predpisi.

b. Posamezniki, na katere se nanašajo osebni podatki, katerih osebni podatki se prenašajo od pogodbenih strank na podlagi teh standardnih pogodbenih klavzul, lahko obvestijo pristojni organ (»Savdski organ za podatke in umetno inteligenco«), če naletijo na kakršnokoli kršitev teh standardnih pogodbenih klavzul.

Klavzula (4) Razlaga

a. Razen če kontekst ne zahteva drugače, imajo besede in besedne zveze, uporabljene v teh klavzulah, pomene, določene v členu (1) Zakona o varstvu osebnih podatkov, ki ga je izdal Kraljevski dekret št. (M/19) z dne 9. 2. 1443 AH, spremenjenim s Kraljevskim dekretom št. (M/148) z dne 5. 9. 1444 AH, členu (1) Izvedbene uredbe k ZVP in členu (1) Uredbe o prenosu osebnih podatkov zunaj Kraljevine.

b. Te klavzule je treba brati in razlagati ob upoštevanju in v skladu z določbami Zakona in predpisov, navedenih v odstavku (a) tega člena, in jih ni mogoče razlagati na noben drug način, ki ni v skladu z določbami Zakona in predpisov.

Klavzula (5) Navzkrižje 

V primeru navzkrižja med temi klavzulami in katerokoli določbo v kateremkoli drugem sporazumu med pogodbenimi strankami prevladajo te klavzule.

Klavzula (6) Podrobnosti o prenosih

Prenos(i), kot tudi kategorije osebnih podatkov in nameni prenosov, so opisani v Prilogi.

Klavzula (7) Dodajanje novih strank

a. Vsak uvoznik ali izvoznik osebnih podatkov, ki ni pogodbena stranka teh standardnih klavzul, se lahko pridruži tem standardnim pogodbenim klavzulam z izpolnitvijo in podpisom Priloge (1), s soglasjem obstoječih pogodbenih strank. Pridružena pravna oseba je lahko bodisi uvoznik ali izvoznik osebnih podatkov.

b. Ko je Priloga (1) izpolnjena in podpisana, postane pridružena pravna oseba pogodbenica teh klavzul, ki od datuma pridružitve dalje prevzame odgovornosti, odvisne od narave postopkov obdelave in prenosa podatkov, ki so potekali na ali po datumu pridružitve, in ima pravico do uveljavljanja pravic in obveznosti, ki ustrezajo njeni vlogi, kot je določeno v teh klavzulah.

Klavzula (8) Veljavna zakonodaja in pristojnost sodišča

Te standardne pogodbene klavzule urejajo veljavni zakoni Kraljevine Saudove Arabije. Vsak spor, ki izhaja iz uporabe določb teh klavzul, spada v pristojnost Kraljevine in se rešuje na njenih sodiščih. Uvoznik osebnih podatkov se v skladu s temi standardnimi pogodbenimi klavzulami strinja, da se podredi pristojnosti Kraljevine Saudove Arabije.

Klavzula (9) Skladnost z zahtevami pristojnega organa

a. Vsaka stranka se strinja, da bo izpolnila vse zahteve pristojnega organa v zvezi s temi standardnimi pogodbenimi klavzulami ali obdelavo prenesenih osebnih podatkov.

b. Uvoznik osebnih podatkov se strinja in se zavezuje, da bo sodeloval s pristojnim organom in izpolnil vse njegove zahteve in poizvedbe ter zagotovil potrebne dokumente in informacije za zagotavljanje skladnosti s standardnimi pogodbenimi klavzulami.

c. Uvoznik osebnih podatkov se strinja, da bo upošteval ukrepe, ki jih je sprejel pristojni organ, vključno s korektivnimi ukrepi in odškodninami.

Klavzula (10) Odškodnina

a. Če pride do spora med posameznikom, na katerega se nanašajo osebni podatki, in pogodbeno stranko v zvezi s skladnostjo s standardnimi pogodbenimi klavzulami, mora pogodbenica uporabiti vsa potrebna sredstva za mirno rešitev spora s posameznikom, na katerega se nanašajo osebni podatki, in vse pogodbene stranke medsebojno obvestiti o obstoju takega spora in zagotoviti njegovo reševanje na podlagi medsebojnega sodelovanja.

b. Posameznik, na katerega se nanašajo osebni podatki, lahko pri pristojnem organu vloži vsako pritožbo, ki izhaja iz uporabe določb teh standardnih pogodbenih klavzul, v skladu s postopki za vlaganje pritožb, določenimi z Zakonom in predpisi.

c. Posameznik, na katerega se nanašajo osebni podatki, ima pravico na pristojnem sodišču zahtevati odškodnino za materialno ali nematerialno škodo v sorazmerju z obsegom škode, ki izhaja iz uporabe teh standardnih pogodbenih klavzul.

Klavzula (11) Varnost osebnih podatkov

a. Vse pogodbene stranke morajo sprejeti potrebne organizacijske, administrativne in tehnične ukrepe, ki zagotavljajo ohranjanje zasebnosti osebnih podatkov pred kakršnokoli kršitvijo v vseh fazah obdelave, vključno z varnostjo osebnih podatkov med postopkom prenosa.  Pri ocenjevanju ustrezne ravni varnosti morajo pogodbenice upoštevati trenutno stanje tehnologije, stroške izvajanja in naravo prenesenih osebnih podatkov, kot tudi naravo, obseg, kontekst, namene in tveganja, povezana z obdelavo osebnih podatkov, in zlasti preučiti uporabo šifriranja ali deidentifikacije, tudi med prenosom osebnih podatkov, kadar je mogoče na ta način doseči namen obdelave podatkov.

b. Izvoznik osebnih podatkov mora pomagati uvozniku osebnih podatkov pri izpolnjevanju potrebnih zahtev za varnost podatkov. V primeru kakršnekoli kršitve varstva osebnih podatkov v zvezi s prenesenimi osebnimi podatki, ki jih obdeluje izvoznik osebnih podatkov v skladu s temi standardnimi pogodbenimi klavzulami, mora izvoznik osebnih podatkov nemudoma obvestiti uvoznika osebnih podatkov in mu pomagati pri odpravljanju take kršitve.

c. Izvoznik osebnih podatkov zagotavlja, da so osebe, pooblaščene za obdelavo prenesenih osebnih podatkov, zavezane k zaupnosti in varovanju zaupnosti podatkov v skladu z ustrezno pravno obveznostjo o zaupnosti in varovanju zaupnosti podatkov.

Klavzula (12) Trajanje in prenehanje

a. Če uvoznik osebnih podatkov iz kakršnegakoli razloga ne more izpolniti svojih obveznosti v skladu s temi standardnimi pogodbenimi klavzulami, mora o tem obvestiti izvoznika osebnih podatkov v roku (24) ur od trenutka, ko je za to izvedel.

b. V primeru, da uvoznik osebnih podatkov krši te standardne pogodbene klavzule ali jih ne more izpolniti, mora izvoznik osebnih podatkov takoj prenehati s prenosom osebnih podatkov k uvozniku osebnih podatkov, dokler ta ponovno ne zagotovi skladnosti, pri čemer ima uvoznik osebnih podatkov na voljo obdobje (30) dni, ki se lahko podaljša za podobno najdaljše obdobje, da dokaže svojo sposobnost za izpolnjevanje zahtev iz teh klavzul. Če se obdobje izteče brez izpolnitve, se pogodbene stranke strinjajo s prekinitvijo pogodbe, pri čemer izvoznik ali upravljavec osebnih podatkov ne nosita nobene odgovornosti.

c. Izvoznik ali upravljavec osebnih podatkov morata zagotoviti, da so vsi osebni podatki, ki so bili predhodno preneseni k uvozniku osebnih podatkov, pred prekinitvijo standardnih pogodbenih klavzul v skladu z zgornjim odstavkom (b) v celoti uničeni. Prav tako mora zagotoviti, da se uničijo vse kopije takšnih osebnih podatkov.

d. Uvoznik osebnih podatkov mora dokumentirati uničenje podatkov in to dokumentacijo na zahtevo posredovati izvozniku ali upravljavcu osebnih podatkov.

e. Uvoznik osebnih podatkov mora še naprej zagotavljati, da do uničenja podatkov izpolnjuje zahteve iz teh standardnih pogodbenih klavzul.

Klavzula (13) Zaščita prenesenih osebnih podatkov

Izvoznik in uvoznik osebnih podatkov bosta obdelovala prenesene osebne podatke v skladu z naravo in nameni prenosa, kot sledi:

Klavzule o obdelavi med upravljalci

1. Omejitve obdelave

Uvoznik osebnih podatkov je dolžan obdelovati prenesene osebne podatke v skladu z nameni, določenimi v Prilogi (2).

2. Skladnost z zahtevami pristojnega organa 

2.1 Pogodbene stranke morajo na zahtevo in brez nepotrebnega odlašanja pristojnemu organu posredovati kopijo teh klavzul, da lahko pristojni organ izvaja svoja pooblastila v skladu z Zakonom in predpisi. Pristojni organ lahko zahteva dodatne informacije v zvezi s prenosi osebnih podatkov.

2.2 Vsaka stranka se strinja, da bo izpolnila vse zahteve pristojnega organa v zvezi s temi klavzulami ali obdelavo prenesenih podatkov. 

2.3 Uvoznik osebnih podatkov mora (neposredno ali prek izvoznika osebnih podatkov) na zahtevo razkriti svojo identiteto in kontaktne podatke ter kategorije osebnih podatkov, ki so v obdelavi, posamezniku, na katerega se nanašajo osebni podatki, ter zagotoviti kopijo teh podatkov

3. Najmanjša količina osebnih podatkov, potrebna za izpolnitev namena 

Vse pogodbene stranke morajo zagotoviti, da so preneseni osebni podatki zadostni in omejeni na najmanjšo količilo, potrebno za izpolnitev namenov, določenih v Prilogi (2). Če katerakoli pogodbena stranka izve za kakršenkoli prenos nepotrebnih osebnih podatkov, mora o tem takoj obvestiti drugo pogodbeno stranko (pogodbene stranke).

4. Shranjevanje osebnih podatkov 

Uvoznik osebnih podatkov bo hranil prenesene osebne podatke, če je to potrebno za izpolnitev namenov, določenih v Prilogi (2), pri čemer mora uvoznik osebnih podatkov prenesene osebne podatke brez nepotrebnega odlašanja izbrisati ali anonimizirati, razen v naslednjih primerih: 

4.1 Če je to v skladu s pravno utemeljitvijo po zakonih Kraljevine in Zakonu o varstvu osebnih podatkov ter njegovih predpisih; v tem primeru se podatki uničijo po preteku obdobja ali ko je izpolnjen namen za hrambo. 

4.2 Če je hramba prenesenih osebnih podatkov za dodatno obdobje neposredno povezana z zadevo, ki je v teku pred pravosodnim organom, in je taka hramba potrebna za ta namen, se podatki uničijo po zaključku sodnih postopkov, povezanih z zadevo. 

4.3 Če je hramba prenesenih osebnih podatkov za dodatno obdobje potrebna za zaščito življenja posameznika, na katerega se nanašajo osebni podatki, ali njegovih življenjskih interesov.

5. Varnost osebnih podatkov in obvestila o kršitvah varstva osebnih podatkov

Pogodbene stranke morajo zagotoviti, da organizacijski, administrativni in tehnični ukrepi, določeni v Prilogi (3), zagotavljajo zadostno raven zaščite za prenesene osebne podatke v skladu z zahtevami člena (19) Zakona in člena (23) Izvedbenih predpisov. 

5.1 Uvoznik osebnih podatkov mora uvesti varnostne ukrepe, določene v Prilogi (3), in te ukrepe uporabljati za vse prenesene osebne podatke, da zagotovi varnost in zaščito osebnih podatkov pred kakršnokoli kršitvijo, ki lahko povzroči škodo za posameznika, na katerega se nanašajo osebni podatki, nezakonito ravnanje, izgubo, spreminjanje, razkritje osebnih podatkov ali nepooblaščen dostop.

5.2 Uvoznik osebnih podatkov mora redno pregledovati varnostne ukrepe, določene v Prilogi (3), da zagotovi njihovo izvajanje v skladu z zahtevami in jih po potrebi posodobiti, da se zagotovi skladnost s členom (19) Zakona in členom (23) Izvedbenih predpisov. 

5.3 Če uvoznik osebnih podatkov izve za incident kršitve podatkov, ki bi lahko škodil prenesenim osebnim podatkom ali posameznikom, na katere se nanašajo osebni podatki, ali bi bil v navzkrižju z njihovimi pravicami ali interesi, mora uvoznik osebnih podatkov v roku (72) ur po tem obvestiti pristojni organ v skladu z zahtevami iz člena (24) Izvedbenih predpisov Zakona. 

6. Občutljivi podatki 

Brez poseganja v kakršnekoli omejitve v zvezi z občutljivimi podatki, določene v Zakonu in izvedbenih predpisih Zakona, mora izvoznik osebnih podatkov zagotoviti, da uvoznik osebnih podatkov sprejme dodatne zaščitne ukrepe, primerne za naravo občutljivih podatkov, in zagotovi, da so ti podatki med obdelavo zaščiteni pred kakršnimi koli tveganji, hkrati pa zagotovi, da se uporabljajo omejitve in dodatni zaščitni ukrepi, opisani v Prilogi (2). 

7. Nadaljnji prenos

7.1 Uvoznik osebnih podatkov ne sme prenašati ali razkrivati prenesenih osebnih podatkov tretji osebi zunaj Kraljevine, razen če je ta pogodbena stranka pristopila k tem klavzulam in v skladu z ustrezno predlogo in določbami zgornje klavzule (7). 

7.2 Brez poseganja v določbe členov (8) in (15) Zakona ter člena (17) Izvedbene uredbe Zakona se za vsak nadaljnji prenos osebnih podatkov, ki so bili predhodno preneseni ali razkriti subjektu zunaj Kraljevine, uporabljajo določbe Zakona in njegovih predpisov.

8. Dodeljevanje obdelovalcev podatkov 

Uvoznik osebnih podatkov je dolžan izbrati obdelovalca, ki zagotavlja ustrezna jamstva za zaščito prenesenih osebnih podatkov, sporazum z obdelovalcem pa mora vključevati vse zahteve, določene v členu (17) Izvedbene uredbe, obdelava pa mora temeljiti izključno na navodilih uvoznika podatkov, pod pogojem, da so ta navodila v skladu z zahtevami iz teh klavzul.

9. Skladnost s temi klavzulami 

9.1 Vse pogodbene stranke morajo na zahtevo pristojnemu organu dokazati popolno skladnost s temi klavzulami, uvoznik osebnih podatkov pa mora hraniti dokumente, povezane z obdelavo osebnih podatkov, ki se izvajajo pod njegovim nadzorom, poleg evidenc dejavnosti obdelave osebnih podatkov, kot je določeno v členu (33) Uredbe. 

9.2 Uvoznik osebnih podatkov mora te dokumente na zahtevo posredovati pristojnemu organu. 

10. Odgovornost 

10.1 Vsaka pogodbena stranka je odgovorna drugi pogodbeni stranki za kakršnokoli škodo, povzročeno drugi pogodbeni stranki zaradi kršitve katerekoli od teh standardnih pogodbenih klavzul. 

10.2 Vsaka pogodbena stranka je odgovorna posamezniku, na katerega se nanašajo osebni podatki, brez poseganja v odgovornost izvoznika osebnih podatkov v skladu z Zakonom in predpisi. Posameznik ima pravico do odškodnine za vsako materialno in nematerialno škodo, povzročeno s strani malomarne pogodbene stranke, ki mu je povzročila škodo. Če je za povzročitev škode posamezniku, na katerega se nanašajo osebni podatki, zaradi kršitve standardnih pogodbenih klavzul odgovorna več kot ena pogodbena stranka, so te stranke odgovorne skupno ali posamično. Posameznik, na katerega se nanašajo osebni podatki, lahko sproži pravni postopek proti kateri koli od teh strank. 

10.3 Pogodbene stranke se strinjajo, da ima katerakoli pogodbena stranka, ki prevzame odgovornost (b), pravico od druge(ih) pogodbene(ih) stranke(k) zahtevati sorazmerni del odškodnine, ki ustreza njeni/njihovi odgovornosti za povzročeno škodo.

10.4 Uvoznik osebnih podatkov se ne sme zanašati na vedenje obdelovalca podatkov ali podobdelovalca, da bi se izognil odgovornosti. 

11. Pravica posameznikov, na katere se nanašajo osebni podatki 

11.1 Uvoznik osebnih podatkov (ob podpori izvoznika osebnih podatkov) mora brez odlašanja ustrezno obravnavati vse poizvedbe ali zahteve, ki jih prejme od posameznika, na katerega se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov in uveljavljanjem pravic, določenih v skladu z Zakonom in veljavnimi predpisi, v roku, ki ni daljši od trideset (30) dni od datuma prejema take zahteve. To obdobje se lahko podaljša za podobno obdobje do največ trideset (30) dni, če izvršba zahteve zahteva izreden trud ali če uvoznik osebnih podatkov prejme veliko zahtev od posameznika, na katerega se nanašajo osebni podatki. Posameznik, na katerega se nanašajo osebni podatki, je vnaprej obveščen o podaljšanju in razlogih zanj. 

11.2 Vse izjave posamezniku, na katerega se nanašajo osebni podatki, morajo biti predstavljene v jasni, berljivi in dostopni obliki.

Priloga

Za informacije v Prilogah 1, 2 in 3 glejte pogoje Saudove Arabije za zasebnost.