Klausul (1) Syfte och omfattning

a. Syftet med dessa klausuler är att säkerställa att en lämplig nivå av skydd av personuppgifter motsvarande den skyddsnivå som gäller enligt lagen om skydd av personuppgifter och dess genomförandeförordningar tillämpas i avsaknad av en lämplig nivå av skydd av personuppgifter utanför kungariket genom att ange skyldigheter för de parter som är involverade i överföring av personuppgifter till ett land eller en internationell organisation som inte har en lämplig nivå av skydd av personuppgifter. Bilaga (1) visar data för både dataexportörer och dataimportörer.

b. Dessa klausuler gäller för överföring av personuppgifter enligt vad som anges i bilaga (2) ("Personuppgifter som ska överföras eller lämnas ut").

Klausul (2) Ändring och stödnivå 

a. Dessa klausuler anger lämpliga skyddsåtgärder, inklusive rättigheter att lämna klagomål av registrerade för personuppgifter. och kan inte ändras förutom för att välja lämplig mall eller lägga till eller uppdatera information i bilagan.

b. Parterna kan införliva dessa klausuler i en övergripande överenskommelse eller lägga till andra klausuler eller ytterligare garantier, förutsatt att de inte direkt eller indirekt strider mot dessa klausuler eller kränker de grundläggande rättigheterna för personer som är registrerade för personuppgifter.

c. Dessa klausuler befriar inte någon part från dess skyldigheter enligt lagen och förordningarna, och de påverkar inte heller bestämmelserna i de lagar och förordningar som gäller i kungariket eller avtal i vilka kungariket är part.

Klausul (3) Rättigheter för personer som är registrerade för personuppgifter

a. Dessa standardavtalsklausuler påverkar inte rättigheterna för personer som är registrerade för personuppgifter enligt lagen och förordningarna.

b. Registrerade för personuppgifter vars personuppgifter överförs från parterna baserat på dessa standardavtalsklausuler kan meddela den behöriga myndigheten ("Saudiarabiska data- och AI-myndigheten") om de blir medvetna om eventuella brott av dessa standardavtalsklausuler.

Klausul (4) Tolkning

a. Om inte sammanhanget kräver annat ska de ord och fraser som används i dessa klausuler ha de betydelser som tilldelas dem i artikel (1) i lagen om skydd av personuppgifter utfärdad genom kungligt dekret nr (M/19) daterad 9/2/1443 AH och ändrad genom kungligt dekret nr (M/148) daterad 5/9/1444 AH, artikel (1) i genomförandeförordningen för PDPL och artikel (1) i förordningen om överföring av personuppgifter utanför kungariket.

b. Dessa klausuler måste läsas och tolkas mot bakgrund av och i enlighet med de bestämmelser i den lag och förordningar som avses i punkt (a) i denna artikel och får inte tolkas på något annat sätt som strider mot bestämmelserna i lagen och förordningarna.

Klausul (5) Konflikt 

I händelse av en konflikt mellan dessa klausuler och eventuella tillhandahållanden i andra överenskommelser mellan parterna ska dessa klausuler ha företräde.

Klausul (6) Detaljer för överföringar

Överföringen eller överföringarna samt kategorierna av personuppgifter och ändamålen med överföringarna beskrivs i bilagan.

Klausul (7) Tillägg av nya parter

a. Alla importörer av personuppgifter eller exportörer av personuppgifter som inte är part i dessa standardklausuler kan ansluta sig till dessa standardavtalsklausuler genom att fylla i och underteckna bilaga (1), med de befintliga parternas medgivande. Det anslutande företagsmärket ska vara antingen importören av personuppgifter eller exportören av personuppgifter.

b. När bilaga (1) har slutförts och undertecknats ska anslutande företagsmärke vara en part i dessa klausuler och den nyligen anslutna företagsmärket ska från och med dagen för anslutning ta på sig det ansvar som beror på vilken typ av verksamhet för behandling och överföring av personuppgifter som inträffade på eller efter dagen för anslutning och ska ha rätt att utöva de rättigheter och skyldigheter som motsvarar dess roll enligt vad som definieras i dessa klausuler.

Klausul (8) Styrande lag och jurisdiktion

Dessa standardavtalsklausuler ska regleras av tillämpliga lagar i Konungariket Saudiarabien. Alla tvister som uppstår till följd av tillämpningen av bestämmelserna i dessa klausuler ska omfattas av kungarikets jurisdiktion och ska avgöras av dess domstolar. Importören av personuppgifter samtycker enligt dessa standardavtalsklausuler till att underkasta sig Konungariket Saudiarabiens jurisdiktion.

Klausul (9) Efterlevnad av den behöriga myndighetens begäranden

a. Varje part samtycker till att följa alla förfrågningar från den behöriga myndigheten i samband med dessa standardavtalsklausuler eller behandling av överförda personuppgifter.

b. Importören av personuppgifter samtycker till och förbinder sig att samarbeta med den behöriga myndigheten och följa alla dess önskemål och förfrågningar och tillhandahålla de dokument och information som krävs för att säkerställa efterlevnaden av standardavtalsklausuler.

c. Importören av personuppgifter samtycker till att följa de åtgärder som antagits av den behöriga myndigheten, inklusive korrigerande åtgärder och kompensation.

Klausul (10) Kompensation

a. Om en tvist uppstår mellan den registrerade för personuppgifter och en part om efterlevnad av standardavtalsklausuler ska den parten använda alla nödvändiga medel för att lösa tvisten i godo, med den registrerade för personuppgifter och alla parter ska informera varandra om förekomsten av en sådan tvist för att säkerställa att den löses i samarbete med varandra.

b. Den registrerade för personuppgifter kan lämna in alla klagomål till den behöriga myndigheten som uppstår till följd av tillämpningen av bestämmelserna i dessa standardavtalsklausuler i enlighet med de förfaranden för att lämna in klagomål som anges i lagen och förordningarna.

c. Den registrerade för personuppgifter har rätt att begära ersättning vid behörig domstol för materiell eller moralisk skada i proportion till omfattningen av den skada som uppstår till följd av tillämpningen av dessa standardavtalsklausuler.

Klausul (11) Personuppgiftssäkerhet

a. Alla parter ska vidta de nödvändiga organisatoriska, administrativa och tekniska åtgärder som säkerställer att upprätthålla sekretessen för personuppgifter mot alla överträdelser i alla stadier av bearbetning, inklusive personuppgiftssäkerhet under överföringsprocessen.  Vid bedömningen av lämplig säkerhetsnivå ska parterna ta hänsyn till den aktuella tekniska nivån, genomförandekostnader och karaktären på de överförda personuppgifterna och karaktär, omfattning, sammanhang, ändamål, risker som är förknippade med behandling av personuppgifter och specifikt överväga tillämpning av kryptering eller avidentifiering, inklusive under överföring av personuppgifter, där syftet med databehandling kan uppnås på detta sätt.

b. Exportören av personuppgifter ska hjälpa importören av personuppgifter att uppfylla de nödvändiga datasäkerhetskraven och i händelse av alla överträdelser av personuppgifter i samband med de överförda personuppgifter som behandlas av exportören av personuppgifter enligt dessa standardavtalsklausuler ska exportören av personuppgifter meddela importören av personuppgifter utan dröjsmål efter att ha blivit medveten om en sådan överträdelse och ska hjälpa importören av personuppgifter att begränsa en sådan överträdelse.

c. Dataexportören säkerställer att personer som är behöriga att bearbeta överförda personuppgifter är bundna av sekretess och tystnadsplikt enligt en lämplig juridisk skyldighet för sekretess och tystnadsplikt.

Klausul (12) Varaktighet och uppsägning

a. Om importören av personuppgifter av någon anledning inte kan uppfylla sina skyldigheter enligt dessa standardavtalsklausuler måste den informera exportören av personuppgifter inom (24) timmar från den tidpunkt då hen blir medveten om detta.

b. I händelse av att importören av personuppgifter bryter mot dessa standardavtalsklausuler eller inte kan följa dem ska exportören av personuppgifter omedelbart upphöra med överföringen av personuppgifter till importören av personuppgifter tills importören av personuppgifter säkerställer att den återgått till efterlevnad igen, förutsatt att importören av personuppgifter ska ges en period på (30) dagar, med möjlighet till förlängning under en liknande maximiperiod för att bevisa sin förmåga att följa dessa klausuler och om perioden löper ut utan att detta har uppnåtts ska de två parterna komma överens om att säga upp avtalet utan något ansvar för exportören av personuppgifter eller personuppgiftsansvarig, beroende på vad som kan vara fallet.

c. Exportören av personuppgifter eller personuppgiftsansvarig ska, beroende på vad som är tillämpligt, säkerställa att alla personuppgifter som tidigare överförts till importören av personuppgifter förstörs helt innan standardavtalsklausuler enligt punkt (b) ovan sägs upp. Hen ska också se till att alla kopior den har av sådana personuppgifter förstörs.

d. Importören av personuppgifter måste dokumentera förstörelsen av data och denna dokumentation måste tillhandahållas exportören av personuppgifter eller personuppgiftsansvarig på begäran.

e. Importören av personuppgifter måste fortsätta att se till – tills uppgifterna förstörs – att den följer dessa standardavtalsklausuler.

Klausul (13) Skydd av överförda personuppgifter

Exportören av personuppgifter och importören av personuppgifter ska bearbeta överförda personuppgifter i enlighet med karaktären och ändamålen med överföringen enligt följande:

Klausuler från personuppgiftsansvarig till personuppgiftsansvarig

1. Begränsningar

Importören av personuppgifter är skyldig att bearbeta överförda personuppgifter i enlighet med de ändamål som anges i bilaga (2).

2. Efterlevnad av den behöriga myndighetens begäranden

2.1 Parterna ska tillhandahålla en kopia av dessa klausuler till den behöriga myndigheten på begäran och utan onödigt dröjsmål för att den behöriga myndigheten ska kunna utöva sina befogenheter enligt lagen och förordningarna. Den behöriga myndigheten kan begära all ytterligare information om överföringar av personuppgifter.

2.2 Varje part samtycker till att följa alla förfrågningar som görs av den behöriga myndigheten i samband med dessa klausuler eller behandling av överförda data. 

2.3 På begäran ska importören av personuppgifter (antingen direkt eller via exportören av personuppgifter) avslöja sin identitets- och kontaktuppgifter och de kategorier av personuppgifter som behandlas till den registrerade för personuppgifter och tillhandahålla en kopia av dessa objekt

3. Den minsta mängd personuppgifter som behövs för att uppfylla ändamålet 

Alla parter ska se till att de överförda personuppgifter är tillräckliga och begränsade till den minimimängd som krävs för att uppfylla de ändamål som anges i bilaga (2). Om någon part blir medveten om någon överföring av onödiga personuppgifter ska den parten informera den andra parten eller de andra parterna så snart den blir medveten om det.

4. Lagring av personuppgifter 

Importören av personuppgifter ska behålla överförda personuppgifter om det är nödvändigt för att uppfylla de ändamål som anges i bilaga (2), förutsatt att importören av personuppgifter ska utan onödigt dröjsmål radera eller anonymisera överförda personuppgifter utom i följande fall: 

4.1 Om det är i enlighet med en juridisk motivering enligt kungarikets lagar och lagen om skydd av personuppgifter och dess förordningar ska uppgifterna i detta fall förstöras efter att perioden har löpt ut eller när ändamålet med att samla in den har uppfyllts, beroende på vilket som är längst. 

4.2 Om behållandet av överförda personuppgifter under en ytterligare period är direkt relaterad till ett ärende som behandlas av en rättslig myndighet och sådan behållning krävs för detta ändamål ska uppgifterna förstöras efter slutförandet av de rättsliga förfaranden som är relaterade till fallet. 

4.3 Om behållande av överförda personuppgifter under en ytterligare period är nödvändig för att skydda den registrerades liv eller deras vitala intressen.

5. Personuppgiftssäkerhet och meddelanden om överträdelser av personuppgifter

Parterna ska se till att de organisatoriska, administrativa och tekniska åtgärder som anges i bilaga (3) ger en tillräcklig skyddsnivå för överförda personuppgifter för att följa kraven i artikel (19) i lagen och artikel (23) i genomförandeförordningarna. 

5.1 Importören av personuppgifter ska genomföra de säkerhetsåtgärder som anges i bilaga (3) och tillämpa dessa åtgärder på alla överförda personuppgifter för att säkerställa säkerheten och skyddet av personuppgifter mot alla överträdelser som kan leda till skada för den registrerade för personuppgifter, olaglig åtgärd, förlust, ändring, röjande av personuppgifter eller obehörig åtkomst.

5.2 Importören av personuppgifter måste regelbundet se över de säkerhetsåtgärder som anges i bilaga (3) för att se till att de genomförs på det sätt som krävs och uppdatera dem efter behov för att säkerställa efterlevnad av artikel (19) i lagen och artikel (23) i genomförandeförordningarna. 

5.3 Om importören av personuppgifter blir medveten om en dataöverträdelse som kan skada överförda personuppgifter eller de registrerade eller strida mot deras rättigheter eller intressen, måste importören av personuppgifter meddela den behöriga myndigheten inom (72) timmar efter att ha blivit medveten om händelsen i enlighet med de krav som anges i artikel (24) i lagens genomförandeförordningar. 

6. Känsliga data 

Utan att det påverkar eventuella begränsningar som rör känsliga data som föreskrivs i lagen och lagen om genomförandeförordningar ska exportören av personuppgifter se till att importören av personuppgifter antar ytterligare skyddsåtgärder som är lämpliga för karaktären av känsliga data och ser till att den skyddas från alla risker när den bearbetas samtidigt som man ser till att de begränsningar och ytterligare skyddsåtgärder som beskrivs i bilaga (2) tillämpas. 

7. Efterföljande överföring

7.1 Importören av personuppgifter ska inte överföra eller avslöja överförda personuppgifter till en tredje part utanför kungariket om inte den parten har gått med på dessa klausuler och i enlighet med lämplig mall och bestämmelserna i klausul (7) ovan. 

7.2 Utan att det påverkar bestämmelserna i artiklarna (8) och (15) i lagen och (17) i lagen om genomförandeförordning ska bestämmelserna i lagen och förordningarna gälla för efterföljande överföring av personuppgifter som tidigare har överförts eller lämnats ut till en enhet utanför kungariket.

8. Tilldelning av bearbetare 

Importören av personuppgifter ska vara skyldig att välja en bearbetare som ger tillräckliga garantier för skyddet av överförda personuppgifter och avtalet med bearbetare ska inkludera alla krav som anges i artikel (17) i genomförandeförordningen och bearbetningen ska baseras enbart på dataimportörens instruktioner, förutsatt att dessa instruktioner överensstämmer med de krav som anges i dessa klausuler.

9. Efterlevnad av dessa klausuler 

9.1 Alla parter ska visa full efterlevnad av dessa klausuler till den behöriga myndigheten på begäran och importören av personuppgifter ska upprätthålla dokument relaterade till de aktiviteter för bearbetning av personuppgifter som utförs under dess överinseende, utöver register över aktiviteter för behandling av personuppgifter enligt vad som föreskrivs i artikel (33) i förordningen. 

9.2 Importören av personuppgifter ska tillhandahålla dessa dokument till den behöriga myndigheten på begäran. 

10. Ansvarsskyldighet 

10.1 Varje part ska vara ansvarig inför den andra parten för alla skador som orsakas den andra parten till följd av en överträdelse av någon av dessa standardavtalsklausuler. 

10.2 Varje part ska vara ansvarig inför den registrerade för personuppgifter, utan att det påverkar ansvarigheten för exportören av personuppgifter enligt lagen och förordningarna, och den registrerade för personuppgifter ska ha rätt till kompensation för alla materiella och moraliska skador som orsakas av den försumliga part som skadar den registrerade för personuppgifter. Om mer än en part är ansvarig för att orsaka skada för den registrerade för personuppgifter till följd av brott av dessa standardavtalsklausuler ska de ansvariga parterna hållas gemensamt eller individuellt ansvariga och den registrerade för personuppgifter ska ha rätt att vidta rättsliga åtgärder i domstol mot någon av dessa parter. 

10.3 Parterna är överens om att om någon part tar ansvar (b) ska den ha rätt att kräva från den andra parten den del av kompensationen som motsvarar hans, hennes eller deras ansvar för skadan.

10.4 Importören av personuppgifter kan inte förlita sig på databearbetarens eller underbearbetarens beteende för att undvika ansvarsskyldighet. 

11. Rättighet för personer som är registrerade för personuppgifter 

11.1 Importören av personuppgifter (med stöd av exportören av personuppgifter) ska hantera, på lämpligt sätt, alla frågor eller förfrågningar som tas emot från den registrerade om behandling av personuppgifter och utövandet av de rättigheter som föreskrivs i enlighet med lagen och tillämpliga förordningar utan något dröjsmål inom en period av högst trettio (30) dagar från dagen för mottagande av en sådan begäran. Denna period kan förlängas under en liknande period upp till högst trettio (30) dagar om genomförandet av begäran kräver extraordinär ansträngning eller om importören av personuppgifter tar emot många förfrågningar från den registrerade för personuppgifter. Den registrerade meddelas i förväg om denna förlängning och dess skäl. 

11.2 Alla uttalanden som görs till den registrerade för personuppgifter måste presenteras i ett tydligt, läsligt och tillgängligt format.

Bilaga

För information i bilaga 1, 2 och 3, se Saudiarabiska sekretessvillkor.