‏برنامج مشاهدة محتويات الانترنت‏

المركز المعرفي

التصنيفات الرئيسية
السياسات والأنظمة الادلة الاجرائية والاسترشادية الأدلة والقواعد الاسئلة الشائعة لنظام حماية البيانات الشخصية

البنود التعاقدية القياسية لنقل البيانات الشخصية

المقدمة

إسـتناداً إلـى نظـام حمايـة البيانات الشـخصية، الصادر بالمرسـوم الملكــي رقــم (م/19) وتاريــخ 9/2/1443هـ ("النظــام") والمُعــدل بالمرســوم الملكــي رقــم (م/148) وتاريــخ 5/9/1444هـ، ومــا تضمنـه مـن جـواز نقـل البيانـات الشـخصية خـارج المملكـة، تحدد لائحـة نقـل البيانـات الشـخصية خـارج المملكـة ("لائحـة النقـل") الأحـكام الواجـب اتباعهـا عنـد النقـل، بمـا فـي ذلـك هـذه البنـود التـي يتـم تطبيقهـا فـي حـالات إعفـاء جهـات التحكـم مـن شـروط الالتــزام بمســتوى الحمايــة المناســب والحــد الأدنــى لنقــل البيانــات الشــخصية المنصــوص عليهـمـا فــي الفقرتين الفرعيتين (ب) و (ج) من الفقرة (2) من "المــادة التاســعة والعشـرون" مـن النظـام ووفقاً لأحكام لائحة نقـل البيانات الشـخصية إلى خارج المملكة.

الغرض

يتمثـل الغـرض مـن هـذه البنـود في ضمـان تطبيـق مسـتوى حماية للبيانــات الشــخصية بما لا يقل عن مســتوى الحمايــة المقرر في النظــام واللوائــح، وذلــك مــن خلال تحديــد التزامــات أطــراف عمليـة النقـل عنـد نقـل البيانـات الشـخصية أو الإفصاح عنها إلـى إحـدى الـدول أو المنظمــات الدوليــة التــي لا يتوفــر لديهــا مســتوى مناســب لحمايــة البيانــات الشــخصية، كمــا تُعــد هــذه البنــود إحــدى الضمانــات المناسبة التــي يجــوز لجهــات التحكــم استخدامها بالإضافة إلى جهــات المعالجة بنـاءً علـى تعليمـات جهـة التحكـم ونيابـةً عنهــا إلــى جانــب القواعد المشتركة المُلزِمة وشهادات الاعتماد من جهة مرخصة من الجهة المختصة ووفقاً لأحكام نقل البيانات الشخصية إلى خارج المملكة.

التعريفات

يقصد بالألفاظ والعبارات الآتية – أينما وردت في هذه البنود – المعاني المبينة أمام كل منها، ما لم يقتضِ السياق خلاف ذلك:

المملكة: المملكة العربية السعودية.
النظام: نظـام حمايـة البيانـات الشـخصية الصـادر بالمرسـوم الملكـي رقـم (م/19) وتاريـخ 9/2/1443هـ ("النظـام") والمُعـدل بالمرسـوم الملكـي رقــم (م/148) وتاريــخ 5/9/1444هـ.
اللوائح: اللوائــح التنفيذيــة للنظــام "وتتضمــن كلاً مــن اللائحة التنفيذيــة ولائحــة نقل البيانات الشخصية إلى خارج المملكة."
الجهة المُختصة: الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا).
الضمانات المناسبة: متطلبــات تفرضهــا الجهــة المختصــة علــى جهــات التحكــم تتضمن الإلزام بأحكام النظام واللوائح، عنـد نقـل البيانـات الشـخصية أو الإفصـاح عنهـا لجهــات خــارج المملكــة، وذلك في أي مــن حــالات الإعفــاء مــن شــروط توافــر مســتوى مناسب لحماية البيانــات الشــخصية أو الحــد الأدنــى للبيانــات الشــخصية، بحسب الأحوال؛ بهــدف ضمــان مســتوى مناســب لحمايــة البيانــات الشــخصية خــارج المملكــة بما لا يقــل عــن مستوى الحماية المقرر فــي النظام واللوائح.
البنود التعاقدية القياسية: بنــود إلزامية تستخدم عند نقل البيانات الشخصية خارج المملكة تكفل مستوى مناسب لحماية البيانات الشخصية عند نقلها خارج المملكة بما لا يقل عن مستوى الحماية المقرر في النظام واللوائح، وذلك وفق نموذج قياسي تصدره الجهة المختصة.
المنظمات الدولية: كيان قانوني يضم أعضـاءً مـن ثلاث دول علـى الأقـل، يعمـل فـي دول متعـددة ذات سـيادة، تنشـأ مـن خلال وثيقـة قانونيـة رسـمية، مثــل: المعاهــدة أو الاتفــاق الذي يســتند إلــى القانــون الدولــي، وتحــدد هــذه الوثيقــة القانونيــة أهــداف ومقاصــد المنظمــة الدوليــة وهياكلهــا وجهــات اتخــاذ القــرار والولايــة القضائيــة، (مثــل: الأمــم المتحــدة، والبنــك الدولــي، وجامعــة الــدول العربيــة، وصنــدوق النقــد العربــي)، وتشــارك هــذه المنظمــات فــي أنشــطة دوليــة ويجــب أن تلتــزم بأنظمـة حمايـة البيانـات الشـخصية المختلفـة عبـر ولايـات قضائيـة مختلفة.
نقل البيانات الشخصية: نقــل البيانــات الشــخصية أو الكشــف عنهــا (أو منــح حــق الوصــول إليها) مــن المملكــة العربيــة الســعودية إلــى جهــات تحكــم أو جهــات معالجــة أو متلقيــن آخريــن فــي دول أو منظمــات دوليــة أو ولايــة قضائيــة أخــرى غيــر المملكــة العربيــة الســعودية حيــث لا تكــون الجهة المصدرة للبيانات الشخصية أو الجهة المستوردة للبيانات الشخصية.
عمليات نقل بيانات الطرف الثالث/عمليات النقل اللاحقة: نقــل البيانــات الشــخصية مــن دولــة خارجيــة أو منظمــة دوليــة إلــى جهـات تحكـم أو جهـات معالجـة فـي نفـس الدولة/المنظمـة أو فـي دولة/منظمة أخرى.

النطاق

تحــدد هــذه الوثيقــة البنــود التعاقديــة القياســية الصــادرة عــن الجهــة المختصــة فــي الملحــق رقــم (1) مــن هــذه الوثيقــة، كمــا تنطبـق هـذه البنـود علـى جهـات التحكـم أو جهـات المُعالجـة بنـاءً علـى تعليمـات جهـة التحكـم ونيابـةً عنهــا وبما لا يخل بمسؤوليات جهة التحكم أمام الجهة المختصة أو صاحب البيانات الشخصية - بحسب الأحوال - عنـد نقــل البيانــات الشــخصية خــارج المملكــة إلــى دولــة أو منظمــة دوليــة لا يتوفــر لديهــا مســتوى مناســب لحمايــة البيانــات الشخصية.

قواعد البنود التعاقدية القياسية:

  1. توفـر البنـود التعاقديـة القياسـية الـواردة علـى النحـو المبيـن فــي الملحــق (1) حمايــة للبيانــات الشــخصية وضمانــاً مناســباً وفــق أحــكام النظــام واللوائــح لنقــل البيانــات الشــخصية أو الإفصــاح عنهــا لجهــات خــارج المملكــة مــن الجهــة المصــدرة للبيانــات الشخصية إلــى الجهــة المستوردة للبيانات الشخصية.
  2. تحــدد البنــود التعاقديــة القياســية البنــود التــي يتم تضمينهـا فـي عقـد أو اتفاقيـة بيـن الجهة المصـدرة للبيانات الشخصية والجهـة المسـتوردة للبيانـات الشخصية أو وضعهـا فـي عقـد أو اتفاقية مستقلة.
  3. لا يخــل اعتمــاد البنــود التعاقديــة القياســية بالتزامــات الأطــراف بموجــب النظــام واللوائــح عنــد معالجــة البيانــات الشخصية.
  4. فــي حــال تضميــن البنــود التعاقديــة القياســية فــي عقــد أو اتفاقيــة، يجــب ألا يتعــارض أي شــرط أو حكــم صريــح أو ضمنــي فــي هــذا العقــد أو الاتفاقيــة مــع البنــود التعاقديــة القياسـية أو يحـد مـن نطـاق تطبيقهـا أو الحمايـة المتوقعـة منهــا، بالإضافــة إلــى أحقيــة الأطــراف المتعاقــدة فــي تضميــن أي شــروط إضافيــة تتعلــق بمعالجــة البيانــات الشـخصية، علـى ألا تتعـارض هـذه الشـروط الإضافيـة مـع و/أو تقــوض أيـاً مــن متطلبــات البنــود التعاقديــة القياســية أو النظام واللوائح.
  5. عند قيام أي طرف بإجراء أي تعديل على النــص المعتمــد (بــخلاف الحقــول الفارغــة التــي تتطلــب تعبئة فــي البنــود التعاقديــة القياســية) لا يعتــد بهــذا التعديل مــن قبــل الجهــة المختصــة وتعتبــر مخالفــة لأحــكام النظــام واللوائح.
  6. يمكــن أن تشــمل البنــود التعاقديــة القياســية أكثــر مــن طرفيــن، لــذا يمكــن لجهــات التحكــم وجهــات المعالجــة الإضافيــة الانضمــام إلــى هــذه البنــود كجهــات مُصــدرة للبيانات الشخصية أو جهــات مُســتوردة للبيانــات الشخصية بحســب طبيعــة دورها طوال مدة سريان العقد.
  7. لا يجـوز نقـل البيانـات الشـخصية بموجـب البنـود التعاقديـة القياسـية إذا كانـت القوانيـن والقواعـد فـي الدولـة المتلقيـة أو المنظمــة الدوليــة تمنــع الجهــة المســتوردة للبيانــات الشخصية مــن الالتزام بالبنود التعاقدية القياسية.
  8. لضمــان الإنفــاذ الفعــال لهــذه البنــود، تخضــع الجهــة المسـتوردة للبيانـات الشخصية للاختصـاص القضائـي فـي المملكـة، وتتعهــد بالالتــزام وتنفيــذ أي قــرار ملــزم بموجــب الأنظمة واللوائح المعمول بها في المملكة.
  9. يجـب أن توافـق الجهـة المسـتوردة للبيانـات الشخصية علـى الاسـتجابة لطلبــات الجهــة المختصــة والتعــاون معهــا فــي إجــراءات التدقيــق ومتابعــة الالتــزام بالتدابيــر المعتمــدة لديهــا، بمــا فــي ذلــك التدابيــر والإجــراءات التصحيحيــة والتأكيــد كتابيــاً للجهة المختصة بأنه تم اتخاذ الإجراءات اللازمة.
  10. بعــد اعتمــاد البنــود التعاقديــة القياســية، فــي حــال تبيــن للجهــة المصــدرة للبيانــات الشخصية أن الجهــة المســتوردة للبيانــات الشخصية ليســت قــادرة أو لــم تعــد قــادرة علــى الوفــاء بالالتزامــات المنصــوص عليهــا فــي هــذه البنــود، أو قامــت الجهــة المسـتوردة للبيانـات الشخصية بإشـعار الجهـة المصـدرة للبيانـات الشخصية فـي حــال وجــود ســبب يســتدعي الاعتقــاد بعــدم القــدرة علــى الوفــاء بالالتزامــات المنصــوص عليهــا فــي هــذه البنــود، فيجــب علــى الجهــة المصــدرة للبيانــات الشخصية تعليــق عمليــات النقــل مــا لــم تعتمــد تدابيــر أو ضمانــات بديلــة تســتوفي المتطلبات المنصوص عليها في النظام واللوائح.
  11. يجــوز للجهــة المختصــة وفــق تقديرهــا، إجــراء أي تغييــر فــي البنـود التعاقديـة القياسـية الـواردة فـي هـذه الوثيقـة، وفـي حــال إجــراء أي تغييــر، ســتقوم الجهــة المختصــة بتحديد التدابيــر الانتقاليــة، بما في ذلك فتــرة الســريان المتبقيــة للاتفاقيــات وفــق البنــود التعاقدية القياسية السابقة.

نماذج البنود التعاقدية القياسية:

تــم إعــداد نمــاذج للبنــود التعاقديــة القياســية تتضمــن بنــوداً عامــة تنطبــق علــى جميــع الحــالات التعاقديــة، بالإضافــة إلــى بنــود أخــرى ذات طبيعــة محــددة بحســب أدوار الأطــراف المعنيــة، ويجــب علــى جميــع الأطــراف قبــل تنفيــذ البنــود التعاقديـة القياسـية تحديـد النمـوذج الـذي ينطبـق علـى عمليات النقــل ذوات الصلــة وبحســب طبيعــة أدوارهــم، وحــذف النمــاذج غير المنطبقة:

النمــوذج الأول: جهــة تحكــم إلــى جهــة تحكــم: ينطبــق هــذا النمـوذج علـى عمليـات نقـل البيانـات الشـخصية إلـى خـارج المملكــة مــن جهــة تحكــم (الجهــة المصــدرة للبيانــات الشخصية) إلــى جهـة تحكـم أخـرى (الجهـة المسـتوردة للبيانـات الشخصية).
النمـوذج الثانـي: جهـة تحكـم إلـى جهـة معالجـة: ينطبـق هـذا النمـوذج علـى عمليـات نقـل البيانـات الشـخصية إلـى خـارج المملكــة مــن جهــة تحكــم (الجهــة المصــدرة للبيانــات الشخصية) إلــى جهــة معالجــة (الجهــة المســتوردة للبيانــات الشخصية).
النمــوذج الثالــث: جهــة معالجــة إلــى جهــة معالجــة: ينطبــق هــذا النمــوذج علــى عمليــات نقــل البيانــات الشــخصية إلــى خـارج المملكـة مـن جهـة معالجـة (الجهـة المصـدرة للبيانات الشخصية) إلـى جهـة معالجـة فرعيـة (الجهـة المسـتوردة للبيانـات الشخصية).
النمـوذج الرابـع: جهـة معالجـة إلـى جهـة تحكـم: ينطبـق هـذا النمـوذج علـى عمليـات نقـل البيانـات الشـخصية إلـى خـارج المملكـة مـن جهـة معالجـة (الجهـة المصـدرة للبيانـات الشخصية) إلـى جهـة تحكـم (الجهـة المسـتوردة للبيانـات الشخصية).

الملحقات

البند (1) الغرض والنطاق

‌أ.الغــرض مــن هــذه البنــود هــو ضمــان تطبيــق مســتوى مناســب لحمايــة البيانــات الشــخصية يعــادل مســتوى الحمايـة المطبـق بموجـب النظام واللوائح فــي حــال عــدم توفــر مســتوى مناســب لحمايــة البيانــات الشــخصية خــارج المملكــة، وذلــك مــن خلال تحديــد التزامــات أطــراف عمليــة النقــل عنــد نقــل البيانـات الشـخصية إلـى إحـدى الـدول أو المنظمـات الدوليـة التــي لا يتوفــر لديهــا مســتوى مناســب لحمايــة البيانــات الشخصية.
كمــا يوضــح الملحــق (1) بيانــات كلٍ مــن الجهــات المصــدرة للبيانات الشخصية والجهات المستوردة للبيانات الشخصية.
‌ب.تنطبــق هــذه البنــود علــى نقــل البيانــات الشــخصية علــى النحــو المحــدد فــي الملحــق (2 ) ("البيانــات الشــخصية التــي سيتم نقلها أو الإفصاح عنها").

البند (2) الأثر والتعديل

‌أ.تحـدد هـذه البنـود ضمانـات مناسـبة، بمـا فـي ذلـك حقـوق تقديــم الشــكاوى مــن قبــل أصحــاب البيانــات الشــخصية، ولا يمكـن تعديـل هـذه البنـود إلا لاختيار النموذج المناسب أو لإضافة أو تحديث المعلومات في الملحق.
‌ب.يجـوز للأطـراف تضميـن هـذه البنـود فـي اتفاقيـة شـاملة أو إضافــة بنــود أخــرى أو ضمانــات إضافيــة لهــا، بشــرط ألا تتعــارض بشــكل مباشــر أو غيــر مباشــر مــع هــذه البنــود أو تخل بالحقوق الأساسية لأصحاب البيانات الشخصية.
‌ج.لا تعفـي هـذه البنـود أي طـرف مـن التزاماتـه بموجـب النظام واللوائح، ولا تخــل بأحـكام الأنظمـة واللوائح المعمـول بهـا فـي المملكـة أو الاتفاقيـات التي تكون المملكة طرفاً فيها.

البند (3) حقوق أصحاب البيانات الشخصية

‌أ.لا تخــل هــذه البنــود التعاقديــة القياســية بحقــوق أصحــاب البيانــات الشــخصية المقــررة لهــم بموجــب النظام واللوائح.
‌ب.يجـوز لأصحـاب البيانـات الشـخصية الذيـن يتـم نقـل بياناتهم الشــخصية مــن الأطــراف بنــاءً علــى هــذه البنــود التعاقديــة القياســية إشــعار الجهــة المختصــة ("الهيئــة الســعودية للبيانـات والـذكاء الاصطناعـي") فـي حـال تبيـن لهـم حـدوث أي انتهاك لهذه البنود التعاقدية القياسية.

البند (4) التفسير

‌أ.مــا لــم يقتــضِ الســياق خــلاف ذلــك، يكــون للعبــارات والألفــاظ الــواردة فــي هــذه البنــود المعانــي المبينــة لهــا أمـام كل منهـا فـي المـادة الأولـى مـن نظـام حمايـة البيانات الشــخصية الصــادر بالمرســوم الملكــي رقــم (م/19) وتاريــخ 9/2/1443هـ والمعــدل بموجــب المرســوم الملكــي رقــم (م/148) وتاريــخ 5/9/1444هـ، و"المــادة الأولــى" مــن اللائحــة التنفيذيـة لنظـام حمايـة البيانـات الشـخصية و"المـادة الأولـى" من لائحة نقل البيانات الشخصية خارج المملكة.
‌ب.يجـب قـراءة هـذه البنـود وتفسـيرها فـي ضـوء أحـكام النظـام واللوائح المشـار إليهـا فـي الفقـرة (أ) مـن هـذه المـادة وبمـا يتفــق معهــا، ولا يجــوز تفســيرها بــأي طريقــة أخــرى تتعارض مع أحكام النظام واللوائح.

البند (5) التعارض

فــي حالــة وجــود تعــارض بيــن هــذه البنــود وأي حكــم فــي أي اتفاقية أخرى بين الطرفين، تسري هذه البنود.
البند (6) تفاصيل عمليات النقل
يرد وصــف عمليــة/عمليــات النقــل، بالإضافــة إلــى فئــات البيانــات الشــخصية وأغــراض عمليــات النقــل، فــي الملحق.

البند (7) إضافة أطراف جديدة

‌أ.يجــوز لأي جهــة مســتوردة للبيانــات الشخصية أو جهــة مصدرة للبيانات الشخصية ليــست طرفــاً فــي هــذه البنــود الانضمـام إلـى هـذه البنـود التعاقدية القياسية مـن خلال اسـتكمال الملحـق (1) وتوقيعــه، وذلــك بعــد موافقــة الأطــراف الحاليــة، وتكــون الجهــة المنضمّــة إمــا الجهــة المســتوردة للبيانــات الشخصية أو الجهــة المصدرة للبيانات الشخصية.
‌ب.فور اســتكمال الملحــق (1) وتوقيعــه، تعــد الجهــة المنضمّـة طرفـاً فـي هـذه البنـود، وتتولـى الجهـة المنضمّـة حديثــاً اعتبــاراً مــن تاريــخ انضمامهــا المسؤوليات بحســب طبيعتهـا، وعمليـات معالجـة البيانـات الشـخصية ونقلهـا التي حدثــت فــي تاريــخ الانضمــام أو بعــده، ويحــق للجهــة المنضمــة ممارســة الحقــوق كما يجب عليها الوفاء بالالتزامــات المقابلــة لدورهــا كما هو مُحدد في هذه البنود.

البند (8) النظام الحاكم والاختصاص القضائي

تخضــع هــذه البنــود التعاقديــة القياســية للأنظمــة المعمــول بــها فــي المملكــة، وينعقــد الاختصــاص القضائــي لأي نــزاع ينشــأ عــن تطبيــق أحــكام هــذه البنــود لمحاكــم المملكــة، وتوافــق الجهــة المســتوردة للبيانــات الشخصية بموجــب هــذه البنــود التعاقديــة القياسية على الخضوع للاختصاص القضائي للمملكة.

البند (9) الالتزام بطلبات الجهة المختصة

‌أ.يوافــق كل طرف علــى الالتــزام بــأي طلبــات مــن الجهــة المختصـة فيمـا يتعلـق بهـذه البنـود التعاقديـة القياسـية أو معالجة البيانات الشخصية المنقولة.
‌ب.توافــق وتلتــزم الجهــة المســتوردة للبيانــات الشخصية بالتعــاون مــع الجهـة المختصـة والالتـزام بالاستجابة لجميـع طلباتهـا واستفساراتها وتقديـم الوثائق والمعلومات اللازمة لضمـان الالتـزام بالبنــود التعاقديــة القياســية.
‌ج.توافــق الجهــة المســتوردة للبيانــات الشخصية على الالتــزام بالتدابيــر التــي تعتمدهــا الجهــة المختصــة، بمــا فــي ذلــك التدابيــر التصحيحية والتعويض.

البند (10) التعويض

‌أ.فــي حــال نشــأ أي نــزاع بيــن صاحــب البيانــات الشــخصية وأحــد الأطــراف فيمــا يتعلــق بالالتــزام بالبنــود التعاقديــة القياســية، يبــذل هــذا الطــرف جميــع الوســائل اللازمــة لتســوية النــزاع وديـاً مــع صاحــب البيانــات الشــخصية، علــى أن يبلــغ جميــع الأطــراف بعضهم بوجــود هــذا النزاع لضمان تسويته بالتعاون فيما بينهم.
‌ب.يجــوز لصاحــب البيانــات الشــخصية التقــدم إلــى الجهــة المختصــة بــأي شــكوى ناشــئة عن تطبيــق أحــكام هــذه البنــود التعاقديــة القياســية، وذلــك وفــق إجــراءات تقديــم الشكاوى المحددة في النظام واللوائح.
‌ج.لصاحــب البيانــات الشــخصية حــق المطالبــة أمــام المحكمــة المختصــة بالتعويــض عــن الضــرر المــادي أو المعنـوي بمـا يتناسـب مـع حجـم الضـرر الناشـئ مـن تطبيق هذه البنود التعاقدية القياسية.

البند (11) أمن البيانات الشخصية

‌أ.يتخـذ جميـع الأطـراف التدابيـر التنظيميـة والإداريـة والتقنيـة اللازمــة التي تضمن المحافظة على البيانات الشخصية مــن أي تسرَب فــي جميــع مراحــل المعالجــة، بمــا فــي ذلــك أمــن البيانــات الشخصية أثنــاء عمليــة النقل.

يراعــي الأطــراف عنــد تقييــم مســتوى الأمــن المناســب، الحالـة التقنيـة الراهنـة وتكاليـف التنفيـذ وطبيعـة البيانـات الشــخصية المنقولة، فــضلاً عــن طبيعــة معالجــة البيانــات الشخصية ونطاقهــا وســياقها وأغراضهــا ومخاطرها، ومراعـاة تطبيــق الترميز أو إخفاء الهويــة، بمــا يشــمل تطبيــق ذلــك أثنــاء عمليــة نقــل البيانــات الشخصية.

‌ب.تســاعد الجهــة المصــدرة للبيانــات الشخصية الجهــة المســتوردة للبيانــات الشخصية على اســتيفاء متطلبــات أمــن البيانــات الشخصية اللازمــة، وفــي حــال حــدوث أي تسرَب للبيانــات الشــخصية المنقولــة التــي تعالجهــا الجهــة المصــدرة للبيانــات الشخصية بموجــب هــذه البنــود التعاقديــة القياسية تخطـر الجهـة المصـدرة للبيانـات الشخصية الجهـة المسـتوردة للبيانـات الشخصية دون أي تأخيــر بعــد علمهــا بذلــك التسرَب وتســاعد الجهــة المستوردة للبيانات الشخصية في معالجة هذا التسرَب.
‌ج.تضمـن الجهـة المصـدرة للبيانات الشخصية التزام الأشـخاص المصرح لهــم بمعالجــة البيانــات الشــخصية المنقولــة بســرية المعلومــات وعــدم الإفصــاح بموجــب التــزام قانونــي مناسب بشأن سرية المعلومات وعدم الإفصاح.

البند (12) المدة وحالات الإنهاء

‌أ.فـي حـال تبيـن للجهـة المسـتوردة للبيانـات الشخصية عـدم قدرتهـا لأي ســبب مــن الأســباب على الإيفــاء بالتزاماتهــا بموجــب هــذه البنــود التعاقديــة القياســية، فيلــزم عليهــا إبلاغ الجهــة المصـدرة للبيانـات الشخصية بذلـك خلال (24) سـاعة مـن وقـت علمهـا بذلك.
‌ب.فــي حال مخالفــة الجهــة المســتوردة للبيانــات الشخصية لهــذه البنــود التعاقديـة القياسـية أو تبيـن عـدم قدرتهـا علـى الالتـزام بهـا، يجـب علـى الجهـة المصـدرة للبيانـات الشخصية التوقـف فـوراً عـن نقل البيانــات الشــخصية إلــى الجهــة المســتوردة للبيانــات الشخصية حتــى ضمـان عودتهـا إلى الالتـزام مـرة أخـرى، علـى أن يتـم منـح الجهـة المســتوردة للبيانــات الشخصية مــدة (30) يوماً قابلــة للتمديــد لمــدة مماثلــة بحــد أقصــى لإثبــات قدرتهــا علــى الالتــزام بهــذه البنــود، وفــي حــال انقضــت المــدة دون تحقــق ذلــك فيتــم الاتفـاق بيـن الطرفيـن علـى إنهـاء التعاقـد، ولا يترتـب علـى ذلــك أي مســؤولية علــى الجهــة المصــدرة للبيانــات الشخصية أو جهة التحكم بحسب الأحوال.
‌ج.يجــب علــى الجهــة المصــدرة للبيانــات الشخصية أو جهة التحكم بحسب الأحوال التأكد من إتلاف جميع البيانات الشـخصية المنقولـة مسـبقاً بالكامـل للجهـة المسـتوردة للبيانـات الشخصية قبـل إنهـاء البنـود التعاقديـة القياسـية بموجـب الفقـرة (ب) أعلاه، كمــا يتــم التحقــق مــن إتلاف أي نســخ لديهــا مــن هــذه البيانات الشخصية.
‌د.يجــب علــى الجهــة المســتوردة للبيانــات الشخصية توثيــق عمليــات إتلاف البيانـات الشخصية، علـى أن يتـم تقديـم هـذا التوثيـق إلـى الجهة المصدرة للبيانات الشخصية أو جهة التحكم بحسب الأحوال عند الطلب.
‌ه.يجــب علــى الجهــة المســتوردة للبيانــات الشخصية الالتزام - حتــى بعد إتلافها للبيانـات الشخصية - بهـذه البنـود التعاقديـة القياســية.

البند (13) حماية البيانات الشخصية المنقولة

يجــب علــى الجهــة المصــدرة للبيانــات الشخصية والجهــة المســتوردة للبيانــات الشخصية معالجــة البيانــات الشــخصية المنقولــة بحســب طبيعــة وأغراض النقل والنموذج المناسب وفق الآتي:

النموذج الأول: جهة تحكم إلى جهة تحكم أخرى.

  1. قيود المعالجة
    تلتــزم الجهــة المســتوردة للبيانــات الشخصية بمعالجــة البيانــات الشــخصية المنقولــة وفــق الأغــراض المنصــوص عليهــا في الملحق (2).
  2. الالتزام بطلبات الجهة المختصة
    ‌أ.يجـب علـى جميع الأطـراف تقديـم نسـخة مـن هـذه البنـود إلـى الجهة المختصــة بحكم صلاحياتهــا المناطـة بهـا بموجـب النظـام واللوائـح عنــد طلبها ودون تأخيــر غيــر مبــرر، ويجــوز للجهــة المختصــة طلــب أي معلومــات إضافيــة فيمــا يتعلق بعمليات نقل البيانات الشخصية.
    ‌ب.يوافــق كل طــرف علــى الالتــزام بــأي طلبــات تقدمهــا الجهــة المختصــة حيال هذه البنــود أو عمليــات المعالجة المتعلقة بالبيانات الشخصية المنقولة.
    ‌ج.علـى الجهـة المسـتوردة للبيانـات الشخصية – عنـد الطلـب إما من خلالها أو من خلال الجهة المصدرة للبيانات الشخصية – الإفصــاح لصاحــب البيانــات الشــخصية عــن هويتهــا وبيانــات الاتصــال الخاصــة بهــا وفئــات البيانــات الشـخصية محـل المعالجـة مـع تقديـم نسـخة مـن هـذه البنود.
  3. الحــد الأدنــى مــن البيانــات الشــخصية الــلازم لتحقيــق الغرض
    يجـب علـى جميـع الأطـراف التأكد من أن البيانات الشـخصية المنقولــة كافيــة وتقتصــر علــى الحــد الأدنــى اللازم لتحقيــق الأغــراض المنصــوص عليهــا فــي الملحــق (2)، وفــي حــال تبيــن لأي طــرف بــأي عمليــة نقــل لبيانــات شــخصية غيــر ضروريــة، يجــب علــى هــذا الطــرف إبلاغ الطرف/الأطراف الأخرى فور علمه.
  4. الاحتفاظ بالبيانات الشخصية
    تحتفــظ الجهــة المســتوردة للبيانــات الشخصية بالبيانــات الشــخصية المنقولــة فــي حــال كان ذلــك ضروريــاً لتحقيــق الأغــراض المنصــوص عليهــا فــي الملحــق (2)، علــى أن تقــوم الجهــة المسـتوردة للبيانـات الشخصية دون تأخيـر غيـر مبـرر بإتلاف البيانـات الشــخصية المنقولــة أو إخفــاء هويتهــا إلا فــي الحــالات الآتية:
    ‌أ.إذا توافر مســوغ نظامــي بموجــب الأنظمة واللوائح المعمول بها في المملكة، وفي هذه الحالة يتم إتلافها بعد انتهاء المدة أو انتهاء الغرض من جمعها، أيهما أطول.
    ‌ب.إذا كان الاحتفـاظ بالبيانـات الشـخصية المنقولـة لفتـرة إضافيــة متصلاً اتصالاً وثيقاً بقضية منظورة أمام جهة قضائية وكان الاحتفاظ بها مطلوباً لهذا الغرض، وفي هذه الحاله يتم إتلافها بعد استكمال الإجراءات القضائية الخاصة بالقضية.
    ‌ج.إذا كان الاحتفــاظ بالبيانــات الشــخصية المنقولــة لفتــرة إضافيــة ضروريــاً حفاظــاً علــى حيــاة صاحــب البيانــات الشخصية أو مصالحه الحيوية.
  5. أمــن البيانــات الشــخصية وإشــعارات حــوادث تســرَب البيانات الشخصية
    يجــب علــى الطرفيــن التأكــد مــن أن التدابيــر التنظيميــة والإداريــة والتقنيــة المُحــددة فــي الملحــق (3) توفــر مســتوى كافــياً مــن الحمايــة للبيانــات الشــخصية المنقولــة للالتــزام بمتطلبــات "المــادة التاســعة عشــرة" من النظام و"المادة الثالثة والعشرون" من اللائحة التنفيذية للنظام.
    ‌أ.يجــب علــى الجهــة المســتوردة للبيانــات الشخصية تنفيــذ التدابيــر الأمنيـة المحـددة فـي الملحـق (3) وتطبيـق تلـك التدابيـر علـى جميـع البيانـات الشـخصية المنقولـة، لضمـان أمـن البيانـات الشـخصية وحمايتهـا ضـد أي انتهاك قـد يـؤدي إلــى ضــرر بصاحــب البيانــات الشــخصية، أو إجــراء غيــر قانونــي أو خســارة أو تغييــر أو كشــف عــن بيانــات شخصية أو وصول غير مصرح به.
    ‌ب.يجــب علــى الجهــة المســتوردة للبيانــات الشخصية مراجعــة التدابيــر الأمنيــة المنصــوص عليهــا فــي الملحــق (3) بشــكل دوري، للتأكـد مـن أن تنفيذهـا يتـم وفـق المطلـوب، مـع تحديثهــا حســب الحاجــة لضمــان الالتــزام بمــا ورد فــي "المــادة التاســعة عشــرة" مــن النظــام والمادة الثالثــة والعشرون" من اللائحة التنفيذية للنظام.
    فـي حـال علـم الجهـة المسـتوردة للبيانـات الشخصية بوجـود حادثـة تســرَب للبيانــات الشــخصية من شأنها الإضرار على البيانــات الشــخصية المنقولــة أو أصحــاب البيانــات الشــخصية أو تتعارض مع حقوقهم أو مصالحهــم، يجــب على الجهة المستوردة للبيانات الشخصية إشــعار الجهــة المختصـة خلال (72) سـاعة من وقت علمها وفقــاً للمتطلبــات الــواردة فــي "المــادة الرابعـة والعشرون" من اللائحة التنفيذية للنظام.
  6. البيانات الحساسة
    دون الإخلال بــأي قيــود تتعلــق بالبيانــات الحساســة المنصـوص عليهـا فـي النظـام واللوائـح التنفيذيـة للنظـام، يجــب علــى الجهــة المصــدرة للبيانــات التأكــد مــن أن الجهــة المسـتوردة للبيانـات تتبنـى وسـائل حمايـة إضافيـة تتناسـب مــع طبيعــة البيانــات الحساســة وتضمــن حمايتهــا مــن أي مخاطــر عنــد معالجتهــا مــع ضمــان تطبيــق القيــود الــواردة والضمانات الإضافية الموضحة في الملحق (2).
  7. النقل اللاحق
    ‌أ.لا يجـوز للجهـة المسـتوردة للبيانـات الشخصية النقـل أو الإفصـاح عــن البيانــات الشــخصية المنقولــة إلــى طــرف ثالــث خــارج المملكــة مــا لــم ينضــم هــذا الطــرف إلــى هــذه البنــود وفقــاً للنمــوذج المناســب وأحــكام البنــد (أعلاه).
    ‌ب.دون الإخــلال بأحــكام المــواد (الثامنــة) و(الخامســة عشــرة) مــن النظــام و(الســابعة عشــرة) مــن اللائحــة التنفيذيــة للنظــام، تطبــق أحــكام النظــام واللوائــح علــى البيانــات الشــخصية على عمليات النقل اللاحق للبيانات الشخصية التــي جــرى نقلهــا أو الإفصاح عنها لجهة خارج المملكة.
  8. تعيين جهات المعالجة
    يجـب علـى الجهـة المسـتوردة للبيانـات الشخصية الالتـزام باختيـار جهـة معالجـة تقـدم ضمانـات كافيـة لحمايـة البيانـات الشـخصية المنقولــة، وأن يتضمــن الاتفــاق مــع جهــة المعالجــة جميــع المتطلبــات الموضحــة فــي "المــادة الســابعة عشــرة" مــن اللائحة التنفيذية للنظام، وأن تكـون المعالجـة بنـاءً علـى تعليمـات الجهـة المسـتوردة للبيانـات الشخصية فقـط، علـى أن تكـون هـذه التعليمـات متسـقة مـع المتطلبات المحددة في هذه البنود.
  9. الالتزام بهذه البنود
    ‌أ.يتعيــن علــى جميــع الأطــراف إثبــات الالتــزام الكامــل بموجـب هـذه البنـود أمـام الجهـة المختصـة عنـد طلبهـا ذلـك، ويجـب علـى الجهـة المسـتوردة للبيانـات الشخصية الاحتفاظ بالوثائــق ذات العلاقــة بأنشــطة معالجــة البيانــات الشــخصية التــي تجــرى تحــت إشــرافها، بالإضافــة إلــى ســجلات أنشــطة معالجــة البيانــات الشــخصية كمــا تنص عليه "المادة الثالثة والثلاثون (33)" من اللائحة التنفيذية للنظام.
    ‌ب.تقــدّم الجهــة المســتوردة للبيانــات الشخصية هــذه الوثائــق إلــى الجهة المختصة عند الطلب.
  10. المسؤولية
    ‌أ.يتحمــل كل طــرف المســؤولية تجــاه الطــرف الآخــر عــن أي أضـرار يتسـبب فيهـا للطـرف الآخـر نتيجـة انتهـاك أي من هذه البنود التعاقدية القياسية.
    ‌ب.يتحمــل كل طــرف المســؤولية تجــاه صاحــب البيانــات الشــخصية، دون الإخلال بمســؤولية الجهــة المصــدرة للبيانــات الشخصية بموجــب النظــام واللوائــح، ويحــق لصاحــب البيانــات الشــخصية الحصــول علــى تعويــض عــن أي أضــرار ماديــة ومعنويــة يتســبب فيهــا الطــرف المقصــر تضــر بصاحــب البيانــات الشــخصية، وفــي حــال كانــت المســؤولية علــى أكثــر مــن طــرف في التســبب بالإضــرار بصاحــب البيانــات الشــخصية نتيجــة لانتهــاك هــذه البنــود التعاقديــة القياســية، فتتحمــل الأطــراف المسـؤولة عـن هـذا الانتهـاك المسـؤولية مجتمعيـن أو منفرديــن، ويحــق لصاحــب البيانــات الشــخصية اتخــاذ إجــراء قضائــي أمــام المحكمــة فــي حــق أي مــن هــؤلاء الأطراف.
    ‌ج.يوافــق الأطــراف علــى أنــه فــي حــال تحمــل أي طــرف المســؤولية) ب (يحــق لــه مطالبــة الطــرف/الأطــراف الأخــرى بهــذا الجــزء مــن التعويــض المتوافــق مع مسؤوليتهم عن الضرر.
    ‌د.لا يجـوز للجهـة المسـتوردة للبيانـات الشخصية التمسـك بسـلوك جهـة معالجـة البيانـات الشخصية أو جهـة معالجـة البيانـات الشخصية الفرعيـة لتجنب تحملها المسؤولية.
  11. حقوق أصحاب البيانات الشخصية
    ‌أ.تتعامـل الجهـة المسـتوردة للبيانـات الشخصية حسـب الاقتضـاء (مــع تقديــم المســاندة اللازمــة مــن قبــل الجهـة المصـدرة للبيانـات الشخصية) مـع أي استفسـارات أو طلبات تتلقاهــا مــن صاحــب البيانــات الشــخصية فيمــا يتعلــق بمعالجــة البيانــات الشــخصية وممارســة الحقــوق المنصـوص عليهـا وفـق النظـام واللوائـح المعمـول بهـا دون أي تأخيــر خلال مــدة لا تزيــد عــلى ثلاثيــن (30) يومــاً علــى الأقــل مــن تاريــخ اســتلام ذلــك الطلــب. ويمكــن تمديــد هــذه المــدة لمــدة مماثلــة بحــد أقصــى إذا اســتدعى تنفيــذ الطلــب جهــداً غيــر عــادي أو إذا تلقــت الجهــة المســتوردة للبيانــات الشخصية عدداً مــن الطلبــات مــن صاحــب البيانــات الشــخصية، ويخطــر صاحــب البيانــات الشخصية مسبقاً بهذا التمديد والأسباب الداعية إليه.
    ‌ب.يجــب أن تكــون جميــع الإفــادات المقدمــة لصاحــب البيانــات الشــخصية مقدمــة بصيغــة واضحــة ومقــروءة ويسهل الوصول إليها.

النموذج الثاني: جهة تحكم إلى جهة معالجة

  1. تعليمات المعالجة
    يجــب علــى الجهــة المســتوردة للبيانــات الشخصية معالجــة البيانــات الشـخصية المنقولـة بنـاء علـى تعليمـات مكتوبـة مـن الجهـة المصـدرة للبيانـات الشخصية فقـط، وبنـاء علـى ذلـك فـي حـال عـدم تمكــن الجهــة المســتوردة للبيانــات الشخصية مــن اتبــاع التعليمــات، يجــب عليهــا إبلاغ الجهــة المصــدرة للبيانــات الشخصية بذلــك كتابيــاً دون أي تأخير غير مبرر.
  2. قيود المعالجة
    يجــب علــى الجهــة المســتوردة للبيانــات الشخصية معالجــة البيانــات الشـخصية المنقولـة وفقـاً للأغـراض المحـددة فـي الملحـق (2)، مـا لـم يصـدر توجيـه كتابـي خلاف ذلـك مـن قبـل الجهـة المصـدرة للبيانـات الشخصية ، علـى أن تتم معالجة البيانات الشـخصية وفق أحكام النظام واللوائح في جميع الأحوال.
  3. الالتزام بطلبات الجهــة المختصــة
    ‌أ.فــي ســبيل ممارســة الجهــة المختصــة صلاحياتهــا المنوطـة بهـا بموجـب النظـام واللوائـح التنفيذيـة، يجـب علـى الأطـراف تقديـم نسـخة مـن هـذه البنـود إلـى الجهة المختصــة عنــد الطلــب ودون تأخيــر غيــر مبــرر، ويجــوز للجهــة المختصــة طلــب أي معلومــات إضافيــة فيمــا يتعلق بعمليات نقل البيانات الشخصية.
    ‌ب.يوافـق كل طـرف علـى الالتـزام بـأي طلبـات تقدمهـا الجهـة المختصــة فيمــا يتعلــق بهــذه البنــود أو عمليــات معالجــة البيانات الشخصية المنقولة.
    ‌ج.علــى الجهــة المســتوردة للبيانــات الشخصية - عنـد الطلـب إما من خلالها أو من خلال الجهة المصدرة للبيانات الشخصية – الإفصــاح لصاحـب البيانـات الشـخصية عـن هويتهـا وبيانـات الاتصـال الخاصـة بهـا وفئـات البيانـات الشـخصية محـل المعالجـة مـع تقديم نسخة من هذه البنود.
  4. دقة وجودة البيانات الشخصية
    إذا تبيــن للجهــة المســتوردة للبيانــات الشخصية عــدم دقــة أي بيانــات شــخصية منقولــة أو غيــر محدثــة، فيلــزم عليهــا إبلاغ الجهــة المصـدرة للبيانـات الشخصية خطيـاً دون تأخيـر غيـر مبرر، علـى أن تقوم الجهــة المســتوردة للبيانــات الشخصية فــي هــذه الحالــة بــإتلاف البيانــات الشــخصية وإشــعار الجهــة المصــدرة للبيانــات الشخصية بذلــك، مــا لــم يتــم التوجيــه مــن قبــل الجهــة المصــدرة للبيانــات الشخصية بعــدم الإتلاف لرغبتهــا في إجــراء تصحيــح للبيانــات الشخصية المنقولة.
  5. مدة معالجة البيانات الشخصية وإتلافها أو استعادتها
    ‌أ.تتــم المعالجــة من قبل الجهــة المســتوردة للبيانــات الشخصية فقــط وخلال المــدة المحــددة فــي الملحــق (2)، وبعــد الانتهــاء مــن الغــرض مــن المعالجــة يجــب علــى الجهــة المســتوردة للبيانــات الشخصية إتلاف جميــع البيانــات الشــخصية التـي تمـت معالجتهـا نيابـة عـن الجهـة المصـدرة للبيانات الشخصية وإشــعار الجهــة المصــدرة للبيانــات الشخصية بذلــك، مــا لــم يتــم التوجيــه مــن قبــل الجهــة المصــدرة للبيانــات الشخصية بــخلاف ذلك في الحالات الآتية:
    1.إعــادة جميــع البيانــات الشــخصية المعالجــة إلــى الجهـة المصـدرة للبيانـات الشخصية وحـذف النسـخ الموجـودة لدى الجهة المستوردة للبيانات الشخصية؛
    2.اقتضــاء الأنظمــة المعمــول بهــا فــي المملكـة الاحتفـاظ بالبيانـات الشـخصية المنقولـة لمدة إضافية؛
    ‌ب.تبقــى الجهــة المســتوردة للبيانــات الشخصية ملتزمــة بهــذه البنــود حتى إتمام حذف البيانات الشخصية أو استعادتها.
  6. أمــن البيانــات الشــخصية وإشــعارات تســرب البيانــات الشخصية
    ‌أ.يجــب علــى الطرفيــن التأكــد مــن أن التدابيــر التنظيميــة والإداريــة والتقنيــة المحــددة فــي الملحــق (3) توفــر مســتوى كافــياً مــن الحمايــة للبيانــات الشــخصية المنقولــة للالتــزام بمتطلبــات "المــادة التاســعة عشــرة" من النظام و"المادة الثالثة والعشرون" من اللائحة التنفيذية للنظام.
    ‌ب.يجــب علــى الجهــة المســتوردة للبيانــات الشخصية تنفيــذ التدابيــر الأمنيـة المحـددة فـي الملحـق (3) وتطبيـق تلـك التدابيـر علـى جميـع البيانـات الشـخصية المنقولـة، لضمـان أمـن البيانـات الشـخصية وحمايتهـا ضـد أي انتهـاك قـد يـؤدي إلــى ضــرر بصاحــب البيانــات الشــخصية، أو إجــراء غيــر قانونــي أو خســارة أو تغييــر أو كشــف عــن بيانــات شخصية أو وصول غير مصرح به.
    ‌ج.يجــب علــى الجهــة المســتوردة للبيانــات الشخصية مراجعــة التدابيــر الأمنيــة المنصــوص عليهــا فــي الملحــق (3) بشــكل دوري، للتأكـد مـن أن تنفيذهـا يتـم وفـق المطلـوب، مـع تحديثهــا حســب الحاجــة لضمــان الالتــزام بمــا ورد فــي "المــادة التاســعة عشــرة" مــن النظــام و"المــادة الثالثــة والعشرون" من اللائحة التنفيذية للنظام.
    ‌د.فـي حـال علـم الجهـة المسـتوردة للبيانـات الشخصية بوجـود حادثـة تســرَب للبيانــات الشــخصية من شأنها الإضرار على البيانــات الشــخصية المنقولــة أو أصحــاب البيانــات الشــخصية أو تتعارض مع حقوقهم أو مصالحهــم، فيجب علــى الجهــة المســتوردة للبيانــات الشخصية علــى الفــور اتخــاذ الإجــراءات المناســبة والضروريــة لاحتــواء الحادثــة للحــد مــن أي مخاطــر أو تبعــات ســلبية مــع التأكــد مــن منــع تكرارهــا، ويجــب إشــعار الجهــة المصــدرة للبيانــات الشخصية بذلـك خلال (24) سـاعة مـن وقـت وقـوع حادثة التســرَب أو العلـم بها، علــى أن يتضمــن الإشــعار وصفــاً للحادثــة وأســبابها والتدابيــر المتخــذة أو المخطــط اتخاذهــا لاحتــواء الحــادثة ومنــع تكرارهــا، بالإضافــة إلــى توفير بيانــات التواصـل للمتابعـة مـن قبـل الجهـة المصـدرة للبيانـات الشخصية ، وعلــى الجهــة المصــدرة للبيانــات الشخصية فــي حــال تبيــن لهــا وجـود حادثـة تســرَب للبيانــات الشــخصية من شأنها الإضرار على البيانــات الشــخصية المنقولــة أو أصحــاب البيانــات الشــخصية أو تتعارض مع حقوقهم أو مصالحهــم، إشـعار الجهـة المختصـة خلال (48) سـاعة وفقــاً للمتطلبــات الــواردة فــي "المــادة الرابعــة والعشرون" من اللائحة التنفيذية للنظام.
    ‌ه.يجــب علــى الجهــة المصــدرة للبيانــات الشخصية فور استلامها إشــعار الجهة المسـتوردة للبيانات الشخصية بشـأن حادثة تسـرَب البيانات الشــخصية وكان مــن شــأن تلــك الحادثــة الإضــرار بالبيانــات الشــخصية أو صاحــب البيانــات الشــخصية أو كانــت تتعــارض مــع حقوقــه أو مصالحــه، تقديــم إشــعار فــوري بلغــة بسـيطة وواضحـة وفـق أحكام "المـادة الرابعة والعشـرون" مـن اللائحـة التنفيذيـة للنظام إلـى أصحـاب البيانـات الشـخصية المتضرريــن مــن حادثــة تســرب البيانــات الشخصية، علــى أن يتضمــن الإشــعار المخاطــر المحتملــة وطبيعتهــا والتدابيــر المتخــذة أو المخطــط اتخاذهــا لاحتــواء الحادثــة، وبيانــات الاتصــال بالجهــة المصــدرة للبيانــات الشخصية والجهـة المسـتوردة للبيانـات الشخصية ومسـؤول حمايـة البيانـات الشـخصية للجهتيـن، بالإضافـة إلـى تقديـم أي توصيات أو استشــارات مــن شــأنها مســاعدة صاحــب البيانــات الشـخصية فـي اتخـاذ التدابيـر المناسـبة لتجنـب المخاطـر المحددة أو الحد من تأثيرها.
  7. البيانات الحساسة
    دون الإخلال بــأي قيــود تتعلــق بالبيانــات الحساســة المنصـوص عليهـا فـي النظـام واللوائـح التنفيذيـة للنظـام، يجــب علــى الجهــة المصــدرة للبيانــات التأكــد مــن أن الجهــة المسـتوردة للبيانـات تتبنـى وسـائل حمايـة إضافيـة تتناسـب مــع طبيعــة البيانــات الحساســة وتضمــن حمايتهــا مــن أي مخاطــر عنــد معالجتهــا مــع ضمــان تطبيــق القيــود الــواردة والضمانات الإضافية الموضحة في الملحق (2).
  8. النقل اللاحق
    ‌أ.لا يجـوز للجهـة المسـتوردة للبيانـات الشخصية النقـل أو الإفصـاح عــن البيانــات الشــخصية المنقولــة إلــى طــرف ثالــث خــارج المملكــة مــا لــم ينضــم هــذا الطــرف إلــى هــذه البنــود وفقــاً للنمــوذج المناســب وأحــكام البنــد (7) أعلاه.
    ‌ب.دون الإخــلال بأحــكام المــواد (الثامنــة) و(الخامســة عشــرة) مــن النظــام و(الســابعة عشــرة) مــن اللائحــة التنفيذيــة للنظــام، تطبــق أحــكام النظــام واللوائــح علــى البيانــات الشــخصية على عمليات النقل اللاحق للبيانات الشخصية التــي جــرى نقلهــا مســبقاً أو الإفصاح عنها لجهة خارج المملكة.
  9. الالتزام بهذه البنود
    ‌أ.تلتــزم الجهــة المســتوردة للبيانــات الشخصية بالــرد علــى جميــع استفســارات الجهــة المصــدرة للبيانــات الشخصية خلال المــدة المحـددة مـع تقديـم جميـع المعلومـات المطلوبـة مـن قبــل الجهــة المصــدرة للبيانــات الشخصية، بالإضافــة إلــى تزويــد الجهـة المصـدرة للبيانـات الشخصية بجميـع المعلومـات التـي قـد تطلبها بشأن معالجة البيانات الشخصية المنقولة، ويشـمل ذلـك أي معلومـات لازمـة تمكـن الجهـة المصـدرة للبيانـات الشخصية مـن إثبـات التزامهـا بالمتطلبـات الـواردة فـي هـذه البنود أو الأحكام الواردة في النظام واللوائح.
    ‌ب.يتحمــل كل طــرف مســؤولية إثبــات اســتيفاء جميــع الالتزامـات بموجـب هـذه البنـود أمـام الجهـة المختصـة عند طلب ذلك.
    ‌ج.تسـمح الجهـة المسـتوردة للبيانـات الشخصية دون أي تأخيـر غيـر مبــرر للجهــة المصــدرة للبيانــات الشخصية أو ممثليهــا المعينيــن بتدقيـق معالجـة الجهـة المسـتوردة للبيانات الشـخصية بناءً على طلب الجهة المصدرة للبيانات الشخصية.
    ‌د.يجـب علـى الجهـة المصدرة للبيانـات الشخصية تقديم المعلومات التــي أظهرتهــا عمليــة التدقيــق عنــد طلــب الجهــة المختصة.
    ‌ه.لا يمنــح حــق التدقيــق للجهــة المصــدرة للبيانــات الشخصية أو ممثليهـا حـق الوصـول إلـى أي معلومـات سـرية تخـص الجهــة المســتوردة للبيانــات الشخصية طالمــا لا ترتبــط هــذه المعلومـات بشـكل وثيـق بمعالجـة البيانـات الشـخصية المنقولة.
  10. حقوق أصحاب البيانات الشخصية
    ‌أ.تخطـر الجهـة المسـتوردة للبيانـات الشخصية خـلال (48) سـاعة مـن وقــت اســتلام الطلــب الجهــة المصــدرة للبيانــات الشخصية بــأي طلــب تتلقــاه مــن صاحــب البيانــات الشــخصية، ولا يحــق للجهــة المســتوردة للبيانــات الشخصية الــرد علــى هــذه الطلبــات مــا لــم تســمح الجهــة المصــدرة للبيانــات الشخصية بذلك.
    ‌ب.تتخــذ الجهــة المســتوردة للبيانــات الشخصية جميــع الإجــراءات اللازمــة بالتعــاون مــع الجهــة المصــدرة للبيانــات الشخصية للاســتجابة لطلبــات أصحــاب البيانــات الشــخصية وتمكينهــم مــن ممارســة حقوقهــم بموجــب أحــكام النظام واللوائح.
    ‌ج.تلتــزم الجهــة المســتوردة للبيانــات الشخصية باتبــاع جميــع التعليمــات التــي تصدرهــا الجهــة المصــدرة للبيانــات الشخصية فيما يتعلق بمعالجة البيانات الشخصية المنقولة.
    ‌د.يجــب أن تكــون جميــع الإفــادات المقدمــة لصاحــب البيانـات الشـخصية مقدمـة بصيغـة واضحـة ومقـروءة ويسهل الوصول إليها.

النموذج الثالث: جهة معالجة إلى جهة معالجة أخرى

  1. تعليمات المعالجة
    ‌أ.أوضحــت الجهــة المصــدرة للبيانــات الشخصية للجهــة المســتوردة للبيانـات الشخصية أنهـا تعالـج البيانـات الشـخصية بصفتهـا جهـة معالجـة بنـاءً علـى تعليمـات جهـة التحكـم لديهـا ونيابـة عنهــا، وتؤكــد الجهــة المصــدرة للبيانــات الشخصية بــأن هــذه التعليمــات متوافقــة ومتســقة مــع التعليمــات التــي قدمتها جهة التحكم إليها.
    ‌ب.تلتــزم الجهــة المســتوردة للبيانــات الشخصية بمعالجــة البيانــات الشــخصية المنقولــة فقــط بنــاءً علــى تعليمــات كتابيــة مـن الجهـة المصدرة للبيانات الشخصية، وتلتزم الجهة المسـتوردة للبيانــات الشخصية بــإبلاغ الجهــة المصــدرة للبيانــات الشخصية فــي حــال عـدم تمكنهـا مـن اتبـاع هـذه التعليمـات دون أي تأخيـر غير مبرر.
    ‌ج.تلتــزم الجهــة المســتوردة للبيانــات الشخصية بإخطــار الجهــة المصـدرة للبيانـات الشخصية فـي حـال عـدم تمكنهـا مـن الالتـزام بتعليمــات الجهــة المصــدرة للبيانــات الشخصية خلال (24) ســاعة مــن وقــت علمهــا بذلــك، علــى أن تقــوم الجهــة المصــدرة للبيانــات الشخصية بإخطــار جهــة التحكــم بذلــك خلال (48) ســاعة مــن وقــت اســتلامها إخطــار الجهــة المستوردة للبيانات الشخصية.
    ‌د.تؤكـد الجهـة المصـدرة للبيانـات الشخصية بأنهـا فرضـت التزامـات علــى الجهــة المســتوردة للبيانــات الشخصية تســاوي الالتزامــات التــي فرضتهــا جهــة التحكــم علــى الجهــة المصــدرة للبيانــات الشخصية فيمــا يتعلــق بمعالجــة البيانــات الشــخصية المنقولة.
  2. قيود المعالجة
    يجــب علــى الجهــة المســتوردة للبيانــات الشخصية معالجــة البيانــات الشـخصية المنقولـة وفقـاً للأغـراض المحـددة فـي الملحـق (2)، مـا لـم يُصـدر توجيـه كتابـي خلاف ذلـك مـن قبـل الجهـة المصـدرة للبيانـات الشخصية، علـى أن تتم معالجة البيانات الشـخصية وفق أحكام النظام واللوائح في جميع الأحوال.
  3. الالتزام بطلبات الجهة المختصة
    ‌أ.فــي ســبيل ممارســة الجهــة المختصــة صلاحياتهــا المنوطـة بهـا بموجـب النظـام واللوائـح التنفيذية، يجب علــى الأطــراف تقديــم نســخة مــن هــذه البنــود إلــى الجهــة المختصــة عنــد الطلــب دون تأخيــر غيــر مبــرر، ويجــوز للجهــة المختصــة طلــب أي معلومــات إضافيــة فيما يتعلق بعمليات نقل البيانات الشخصية.
    ‌ب.يوافــق كل طــرف علــى الالتــزام بــأي طلبــات تقدمهــا الجهـة المختصـة فيمـا يتعلـق بهـذه البنـود أو عمليـات معالجة البيانات الشخصية المنقولة.
    ‌ج.علـى الجهـة المسـتوردة للبيانـات الشخصية – عنـد الطلـب إما مـن خلال الجهـة المصـدرة للبيانـات الشخصية أو جهـة التحكــم - الإفصــاح لصاحــب البيانــات الشــخصية عــن هويتهـا وبيانـات الاتصـال الخاصـة بهـا وفئـات البيانـات الشـخصية محـل المعالجـة مـع تقديـم نسـخة مـن هـذه البنود.
  4. دقة وجودة البيانات الشخصية
    إذا تبيــن للجهــة المســتوردة للبيانــات الشخصية عــدم دقــة أي بيانــات شــخصية منقولــة أو غيــر محدثــة، فيجب عليهــا إبلاغ الجهــة المصــدرة للبيانــات الشخصية خطيــاً دون تأخيــر غيــر مبــرر، علــى أن تقـوم الجهـة المصـدرة للبيانـات الشخصية بـإبلاغ جهـة التحكـم بذلـك خلال (48) ســاعة مــن وقــت إشــعار الجهــة المســتوردة للبيانــات الشخصية لهــا لطلــب إصــدار توجيــه خطــي بطلــب إتلاف البيانات الشخصية أو التصحيح.
  5. مدة معالجة البيانات الشخصية وإتلافها أو استعادتها
    أ.تتــم المعالجــة من قبل الجهــة المســتوردة للبيانــات الشخصية فقــط وخلال المــدة المحــددة فــي الملحــق (2)، وبعــد الانتهـاء مـن الغـرض مـن المعالجـة، يجـب علـى الجهـة المســتوردة للبيانــات الشخصية إتلاف جميــع البيانــات الشــخصية التــي تمــت معالجتهــا نيابــة عــن الجهــة المصــدرة للبيانــات الشخصية وإشــعار الجهــة المصــدرة للبيانــات الشخصية بذلــك، مــا لــم يتــم التوجيــه مــن قبــل الجهــة المصــدرة للبيانــات الشخصية بخلاف ذلك في الحالات الآتية:
    1.إعــادة جميــع البيانــات الشــخصية المعالجــة إلــى الجهـة المصـدرة للبيانـات الشخصية وحـذف النسـخ الموجـودة لدى الجهة المستوردة للبيانات الشخصية؛
    2.اقتضاء الأنظمــة المعمــول بهــا فــي المملكـة الاحتفـاظ بالبيانـات الشـخصية المنقولـة لمدة إضافية؛
    3.الاحتفــاظ بالحــد الأدنــى الــلازم مــن البيانــات الشــخصية المنقولــة اللازمــة لإقامــة الدعــاوى القانونية أو مباشرتها أو الدفاع عنها؛
    4.الاحتفــاظ بالحــد الأدنــى الــلازم مــن البيانــات الشــخصية المنقولــة اللازمــة لحمايــة حيــاة صاحــب البيانـات الشخصية أو مصالحـه الحيويـة أو للوقايـة مـن عـدوى مرضية أو فحصها أو معالجتها.
    ‌ب.تبقـى الجهـة المسـتوردة للبيانـات الشخصية ملتزمـة بهـذه البنـود حتى إتمام حذف البيانات الشخصية أو استعادتها.
  6. أمــن البيانــات الشــخصية وإشــعارات تســرَب البيانــات الشخصية
    ‌أ.يجــب علــى الطرفيــن التأكــد مــن أن التدابيــر التنظيميــة والإداريــة والتقنيــة المُحــددة فــي الملحــق (3) توفــر مســتوى كافــياً مــن الحمايــة للبيانــات الشــخصية المنقولــة للالتــزام بمتطلبــات "المــادة التاســعة عشــرة" من النظام و"المادة الثالثة والعشرون" من اللائحة للنظام.
    ‌ب.يجــب علــى الجهــة المســتوردة للبيانــات الشخصية تنفيــذ التدابيــر الأمنيـة المحـددة فـي الملحـق (3) وتطبيـق تلـك التدابير علــى جميــع البيانــات الشــخصية المنقولــة، لضمــان أمـن البيانـات الشـخصية وحمايتهـا ضـد أي انتهـاك قـد يـؤدي إلـى ضـرر بصاحـب البيانـات الشـخصية، أو إجـراء غيــر قانونــي أو خســارة أو تغييــر أو كشــف عــن بيانــات شخصية أو وصول غير مصرح به.
    ‌ج.يجـب علـى الجهـة المسـتوردة للبيانـات الشخصية مراجعـة التدابيـر الأمنيــة المنصــوص عليهــا فــي الملحــق (3) بشــكل دوري، للتأكــد مــن أن تنفيذهــا يتــم وفــق المطلــوب، مــع تحديثهــا حســب الحاجــة لضمــان الالتــزام بمــا ورد فـي "المـادة التاسـعة عشـرة" مـن النظـام و "المـادة الثالثـة والعشرون" من اللائحة للنظام.
    فـي حـال علـم الجهـة المسـتوردة للبيانـات الشخصية بوجـود حادثـة تســرَب للبيانــات الشــخصية من شأنها الإضرار على البيانــات الشــخصية المنقولــة أو أصحــاب البيانــات الشــخصية أو تتعارض مع حقوقهم أو مصالحهــم، فيجب علــى الجهــة المســتوردة للبيانــات الشخصية علــى الفــور اتخــاذ الإجــراءات المناســبة والضروريــة لاحتــواء الحادثــة للحــد مــن أي مخاطــر أو تبعــات ســلبية مــع التأكــد مــن منــع تكرارهــا، ويجــب إشــعار الجهــة المصــدرة للبيانــات الشخصية بذلـك خلال (24) سـاعة مـن وقـت وقـوع حادثة التســرب أو العلـم بها، علــى أن يتضمــن الإشــعار وصفــاً للحادثــة وأســبابها والتدابيــر المتخــذة أو المخطــط اتخاذهــا لاحتــواء الحــادثة ومنــع تكرارهــا، بالإضافــة إلــى توفير بيانــات التواصـل للمتابعـة مـن قبـل الجهـة المصـدرة للبيانـات الشخصية، وعلــى الجهــة المصــدرة للبيانــات الشخصية إشــعار جهــة التحكــم خلال (24) سـاعة مـن وقـت اسـتلامها لإشـعار الجهـة المسـتوردة للبيانــات الشخصية علــى أن تقــوم جهــة التحكــم بإشــعار الجهــة المختصــة وفقــاً للمتطلبــات الــواردة فــي "المــادة الرابعــة والعشرون" من اللائحة التنفيذية للنظام.
  7. البيانات الحساسة
    دون الإخلال بــأي قيــود تتعلــق بالبيانــات الحساســة المنصـوص عليهـا فـي النظـام واللوائـح التنفيذيـة للنظـام، يجــب علــى الجهــة المصــدرة للبيانــات التأكــد مــن أن الجهــة المسـتوردة للبيانـات تتبنـى وسـائل حمايـة إضافيـة تتناسـب مــع طبيعــة البيانــات الحساســة وتضمــن حمايتهــا مــن أي مخاطــر عنــد معالجتهــا مــع ضمــان تطبيــق القيــود الــواردة والضمانات الإضافية الموضحة في الملحق (2).
  8. النقل اللاحق
    ‌أ.لا يجـوز للجهـة المسـتوردة للبيانـات الشخصية النقـل أو الإفصاح عــن البيانــات الشــخصية المنقولــة إلــى طــرف ثالــث خــارج المملكــة مــا لــم ينضــم هــذا الطــرف إلــى هــذه البنــود وفقــاً للنمــوذج المناســب وأحــكام البنــد (7) أعلاه.
    ‌ب.دون الإخــلال بأحــكام المــواد (الثامنــة) و(الخامســة عشــرة) مــن النظــام و(الســابعة عشــرة) مــن اللائحــة التنفيذيـة للنظـام، تطبـق أحـكام النظـام واللوائـح علـى البيانــات الشــخصية التــي جــرى نقلهــا مســبقاً أو الإفصاح عنها لجهة خارج المملكة.
    ‌ج.تكــون جهــة التحكــم مســؤولة عــن التحقــق مــن التــزام الجهـة المصـدرة للبيانـات الشخصية والجهـة المسـتوردة للبيانـات الشخصية بالالتزامــات أعلاه، ويجــوز لجهــة التحكــم تعييــن طــرف آخــر مســتقل للمراجعــة والتحقــق مــن الالتــزام نيابــة عنهــا، وفــي جميــع الأحــوال عنــد مخالفــة الجهــة المصــدرة للبيانــات الشخصية والجهــة المســتوردة للبيانــات الشخصية التعليمـات الصـادرة مـن جهـة التحكـم أو الاتفاق المبرم معهــا بشــأن معالجــة البيانــات الشــخصية المنقولــة، فتعــد الجهــة المصــدرة للبيانــات الشخصية والجهــة المســتوردة للبيانـات الشخصية فـي حكـم جهـة التحكـم وتكـون مسـؤولة عـن مخالفــة البنــود التعاقديــة القياســية وأحــكام النظــام واللوائح التنفيذية أمام الجهة المختصة.
  9. تعيين جهة معالجة فرعية
    ‌أ.فـي حـال كان هنـاك حاجـة للجهـة المسـتوردة للبيانـات الشخصية بتعييـن جهـة معالجـة فرعيـة فيلـزم علـى الجهــة المصــدرة للبيانــات الشخصية الحصــول علــى موافقــة كتابيــة مســبقة مــن جهــة التحكــم قبــل [يرجــى تحديــد الفتـرة الزمنيـة] علـى الأقـل قبـل تعييـن أي جهـة معالجة فرعية.
    ‌ب.فـي حـال تـم تعييـن جهـة معالجـة فرعيـة، فيجــب أن يتــم ذلــك مــن خلال إبــرام اتفاقيــة مكتوبــة تفـرض عليهـا الالتزامـات ذاتهـا المفروضـة علـى الجهـة المســتوردة للبيانــات الشخصية بموجــب البنــود التعاقديــة القياســية هــذه، وتقــدم الجهــة المســتوردة للبيانــات الشخصية بنـاء علـى طلـب الجهـة المصـدرة للبيانـات الشخصية نسـخة مـن هــذه الاتفاقيــة الكتابيــة وأي تعــديلات لاحقــة تطــرأ عليها إلى الجهة المصدرة للبيانات الشخصية.
  10. الالتزام بهذه البنود
    ‌أ.تلتــزم الجهــة المســتوردة للبيانــات الشخصية بالــرد علــى جميــع استفســارات وطلبــات الجهــة المصــدرة للبيانــات الشخصية أو جهــة التحكــم خلال المــدة المحــددة مــع تقديــم جميــع المعلومــات المطلوبــة مــن قبــل الجهــة المصــدرة للبيانــات الشخصية وجهــة التحكــم، بالإضافــة إلــى تزويــد الجهــة المصـدرة للبيانـات الشخصية أو جهـة التحكـم بجميـع المعلومـات التــي قــد تطلبهــا بشــأن معالجــة البيانــات الشــخصية المنقولــة، ويشــمل ذلــك أي معلومــات لازمــة تمكــن جهــة التحكــم مــن إثبــات التزامهــا بالمتطلبــات الــواردة فـي هـذه البنـود أو الأحـكام الـواردة فـي النظـام واللوائح أمام الجهة المختصة.
    ‌ب.يتحمــل كل طــرف مســؤولية إثبــات اســتيفاء جميــع الالتزامـات بموجـب هـذه البنـود أمـام الجهـة المختصـة عنــد طلــب ذلــك، وفــي جميــع الأحــوال، عنــد مخالفــة الجهـة المصـدرة للبيانـات الشخصية والجهـة المسـتوردة للبيانـات الشخصية التعليمـات الصـادرة مـن جهـة التحكـم أو الاتفاق المبرم معهــا بشــأن معالجــة البيانــات الشــخصية المنقولــة، فتعــد الجهــة المصــدرة للبيانــات الشخصية والجهــة المســتوردة للبيانـات الشخصية فـي حكـم جهـة التحكـم وتكـون مسـؤولة عـن مخالفــة البنــود التعاقديــة القياســية وأحــكام النظــام واللوائح التنفيذية أمام الجهة المختصة.
    ‌ج.تسـمح الجهـة المسـتوردة للبيانـات الشخصية دون أي تأخيـر غيـر مبــرر للجهــة المصــدرة للبيانــات الشخصية أو جهــة التحكــم أو ممثليهمـا المعينيـن بتدقيـق معالجة الجهة المسـتوردة للبيانــات الشــخصية بنــاءً علــى طلــب الجهــة المصــدرة للبيانات الشخصية أو جهة التحكم.
    ‌د.يجــب علــى جهــة التحكــم تقديــم المعلومــات التــي أظهرتها عملية التدقيق عند طلب الجهة المختصة.
    ‌ه.لا يمنــح حــق التدقيــق للجهــة المصــدرة للبيانــات الشخصية أو جهــة التحكــم أو ممثليهمــا حــق الوصــول إلــى أي معلومــات ســرية تخــص الجهــة المســتوردة للبيانــات الشخصية طالمــا لا ترتبــط هــذه المعلومــات بشــكل وثيــق بمعالجة البيانات الشخصية المنقولة.
  11. حقوق أصحاب البيانات الشخصية
    ‌أ.تخطـر الجهـة المسـتوردة للبيانـات الشخصية خـلال (24) سـاعة مـن وقــت الاســتلام الجهــة المصــدرة للبيانــات الشخصية بــأي طلــب تتلقـاه مـن صاحـب البيانـات الشـخصية، علـى أن تقـوم الجهــة المصــدرة للبيانــات الشخصية بإخطــار جهــة التحكــم خلال (24) سـاعة مـن وقـت اسـتلام إخطـار الجهـة المسـتوردة للبيانــات الشخصية، علــى أن تلتــزم الجهــة المســتوردة للبيانــات الشخصية والجهـة المصـدرة للبيانـات الشخصية بعـدم الـرد علـى الطلـب مـا لم تسمح جهة التحكم بذلك.
    ‌ب.تتخــذ الجهــة المســتوردة للبيانــات الشخصية جميــع الإجــراءات اللازمــة بالتعــاون مــع الجهــة المصــدرة للبيانــات الشخصية وجهــة التحكــم للاســتجابة لطلبــات أصحــاب البيانــات الشـخصية لممارسـة حقوقهـم بموجـب أحـكام النظـام واللوائح.
    ‌ج.تلتــزم الجهــة المســتوردة للبيانــات الشخصية باتبــاع جميــع التعليمــات التــي تصدرهــا الجهــة المصــدرة للبيانــات الشخصية وجهـة التحكـم فـي جميـع مـا يتعلـق بمعالجـة البيانـات الشخصية المنقولة.
    ‌د.يجــب أن تكــون جميــع الإفــادات المقدمــة لصاحــب البيانـات الشـخصية مقدمـة بصيغـة واضحـة ومقـروءة ويسهل الوصول إليها.

النموذج الرابع: جهة معالجة إلى جهة تحكم

  1. تعليمات المعالجة
    ‌أ.تلتــزم الجهــة المصــدرة للبيانــات الشخصية بمعالجــة البيانــات الشـخصية المنقولـة فقـط بنـاءً علـى تعليمـات مكتوبـة من الجهة المستوردة للبيانات الشخصية بصفتها جهة التحكم.
    ‌ب.علـى الجهـة المصـدرة للبيانات الشخصية إشـعار الجهة المسـتوردة للبيانـات الشخصية فـوراً فـي حـال عـدم تمكنهـا مـن الالتـزام بهـذه التعليمـات، أو فـي حـال تبيـن لهـا بـأن هـذه التعليمـات مخالفـة لأحـكام النظـام واللوائح أو أي نظـام آخر في المملكة.
    ‌ج.لا يجــوز للجهــة المســتوردة للبيانــات الشخصية اتخــاذ إجــراء أو الامتنــاع عــن اتخــاذ إجــراء مــن شــأنه أن يمنــع الجهــة المصــدرة للبيانــات الشخصية مــن اســتيفاء التزاماتهــا بموجــب النظـام واللوائح أو أي نظـام آخـر مـن الأنظمة المعمــول بهــا فــي المملكــة، ومنهــا تلــك الأنظمــة المتعلقــة بالتعــاون مــع الجهــة المختصــة أو أي جهــة تنظيمية أخرى.
    ‌د.بعــد الانتهــاء مــن غــرض معالجــة البيانــات الشــخصية المحــدد فــي الملحــق (2)، فعلــى الجهــة المصــدرة للبيانـات الشخصية إتلاف البيانـات الشـخصية المنقولـة أو إعادتها بحسب ما تقرره الجهة المستوردة للبيانات الشخصية.
  2. أمن معالجة البيانات الشخصية
    ‌أ.علــى الأطــراف اتخــاذ التدابيــر التنظيميــة والإداريــة والتقنيــة اللازمــة للمحافظة علــى خصوصيــة أصحــاب البيانــات الشخصية وأمــن البيانــات الشــخصية فــي جميــع مراحــل المعالجــة، بمــا فــي ذلــك أمــن البيانــات الشخصية أثنــاء عمليــة نقلهــا، والحمايــة مــن أي تسرَب للبيانــات الشــخصية. ويراعـي الأطـراف، عنـد تقييـم مسـتوى التدابيـر الأمنيـة المناســبة، الحالــة التقنيــة الراهنــة وتكاليــف التنفيــذ وطبيعــة البيانــات الشــخصية المحولــة، فــضلاً عــن طبيعــة معالجــة البيانــات الشخصية ونطاقهــا وســياقها وغرضهــا أو أغراضهـا والمخاطـر التـي تتضمنهـا معالجـة البيانـات الشــخصية، ومراعــاة تطبيــق التشــفير أو إلغــاء تحديــد الهويــة، بمــا يشــمل تطبيــق ذلـك أثنـاء عمليـة نقـل البيانـات الشخصية، لضمـان تحقيـق غرض معالجة البيانات الشخصية وفقاً لذلك.
    ‌ب.تقــدم الجهــة المصــدرة للبيانــات الشخصية الدعــم والمســاندة للجهــة المســتوردة للبيانــات الشخصية لضمــان أمــن البيانــات الشــخصية اللازم بموجــب الفقــرة (أ) أعلاه، وفــي حالــة حــدوث أي تسرَب للبيانــات الشــخصية فيمــا يتعلــق بالبيانــات الشــخصية المنقولــة التــي تعالجهــا الجهــة المصـدرة للبيانـات الشخصية بموجـب البنـود التعاقدية القياسـية، تشــعر الجهــة المصــدرة للبيانــات الشخصية الجهــة المســتوردة للبيانــات الشخصية دون أي تأخيــر خلال (24) ســاعة مــن وقــت علمهـا بذلـك، علـى أن تسـاهم الجهـة المسـتوردة للبيانات الشخصية في احتواء هذا التسرَب.
    ‌ج.تضمــن الجهــة المصــدرة للبيانــات الشخصية التــزام الأشــخاص المصــرح لهــم بمعالجــة البيانــات الشــخصية المنقولــة بسـرية وحمايـة المعلومـات أو التزامهـم بموجـب التـزام قانوني مناسب بشأن سرية وحماية المعلومات.
  3. الالتزام بهذه البنود
    ‌أ.تلتــزم الجهــة المصــدرة للبيانــات الشخصية بالاســتجابة لجميــع طلبــات الجهــة المســتوردة للبيانــات الشخصية عنــد الطلــب، وذلــك لتمكيــن الجهــة المســتوردة للبيانــات الشخصية من إثبــات الالتــزام بأحــكام البنــود التعاقديــة القياســية والنظــام واللوائح.
    ‌ب.يتحمــل كل طــرف مســؤولية إثبــات اســتيفاء جميــع الالتزامـات بموجـب هـذه البنـود أمـام الجهـة المختصـة عند طلب ذلك.
  4. حقوق أصحاب البيانات الشخصية
    ‌أ.علــى جميــع الأطــراف اتخــاذ جميــع الإجــراءات والتدابيــر اللازمــة والتعــاون فــي تمكيــن أصحــاب البيانــات الشــخصية من ممارســة حقوقهــم المنصــوص عليهــا في النظام واللوائح.
    ‌ب.يجــب أن تكــون جميــع الإفــادات المقدمــة لصاحــب البيانـات الشـخصية مقدمـة بصيغـة واضحـة ومقـروءة ويسهل الوصول إليها.


عودة