Това допълнение представлява неразделна част от договора и се сключва от:
Всяка от тях е „ партия “ и обикновено „ партии “.
Преамбюл
КЪДЕ Вносителят на данни предоставя професионални софтуерни услуги, компютърни и свързани услуги (като браузъри с разширени функции за търсене);
КОГАТО съгласно Договора Вносителят на данни се е съгласил да предостави на Износителя на данни услугите, посочени в Договора („ Услугите “);
КОГАТО чрез предоставяне на Услугите Вносителят на данни получава или се възползва от достъп до информацията на Износителя на данни или информацията на други лица, които имат (потенциална) връзка с Износителя на данни, такава информация може да се квалифицира като лични данни по смисъла на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на лицата по отношение на обработването на лични данни и относно свободното движение на такива данни („ GDPR “) и други приложими закони за защита на данните.
КЪДЕТО това Приложение съдържа правилата и условията, приложими за събирането, обработването и използването на такива лични данни от Вносителя на данни в качеството му на упълномощен агент за обработка на данни на Износителя на данни, за да се гарантира, че Страните спазват приложимото законодателство за защита на данните .
СЛЕДОВАТЕЛНО и за да могат страните да продължат законосъобразно отношенията си, страните сключиха настоящото допълнение, както следва:
Част 1
1. Структура на документа и дефиниции
1.1 Структура
Това допълнение се състои от различни части, както следва:
Част 1: | съдържа общи разпоредби, напр. относно дефинициите, използвани в това Приложение, съответствие с местните закони, време и прекратяване
|
Част 2: | съдържа основния текст на непроменения документ за стандартни договорни клаузи
|
Приложение 1.1 към част 2: | съдържа подробностите за операциите по обработване, предоставени от Вносителя на данни на Износителя на данни като упълномощен агент за обработка на данни (включително обработката, естеството и целта на обработката, вида на личните данни и категориите субекти на данни) съгласно този Приложение
|
Приложение 2 към част 2: | съдържа описание на техническите и организационни мерки за сигурност на Вносителя на данни, които се прилагат във връзка с всички дейности по обработване, описани в Приложение 1.1 на Част 2
|
част 3: | съдържа подписите на страните, които се обвързват с това допълнение, и идентифицира всеки вносител на данни
|
1.2 Терминология и дефиниции
За целите на това Приложение са приложими терминологията и дефинициите, използвани от GDPR (В основния текст на документа за стандартна договорна клауза в част 2, където дефинираните термини не са изписани с главни букви).
"Държава-членка" | означава държава, принадлежаща към Европейския съюз или Европейското икономическо пространство
|
„Специални категории (лични) данни“ | се отнася за лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в профсъюзи, както и генетични данни, биометрични данни, ако се обработват с цел уникално идентифициране на дадено лице, данни относно здравето, данни относно пола на дадено лице живот или сексуална ориентация
|
„Стандартни договорни клаузи“ | означава Стандартните договорни клаузи за прехвърляне на лични данни на обработващи агенти, установени в трети държави, съгласно Решение 2010/87/ЕС на Комисията от 5 февруари 2010 г., което беше изменено с Решение за изпълнение (ЕС) 2016/2297 на Комисията от 16 декември 2016 г
|
„Процесор на данни“. | означава всеки обработващ агент, намиращ се в или извън ЕС/ЕИП, който се съгласява да получи от Вносителя на данни или друг обработващ на Вносителя на данни, лични данни за изключителната цел на дейностите по обработване, които ще се извършват от Износителя на данни след прехвърляне в съответствие с инструкциите на Износителя на данни, условията на това Приложение и Договора с Вносителя на данни
|
2. Задължения на Износителя на данни
2.1 Износителят на данни има задължение да гарантира спазването на всички приложими задължения съгласно GDPR и всеки друг приложим закон за защита на данните, който се прилага за износителя на данни, и да докаже такова съответствие, както се изисква от член 5 (2) от GDPR. Износителят на данни гарантира, че вносителят на данни е получил предварителното съгласие на субектите на данни в съответствие с член 6 (a) от GDPR и е изпълнил задължението си да информира субектите на данни в съответствие с членове 13 и 14 от GDPR.
2.2 Износителят на данни трябва да предостави на вносителя на данни съответните файлове на дейностите по обработване в съответствие с член 30 (1) от GDPR, свързани с услугите съгласно това приложение, до степента, необходима на вносителя на данни, за да изпълни задължението по Член 30 (2) от GDPR.
2.3 Износителят на данни трябва да назначи длъжностно лице или представител за защита на данните в степента, изисквана от приложимото законодателство за защита на данните. Износителят на данни е длъжен да предостави данните за контакт на агента за защита на данните или представителя, ако има такъв, на вносителя на данни.
2.4. Износителят на данни потвърждава преди завършване на обработката, чрез приемане на това Приложение, че техническите и организационни мерки за сигурност на Вносителя на данни, както е посочено в Приложение 2 към Част 2, са подходящи и достатъчни за защита на правата на субекта на данните и потвърждава, че Вносителят на данни предоставя достатъчни гаранции в това отношение.
3. Съответствие с местното законодателство
За да се изпълнят изискванията за прилагане на обработващите агенти съгласно член 28 от GDPR, са приложими следните изменения:
3.1 Инструкции
3.2 Задължения на Вносителя на данни
3.3 Права на засегнатите лица
3.4 Подобработка
3.5 Изтичане
Изтичането на това Приложение е идентично с датата на изтичане на съответния Договор. Освен ако не е предвидено друго в това Приложение, правата и задълженията, свързани с прекратяването, са същите като тези, съдържащи се в Договора.
4. Ограничение на отговорността
4.1 Всяка страна се справя със задълженията си съгласно това Приложение и приложимото законодателство за защита на данните.
4.2 Всяка отговорност, свързана с нарушение на задълженията по това Приложение или приложимото законодателство за защита на данните, е предмет и се управлява от разпоредбите за отговорност, посочени в или приложими към Договора, освен ако не е предвидено друго в това Приложение. Ако отговорността се урежда от разпоредбите за отговорност, изложени в или приложими към Договора, за изчисляване на лимити на отговорност или определяне на прилагането на други ограничения на отговорността, всяка отговорност, произтичаща от това Приложение, ще се счита, че произтича от Договора.
5. Общи положения
5.1 Ако има някакви несъответствия или несъответствия между части 1 и 2 на това допълнение, част 2 ще има предимство. По-конкретно, дори в такъв случай, част 1, която просто надхвърля част 2 (т.е. условията на стандартните клаузи), без да й противоречи, остава валидна.
5.2 Ако възникне несъответствие между разпоредбите на това Приложение и тези на други договори, обвързващи страните, това Приложение има предимство по отношение на задълженията на страните за защита на данните. В случай на съмнение относно това дали клаузи в други договори засягат задълженията на страните за защита на данните, това Приложение има предимство.
5.3 Ако някоя от разпоредбите на това Приложение е невалидна или неприложима, останалата част от това Приложение остава в пълна сила и действие. Невалидната или неприложима разпоредба ще бъде (i) изменена, за да се гарантира нейната валидност и изпълнимост, като същевременно се запази, доколкото е възможно, намерението на страните, или - ако това не е възможно - (ii) тълкувана така, сякаш невалидната или неприложима част е имала никога не е бил част от договора. Горното се прилага и ако има пропуск в това допълнение.
5.5 Доколкото е необходимо, страните могат да поискат изменения на част 1, клауза 3 (Съответствие с местното законодателство) или други части на Приложението, за да се съобразят с тълкувания, директиви или заповеди, издадени от компетентните органи на Съюза или Държави членки, национални разпоредби за прилагане или всякакви други правни промени относно GDPR или други условия за делегиране на субекти, участващи в обработката на данни, и по-специално по отношение на използването на Стандартните договорни клаузи в GDPR. Условията на стандартните договорни клаузи не могат да бъдат променяни или заменени, освен ако Европейската комисия изрично не го одобри (напр. чрез нови подходящи клаузи и стандарти за защита на данните).
5.6 Всяко позоваване в това Приложение на „клаузите“ се разбира като отнасящо се до всички разпоредби на това Приложение, освен ако не е посочено друго.
5.7 Изборът на закон в част 2, клауза 9 се прилага за целия договор.
6. Лични данни, предавани и обработвани от страните за лични цели (прехвърляне от администратора на данни към администратора)
6.1 Страните знаят напълно, че определени лични данни ще бъдат прехвърлени от Износителя на данни към Вносителя на данни и обратно, и че тези данни се обработват от всяка Страна за нейните собствени цели. По отношение на такива лични данни, това не засяга другите разпоредби на това Приложение (с изключение на тази клауза 6).
6.2 Износителят на данни може да прехвърли лични данни, свързани с персонала на Вносителя на данни, на Вносителя на данни, включително информация за инциденти, свързани със сигурността, или всякакви други документи или файлове, създадени или установени от Износителя на данни във връзка с Услугите, предоставяни от персонала на вносителя на данни. Вносителят на данни може да обработва такива лични данни за свои собствени цели, по-специално в професионалните си отношения с персонала на вносителя на данни, за контрол на качеството и обучение или за бизнес цели.
6.3. Вносителят на данни може да прехвърли лични данни на износителя на данни, включително името и данните за контакт на персонала на вносителя на данни. Износителят на данни може да обработва такива лични данни за свои собствени цели.
6.4 И двете страни трябва да спазват всички приложими закони за защита на данните, включително GDPR, при събирането, обработването и използването на такива лични данни, получени от другата страна съгласно клауза 1 от част 1. По-специално, двете страни предприемат адекватни мерки за сигурност, осигурявайки ниво на защита, подобно на мерките за сигурност, посочени в допълнение 2 към част 2. Всеки достъп до такива лични данни се ограничава до необходимостта да ги познавате.
6.5 И двете страни трябва да изтрият такива лични данни възможно най-скоро след постигане на целите.
Част 2
РЕШЕНИЕ НА КОМИСИЯТА
на 5 февруари 2010 г
относно стандартни договорни клаузи за предаване на лични данни на обработващи данни, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета
клауза 1
Определения
По смисъла на клаузите:
а) „лични данни“, „специални категории данни“, „обработване/обработка“, „администратор“, „обработващ“, „субект на данни“ и „надзорен орган“ имат същото значение като в 95/46/ЕО Директива на Европейския парламент и на Съвета от 24 октомври 1995 г. относно защитата на лицата при обработването на лични данни и относно свободното движение на такива данни (1);
б) „Износителят на данни“ е администраторът на данни, който прехвърля личните данни;
в) „Вносителят на данни“ е обработващият данни, който се съгласява да получи от износителя на данни лични данни, предназначени да бъдат обработени от името на износителя на данни след прехвърлянето в съответствие с неговите инструкции и съгласно условията на тези клаузи, и който не е предмет на механизма на трета страна, осигуряваща адекватна защита по смисъла на член 25, параграф 1 от Директива 95/46/ЕО; (d) „Обработващ данни“ означава обработващият данни, ангажиран от вносителя на данни или от всеки друг обработващ данни на вносителя на данни, който се съгласява да получава от вносителя на данни или друг обработващ данни на вносителя на данни лични данни изключително за дейности по обработване на да се извършва от името на Износителя на данни след прехвърлянето в съответствие с инструкциите на Износителя на данни,
д) „приложим закон за защита на данните“ означава законодателството, защитаващо основните права и свободи на физическите лица, включително правото на неприкосновеност на личния живот по отношение на обработката на лични данни, и се прилага спрямо администратор в държавата членка, в която е установен износителят на данни;
е) „технически и организационни мерки, свързани със сигурността“ означава мерки, предназначени да защитят личните данни срещу случайно или незаконно унищожаване или случайна загуба, промяна, неоторизирано разкриване или достъп, по-специално когато обработката включва предаване на данни по мрежи, и срещу всички други незаконни форми на обработка.
клауза 2
Подробности за трансфера
Подробностите за прехвърлянето, включително, когато е подходящо, специални категории лични данни, са посочени в Приложение 1, което представлява неразделна част от тези клаузи.
клауза 3
Клауза за трето лице бенефициент
1. Субектът на данни може да наложи срещу Износителя на данни тази клауза, клауза 4(b) до (i), клауза 5(a) до (e) и (g) до (j), клауза 6 (1) и (2 ), клауза 7, клауза 8(2) и клаузи 9 до 12 като трета страна бенефициент
2. Субектът на данните може да наложи тази клауза, клауза 5 (a) до (e) и (g), клауза 6, клауза 7, клауза 8 (2) и клаузи 9 до 12 срещу вносителя на данни, когато износителят на данни физически е изчезнал или е престанал да съществува по закон, освен ако всички негови правни задължения не са били прехвърлени, по договор или по силата на закона, на субекта правоприемник, към който следователно се връщат правата и задълженията на Износителя на данни и срещу които данните следователно субектът може да приложи посочените клаузи.
Субектът на данните може да наложи тази клауза, клауза 5 (a) до (e) и (g), клауза 6, клауза 7, клауза 8 (2) и клаузи 9 до 12 срещу обработващия данни, но само в случаите, когато Данните Износителят и вносителят на данни са физически изчезнали, престанали са да съществуват по закон или са станали неплатежоспособни, освен ако всички законови задължения на износителя на данни не са прехвърлени по договор или по силата на закона на правоприемника, на когото правата и следователно са възложени задължения на Износителя на данни и срещу кого следователно субектът на данните може да наложи такива клаузи. Тази отговорност на обработващия данни трябва да бъде ограничена до неговите собствени дейности по обработка съгласно тези клаузи.
4. Страните не възразяват субектът на данни да бъде представляван от асоциация или друг орган, ако той или тя желае това и ако националното законодателство позволява това.
клауза 4
Задължения на Износителя на данни
Износителят на данни приема и гарантира следното:
а) обработването, включително действителното предаване на лични данни, е било и ще продължи да се извършва в съответствие със съответните разпоредби на приложимото законодателство за защита на данните (и, когато е приложимо, е било уведомено до компетентните органи на държавата-членка в която е базиран Износителят на данни) и не нарушава съответните разпоредби на тази държава;
б) те са инструктирали и ще инструктират за срока на услугите за обработка на лични данни на Вносителя на данни да обработва личните данни, прехвърлени единствено от името на Износителя на данни и в съответствие с приложимото законодателство за защита на данните и тези клаузи;
в) Вносителят на данни ще осигури достатъчни гаранции по отношение на техническите и организационни мерки за сигурност, посочени в Приложение 2 към настоящия договор;
г) след оценка на изискванията на приложимия закон за защита на данните мерките за сигурност са адекватни за защита на личните данни срещу случайно или незаконно унищожаване или случайна загуба, промяна, неразрешено разкриване или достъп, по-специално когато обработката включва предаване на данни по мрежа и срещу всички други незаконни форми на обработка и гарантира ниво на сигурност, подходящо за рисковете, свързани с обработката и естеството на данните, които трябва да бъдат защитени, като се има предвид нивото на технологията и разходите за изпълнение;
д) ще гарантират спазването на мерките за сигурност;
е) ако трансферът се отнася до специални категории данни, субектът на данните е бил информиран или ще бъде информиран преди трансфера или възможно най-скоро след трансфера, че неговите или нейните данни могат да бъдат прехвърлени на трета държава, която не предлага адекватно ниво на защита по смисъла на Директива 95/46/ЕО;
g) те ще препратят всяка нотификация, получена от Вносителя на данни или който и да е обработващ данни съгласно клаузи 5 (b) и 8 (3) до надзорния орган за защита на данните, ако той реши да продължи прехвърлянето или да отмени своето спиране;
з) те предоставят на субектите на данни, ако поискат това, копие от тези клаузи, с изключение на Приложение 2, и обобщено описание на мерките за сигурност, както и копие от всяко допълнително споразумение за подизпълнение, сключено съгласно тези клаузи, освен ако Клаузите или споразумението съдържат търговска информация, в който случай той може да оттегли такава информация;
i) в случай на възлагане на подизпълнител на процеса на обработване на данни, дейността по обработване се извършва в съответствие с клауза 11 от обработващ данни, осигуряващ най-малко същото ниво на защита на личните данни и правата на субекта на данни като вносителя на данни съгласно тези клаузи. ; и
й) ще осигури съответствие с клауза 4 (a) до (i).
клауза 5
Задължения на Вносителя на данни
Вносителят на данни приема и гарантира следното:
а) ще обработват личните данни само от името на Износителя на данни и съгласно инструкциите на Износителя на данни и тези клаузи; ако не може да се съобрази по някаква причина, те се съгласяват да информират Износителя на данни за невъзможността си възможно най-скоро, в който случай Износителят на данни може да спре прехвърлянето на данни и/или да прекрати договора;
б) нямат причина да смятат, че приложимото към тях право му пречи да изпълни инструкциите, дадени от Износителя на данни и задълженията, възложени му по договора, и ако това право подлежи на промяна, която може да има съществени неблагоприятни последици ефект върху гаранциите и задълженията по клаузите, той уведомява Износителя на данни за промяната незабавно, след като узнае за нея, в който случай Износителят на данни може да спре прехвърлянето на данни и/или да прекрати договора; в) са въвели техническите и организационни мерки за сигурност, посочени в допълнение 2, преди обработката на прехвърлените лични данни;
г) те ще уведомят Износителя на данни без забавяне:
i) всяко обвързващо искане за разкриване на лични данни от правоприлагащ орган, освен ако не е посочено друго, като например наказателна забрана, насочена към запазване на тайната на полицейско разследване;
ii) всеки случаен или неоторизиран достъп; и
iii) всяко искане, получено директно от заинтересованите лица, без да отговаря на него, освен ако не е упълномощено да го направи; администратори
д) те ще се справят своевременно и правилно с всички запитвания от страна на Износителя на данни относно обработката на личните данни, които се прехвърлят, и ще действат съгласно становището на надзорния орган по отношение на обработката на прехвърлените данни;
е) по искане на Износителя на данни, те ще подложат своите съоръжения за обработка на данни на одит на дейностите по обработка, обхванати от тези клаузи, който ще се извърши от Износителя на данни или надзорен орган, съставен от независими членове с необходимата професионална квалификация, предмет на задължение за поверителност и избран от Износителя на данни, когато е подходящо със съгласието на надзорния орган;
g) те ще предоставят на субекта на данните, ако той поиска това, копие от тези клаузи или всеки съществуващ подизпълнител на договора за обработка на данни, освен ако клаузите или договорът съдържат търговска информация, в който случай може да премахне такава информация, с изключение на Приложение 2, което ще бъде заменено от обобщено описание на мерките за сигурност, когато субектът на данните не може да получи копие от Износителя на данни;
з) в случай на поверително по-нататъшно възлагане на обработката на данни на подизпълнител, той ще гарантира, че информира Износителя на данни предварително и ще получи писменото съгласие на Износителя на данни;
i) услугите за обработка, предоставени от обработващия данни, трябва да отговарят на клауза 11;
j) незабавно ще изпратят копие от всяко подизпълнение на споразумението за обработка на данни, сключено от тях съгласно тези клаузи, на Износителя на данни.
Клауза 6
Отговорност
1. Страните се съгласяват, че всеки субект на данни, който е претърпял вреди поради нарушение на задълженията, посочени в клауза 3 или клауза 11 от една страна или от обработващ данни, може да получи обезщетение от Износителя на данни за претърпените вреди.
2. Ако субект на данни е възпрепятстван да заведе иск за обезщетение, както е посочено в параграф 1, срещу Износителя на данни поради неизпълнение от страна на Вносителя на данни или неговия обработващ данни на което и да е от задълженията му по Клауза 3 или Клауза 11, защото Данните Износителят е физически изчезнал, престанал е да съществува по закон или е станал неплатежоспособен, вносителят на данни се съгласява, че субектът на данните може да подаде жалба срещу него, сякаш е износител на данни, освен ако всички правни задължения на износителя на данни не са прехвърлени чрез договор или по силата на закона, на неговия правоприемник, срещу който субектът на данните може след това да наложи правата си. Вносителят на данни не може да разчита на нарушение на задълженията си от обработващ данни, за да избегне собствената си отговорност.
3. Ако субект на данни е възпрепятстван да заведе действието, посочено в параграфи 1 и 2, срещу Износителя на данни или Вносителя на данни за нарушение от страна на обработващия данни на задълженията му по Клауза 3 или Клауза 11, тъй като Износителят на данни и Вносителят на данни са физически изчезнали, престанали да съществуват по закон или са станали неплатежоспособни, обработващият данни се съгласява, че субектът на данните може да подаде жалба срещу него относно собствените му дейности по обработване в съответствие с тези клаузи, както ако е Износител или Вносител на данни, освен ако всички правните задължения на износителя или вносителя на данни са били прехвърлени по силата на договор или по силата на закона на правоприемника, срещу когото субектът на данни след това може да предяви своите права.Отговорността на обработващия данни трябва да бъде ограничена до неговите собствени дейности по обработка в съответствие с тези клаузи.
Клауза 7
Медиация и юрисдикция
1. Вносителят на данни се съгласява, че ако съгласно клаузите субектът на данните се позове срещу него на правото на трета страна бенефициер и/или поиска обезщетение за претърпените вреди, той ще приеме решението на субекта на данните:
а) да предостави спора за посредничество от независимо лице или, когато е подходящо, от надзорния орган;
б) да отнесе спора пред съдилищата на държавата членка, в която е базиран Износителят на данни.
2. Страните се съгласяват, че изборът, направен от субекта на данните, не засяга процесуалното или материалното право на субекта на данните да получи обезщетение в съответствие с други разпоредби на националното или международното право.
Клауза 8
Сътрудничество с надзорни органи
1. Износителят на данни се съгласява да депозира копие от настоящия договор при надзорния орган, ако последният го изисква или ако такова депозиране е предвидено от приложимото законодателство за защита на данните.
2. Страните се съгласяват, че надзорният орган може да извършва проверки при Вносителя на данни и всеки обработващ данни в същата степен и при същите условия, както при проверките, извършвани при Износителя на данни в съответствие с приложимото законодателство за защита на данните.
3. Вносителят на данни информира износителя на данни възможно най-скоро за съществуването на законодателство относно вносителя на данни или всеки обработващ данни, който възпрепятства проверката при вносителя на данни или който и да е обработващ данни в съответствие с параграф 2. В такъв случай, Износителят на данни може да предприеме мерките, предвидени в клауза 5 (b).
Клауза 9
Приложим закон
Клаузите се прилагат и се уреждат от законодателството на държавата членка, в която е базиран Износителят на данни.
Клауза 10
Изменение на договора
Страните се задължават да не променят настоящите клаузи. Страните остават свободни да включват други търговски клаузи, които считат за необходими, при условие че не противоречат на настоящите клаузи.
Клауза 11
Последващо подизпълнение
1. Вносителят на данни няма да възлага на подизпълнител нито една от своите дейности по обработка, извършвани от името на износителя на данни съгласно тези клаузи, без предварителното писмено съгласие на износителя на данни. Вносителят на данни възлага на подизпълнители своите задължения по тези клаузи само със съгласието на износителя на данни чрез писмено споразумение с обработващия данни, налагащо на обработващия данни същите задължения като тези, наложени на вносителя на данни съгласно тези клаузи. Ако обработващият данни не може да изпълни своите задължения за защита на данните съгласно това писмено споразумение, вносителят на данни остава изцяло отговорен пред износителя на данни за изпълнението на тези задължения.
2. Предварителното писмено споразумение между вносителя на данни и обработващия данни включва също клауза за трета страна бенефициер, както е посочено в клауза 3, за случаите, когато субектът на данните е възпрепятстван да предяви иска за обезщетение, посочен в клауза 6 (1 ), срещу Износителя или Вносителя на данни, тъй като Износителят или Вносителят на данни е физически изчезнал, престанал е да съществува по закон или е станал неплатежоспособен и всички правни задължения на Износителя или Вносителя на данни не са били прехвърлени, по договор или по операция по закон, на друг правоприемник. Отговорността на обработващия данни трябва да бъде ограничена до неговите собствени дейности по обработка в съответствие с тези клаузи.
3. Разпоредбите, свързани с аспектите на защитата на данните при възлагането на подизпълнител на обработката на данни по договора, посочен в параграф 1, се уреждат от правото на държавата членка, в която е установен износителят на данни.
4. Износителят на данни поддържа списък на подизпълнителите и споразуменията за обработка на данни, сключени съгласно тези клаузи и нотифицирани от вносителя на данни в съответствие с клауза 5 (j), който се актуализира най-малко веднъж годишно. Този списък се предоставя на надзорния орган за защита на данните на износителя на данни.
Клауза 12
Задължение след прекратяване на услугите по обработка на лични данни
1. Страните се съгласяват, че след завършване на услугите за обработка на данни, вносителят на данни и обработващият данни, когато е удобно за износителя на данни, ще върнат всички прехвърлени лични данни и копия от тях на износителя на данни или ще унищожат всички такива данни и ще предоставят доказателство унищожаването на Износителя на данни, освен ако законодателството, наложено на Вносителя на данни, му пречи да върне или унищожи всички или част от прехвърлените лични данни. В този случай Вносителят на данни гарантира, че ще гарантира поверителността на прехвърлените лични данни и че повече няма да обработва активно данните.
2. Вносителят на данни и обработващият данни гарантират, че при поискване от износителя на данни и/или надзорния орган те ще подложат своите средства за обработка на данни на проверка на мерките, посочени в параграф 1.
Приложение 1.1 към част 2
Подробности за трансфера
Износител на данни
Износител на данни е Клиентът, определен в Договорното споразумение.
Импортер на данни
Вносителят на данни е IQUALIF и е назначен да обработва данните, предоставяйки услуги на Износителя на данни.
Субекти на данните
Предадените лични данни се отнасят за следните категории субекти на данни:
˜' телефонни абонати, вписани в универсалния указател
˜ Други, включително:
Категории данни
Предадените лични данни се отнасят до следните категории данни:
Категории лични данни на субектите на данни на износителя на данни, по-специално,
˜ Пълно име
˜' Пощенски адрес
˜ Данни за контакт (имейл, телефон, IP адрес и др.)
• Подробности за маркетинговите дейности по отношение на телефонния абонат
˜' Други, включително тип жилище, доходи и средна възраст в града, направени анонимно
Специални категории данни (ако е приложимо)
Предадените лични данни се отнасят до следните специални категории данни:
˜ Не се предвижда прехвърляне на специални категории данни
˜ Раса или етнически произход
˜ Религиозни или философски вярвания
˜ Профсъюзно членство
˜ Политически възгледи
˜ Генетична информация
˜ Биометрична информация
˜ Информация за сексуална ориентация или сексуален живот
˜ Здравни данни
Преработвателни дейности
Прехвърлените лични данни ще бъдат обект на следните основни дейности по обработка:
Обработката, предприета от името на Износителя на данни, се основава на следните теми, по-специално:
˜' Поемане на отговорност за продуктите или услугите, предлагани от Износителя на данни
˜' Предложението за продукт или услуга, които повикваното лице може да поиска
˜' Поръчки, взети от повиканите лица и по-нататъшна обработка на тези поръчки
˜' Проучване на въпросници и анализи
• Телемаркетинг
˜ Други, включително:
Вносителят на данни обработва личните данни на субектите на данни от името на Износителя на данни, за да предостави следните услуги и най-вече:
˜ Продажби и маркетинг
˜' Други, включително актуализиране на бази данни на кметства и политически партии
IQUALIF основно комбинира, централизира и предоставя услуги на Износителя на данни. Услугите, предоставяни от посочения доставчик на услуги, могат да бъдат структурирани (наред с други, според случая) около следните спомагателни услуги: (i) предоставяне на приложения, инструменти, системи и ИТ инфраструктура във връзка с използваните центрове за обработка на данни, за да се осигури и поддържа услугите, включително обработката на личните данни на субектите на данни, както е описано по-горе, чрез такива приложения, инструменти и системи, (ii) предоставянето на ИТ поддръжка, поддръжка и други услуги, свързани с такива приложения, инструменти, системи и ИТ инфраструктура, включително потенциален достъп до лични данни, съхранявани в такива приложения, инструменти и системи, и (iii) предоставяне на услуги за защита на данните, наблюдение на защитата и услуги за реакция при инциденти, включително потенциален достъп до лични данни при предоставяне на такива услуги за защита. IQUALIF може да ангажира обработващи данни, както е посочено по-долу, за предоставяне на услугите, включително спомагателни услуги.
IQUALIF ангажира външни и трети страни доставчици на услуги, които не са дъщерни дружества на IQUALIF, за подпомагане на предоставянето на услуги на Износителя на данни. Износителят на данни одобрява такива външни доставчици на услуги от трети страни като подсубекти, назначени за обработка на данни.
Ако субект, участващ в обработката на данни, се намира извън ЕС/ЕИП, в държава, за която се счита, че няма адекватно ниво на защита на данните съгласно решение на Европейската комисия, Вносителят на данни ще предприеме стъпки за получаване на адекватно ниво на защита на данните. защита на данните в съответствие с GDPR и раздел 3.4 (iv) от част 1.
Приложение 2, част 2
Технически и организационни защитни мерки
Вносителят на данни предприема следните технически и организационни мерки за защита, потвърдени от Износителя на данни, за да гарантира подходящо ниво на сигурност за правата и свободите на лицата, в зависимост от рисковете. При оценката на съответното ниво на защита, Износителят на данни е взел предвид по-специално рисковете, свързани с обработката, включително случайно или незаконно унищожаване, промяна, неразрешено разкриване или достъп до лични данни, предавани, съхранявани или обработвани по друг начин. Чрез пояснение: Тези технически и организационни мерки за защита не се прилагат за приложенията, инструментите, системите и/или ИТ инфраструктурата, предоставени от Износителя на данни.
1 Общи технически и организационни мерки за защита |
1.1 Обща информация и стратегии за защита на данните |
Трябва да се предприемат следните стъпки, за да се следват общите стратегии за защита на данните и информацията: |
|
|
|
|
|
1.2 Организация на защитата на информацията |
Трябва да се предприемат следните мерки за координиране на дейностите по защита на данните и информацията: |
|
|
|
1.3 Контрол на достъпа до зоните за обработка |
Трябва да се предприемат следните мерки, за да се предотврати получаването на достъп на неоторизирани лица до системите за обработка на данни (по-специално софтуер и хардуер), когато личните данни се обработват, съхраняват или предават: |
|
|
|
|
1.4 Контрол на достъпа до системи за обработка на данни |
Трябва да се вземат следните мерки, за да се предотврати неоторизиран достъп до системите за обработка на данни: |
|
|
|
|
|
|
1.5 Контролиране на достъпа до определени области на използване на системи за обработка на данни |
Следните мерки трябва да бъдат взети, за да се гарантира, че упълномощените лица с право да използват системата за обработка на данни имат достъп до данни само в рамките на съответните им отговорности и разрешения за достъп и че личните данни не могат да бъдат четени, копирани, модифицирани или изтривани без разрешение: |
|
|
|
|
|
|
|
1.6 Управление на трансмисиите |
Трябва да се предприемат следните мерки, за да се предотврати четене, копиране, промяна или изтриване на лични данни от неоторизирани трети страни по време на предаването или транспортирането на устройства за съхранение на данни (в зависимост от предприетата обработка на лични данни): |
|
|
|
1.7 Контрол на въвеждането на данни |
Трябва да се предприемат следните мерки, за да се гарантира, че е възможно да се провери и определи дали личните данни са въведени или изтрити от системите за обработка на данни и от кого: |
|
|
1.8 Контрол на работата |
В случай на делегирано обработване на лични данни трябва да се предприемат следните мерки, за да се гарантира, че тези данни се обработват в съответствие с инструкциите на Супервайзера: |
|
|
|
|
1.9 Отделяне от обработка за други цели |
Трябва да се вземат следните мерки, за да се гарантира, че данните, събрани за други цели, могат да бъдат обработвани отделно: |
|
|
1.10 Псевдонимизация |
Следните мерки трябва да бъдат взети по отношение на псевдонимизацията на личните данни: |
|
|
1.11 Шифроване |
Трябва да се предприемат следните стъпки за криптиране на лични данни в приложения и предавания, които поддържат криптиране:
|
|
|
1.12 Пълнота на системите и услугите за обработка на данни |
Трябва да се предприемат следните мерки, за да се гарантира пълнотата на системите и услугите за обработка на данни: |
|
|
|
1.13 Наличие на системи и услуги за обработка на данни и възможност за възстановяване на достъпа и използването на лични данни в случай на материален или технически инцидент |
Трябва да се предприемат следните мерки, за да се гарантира наличността на системите за обработка на данни, както и за да може бързо да се възстанови наличността и достъпа до лични данни, в случай на материален или технически инцидент (по-специално като се гарантира, че личните данни са защитени срещу случайно унищожаване или загуба): |
|
|
|
|
|
|
|
1.14 Устойчивост на системите и услугите за обработка на данни |
Трябва да се вземат следните мерки, за да се гарантира устойчивостта на системите и услугите за обработка на данни: |
|
|
|
1.15 Процедура за редовно тестване, оценка и оценка на ефективността на техническите и организационни мерки за гарантиране на сигурността на обработката на данни |
Процедура за редовно тестване, оценка и оценка на ефективността на техническите и организационни мерки за защита на обработката на данни. |
|
|
|
Част 3
Подписи на страните и списък на вносителите на данни
Когато попълните формуляра за онлайн поръчка и го потвърдите, като поставите отметка в полето за приемане на общите условия за ползване, се установява договорът, уреждащ отношенията между Клиента и IQUALIF.
Изпращането на плащането до IQUALIF ще счита, че договорът е договорен и установен.
Обърнете внимание: Този текст е преведен от френски. Оригиналната френска версия, която е валидна и законово ограничителна, е достъпна тук .