Käesolev lisa on lepingu lahutamatu osa ja selle sõlmivad:
Igaüks neist on " partei " ja tavaliselt " peod ".
Preambula
KUS Andmete importija pakub professionaalseid tarkvarateenuseid, arvuti- ja seotud teenuseid (nt täpsemate otsingufunktsioonidega brauserid);
KUI Andmete importija on Lepingu kohaselt nõustunud osutama Andmeeksportijale Lepingus nimetatud teenuseid (edaspidi " Teenused ");
KUI Andmeimportija saab teenuseid pakkudes juurdepääsu andmeeksportija teabele või teiste andmete eksportijaga (võimalikes) suhetes olevate isikute teabele või saab sellest kasu, võib sellist teavet kvalifitseerida isikuandmetena määruse tähenduses. Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 üksikisikute kaitsmise kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta ( GDPR ) ja muud kohaldatavad andmekaitseseadused.
KUI käesolev lisa sisaldab tingimusi, mis kehtivad selliste isikuandmete kogumise, töötlemise ja kasutamise kohta andmeimportija kui andmeeksportija volitatud andmetöötlusagendina, tagamaks, et pooled järgivad kehtivaid andmekaitseseadusi. .
SEEGA ja selleks, et lepinguosalised saaksid oma suhteid seaduslikult jätkata, on pooled sõlminud käesoleva liite järgmiselt:
1. osa
1. Dokumendi ülesehitus ja mõisted
1.1 Struktuur
See liide koosneb järgmistest osadest:
1. osa: | sisaldab üldsätteid, nt selles lisas kasutatud mõistete, kohalike seaduste järgimise, ajastuse ja lõpetamise kohta
|
2. osa: | sisaldab muutmata lepingu tüüptingimuste dokumendi sisu
|
2. osa liide 1.1: | sisaldab andmete importija poolt andmeeksportijale kui volitatud andmetöötlusagendile edastatud töötlemistoimingute üksikasju (sealhulgas töötlemine, töötlemise laad ja eesmärk, isikuandmete liik ja andmesubjektide kategooriad) käesoleva artikli alusel. Lisa
|
2. osa 2. liide: | sisaldab andmete importija tehniliste ja organisatsiooniliste turvameetmete kirjeldust, mida rakendatakse seoses kõigi 2. osa lisas 1.1 kirjeldatud töötlemistoimingutega.
|
3. osa: | sisaldab käesoleva lisaga seotud lepinguosaliste allkirju ja identifitseerib iga andmeimportija
|
1.2 Terminoloogia ja määratlused
Selle lisa tähenduses kohaldatakse GDPR-is kasutatud terminoloogiat ja määratlusi (lepingu tüüpklausli dokumendi põhiosas 2. osas, kus määratletud termineid ei kirjutata suurtähtedega).
"liikmesriik" | tähendab Euroopa Liitu või Euroopa Majanduspiirkonda kuuluvat riiki
|
"(isiku)andmete erikategooriad" | viitab isikuandmetele, mis paljastavad rassilise või etnilise päritolu, poliitilisi vaateid, usulisi või filosoofilisi veendumusi või ametiühingusse kuulumist, ja geneetilisi andmeid, biomeetrilisi andmeid, kui neid töödeldakse isiku kordumatu tuvastamise eesmärgil, terviseandmeid, isiku soo andmeid. elu või seksuaalne sättumus
|
"Standardlepingulised klauslid" | tähendab lepingu tüüptingimusi kolmandates riikides asutatud töötlejate isikuandmete edastamiseks vastavalt komisjoni 5. veebruari 2010. aasta otsusele 2010/87/EL, mida muudeti komisjoni 16. veebruari rakendusotsusega (EL) 2016/2297. detsember 2016
|
"Andmeprotsessor". | tähendab mis tahes töötlejat, kes asub EL-is/EMP-s või väljaspool seda ja kes nõustub saama andmeimportijalt või andmeimportija muult töötlejalt isikuandmeid üksnes töötlemise eesmärgil, mida andmeeksportija teostab pärast edastamine vastavalt Andmeeksportija juhistele, käesoleva lisa tingimustele ja andmeimportijaga sõlmitud lepingule
|
2. Andmeeksportija kohustused
2.1 Andmeeksportija on kohustatud tagama kõigi GDPR-ist ja muudest andmeeksportija suhtes kohaldatavatest kohaldatavatest andmekaitseseadustest tulenevate kohustuste järgimise ning näitama sellist vastavust GDPR-i artikli 5 lõike 2 kohaselt. Andmeeksportija garanteerib, et andmete importija on saanud andmesubjektide eelneva nõusoleku vastavalt GDPR-i artikli 6 punktile a ning täitnud andmesubjektide teavitamise kohustuse vastavalt GDPR-i artiklitele 13 ja 14.
2.2 Andmeeksportija peab esitama andmeimportijale käesoleva lisa kohaste teenustega seotud töötlemistoimingute vastavad failid vastavalt GDPR artikli 30 lõikele 1 ulatuses, mis on andmete importijale vajalik. GDPR artikli 30 lõige 2.
2.3 Andmeeksportija peab määrama andmekaitseametniku või esindaja kohaldatava andmekaitseseadusega nõutavas ulatuses. Andmeeksportija on kohustatud edastama andmeimportijale andmekaitseagendi või esindaja kontaktandmed, kui need on olemas.
2.4. Andmeeksportija kinnitab enne töötlemise lõpetamist käesoleva lisaga nõustudes, et andmeimportija tehnilised ja organisatsioonilised turvameetmed, mis on sätestatud 2. osa 2. lisas, on andmesubjekti õiguste kaitsmiseks asjakohased ja piisavad. ja kinnitab, et andmeimportija pakub selles osas piisavaid kaitsemeetmeid.
3. Kohalike seaduste järgimine
GDPR-i artiklist 28 tulenevate töötlemisagentide rakendamise nõuete täitmiseks kohaldatakse järgmisi muudatusi:
3.1 Juhised
3.2 Andmete importija kohustused
3.3 Asjaomaste isikute õigused
3.4 Alamtöötlus
3.5 Kehtivusaeg
Käesoleva lisa kehtivusaeg on identne vastava lepingu lõppemise kuupäevaga. Kui käesolevas Lisas ei ole sätestatud teisiti, on ülesütlemisega seotud õigused ja kohustused samad, mis Lepingus sisalduvad.
4. Vastutuse piiramine
4.1 Kumbki pool täidab oma kohustusi, mis tulenevad käesolevast lisast ja kohaldatavatest andmekaitseseadustest.
4.2 Mis tahes vastutus, mis on seotud käesolevast liitest või kohaldatavatest andmekaitsealastest õigusaktidest tulenevate kohustuste rikkumisega, allub lepingus sätestatud või lepingule kohaldatavatele vastutussätetele ja neid reguleeritakse, välja arvatud juhul, kui käesolevas lisas on sätestatud teisiti. Kui vastutust reguleerivad Lepingus sätestatud või sellele kohaldatavad vastutussätted, siis vastutuslimiitide arvutamisel või muude vastutuspiirangute kohaldamise määramisel, loetakse käesolevast lisast tulenevad kohustused tulenevad lepingust.
5. Üldsätted
5.1. Kui käesoleva liite 1. ja 2. osa vahel esineb ebakõlasid või lahknevusi, kohaldatakse 2. osa. Täpsemalt, isegi sellisel juhul jääb kehtima 1. osa, mis lihtsalt läheb kaugemale 2. osast (st standardklauslite tingimused), ilma et see oleks sellega vastuolus.
5.2 Kui käesoleva lisa ja teiste pooli siduvate lepingute sätete vahel ilmneb lahknevus, on poolte andmekaitsekohustuste osas ülimuslik käesolev lisa. Kahtluse korral, kas teiste lepingute punktid puudutavad poolte andmekaitsekohustusi, on ülimuslik käesolev lisa.
5.3 Kui mõni selle lisa säte on kehtetu või jõustamatu, jääb selle lisa ülejäänud osa täielikult jõusse. Kehtetut või jõustamatut sätet (i) muudetakse, et tagada selle kehtivus ja jõustatavus, säilitades nii palju kui võimalik poolte kavatsused, või – kui see ei ole võimalik – (ii) tõlgendatakse nii, nagu oleks kehtetu või jõustamatu osa pole kunagi lepingu osaks olnud. Eelöeldu kehtib ka juhul, kui käesolevas liites on väljajätmine.
5.5 Osapooled võivad vajalikul määral nõuda 1. osa punkti 3 (Kohaliku õiguse järgimine) või liite muude osade muutmist, et järgida liidu pädevate asutuste tõlgendusi, direktiive või korraldusi. liikmesriigid, riiklikud jõustamissätted või muud õiguslikud arengud, mis puudutavad GDPR-i või muid andmetöötlusega seotud üksustele delegeerimise tingimusi ja konkreetselt GDPR-i lepingu tüüptingimuste kasutamist. Lepingu tüüptingimuste tingimusi ei tohi muuta ega asendada, välja arvatud juhul, kui Euroopa Komisjon seda selgesõnaliselt heaks kiidab (nt uute asjakohaste klauslite ja andmekaitsestandarditega).
5.6 Kui ei ole sätestatud teisiti, käesolevas lisas sisalduvaid viiteid "klauslitele" tuleb mõista viitena kõigile selle lisa sätetele.
5.7 Osa 2 punktis 9 toodud õiguse valik kehtib kogu Lepingule.
6. Poolte poolt isiklikel eesmärkidel edastatud ja töödeldavad isikuandmed (vastutavalt vastutavalt töötlejalt vastutavale töötlejale üleandmine)
6.1 Pooled teavad täielikult, et teatud isikuandmed edastatakse andmeeksportijalt andmeimportijale ja vastupidi ning neid andmeid töötleb kumbki pool oma eesmärkidel. Mis puudutab selliseid isikuandmeid, siis see ei mõjuta käesoleva lisa muid sätteid (välja arvatud käesolev punkt 6).
6.2 Andmeeksportija võib andmeimportijale edastada andmeimportija töötajatega seotud isikuandmeid, sealhulgas teavet turvaintsidentide kohta, või mis tahes muid dokumente või faile, mille andmeeksportija on loonud või loonud seoses ettevõtte töötajate pakutavate teenustega. andmete importija. Andmete importija võib selliseid isikuandmeid töödelda oma eesmärkidel, eelkõige ametialastes suhetes andmete importija töötajatega, kvaliteedikontrolliks ja koolituseks või ärilistel eesmärkidel.
6.3. Andmete importija võib andmeeksportijale edastada isikuandmeid, sealhulgas andmeimportija töötajate nime ja kontaktandmeid. Andmeeksportija võib selliseid isikuandmeid töödelda oma eesmärkidel.
6.4 Mõlemad pooled järgivad 1. osa punkti 1 alusel teiselt poolelt saadud isikuandmete kogumisel, töötlemisel ja kasutamisel kõiki kohaldatavaid andmekaitseseadusi, sealhulgas GDPR-i. Eelkõige võtavad mõlemad pooled piisavaid turvameetmeid, tagades 2. osa 2. liites sätestatud turvameetmetega sarnane kaitsetase. Juurdepääs sellistele isikuandmetele piirdub vajadusega neid teada.
6.5 Mõlemad pooled peavad sellised isikuandmed kustutama võimalikult kiiresti pärast eesmärkide saavutamist.
2. osa
KOMISJONI OTSUS
5. veebruaril 2010
lepingu tüüptingimuste kohta isikuandmete edastamiseks kolmandatest isikutest riikides asuvatele andmetöötlejatele vastavalt Euroopa Parlamendi ja nõukogu direktiivile 95/46/EÜ
Klausel 1
Definitsioonid
Klauslite tähenduses:
a) mõistetel „isikuandmed”, „andmete erikategooriad”, „töötlemine/töötlemine”, „vastutav töötleja”, „töötleja”, „andmesubjekt” ja „järelevalveasutus” on sama tähendus kui direktiivis 95/46/EÜ. Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (1);
b) „andmete eksportija” on isikuandmeid edastav vastutav töötleja;
c) Andmeimportija on andmetöötleja, kes nõustub saama andmeeksportijalt isikuandmeid, mida kavatsetakse töödelda andmeeksportija nimel pärast edastamist vastavalt tema juhistele ja käesolevate punktide tingimustele, ning kes ei ole vastavalt kolmanda riigi mehhanismile, mis tagab piisava kaitse direktiivi 95/46/EÜ artikli 25 lõike 1 tähenduses; d) Andmetöötleja – andmeimportija või andmeimportija muu andmetöötleja kaasatud andmetöötleja, kes nõustub saama andmeimportijalt või muult andmeimportija andmetöötlejalt isikuandmeid ainult selleks, et andmeimportijat töödelda. teostada andmeeksportija nimel pärast edastamist vastavalt andmeeksportija juhistele,
e) kohaldatav andmekaitseseadus – õigusakt, mis kaitseb üksikisikute põhiõigusi ja -vabadusi, sealhulgas õigust eraelu puutumatusele seoses isikuandmete töötlemisega, ja mida kohaldatakse vastutava töötleja suhtes selles liikmesriigis, kus andmeeksportija on registreeritud;
f) "turvalisusega seotud tehnilised ja korralduslikud meetmed" – meetmed, mis on ette nähtud isikuandmete kaitsmiseks juhusliku või ebaseadusliku hävitamise või juhusliku kaotsimineku, muutmise, loata avaldamise või juurdepääsu eest, eriti kui töötlemine hõlmab andmete edastamist võrkude kaudu, ja kõik muud ebaseaduslikud töötlemisviisid.
Punkt 2
Ülekande üksikasjad
Edastamise üksikasjad, sealhulgas vajaduse korral isikuandmete erikategooriad, on täpsustatud 1. lisas, mis on nende klauslite lahutamatu osa.
Punkt 3
Kolmanda osapoole abisaaja klausel
1. Andmesubjekt võib andmeeksportija suhtes jõustada käesoleva klausli punkti 4 punktid b–i, klausli 5 punktid a–e ja g–j ning klausli 6 lõiked 1 ja 2. ), klausel 7, klausli 8 lõige 2 ja klauslid 9–12 kolmandast isikust kasusaajana
2. Andmesubjekt võib käesoleva klausli, punkti 5 alapunktide a–e ja g, klausli 6, klausli 7, punkti 8 lõike 2 ja klausli 9 kuni 12 jõustada andmeimportija suhtes, kui andmeeksportija on füüsiliselt on kadunud või seaduslikult lakanud eksisteerimast, välja arvatud juhul, kui kõik tema juriidilised kohustused on lepingu või seaduse alusel üle antud õigusjärglasele, kellele andmeeksportija õigused ja kohustused seetõttu tagasi lähevad ning kelle vastu andmed subjekt saab seega nimetatud klausleid jõustada.
Andmesubjekt võib käesoleva punkti, punkti 5 punktide a–e ja g, klausli 6, punkti 7, punkti 8 lõike 2 ja punktide 9 kuni 12 täitmist andmetöötleja suhtes rakendada, kuid ainult juhtudel, kui Andmed Eksportija ja Andmeimportija on füüsiliselt kadunud, seaduslikult lakanud eksisteerimast või muutunud maksejõuetuks, välja arvatud juhul, kui kõik Andmeeksportija juriidilised kohustused on lepingu või seaduse alusel üle läinud õigusjärglasele, kellele kuuluvad õigused ja seega on andmeeksportija kohustused ja kelle suhtes andmesubjekt võib selliseid klausleid jõustada. Andmetöötleja selline vastutus peab piirduma tema enda töötlemistoimingutega nende punktide alusel.
4. Pooled ei ole vastu sellele, et andmesubjekti esindab ühendus või muu organ, kui ta seda soovib ja kui siseriiklik õigus seda võimaldab.
Punkt 4
Andmeeksportija kohustused
Andmeeksportija aktsepteerib ja tagab järgmise:
a) töötlemine, sealhulgas isikuandmete tegelik edastamine, on toimunud ja toimub ka edaspidi kooskõlas kohaldatava andmekaitseseaduse asjakohaste sätetega (ja vajaduse korral on sellest teavitatud liikmesriigi pädevaid asutusi kus Andmeeksportija asub) ja ei riku selle riigi asjakohaseid sätteid;
b) nad on andnud andmeimportijale korralduse töödelda isikuandmeid edastatud isikuandmeid ainuisikuliselt andmeeksportija nimel ning kooskõlas kohaldatava andmekaitseseaduse ja käesolevate klauslitega ning teevad seda isikuandmete töötlemise teenuste kestuse jooksul;
c) Andmete importija tagab piisavad kaitsemeetmed käesoleva lepingu lisas 2 nimetatud tehniliste ja organisatsiooniliste turvameetmete osas;
d) pärast kohaldatava andmekaitseseaduse nõuete hindamist on turvameetmed piisavad, et kaitsta isikuandmeid juhusliku või ebaseadusliku hävitamise või juhusliku kaotsimineku, muutmise, volitamata avaldamise või juurdepääsu eest, eriti kui töötlemine hõlmab andmete edastamist. võrgu kaudu ja kõigi muude ebaseaduslike töötlemise vormide eest ning tagama turvalisuse taseme, mis vastab töötlemisega kaasnevatele riskidele ja kaitstavate andmete olemusele, võttes arvesse tehnoloogia taset ja rakenduskulusid;
e) nad tagavad turvameetmete järgimise;
f) kui edastamine on seotud andmete erikategooriatega, on andmesubjekti teavitatud või teavitatakse teda enne edastamist või võimalikult kiiresti pärast edastamist, et tema andmed võidakse edastada kolmandasse riiki, mis ei paku piisav kaitsetase direktiivi 95/46/EÜ tähenduses;
g) nad edastavad kõik andmete importijalt või mis tahes andmetöötlejalt punkti 5 punkti b ja lõike 8 lõike 3 alusel saadud teated andmekaitse järelevalveasutusele, kui ta otsustab edastamist jätkata või selle peatamise tühistada;
h) nad teevad andmesubjektidele nende nõudmisel kättesaadavaks nende klauslite, välja arvatud 2. liide, koopia ja turvameetmete kokkuvõtliku kirjelduse ning mis tahes edasise alltöövõtulepingu koopia, mis on sõlmitud nende punktide alusel, välja arvatud juhul, kui Klauslid või leping sisaldavad äriteavet, sel juhul võib ta selle teabe tagasi võtta;
i) andmetöötlusprotsessi alltöövõtu korral teostab töötlemistoimingu vastavalt punktile 11 andmetöötleja, kes tagab isikuandmete ja andmesubjekti õiguste kaitse vähemalt samal tasemel kui andmeimportija käesolevate punktide alusel. ; ja
j) see tagab vastavuse klausli 4 punktidele a–i.
Punkt 5
Andmete importija kohustused
Andmete importija aktsepteerib ja tagab järgmise:
a) nad töötlevad isikuandmeid ainult andmeeksportija nimel ning andmeeksportija juhiste ja käesolevate klauslite alusel; kui ta ei suuda mingil põhjusel järgida, nõustuvad nad andmeeksportijat oma suutmatusest esimesel võimalusel teavitada, sel juhul võib andmeeksportija andmeedastuse peatada ja/või lepingu lõpetada;
b) neil ei ole põhjust arvata, et nende suhtes kohaldatav õigus takistab tal täita andmeeksportija antud juhiseid ja talle lepingust tulenevaid kohustusi, ning kui sellist seadust muudetakse, mis võib oluliselt kahjustada avaldab mõju punktidest tulenevatele garantiidele ja kohustustele, teavitab ta muudatusest viivitamata pärast sellest teadasaamist Andmeeksportijat, millisel juhul võib andmeeksportija andmeedastuse peatada ja/või lepingu lõpetada; c) nad on enne edastatud isikuandmete töötlemist rakendanud 2. liites nimetatud tehnilised ja organisatsioonilised turvameetmed;
d) nad teavitavad andmeeksportijat viivitamata:
i) õiguskaitseasutuse mis tahes siduv taotlus isikuandmete avaldamiseks, kui ei ole sätestatud teisiti, näiteks kriminaalmenetluse keeld, mille eesmärk on säilitada politseijuurdluse saladus;
ii) juhuslik või volitamata juurdepääs; ja
iii) mis tahes päring, mis on saadud otse asjaomastelt isikutelt ilma sellele vastamata, välja arvatud juhul, kui tal on selleks luba; administraatorid
e) nad tegelevad kiiresti ja nõuetekohaselt kõigi andmeeksportijalt esitatud päringutega, mis puudutavad tema poolt edastatavate isikuandmete töötlemist, ning tegutsevad edastatud andmete töötlemise osas järelevalveasutuse arvamuse kohaselt;
f) andmeeksportija taotlusel kontrollivad nad andmeeksportija või nõutava kutsekvalifikatsiooniga sõltumatutest liikmetest koosnev järelevalveorgan tema andmetöötlusrajatisi nendes klauslites käsitletud töötlemistoiminguid; järgib saladuse hoidmise kohustust ja mille on valinud andmeeksportija, vajaduse korral kokkuleppel järelevalveasutusega;
g) nad teevad andmesubjektile tema nõudmisel kättesaadavaks nende klauslite koopia või mis tahes olemasoleva andmetöötluslepingu alltöövõtulepingu koopia, välja arvatud juhul, kui klauslid või leping sisaldavad äriteavet; sel juhul võib ta sellise teabe eemaldada. teave, välja arvatud lisa 2, mis asendatakse turvameetmete kokkuvõtliku kirjeldusega, kui andmesubjekt ei saa andmeeksportijalt koopiat;
h) konfidentsiaalse edasise andmetöötluse alltöövõtulepingu sõlmimise korral tagab ta, et teavitab sellest eelnevalt andmeeksportijat ja saab andmeeksportijalt kirjaliku nõusoleku;
i) andmetöötleja poolt osutatavad töötlemisteenused peavad vastama punktile 11;
j) nad saadavad nende punktide alusel sõlmitud andmetöötluslepingu mis tahes allhankelepingu koopia viivitamata andmeeksportijale.
Punkt 6
Vastutus
1. Pooled lepivad kokku, et iga andmesubjekt, kes on kandnud kahju ühe poole või andmetöötleja poolt punktis 3 või 11 nimetatud kohustuste rikkumise tõttu, võib saada andmeeksportijalt tekkinud kahju hüvitamist.
2. Kui andmesubjektil ei ole võimalik esitada lõikes 1 osutatud kahju hüvitamise hagi andmeeksportija vastu, kuna andmeimportija või tema andmetöötleja ei ole täitnud mis tahes punktist 3 või punktist 11 tulenevat kohustust, kuna andmed Eksportija on füüsiliselt kadunud, lakanud eksisteerimast seadusega või muutunud maksejõuetuks, andmesubjekt nõustub sellega, et andmesubjekt võib esitada tema peale kaebuse nii nagu ta oleks andmeeksportija, välja arvatud juhul, kui kõik andmeeksportija juriidilised kohustused on lepinguga üle antud. või seaduse alusel selle õigusjärglasele, kelle suhtes andmesubjekt võib seejärel oma õigusi rakendada. Andmete importija ei tohi oma vastutuse vältimiseks tugineda andmetöötleja poolt oma kohustuste rikkumisele.
3. Kui andmesubjekt ei saa esitada lõigetes 1 ja 2 nimetatud hagi andmeeksportija või andmeimportija vastu, kuna andmetöötleja rikub punktis 3 või 11 sätestatud kohustusi, kuna andmeeksportija ja andmete importija on füüsiliselt kadunud, lakanud eksisteerimast seaduse alusel või muutunud maksejõuetuks, nõustub andmesubjekt, et andmesubjekt võib vastavalt käesolevatele punktidele esitada tema vastu kaebuse enda töötlemistoimingute kohta nii, nagu oleks ta andmeeksportija või -importija, välja arvatud juhul, kui kõik Andmeeksportija või -importija juriidilised kohustused on lepingu või seaduse alusel üle antud õigusjärglasele, kelle vastu andmesubjekt võib seejärel oma õigusi kaitsta.Andmetöötleja vastutus peab piirduma tema enda töötlemistoimingutega vastavalt käesolevatele punktidele.
Punkt 7
Vahendus ja jurisdiktsioon
1. Andmete importija nõustub sellega, et kui andmesubjekt tugineb punktide kohaselt tema vastu kolmandast isikust kasusaaja õigusele ja/või nõuab kahju hüvitamist, nõustub ta andmesubjekti otsusega:
a) anda vaidlus sõltumatule isikule või vajaduse korral järelevalveasutusele vahendajaks;
b) anda vaidlus selle liikmesriigi kohtusse, kus andmete eksportija asub.
2. Pooled lepivad kokku, et andmesubjekti valik ei mõjuta andmesubjekti menetluslikku ega materiaalset õigust saada hüvitist vastavalt siseriikliku või rahvusvahelise õiguse muudele sätetele.
Punkt 8
Koostöö järelevalveasutustega
1. Andmeeksportija nõustub hoiule andma käesoleva lepingu koopia järelevalveasutusele, kui viimane seda nõuab või kui selline hoiuleandmine on ette nähtud kohaldatava andmekaitseseadusega.
2. Pooled lepivad kokku, et järelevalveasutus võib andmeimportija ja mis tahes andmetöötleja juures läbi viia kontrolle samas ulatuses ja samadel tingimustel kui andmeeksportija juures läbiviidavaid kontrolle kooskõlas kehtiva andmekaitseseadusega.
3. Andmete importija teavitab andmeeksportijat niipea kui võimalik andmete importijat või mis tahes andmetöötlejat puudutavate õigusaktide olemasolust, mis takistavad andmete importija või mis tahes andmetöötleja juures lõike 2 kohaselt kontrollimist. Andmete eksportija võib rakendada punkti 5 punktis b sätestatud meetmeid.
Punkt 9
Kohaldatav seadus
Neid klausleid kohaldatakse ja nende suhtes kohaldatakse andmeeksportija asukohaliikmesriigi õigust.
Punkt 10
Lepingu muutmine
Pooled kohustuvad käesolevaid tingimusi mitte muutma. Pooled võivad lisada muid kaubandusklausleid, mida nad vajalikuks peavad, tingimusel et need ei ole käesolevate klauslitega vastuolus.
Punkt 11
Hilisem alltöövõtt
1. Andmeimportija ei sõlmi allhankelepinguid oma andmeeksportija nimel teostatavatest töötlemistoimingutest nende punktide alusel ilma andmeeksportija eelneva kirjaliku nõusolekuta. Andmeimportija sõlmib oma käesolevatest punktidest tulenevate kohustuste täitmise alltöövõtu korras ainult andmeeksportija nõusolekul andmetöötlejaga sõlmitud kirjaliku lepinguga, millega kehtestatakse andmetöötlejale samad kohustused, mis nende punktide alusel on andmeimportijale pandud. Kui andmetöötleja ei suuda täita oma sellest kirjalikust lepingust tulenevaid andmekaitsekohustusi, vastutab andmeimportija nende kohustuste täitmise eest täielikult andmeeksportija ees.
2. Andmeimportija ja andmetöötleja vaheline eelnev kirjalik leping sisaldab ka punktis 3 sätestatud kolmandast isikust kasusaaja klauslit juhtudeks, kui andmesubjektil ei ole võimalik esitada punktis 6 (1) nimetatud kahju hüvitamise nõuet. ), andmeeksportija või andmete importija vastu, kuna andmeeksportija või andmete importija on füüsiliselt kadunud, seaduslikult lakanud eksisteerimast või muutunud maksejõuetuks ning kõik andmeeksportija või andmeimportija juriidilised kohustused ei ole lepingu või tegevusega üle läinud. seaduse alusel teisele õigusjärglasele. Andmetöötleja vastutus peab piirduma tema enda töötlemistoimingutega vastavalt käesolevatele punktidele.
3. Lõikes 1 osutatud lepingu andmetöötluse allhankelepingute sõlmimise andmekaitseaspekte käsitlevaid sätteid reguleerib selle liikmesriigi õigus, kus andmeeksportija on registreeritud.
4. Andmeeksportija peab käesolevate punktide alusel sõlmitud ja Andmeimportija poolt punkti 5 punkti j kohaselt teatavaks tehtud andmetöötluslepingute alltöövõtjate nimekirja, mida ajakohastatakse vähemalt kord aastas. See nimekiri tehakse kättesaadavaks andmeeksportija andmekaitse järelevalveasutusele.
Punkt 12
Kohustus pärast isikuandmete töötlemise teenuste lõpetamist
1. Pooled lepivad kokku, et pärast andmetöötlusteenuste lõpetamist tagastavad andmete importija ja töötleja andmeeksportijale sobival viisil kõik edastatud isikuandmed ja nende koopiad andmeeksportijale või hävitavad kõik sellised andmed ja esitavad tõendi. hävitamine Andmeeksportijale, välja arvatud juhul, kui andmeimportijale kehtestatud õigusaktid ei takista tal kõiki või osa edastatud isikuandmeid tagastada või hävitada. Sellisel juhul garanteerib Andmeimportija, et ta tagab edastatavate isikuandmete konfidentsiaalsuse ning andmeid enam aktiivselt ei töötle.
2. Andmete importija ja andmetöötleja tagavad, et andmeeksportija ja/või järelevalveasutuse nõudmisel kontrollivad nad oma andmetöötlusvahendeid lõikes 1 osutatud meetmete järgimise kohta.
2. osa lisa 1.1
Ülekande üksikasjad
Andmete eksportija
Andmete eksportija on Lepingus määratletud Klient.
Andmete importija
Andmete importija on IQUALIF ja tema ülesanne on töödelda andmeid, pakkudes Andmeeksportijale teenuseid.
Andmete subjektid
Edastatud isikuandmed puudutavad järgmisi andmesubjektide kategooriaid:
˜' universaalses kataloogis loetletud telefoniabonendid
˜ Muud, sealhulgas:
Andmete kategooriad
Edastatud isikuandmed puudutavad järgmisi andmekategooriaid:
Eelkõige andmeeksportija andmesubjektide isikuandmete kategooriad,
˜' Täisnimi
˜' Postiaadress
˜' Kontaktandmed (e-post, telefon, IP-aadress jne)
˜' Telefoni abonenti puudutavate turundustegevuste üksikasjad
„Muud, sealhulgas anonüümselt tehtud eluaseme tüüp, sissetulek ja linna keskmine vanus
Andmete erikategooriad (vajaduse korral)
Edastatavad isikuandmed puudutavad järgmisi andmekategooriaid:
˜' Erikategooriate andmete edastamine ei ole ette nähtud
˜ Rass või etniline päritolu
˜ Religioossed või filosoofilised tõekspidamised
˜ Ametiühingusse kuulumine
˜ Poliitilised vaated
˜ Geneetiline teave
˜ Biomeetriline teave
˜ Teave seksuaalse sättumuse või seksuaalelu kohta
˜ Terviseandmed
Töötlemistegevused
Edastatud isikuandmete suhtes kohaldatakse järgmisi põhilisi töötlemistoiminguid:
Andmeeksportija nimel tehtav töötlemine põhineb järgmistel teemadel, eelkõige:
˜' Andmeeksportija pakutavate toodete või teenuste eest vastutamine
˜' Toote või teenuse pakkumine, mida helistaja saab taotleda
˜' Helistatud isikutelt võetud korraldused ja nende tellimuste edasine töötlemine
˜' Uurige küsimustikke ja analüüse
˜' Telemarketing
˜ Muud, sealhulgas:
Andmeimportija töötleb andmesubjektide isikuandmeid andmeeksportija nimel, et pakkuda järgmisi teenuseid, eelkõige:
˜' Müük ja turundus
˜' Muud, sealhulgas raekodade ja erakondade andmebaaside uuendamine
IQUALIF ühendab, tsentraliseerib ja pakub teenuseid peamiselt andmeeksportijale. Nimetatud teenusepakkuja pakutavad teenused võivad olla struktureeritud (muu hulgas vastavalt vajadusele) järgmiste abiteenuste ümber: (i) rakenduste, tööriistade, süsteemide ja IT-infrastruktuuri pakkumine seoses kasutatavate andmetöötluskeskustega, et pakkuda ja toetada teenuseid, sealhulgas ülalkirjeldatud andmesubjektide isikuandmete töötlemist selliste rakenduste, tööriistade ja süsteemide kaudu, (ii) selliste rakenduste, tööriistade ja süsteemidega seotud IT-toe, hoolduse ja muude teenuste pakkumine. ja IT-infrastruktuur, sealhulgas potentsiaalne juurdepääs sellistes rakendustes, tööriistades ja süsteemides salvestatud isikuandmetele ning iii) andmekaitseteenuste pakkumine, kaitse jälgimine ja intsidentidele reageerimise teenused, sealhulgas võimalik juurdepääs isikuandmetele selliste kaitseteenuste osutamisel. IQUALIF võib teenuste, sealhulgas abiteenuste osutamiseks kaasata andmetöötlejaid, nagu allpool sätestatud.
IQUALIF kaasab andmeeksportijale teenuste osutamise toetamiseks väliseid ja kolmandaid teenusepakkujaid, kes ei ole IQUALIFi tütarettevõtted. Andmeeksportija kinnitab sellised välised kolmandatest isikutest teenusepakkujad andmetöötlusele määratud allüksusteks.
Kui andmetöötlusega seotud allüksus asub väljaspool EL-i/EMP-d riigis, mille andmekaitse tase Euroopa Komisjoni otsuse kohaselt ei ole piisav, astub andmete importija meetmeid piisava andmekaitse taseme saavutamiseks. andmekaitse vastavalt GDPR-ile ja 1. osa jaotisele 3.4 (iv).
2. lisa 2. osa
Tehnilised ja organisatsioonilised kaitsemeetmed
Andmete importija rakendab järgmisi Andmeeksportija poolt kinnitatud tehnilisi ja organisatsioonilisi kaitsemeetmeid, et tagada üksikisikute õiguste ja vabaduste asjakohane turvalisuse tase, olenevalt riskidest. Asjaomase kaitsetaseme hindamisel on andmeeksportija võtnud eelkõige arvesse töötlemisega kaasnevaid riske, sealhulgas juhuslikku või ebaseaduslikku hävitamist, muutmist, volitamata avaldamist või juurdepääsu edastatud, salvestatud või muul viisil töödeldavatele isikuandmetele. Selgituseks: need tehnilised ja organisatsioonilised kaitsemeetmed ei kehti andmeeksportija pakutavate rakenduste, tööriistade, süsteemide ja/või IT-infrastruktuuri kohta.
1 Üldised tehnilised ja organisatsioonilised kaitsemeetmed |
1.1 Üldteave ja andmekaitsestrateegiad |
Üldiste andme- ja teabekaitsestrateegiate järgimiseks tuleks võtta järgmised sammud. |
|
|
|
|
|
1.2 Infokaitse korraldus |
Andme- ja teabekaitsetegevuse koordineerimiseks tuleks võtta järgmised meetmed: |
|
|
|
1.3 Juurdepääsu kontroll töötlemisaladele |
Tuleb võtta järgmised meetmed, et vältida volitamata isikute juurdepääsu andmetöötlussüsteemidele (eelkõige tarkvarale ja riistvarale) isikuandmete töötlemise, säilitamise või edastamise ajal: |
|
|
|
|
1.4 Juurdepääsu kontroll andmetöötlussüsteemidele |
Selleks et vältida volitamata juurdepääsu andmetöötlussüsteemidele, tuleb võtta järgmised meetmed: |
|
|
|
|
|
|
1.5 Andmetöötlussüsteemide konkreetsetele kasutusvaldkondadele juurdepääsu kontrollimine |
Tagamaks, et andmetöötlussüsteemi kasutamise õigust omavad volitatud isikud pääseksid juurde ainult oma kohustuste ja juurdepääsulubade piires ning isikuandmeid ei saaks ilma loata lugeda, kopeerida, muuta ega kustutada, tuleb kasutusele võtta järgmised meetmed: |
|
|
|
|
|
|
|
1.6 Käigukasti juhtimine |
Selleks et vältida isikuandmete lugemist, kopeerimist, muutmist või kustutamist volitamata kolmandate isikute poolt andmesalvestusseadmete edastamise või transportimise ajal (olenevalt teostatud isikuandmete töötlemisest), tuleb kasutusele võtta järgmised meetmed: |
|
|
|
1.7 Andmesisestuse kontroll |
Selleks, et oleks võimalik kontrollida ja kindlaks teha, kas isikuandmeid on andmetöötlussüsteemidesse sisestatud või neist kustutatud ja kes on, tuleb võtta järgmised meetmed: |
|
|
1.8 Töökontroll |
Isikuandmete delegeeritud töötlemise korral tuleb rakendada järgmisi meetmeid tagamaks, et neid andmeid töödeldakse vastavalt järelevalve teostaja juhistele: |
|
|
|
|
1.9 Eraldamine muudel eesmärkidel töötlemisest |
Muul eesmärgil kogutud andmete eraldi töötlemise tagamiseks tuleb võtta järgmised meetmed: |
|
|
1.10 Pseudonüümiseerimine |
Isikuandmete pseudonümiseerimiseks tuleb võtta järgmised meetmed: |
|
|
1.11 Krüpteerimine |
Isikuandmete krüpteerimiseks krüptimist toetavates rakendustes ja edastustes tuleks võtta järgmised toimingud.
|
|
|
1.12 Andmetöötlussüsteemide ja -teenuste täielikkus |
Andmetöötlussüsteemide ja -teenuste täielikkuse tagamiseks tuleb võtta järgmised meetmed: |
|
|
|
1.13 Andmetöötlussüsteemide ja -teenuste kättesaadavus ning isikuandmetele juurdepääsu ja nende kasutamise taastamise võimalus materiaalse või tehnilise intsidendi korral |
Selleks et tagada andmetöötlussüsteemide kättesaadavus, samuti oleks võimalik kiiresti taastada isikuandmete kättesaadavus ja juurdepääs materiaalse või tehnilise intsidendi korral, tuleb kasutusele võtta järgmised meetmed (eelkõige tagades isikuandmed on kaitstud juhusliku hävimise või kaotsimineku eest): |
|
|
|
|
|
|
|
1.14 Andmetöötlussüsteemide ja -teenuste vastupidavus |
Andmetöötlussüsteemide ja -teenuste vastupidavuse tagamiseks tuleb võtta järgmised meetmed: |
|
|
|
1.15 Andmetöötluse turvalisuse tagamiseks tehniliste ja organisatsiooniliste meetmete regulaarse testimise, hindamise ja tõhususe hindamise kord |
Andmetöötluse kaitse tehniliste ja organisatsiooniliste meetmete regulaarse testimise, hindamise ja tõhususe hindamise kord. |
|
|
|
3. osa
Poolte allkirjad ja andmete importijate nimekiri
Kui täidate veebipõhise tellimisvormi ja kinnitate selle üldiste kasutustingimustega nõustumise kastikesega, sõlmitakse Kliendi ja IQUALIF-i vahelisi suhteid reguleeriv leping.
Makse saatmisel IQUALIF-ile loetakse leping kokkulepituks ja sõlmituks.
Pange tähele: see tekst on tõlgitud prantsuse keelest. Algne prantsuskeelne versioon, mis on kehtiv ja õiguslikult piirav, on saadaval siin .