נספח זה מהווה חלק בלתי נפרד מהחוזה והוא נכרת על ידי:
כל אחד מהם הוא " מפלגה " ובדרך כלל " מפלגות ".
הַקדָמָה
היכן ייבוא הנתונים מספק שירותי תוכנה מקצועיים, מחשבים ושירותים נלווים (כגון דפדפנים עם פונקציות חיפוש מתקדמות);
היכן בהתאם לחוזה, יבואן הנתונים הסכים לספק ליצואן הנתונים את השירותים המפורטים בחוזה (" השירותים ");
היכן, על ידי אספקת השירותים, ייבוא הנתונים מקבל או נהנה מגישה למידע של יצואן הנתונים או למידע של אנשים אחרים שיש להם קשר (פוטנציאלי) עם יצואן הנתונים, מידע כזה עשוי להיות מוגדר כנתונים אישיים במשמעות של תקנה. (EU) 2016/679 של הפרלמנט האירופי ושל המועצה מה-27 באפריל 2016 על הגנה על יחידים בנוגע לעיבוד נתונים אישיים ועל תנועה חופשית של נתונים כאלה (" GDPR ") וחוקי הגנת מידע רלוונטיים אחרים.
היכן נספח זה מכיל את התנאים וההגבלות החלים על איסוף, עיבוד ושימוש בנתונים אישיים אלה על ידי יבואן הנתונים בתפקידו כסוכן עיבוד הנתונים המורשה של יצואן הנתונים, כדי להבטיח שהצדדים יעמדו בחוק הגנת המידע החל. .
לפיכך, וכדי לאפשר לצדדים להמשיך את יחסיהם כדין, סיכמו הצדדים את נספח זה כדלקמן:
חלק 1
1. מבנה המסמך והגדרות
1.1 מבנה
נספח זה כולל חלקים שונים כדלקמן:
חלק 1: | מכיל הוראות כלליות, למשל בנוגע להגדרות המשמשות בנספח זה, עמידה בחוקים המקומיים, עיתוי וסיום
|
חלק 2: | מכיל את גוף מסמך הסעיפים החוזיים הסטנדרטיים ללא שינוי
|
נספח 1.1 של חלק 2: | מכיל את פרטי פעולות העיבוד שסופק על ידי יבואן הנתונים ליצואן הנתונים כסוכן עיבוד הנתונים המורשה (לרבות העיבוד, אופי ומטרת העיבוד, סוג הנתונים האישיים והקטגוריות של נושאי המידע) לפי זה נִספָּח
|
נספח 2 של חלק 2: | מכיל תיאור של אמצעי האבטחה הטכניים והארגוניים של יבואן הנתונים, המיושמים בקשר לכל פעולות העיבוד המתוארות בנספח 1.1 של חלק 2
|
חלק 3: | מכיל את החתימות של הצדדים שיהיו מחויבים בנספח זה ומזהה כל יבואן נתונים
|
1.2 טרמינולוגיה והגדרות
למטרות נספח זה, המינוח וההגדרות המשמשים את ה-GDPR ישימים (בגוף המסמך של סעיף החוזה הסטנדרטי בחלק 2, כאשר מונחים מוגדרים אינם באותיות רישיות).
"מדינה חברה" | פירושו מדינה השייכת לאיחוד האירופי או לאזור הכלכלי האירופי
|
"קטגוריות מיוחדות של נתונים (אישיים)" | הכוונה לנתונים אישיים החושפים מוצא גזעי או אתני, דעות פוליטיות, אמונות דתיות או פילוסופיות, או חברות באיגוד מקצועי, ונתונים גנטיים, נתונים ביומטריים, אם מעובדים לצורך זיהוי ייחודי של אדם, נתונים הנוגעים לבריאות, נתונים הנוגעים למין של אדם. חיים או נטייה מינית
|
"סעיפים חוזיים סטנדרטיים" | פירושו הסעיפים החוזיים האחידים להעברת נתונים אישיים של סוכני עיבוד שהוקמה במדינות שלישיות, על פי החלטת הנציבות 2010/87/EU ב-5 בפברואר 2010, שתוקנה על ידי החלטת היישום של הנציבות (EU) 2016/2297 ב-16 ב-16. דצמבר 2016
|
"מעבד נתונים". | פירושו כל סוכן עיבוד, הממוקם בתוך או מחוץ לאיחוד האירופי/EEA, אשר מסכים לקבל מייבוא הנתונים או מכל מעבד אחר של יבואן הנתונים, נתונים אישיים למטרות בלעדיות של עיבוד פעילויות שיבוצעו על ידי יצואן הנתונים לאחר העברה בהתאם להוראות יצואן הנתונים, תנאי נספח זה וההתקשרות עם ייבוא הנתונים
|
2. חובות יצואן הנתונים
2.1 ליצואן הנתונים יש חובה להבטיח עמידה בכל ההתחייבויות החלות על פי ה-GDPR וכל חוק הגנת מידע חל אחר החל על יצואן הנתונים ולהראות ציות כאמור כנדרש בסעיף 5 (2) ל-GDPR. יצואן הנתונים מתחייב כי יבואן הנתונים השיג את הסכמתם המוקדמת של נושאי הנתונים בהתאם לסעיף 6(א) ל-GDPR ומילא את חובתו ליידע את נושאי הנתונים בהתאם לסעיפים 13 ו-14 ל-GDPR.
2.2 על יצואן הנתונים לספק ליבואן הנתונים את הקבצים המתאימים של פעילויות העיבוד בהתאם לסעיף 30 (1) של ה-GDPR הקשור לשירותים לפי נספח זה, במידה הדרושה לייבוא הנתונים כדי לעמוד בהתחייבות לפי סעיף 30 (2) ל-GDPR.
2.3 על יצואן הנתונים למנות קצין או נציג הגנת מידע במידה הנדרשת על פי חוק הגנת המידע החל. יצואן הנתונים מחויב למסור את פרטי ההתקשרות של סוכן או נציג הגנת המידע, אם קיים, לייבוא הנתונים.
2.4. יצואן הנתונים מאשר לפני השלמת העיבוד, בקבלת נספח זה, כי אמצעי האבטחה הטכניים והארגוניים של יבואן הנתונים, כמפורט בנספח 2 לחלק 2, מתאימים ומספיקים להגנה על זכויות נשוא המידע. ומאשר כי יבואן הנתונים מספק אמצעי הגנה מספקים בהקשר זה.
3. עמידה בחוק המקומי
על מנת לעמוד בדרישות היישום של סוכני העיבוד בהתאם לסעיף 28 של ה-GDPR, התיקונים הבאים חלים:
3.1 הוראות
3.2 חובות יבואן הנתונים
3.3 זכויות הנוגעים בדבר
3.4 עיבוד משנה
3.5 תפוגה
תפוגה של נספח זה זהה לתאריך התפוגה של החוזה המקביל. אלא אם נקבע אחרת בנספח זה, הזכויות והחובות הקשורות לסיום יהיו זהות לאלו הכלולות בחוזה.
4. הגבלת אחריות
4.1 כל צד מטפל בהתחייבויותיו על פי נספח זה וחקיקת הגנת המידע החלה.
4.2 כל אחריות הנוגעת להפרה של ההתחייבויות על פי נספח זה או חקיקת הגנת מידע החלה תהיה כפופה ותחול עליהן הוראות האחריות המפורטות או החלות על החוזה, למעט אם נקבע אחרת בנספח זה. אם האחריות נשלטת על ידי הוראות האחריות המפורטות או החלות על החוזה, לחישוב מגבלות אחריות או קביעת החלת מגבלות אחריות אחרות, כל אחריות הנובעת על פי נספח זה תיחשב כנובעת על פי החוזה.
5. הוראות כלליות
5.1 אם יש אי התאמה או אי התאמות בין חלקים 1 ו-2 של נספח זה, חלק 2 יגבר. באופן ספציפי, גם במקרה כזה, חלק 1 שפשוט חורג מחלק 2 (כלומר תנאי סעיפי התקן) מבלי לסתור אותו יישאר בתוקף.
5.2 אם תיווצר אי התאמה כלשהי בין הוראות נספח זה לאלו של חוזים אחרים המחייבים את הצדדים, נספח זה יגבר לגבי חובות הצדדים להגנת מידע. במקרה של ספק אם סעיפים בחוזים אחרים נוגעים לחובות של הצדדים להגנת מידע, נספח זה יגבר.
5.3 אם הוראה כלשהי בנספח זה אינה חוקית או בלתי ניתנת לאכיפה, שאר הנספח הזה יישאר בתוקף ובתוקף. ההוראה הפסולה או הבלתי ניתנת לאכיפה תתוקן (i) על מנת להבטיח את תוקפו ואכיפתה, תוך שמירה ככל האפשר על כוונת הצדדים, או - אם הדבר אינו אפשרי - (ii) תתפרש כאילו היה לחלק הפסול או הבלתי ניתן לאכיפה. מעולם לא היה חלק מהחוזה. האמור לעיל יחול גם אם יש מחדל בנספח זה.
5.5 במידת הצורך, הצדדים רשאים לבקש תיקונים לחלק 1, סעיף 3 (עמידה בחוק המקומי) או לחלקים אחרים של הנספח על מנת לציית לפרשנויות, הנחיות או צווים שהוצאו על ידי הרשויות המוסמכות של האיגוד או מדינות חברות, הוראות אכיפה לאומיות, או כל התפתחויות משפטיות אחרות הנוגעות ל-GDPR או תנאים אחרים של האצלה לגופים המעורבים בעיבוד נתונים ובמיוחד לגבי השימוש בסעיפים החוזים הסטנדרטיים ב-GDPR. אין לשנות או להחליף את תנאי הסעיפים החוזיים הסטנדרטיים אלא אם הנציבות האירופית מאשרת זאת במפורש (למשל על ידי סעיפים נאותים חדשים ותקני הגנה על נתונים).
5.6 כל התייחסות בנספח זה ל"סעיפים" תובן כמתייחסת לכל הוראות נספח זה אלא אם צוין אחרת.
5.7 ברירת הדין בחלק 2, סעיף 9 חלה על החוזה כולו.
6. נתונים אישיים המועברים ומעובדים על ידי הצדדים למטרות אישיות (העברה מבוקר הנתונים לבקר הנתונים)
6.1 הצדדים יודעים היטב כי נתונים אישיים מסוימים יועברו מיצואן הנתונים לייבוא הנתונים ולהיפך, וכי נתונים אלו מעובדים על ידי כל צד למטרותיו. לגבי נתונים אישיים כאלה, אין זה משפיע על שאר ההוראות של נספח זה (למעט סעיף 6 זה).
6.2 יצואן הנתונים רשאי להעביר ליבואן הנתונים נתונים אישיים הנוגעים לצוות יבואן הנתונים, לרבות מידע על אירועי אבטחה, או כל מסמך או קובץ אחר שנוצר או הוקם על ידי יצואן הנתונים בקשר לשירותים הניתנים על ידי צוות החברה. יבואן הנתונים. יבואן הנתונים רשאי לעבד נתונים אישיים כאמור למטרותיו, בפרט ביחסיו המקצועיים עם אנשי יבואן הנתונים, לצורך בקרת איכות והדרכה, או למטרות עסקיות.
6.3. יבואן הנתונים רשאי להעביר נתונים אישיים ליצואן הנתונים, לרבות השם ופרטי ההתקשרות של אנשי יבואן הנתונים. יצואן הנתונים רשאי לעבד נתונים אישיים אלה למטרותיו.
6.4 שני הצדדים יצייתו לכל חוקי הגנת המידע החלים, לרבות ה-GDPR, באיסוף, עיבוד ושימוש בנתונים אישיים כאלה שהתקבלו מהצד השני במסגרת סעיף 1 של חלק 1. בפרט, שני הצדדים ינקטו אמצעי אבטחה נאותים, בתנאי רמת הגנה דומה לאמצעי האבטחה המפורטים בנספח 2 של חלק 2. כל גישה לנתונים אישיים כאמור תוגבל לצורך לדעת אותם.
6.5 על שני הצדדים למחוק נתונים אישיים כאלה בהקדם האפשרי לאחר שהמטרות הושגו.
חלק 2
החלטת הועדה
ב-5 בפברואר 2010
על סעיפים חוזיים סטנדרטיים להעברת נתונים אישיים למעבדי נתונים הממוקמים במדינות צד שלישי לפי הוראת 95/46/EC של הפרלמנט האירופי והמועצה
סעיף 1
הגדרות
כמשמעות הסעיפים:
א) 'נתונים אישיים', 'קטגוריות מיוחדות של נתונים', 'עיבוד/עיבוד', 'בקר', 'מעבד', 'נושא מידע' ו'רשות מפקחת' יהיו בעלי אותה משמעות כמו ב-95/46/EC הוראה של הפרלמנט האירופי ושל המועצה מה-24 באוקטובר 1995 בדבר הגנה על יחידים בנוגע לעיבוד נתונים אישיים ועל תנועה חופשית של נתונים כאלה (1);
ב) 'ייצואן הנתונים' הוא בקר הנתונים המעביר את הנתונים האישיים;
ג) 'יבואן הנתונים' הוא מעבד הנתונים המסכים לקבל מיצואן הנתונים נתונים אישיים המיועדים לעיבוד מטעם יצואן הנתונים לאחר ההעברה בהתאם להוראותיו ולפי תנאי סעיפים אלה ושאיננו בכפוף למנגנון של מדינה שלישית המבטיח הגנה נאותה במשמעות של סעיף 25(1) של הוראה 95/46/EC; (ד) 'מעבד נתונים' פירושו מעבד הנתונים המועסק על ידי יבואן הנתונים או על ידי כל מעבד נתונים אחר של יבואן הנתונים אשר מסכים לקבל מייבוא הנתונים או מכל מעבד נתונים אחר של יבואן הנתונים נתונים אישיים אך ורק לצורך עיבוד פעילויות ל להתבצע מטעם יצואן הנתונים לאחר ההעברה בהתאם להוראות יצואן הנתונים,
ה) "חוק הגנת מידע החל" פירושו החקיקה המגנה על זכויות היסוד וחירויות הפרט, לרבות הזכות לפרטיות בנוגע לעיבוד נתונים אישיים, והחלה על בקר במדינה החברית שבה מוקם יצואן הנתונים;
ו) "אמצעים טכניים וארגוניים הקשורים לאבטחה" פירושם אמצעים שנועדו להגן על נתונים אישיים מפני השמדה בשוגג או בלתי חוקי או אובדן, שינוי, חשיפה או גישה בלתי מורשית, בפרט כאשר העיבוד כרוך בהעברת נתונים דרך רשתות, וכנגד כל צורות עיבוד בלתי חוקיות אחרות.
סעיף 2
פרטי ההעברה
פרטי ההעברה, לרבות, במידת הצורך, קטגוריות מיוחדות של נתונים אישיים, מפורטים בנספח 1, המהווה חלק בלתי נפרד מסעיפים אלה.
סעיף 3
סעיף מוטב צד שלישי
1. נושא הנתונים רשאי לאכוף כנגד יצואן הנתונים את סעיף זה, סעיף 4(ב) עד (i), סעיף 5(א) עד (ה) ו-(ז) עד (י), סעיף 6 (1) ו-(2). ), סעיף 7, סעיף 8(2) וסעיפים 9 עד 12 כמוטב צד שלישי
2. נושא הנתונים רשאי לאכוף סעיף זה, סעיף 5 (א) עד (ה) ו-(ז), סעיף 6, סעיף 7, סעיף 8 (2) וסעיפים 9 עד 12 כנגד ייבוא הנתונים כאשר ליצואן הנתונים יש פיזית נעלם או חדל להתקיים בחוק, אלא אם כל התחייבויותיו המשפטיות הועברו, על פי חוזה או על פי דין, לגורם המחליף, אשר לפיכך חוזרות אליו זכויות וחובותיו של יצואן הנתונים, וכנגדו הנתונים. לפיכך הנבדק יכול לאכוף את הסעיפים האמורים.
נושא הנתונים רשאי לאכוף סעיף זה, סעיף 5 (א) עד (ה) ו-(ז), סעיף 6, סעיף 7, סעיף 8 (2) וסעיפים 9 עד 12 כנגד מעבד הנתונים, אך רק במקרים בהם הנתונים היצואן וייבוא הנתונים נעלמו פיזית, חדלו להתקיים על פי חוק או הפכו לחדלות פירעון, אלא אם הועברו כל ההתחייבויות המשפטיות של יצואן הנתונים, על פי חוזה או על פי דין, ליורש החוקי, שלו הזכויות והזכויות. מחויבויותיו של יצואן הנתונים מוקנות אפוא, ואשר נשוא הנתונים רשאי לאכוף נגדו סעיפים כאלה. אחריות כזו של מעבד הנתונים חייבת להיות מוגבלת לפעילויות העיבוד שלו על פי סעיפים אלה.
4. הצדדים אינם מתנגדים לכך שהנושא יוצג על ידי עמותה או גוף אחר אם ירצה בכך ואם החוק הלאומי מאפשר זאת.
סעיף 4
חובות יצואן הנתונים
יצואן הנתונים מקבל ומבטיח את הדברים הבאים:
א) העיבוד, לרבות העברת הנתונים האישיים בפועל, בוצע וימשיך להתבצע בהתאם להוראות הרלוונטיות של חוק הגנת המידע החל (ובמקרה רלוונטי, נמסר לרשויות המוסמכות של המדינה החברית שבו מבוסס יצואן הנתונים) ואינו מפר את ההוראות הרלוונטיות של אותה מדינה;
ב) הם הורו, וידריכו במשך כל תקופת שירותי עיבוד הנתונים האישיים, ליבואן הנתונים לעבד את הנתונים האישיים המועברים בשמו הבלעדי של יצואן הנתונים ובהתאם לחוק הגנת המידע החל וסעיפים אלה;
ג) יבואן הנתונים יספק אמצעי הגנה מספקים לגבי אמצעי האבטחה הטכניים והארגוניים המפורטים בנספח 2 לחוזה זה;
ד) לאחר הערכה של הדרישות של חוק הגנת המידע החל, אמצעי האבטחה מתאימים כדי להגן על נתונים אישיים מפני הרס מקרי או בלתי חוקי או אובדן, שינוי, חשיפה לא מורשית או גישה, בפרט כאשר העיבוד כרוך בהעברת נתונים דרך רשת, וכנגד כל צורות עיבוד בלתי חוקיות אחרות ולהבטיח רמת אבטחה המתאימה לסיכונים שמייצגים העיבוד ולאופי הנתונים שיש להגן עליהם, בהתחשב ברמת הטכנולוגיה ובעלות היישום;
ה) הם יבטיחו עמידה באמצעי האבטחה;
ו) אם ההעברה מתייחסת לקטגוריות מיוחדות של נתונים, נמסר או יודיע לנושא הנתונים לפני ההעברה, או בהקדם האפשרי לאחר ההעברה כי ייתכן שהנתונים שלו יועברו למדינה שלישית שאינה מציעה. רמת הגנה נאותה כמשמעותה של הוראה 95/46/EC;
ז) הם יעבירו כל הודעה שתתקבל מייבוא הנתונים או מכל מעבד נתונים לפי סעיפים 5 (ב) ו-8 (3) לרשות הפיקוח על הגנת המידע אם היא תחליט להמשיך להעביר או להסיר את השעייתה;
ח) הם יעמידו לרשות נושאי המידע, אם יבקשו זאת, עותק של סעיפים אלה, למעט נספח 2, ותיאור תמצית של אמצעי האבטחה, והעתק של כל הסכם קבלנות משנה נוסף, שנחתם לפי סעיפים אלה, אלא אם כן סעיפים או ההסכם מכילים מידע מסחרי, ובמקרה זה הוא רשאי למשוך מידע כאמור;
i) במקרה של קבלנות משנה לתהליך עיבוד הנתונים, פעילות העיבוד מבוצעת בהתאם לסעיף 11 על ידי מעבד נתונים המספק לפחות את אותה רמת הגנה על נתונים אישיים וזכויות נושא המידע כמו יבואן הנתונים לפי סעיפים אלה ; ו
י) היא תבטיח עמידה בסעיף 4 (א) עד (i).
סעיף 5
חובות יבואן הנתונים
יבואן הנתונים מקבל ומבטיח את הדברים הבאים:
א) הם יעבדו את הנתונים האישיים רק מטעם יצואן הנתונים ועל פי הוראות יצואן הנתונים וסעיפים אלה; אם אין באפשרותו לציית מסיבה כלשהי, הם מסכימים להודיע ליצואן הנתונים על אי יכולתו בהקדם האפשרי, ובמקרה זה יצואן הנתונים רשאי להשעות את העברת הנתונים ו/או לסיים את החוזה;
ב) אין להם סיבה להאמין שהדין החל עליהם מונע ממנו למלא את ההוראות שנתן יצואן הנתונים ואת ההתחייבויות המוטלות עליו על פי החוזה, ואם דין זה נתון לשינוי שעלול להשפיע לרעה מהותית. השפעה על האחריות וההתחייבויות לפי הסעיפים, יודיע ליצואן הנתונים על השינוי ללא דיחוי לאחר שנודע לו, ובמקרה זה רשאי יצואן הנתונים להשעות את העברת הנתונים ו/או לסיים את ההתקשרות; (ג) הם יישמו את אמצעי האבטחה הטכניים והארגוניים המפורטים בנספח 2 לפני עיבוד הנתונים האישיים שהועברו;
ד) הם יודיעו ליצואן הנתונים ללא דיחוי:
ט) כל בקשה מחייבת לגילוי נתונים אישיים מרשות אכיפת חוק, אלא אם צוין אחרת, כגון איסור פלילי שמטרתו לשמור על סודיות חקירה משטרתית;
ii) כל גישה מקרית או בלתי מורשית; ו
iii) כל בקשה שהתקבלה ישירות מהאנשים הנוגעים בדבר מבלי להשיב לה אלא אם כן הוסמך לכך; מנהלים
ה) הם יטפלו באופן מיידי וראוי בכל פנייה של יצואן הנתונים בנוגע לעיבודו בנתונים האישיים המועברים ויפעלו על פי חוות דעתה של רשות הפיקוח לגבי עיבוד הנתונים המועברים;
ו) לבקשת יצואן הנתונים, הם יעבירו את מתקני עיבוד הנתונים שלו לביקורת של פעילויות העיבוד המכוסות בסעיפים אלה שתבוצע על ידי יצואן הנתונים או גוף מפקח המורכב מחברים עצמאיים בעלי הכישורים המקצועיים הנדרשים. בכפוף לחובת סודיות ונבחר על ידי יצואן הנתונים, במידת הצורך בהסכמת רשות הפיקוח;
ז) הם יעמידו לרשות נשוא המידע, אם יבקש זאת, עותק של סעיפים אלה, או כל קבלני משנה קיים של חוזה עיבוד הנתונים, אלא אם הסעיפים או החוזה מכילים מידע מסחרי, ובמקרה זה הוא רשאי להסיר אותו. מידע, למעט נספח 2, אשר יוחלף בתיאור מסכם של אמצעי האבטחה, כאשר נשוא המידע אינו יכול לקבל עותק מיצואן הנתונים;
ח) במקרה של קבלנות משנה חסויה נוספת בעיבוד הנתונים, ידאג ליידע את יצואן הנתונים מראש ולקבל את הסכמת יצואן הנתונים בכתב;
i) שירותי העיבוד הניתנים על ידי מעבד הנתונים יתאימו לסעיף 11;
י) הם ישלחו מיידית עותק של כל קבלנות משנה של הסכם עיבוד הנתונים שנחתם על ידה במסגרת סעיפים אלה ליצואן הנתונים.
סעיף 6
אַחֲרָיוּת
1. הצדדים מסכימים כי כל נושא מידע שנגרם לו נזק עקב הפרת ההתחייבויות האמורות בסעיף 3 או סעיף 11 על ידי צד אחד או על ידי מעבד נתונים רשאי לקבל פיצוי מיצואן הנתונים עבור הנזק שנגרם.
2. אם נשוא המידע נמנע מלהגיש תביעה לפיצויים כאמור בסעיף 1 נגד יצואן הנתונים בגין אי עמידה של יבואן הנתונים או מעבד הנתונים שלו בכל אחת מהתחייבויותיו לפי סעיף 3 או סעיף 11, משום שהנתונים היצואן נעלם פיזית, חדל להתקיים בחוק או הפך לחדל פירעון, יבואן הנתונים מסכים כי נשוא הנתונים רשאי להגיש נגדו תלונה כאילו היה יצואן הנתונים אלא אם הועברו כל ההתחייבויות המשפטיות של יצואן הנתונים, בחוזה או על פי דין, לישות היורשת שלה, אשר נגדה יוכל נושא המידע לאכוף את זכויותיו. יבואן הנתונים אינו רשאי להסתמך על הפרת התחייבויותיו על ידי מעבד נתונים כדי להימנע מאחריותו שלו.
3. אם נשוא המידע נמנע מלהגיש את התביעה האמורה בסעיפים 1 ו-2 נגד יצואן הנתונים או יבואן הנתונים בגין הפרת התחייבויותיו לפי סעיף 3 או סעיף 11 על ידי מעבד הנתונים, משום שיצואן הנתונים וייבוא הנתונים. נעלמו פיזית, חדלו להתקיים בחוק או הפכו לחדלות פירעון, מעבד הנתונים מסכים כי נשוא המידע רשאי להגיש נגדו תלונה בנוגע לפעילות העיבוד שלו בהתאם לסעיפים אלה כאילו היה יצואן הנתונים או יבואן הנתונים, אלא אם כן כל חובותיו המשפטיות של יצואן הנתונים או יבואן הנתונים הועברו, על פי חוזה או על פי דין, ליורש המשפטי, שכנגדו יוכל נושא המידע לטעון את זכויותיו.אחריותו של מעבד הנתונים חייבת להיות מוגבלת לפעילויות העיבוד שלו בהתאם לסעיפים אלה.
סעיף 7
גישור וסמכות שיפוט
1. יבואן הנתונים מסכים כי אם על פי הסעיפים, נושא המידע יפעיל כלפיו את זכותו של מוטב הצד השלישי ו/או ידרוש פיצוי בגין הפגיעות הקדומות שנגרמו לו, הוא יקבל את החלטת נושא המידע:
א) להגיש את הסכסוך לגישור על ידי אדם עצמאי או, לפי העניין, רשות הפיקוח;
ב) להביא את המחלוקת בפני בתי המשפט של המדינה החברית שבה יושב יצואן הנתונים.
2. הצדדים מסכימים כי הבחירה שנעשה על ידי נושא המידע לא תשפיע על זכותו הפרוצדורלית או המהותית של נשוא המידע לקבל תיקון בהתאם להוראות אחרות של המשפט הלאומי או הבינלאומי.
סעיף 8
שיתוף פעולה עם רשויות הפיקוח
1. יצואן הנתונים מסכים להפקיד עותק של החוזה הנוכחי אצל רשות הפיקוח אם זו תדרוש זאת או אם הפקדה כזו נקבעת בחוק הגנת המידע החל.
2. הצדדים מסכימים כי רשות הפיקוח רשאית לבצע בדיקות אצל יבואן הנתונים ובכל מעבד נתונים באותה מידה ובאותם תנאים כמו בבדיקות המתבצעות ביצואן הנתונים בהתאם לחוק הגנת המידע החל.
3. יבואן הנתונים יודיע ליצואן הנתונים בהקדם האפשרי על קיומה של חקיקה הנוגעת ליבואן הנתונים או כל מעבד מידע המונע אימות אצל יבואן הנתונים או בכל מעבד נתונים בהתאם לסעיף 2. במקרה כזה, יצואן נתונים רשאי לנקוט באמצעים המפורטים בסעיף 5 (ב).
סעיף 9
חוק ישים
הסעיפים חלים והם כפופים לחוק של המדינה החברית שבה יושב יצואן הנתונים.
סעיף 10
שינוי החוזה
הצדדים מתחייבים שלא לשנות את הסעיפים הנוכחיים. הצדדים נותרים חופשיים לכלול סעיפים מסחריים אחרים שהם רואים בהם צורך, ובלבד שאינם סותרים את הסעיפים הנוכחיים.
סעיף 11
קבלנות משנה לאחר מכן
1. יבואן הנתונים לא יקבל בקבלנות משנה אף אחת מפעולות העיבוד שלו המבוצעות מטעם יצואן הנתונים לפי סעיפים אלה ללא הסכמה מראש ובכתב של יצואן הנתונים. יבואן הנתונים יקבל בקבלנות משנה את התחייבויותיו לפי סעיפים אלה, בהסכמת יצואן הנתונים, באמצעות הסכם בכתב עם מעבד הנתונים המטיל על מעבד הנתונים את אותן החובות המוטלות על יבואן הנתונים לפי סעיפים אלה. אם מעבד הנתונים אינו יכול לעמוד בהתחייבויותיו להגנת המידע על פי אותו הסכם בכתב, ייבוא הנתונים יישאר באחריות מלאה כלפי יצואן הנתונים למילוי התחייבויות אלו.
2. ההסכם המוקדם בכתב בין יבואן הנתונים למעבד הנתונים יכלול גם סעיף מוטב צד ג' כמפורט בסעיף 3 למקרים שבהם נשוא המידע מנוע מלהגיש את תביעת הנזק האמורה בסעיף 6 (1). ), כנגד יצואן הנתונים או יבואן הנתונים משום שיצואן הנתונים או יבואן הנתונים נעלמו פיזית, חדלו להתקיים על פי חוק או הפכו לחדלות פירעון וכל ההתחייבויות המשפטיות של יצואן הנתונים או יבואן הנתונים לא הועברו, בחוזה או בפעולה בחוק, לגורם ממשיך אחר. אחריות מעבד הנתונים חייבת להיות מוגבלת לפעילויות העיבוד שלו בהתאם לסעיפים אלה.
3. ההוראות המתייחסות להיבטי הגנת הנתונים של קבלנות משנה לעיבוד הנתונים של החוזה הנזכר בפסקה 1, יהיו כפופים לחוק של המדינה החברית שבה פועל יצואן הנתונים.
4. יצואן הנתונים יחזיק רשימה של קבלני המשנה של הסכמי עיבוד הנתונים שנכרתו על פי סעיפים אלה ועל כך יודיעו על ידי יבואן הנתונים בהתאם לסעיף 5(י), אשר תעודכן לפחות אחת לשנה. רשימה זו תוגש לרשות הפיקוח על הגנת הנתונים של יצואן הנתונים.
סעיף 12
חובה לאחר הפסקת שירותי עיבוד נתונים אישיים
1. הצדדים מסכימים כי עם השלמת שירותי עיבוד הנתונים, ייבוא הנתונים ומעבד הנתונים יחזירו ליצואן הנתונים, בנוחות של יצואן הנתונים, את כל הנתונים האישיים שהועברו והעתקים שלהם, או ישמידו את כל הנתונים האמורים ויספקו הוכחות. ההשמדה ליצואן הנתונים, אלא אם כן חקיקה שהוטלה על יבואן הנתונים מונעת ממנו להחזיר או להרוס את כל הנתונים האישיים שהועברו או חלקם. במקרה זה, יבואן הנתונים מבטיח כי יבטיח את סודיות הנתונים האישיים המועברים וכי לא יעבד את הנתונים באופן פעיל.
2. יבואן הנתונים ומעבד הנתונים יבטיחו כי אם יבקשו זאת יצואן הנתונים ו/או הרשות המפקחת, יעמידו את אמצעי עיבוד הנתונים שלהם לאימות האמצעים האמורים בסעיף 1.
נספח 1.1 לחלק 2
פרטי ההעברה
ייצואן נתונים
יצואן הנתונים הוא הלקוח המוגדר בהסכם החוזי.
יבואן נתונים
יבואן הנתונים הוא IQUALIF והוא מופקד לעבד את הנתונים, לספק שירותים ליצואן הנתונים.
נושאי הנתונים
הנתונים האישיים המועברים נוגעים לקטגוריות הבאות של נושאי מידע:
מנויי טלפון הרשומים בספרייה האוניברסלית
˜ אחרים, כולל:
קטגוריות של נתונים
הנתונים האישיים המועברים נוגעים לקטגוריות הנתונים הבאות:
קטגוריות של נתונים אישיים של נושאי הנתונים של יצואן הנתונים בפרט,
˜' שם מלא
˜' כתובת דואר
פרטי התקשרות (אימייל, טלפון, כתובת IP וכו')
˜' פירוט הפעילות השיווקית הנוגעת למנוי הטלפון
"אחרים, כולל סוג הדיור, ההכנסה והגילאים הממוצעים על ידי העיר שנעשו בעילום שם
קטגוריות מיוחדות של נתונים (אם רלוונטי)
הנתונים האישיים המועברים נוגעים לקטגוריות המיוחדות הבאות של נתונים:
˜' העברת קטגוריות מיוחדות של נתונים לא צפויה
גזע או מוצא אתני
אמונות דתיות או פילוסופיות
˜ חברות באיגוד מקצועי
˜ דעות פוליטיות
˜ מידע גנטי
˜ מידע ביומטרי
˜ מידע על נטייה מינית או חיי מין
˜ נתוני בריאות
פעילויות עיבוד
הנתונים האישיים המועברים יהיו כפופים לפעולות העיבוד הבסיסיות הבאות:
העיבוד המתבצע מטעם יצואן הנתונים מבוסס על הנושאים הבאים, בפרט:
˜' לקיחת אחריות על המוצרים או השירותים המוצעים על ידי יצואן הנתונים
˜' ההצעה של מוצר או שירות שהאדם שנקרא יכול לבקש
הזמנות שנלקחו מהאנשים שנקראו ועיבוד נוסף של הזמנות אלו
לימוד שאלונים וניתוחים
˜' טלמרקטינג
˜ אחרים, כולל:
יבואן הנתונים מעבד את הנתונים האישיים של נושאי המידע מטעם יצואן הנתונים, על מנת לספק את השירותים הבאים, ובעיקר:
˜' מכירות ושיווק
"אחרים, כולל עדכון מאגרי מידע של בתי עירייה ומפלגות פוליטיות
IQUALIF בעיקר משלבת, מרכזת ומספקת שירותים ליצואן הנתונים. השירותים הניתנים על ידי ספק השירות הנ"ל עשויים להיות בנויים (בין היתר לפי העניין) סביב השירותים הנלווים הבאים: (i) אספקת יישומים, כלים, מערכות ותשתיות IT ביחס למרכזי עיבוד הנתונים המשמשים, על מנת לספק ולתמוך בשירותים, לרבות עיבוד הנתונים האישיים של נושאי הנתונים כמתואר לעיל, באמצעות יישומים, כלים ומערכות כאמור, (ii) אספקת תמיכת IT, תחזוקה ושירותים אחרים הקשורים ליישומים, כלים, מערכות כאלה. ותשתית IT, לרבות גישה אפשרית לנתונים אישיים המאוחסנים ביישומים, כלים ומערכות כאלה, וכן (iii) אספקת שירותי הגנת נתונים, ניטור הגנה ושירותי תגובה לאירועים, כולל גישה אפשרית לנתונים אישיים בעת מתן שירותי הגנה כאלה. IQUALIF עשויה להעסיק מעבדי נתונים כמפורט להלן כדי לספק את השירותים, לרבות שירותים נלווים.
IQUALIF מעסיקה ספקי שירותים חיצוניים וצדדים שלישיים, שאינם חברות בת של IQUALIF, כדי לתמוך במתן שירותים ליצואן הנתונים. יצואן הנתונים מאשר ספקי שירותים חיצוניים כאלה של צד שלישי כישויות משנה המוקצות לעיבוד נתונים.
אם ישות משנה המעורבת בעיבוד נתונים ממוקמת מחוץ לאיחוד האירופי/EEA, במדינה הנחשבת לא בעלת רמה נאותה של הגנת מידע לפי החלטת הנציבות האירופית, ייבוא הנתונים ינקוט בצעדים להשגת רמה נאותה של הגנת מידע בהתאם ל-GDPR ולסעיף 3.4 (iv) של חלק 1.
נספח 2, חלק 2
אמצעי הגנה טכניים וארגוניים
יבואן הנתונים ינקוט באמצעי ההגנה הטכניים והארגוניים הבאים שאושרו על ידי יצואן הנתונים, על מנת להבטיח רמת אבטחה מתאימה לזכויות וחירויות של יחידים, בהתאם לסיכונים. בהערכת רמת ההגנה הנוגעת בדבר, יצואן הנתונים שקל, במיוחד, את הסיכונים הכרוכים בעיבוד, לרבות השמדה, שינוי, חשיפה לא מורשית או גישה לנתונים אישיים שנשלחו, מאוחסנים או מעובדים בשוגג או בלתי חוקי. בהבהרה: אמצעי הגנה טכניים וארגוניים אלו אינם חלים על היישומים, הכלים, המערכות ו/או תשתית ה-IT המסופקים על ידי יצואן הנתונים.
1 אמצעי הגנה טכניים וארגוניים כלליים |
1.1 מידע כללי ואסטרטגיות להגנה על נתונים |
יש לנקוט את הצעדים הבאים כדי לעקוב אחר אסטרטגיות כלליות להגנה על נתונים ומידע: |
|
|
|
|
|
1.2 ארגון הגנת המידע |
יש לנקוט באמצעים הבאים על מנת לתאם את פעילויות הגנת מידע ומידע: |
|
|
|
1.3 בקרת גישה לאזורי עיבוד |
יש לנקוט באמצעים הבאים כדי למנוע מאנשים בלתי מורשים לקבל גישה למערכות עיבוד נתונים (בפרט תוכנה וחומרה) כאשר נתונים אישיים מעובדים, מאוחסנים או מועברים: |
|
|
|
|
1.4 בקרת גישה למערכות עיבוד נתונים |
יש לנקוט באמצעים הבאים על מנת למנוע גישה בלתי מורשית למערכות עיבוד נתונים: |
|
|
|
|
|
|
1.5 שליטה בגישה לתחומי שימוש מסוימים של מערכות עיבוד נתונים |
יש לנקוט באמצעים הבאים כדי להבטיח שאנשים מורשים בעלי זכות שימוש במערכת עיבוד הנתונים יוכלו לגשת רק לנתונים במסגרת אחריותם והרשאות הגישה שלהם, ושלא ניתן לקרוא, להעתיק, לשנות או למחוק נתונים אישיים ללא הרשאה: |
|
|
|
|
|
|
|
1.6 בקרת הילוכים |
יש לנקוט באמצעים הבאים על מנת למנוע קריאה, העתקה, שינוי או מחיקה של נתונים אישיים על ידי צדדים שלישיים לא מורשים במהלך שידור או העברה של התקני אחסון נתונים (בהתאם לעיבוד הנתונים האישיים שבוצעו): |
|
|
|
1.7 בקרת הזנת נתונים |
יש לנקוט באמצעים הבאים כדי להבטיח שניתן לאמת ולקבוע האם הוכנסו או נמחקו נתונים אישיים ממערכות עיבוד נתונים ועל ידי מי: |
|
|
1.8 בקרת עבודה |
במקרה של עיבוד מואצל של נתונים אישיים, יש לנקוט באמצעים הבאים על מנת להבטיח עיבוד נתונים כאמור בהתאם להנחיות המפקח: |
|
|
|
|
1.9 הפרדה מעיבוד למטרות אחרות |
יש לנקוט באמצעים הבאים כדי להבטיח שניתן יהיה לעבד בנפרד נתונים שנאספו למטרות אחרות: |
|
|
1.10 פסאודונימיזציה |
יש לנקוט את האמצעים הבאים בנוגע לפסוודונימיזציה של נתונים אישיים: |
|
|
1.11 הצפנה |
יש לנקוט בצעדים הבאים כדי להצפין נתונים אישיים באפליקציות ותשדורות התומכות בהצפנה:
|
|
|
1.12 שלמות מערכות ושירותי עיבוד נתונים |
יש לנקוט באמצעים הבאים על מנת להבטיח את שלמותם של מערכות ושירותי עיבוד נתונים: |
|
|
|
1.13 זמינות מערכות ושירותי עיבוד נתונים ואפשרות לשחזר גישה ושימוש בנתונים אישיים במקרה של אירוע מהותי או טכני |
יש לנקוט באמצעים הבאים על מנת להבטיח את זמינותן של מערכות עיבוד נתונים, וכן על מנת להיות מסוגל לשחזר במהירות את הזמינות והגישה לנתונים אישיים, במקרה של אירוע מהותי או טכני (במיוחד על ידי הבטחת נתונים אישיים מוגנים מפני השמדה או אובדן בשוגג): |
|
|
|
|
|
|
|
1.14 חוסן של מערכות ושירותי עיבוד נתונים |
יש לנקוט באמצעים הבאים כדי להבטיח את חוסנם של מערכות ושירותי עיבוד נתונים: |
|
|
|
1.15 נוהל לבדיקה, הערכה והערכת יעילות של אמצעים טכניים וארגוניים כדי להבטיח את אבטחת עיבוד הנתונים |
נוהל לבדיקה, הערכה והערכת היעילות של אמצעים טכניים וארגוניים להגנה על עיבוד נתונים באופן קבוע. |
|
|
|
חלק 3
חתימות הצדדים ורשימת יבואני הנתונים
כאשר אתה ממלא את טופס ההזמנה המקוון ומאמת אותו על ידי סימון התיבה המקבלת את התנאים וההגבלות הכלליים, נוצר החוזה המסדיר את היחסים בין הלקוח לבין IQUALIF.
שליחת התשלום ל-IQUALIF תשקול את החוזה שסוכם ונקבע.
שימו לב: טקסט זה תורגם מצרפתית. הגרסה הצרפתית המקורית, שהיא תקפה ומגבילה מבחינה משפטית, זמינה כאן .