Lampiran ini merupakan bagian yang tidak terpisahkan dari Kontrak dan ditandatangani oleh:
Masing-masing menjadi " Pihak " dan umumnya " Pihak ".
Pembukaan
DI MANA Pengimpor Data menyediakan layanan perangkat lunak profesional, komputer, dan layanan terkait (seperti browser dengan fungsi pencarian lanjutan);
DIMANA sesuai dengan Kontrak, Pengimpor Data telah setuju untuk memberikan kepada Pengekspor Data layanan yang ditentukan dalam Kontrak (" Layanan ");
DIMANA, dengan menyediakan Layanan, Pengimpor Data menerima atau memperoleh manfaat dari akses ke informasi Pengekspor Data atau informasi orang lain yang memiliki hubungan (potensial) dengan Pengekspor Data, informasi tersebut dapat dikualifikasikan sebagai data pribadi dalam pengertian Peraturan (EU) 2016/679 Parlemen Eropa dan Dewan 27 April 2016 tentang perlindungan individu terkait pemrosesan data pribadi dan pergerakan bebas data tersebut (" GDPR ") dan undang-undang perlindungan data lain yang berlaku.
DI MANA Lampiran ini berisi syarat dan ketentuan yang berlaku untuk pengumpulan, pemrosesan, dan penggunaan data pribadi tersebut oleh Pengimpor Data dalam kapasitasnya sebagai agen pemrosesan data resmi dari Pengekspor Data, untuk memastikan bahwa Para Pihak mematuhi undang-undang perlindungan data yang berlaku .
OLEH KARENA ITU, dan untuk memungkinkan Para Pihak melanjutkan hubungan mereka secara sah, Para Pihak telah menyimpulkan Lampiran ini sebagai berikut:
Bagian 1
1. Struktur dokumen dan definisi
1.1 Struktur
Lampiran ini terdiri dari beberapa bagian sebagai berikut:
Bagian 1: | berisi ketentuan umum, misalnya mengenai definisi yang digunakan dalam Lampiran ini, kepatuhan terhadap hukum setempat, waktu, dan penghentian
|
Bagian 2: | berisi isi dokumen Klausul Kontrak Standar yang belum diubah
|
Lampiran 1.1 Bagian 2: | berisi perincian operasi pemrosesan yang diberikan oleh Pengimpor Data kepada Pengekspor Data sebagai agen pemrosesan data resmi (termasuk pemrosesan, sifat, dan tujuan pemrosesan, jenis data pribadi, dan kategori subjek data) berdasarkan ini Lampiran
|
Lampiran 2 Bagian 2: | berisi uraian tentang langkah-langkah keamanan teknis dan organisasi Pengimpor Data, yang diterapkan sehubungan dengan semua aktivitas pemrosesan yang dijelaskan dalam Lampiran 1.1 Bagian 2
|
Bagian 3: | berisi tanda tangan Para Pihak yang akan diikat oleh Lampiran ini dan mengidentifikasi setiap Pengimpor Data
|
1.2 Terminologi dan definisi
Untuk tujuan Apendiks ini, terminologi dan definisi yang digunakan oleh GDPR dapat diterapkan (Dalam isi dokumen Klausul Kontrak Standar di Bagian 2, di mana istilah yang didefinisikan tidak dikapitalisasi).
"Negara anggota" | berarti negara milik Uni Eropa atau Wilayah Ekonomi Eropa
|
"Kategori khusus data (pribadi)" | mengacu pada data pribadi yang mengungkapkan asal ras atau etnis, pendapat politik, keyakinan agama atau filosofi, atau keanggotaan serikat pekerja, dan data genetik, data biometrik, jika diproses untuk tujuan mengidentifikasi seseorang secara unik, data mengenai kesehatan, data mengenai jenis kelamin seseorang kehidupan atau orientasi seksual
|
"Klausul Kontrak Standar" | berarti Klausul Kontrak Standar untuk mentransfer data pribadi agen pemrosesan yang ditetapkan di negara ketiga, berdasarkan Keputusan Komisi 2010/87/EU pada tanggal 5 Februari 2010, yang diubah dengan Keputusan Pelaksanaan Komisi (EU) 2016/2297 pada tanggal 16 Desember 2016
|
œPengolah data | berarti agen pemroses mana pun, yang berada di dalam atau di luar UE/EEA, yang setuju untuk menerima dari Pengimpor Data atau pemroses Pengimpor Data lainnya, data pribadi untuk tujuan eksklusif aktivitas pemrosesan yang akan dilakukan oleh Pengekspor Data setelah transfer sesuai dengan instruksi Pengekspor Data, ketentuan Lampiran ini dan Kontrak dengan Pengimpor Data
|
2. Kewajiban Eksportir Data
2.1 Pengekspor Data memiliki kewajiban untuk memastikan kepatuhan terhadap semua kewajiban yang berlaku berdasarkan GDPR dan undang-undang perlindungan data lain yang berlaku yang berlaku untuk Pengekspor Data dan untuk menunjukkan kepatuhan seperti yang disyaratkan oleh Pasal 5 (2) GDPR. Eksportir Data menjamin bahwa Pengimpor Data telah memperoleh persetujuan sebelumnya dari subjek data sesuai dengan Pasal 6 (a) GDPR dan telah memenuhi kewajibannya untuk menginformasikan subjek data sesuai dengan Pasal 13 dan 14 GDPR.
2.2 Eksportir Data harus memberikan kepada Pengimpor Data masing-masing file dari aktivitas pemrosesan sesuai dengan Pasal 30 (1) GDPR terkait dengan Layanan berdasarkan Apendiks ini, sejauh yang diperlukan bagi Pengimpor Data untuk mematuhi kewajiban berdasarkan Pasal 30 (2) GDPR.
2.3 Eksportir Data harus menunjuk petugas atau perwakilan perlindungan data sejauh yang disyaratkan oleh undang-undang perlindungan data yang berlaku. Eksportir Data wajib memberikan rincian kontak agen atau perwakilan perlindungan data, jika ada, kepada Pengimpor Data.
2.4. Pengekspor Data mengonfirmasikan sebelum penyelesaian pemrosesan, dengan menerima Lampiran ini, bahwa langkah-langkah keamanan teknis dan organisasi Pengimpor Data, sebagaimana ditetapkan dalam Lampiran 2 hingga Bagian 2, sesuai dan memadai untuk melindungi hak-hak subjek data. dan mengonfirmasikan bahwa Pengimpor Data memberikan perlindungan yang memadai dalam hal ini.
3. Kepatuhan terhadap hukum setempat
Untuk memenuhi persyaratan penerapan agen pemrosesan yang mengikuti Pasal 28 GDPR, amandemen berikut berlaku:
3.1 Instruksi
3.2 Kewajiban Importir Data
3.3 Hak-hak orang yang bersangkutan
3.4 Sub-pemrosesan
3.5 Kedaluwarsa
Berakhirnya Lampiran ini sama dengan tanggal berakhirnya Kontrak yang bersangkutan. Kecuali ditentukan lain dalam Lampiran ini, hak dan kewajiban yang berkaitan dengan pemutusan hubungan kerja harus sama dengan yang tercantum dalam Kontrak.
4. Batasan Tanggung Jawab
4.1 Masing-masing pihak menangani kewajibannya berdasarkan Lampiran ini dan undang-undang perlindungan data yang berlaku.
4.2 Setiap kewajiban yang berkaitan dengan pelanggaran kewajiban berdasarkan Lampiran ini atau undang-undang perlindungan data yang berlaku harus tunduk pada dan diatur oleh ketentuan kewajiban yang ditetapkan dalam, atau berlaku untuk, Kontrak, kecuali jika ditentukan lain dalam Lampiran ini. Jika kewajiban diatur oleh ketentuan kewajiban yang ditetapkan dalam atau berlaku untuk Kontrak, untuk menghitung batas kewajiban atau menentukan penerapan batasan kewajiban lainnya, setiap kewajiban yang timbul berdasarkan Lampiran ini akan dianggap timbul berdasarkan Kontrak.
5. Ketentuan umum
5.1 Jika ada inkonsistensi atau perbedaan antara Bagian 1 dan 2 dari Lampiran ini, Bagian 2 yang akan berlaku. Secara khusus, bahkan dalam kasus seperti itu, Bagian 1 yang hanya melampaui Bagian 2 (yaitu ketentuan klausa Standar) tanpa bertentangan akan tetap berlaku.
5.2 Jika ada perbedaan yang muncul antara ketentuan Lampiran ini dan ketentuan kontrak lain yang mengikat para pihak, Lampiran ini akan berlaku mengenai kewajiban perlindungan data para pihak. Jika ada keraguan apakah klausul dalam kontrak lain menyangkut kewajiban perlindungan data para pihak, Lampiran ini yang akan berlaku.
5.3 Jika ada ketentuan dari Lampiran ini yang tidak sah atau tidak dapat dilaksanakan, sisa dari Lampiran ini akan tetap memiliki kekuatan dan efek penuh. Ketentuan yang tidak sah atau tidak dapat dilaksanakan akan (i) diubah untuk memastikan keabsahan dan keberlakuannya, sambil mempertahankan sejauh mungkin maksud para pihak, atau - jika ini tidak mungkin - (ii) ditafsirkan seolah-olah bagian yang tidak sah atau tidak dapat dilaksanakan telah tidak pernah menjadi bagian dari kontrak. Hal tersebut di atas juga berlaku jika ada kelalaian dalam Lampiran ini.
5.5 Sejauh diperlukan, Para Pihak dapat meminta amandemen Bagian 1, Klausul 3 (Kepatuhan dengan hukum setempat) atau bagian lain dari Lampiran untuk mematuhi interpretasi, arahan, atau perintah yang dikeluarkan oleh otoritas yang berwenang dari Perhimpunan atau Negara Anggota, ketentuan penegakan nasional, atau perkembangan hukum lainnya terkait GDPR atau kondisi pendelegasian lainnya ke entitas mana pun yang terlibat dalam pemrosesan data dan khususnya terkait penggunaan Klausul Kontrak Standar dalam GDPR. Ketentuan Klausul Kontrak Standar tidak boleh diubah atau diganti kecuali jika Komisi Eropa secara tegas menyetujuinya (misalnya dengan klausul baru yang memadai dan standar perlindungan data).
5.6 Setiap referensi dalam Lampiran ini untuk " Klausul " harus dipahami mengacu pada semua ketentuan Lampiran ini kecuali dinyatakan lain.
5.7 Pilihan hukum di Bagian 2, Klausul 9 berlaku untuk seluruh Kontrak.
6. Data pribadi yang dikirimkan dan diproses oleh para pihak untuk kepentingan pribadi (transfer dari pengontrol data ke pengontrol data)
6.1 Para Pihak mengetahui sepenuhnya bahwa data pribadi tertentu akan ditransfer dari Pengekspor Data ke Pengimpor Data dan sebaliknya, dan bahwa data tersebut diproses oleh masing-masing Pihak untuk tujuannya sendiri. Mengenai data pribadi tersebut, tidak mempengaruhi ketentuan lain dari Lampiran ini (kecuali untuk klausul 6) ini.
6.2 Pengekspor Data dapat mentransfer data pribadi yang berkaitan dengan staf Pengimpor Data kepada Pengimpor Data, termasuk informasi tentang insiden keamanan, atau dokumen atau file lain yang dibuat atau dibuat oleh Pengekspor Data sehubungan dengan Layanan yang disediakan oleh staf pengimpor data. Pengimpor Data dapat memproses data pribadi tersebut untuk tujuannya sendiri, khususnya dalam hubungan profesionalnya dengan personel Pengimpor Data, untuk kontrol kualitas dan pelatihan, atau untuk tujuan bisnis.
6.3. Pengimpor Data dapat mentransfer data pribadi ke Pengekspor Data, termasuk nama dan detail kontak personel Pengimpor Data. Pengekspor Data dapat memproses data pribadi tersebut untuk tujuannya sendiri.
6.4 Kedua belah pihak harus mematuhi undang-undang perlindungan data yang berlaku, termasuk GDPR, dalam mengumpulkan, memproses, dan menggunakan data pribadi yang diterima dari pihak lain berdasarkan klausul 1 Bagian 1. Secara khusus, kedua Pihak harus mengambil langkah-langkah keamanan yang memadai, dengan ketentuan tingkat perlindungan yang serupa dengan langkah-langkah keamanan yang ditetapkan dalam Lampiran 2 Bagian 2. Setiap akses ke data pribadi tersebut harus dibatasi pada kebutuhan untuk mengetahuinya.
6.5 Kedua Pihak harus menghapus data pribadi tersebut sesegera mungkin setelah tujuan tercapai.
Bagian 2
KEPUTUSAN KOMISI
pada tanggal 5 Februari 2010
tentang klausul kontrak standar untuk transfer data pribadi ke pemroses data yang ditetapkan di negara pihak ketiga berdasarkan Arahan 95/46/EC Parlemen Eropa dan Dewan
Klausul 1
definisi
Dalam arti klausa:
a) 'data pribadi', 'kategori data khusus', 'pemrosesan/pemrosesan', 'pengontrol', 'pemroses', 'subjek data' dan 'otoritas pengawas' memiliki arti yang sama seperti dalam 95/46/EC Arahan Parlemen Eropa dan Dewan 24 Oktober 1995 tentang melindungi individu terkait pemrosesan data pribadi dan pergerakan bebas data tersebut (1);
b) 'Pengekspor Data' adalah pengontrol Data yang mentransfer data pribadi;
c) 'Pengimpor Data' adalah pemroses Data yang setuju untuk menerima dari Pengekspor Data data pribadi yang dimaksudkan untuk diproses atas nama Pengekspor Data setelah transfer sesuai dengan instruksinya dan berdasarkan ketentuan klausul ini dan siapa yang tidak tunduk pada mekanisme negara ketiga yang memastikan perlindungan yang memadai dalam arti Pasal 25(1) Arahan 95/46/EC; (d) 'Pemroses data' berarti pemroses Data yang digunakan oleh Pengimpor Data atau oleh pengolah Data lain dari Pengimpor Data yang setuju untuk menerima dari Pengimpor Data atau pengolah Data lainnya dari Pengimpor Data data pribadi khusus untuk kegiatan pemrosesan untuk dilakukan atas nama Eksportir Data setelah transfer sesuai dengan instruksi Eksportir Data,
e) "undang-undang perlindungan data yang berlaku" berarti undang-undang yang melindungi hak-hak dasar dan kebebasan individu, termasuk hak atas privasi terkait pemrosesan data pribadi, dan berlaku untuk pengontrol di Negara Anggota tempat Eksportir Data didirikan;
f) "langkah-langkah teknis dan organisasi yang berkaitan dengan keamanan" berarti langkah-langkah yang dimaksudkan untuk melindungi data pribadi terhadap perusakan yang tidak disengaja atau melanggar hukum atau kehilangan, perubahan, pengungkapan atau akses yang tidak sah, khususnya jika pemrosesan melibatkan transmisi data melalui jaringan, dan terhadap semua bentuk pemrosesan yang melanggar hukum lainnya.
Ayat 2
Detail transfer
Rincian transfer, termasuk, jika sesuai, kategori khusus data pribadi, ditentukan dalam Lampiran 1, yang merupakan bagian integral dari klausul ini.
Klausul 3
Klausul penerima manfaat pihak ketiga
1. Subjek data dapat memberlakukan Klausul ini kepada Pengekspor Data, Klausul 4(b) sampai (i), Klausul 5(a) sampai (e) dan (g) sampai (j), Klausul 6 (1) dan (2 ), Klausul 7, Klausul 8(2) dan Klausul 9 sampai 12 sebagai penerima pihak ketiga
2. Subyek data dapat memberlakukan Klausula, Klausul 5 (a) sampai dengan (e) dan (g), Klausul 6, Klausul 7, Klausul 8 (2) dan Klausul 9 sampai dengan 12 terhadap Importir Data dimana Eksportir Data secara fisik telah menghilang atau tidak ada lagi dalam hukum, kecuali semua kewajiban hukumnya telah dialihkan, melalui kontrak atau berdasarkan hukum, kepada entitas penerus, yang oleh karena itu dikembalikan hak dan kewajiban Pengekspor Data, dan terhadap mana data Oleh karena itu, subjek dapat menegakkan klausa tersebut.
Subjek data dapat memberlakukan Klausul ini, Klausul 5 (a) sampai (e) dan (g), Klausul 6, Klausul 7, Klausul 8 (2) dan Klausul 9 sampai 12 terhadap pemroses Data, tetapi hanya dalam kasus di mana Data Eksportir dan Pengimpor Data telah menghilang secara fisik, tidak ada lagi dalam hukum atau menjadi bangkrut, kecuali semua kewajiban hukum Pengekspor Data telah dialihkan, melalui kontrak atau berdasarkan hukum, kepada penerus yang sah, kepada siapa hak dan kewajiban Eksportir Data oleh karena itu dipegang, dan terhadap siapa subjek data dapat memberlakukan klausul tersebut. Tanggung jawab pemroses Data tersebut harus dibatasi pada aktivitas pemrosesannya sendiri berdasarkan klausul ini.
4. Para pihak tidak berkeberatan jika subjek data diwakili oleh suatu asosiasi atau badan lain jika dia menginginkannya dan jika hukum nasional mengizinkannya.
Klausul 4
Kewajiban Eksportir Data
Pengekspor Data menerima dan menjamin hal-hal berikut:
a) pemrosesan, termasuk transfer data pribadi yang sebenarnya, telah dan akan terus dilakukan sesuai dengan ketentuan yang relevan dari undang-undang perlindungan data yang berlaku (dan, jika berlaku, telah diberitahukan kepada otoritas yang berwenang dari Negara Anggota di mana Eksportir Data berbasis) dan tidak melanggar ketentuan yang relevan di Negara tersebut;
b) mereka telah menginstruksikan, dan akan menginstruksikan selama layanan pemrosesan data pribadi, Pengimpor Data untuk memproses data pribadi yang ditransfer atas nama Pengekspor Data dan sesuai dengan undang-undang perlindungan data yang berlaku dan klausul ini;
c) Pengimpor Data akan memberikan perlindungan yang memadai mengenai langkah-langkah keamanan teknis dan organisasi yang ditentukan dalam Lampiran 2 pada kontrak ini;
d) setelah evaluasi persyaratan undang-undang perlindungan data yang berlaku, langkah-langkah keamanan memadai untuk melindungi data pribadi dari perusakan yang tidak disengaja atau melanggar hukum atau kehilangan, perubahan, pengungkapan yang tidak sah, atau akses yang tidak disengaja, khususnya jika pemrosesan melibatkan transmisi data melalui jaringan, dan terhadap semua bentuk pemrosesan yang melanggar hukum lainnya dan memastikan tingkat keamanan yang sesuai dengan risiko yang diwakili oleh pemrosesan dan sifat data yang akan dilindungi, dengan memperhatikan tingkat teknologi dan biaya implementasi;
e) mereka akan memastikan kepatuhan terhadap langkah-langkah keamanan;
f) jika transfer berkaitan dengan kategori data khusus, subjek data telah diinformasikan atau akan diinformasikan sebelum transfer, atau sesegera mungkin setelah transfer bahwa datanya dapat ditransfer ke negara ketiga yang tidak menawarkan tingkat perlindungan yang memadai dalam arti Petunjuk 95/46/EC;
g) mereka akan meneruskan pemberitahuan apa pun yang diterima dari Pengimpor Data atau pemroses Data mana pun berdasarkan Klausul 5 (b) dan 8 (3) kepada otoritas pengawas perlindungan data jika otoritas tersebut memutuskan untuk melanjutkan transfer atau mencabut penangguhannya;
h) mereka harus menyediakan kepada subjek data, jika mereka meminta, salinan Klausula ini, kecuali untuk Lampiran 2, dan deskripsi ringkasan tindakan pengamanan, dan salinan dari setiap perjanjian subkontrak lebih lanjut, yang dibuat berdasarkan Klausula ini kecuali jika Klausul atau perjanjian berisi informasi komersial, dalam hal ini ia dapat menarik informasi tersebut;
i) dalam hal mensubkontrakkan proses pemrosesan data, aktivitas pemrosesan dilakukan sesuai dengan Klausul 11 oleh pemroses Data yang memberikan setidaknya tingkat perlindungan data pribadi dan hak subjek data yang sama dengan Pengimpor Data berdasarkan Klausul ini ; dan
j) itu akan memastikan kepatuhan terhadap Klausul 4 (a) sampai (i).
Klausul 5
Kewajiban Importir Data
Pengimpor Data menerima dan menjamin hal-hal berikut:
a) mereka akan memproses data pribadi hanya atas nama Pengekspor Data dan berdasarkan instruksi Pengekspor Data dan klausul ini; jika tidak dapat memenuhi karena alasan apa pun, mereka setuju untuk memberi tahu Pengekspor Data tentang ketidakmampuannya sesegera mungkin, dalam hal mana Pengekspor Data dapat menangguhkan transfer data dan/atau mengakhiri kontrak;
b) mereka tidak memiliki alasan untuk percaya bahwa undang-undang yang berlaku untuk mereka mencegahnya memenuhi instruksi yang diberikan oleh Pengekspor Data dan kewajiban yang dibebankan kepadanya berdasarkan kontrak, dan jika undang-undang tersebut tunduk pada perubahan yang dapat merugikan secara material efek pada jaminan dan kewajiban berdasarkan Klausula, ia harus memberi tahu Pengekspor Data tentang perubahan tersebut tanpa penundaan setelah menyadarinya, dalam hal mana Pengekspor Data dapat menangguhkan transfer data dan/atau mengakhiri kontrak; (c) mereka telah menerapkan langkah-langkah keamanan teknis dan organisasi yang ditentukan dalam Lampiran 2 sebelum memproses data pribadi yang ditransfer;
d) mereka akan memberi tahu Pengekspor Data tanpa penundaan:
i) setiap permintaan yang mengikat untuk pengungkapan data pribadi dari otoritas penegak hukum, kecuali ditentukan lain, seperti larangan pidana yang bertujuan untuk menjaga kerahasiaan penyelidikan polisi;
ii) setiap akses insidental atau tidak sah; dan
iii) setiap permintaan yang diterima secara langsung dari orang-orang yang bersangkutan tanpa menjawabnya kecuali dia telah diberi wewenang untuk melakukannya; administrator
e) mereka akan segera dan tepat menangani semua pertanyaan dari Pengekspor Data mengenai pemrosesan data pribadi yang ditransfer dan akan bertindak berdasarkan pendapat otoritas pengawas mengenai pemrosesan data yang ditransfer;
f) atas permintaan Pengekspor Data, mereka akan mengaudit fasilitas pemrosesan datanya atas aktivitas pemrosesan yang tercakup dalam klausul ini untuk dilakukan oleh Pengekspor Data atau badan pengawas yang terdiri dari anggota independen dengan kualifikasi profesional yang dipersyaratkan, tunduk pada kewajiban kerahasiaan dan dipilih oleh Eksportir Data, jika sesuai dengan persetujuan otoritas pengawas;
g) mereka akan menyediakan kepada subjek data, jika ia meminta, salinan Klausul ini, atau subkontrak yang ada dari kontrak pemrosesan data, kecuali Klausul atau kontrak tersebut berisi informasi komersial, dalam hal ini dapat menghapus informasi, kecuali Lampiran 2, yang akan diganti dengan ringkasan deskripsi tindakan pengamanan, di mana subjek data tidak dapat memperoleh salinan dari Pengekspor Data;
h) dalam hal kerahasiaan subkontrak lebih lanjut untuk pemrosesan data, dia akan memastikan bahwa dia memberi tahu Pengekspor Data terlebih dahulu dan mendapatkan persetujuan tertulis dari Pengekspor Data;
i) layanan pemrosesan yang disediakan oleh pemroses Data harus sesuai dengan Klausul 11;
j) mereka akan segera mengirimkan salinan dari setiap sub-kontrak dari perjanjian pemrosesan data yang dibuat olehnya berdasarkan Klausula ini kepada Pengekspor Data.
Ayat 6
Tanggung jawab
1. Para pihak sepakat bahwa setiap subjek data yang mengalami kerugian karena pelanggaran kewajiban sebagaimana dimaksud dalam Klausula 3 atau Klausul 11 oleh salah satu pihak atau oleh pengolah Data dapat memperoleh ganti rugi dari Pengekspor Data atas kerusakan yang diderita.
2. Jika subjek data dicegah untuk mengajukan tuntutan ganti rugi sebagaimana dimaksud pada ayat 1 terhadap Pengekspor Data karena kegagalan Pengimpor Data atau pengolah Datanya untuk memenuhi kewajibannya berdasarkan Klausul 3 atau Klausul 11 karena Data Eksportir telah menghilang secara fisik, tidak ada lagi dalam hukum atau menjadi bangkrut, Pengimpor Data setuju bahwa subjek data dapat mengajukan keluhan terhadapnya seolah-olah itu adalah Pengekspor Data kecuali semua kewajiban hukum Pengekspor Data telah dialihkan, melalui kontrak atau berdasarkan hukum, kepada entitas penggantinya, di mana subjek data kemudian dapat menegakkan haknya. Pengimpor Data tidak boleh mengandalkan pelanggaran kewajibannya oleh pemroses Data untuk menghindari kewajibannya sendiri.
3. Jika subjek data dicegah untuk melakukan tindakan sebagaimana dimaksud pada ayat 1 dan 2 terhadap Pengekspor Data atau Pengimpor Data karena pelanggaran oleh pengolah Data atas kewajibannya berdasarkan Klausul 3 atau Klausul 11 karena Pengekspor Data dan Pengimpor Data telah hilang secara fisik, tidak ada lagi dalam hukum atau menjadi bangkrut, pemroses Data setuju bahwa subjek data dapat mengajukan keluhan terhadapnya mengenai kegiatan pemrosesannya sendiri sesuai dengan klausul ini seolah-olah itu adalah Pengekspor Data atau Pengimpor Data kecuali semua kewajiban hukum Pengekspor Data atau Pengimpor Data telah dialihkan, melalui kontrak atau berdasarkan hukum, kepada penerus yang sah, kepada siapa subjek data kemudian dapat menuntut haknya.Tanggung jawab pemroses Data harus dibatasi pada aktivitas pemrosesannya sendiri sesuai dengan klausul ini.
Klausul 7
Mediasi dan yurisdiksi
1. Importir Data setuju bahwa jika berdasarkan klausula, subjek data meminta kepadanya hak penerima manfaat pihak ketiga dan/atau menuntut ganti rugi atas prasangka yang diderita, ia akan menerima keputusan subjek data:
a) untuk mengajukan sengketa ke mediasi oleh orang independen atau, jika perlu, otoritas pengawas;
b) membawa perselisihan tersebut ke pengadilan Negara Anggota dimana Eksportir Data berada.
2. Para pihak setuju bahwa pilihan yang dibuat oleh subjek data tidak akan mempengaruhi hak prosedural atau substantif dari subjek data untuk memperoleh ganti rugi sesuai dengan ketentuan hukum nasional atau internasional lainnya.
Klausul 8
Kerjasama dengan otoritas pengawas
1. Pengekspor Data setuju untuk menyetorkan salinan kontrak ini kepada otoritas pengawas jika yang terakhir mengharuskan demikian atau jika penyetoran tersebut diatur oleh undang-undang perlindungan data yang berlaku.
2. Para pihak setuju bahwa otoritas pengawas dapat melakukan pemeriksaan di Pengimpor Data dan pengolah Data pada tingkat yang sama dan dalam kondisi yang sama dengan pemeriksaan yang dilakukan di Pengekspor Data sesuai dengan undang-undang perlindungan data yang berlaku.
3. Importir Data sesegera mungkin memberitahukan kepada Pengekspor Data adanya peraturan perundang-undangan mengenai Pengimpor Data atau pengolah Data yang menghalangi verifikasi pada Pengimpor Data atau pengolah Data sesuai dengan ayat 2. Dalam hal demikian, Pengimpor Data Eksportir Data dapat mengambil langkah-langkah yang diatur dalam Klausul 5 (b).
Klausul 9
Hukum yang berlaku
Klausul ini berlaku dan diatur oleh hukum Negara Anggota tempat Eksportir Data berada.
Klausul 10
Modifikasi kontrak
Para pihak berjanji untuk tidak mengubah klausul ini. Para pihak tetap bebas untuk memasukkan klausul komersial lain yang mereka anggap perlu, asalkan tidak bertentangan dengan klausul ini.
Klausul 11
Subkontrak berikutnya
1. Pengimpor Data tidak boleh mensubkontrakkan aktivitas pemrosesannya yang dilakukan atas nama Pengekspor Data berdasarkan klausul ini tanpa persetujuan tertulis sebelumnya dari Pengekspor Data. Pengimpor Data hanya akan mensubkontrakkan kewajibannya berdasarkan Klausula ini, dengan persetujuan Pengekspor Data, melalui perjanjian tertulis dengan pemroses Data yang membebankan pada pemroses Data kewajiban yang sama seperti yang dikenakan pada Pengimpor Data berdasarkan Klausul ini. Jika pemroses Data tidak dapat memenuhi kewajiban perlindungan datanya berdasarkan perjanjian tertulis tersebut, Pengimpor Data akan tetap bertanggung jawab penuh kepada Pengekspor Data untuk pemenuhan kewajiban tersebut.
2. Perjanjian tertulis sebelumnya antara Pengimpor Data dan pengolah Data juga harus menyertakan klausul penerima pihak ketiga sebagaimana diatur dalam Klausul 3 untuk kasus di mana subjek data dicegah untuk mengajukan tuntutan ganti rugi sebagaimana dimaksud dalam Klausul 6 (1 ), terhadap Pengekspor Data atau Pengimpor Data karena Pengekspor Data atau Pengimpor Data telah hilang secara fisik, tidak ada lagi karena hukum atau menjadi pailit dan semua kewajiban hukum Pengekspor Data atau Pengimpor Data belum dialihkan, melalui kontrak atau operasi hukum, kepada entitas pengganti lainnya. Tanggung jawab pemroses Data harus dibatasi pada aktivitas pemrosesannya sendiri sesuai dengan klausul ini.
3. Ketentuan yang berkaitan dengan aspek perlindungan data dari sub-kontrak pemrosesan data kontrak sebagaimana dimaksud dalam ayat 1 diatur oleh hukum Negara Anggota tempat Eksportir Data didirikan.
4. Eksportir Data harus menyimpan daftar sub-kontrak dari perjanjian pemrosesan data yang dibuat berdasarkan Klausula ini dan diberitahukan oleh Importir Data sesuai dengan Klausul 5 (j), yang harus diperbarui setidaknya setahun sekali. Daftar ini harus tersedia bagi otoritas pengawas perlindungan data Eksportir Data.
Klausul 12
Kewajiban setelah penghentian layanan pemrosesan data pribadi
1. Para pihak setuju bahwa setelah menyelesaikan layanan pemrosesan data, Pengimpor Data dan pemroses Data akan, sesuai keinginan Pengekspor Data, mengembalikan semua data pribadi yang ditransfer dan salinannya kepada Pengekspor Data, atau memusnahkan semua data tersebut dan memberikan bukti pemusnahan terhadap Pengekspor Data, kecuali undang-undang yang diberlakukan pada Pengimpor Data mencegahnya mengembalikan atau memusnahkan semua atau sebagian data pribadi yang ditransfer. Dalam hal ini, Pengimpor Data menjamin akan menjamin kerahasiaan data pribadi yang ditransfer dan tidak akan lagi memproses data secara aktif.
2. Pengimpor Data dan pengolah Data harus memastikan bahwa, jika diminta oleh Pengekspor Data dan/atau otoritas pengawas, mereka akan tunduk pada sarana pemrosesan data mereka untuk verifikasi langkah-langkah sebagaimana dimaksud dalam ayat 1.
Lampiran 1.1 ke Bagian 2
Detail transfer
Eksportir Data
Pengekspor Data adalah Pelanggan yang ditentukan dalam perjanjian Kontrak.
Pengimpor Data
Pengimpor Data adalah IQUALIF dan ditugaskan untuk memproses data, memberikan layanan kepada Pengekspor Data.
Subyek data
Data pribadi yang ditransfer menyangkut kategori subjek data berikut:
˜' pelanggan telepon terdaftar di direktori universal
Lainnya, antara lain:
Kategori data
Data pribadi yang ditransfer menyangkut kategori data berikut:
Kategori data pribadi subjek data Eksportir Data khususnya,
' Nama lengkap
˜' Alamat pos
˜' Rincian kontak (e-mail, telepon, alamat IP, dll.)
˜' Rincian kegiatan pemasaran mengenai pelanggan telepon
˜' Lainnya, termasuk jenis tempat tinggal, pendapatan, dan rata-rata usia menurut kota yang dibuat secara anonim
Kategori data khusus (jika ada)
Data pribadi yang ditransfer menyangkut kategori data khusus berikut:
˜' Transfer kategori data khusus tidak diperkirakan
Ras atau asal etnis
Keyakinan agama atau filosofis
˜ Keanggotaan serikat pekerja
Pandangan politik
Informasi genetik
Informasi biometrik
˜ Informasi tentang orientasi seksual atau kehidupan seksual
Data Kesehatan
Kegiatan pengolahan
Data pribadi yang ditransfer akan tunduk pada aktivitas pemrosesan dasar berikut:
Pemrosesan yang dilakukan atas nama Pengekspor Data didasarkan pada subjek berikut, khususnya:
˜' Mengambil alih produk atau layanan yang ditawarkan oleh Eksportir Data
' Penawaran produk atau layanan yang dapat diminta oleh orang yang dipanggil
˜' Perintah diambil dari orang yang dipanggil dan diproses lebih lanjut dari pesanan tersebut
˜' Studi kuesioner dan analisis
' Pemasaran jarak jauh
Lainnya, antara lain:
Pengimpor Data memproses data pribadi subjek data atas nama Pengekspor Data, untuk menyediakan layanan berikut, dan yang paling penting:
˜' Penjualan dan Pemasaran
˜' Lainnya, termasuk pemutakhiran database balai kota dan partai politik
IQUALIF terutama menggabungkan, memusatkan, dan menyediakan layanan kepada Eksportir Data. Layanan yang disediakan oleh penyedia layanan yang disebutkan dapat terstruktur (antara lain sesuai kebutuhan) di sekitar layanan tambahan berikut: (i) penyediaan aplikasi, alat, sistem, dan infrastruktur TI dalam kaitannya dengan pusat pemrosesan data yang digunakan, untuk menyediakan dan mendukung layanan, termasuk pemrosesan data pribadi subjek data seperti yang dijelaskan di atas, melalui aplikasi, alat, dan sistem tersebut, (ii) penyediaan dukungan TI, pemeliharaan, dan layanan lain yang terkait dengan aplikasi, alat, sistem tersebut dan infrastruktur TI, termasuk akses potensial ke data pribadi yang disimpan dalam aplikasi, alat, dan sistem tersebut, dan (iii) penyediaan layanan perlindungan data, pemantauan perlindungan, dan layanan respons insiden, termasuk potensi akses ke data pribadi saat memberikan layanan perlindungan tersebut. IQUALIF dapat melibatkan pemroses Data sebagaimana diatur di bawah ini untuk menyediakan layanan, termasuk layanan tambahan.
IQUALIF melibatkan penyedia layanan eksternal dan pihak ketiga, yang bukan merupakan anak perusahaan dari IQUALIF, untuk mendukung penyediaan layanan kepada Eksportir Data. Pengekspor Data menyetujui penyedia layanan pihak ketiga eksternal tersebut sebagai sub-entitas yang ditugaskan untuk pemrosesan data.
Jika sub-entitas yang terlibat dalam pemrosesan data berada di luar UE/EEA, di negara yang dianggap tidak memiliki tingkat perlindungan data yang memadai berdasarkan keputusan Komisi Eropa, Pengimpor Data akan mengambil langkah-langkah untuk mendapatkan tingkat perlindungan data yang memadai. perlindungan data sesuai dengan GDPR dan pasal 3.4 (iv) Bagian 1.
Lampiran 2, Bagian 2
Langkah-langkah perlindungan teknis dan organisasi
Pengimpor Data harus mengambil langkah-langkah perlindungan teknis dan organisasi berikut yang dikonfirmasi oleh Pengekspor Data, untuk menjamin tingkat keamanan yang sesuai untuk hak dan kebebasan individu, tergantung pada risikonya. Dalam menilai tingkat perlindungan yang bersangkutan, Pengekspor Data telah mempertimbangkan, khususnya, risiko yang terlibat dalam pemrosesan, termasuk penghancuran yang tidak disengaja atau melanggar hukum, perubahan, pengungkapan yang tidak sah, atau akses ke data pribadi yang dikirimkan, disimpan, atau diproses dengan cara lain. Dengan klarifikasi: Tindakan perlindungan teknis dan organisasi ini tidak berlaku untuk aplikasi, alat, sistem, dan/atau infrastruktur TI yang disediakan oleh Pengekspor Data.
1 Langkah-langkah perlindungan teknis dan organisasi umum |
1.1 Informasi umum dan strategi perlindungan data |
Langkah-langkah berikut harus diambil untuk mengikuti strategi perlindungan data dan informasi umum: |
|
|
|
|
|
1.2 Organisasi perlindungan informasi |
Langkah-langkah berikut harus diambil untuk mengkoordinasikan kegiatan perlindungan data dan informasi: |
|
|
|
1.3 Kontrol akses ke area pemrosesan |
Langkah-langkah berikut harus diambil untuk mencegah orang yang tidak berwenang mendapatkan akses ke sistem pemrosesan data (khususnya perangkat lunak dan perangkat keras) ketika data pribadi diproses, disimpan, atau dikirim: |
|
|
|
|
1.4 Kontrol akses ke sistem pemrosesan data |
Langkah-langkah berikut harus diambil untuk mencegah akses tidak sah ke sistem pemrosesan data: |
|
|
|
|
|
|
1.5 Mengontrol akses ke area tertentu dari penggunaan sistem pemrosesan data |
Langkah-langkah berikut harus diambil untuk memastikan bahwa orang yang berwenang dengan hak untuk menggunakan sistem pemrosesan data hanya dapat mengakses data dalam tanggung jawab dan otorisasi akses masing-masing dan bahwa data pribadi tidak dapat dibaca, disalin, diubah, atau dihapus tanpa izin: |
|
|
|
|
|
|
|
1.6 Kontrol transmisi |
Langkah-langkah berikut harus diambil untuk mencegah data pribadi dibaca, disalin, diubah, atau dihapus oleh pihak ketiga yang tidak berwenang selama transmisi atau pengangkutan perangkat penyimpanan data (tergantung pada pemrosesan data pribadi yang dilakukan): |
|
|
|
1.7 Kontrol entri data |
Langkah-langkah berikut harus diambil untuk memastikan bahwa dimungkinkan untuk memverifikasi dan menentukan apakah data pribadi telah dimasukkan atau dihapus dari sistem pemrosesan data dan oleh siapa: |
|
|
1.8 Kontrol kerja |
Dalam hal pemrosesan data pribadi yang didelegasikan, langkah-langkah berikut harus diambil untuk memastikan bahwa data tersebut diproses sesuai dengan instruksi Supervisor: |
|
|
|
|
1.9 Pemisahan dari pemrosesan untuk tujuan lain |
Langkah-langkah berikut harus diambil untuk memastikan bahwa data yang dikumpulkan untuk tujuan lain dapat diproses secara terpisah: |
|
|
1.10 Pseudonimisasi |
Langkah-langkah berikut harus diambil terkait dengan nama samaran data pribadi: |
|
|
1.11 Enkripsi |
Langkah-langkah berikut harus diambil untuk mengenkripsi data pribadi dalam aplikasi dan transmisi yang mendukung enkripsi:
|
|
|
1.12 Kelengkapan sistem dan layanan pemrosesan data |
Langkah-langkah berikut harus diambil untuk memastikan kelengkapan sistem dan layanan pemrosesan data: |
|
|
|
1.13 Ketersediaan sistem dan layanan pemrosesan data dan kemungkinan memulihkan akses ke dan penggunaan data pribadi jika terjadi insiden material atau teknis |
Langkah-langkah berikut harus diambil untuk memastikan ketersediaan sistem pemrosesan data, serta dapat dengan cepat memulihkan ketersediaan dan akses ke data pribadi, jika terjadi insiden material atau teknis (khususnya dengan memastikan bahwa data pribadi dilindungi dari kehancuran atau kehilangan yang tidak disengaja): |
|
|
|
|
|
|
|
1.14 Ketahanan sistem dan layanan pemrosesan data |
Langkah-langkah berikut harus diambil untuk memastikan ketahanan sistem dan layanan pemrosesan data: |
|
|
|
1.15 Prosedur untuk menguji, mengevaluasi, dan menilai keefektifan langkah-langkah teknis dan organisasi secara berkala untuk memastikan keamanan pemrosesan data |
Prosedur untuk secara teratur menguji, mengevaluasi, dan menilai efektivitas langkah-langkah teknis dan organisasi untuk melindungi pemrosesan data. |
|
|
|
Bagian 3
Tanda tangan para pihak dan daftar Importir Data
Saat Anda mengisi formulir pemesanan online dan memvalidasinya dengan mencentang kotak yang menerima syarat dan ketentuan umum penggunaan, kontrak yang mengatur hubungan antara Pelanggan dan IQUALIF dibuat.
Mengirim pembayaran ke IQUALIF akan mempertimbangkan kontrak yang disepakati dan ditetapkan.
Perhatikan: Teks ini telah diterjemahkan dari bahasa Prancis. Versi Prancis asli, yang sah dan membatasi secara hukum, tersedia di sini .