Šis priedas yra neatskiriama Sutarties dalis ir jį sudaro:
Kiekvienas iš jų yra „ vakarėlis “ ir dažniausiai „ partijos “.
Preambulė
KUR Duomenų importuotojas teikia profesionalias programinės įrangos paslaugas, kompiuterius ir susijusias paslaugas (pvz., naršykles su išplėstinėmis paieškos funkcijomis);
KAI pagal Sutartį Duomenų importuotojas sutiko teikti Duomenų eksportuotojui Sutartyje nurodytas paslaugas (" Paslaugos ");
KAI Duomenų importuotojas, teikdamas Paslaugas, gauna prieigą prie Duomenų eksportuotojo informacijos arba kitų asmenų, turinčių (galimų) ryšių su duomenų eksportuotoju, informacijos, tokia informacija gali būti kvalifikuojama kaip asmens duomenys, kaip apibrėžta Reglamento Nr. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (toliau – BDAR ) ir kiti taikomi duomenų apsaugos įstatymai.
KAI šiame priede pateikiamos duomenų importuotojo, kaip duomenų eksportuotojo įgalioto duomenų apdorojimo agento, tokių asmens duomenų rinkimui, tvarkymui ir naudojimui taikomos taisyklės ir sąlygos, siekdamos užtikrinti, kad Šalys laikytųsi taikomų duomenų apsaugos teisės aktų. .
TODĖL ir siekdamos sudaryti sąlygas Šalims teisėtai tęsti savo santykius, Šalys sudarė šį priedą taip:
1 dalis
1. Dokumento struktūra ir apibrėžimai
1.1 Struktūra
Šį priedą sudaro įvairios dalys:
1 dalis: | yra bendrųjų nuostatų, pvz., dėl šiame priede vartojamų apibrėžimų, vietinių įstatymų laikymosi, laiko ir nutraukimo
|
2 dalis: | yra nepakeisto standartinių sutarties sąlygų dokumento turinys
|
2 dalies 1.1 priedėlis: | yra išsami informacija apie duomenų importuotojo Duomenų eksportuotojui, kaip įgaliotam duomenų tvarkymo agentui, pateiktas tvarkymo operacijas (įskaitant tvarkymą, tvarkymo pobūdį ir tikslą, asmens duomenų rūšį ir duomenų subjektų kategorijas) pagal šį reglamentą. Priedas
|
2 dalies 2 priedėlis: | yra Duomenų importuotojo techninių ir organizacinių saugumo priemonių, kurios taikomos atliekant visas 2 dalies 1.1 priede aprašytas tvarkymo veiklas, aprašymas.
|
3 dalis: | yra Šalių, kurios privalo laikytis šio priedo, parašai ir nurodomas kiekvienas duomenų importuotojas
|
1.2 Terminija ir apibrėžimai
Šio priedo tikslais taikoma BDAR vartojama terminija ir apibrėžimai (Standartinės sutarties sąlygos dokumento 2 dalyje, kur apibrėžti terminai nėra rašomi didžiosiomis raidėmis).
"Valstybė narė" | reiškia valstybę, priklausančią Europos Sąjungai arba Europos ekonominei erdvei
|
„Specialios (asmens) duomenų kategorijos“ | nurodo asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus arba narystę profesinėse sąjungose, taip pat genetinius duomenis, biometrinius duomenis, jei tvarkomi siekiant tiksliai nustatyti asmens tapatybę, duomenis apie sveikatą, duomenis apie asmens lytį. gyvenimo ar seksualinės orientacijos
|
„Standartinės sutarties sąlygos“ | Tai standartinės sutarčių sąlygos dėl trečiosiose šalyse įsteigtų duomenų tvarkymo tarpininkų asmens duomenų perdavimo pagal 2010 m. vasario 5 d. Komisijos sprendimą 2010/87/ES, kuris buvo pakeistas 2010 m. vasario 16 d. Komisijos įgyvendinimo sprendimu (ES) 2016/2297. 2016 m. gruodžio mėn
|
„Duomenų procesorius“. | reiškia bet kurį duomenų tvarkymo tarpininką, esantį ES/EEE arba už jos ribų, kuris sutinka gauti iš Duomenų importuotojo ar bet kurio kito Duomenų importuotojo tvarkytojo asmens duomenis išskirtiniu tikslu duomenų eksportuotojo vykdomai tvarkymo veiklai pasibaigus perduoti pagal Duomenų eksportuotojo nurodymus, šio priedo sąlygas ir sutartį su duomenų importuotoju
|
2. Duomenų eksportuotojo įsipareigojimai
2.1 Duomenų eksportuotojas privalo užtikrinti, kad būtų laikomasi visų taikomų įsipareigojimų pagal BDAR ir bet kurį kitą taikomą duomenų apsaugos įstatymą, kuris taikomas duomenų eksportuotojui, ir parodyti tokį laikymąsi, kaip reikalaujama pagal BDAR 5 straipsnio 2 dalį. Duomenų eksportuotojas garantuoja, kad Duomenų importuotojas gavo išankstinį duomenų subjektų sutikimą pagal BDAR 6 straipsnio a punktą ir įvykdė savo pareigą informuoti duomenų subjektus pagal BDAR 13 ir 14 straipsnius.
2.2 Duomenų eksportuotojas privalo pateikti duomenų importuotojui atitinkamas tvarkymo veiksmų bylas pagal BDAR 30 straipsnio 1 dalį, susijusią su Paslaugomis pagal šį priedą, tiek, kiek tai būtina, kad Duomenų importuotojas įvykdytų įsipareigojimą pagal BDAR. BDAR 30 straipsnio 2 dalis.
2.3 Duomenų eksportuotojas turi paskirti duomenų apsaugos pareigūną arba atstovą tiek, kiek to reikalauja taikytini duomenų apsaugos teisės aktai. Duomenų eksportuotojas privalo pateikti duomenų importuotojui duomenų apsaugos agento arba atstovo, jei toks yra, kontaktinius duomenis.
2.4. Duomenų eksportuotojas prieš baigdamas tvarkyti, sutikdamas su šiuo priedu, patvirtina, kad duomenų importuotojo techninės ir organizacinės saugumo priemonės, nurodytos 2 dalies 2 priede, yra tinkamos ir pakankamos duomenų subjekto teisėms apsaugoti. ir patvirtina, kad Duomenų importuotojas šiuo atžvilgiu užtikrina pakankamas apsaugos priemones.
3. Vietos įstatymų laikymasis
Siekiant įvykdyti apdorojimo agentų diegimo reikalavimus pagal BDAR 28 straipsnį, taikomi šie pakeitimai:
3.1 Instrukcijos
3.2 Duomenų importuotojo įsipareigojimai
3.3 Suinteresuotų asmenų teisės
3.4 Papildomas apdorojimas
3.5 Galiojimo laikas
Šio priedo galiojimo laikas yra identiškas atitinkamos Sutarties galiojimo terminui. Išskyrus atvejus, kai šiame priede nurodyta kitaip, teisės ir pareigos, susijusios su sutarties nutraukimu, yra tokios pačios kaip ir nurodytos Sutartyje.
4. Atsakomybės ribojimas
4.1 Kiekviena šalis vykdo savo įsipareigojimus pagal šį priedą ir taikomus duomenų apsaugos teisės aktus.
4.2 Bet kokiai atsakomybei, susijusiai su įsipareigojimų pagal šį priedą arba taikomų duomenų apsaugos teisės aktų pažeidimu, taikomos Sutartyje išdėstytos arba jai taikomos atsakomybės nuostatos, išskyrus atvejus, kai šiame priede nurodyta kitaip. Jei atsakomybę reglamentuoja Sutartyje išdėstytos arba jai taikomos atsakomybės nuostatos, apskaičiuojant atsakomybės limitus ar nustatant kitų atsakomybės apribojimų taikymą, laikoma, kad bet kokia pagal šį priedą kylanti atsakomybė atsiranda pagal Sutartį.
5. Bendrosios nuostatos
5.1 Jei yra kokių nors neatitikimų ar neatitikimų tarp šio priedėlio 1 ir 2 dalių, vadovaujamasi 2 dalimi. Tiksliau, net ir tokiu atveju 1 dalis, kuri paprasčiausiai viršija 2 dalį (ty standartinių sąlygų sąlygas), jai neprieštarauja, lieka galioti.
5.2 Jei atsiranda neatitikimų tarp šio priedo ir kitų šalis įpareigojančių sutarčių nuostatų, šalių įsipareigojimų duomenų apsaugos atžvilgiu atžvilgiu galioja šis Priedas. Kilus abejonių, ar kitų sutarčių sąlygos yra susijusios su šalių įsipareigojimais dėl duomenų apsaugos, šis priedas turi viršenybę.
5.3 Jei kuri nors šio priedo nuostata yra negaliojanti arba neįgyvendinama, likusi šio priedo dalis lieka galioti ir galioti. Negaliojanti arba neįgyvendinama nuostata bus (i) iš dalies pakeista, kad būtų užtikrintas jos galiojimas ir įvykdymas, kiek įmanoma išsaugant šalių ketinimus arba, jei tai neįmanoma, (ii) aiškinama taip, lyg negaliojanti arba neįgyvendinama dalis būtų niekada nebuvo sutarties dalis. Tai, kas išdėstyta pirmiau, taip pat taikoma, jei šiame priedėlyje yra praleidimų.
5.5 Tiek, kiek būtina, Šalys gali prašyti pakeisti 1 dalies 3 skirsnį (Atitikimas vietiniams įstatymams) arba kitas priedėlio dalis, kad būtų laikomasi Sąjungos kompetentingų institucijų išaiškinimų, direktyvų ar įsakymų. valstybėse narėse, nacionalinėse teisės aktų vykdymo nuostatose ar bet kokiais kitais teisiniais pokyčiais, susijusiais su BDAR arba kitomis perdavimo bet kuriems subjektams, dalyvaujantiems duomenų tvarkyme, sąlygomis ir konkrečiai dėl BDAR standartinių sutarčių sąlygų naudojimo. Standartinių sutarčių sąlygų negalima keisti ar pakeisti, nebent Europos Komisija tam aiškiai pritartų (pvz., naujomis tinkamomis išlygomis ir duomenų apsaugos standartais).
5.6 Bet kokia šiame priede esanti nuoroda į " Straipsniai " turi būti suprantama kaip nuoroda į visas šio priedo nuostatas, jei nenurodyta kitaip.
5.7 Teisės pasirinkimas 2 dalies 9 punkte taikomas visai Sutarčiai.
6. Šalių asmeniniais tikslais perduoti ir tvarkomi asmens duomenys (perdavimas iš duomenų valdytojo duomenų valdytojui)
6.1 Šalys puikiai žino, kad tam tikri asmens duomenys bus perduoti iš Duomenų eksportuotojo duomenų importuotojui ir atvirkščiai, ir kad tokius duomenis kiekviena Šalis tvarko savo tikslais. Kalbant apie tokius asmens duomenis, tai neturi įtakos kitoms šio priedo nuostatoms (išskyrus šį 6 punktą).
6.2 Duomenų eksportuotojas gali perduoti duomenų importuotojui asmens duomenis, susijusius su Duomenų importuotojo darbuotojais, įskaitant informaciją apie saugumo incidentus, arba bet kokius kitus Duomenų eksportuotojo sukurtus ar sukurtus dokumentus ar failus, susijusius su Duomenų eksportuotojo teikiamomis paslaugomis. duomenų importuotojas. Duomenų importuotojas tokius asmens duomenis gali tvarkyti savo tikslais, ypač palaikydamas profesinius santykius su Duomenų importuotojo darbuotojais, kokybės kontrolei ir mokymams arba verslo tikslais.
6.3. Duomenų importuotojas gali perduoti Duomenų eksportuotojui asmens duomenis, įskaitant Duomenų importuotojo darbuotojų vardą ir pavardę bei kontaktinius duomenis. Duomenų eksportuotojas tokius asmens duomenis gali tvarkyti savo tikslais.
6.4 Abi šalys laikosi visų taikomų duomenų apsaugos įstatymų, įskaitant BDAR, rinkdamos, tvarkydamos ir naudodamos tokius asmens duomenis, gautus iš kitos šalies pagal 1 dalies 1 punktą. Visų pirma, abi Šalys imasi tinkamų saugumo priemonių, panašaus lygio apsauga kaip ir 2 dalies 2 priedėlyje nustatytos saugumo priemonės. Bet kokia prieiga prie tokių asmens duomenų apsiriboja būtinybe juos žinoti.
6.5 Abi Šalys privalo ištrinti tokius asmens duomenis kuo greičiau po to, kai bus pasiekti tikslai.
2 dalis
KOMISIJOS SPRENDIMAS
2010 metų vasario 5 dieną
dėl standartinių sutarčių sąlygų dėl asmens duomenų perdavimo duomenų tvarkytojams, įsisteigusiems trečiųjų šalių šalyse pagal Europos Parlamento ir Tarybos direktyvą 95/46/EB
1 punktas
Apibrėžimai
Straipsnių prasme:
a) „asmens duomenys“, „specialios duomenų kategorijos“, „tvarkomas/tvarkomas“, „duomenų valdytojas“, „tvarkytojas“, „duomenų subjektas“ ir „priežiūros institucija“ turi tą pačią reikšmę kaip ir 95/46/EB. 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (1);
b) „Duomenų eksportuotojas“ yra asmens duomenis perduodantis duomenų valdytojas;
c) „Duomenų importuotojas“ yra duomenų tvarkytojas, kuris sutinka gauti iš Duomenų eksportuotojo asmens duomenis, skirtus tvarkyti duomenų eksportuotojo vardu po perdavimo pagal jo nurodymus ir šių punktų sąlygas, ir kuris nėra atsižvelgiant į trečiosios šalies mechanizmą, užtikrinantį tinkamą apsaugą, kaip apibrėžta Direktyvos 95/46/EB 25 straipsnio 1 dalyje; d) Duomenų tvarkytojas – duomenų tvarkytojas, kurį pasamdo duomenų importuotojas arba bet kuris kitas duomenų importuotojo duomenų tvarkytojas, kuris sutinka gauti iš Duomenų importuotojo ar bet kurio kito Duomenų importuotojo duomenų tvarkytojo asmens duomenis, skirtus išimtinai tvarkymo veiklai. atlikti duomenų eksportuotojo vardu po perdavimo pagal duomenų eksportuotojo nurodymus,
e) taikomas duomenų apsaugos įstatymas – teisės aktas, ginantis pagrindines asmenų teises ir laisves, įskaitant teisę į privatumą tvarkant asmens duomenis, ir taikomas duomenų valdytojui valstybėje narėje, kurioje yra įsisteigęs duomenų eksportuotojas;
f) „techninės ir organizacinės priemonės, susijusios su saugumu“ – priemonės, skirtos apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo ar netyčinio praradimo, pakeitimo, neteisėto atskleidimo ar prieigos, ypač kai tvarkymas susijęs su duomenų perdavimu tinklais, ir nuo visų kitų neteisėtų tvarkymo formų.
2 punktas
Išsami informacija apie perkėlimą
Išsami informacija apie perdavimą, įskaitant, jei reikia, specialias asmens duomenų kategorijas, nurodyta 1 priede, kuris yra neatskiriama šių punktų dalis.
3 punktas
Trečiosios šalies naudos gavėjo sąlyga
1. Duomenų subjektas gali priversti duomenų eksportuotoją vykdyti šią sąlygą, 4 punkto b–i papunkčius, 5 punkto a–e papunkčius ir g–j punktus, 6 straipsnio 1 ir 2 dalis. ), 7 straipsnis, 8 straipsnio 2 dalis ir 9–12 punktai kaip trečiosios šalies naudos gavėjas
2. Duomenų subjektas gali įgyvendinti šią sąlygą, 5 punkto a–e ir g punktus, 6 punktą, 7 punktą, 8 straipsnio 2 dalį ir 9–12 punktus prieš duomenų importuotoją, jei duomenų eksportuotojas fiziškai dingo arba nustojo egzistuoti pagal įstatymą, nebent visos jo teisinės prievolės pagal sutartį ar pagal įstatymą buvo perduotos perėmėjui, kuriam dėl to grįžta duomenų eksportuotojo teisės ir pareigos, ir prieš kurį duomenys todėl subjektas gali vykdyti minėtas sąlygas.
Duomenų subjektas gali įgyvendinti šią sąlygą, 5 punkto a–e ir g papunkčius, 6 punktą, 7 punktą, 8 punkto 2 dalį ir 9–12 punktus prieš Duomenų tvarkytoją, tačiau tik tais atvejais, kai Duomenų Eksportuotojas ir Duomenų importuotojas fiziškai išnyko, nustojo egzistuoti pagal įstatymą arba tapo nemokūs, nebent visos Duomenų eksportuotojo teisinės pareigos sutartimi ar pagal įstatymą buvo perduotos teisių perėmėjui, kurio teisės ir todėl duomenų eksportuotojas turi savo įsipareigojimus, o prieš kurį duomenų subjektas gali vykdyti tokias sąlygas. Tokia Duomenų tvarkytojo atsakomybė turi apsiriboti jo paties tvarkymo veikla pagal šiuos punktus.
4. Šalys neprieštarauja, kad duomenų subjektui atstovautų asociacija ar kita įstaiga, jei jis to pageidauja ir jei tai leidžia nacionalinė teisė.
4 punktas
Duomenų eksportuotojo įsipareigojimai
Duomenų eksportuotojas sutinka ir garantuoja:
a) tvarkymas, įskaitant faktinį asmens duomenų perdavimą, buvo ir bus toliau vykdomas pagal atitinkamas galiojančio duomenų apsaugos įstatymo nuostatas (ir, kai taikoma, apie tai buvo pranešta valstybės narės kompetentingoms institucijoms kurioje yra duomenų eksportuotojas) ir nepažeidžia atitinkamų tos valstybės nuostatų;
b) jie nurodė ir duos nurodymus asmens duomenų tvarkymo paslaugų teikimo laikotarpiu Duomenų importuotojui tvarkyti asmens duomenis, perduotus tik duomenų eksportuotojo vardu ir pagal taikomus duomenų apsaugos įstatymus ir šias sąlygas;
c) Duomenų importuotojas užtikrins pakankamas garantijas dėl techninių ir organizacinių saugumo priemonių, nurodytų šios sutarties 2 priede;
d) įvertinus taikomų duomenų apsaugos teisės aktų reikalavimus, saugumo priemonės yra tinkamos asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo ar netyčinio praradimo, pakeitimo, neteisėto atskleidimo ar prieigos, ypač kai tvarkymas yra susijęs su duomenų perdavimu. tinkle ir nuo visų kitų neteisėtų duomenų tvarkymo formų ir užtikrina saugumo lygį, atitinkantį su apdorojimu susijusią riziką ir saugotinų duomenų pobūdį, atsižvelgiant į technologijos lygį ir įgyvendinimo išlaidas;
e) jie užtikrins saugumo priemonių laikymąsi;
f) jei perdavimas yra susijęs su specialiomis duomenų kategorijomis, duomenų subjektas buvo informuotas arba bus informuotas prieš perdavimą arba kuo greičiau po perdavimo, kad jo duomenys gali būti perduoti trečiajai šaliai, kuri nesiūlo tinkamas apsaugos lygis, kaip apibrėžta Direktyvoje 95/46/EB;
g) jie perduos visus iš Duomenų importuotojo arba bet kurio duomenų tvarkytojo pagal 5 punkto b punktą ir 8 straipsnio 3 dalį gautus pranešimus duomenų apsaugos priežiūros institucijai, jei ji nuspręs tęsti perdavimą arba panaikinti jo sustabdymą;
h) jie pateikia duomenų subjektams, jei jie to reikalauja, šių punktų, išskyrus 2 priedėlį, kopiją ir saugumo priemonių santrauką bei bet kokios kitos subrangos sutarties, sudarytos pagal šias nuostatas, kopiją, nebent Sąlygose arba sutartyje yra komercinės informacijos, tokiu atveju jis gali tokią informaciją atšaukti;
i) jei duomenų tvarkymo procesą sudaro subrangos sutartimi, duomenų tvarkymo veiklą pagal 11 punktą atlieka Duomenų tvarkytojas, užtikrinantis bent tokį patį asmens duomenų ir duomenų subjekto teisių apsaugos lygį kaip ir Duomenų importuotojas pagal šiuos punktus. ; ir
j) ji užtikrins atitiktį 4 punkto a–i papunkčiams.
5 punktas
Duomenų importuotojo įsipareigojimai
Duomenų importuotojas sutinka ir garantuoja:
a) jie tvarkys asmens duomenis tik duomenų eksportuotojo vardu ir vadovaudamiesi duomenų eksportuotojo nurodymais bei šiomis išlygomis; jei dėl kokių nors priežasčių negali laikytis, jie sutinka kuo greičiau informuoti Duomenų eksportuotoją apie savo negalėjimą, tokiu atveju duomenų eksportuotojas gali sustabdyti duomenų perdavimą ir (arba) nutraukti sutartį;
b) jie neturi pagrindo manyti, kad jiems taikoma teisė trukdo vykdyti duomenų eksportuotojo nurodymus ir vykdyti jam pagal sutartį prisiimtus įsipareigojimus, ir jei tokia teisė gali būti pakeista, galinti turėti esminių neigiamų padarinių. įtakos garantijoms ir įsipareigojimams pagal Sąlygas, apie pasikeitimą jis nedelsdamas praneša Duomenų eksportuotojui, kai apie tai sužinojo, tokiu atveju duomenų eksportuotojas gali sustabdyti duomenų perdavimą ir (arba) nutraukti sutartį; c) prieš tvarkydami perduotus asmens duomenis, jie įgyvendino 2 priedėlyje nurodytas technines ir organizacines saugumo priemones;
d) jie nedelsdami praneš duomenų eksportuotojui:
i) bet koks privalomas teisėsaugos institucijos prašymas atskleisti asmens duomenis, jei nenurodyta kitaip, pavyzdžiui, baudžiamasis draudimas, kuriuo siekiama išsaugoti policijos tyrimo paslaptį;
ii) bet kokią atsitiktinę ar neteisėtą prieigą; ir
iii) bet kokį prašymą, gautą tiesiogiai iš atitinkamų asmenų, į jį neatsakius, nebent jis buvo įgaliotas tai padaryti; administratoriai
e) jie greitai ir tinkamai išnagrinės visus Duomenų eksportuotojo užklausas dėl perduodamų asmens duomenų tvarkymo ir veiks pagal priežiūros institucijos nuomonę dėl perduotų duomenų tvarkymo;
f) duomenų eksportuotojo prašymu jie atliks duomenų eksportuotojo arba priežiūros institucijos, sudarytos iš nepriklausomų narių, turinčių reikiamą profesinę kvalifikaciją, duomenų tvarkymo veiklos, kuriai taikomos šios sąlygos, auditą, laikantis slaptumo įsipareigojimo ir pasirinkto duomenų eksportuotojo, jei reikia, sutikus priežiūros institucijai;
g) jie suteiks duomenų subjektui, jei jis to paprašys, šių punktų kopiją arba bet kokią esamą duomenų tvarkymo sutarties subrangos sutartį, nebent sąlygose ar sutartyje yra komercinės informacijos, ir tokiu atveju ji gali tokią informaciją pašalinti. informacija, išskyrus 2 priedą, kuris bus pakeistas suvestiniu saugumo priemonių aprašymu, kai duomenų subjektas negali gauti kopijos iš Duomenų eksportuotojo;
h) konfidencialaus tolesnio duomenų tvarkymo subrangos sutartimi jis užtikrins, kad iš anksto informuotų duomenų eksportuotoją ir gautų rašytinį duomenų eksportuotojo sutikimą;
i) Duomenų tvarkytojo teikiamos tvarkymo paslaugos turi atitikti 11 punktą;
j) jie nedelsdami išsiųs duomenų eksportuotojui visų duomenų tvarkymo sutarties, sudarytos pagal šias nuostatas, subrangos sutarties kopijas.
6 punktas
Atsakomybė
1. Šalys susitaria, kad bet kuris duomenų subjektas, patyręs žalą dėl to, kad viena šalis arba Duomenų tvarkytojas pažeidė 3 arba 11 punkte nurodytus įsipareigojimus, gali gauti iš Duomenų eksportuotojo kompensaciją už patirtą žalą.
2. Jei duomenų subjektas negali pareikšti ieškinio dėl žalos atlyginimo, kaip nurodyta 1 dalyje duomenų eksportuotojui dėl to, kad duomenų importuotojas arba jo duomenų tvarkytojas nevykdo kokių nors savo įsipareigojimų pagal 3 ar 11 punktą, nes duomenys Eksportuotojas fiziškai dingo, nustojo egzistuoti pagal įstatymą arba tapo nemokus, duomenų importuotojas sutinka, kad duomenų subjektas galėtų pateikti jam skundą taip, lyg jis būtų duomenų eksportuotojas, nebent visi duomenų eksportuotojo teisiniai įsipareigojimai būtų perduoti pagal sutartį. arba pagal įstatymą jį perėmėnčiam subjektui, prieš kurį duomenų subjektas gali įgyvendinti savo teises. Duomenų importuotojas negali remtis tuo, kad Duomenų tvarkytojas pažeidė savo įsipareigojimus, kad išvengtų savo atsakomybės.
3. Jei duomenų subjektas negali pareikšti 1 ir 2 dalyse nurodytų ieškinių duomenų eksportuotojui arba duomenų importuotojui dėl to, kad duomenų tvarkytojas pažeidė savo įsipareigojimus pagal 3 arba 11 punktą, nes duomenų eksportuotojas ir duomenų importuotojas fiziškai dingo, nustojo egzistuoti pagal įstatymą arba tapo nemokus, Duomenų tvarkytojas sutinka, kad duomenų subjektas galėtų pateikti jam skundą dėl savo duomenų tvarkymo veiklos pagal šias sąlygas taip, lyg jis būtų duomenų eksportuotojas ar importuotojas, nebent visi Duomenų eksportuotojo arba duomenų importuotojo teisinės pareigos pagal sutartį arba pagal įstatymą buvo perduotos teisių perėmėjui, prieš kurį duomenų subjektas gali ginti savo teises.Duomenų tvarkytojo atsakomybė turi apsiriboti jo paties tvarkymo veikla pagal šiuos punktus.
7 punktas
Tarpininkavimas ir jurisdikcija
1. Duomenų importuotojas sutinka, kad jei pagal sąlygas duomenų subjektas prieš jį remiasi trečiosios šalies naudos gavėjo teise ir (arba) reikalauja kompensacijos už patirtą žalą, jis priims duomenų subjekto sprendimą:
a) perduoti ginčą tarpininkauti nepriklausomam asmeniui arba, jei reikia, priežiūros institucijai;
b) perduoti ginčą valstybės narės, kurioje yra duomenų eksportuotojas, teismams.
2. Šalys susitaria, kad duomenų subjekto pasirinkimas neturi įtakos procedūrinei ar materialinei duomenų subjekto teisei gauti žalos atlyginimą pagal kitas nacionalinės ar tarptautinės teisės nuostatas.
8 punktas
Bendradarbiavimas su priežiūros institucijomis
1. Duomenų eksportuotojas sutinka deponuoti šios sutarties kopiją priežiūros institucijai, jei ši to reikalauja arba jei toks deponavimas numatytas taikomuose duomenų apsaugos įstatymuose.
2. Šalys susitaria, kad priežiūros institucija duomenų importuotojo ir bet kurio duomenų tvarkytojo patikrinimus gali atlikti tokia pat apimtimi ir tokiomis pat sąlygomis, kaip ir duomenų eksportuotoje atliekamus patikrinimus pagal taikomus duomenų apsaugos įstatymus.
3. Duomenų importuotojas kuo greičiau informuoja duomenų eksportuotoją apie su duomenų importuotoju arba bet kuriuo duomenų tvarkytoju susijusius teisės aktus, kurie neleidžia duomenų importuotojui ar bet kuriam duomenų tvarkytojui atlikti patikrinimą pagal 2 dalį. Tokiu atveju Duomenų eksportuotojas gali imtis 5 punkto b punkte numatytų priemonių.
9 punktas
Taikytina teisė
Sąlygos taikomos ir jas reglamentuoja valstybės narės, kurioje yra duomenų eksportuotojas, teisė.
10 punktas
Sutarties pakeitimas
Šalys įsipareigoja nekeisti šių sąlygų. Šalys gali laisvai įtraukti kitas komercines sąlygas, kurios, jų nuomone, yra būtinos, jei jos neprieštarauja šioms sąlygoms.
11 punktas
Vėlesnė subranga
1. Be išankstinio rašytinio duomenų eksportuotojo sutikimo duomenų importuotojas nesudaro subrangos sutartimi dėl jokios duomenų eksportuotojo vardu atliekamos tvarkymo veiklos pagal šias sąlygas. Duomenų importuotojas savo įsipareigojimus pagal šiuos punktus perleidžia tik su Duomenų eksportuotojo sutikimu, sudarydamas rašytinį susitarimą su Duomenų tvarkytoju, kuriuo Duomenų tvarkytojui nustatomi tokie patys įsipareigojimai, kaip ir Duomenų importuotojui pagal šiuos punktus. Jei Duomenų tvarkytojas negali vykdyti savo duomenų apsaugos įsipareigojimų pagal tą rašytinį susitarimą, duomenų importuotojas lieka visiškai atsakingas duomenų eksportuotojui už tų įsipareigojimų vykdymą.
2. Į išankstinį rašytinį duomenų importuotojo ir duomenų tvarkytojo susitarimą taip pat įtraukiama trečiosios šalies naudos gavėjo sąlyga, kaip nurodyta 3 punkte, tais atvejais, kai duomenų subjektas negali pareikšti reikalavimo atlyginti žalą, nurodytą 6 punkte (1). ), prieš Duomenų eksportuotoją ar duomenų importuotoją, nes duomenų eksportuotojas arba duomenų importuotojas fiziškai išnyko, nustojo egzistuoti pagal įstatymą arba tapo nemokus ir nebuvo perduotos visos duomenų eksportuotojo ar duomenų importuotojo teisinės prievolės pagal sutartį ar operaciją. pagal įstatymą, kitam perėmėjui. Duomenų tvarkytojo atsakomybė turi apsiriboti jo paties tvarkymo veikla pagal šiuos punktus.
3. Su duomenų apsaugos aspektais susijusias nuostatas, susijusias su 1 dalyje nurodytos sutarties duomenų tvarkymo subrangos sutartimi, reglamentuoja valstybės narės, kurioje yra įsisteigęs duomenų eksportuotojas, teisė.
4. Duomenų eksportuotojas saugo pagal šiuos punktus sudarytų duomenų tvarkymo sutarčių, apie kurias Duomenų importuotojas praneša pagal 5 punkto j punktą, subrangovų sąrašą, kuris atnaujinamas ne rečiau kaip kartą per metus. Šis sąrašas pateikiamas duomenų eksportuotojo duomenų apsaugos priežiūros institucijai.
12 punktas
Prievolė nutraukus asmens duomenų tvarkymo paslaugas
1. Šalys susitaria, kad baigę teikti duomenų tvarkymo paslaugas Duomenų importuotojas ir Duomenų tvarkytojas Duomenų eksportuotojui patogiu metu grąžins visus perduotus asmens duomenis ir jų kopijas duomenų eksportuotojui arba visus tokius duomenis sunaikins ir pateiks įrodymus. sunaikinimą Duomenų eksportuotojui, nebent duomenų importuotojui nustatyti teisės aktai draudžia grąžinti arba sunaikinti visų ar dalies perduotų asmens duomenų. Tokiu atveju Duomenų importuotojas garantuoja, kad užtikrins perduotų asmens duomenų konfidencialumą ir daugiau netvarkys duomenų.
2. Duomenų importuotojas ir duomenų tvarkytojas užtikrina, kad duomenų eksportuotojui ir (arba) priežiūros institucijai paprašius, jų duomenų tvarkymo priemonės patikrintų 1 dalyje nurodytas priemones.
2 dalies 1.1 priedas
Išsami informacija apie perkėlimą
Duomenų eksportuotojas
Duomenų eksportuotojas yra Sutartyje apibrėžtas Klientas.
Duomenų importuotojas
Duomenų importuotojas yra IQUALIF ir jam pavesta tvarkyti duomenis, teikti paslaugas Duomenų eksportuotojui.
Duomenų subjektai
Perduodami asmens duomenys yra susiję su šiomis duomenų subjektų kategorijomis:
˜' telefonų abonentai, išvardyti universaliajame kataloge
˜ Kiti, įskaitant:
Duomenų kategorijos
Perduodami asmens duomenys yra susiję su šių kategorijų duomenimis:
Visų pirma Duomenų eksportuotojo duomenų subjektų asmens duomenų kategorijos,
˜' Pilnas vardas
˜' Pašto adresas
˜' Kontaktiniai duomenys (el. paštas, telefonas, IP adresas ir kt.)
˜' Informacija apie rinkodaros veiklą, susijusią su telefono abonentu
Kiti, įskaitant būsto tipą, pajamas ir vidutinį amžių mieste, paskelbtus anonimiškai
Specialios duomenų kategorijos (jei taikoma)
Perduodami asmens duomenys yra susiję su šiomis specialiomis duomenų kategorijomis:
˜' Specialių kategorijų duomenų perdavimas nenumatytas
˜ Rasė arba etninė kilmė
˜ Religiniai ar filosofiniai įsitikinimai
˜ Narystė profesinėje sąjungoje
˜ Politinės pažiūros
˜ Genetinė informacija
˜ Biometrinė informacija
˜ Informacija apie seksualinę orientaciją arba seksualinį gyvenimą
˜ Sveikatos duomenys
Apdorojimo veikla
Perduotiems asmens duomenims bus taikomos šios pagrindinės tvarkymo veiklos:
Duomenų eksportuotojo vardu atliekamas tvarkymas grindžiamas šiais dalykais, visų pirma:
˜' Duomenų eksportuotojo siūlomų produktų ar paslaugų perėmimas
„Prekės ar paslaugos pasiūlymas, kurio gali paprašyti skambinamas asmuo
˜' Iš skambintų asmenų paimti užsakymai ir tolesnis šių užsakymų apdorojimas
˜' Studijuoti klausimynus ir analizes
„Telerinkodara
˜ Kiti, įskaitant:
Duomenų importuotojas tvarko duomenų subjektų asmens duomenis Duomenų eksportuotojo vardu, siekdamas teikti šias paslaugas, ypač:
„Pardavimas ir rinkodara
„Kita, įskaitant rotušės ir politinių partijų duomenų bazių atnaujinimą
IQUALIF daugiausia jungia, centralizuoja ir teikia paslaugas duomenų eksportuotojui. Nurodyto paslaugų teikėjo teikiamos paslaugos gali būti struktūrizuotos (be kitų, jei reikia) pagal šias papildomas paslaugas: i) taikomųjų programų, įrankių, sistemų ir IT infrastruktūros teikimas, susijęs su naudojamais duomenų apdorojimo centrais, siekiant teikti ir teikti paslaugas, įskaitant pirmiau aprašytą duomenų subjektų asmens duomenų tvarkymą, naudojant tokias programas, įrankius ir sistemas, (ii) teikti IT pagalbą, techninę priežiūrą ir kitas paslaugas, susijusias su tokiomis programomis, įrankiais, sistemomis. ir IT infrastruktūra, įskaitant galimą prieigą prie asmens duomenų, saugomų tokiose programose, priemonėse ir sistemose, ir iii) duomenų apsaugos paslaugų teikimą, apsaugos stebėjimą ir reagavimo į incidentus paslaugas, įskaitant galimą prieigą prie asmens duomenų teikiant tokias apsaugos paslaugas. IQUALIF gali pasitelkti duomenų tvarkytojus, kaip nurodyta toliau, teikti paslaugas, įskaitant papildomas paslaugas.
IQUALIF pasitelkia išorės ir trečiųjų šalių paslaugų teikėjus, kurie nėra IQUALIF dukterinės įmonės, kad padėtų teikti paslaugas Duomenų eksportuotojui. Duomenų eksportuotojas tokius išorinius trečiųjų šalių paslaugų teikėjus patvirtina duomenų tvarkymui priskirtais subsubjektais.
Jei su duomenų tvarkymu susijęs subjektas yra ne ES/EEE, šalyje, kurioje, remiantis Europos Komisijos sprendimu, nėra tinkamo duomenų apsaugos lygio, duomenų importuotojas imsis veiksmų, kad pasiektų tinkamą duomenų apsaugos lygį. duomenų apsauga pagal BDAR ir 1 dalies 3.4 skirsnio iv papunktį.
2 priedas, 2 dalis
Techninės ir organizacinės apsaugos priemonės
Duomenų importuotojas imasi šių duomenų eksportuotojo patvirtintų techninių ir organizacinių apsaugos priemonių, siekdamas užtikrinti tinkamą asmenų teisių ir laisvių saugumo lygį, priklausomai nuo rizikos. Vertindamas atitinkamą apsaugos lygį, duomenų eksportuotojas visų pirma atsižvelgė į riziką, susijusią su duomenų tvarkymu, įskaitant atsitiktinį ar neteisėtą sunaikinimą, pakeitimą, neteisėtą atskleidimą arba prieigą prie perduodamų, saugomų ar kitaip tvarkomų asmens duomenų. Paaiškinimu: Šios techninės ir organizacinės apsaugos priemonės netaikomos Duomenų eksportuotojo teikiamoms programoms, priemonėms, sistemoms ir (arba) IT infrastruktūrai.
1 Bendrosios techninės ir organizacinės apsaugos priemonės |
1.1 Bendroji informacija ir duomenų apsaugos strategijos |
Norint laikytis bendrųjų duomenų ir informacijos apsaugos strategijų, reikia imtis šių veiksmų: |
|
|
|
|
|
1.2 Informacijos apsaugos organizavimas |
Siekiant koordinuoti duomenų ir informacijos apsaugos veiklą, reikėtų imtis šių priemonių: |
|
|
|
1.3 Prieigos prie apdorojimo zonų kontrolė |
Turi būti imamasi šių priemonių, kad asmens duomenys tvarkomi, saugomi arba perduodami, kad pašaliniai asmenys nepatektų į duomenų tvarkymo sistemas (ypač programinę ir techninę įrangą): |
|
|
|
|
1.4 Prieigos prie duomenų apdorojimo sistemų kontrolė |
Siekiant užkirsti kelią neteisėtai prieigai prie duomenų tvarkymo sistemų, reikia imtis šių priemonių: |
|
|
|
|
|
|
1.5 Prieigos prie konkrečių duomenų apdorojimo sistemų naudojimo sričių kontrolė |
Turi būti imamasi šių priemonių siekiant užtikrinti, kad įgalioti asmenys, turintys teisę naudotis duomenų tvarkymo sistema, galėtų prieiti tik prie duomenų pagal savo atitinkamas pareigas ir prieigos įgaliojimus ir kad asmens duomenų nebūtų galima skaityti, kopijuoti, keisti ar ištrinti be leidimo: |
|
|
|
|
|
|
|
1.6 Transmisijų valdymas |
Turi būti imamasi šių priemonių, kad asmens duomenų neleistų perskaityti, kopijuoti, keisti ar ištrinti neįgalioti tretieji asmenys perduodant ar gabenant duomenų saugojimo priemones (priklausomai nuo asmens duomenų tvarkymo): |
|
|
|
1.7 Duomenų įvedimo kontrolė |
Turi būti imamasi šių priemonių, kad būtų galima patikrinti ir nustatyti, ar asmens duomenys buvo įtraukti į duomenų tvarkymo sistemas arba iš jų ištrinti ir kas juos atliko: |
|
|
1.8 Darbo kontrolė |
Perduoto asmens duomenų tvarkymo atveju turi būti imamasi šių priemonių siekiant užtikrinti, kad tokie duomenys būtų tvarkomi pagal Prižiūrėtojo nurodymus: |
|
|
|
|
1.9 Atskyrimas nuo tvarkymo kitais tikslais |
Siekiant užtikrinti, kad kitais tikslais surinkti duomenys galėtų būti tvarkomi atskirai, būtina imtis šių priemonių: |
|
|
1.10 Pseudoniminimas |
Dėl asmens duomenų pseudonimizacijos turi būti imamasi šių priemonių: |
|
|
1.11 Šifravimas |
Norint užšifruoti asmeninius duomenis programose ir perdavimuose, kurie palaiko šifravimą, reikia imtis šių veiksmų:
|
|
|
1.12 Duomenų apdorojimo sistemų ir paslaugų išsamumas |
Siekiant užtikrinti duomenų tvarkymo sistemų ir paslaugų išsamumą, būtina imtis šių priemonių: |
|
|
|
1.13 Duomenų tvarkymo sistemų ir paslaugų prieinamumas bei galimybė atkurti prieigą prie asmens duomenų ir jų naudojimą materialinio ar techninio incidento atveju |
Turi būti imamasi šių priemonių, kad būtų užtikrintas duomenų tvarkymo sistemų prieinamumas, taip pat būtų galima greitai atkurti asmens duomenų prieinamumą ir prieigą prie jų materialinio ar techninio incidento atveju (ypač užtikrinant, kad asmens duomenys yra apsaugoti nuo atsitiktinio sunaikinimo ar praradimo): |
|
|
|
|
|
|
|
1.14 Duomenų apdorojimo sistemų ir paslaugų atsparumas |
Siekiant užtikrinti duomenų apdorojimo sistemų ir paslaugų atsparumą, reikia imtis šių priemonių: |
|
|
|
1.15 Techninių ir organizacinių priemonių, skirtų duomenų tvarkymo saugumui užtikrinti, reguliaraus tikrinimo, vertinimo ir efektyvumo vertinimo tvarka |
Duomenų tvarkymo apsaugos techninių ir organizacinių priemonių reguliaraus tikrinimo, vertinimo ir efektyvumo vertinimo tvarka. |
|
|
|
3 dalis
Šalių parašai ir duomenų importuotojų sąrašas
Kai užpildote internetinę užsakymo formą ir patvirtinate ją pažymėdami varnelę, kad sutinkate su bendromis naudojimo sąlygomis, sudaroma sutartis, reglamentuojanti Kliento ir IQUALIF santykius.
Siunčiant mokėjimą IQUALIF, bus laikoma, kad sutartis yra sudaryta ir sudaryta.
Atkreipkite dėmesį: šis tekstas išverstas iš prancūzų kalbos. Originalią versiją prancūzų kalba, kuri yra galiojanti ir teisiškai ribojanti, rasite čia .