Šis pielikums ir Līguma neatņemama sastāvdaļa, un to noslēdz:
Katrs no tiem ir " partija " un parasti " partijas ".
Preambula
KUR Datu importētājs nodrošina profesionālus programmatūras pakalpojumus, datoru un saistītos pakalpojumus (piemēram, pārlūkprogrammas ar izvērstās meklēšanas funkcijām);
KAD saskaņā ar Līgumu Datu importētājs ir piekritis sniegt Datu eksportētājam Līgumā noteiktos pakalpojumus (" Pakalpojumi ");
KAD, sniedzot Pakalpojumus, datu importētājs saņem vai gūst labumu no piekļuves datu eksportētāja informācijai vai citu personu informācijai, kurām ir (potenciālas) attiecības ar datu eksportētāju, šāda informācija var tikt kvalificēta kā personas dati Regulas izpratnē. Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (“ VDAR ”) un citi piemērojamie datu aizsardzības tiesību akti.
KAD šajā pielikumā ir ietverti noteikumi un nosacījumi, kas piemērojami šādu personas datu vākšanai, apstrādei un lietošanai, ko datu importētājs veic kā datu eksportētāja pilnvarotais datu apstrādes aģents, lai nodrošinātu, ka Puses ievēro piemērojamos datu aizsardzības tiesību aktus. .
TĀPĒC un, lai Puses varētu likumīgi turpināt savas attiecības, Puses ir noslēgušas šo papildinājumu šādi:
1. daļa
1. Dokumenta struktūra un definīcijas
1.1. Struktūra
Šis papildinājums sastāv no šādām dažādām daļām:
1. daļa: | satur vispārīgus noteikumus, piemēram, par šajā pielikumā lietotajām definīcijām, atbilstību vietējiem likumiem, laiku un izbeigšanu
|
2. daļa: | satur negrozītā līguma standartklauzulu dokumenta pamattekstu
|
2. daļas 1.1. papildinājums: | satur informāciju par apstrādes darbībām, ko datu importētājs sniedzis datu eksportētājam kā pilnvarotajam datu apstrādes aģentam (tostarp apstrādi, apstrādes veidu un mērķi, personas datu veidu un datu subjektu kategorijas) saskaņā ar šo Pielikums
|
2. daļas 2. papildinājums: | satur Datu importētāja tehnisko un organizatorisko drošības pasākumu aprakstu, kas tiek piemēroti saistībā ar visām apstrādes darbībām, kas aprakstītas 2. daļas 1.1.pielikumā.
|
3. daļa: | satur to pušu parakstus, kurām ir saistošs šis papildinājums, un identificē katru datu importētāju
|
1.2. Terminoloģija un definīcijas
Šī pielikuma vajadzībām ir piemērojama VDAR izmantotā terminoloģija un definīcijas (Līguma standarta klauzulas dokumenta 2. daļā, kur definētie termini nav rakstīti ar lielo burtu).
"dalībvalsts" | nozīmē valsti, kas pieder Eiropas Savienībai vai Eiropas Ekonomikas zonai
|
"Īpašas (personas) datu kategorijas" | attiecas uz personas datiem, kas atklāj rasi vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai piederību arodbiedrībām, un ģenētiskajiem datiem, biometriskajiem datiem, ja tie tiek apstrādāti personas unikālās identifikācijas nolūkos, datiem par veselību, datiem par personas dzimumu. dzīve vai seksuālā orientācija
|
"Līgumu standarta klauzulas" | ir līguma standartklauzulas trešās valstīs reģistrētu apstrādes aģentu personas datu pārsūtīšanai saskaņā ar Komisijas 2010. gada 5. februāra Lēmumu 2010/87/ES, kas grozīts ar Komisijas Īstenošanas lēmumu (ES) 2016/2297 2010. gada 16. februārī. 2016. gada decembris
|
“Datu procesors”. | nozīmē jebkuru apstrādes aģentu, kas atrodas ES/EEZ vai ārpus tās un kurš piekrīt saņemt no datu importētāja vai jebkura cita datu importētāja apstrādātāja personas datus tikai apstrādes darbībām, kuras datu eksportētājs veic pēc datuma pārsūtīšanu saskaņā ar datu eksportētāja norādījumiem, šī pielikuma noteikumiem un līgumu ar datu importētāju
|
2. Datu eksportētāja pienākumi
2.1. Datu eksportētāja pienākums ir nodrošināt atbilstību visiem piemērojamajiem pienākumiem saskaņā ar VDAR un citiem piemērojamiem datu aizsardzības tiesību aktiem, kas attiecas uz datu eksportētāju, un uzrādīt šādu atbilstību, kā noteikts VDAR 5. panta 2. punktā. Datu eksportētājs garantē, ka datu importētājs ir saņēmis datu subjektu iepriekšēju piekrišanu saskaņā ar VDAR 6. panta a) apakšpunktu un ir izpildījis savu pienākumu informēt datu subjektus saskaņā ar VDAR 13. un 14. pantu.
2.2. Datu eksportētājam ir jāiesniedz datu importētājam attiecīgie apstrādes darbību faili saskaņā ar VDAR 30. panta 1. punktu saistībā ar Pakalpojumiem saskaņā ar šo pielikumu, ciktāl tas nepieciešams, lai datu importētājs izpildītu pienākumu saskaņā ar šo pielikumu. VDAR 30. panta 2. punkts.
2.3. Datu eksportētājam jāieceļ datu aizsardzības speciālists vai pārstāvis, ciktāl to prasa piemērojamie datu aizsardzības tiesību akti. Datu eksportētājam ir pienākums sniegt datu importētājam datu aizsardzības aģenta vai pārstāvja kontaktinformāciju, ja tāds ir.
2.4. Datu eksportētājs pirms apstrādes pabeigšanas, akceptējot šo pielikumu, apstiprina, ka datu importētāja tehniskie un organizatoriski drošības pasākumi, kas noteikti 2. daļas 2. pielikumā, ir atbilstoši un pietiekami, lai aizsargātu datu subjekta tiesības. un apstiprina, ka datu importētājs šajā ziņā nodrošina pietiekamus drošības pasākumus.
3. Atbilstība vietējiem tiesību aktiem
Lai izpildītu apstrādes aģentu ieviešanas prasības saskaņā ar VDAR 28. pantu, ir piemērojami šādi grozījumi:
3.1 Norādījumi
3.2. Datu importētāja pienākumi
3.3. Attiecīgo personu tiesības
3.4. Apakšapstrāde
3.5. Derīguma termiņš
Šī pielikuma derīguma termiņš ir identisks attiecīgā Līguma beigu datumam. Ja šajā pielikumā nav noteikts citādi, tiesības un pienākumi, kas attiecas uz izbeigšanu, ir tādi paši kā Līgumā ietvertie.
4. Atbildības ierobežojums
4.1. Katra puse pilda savus pienākumus saskaņā ar šo pielikumu un piemērojamajiem datu aizsardzības tiesību aktiem.
4.2. Jebkura atbildība, kas saistīta ar šajā papildinājumā vai piemērojamajiem datu aizsardzības tiesību aktiem paredzēto saistību pārkāpšanu, ir pakļauta Līgumā izklāstītajiem vai uz to piemērojamajiem atbildības noteikumiem un tos regulē, ja vien šajā pielikumā nav noteikts citādi. Ja atbildību regulē Līgumā izklāstītie vai uz to attiecināmie atbildības noteikumi, lai aprēķinātu atbildības limitus vai noteiktu citu atbildības ierobežojumu piemērošanu, jebkura atbildība, kas izriet no šī pielikuma, tiek uzskatīta par tādu, kas izriet no Līguma.
5. Vispārīgie noteikumi
5.1. Ja starp šī papildinājuma 1. un 2. daļu ir pretrunas vai neatbilstības, noteicošā ir 2. daļa. Konkrēti, pat šādā gadījumā 1. daļa, kas vienkārši pārsniedz 2. daļu (ti, standarta klauzulu noteikumus), ar to nav pretrunā, paliek spēkā.
5.2. Ja rodas pretrunas starp šī pielikuma noteikumiem un citiem līgumiem, kas ir saistoši pusēm, šis pielikums ir noteicošais attiecībā uz pušu datu aizsardzības saistībām. Ja rodas šaubas par to, vai citu līgumu klauzulas attiecas uz pušu datu aizsardzības saistībām, noteicošais ir šis papildinājums.
5.3. Ja kāds šī pielikuma noteikums ir nederīgs vai neizpildāms, pārējā šī pielikuma daļa paliek spēkā pilnībā. Nederīgais vai neizpildāmais noteikums tiks (i) grozīts, lai nodrošinātu tā spēkā esamību un izpildāmību, vienlaikus cik vien iespējams saglabājot pušu nodomu, vai, ja tas nav iespējams, (ii) interpretēts tā, it kā spēkā neesošā vai neizpildāmā daļa būtu bijusi nekad nav bijis līguma sastāvdaļa. Iepriekšminēto piemēro arī tad, ja šajā papildinājumā ir izlaidums.
5.5. Ciktāl nepieciešams, Puses var pieprasīt grozījumus 1. daļas 3. punktā (Atbilstība vietējiem tiesību aktiem) vai citās pielikuma daļās, lai izpildītu Savienības kompetento iestāžu izdotās interpretācijas, direktīvas vai rīkojumus. Dalībvalstīm, valsts izpildes noteikumiem vai jebkādiem citiem juridiskiem notikumiem saistībā ar VDAR vai citiem deleģēšanas nosacījumiem jebkurai datu apstrādē iesaistītai struktūrai un jo īpaši attiecībā uz VDAR līguma standartklauzulu izmantošanu. Līguma standartklauzulu noteikumus nedrīkst grozīt vai aizstāt, ja vien Eiropas Komisija to nepārprotami apstiprina (piemēram, ar jaunām atbilstošām klauzulām un datu aizsardzības standartiem).
5.6. Jebkura atsauce šajā pielikumā uz "Klauzulām" ir jāsaprot kā atsauce uz visiem šī pielikuma noteikumiem, ja vien nav norādīts citādi.
5.7. Tiesību aktu izvēle 2. daļas 9. punktā attiecas uz visu Līgumu.
6. Personas dati, ko puses pārsūta un apstrādā personiskiem nolūkiem (nodošana no datu pārziņa datu pārzinim)
6.1. Puses pilnībā apzinās, ka noteikti personas dati tiks pārsūtīti no datu eksportētāja uz datu importētāju un otrādi, un ka šādus datus katra Puse apstrādā saviem nolūkiem. Attiecībā uz šādiem personas datiem tas neietekmē pārējos šī pielikuma noteikumus (izņemot šo 6. punktu).
6.2. Datu eksportētājs var pārsūtīt datu importētājam personas datus, kas attiecas uz datu importētāja darbiniekiem, tostarp informāciju par drošības incidentiem, vai jebkurus citus dokumentus vai failus, ko datu eksportētājs ir izveidojis vai izveidojis saistībā ar uzņēmuma darbinieku sniegtajiem pakalpojumiem. datu importētājs. Datu importētājs var apstrādāt šādus personas datus saviem mērķiem, jo īpaši profesionālajās attiecībās ar Datu importētāja personālu, kvalitātes kontrolei un apmācībai, vai uzņēmējdarbības nolūkos.
6.3. Datu importētājs var nodot Datu eksportētājam personas datus, tostarp datu importētāja personāla vārdu un kontaktinformāciju. Datu eksportētājs var apstrādāt šādus personas datus saviem mērķiem.
6.4. Abas puses ievēro visus piemērojamos datu aizsardzības likumus, tostarp VDAR, vācot, apstrādājot un izmantojot šādus personas datus, kas saņemti no otras puses saskaņā ar 1. daļas 1. pantu. Jo īpaši abas puses veic atbilstošus drošības pasākumus, nodrošinot līdzīgs aizsardzības līmenis 2. daļas 2. papildinājumā noteiktajiem drošības pasākumiem. Jebkura piekļuve šādiem personas datiem ir ierobežota līdz nepieciešamībai tos zināt.
6.5 Abām Pusēm šādi personas dati ir jādzēš pēc iespējas ātrāk pēc mērķu sasniegšanas.
2. daļa
KOMISIJAS LĒMUMS
2010. gada 5. februārī
par līguma standartklauzulām par personas datu pārsūtīšanu datu apstrādātājiem, kas reģistrēti trešās puses valstīs saskaņā ar Eiropas Parlamenta un Padomes Direktīvu 95/46/EK
1. punkts
Definīcijas
Klauzulu izpratnē:
a) "personas datiem", "īpašām datu kategorijām", "apstrāde/apstrāde", "pārzinis", "apstrādātājs", "datu subjekts" un "uzraudzības iestāde" ir tāda pati nozīme kā Direktīvā 95/46/EK. Eiropas Parlamenta un Padomes 1995. gada 24. oktobra Direktīva par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (1);
b) “Datu eksportētājs” ir datu pārzinis, kas nodod personas datus;
c) “Datu importētājs” ir datu apstrādātājs, kurš piekrīt saņemt no datu eksportētāja personas datus, kurus paredzēts apstrādāt datu eksportētāja vārdā pēc nosūtīšanas saskaņā ar tā norādījumiem un saskaņā ar šo klauzulu nosacījumiem, un kurš nav saskaņā ar trešās valsts mehānismu, kas nodrošina atbilstošu aizsardzību Direktīvas 95/46/EK 25. panta 1. punkta nozīmē; d) “datu apstrādātājs” ir datu apstrādātājs, ko nolīgst datu importētājs vai jebkurš cits datu importētāja datu apstrādātājs, kurš piekrīt saņemt no datu importētāja vai jebkura cita datu importētāja datu apstrādātāja personas datus tikai apstrādes darbībām, lai veikt datu eksportētāja vārdā pēc pārsūtīšanas saskaņā ar datu eksportētāja norādījumiem,
e) "piemērojamie datu aizsardzības tiesību akti" ir tiesību akti, kas aizsargā personu pamattiesības un brīvības, tostarp tiesības uz privātumu attiecībā uz personas datu apstrādi, un attiecas uz pārzini dalībvalstī, kurā datu eksportētājs ir reģistrēts;
f) “tehniski un organizatoriski pasākumi, kas saistīti ar drošību” ir pasākumi, kas paredzēti, lai aizsargātu personas datus pret nejaušu vai nelikumīgu iznīcināšanu vai nejaušu nozaudēšanu, pārveidošanu, neatļautu izpaušanu vai piekļuvi, jo īpaši, ja apstrāde ietver datu pārraidi pa tīkliem, un pret visi citi nelikumīgie apstrādes veidi.
2. punkts
Sīkāka informācija par pārskaitījumu
Sīkāka informācija par pārsūtīšanu, tostarp attiecīgā gadījumā īpašas personas datu kategorijas, ir norādīta 1. pielikumā, kas ir šo klauzulu neatņemama sastāvdaļa.
3. punkts
Trešās puses saņēmēja klauzula
1. Datu subjekts var īstenot pret datu eksportētāju šo klauzulu, 4. klauzulas b) līdz i) apakšpunktu, 5. klauzulas a) līdz e) un g) līdz j) apakšpunktu, 6. klauzulas 1. un 2. punktu. ), 7. klauzula, 8. klauzulas 2. punkts un 9. līdz 12. klauzula kā trešās puses labuma guvējs
2. Datu subjekts var īstenot šīs klauzulas 5. punkta a) līdz e) un g) apakšpunktu, 6. klauzulu, 7. klauzulu, 8. panta 2. punktu un 9. līdz 12. punktu pret datu importētāju, ja datu eksportētājs ir fiziski. pazudis vai beidzis pastāvēt likumā, ja vien visas viņa juridiskās saistības ar līgumu vai saskaņā ar likumu nav nodotas tiesību pārņēmējai vienībai, kurai tādējādi atgriežas datu eksportētāja tiesības un pienākumi un pret kuru tiek nodoti dati. tādējādi subjekts var īstenot minētās klauzulas.
Datu subjekts var vērst pret Datu apstrādātāju šo punktu, 5. punkta a) līdz e) un g) apakšpunktu, 6. punktu, 7. punktu, 8. punkta 2. apakšpunktu un 9. līdz 12. punktu, bet tikai gadījumos, kad Dati Eksportētājs un Datu importētājs ir fiziski pazuduši, beiguši pastāvēt likumā vai ir kļuvuši maksātnespējīgi, ja vien visi Datu eksportētāja juridiskie pienākumi ar līgumu vai saskaņā ar likumu nav nodoti tiesību pārņēmējam, kuram ir tiesības un tāpēc datu eksportētāja pienākumi ir uzticēti un pret kuru datu subjekts var piemērot šādas klauzulas. Šāda Datu apstrādātāja atbildība ir jāierobežo ar tā paša apstrādes darbībām saskaņā ar šiem punktiem.
4. Puses neiebilst pret to, ka datu subjektu pārstāv kāda asociācija vai cita struktūra, ja viņš vai viņa to vēlas un ja to atļauj valsts tiesību akti.
4. punkts
Datu eksportētāja pienākumi
Datu eksportētājs pieņem un garantē sekojošo:
a) apstrāde, tostarp faktiskā personas datu pārsūtīšana, ir veikta un tiks veikta saskaņā ar attiecīgajiem piemērojamo datu aizsardzības tiesību aktu noteikumiem (un attiecīgā gadījumā par to ir paziņots dalībvalsts kompetentajām iestādēm kurā atrodas datu eksportētājs) un nepārkāpj attiecīgās valsts noteikumus;
b) viņi ir devuši norādījumus un dos norādījumus personas datu apstrādes pakalpojumu sniegšanas laikā datu importētājam apstrādāt personas datus, kas pārsūtīti tikai datu eksportētāja vārdā un saskaņā ar piemērojamajiem datu aizsardzības tiesību aktiem un šīm klauzulām;
c) Datu importētājs nodrošinās pietiekamus drošības pasākumus attiecībā uz šī līguma 2.pielikumā noteiktajiem tehniskajiem un organizatoriskiem drošības pasākumiem;
d) pēc piemērojamo datu aizsardzības tiesību aktu prasību izvērtēšanas drošības pasākumi ir piemēroti, lai aizsargātu personas datus pret nejaušu vai nelikumīgu iznīcināšanu vai nejaušu nozaudēšanu, pārveidošanu, neatļautu izpaušanu vai piekļuvi, jo īpaši, ja apstrāde ir saistīta ar datu pārsūtīšanu. tīklā un pret visiem citiem nelikumīgiem apstrādes veidiem un nodrošina tādu drošības līmeni, kas atbilst apstrādes radītajiem riskiem un aizsargājamo datu veidam, ņemot vērā tehnoloģijas līmeni un īstenošanas izmaksas;
e) viņi nodrošinās drošības pasākumu ievērošanu;
f) ja pārsūtīšana attiecas uz īpašām datu kategorijām, datu subjekts ir informēts vai tiks informēts pirms nosūtīšanas vai cik drīz vien iespējams pēc nosūtīšanas, ka viņa datus var pārsūtīt uz trešo valsti, kas nepiedāvā atbilstošs aizsardzības līmenis Direktīvas 95/46/EK nozīmē;
g) viņi nosūtīs datu aizsardzības uzraudzības iestādei visus paziņojumus, kas saņemti no datu importētāja vai jebkura datu apstrādātāja saskaņā ar 5. panta b) apakšpunktu un 8. panta 3. punktu, ja tā nolems turpināt pārsūtīšanu vai atcelt tās apturēšanu;
h) tie dara pieejamu datu subjektiem, ja viņi to pieprasa, šo punktu kopiju, izņemot 2. pielikumu, un drošības pasākumu kopsavilkuma aprakstu, kā arī jebkura turpmāka apakšlīguma līguma kopiju, kas noslēgta saskaņā ar šiem punktiem, ja vien Noteikumos vai līgumā ir ietverta komerciāla informācija, un tādā gadījumā viņš var atsaukt šādu informāciju;
i) datu apstrādes procesa apakšlīguma gadījumā apstrādes darbību saskaņā ar 11. punktu veic Datu apstrādātājs, kas nodrošina vismaz tādu pašu personas datu un datu subjekta tiesību aizsardzības līmeni kā Datu importētājs saskaņā ar šiem punktiem ; un
j) tas nodrošinās atbilstību 4. panta a) līdz i) apakšpunktam.
5. punkts
Datu importētāja pienākumi
Datu importētājs pieņem un garantē sekojošo:
a) viņi apstrādās personas datus tikai datu eksportētāja vārdā un saskaņā ar datu eksportētāja norādījumiem un šīm klauzulām; ja tas kāda iemesla dēļ nevar ievērot, viņi piekrīt pēc iespējas ātrāk informēt datu eksportētāju par savu nespēju, un tādā gadījumā datu eksportētājs var apturēt datu pārsūtīšanu un/vai izbeigt līgumu;
b) viņiem nav iemesla uzskatīt, ka viņiem piemērojamie tiesību akti liedz viņam izpildīt datu eksportētāja norādījumus un pienākumus, kas viņam uzlikti saskaņā ar līgumu, un ja šie tiesību akti ir pakļauti izmaiņām, kas varētu būtiski negatīvi ietekmēt punktā noteiktajām garantijām un saistībām, viņam nekavējoties pēc to uzzināšanas ir jāpaziņo datu eksportētājam par izmaiņām, un tādā gadījumā datu eksportētājs var apturēt datu pārsūtīšanu un/vai izbeigt līgumu; c) pirms pārsūtīto personas datu apstrādes tās ir īstenojušas 2. papildinājumā noteiktos tehniskos un organizatoriskos drošības pasākumus;
d) viņi nekavējoties informēs datu eksportētāju:
i) jebkuru saistošu pieprasījumu par personas datu izpaušanu no tiesībaizsardzības iestādes, ja vien nav noteikts citādi, piemēram, kriminālaizliedzība, kuras mērķis ir saglabāt policijas izmeklēšanas noslēpumu;
ii) jebkura nejauša vai nesankcionēta piekļuve; un
iii) jebkuru pieprasījumu, kas saņemts tieši no attiecīgajām personām, uz to neatbildot, ja vien tā nav pilnvarota to darīt; administratori
e) viņi nekavējoties un pareizi izskatīs visus Datu eksportētāja pieprasījumus par pārsūtāmo personas datu apstrādi un rīkosies saskaņā ar uzraudzības iestādes atzinumu par nodoto datu apstrādi;
f) pēc datu eksportētāja pieprasījuma tie pakļauj tā datu apstrādes iekārtas šajās klauzulās ietverto apstrādes darbību auditam, ko veic datu eksportētājs vai uzraudzības iestāde, kurā ir neatkarīgi locekļi ar nepieciešamo profesionālo kvalifikāciju; uz ko attiecas slepenības pienākums un ko izvēlas datu eksportētājs, vajadzības gadījumā vienojoties ar uzraudzības iestādi;
g) datu subjektam, ja viņš to pieprasa, viņi darīs pieejamu šo punktu kopiju vai jebkuru esošo datu apstrādes līguma apakšlīgumu, ja vien klauzulas vai līgums nesatur komerciālu informāciju, un tādā gadījumā tā var noņemt informāciju, izņemot 2.pielikumu, kas tiks aizstāts ar kopsavilkuma drošības pasākumu aprakstu, ja datu subjekts nevar iegūt kopiju no Datu eksportētāja;
h) konfidenciālas turpmākas datu apstrādes apakšlīguma slēgšanas gadījumā viņš nodrošinās, ka iepriekš informē datu eksportētāju un saņem datu eksportētāja rakstisku piekrišanu;
i) datu apstrādātāja sniegtie apstrādes pakalpojumi atbilst 11. punktam;
j) tie nekavējoties nosūtīs datu eksportētājam jebkura datu apstrādes līguma apakšlīguma kopiju, ko tā noslēgusi saskaņā ar šiem punktiem.
6. punkts
Atbildība
1. Puses vienojas, ka jebkurš datu subjekts, kuram ir nodarīts kaitējums vienas puses vai datu apstrādātāja 3. vai 11. punktā minēto pienākumu pārkāpuma dēļ, var saņemt kompensāciju no datu eksportētāja par nodarīto kaitējumu.
2. Ja datu subjektam ir liegts celt prasību par zaudējumu atlīdzināšanu, kā minēts 1. punktā pret datu eksportētāju, jo datu importētājs vai tā datu apstrādātājs nav izpildījis kādu no saviem 3. vai 11. punktā noteiktajiem pienākumiem, jo Dati Eksportētājs ir fiziski pazudis, beidzis pastāvēt likumā vai ir kļuvis maksātnespējīgs, datu importētājs piekrīt, ka datu subjekts var iesniegt pret to sūdzību tā, it kā tas būtu datu eksportētājs, ja vien ar līgumu nav nodotas visas datu eksportētāja juridiskās saistības. vai saskaņā ar likumu tās tiesību pārņēmējai vienībai, pret kuru datu subjekts pēc tam var īstenot savas tiesības. Datu importētājs nedrīkst paļauties uz to, ka Datu apstrādātājs ir pārkāpis savus pienākumus, lai izvairītos no savas atbildības.
3. Ja datu subjektam ir liegts celt 1. un 2. punktā minēto prasību pret datu eksportētāju vai datu importētāju par to, ka datu apstrādātājs ir pārkāpis savus pienākumus saskaņā ar 3. vai 11. punktu, jo datu eksportētājs un datu importētājs ir fiziski pazuduši, beiguši pastāvēt likumā vai ir kļuvuši maksātnespējīgi, Datu apstrādātājs piekrīt, ka datu subjekts var iesniegt pret to sūdzību par savām apstrādes darbībām saskaņā ar šiem punktiem tā, it kā tas būtu datu eksportētājs vai datu importētājs, ja vien datu eksportētāja vai datu importētāja juridiskās saistības ar līgumu vai saskaņā ar likumu ir nodotas tiesību pārņēmējam, pret kuru datu subjekts pēc tam var aizstāvēt savas tiesības.Datu apstrādātāja atbildība ir jāierobežo ar viņa paša apstrādes darbībām saskaņā ar šiem punktiem.
7. punkts
Starpniecība un jurisdikcija
1. Datu importētājs piekrīt, ka, ja saskaņā ar šiem noteikumiem datu subjekts atsaucas pret viņu uz trešās puses labuma guvēja tiesībām un/vai pieprasa kompensāciju par nodarīto kaitējumu, viņš pieņems datu subjekta lēmumu:
a) nodot strīdu neatkarīgai personai vai, attiecīgā gadījumā, uzraudzības iestādei starpniecības procesā;
b) iesniegt strīdu tās dalībvalsts tiesās, kurā atrodas datu eksportētājs.
2. Puses vienojas, ka datu subjekta izdarītā izvēle neietekmē datu subjekta procesuālās vai materiālās tiesības saņemt kompensāciju saskaņā ar citiem valsts vai starptautisko tiesību noteikumiem.
8. punkts
Sadarbība ar uzraudzības iestādēm
1. Datu eksportētājs piekrīt nodot šī līguma kopiju uzraudzības iestādei, ja tā to pieprasa vai ja šādu deponēšanu paredz piemērojamie datu aizsardzības tiesību akti.
2. Puses vienojas, ka uzraudzības iestāde var veikt pārbaudes pie datu importētāja un jebkura datu apstrādātāja tādā pašā apjomā un ar tādiem pašiem nosacījumiem kā pie datu eksportētāja veiktās pārbaudes saskaņā ar piemērojamajiem datu aizsardzības tiesību aktiem.
3. Datu importētājs pēc iespējas ātrāk informē datu eksportētāju par tiesību aktiem attiecībā uz datu importētāju vai jebkuru datu apstrādātāju, kas neļauj veikt pārbaudi pie datu importētāja vai jebkura datu apstrādātāja saskaņā ar 2. punktu. Šādā gadījumā Datu eksportētājs var veikt 5. panta b) apakšpunktā paredzētos pasākumus.
9. punkts
Piemērojamiem tiesību aktiem
Šīs klauzulas ir piemērojamas, un tās regulē tās dalībvalsts tiesību akti, kurā atrodas datu eksportētājs.
10. punkts
Līguma grozīšana
Puses apņemas nemainīt šos noteikumus. Puses var brīvi iekļaut citas komerciālas klauzulas, kuras tās uzskata par vajadzīgām, ja tās nav pretrunā esošajām klauzulām.
11. punkts
Turpmākie apakšlīgumi
1. Datu importētājs bez iepriekšējas rakstiskas datu eksportētāja piekrišanas nenoslēgs apakšlīgumu par nevienu no savām apstrādes darbībām, kas tiek veiktas datu eksportētāja vārdā saskaņā ar šiem punktiem. Datu importētājs noslēdz apakšlīgumus par savām saistībām saskaņā ar šiem punktiem tikai ar datu eksportētāja piekrišanu, noslēdzot rakstisku vienošanos ar datu apstrādātāju, uzliekot datu apstrādātājam tādus pašus pienākumus kā datu importētājam saskaņā ar šiem punktiem. Ja datu apstrādātājs nevar izpildīt savus datu aizsardzības pienākumus saskaņā ar šo rakstisko līgumu, datu importētājs ir pilnībā atbildīgs datu eksportētāja priekšā par šo saistību izpildi.
2. Iepriekšējā rakstiskā līgumā starp datu importētāju un datu apstrādātāju iekļauj arī trešās puses labuma guvēja klauzulu, kā noteikts 3. punktā gadījumos, kad datu subjekts nevar celt prasību par zaudējumu atlīdzināšanu, kas minēta 6. panta 1. punktā. ), pret Datu eksportētāju vai datu importētāju, jo datu eksportētājs vai datu importētājs ir fiziski pazudis, beidzis pastāvēt saskaņā ar likumu vai ir kļuvis maksātnespējīgs un visas datu eksportētāja vai datu importētāja juridiskās saistības nav nodotas, ar līgumu vai ar darbību. saskaņā ar likumu citai tiesību pārņēmējai vienībai. Datu apstrādātāja atbildība ir jāierobežo ar viņa paša apstrādes darbībām saskaņā ar šiem punktiem.
3. Noteikumus, kas attiecas uz datu aizsardzības aspektiem, slēdzot apakšlīgumus par datu apstrādi saskaņā ar 1. punktā minēto līgumu, reglamentē tās dalībvalsts tiesību akti, kurā datu eksportētājs ir reģistrēts.
4. Datu eksportētājs uztur saskaņā ar šiem punktiem noslēgto datu apstrādes līgumu apakšlīgumu sarakstu, par kuriem datu importētājs ir paziņojis saskaņā ar 5. punkta j) apakšpunktu, un tas tiek atjaunināts vismaz reizi gadā. Šo sarakstu dara pieejamu datu eksportētāja datu aizsardzības uzraudzības iestādei.
12. punkts
Pienākums pēc personas datu apstrādes pakalpojumu pārtraukšanas
1. Puses vienojas, ka pēc datu apstrādes pakalpojumu pabeigšanas Datu importētājs un datu apstrādātājs pēc datu eksportētāja ērtībām atdos visus pārsūtītos personas datus un to kopijas datu eksportētājam vai iznīcinās visus šos datus un uzrādīs pierādījumus. iznīcināšanu datu eksportētājam, ja vien Datu importētājam noteiktā likumdošana neliedz atgriezt vai iznīcināt visus vai daļu no nodotajiem personas datiem. Tādā gadījumā Datu importētājs garantē, ka nodrošinās nodoto personas datu konfidencialitāti un vairs aktīvi neapstrādās datus.
2. Datu importētājs un datu apstrādātājs nodrošina, ka pēc datu eksportētāja un/vai uzraudzības iestādes pieprasījuma tie pakļauj savus datu apstrādes līdzekļus 1. punktā minēto pasākumu pārbaudei.
2. daļas 1.1. papildinājums
Sīkāka informācija par pārskaitījumu
Datu eksportētājs
Datu eksportētājs ir Līgumā noteiktais Klients.
Datu importētājs
Datu importētājs ir IQUALIF un tam ir uzticēts apstrādāt datus, sniedzot pakalpojumus Datu eksportētājam.
Datu subjekti
Pārsūtītie personas dati attiecas uz šādām datu subjektu kategorijām:
˜' tālruņu abonenti, kas uzskaitīti universālajā katalogā
˜ citi, tostarp:
Datu kategorijas
Pārsūtītie personas dati attiecas uz šādām datu kategorijām:
Jo īpaši datu eksportētāja datu subjektu personas datu kategorijas,
˜' Pilns vārds
˜' Pasta adrese
˜' Kontaktinformācija (e-pasts, tālrunis, IP adrese utt.)
˜' Sīkāka informācija par mārketinga aktivitātēm saistībā ar tālruņa abonentu
Cita informācija, tostarp anonīmi norādīts mājokļa veids, ienākumi un pilsētas vidējais vecums
Īpašas datu kategorijas (ja piemērojams)
Pārsūtītie personas dati attiecas uz šādām īpašām datu kategorijām:
˜' Īpašu kategoriju datu pārsūtīšana nav paredzēta
˜ Rase vai etniskā izcelsme
˜ Reliģiskā vai filozofiskā pārliecība
˜ Dalība arodbiedrībā
˜ Politiskie uzskati
˜ Ģenētiskā informācija
˜ Biometriskā informācija
˜ Informācija par seksuālo orientāciju vai seksuālo dzīvi
˜ Veselības dati
Apstrādes darbības
Pārsūtītie personas dati tiks pakļauti šādām pamata apstrādes darbībām:
Datu eksportētāja vārdā veiktā apstrāde ir balstīta uz šādiem jautājumiem, jo īpaši:
˜' Datu eksportētāja piedāvāto produktu vai pakalpojumu pārņemšana
˜' Produkta vai pakalpojuma piedāvājums, ko zvanītā persona var pieprasīt
˜' No izsauktajām personām pieņemtie pasūtījumi un to turpmākā apstrāde
˜' Pētījumu anketas un analīzes
˜' Telemārketings
˜ citi, tostarp:
Datu importētājs apstrādā datu subjektu personas datus datu eksportētāja vārdā, lai sniegtu šādus pakalpojumus, un jo īpaši:
˜' Pārdošana un mārketings
˜' Citi, tostarp rātsnamu un politisko partiju datubāzu atjaunināšana
IQUALIF galvenokārt apvieno, centralizē un sniedz pakalpojumus datu eksportētājam. Nosauktā pakalpojumu sniedzēja sniegtie pakalpojumi var būt strukturēti (tostarp pēc vajadzības) ap šādiem palīgpakalpojumiem: (i) lietojumprogrammu, rīku, sistēmu un IT infrastruktūras nodrošināšana saistībā ar izmantotajiem datu apstrādes centriem, lai nodrošinātu un atbalsta pakalpojumus, tostarp iepriekš aprakstīto datu subjektu personas datu apstrādi, izmantojot šādas lietojumprogrammas, rīkus un sistēmas, (ii) IT atbalsta, apkopes un citu pakalpojumu sniegšanu saistībā ar šādām lietojumprogrammām, rīkiem, sistēmām. un IT infrastruktūra, tostarp potenciāla piekļuve personas datiem, kas glabājas šādās lietojumprogrammās, rīkos un sistēmās, un iii) datu aizsardzības pakalpojumu, aizsardzības uzraudzības un incidentu reaģēšanas pakalpojumu sniegšana, tostarp iespēja piekļūt personas datiem, sniedzot šādus aizsardzības pakalpojumus. IQUALIF var piesaistīt datu apstrādātājus, kā norādīts tālāk, lai sniegtu pakalpojumus, tostarp palīgpakalpojumus.
IQUALIF piesaista ārējos un trešo pušu pakalpojumu sniedzējus, kas nav IQUALIF meitasuzņēmumi, lai atbalstītu pakalpojumu sniegšanu Datu eksportētājam. Datu eksportētājs šādus ārējos trešo personu pakalpojumu sniedzējus apstiprina kā datu apstrādei uzticētās apakšvienības.
Ja datu apstrādē iesaistītā apakšvienība atrodas ārpus ES/EEZ, valstī, kurā saskaņā ar Eiropas Komisijas lēmumu tiek uzskatīts, ka datu aizsardzības līmenis nav atbilstošs, datu importētājs veiks pasākumus, lai iegūtu atbilstošu datu aizsardzības līmeni. datu aizsardzība saskaņā ar VDAR un 1. daļas 3.4. sadaļu (iv).
2. pielikuma 2. daļa
Tehniskie un organizatoriski aizsardzības pasākumi
Datu importētājs veic šādus Datu eksportētāja apstiprinātus tehniskos un organizatoriskos aizsardzības pasākumus, lai atkarībā no riskiem garantētu atbilstošu fizisko personu tiesību un brīvību drošības līmeni. Novērtējot attiecīgo aizsardzības līmeni, datu eksportētājs jo īpaši ir ņēmis vērā ar apstrādi saistītos riskus, tostarp nejaušu vai nelikumīgu iznīcināšanu, pārveidošanu, neatļautu izpaušanu vai piekļuvi pārsūtītajiem, uzglabātajiem vai citādi apstrādātajiem personas datiem. Precizējot: Šie tehniskie un organizatoriskie aizsardzības pasākumi neattiecas uz datu eksportētāja nodrošinātajām lietojumprogrammām, rīkiem, sistēmām un/vai IT infrastruktūru.
1 Vispārējie tehniskie un organizatoriskie aizsardzības pasākumi |
1.1. Vispārīga informācija un datu aizsardzības stratēģijas |
Lai ievērotu vispārīgās datu un informācijas aizsardzības stratēģijas, jāveic šādas darbības: |
|
|
|
|
|
1.2 Informācijas aizsardzības organizācija |
Lai koordinētu datu un informācijas aizsardzības darbības, jāveic šādi pasākumi: |
|
|
|
1.3. Piekļuves kontrole apstrādes zonām |
Jāveic šādi pasākumi, lai personas datu apstrādes, uzglabāšanas vai pārsūtīšanas laikā nepieļautu nepilnvarotu personu piekļuvi datu apstrādes sistēmām (jo īpaši programmatūrai un aparatūrai): |
|
|
|
|
1.4. Piekļuves kontrole datu apstrādes sistēmām |
Lai novērstu nesankcionētu piekļuvi datu apstrādes sistēmām, jāveic šādi pasākumi: |
|
|
|
|
|
|
1.5. Kontrolēt piekļuvi noteiktām datu apstrādes sistēmu lietošanas jomām |
Jāveic šādi pasākumi, lai nodrošinātu, ka pilnvarotās personas, kurām ir tiesības izmantot datu apstrādes sistēmu, var piekļūt datiem tikai savu attiecīgo pienākumu un piekļuves atļauju ietvaros un lai personas datus nevarētu bez atļaujas lasīt, kopēt, mainīt vai dzēst: |
|
|
|
|
|
|
|
1.6 Transmisijas vadība |
Jāveic šādi pasākumi, lai datu uzglabāšanas ierīču pārraides vai transportēšanas laikā nesankcionētas trešās personas nelasītu, kopētu, pārveidotu vai dzēstu personas datus (atkarībā no veiktās personas datu apstrādes): |
|
|
|
1.7 Datu ievades kontrole |
Jāveic šādi pasākumi, lai nodrošinātu, ka ir iespējams pārbaudīt un noteikt, vai personas dati ir ievadīti vai dzēsti no datu apstrādes sistēmām un kas to ir veicis: |
|
|
1.8 Darba kontrole |
Deleģētas personas datu apstrādes gadījumā ir jāveic šādi pasākumi, lai nodrošinātu, ka šie dati tiek apstrādāti saskaņā ar Uzraudzītāja norādījumiem: |
|
|
|
|
1.9. Nošķiršana no apstrādes citiem nolūkiem |
Jāveic šādi pasākumi, lai nodrošinātu, ka citiem nolūkiem savāktos datus var apstrādāt atsevišķi: |
|
|
1.10. Pseidonimizācija |
Attiecībā uz personas datu pseidonimizāciju ir jāveic šādi pasākumi: |
|
|
1.11 Šifrēšana |
Lai šifrētu personas datus lietojumprogrammās un pārraidēs, kas atbalsta šifrēšanu, jāveic šādas darbības:
|
|
|
1.12. Datu apstrādes sistēmu un pakalpojumu pilnīgums |
Lai nodrošinātu datu apstrādes sistēmu un pakalpojumu pilnīgumu, jāveic šādi pasākumi: |
|
|
|
1.13. Datu apstrādes sistēmu un pakalpojumu pieejamība un iespēja atjaunot piekļuvi personas datiem un to izmantošanu materiāla vai tehniska incidenta gadījumā |
Ir jāveic šādi pasākumi, lai nodrošinātu datu apstrādes sistēmu pieejamību, kā arī varētu ātri atjaunot personas datu pieejamību un piekļuvi tiem materiāla vai tehniska incidenta gadījumā (jo īpaši nodrošinot, ka personas dati ir aizsargāti pret nejaušu iznīcināšanu vai nozaudēšanu): |
|
|
|
|
|
|
|
1.14. Datu apstrādes sistēmu un pakalpojumu noturība |
Lai nodrošinātu datu apstrādes sistēmu un pakalpojumu noturību, jāveic šādi pasākumi: |
|
|
|
1.15. Datu apstrādes drošības nodrošināšanas tehnisko un organizatorisko pasākumu regulāras pārbaudes, izvērtēšanas un efektivitātes novērtēšanas kārtība |
Procedūra datu apstrādes aizsardzības tehnisko un organizatorisko pasākumu regulārai pārbaudei, novērtēšanai un efektivitātes novērtēšanai. |
|
|
|
3. daļa
Pušu paraksti un datu importētāju saraksts
Aizpildot tiešsaistes pasūtījuma veidlapu un apstiprinot to, atzīmējot rūtiņu, kas piekrīt vispārīgajiem lietošanas noteikumiem, tiek noslēgts līgums, kas regulē attiecības starp Klientu un IQUALIF.
Nosūtot maksājumu IQUALIF, tiks uzskatīts, ka līgums ir saskaņots un noslēgts.
Ņemiet vērā: Šis teksts ir tulkots no franču valodas. Sākotnējā franču valodas versija, kas ir derīga un juridiski ierobežojoša, ir pieejama šeit .