Niniejszy Załącznik stanowi integralną część Umowy i jest zawierany przez:
Każda z nich jest „ Partią ” i powszechnie „ Partią ”.
Preambuła
GDZIE importer danych świadczy profesjonalne usługi w zakresie oprogramowania, komputerów i usług powiązanych (takich jak przeglądarki z zaawansowanymi funkcjami wyszukiwania);
GDZIE zgodnie z Umową Importer Danych wyraził zgodę na świadczenie na rzecz Eksportera danych usług określonych w Umowie („ Usługi ”);
JEŻELI, świadcząc Usługi, Importer Danych otrzymuje lub korzysta z dostępu do informacji Eksportera Danych lub informacji innych osób mających (potencjalny) związek z Eksporterem Danych, takie informacje mogą zostać zakwalifikowane jako dane osobowe w rozumieniu Rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych („ RODO ”) oraz innych obowiązujących przepisów o ochronie danych.
GDZIE niniejszy dodatek zawiera warunki mające zastosowanie do gromadzenia, przetwarzania i wykorzystywania takich danych osobowych przez podmiot odbierający dane w charakterze upoważnionego agenta ds. przetwarzania danych eksportera danych, w celu zapewnienia, że Strony przestrzegają obowiązującego prawa o ochronie danych .
ZATEM i aby umożliwić Stronom kontynuację ich stosunków zgodnie z prawem, Strony zawarły niniejszy Dodatek w następujący sposób:
Część 1
1. Struktura dokumentu i definicje
1.1 Struktura
Niniejszy dodatek składa się z następujących części:
Część 1: | zawiera postanowienia ogólne, np. dotyczące definicji użytych w niniejszym Załączniku, zgodności z lokalnymi przepisami prawa, terminów i rozwiązania umowy
|
Część 2: | zawiera treść niezmienionego dokumentu Standardowych Klauzul Umownych
|
Dodatek 1.1 Części 2: | zawiera szczegółowe informacje na temat operacji przetwarzania przekazanych przez Odbiorcę Danych Odbiorcy Danych jako upoważnionemu podmiotowi przetwarzającemu dane (w tym przetwarzanie, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą) zgodnie z niniejszym Załącznik
|
Dodatek 2 Części 2: | zawiera opis technicznych i organizacyjnych środków bezpieczeństwa Importera danych, które są stosowane w związku z wszystkimi czynnościami przetwarzania opisanymi w Załączniku 1.1 Części 2
|
Część 3: | zawiera podpisy Stron, które mają być związane niniejszym dodatkiem i identyfikuje każdego importera danych
|
1.2 Terminologia i definicje
Do celów niniejszego Załącznika stosuje się terminologię i definicje stosowane przez RODO (w treści dokumentu Standardowa klauzula umowne w Części 2, gdzie zdefiniowane terminy nie są pisane wielką literą).
„Państwo Członkowskie” | oznacza kraj należący do Unii Europejskiej lub Europejskiego Obszaru Gospodarczego
|
„Szczególne kategorie danych (osobowych)” | dotyczy danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe lub przynależność do związków zawodowych oraz danych genetycznych, danych biometrycznych, jeżeli są przetwarzane w celu jednoznacznej identyfikacji osoby, danych dotyczących zdrowia, danych dotyczących płci danej osoby życie lub orientacja seksualna
|
„Standardowe klauzule umowne” | oznacza Standardowe Klauzule Umowne dotyczące przekazywania danych osobowych podmiotów przetwarzających z siedzibą w państwach trzecich, zgodnie z Decyzją Komisji 2010/87/UE z dnia 5 lutego 2010 r., zmienioną Decyzją Wykonawczą Komisji (UE) 2016/2297 z dnia 16 grudzień 2016
|
„Przetwarzający dane” | oznacza dowolnego agenta przetwarzającego, zlokalizowanego na terenie UE/EOG lub poza nim, który wyraża zgodę na otrzymywanie od odbierającego dane lub innego podmiotu przetwarzającego odbierającego dane danych osobowych wyłącznie w celu czynności przetwarzania, które mają być wykonane przez odbierającego dane po przekazania zgodnie z instrukcjami Eksportera Danych, warunkami niniejszego Załącznika oraz Umowy z Importerem Danych
|
2. Obowiązki eksportera danych
2.1 Eksporter danych jest zobowiązany do zapewnienia zgodności ze wszystkimi obowiązującymi zobowiązaniami wynikającymi z RODO i wszelkich innych obowiązujących przepisów o ochronie danych, które mają zastosowanie do eksportującego dane oraz do wykazania takiej zgodności zgodnie z wymogami art. 5 ust. 2 RODO. Odbiorca Danych gwarantuje, że Odbiorca Danych uzyskał uprzednią zgodę osób, których dane dotyczą, zgodnie z art. 6 lit. a RODO i spełnił swój obowiązek informowania osób, których dane dotyczą, zgodnie z art. 13 i 14 RODO.
2.2 Odbiorca danych musi przekazać Importującemu dane odpowiednie pliki czynności przetwarzania zgodnie z art. 30 ust. Art. 30 ust. 2 RODO.
2.3 Eksporter danych musi wyznaczyć inspektora lub przedstawiciela ds. ochrony danych w zakresie wymaganym przez obowiązujące prawo o ochronie danych. Odbiorcy Danych jest zobowiązany do przekazania Importerowi Danych danych kontaktowych do pełnomocnika lub ewentualnie przedstawiciela ds. ochrony danych.
2.4. Przekazujący dane potwierdza przed zakończeniem przetwarzania, akceptując niniejszy dodatek, że techniczne i organizacyjne środki bezpieczeństwa odbierającego dane, określone w załączniku 2 do części 2, są odpowiednie i wystarczające do ochrony praw osoby, której dane dotyczą oraz potwierdza, że Importer Danych zapewnia wystarczające zabezpieczenia w tym zakresie.
3. Zgodność z lokalnym prawem
W celu spełnienia wymogów wdrożenia podmiotów przetwarzających zgodnie z art. 28 RODO stosuje się następujące zmiany:
3.1 Instrukcje
3.2 Obowiązki importera danych
3.3 Prawa osób zainteresowanych
3.4 Podprzetwarzanie
3.5 Wygaśnięcie
Wygaśnięcie niniejszego Załącznika jest identyczne z datą wygaśnięcia odpowiedniej Umowy. O ile niniejszy Załącznik nie stanowi inaczej, prawa i obowiązki związane z wypowiedzeniem będą takie same, jak te zawarte w Umowie.
4. Ograniczenie odpowiedzialności
4.1 Każda ze stron realizuje swoje zobowiązania wynikające z niniejszego Załącznika i obowiązujących przepisów o ochronie danych.
4.2 Wszelka odpowiedzialność związana z naruszeniem zobowiązań wynikających z niniejszego Załącznika lub obowiązujących przepisów dotyczących ochrony danych podlega postanowieniom dotyczącym odpowiedzialności określonym w Umowie lub mającym do niej zastosowanie, chyba że niniejszy Załącznik stanowi inaczej. Jeżeli odpowiedzialność jest regulowana postanowieniami dotyczącymi odpowiedzialności określonymi w Umowie lub mającymi do niej zastosowanie, w celu obliczenia limitów odpowiedzialności lub określenia zastosowania innych ograniczeń odpowiedzialności, wszelkie zobowiązania wynikające z niniejszego Załącznika uznaje się za powstałe w ramach Umowy.
5. Postanowienia ogólne
5.1 W przypadku jakichkolwiek niespójności lub rozbieżności pomiędzy Częściami 1 i 2 niniejszego Dodatku, Część 2 ma pierwszeństwo. W szczególności, nawet w takim przypadku, Część 1, która po prostu wykracza poza Część 2 (tj. warunki klauzul standardowych), nie zaprzeczając jej, pozostaje ważna.
5.2 W przypadku jakichkolwiek rozbieżności między postanowieniami niniejszego Załącznika a postanowieniami innych umów wiążących strony, niniejszy Załącznik ma pierwszeństwo w odniesieniu do zobowiązań stron w zakresie ochrony danych. W przypadku wątpliwości, czy klauzule w innych umowach dotyczą obowiązków stron w zakresie ochrony danych, pierwszeństwo ma niniejszy Załącznik.
5.3 Jeśli którekolwiek z postanowień niniejszego Załącznika jest nieważne lub niewykonalne, pozostała część niniejszego Załącznika pozostanie w pełnej mocy i skuteczności. Nieważne lub niewykonalne postanowienie zostanie (i) zmienione, aby zapewnić jego ważność i wykonalność, z zachowaniem w miarę możliwości intencji stron lub - jeśli nie jest to możliwe - (ii) będzie interpretowane tak, jakby część nieważna lub niewykonalna nigdy nie była częścią umowy. Powyższe obowiązuje również w przypadku pominięcia w niniejszym dodatku.
5.5 W niezbędnym zakresie Strony mogą zażądać zmian w Części 1, Klauzuli 3 (Zgodność z prawem lokalnym) lub innych części Załącznika w celu dostosowania się do interpretacji, dyrektyw lub nakazów wydanych przez właściwe organy Związku lub Państwa członkowskie, krajowe przepisy wykonawcze lub wszelkie inne zmiany prawne dotyczące RODO lub inne warunki przekazania podmiotom zaangażowanym w przetwarzanie danych, a w szczególności dotyczące stosowania standardowych klauzul umownych w RODO. Warunki standardowych klauzul umownych nie mogą być modyfikowane ani zastępowane, chyba że Komisja Europejska wyraźnie to zatwierdzi (np. poprzez nowe odpowiednie klauzule i standardy ochrony danych).
5.6 Wszelkie odniesienia w niniejszym Dodatku do " Klauzul " należy rozumieć jako odnoszące się do wszystkich postanowień niniejszego Dodatku , o ile nie zaznaczono inaczej .
5.7 Wybór prawa w Części 2, Punkt 9 ma zastosowanie do całej Umowy.
6. Dane osobowe przekazywane i przetwarzane przez strony w celach osobistych (przekazywanie od administratora danych do administratora danych)
6.1 Strony w pełni wiedzą, że niektóre dane osobowe będą przekazywane od Eksportera danych do Odbiorcy danych i vice versa oraz że dane te są przetwarzane przez każdą ze Stron do jej własnych celów. W odniesieniu do takich danych osobowych nie ma to wpływu na inne postanowienia niniejszego Załącznika (z wyjątkiem niniejszego punktu 6).
6.2 Eksporter danych może przekazać Importerowi dane osobowe dotyczące personelu Importera danych, w tym informacje o incydentach bezpieczeństwa lub wszelkie inne dokumenty lub pliki utworzone lub utworzone przez Eksportera danych w związku z Usługami świadczonymi przez personel Importer danych. Odbiorca Danych może przetwarzać takie dane osobowe dla własnych celów, w szczególności w relacjach zawodowych z personelem Odbiorcy danych, w celu kontroli jakości i szkolenia lub w celach biznesowych.
6.3. Importer Danych może przekazać Dane Osobowe Eksporterowi Danych, w tym imię i nazwisko oraz dane kontaktowe personelu Importera Danych. Eksporter Danych może przetwarzać takie dane osobowe do własnych celów.
6.4 Obie strony będą przestrzegać wszelkich obowiązujących przepisów o ochronie danych, w tym RODO, przy gromadzeniu, przetwarzaniu i wykorzystywaniu takich danych osobowych otrzymanych od drugiej strony zgodnie z klauzulą 1 części 1. W szczególności obie Strony podejmą odpowiednie środki bezpieczeństwa, pod warunkiem podobny poziom ochrony do środków bezpieczeństwa określonych w dodatku 2 do części 2. Każdy dostęp do takich danych osobowych jest ograniczony do konieczności ich poznania.
6.5 Obie Strony muszą usunąć takie dane osobowe tak szybko, jak to możliwe po osiągnięciu celów.
Część 2
DECYZJA KOMISJI
5 lutego 2010
w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w państwach trzecich na podstawie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady
Klauzula 1
Definicje
W rozumieniu klauzul:
a) „dane osobowe”, „szczególne kategorie danych”, „przetwarzanie/przetwarzanie”, „administrator”, „podmiot przetwarzający”, „osoba, której dane dotyczą” i „organ nadzorczy” mają takie samo znaczenie jak w 95/46/WE Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (1);
b) „Eksporter danych” jest administratorem danych przekazującym dane osobowe;
c) „Importer danych” to podmiot przetwarzający dane, który wyraża zgodę na otrzymanie od Eksportera danych danych osobowych przeznaczonych do przetwarzania w imieniu Eksportera danych po przekazaniu zgodnie z jego instrukcjami i na warunkach niniejszych klauzul i który nie jest podlega mechanizmowi państwa trzeciego zapewniającego odpowiednią ochronę w rozumieniu art. 25 ust. 1 dyrektywy 95/46/WE; (d) „Przetwarzający dane” oznacza przetwarzającego dane zaangażowanego przez odbierającego dane lub przez innego przetwarzającego dane odbierającego dane, który wyraża zgodę na otrzymywanie od odbierającego dane lub innego przetwarzającego dane osobowe odbierającego dane wyłącznie w celu przetwarzania na rzecz być realizowane w imieniu Eksportera Danych po przekazaniu zgodnie z instrukcjami Eksportera Danych,
e) „obowiązujące prawo o ochronie danych” oznacza prawodawstwo chroniące podstawowe prawa i wolności osób fizycznych, w tym prawo do prywatności w związku z przetwarzaniem danych osobowych, mające zastosowanie do administratora w państwie członkowskim, w którym ma siedzibę podmiot przekazujący dane;
f) „środki techniczne i organizacyjne związane z bezpieczeństwem” oznaczają środki mające na celu ochronę danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem lub przypadkową utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem, w szczególności gdy przetwarzanie wiąże się z przesyłaniem danych przez sieci, oraz przed wszelkie inne niezgodne z prawem formy przetwarzania.
Klauzula 2
Szczegóły przelewu
Szczegóły przekazania, w tym, w stosownych przypadkach, szczególne kategorie danych osobowych, określa Załącznik nr 1, który stanowi integralną część niniejszych klauzul.
Klauzula 3
Klauzula beneficjenta zewnętrznego
1. Osoba, której dane dotyczą, może egzekwować wobec eksportera danych niniejszą klauzulę, klauzule 4(b) do (i), klauzule 5(a) do (e) i (g) do (j), klauzule 6 (1) i (2) ), pkt 7, pkt 8 ust. 2 i pkt 9–12 jako beneficjent będący osobą trzecią
2. Osoba, której dane dotyczą, może egzekwować niniejszą klauzulę, klauzule 5 lit. zniknęła lub przestała istnieć zgodnie z prawem, chyba że wszystkie jego obowiązki prawne zostały przeniesione, w drodze umowy lub z mocy prawa, na następcę prawnego, któremu powracają prawa i obowiązki eksportera danych i wobec którego dane podmiot może zatem egzekwować wspomniane klauzule.
Osoba, której dane dotyczą, może egzekwować niniejszą klauzulę, klauzulę 5 (a) do (e) i (g), klauzulę 6, klauzulę 7, klauzulę 8 (2) i klauzule 9 do 12 wobec przetwarzającego dane, ale tylko w przypadkach, gdy dane Eksporter i Odbiorca danych fizycznie zniknęli, przestali istnieć zgodnie z prawem lub stali się niewypłacalni, chyba że wszystkie zobowiązania prawne Eksportera danych zostały przeniesione, w drodze umowy lub z mocy prawa, na następcę prawnego, któremu przysługują prawa i spoczywają zatem obowiązki eksportera danych, wobec którego osoba, której dane dotyczą, może egzekwować takie klauzule. Taka odpowiedzialność przetwarzającego dane musi być ograniczona do jego własnych czynności przetwarzania zgodnie z tymi klauzulami.
4. Strony nie sprzeciwiają się reprezentowaniu osoby, której dane dotyczą, przez stowarzyszenie lub inny organ, jeśli sobie tego życzy i jeśli zezwala na to prawo krajowe.
Klauzula 4
Obowiązki eksportera danych
Eksporter Danych akceptuje i gwarantuje, co następuje:
a) przetwarzanie, w tym faktyczne przekazanie danych osobowych, było i będzie nadal prowadzone zgodnie z odpowiednimi przepisami obowiązującego prawa o ochronie danych (i, w stosownych przypadkach, zostało zgłoszone właściwym organom państwa członkowskiego w którym ma siedzibę Eksporter danych) i nie narusza odpowiednich przepisów tego państwa;
b) polecił i poinstruuje przez okres świadczenia usług przetwarzania danych osobowych Importerowi Danych, aby przetwarzał dane osobowe przekazane w wyłącznym imieniu Eksportera Danych oraz zgodnie z obowiązującymi przepisami prawa o ochronie danych oraz niniejszymi klauzulami;
c) Importer Danych zapewni wystarczające zabezpieczenia w zakresie technicznych i organizacyjnych środków bezpieczeństwa określonych w Załączniku 2 do niniejszej umowy;
d) po dokonaniu oceny wymogów obowiązującego prawa o ochronie danych środki bezpieczeństwa są odpowiednie do ochrony danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem lub przypadkową utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem, w szczególności gdy przetwarzanie wiąże się z przekazaniem danych za pośrednictwem sieci i przeciwko wszelkim innym niezgodnym z prawem formom przetwarzania oraz zapewnić poziom bezpieczeństwa odpowiedni do ryzyka związanego z przetwarzaniem i charakteru danych, które mają być chronione, z uwzględnieniem poziomu technologii i kosztów wdrożenia;
e) zapewnią przestrzeganie środków bezpieczeństwa;
f) jeżeli przekazanie dotyczy szczególnych kategorii danych, osoba, której dane dotyczą, została poinformowana lub zostanie poinformowana przed przekazaniem lub jak najszybciej po przekazaniu, że jej dane mogą zostać przekazane do państwa trzeciego, które nie oferuje odpowiedni poziom ochrony w rozumieniu dyrektywy 95/46/WE;
g) przekażą wszelkie powiadomienia otrzymane od podmiotu odbierającego dane lub podmiotu przetwarzającego dane zgodnie z klauzulami 5 (b) i 8 (3) organowi nadzorczemu ds. ochrony danych, jeśli postanowi on kontynuować przekazywanie lub znieść jego zawieszenie;
h) udostępni osobom, których dane dotyczą, na ich żądanie kopię niniejszych Klauzul, z wyjątkiem Załącznika 2, oraz skrócony opis środków bezpieczeństwa, a także kopię wszelkich dalszych umów o podwykonawstwo, zawartych na podstawie niniejszych Klauzul. Klauzule lub umowa zawierają informacje handlowe, w takim przypadku może wycofać taką informację;
i) w przypadku podzlecenia procesu przetwarzania danych, czynność przetwarzania jest wykonywana zgodnie z klauzulą 11 przez przetwarzającego dane, zapewniającego co najmniej taki sam poziom ochrony danych osobowych i praw osoby, której dane dotyczą, jak odbierający dane zgodnie z tymi klauzulami ; oraz
j) zapewni zgodność z Punktem 4 (a) do (i).
Klauzula 5
Obowiązki importera danych
Importer Danych akceptuje i gwarantuje, że:
a) będą przetwarzać dane osobowe wyłącznie w imieniu Eksportera Danych i zgodnie z poleceniami Eksportera Danych oraz niniejszymi klauzulami; jeśli z jakiegokolwiek powodu nie może spełnić wymagań, zgadzają się jak najszybciej poinformować Eksportera danych o swojej niemożności, w którym to przypadku Eksporter danych może zawiesić przekazywanie danych i/lub rozwiązać umowę;
b) nie mają powodu, by sądzić, że prawo mające do nich zastosowanie uniemożliwia mu wykonanie poleceń przekazanych przez Eksportera danych oraz obowiązków ciążących na nim na mocy umowy, a także jeżeli takie prawo podlega zmianie, która mogłaby mieć istotnie niekorzystną wpływu na gwarancje i zobowiązania wynikające z Klauzul, niezwłocznie po uzyskaniu o tym wiadomości poinformuje Eksportera danych o zmianie, w którym to przypadku Eksporter danych może zawiesić przekazywanie danych i/lub rozwiązać umowę; c) wdrożyły techniczne i organizacyjne środki bezpieczeństwa określone w Załączniku 2 przed przetwarzaniem przekazanych danych osobowych;
d) niezwłocznie powiadomi Eksportera danych:
i) każdy wiążący wniosek o ujawnienie danych osobowych złożony przez organ ścigania, o ile nie określono inaczej, taki jak zakaz karny mający na celu zachowanie tajemnicy dochodzenia policyjnego;
ii) jakikolwiek przypadkowy lub nieautoryzowany dostęp; oraz
iii) każdy wniosek otrzymany bezpośrednio od zainteresowanych osób bez odpowiedzi na nie, chyba że został do tego upoważniony; administratorzy
e) niezwłocznie i prawidłowo rozpatrzą wszelkie zapytania eksportera danych dotyczące przetwarzania przez niego przekazanych danych osobowych oraz będą działać na podstawie opinii organu nadzorczego w zakresie przetwarzania przekazanych danych;
f) na żądanie Eksportera danych poddadzą swoje obiekty przetwarzania danych audytowi czynności przetwarzania objętych niniejszymi klauzulami, przeprowadzanemu przez Eksportera Danych lub organ nadzorczy złożony z niezależnych członków o wymaganych kwalifikacjach zawodowych, podlegające obowiązkowi zachowania tajemnicy i wybrane przez eksportera danych, w stosownych przypadkach za zgodą organu nadzorczego;
g) udostępni osobie, której dane dotyczą, na jej żądanie, kopię niniejszych Klauzul lub wszelkie istniejące umowy podzlecające powierzenie przetwarzania danych, chyba że Klauzule lub umowa zawierają informacje handlowe, w takim przypadku może je usunąć. informacje, z wyjątkiem dodatku 2, który zostanie zastąpiony skróconym opisem środków bezpieczeństwa, w przypadku gdy osoba, której dane dotyczą, nie może uzyskać kopii od eksportera danych;
h) w przypadku poufnego dalszego podzlecania przetwarzania danych zapewni, że poinformuje z wyprzedzeniem Eksportera Danych i uzyska pisemną zgodę Eksportera Danych;
i) usługi przetwarzania świadczone przez podmiot przetwarzający dane będą zgodne z klauzulą 11;
j) niezwłocznie prześlą kopię umowy o powierzenie przetwarzania danych zawartej przez nią na podstawie niniejszych Klauzul Eksporterowi Danych.
Klauzula 6
Odpowiedzialność
1. Strony uzgadniają, że każda osoba, której dane dotyczą, która poniosła szkodę z powodu naruszenia obowiązków, o których mowa w ust. 3 lub ust. 11 przez jedną ze stron lub przez podmiot przetwarzający dane, może uzyskać od Eksportera dane odszkodowanie za poniesioną szkodę.
2. Jeżeli osoba, której dane dotyczą, nie może wnieść powództwa o odszkodowanie, o którym mowa w ust. Eksporter fizycznie zniknął, przestał istnieć zgodnie z prawem lub stał się niewypłacalny, podmiot odbierający dane zgadza się, że osoba, której dane dotyczą, może wnieść przeciwko niej skargę tak, jakby była eksporterem danych, chyba że wszystkie zobowiązania prawne eksportera danych zostały przeniesione na mocy umowy lub z mocy prawa podmiotowi będącemu jego następcą, wobec którego osoba, której dane dotyczą, może następnie dochodzić swoich praw. Podmiot odbierający dane nie może powoływać się na naruszenie swoich obowiązków przez podmiot przetwarzający dane w celu uniknięcia własnej odpowiedzialności.
3. Jeżeli osoba, której dane dotyczą, nie może wnieść powództwa, o którym mowa w ust. fizycznie zniknęły, przestały istnieć zgodnie z prawem lub stały się niewypłacalne, podmiot przetwarzający dane zgadza się, że osoba, której dane dotyczą, może złożyć przeciwko niej skargę dotyczącą jej własnych działań związanych z przetwarzaniem zgodnie z tymi klauzulami, tak jakby była eksporterem danych lub importerem danych, chyba że wszystkie obowiązki prawne eksportera danych lub odbierającego dane zostały przeniesione, w drodze umowy lub z mocy prawa, na następcę prawnego, wobec którego osoba, której dane dotyczą, może następnie dochodzić swoich praw.Odpowiedzialność przetwarzającego dane musi być ograniczona do jego własnych czynności przetwarzania zgodnie z tymi klauzulami.
Klauzula 7
Mediacja i jurysdykcja
1. Odbiorca Danych zgadza się, że jeżeli zgodnie z klauzulami osoba, której dane dotyczą, powołuje się przeciwko niemu na prawo beneficjenta zewnętrznego i/lub domaga się odszkodowania za doznaną krzywdę, zaakceptuje decyzję osoby, której dane dotyczą:
a) poddania sporu mediacji przez niezależną osobę lub, w stosownych przypadkach, organ nadzorczy;
b) wnieść spór przed sądy państwa członkowskiego, w którym ma siedzibę eksporter danych.
2. Strony uzgadniają, że wybór dokonany przez osobę, której dane dotyczą, nie wpływa na proceduralne lub materialne prawo osoby, której dane dotyczą, do dochodzenia roszczeń zgodnie z innymi przepisami prawa krajowego lub międzynarodowego.
Klauzula 8
Współpraca z organami nadzorczymi
1. Przekazujący dane wyraża zgodę na złożenie kopii niniejszej umowy organowi nadzorczemu, jeżeli ten zażąda tego lub jeżeli takie złożenie jest przewidziane w obowiązujących przepisach o ochronie danych.
2. Strony uzgadniają, że organ nadzorczy może przeprowadzać kontrole u Odbiorcy danych i dowolnego przetwarzającego dane w takim samym zakresie i na takich samych warunkach, jak kontrole przeprowadzane u Odbiorcy danych zgodnie z obowiązującym prawem o ochronie danych.
3. Podmiot odbierający dane jak najszybciej informuje podmiot przekazujący dane o istnieniu przepisów dotyczących podmiotu odbierającego dane lub podmiotu przetwarzającego dane, które uniemożliwiają weryfikację u podmiotu odbierającego dane lub podmiotu przetwarzającego dane zgodnie z ust. 2. W takim przypadku podmiot odbierający dane Eksporter Danych może podjąć środki przewidziane w Klauzuli 5 (b).
Klauzula 9
Obowiązujące prawo
Klauzule mają zastosowanie i podlegają prawu państwa członkowskiego, w którym ma siedzibę eksporter danych.
Klauzula 10
Modyfikacja umowy
Strony zobowiązują się nie modyfikować niniejszych klauzul. Strony mogą dołączyć inne klauzule handlowe, które uznają za konieczne, pod warunkiem, że nie są one sprzeczne z niniejszymi klauzulami.
Klauzula 11
Kolejne podwykonawstwo
1. Importer danych nie zleca podwykonawcom żadnych czynności przetwarzania wykonywanych w imieniu eksportera danych na podstawie niniejszych klauzul bez uprzedniej pisemnej zgody eksportera danych. Odbiorca danych może zlecić podwykonawstwo swoich zobowiązań wynikających z niniejszych klauzul, za zgodą Odbiorcy danych, poprzez pisemną umowę z przetwarzającym dane, nakładającą na przetwarzającego takie same obowiązki, jak te nałożone na odbierającego dane na mocy niniejszych klauzul. Jeżeli podmiot przetwarzający dane nie może wywiązać się ze swoich zobowiązań w zakresie ochrony danych wynikających z tej pisemnej umowy, podmiot odbierający dane pozostaje w pełni odpowiedzialny wobec eksportera danych za wypełnienie tych obowiązków.
2. Uprzednia pisemna umowa pomiędzy odbierającym dane a przetwarzającym dane powinna zawierać również klauzulę beneficjenta będącego osobą trzecią, o której mowa w ust. ), przeciwko eksporterowi danych lub odbierającemu dane, ponieważ eksporter danych lub odbierający dane fizycznie zniknął, przestał istnieć zgodnie z prawem lub stał się niewypłacalny, a wszystkie zobowiązania prawne eksportera danych lub odbierającego dane nie zostały przeniesione w drodze umowy lub operacji prawa do innego następcy prawnego. Odpowiedzialność przetwarzającego dane musi być ograniczona do jego własnych czynności przetwarzania zgodnie z tymi klauzulami.
3. Przepisy dotyczące aspektów ochrony danych podzlecania przetwarzania danych w ramach umowy, o której mowa w ust. 1, podlegają prawu państwa członkowskiego, w którym eksporter danych ma siedzibę.
4. Eksporter danych prowadzi wykaz podwykonawców umów powierzenia przetwarzania danych zawartych na podstawie niniejszych Klauzul i zgłoszonych przez Odbiorcę danych zgodnie z ust. 5 lit. j), który będzie aktualizowany nie rzadziej niż raz w roku. Wykaz ten jest udostępniany organowi nadzorczemu ds. ochrony danych przekazującego dane.
Klauzula 12
Obowiązek po zakończeniu świadczenia usług przetwarzania danych osobowych
1. Strony uzgadniają, że po zakończeniu świadczenia usług przetwarzania danych Odbiorca Danych i Przetwarzający Dane zwrócą, w dogodnym dla Eksportera, wszystkie przekazane dane osobowe i ich kopie, lub zniszczą wszystkie te dane i przedstawią dowód. zniszczenia na rzecz odbierającego dane, chyba że przepisy nałożone na odbierającego dane uniemożliwiają mu zwrot lub zniszczenie całości lub części przekazanych danych osobowych. W takim przypadku Importer Danych gwarantuje, że zapewni poufność przekazanych danych osobowych i nie będzie już aktywnie przetwarzał danych.
2. Odbiorca danych i podmiot przetwarzający zapewniają, że na żądanie przekazującego dane i/lub organu nadzorczego poddadzą swoje środki przetwarzania danych weryfikacji środków, o których mowa w ust. 1.
Dodatek 1.1 do Części 2
Szczegóły przelewu
Eksporter danych
Eksporterem danych jest Klient określony w Umowie Kontraktowej.
Importer danych
Importerem danych jest IQUALIF i jest on wyznaczony do przetwarzania danych, świadcząc usługi na rzecz Eksportera Danych.
Podmioty danych
Przekazywane dane osobowe dotyczą następujących kategorii osób, których dane dotyczą:
„abonenci telefoniczni wymienieni w uniwersalnej książce telefonicznej”
˜ Inne, w tym:
Kategorie danych
Przekazywane dane osobowe dotyczą następujących kategorii danych:
Kategorie danych osobowych Podmiotów Danych Eksportera w szczególności,
„Pełne imię”
„Adres pocztowy”
→ Dane kontaktowe (e-mail, telefon, adres IP itp.)
„Szczegóły działań marketingowych dotyczących abonenta telefonicznego”
„Inne, w tym rodzaj mieszkania, dochód i średni wiek w mieście, wykonane anonimowo”
Specjalne kategorie danych (jeśli dotyczy)
Przekazywane dane osobowe dotyczą następujących szczególnych kategorii danych:
˜ Nie przewiduje się przekazywania szczególnych kategorii danych
˜ Rasa lub pochodzenie etniczne
˜ Przekonania religijne lub filozoficzne
˜Przynależność do związków zawodowych
˜Poglądy polityczne
˜Informacje genetyczne
˜ Informacje biometryczne
˜Informacje o orientacji seksualnej lub życiu seksualnym
˜Dane zdrowotne
Czynności przetwarzania
Przekazane dane osobowe będą podlegały następującym podstawowym czynnościom przetwarzania:
Przetwarzanie podejmowane w imieniu Eksportera danych opiera się w szczególności na następujących tematach:
„Przejęcie kontroli nad produktami lub usługami oferowanymi przez Eksportera danych”
„Oferta produktu lub usługi, o którą może poprosić osoba dzwoniąca”
„Zlecenia od osób wywoływanych i dalsza realizacja tych zleceń”
„Ankiety i analizy badawcze”
„Telemarketing”
˜ Inne, w tym:
Odbiorca danych przetwarza dane osobowe osób, których dane dotyczą w imieniu Odbiorcy danych, w celu świadczenia następujących usług, a w szczególności:
„Sprzedaż i marketing”
„Inne, w tym aktualizowanie baz danych urzędów miejskich i partii politycznych”
IQUALIF głównie łączy, centralizuje i świadczy usługi dla Eksportera Danych. Usługi świadczone przez wskazanego usługodawcę mogą być zorganizowane (m.in. w stosownych przypadkach) wokół następujących usług dodatkowych: (i) dostarczanie aplikacji, narzędzi, systemów i infrastruktury IT w odniesieniu do wykorzystywanych centrów przetwarzania danych w celu świadczenia i wspierać usługi, w tym przetwarzanie danych osobowych osób, których dane dotyczą, jak opisano powyżej, za pośrednictwem takich aplikacji, narzędzi i systemów, (ii) świadczenia wsparcia informatycznego, konserwacji i innych usług związanych z takimi aplikacjami, narzędziami, systemami i infrastruktury IT, w tym potencjalny dostęp do danych osobowych przechowywanych w takich aplikacjach, narzędziach i systemach oraz (iii) świadczenie usług ochrony danych, monitorowania ochrony i reagowania na incydenty, w tym potencjalny dostęp do danych osobowych podczas świadczenia takich usług ochrony. IQUALIF może zaangażować podmioty przetwarzające dane, jak określono poniżej, do świadczenia usług, w tym usług pomocniczych.
IQUALIF angażuje zewnętrznych i zewnętrznych dostawców usług, którzy nie są spółkami zależnymi IQUALIF, do wsparcia świadczenia usług na rzecz Eksportera Danych. Eksporter danych zatwierdza takich zewnętrznych zewnętrznych dostawców usług jako podpodmioty przypisane do przetwarzania danych.
Jeżeli podpodmiot zajmujący się przetwarzaniem danych znajduje się poza UE/EOG, w kraju uznanym za niewystarczający poziom ochrony danych na podstawie decyzji Komisji Europejskiej, podmiot odbierający dane podejmie kroki w celu uzyskania odpowiedniego poziomu ochrona danych zgodnie z RODO oraz ust. 3.4 (iv) części 1.
Dodatek 2, Część 2
Techniczne i organizacyjne środki ochronne
Odbiorca Danych podejmuje następujące techniczne i organizacyjne środki ochrony potwierdzone przez Odbiorcę Danych, w celu zapewnienia odpowiedniego poziomu ochrony praw i wolności osób fizycznych, w zależności od zagrożeń. Oceniając poziom ochrony, eksporter danych wziął pod uwagę w szczególności ryzyko związane z przetwarzaniem, w tym przypadkowe lub niezgodne z prawem zniszczenie, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób. Wyjaśniając: Te techniczne i organizacyjne środki ochrony nie mają zastosowania do aplikacji, narzędzi, systemów i/lub infrastruktury IT udostępnianych przez Eksportera danych.
1 Ogólne techniczne i organizacyjne środki ochrony |
1.1 Informacje ogólne i strategie ochrony danych |
Aby postępować zgodnie z ogólnymi strategiami ochrony danych i informacji, należy podjąć następujące kroki: |
|
|
|
|
|
1.2 Organizacja ochrony informacji |
W celu skoordynowania działań w zakresie ochrony danych i informacji należy podjąć następujące działania: |
|
|
|
1.3 Kontrola dostępu do obszarów przetwarzania |
Należy podjąć następujące środki w celu uniemożliwienia osobom nieuprawnionym dostępu do systemów przetwarzania danych (w szczególności oprogramowania i sprzętu) podczas przetwarzania, przechowywania lub przesyłania danych osobowych: |
|
|
|
|
1.4 Kontrola dostępu do systemów przetwarzania danych |
Aby zapobiec nieuprawnionemu dostępowi do systemów przetwarzania danych, należy podjąć następujące środki: |
|
|
|
|
|
|
1.5 Kontrola dostępu do poszczególnych obszarów użytkowania systemów przetwarzania danych |
Należy podjąć następujące środki, aby osoby upoważnione z prawem do korzystania z systemu przetwarzania danych miały dostęp do danych wyłącznie w ramach swoich obowiązków i uprawnień dostępu oraz aby dane osobowe nie mogły być odczytywane, kopiowane, modyfikowane ani usuwane bez upoważnienia: |
|
|
|
|
|
|
|
1.6 Kontrola transmisji |
Należy podjąć następujące środki, aby zapobiec odczytaniu, skopiowaniu, zmianie lub usunięciu danych osobowych przez nieuprawnione osoby trzecie podczas przesyłania lub transportu urządzeń do przechowywania danych (w zależności od podjętego przetwarzania danych osobowych): |
|
|
|
1.7 Kontrola wprowadzania danych |
Należy podjąć następujące działania w celu zapewnienia możliwości weryfikacji i ustalenia, czy dane osobowe zostały wprowadzone lub usunięte z systemów przetwarzania danych i przez kogo: |
|
|
1.8 Kontrola pracy |
W przypadku delegowania przetwarzania danych osobowych należy podjąć następujące działania, aby dane te były przetwarzane zgodnie z poleceniami Inspektora: |
|
|
|
|
1.9 Oddzielenie od przetwarzania w innych celach |
Aby dane gromadzone w innych celach mogły być przetwarzane oddzielnie, należy podjąć następujące środki: |
|
|
1.10 Pseudonimizacja |
W związku z pseudonimizacją danych osobowych należy podjąć następujące środki: |
|
|
1.11 Szyfrowanie |
Aby zaszyfrować dane osobowe w aplikacjach i transmisjach obsługujących szyfrowanie, należy podjąć następujące kroki:
|
|
|
1.12 Kompletność systemów i usług przetwarzania danych |
W celu zapewnienia kompletności systemów i usług przetwarzania danych należy podjąć następujące środki: |
|
|
|
1.13 Dostępność systemów i usług przetwarzania danych oraz możliwość przywrócenia dostępu i wykorzystania danych osobowych w przypadku wystąpienia incydentu materialnego lub technicznego |
Należy podjąć następujące działania w celu zapewnienia dostępności systemów przetwarzania danych, a także umożliwienia szybkiego przywrócenia dostępności i dostępu do danych osobowych w przypadku wystąpienia incydentu materialnego lub technicznego (w szczególności poprzez zapewnienie, że dane osobowe są chronione przed przypadkowym zniszczeniem lub utratą): |
|
|
|
|
|
|
|
1.14 Odporność systemów i usług przetwarzania danych |
Aby zapewnić odporność systemów i usług przetwarzania danych, należy podjąć następujące środki: |
|
|
|
1.15 Procedura regularnego testowania, oceny i oceny skuteczności środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych |
Procedura regularnego testowania, oceny i oceny skuteczności technicznych i organizacyjnych środków ochrony przetwarzania danych. |
|
|
|
Część 3
Podpisy stron i lista importerów danych
Po wypełnieniu internetowego formularza zamówienia i zatwierdzeniu go poprzez zaznaczenie pola akceptującego ogólne warunki użytkowania, zostaje zawarta umowa regulująca relację między Klientem a IQUALIF.
Wysłanie płatności do IQUALIF rozpatrzy uzgodnioną i zawartą umowę.
Zanotuj: Ten tekst został przetłumaczony z języka francuskiego. Oryginalna wersja francuska, która jest ważna i prawnie restrykcyjna, dostępna jest tutaj .