Załącznik dotyczący przetwarzania danych

 

Niniejszy Załącznik stanowi integralną część Umowy i jest zawierany przez:

 

  1. (i) Klient („ Eksporter danych ”)
  2. (ii) IQUALIF („ Importer danych ”)

 

Każda z nich jest „ Partią ” i powszechnie „ Partią ”.

 

Preambuła

GDZIE importer danych świadczy profesjonalne usługi w zakresie oprogramowania, komputerów i usług powiązanych (takich jak przeglądarki z zaawansowanymi funkcjami wyszukiwania);

GDZIE zgodnie z Umową Importer Danych wyraził zgodę na świadczenie na rzecz Eksportera danych usług określonych w Umowie („ Usługi ”);

JEŻELI, świadcząc Usługi, Importer Danych otrzymuje lub korzysta z dostępu do informacji Eksportera Danych lub informacji innych osób mających (potencjalny) związek z Eksporterem Danych, takie informacje mogą zostać zakwalifikowane jako dane osobowe w rozumieniu Rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych („ RODO ”) oraz innych obowiązujących przepisów o ochronie danych.

GDZIE niniejszy dodatek zawiera warunki mające zastosowanie do gromadzenia, przetwarzania i wykorzystywania takich danych osobowych przez podmiot odbierający dane w charakterze upoważnionego agenta ds. przetwarzania danych eksportera danych, w celu zapewnienia, że ​​Strony przestrzegają obowiązującego prawa o ochronie danych .

 

ZATEM i aby umożliwić Stronom kontynuację ich stosunków zgodnie z prawem, Strony zawarły niniejszy Dodatek w następujący sposób:

Część 1

 

1. Struktura dokumentu i definicje

1.1 Struktura

Niniejszy dodatek składa się z następujących części:

 

Część 1: 

zawiera postanowienia ogólne, np. dotyczące definicji użytych w niniejszym Załączniku, zgodności z lokalnymi przepisami prawa, terminów i rozwiązania umowy

 

Część 2:

zawiera treść niezmienionego dokumentu Standardowych Klauzul Umownych

 

Dodatek 1.1 Części 2:

zawiera szczegółowe informacje na temat operacji przetwarzania przekazanych przez Odbiorcę Danych Odbiorcy Danych jako upoważnionemu podmiotowi przetwarzającemu dane (w tym przetwarzanie, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą) zgodnie z niniejszym Załącznik

 

Dodatek 2 Części 2:

zawiera opis technicznych i organizacyjnych środków bezpieczeństwa Importera danych, które są stosowane w związku z wszystkimi czynnościami przetwarzania opisanymi w Załączniku 1.1 Części 2

 

Część 3:

zawiera podpisy Stron, które mają być związane niniejszym dodatkiem i identyfikuje każdego importera danych

 

 

1.2 Terminologia i definicje

Do celów niniejszego Załącznika stosuje się terminologię i definicje stosowane przez RODO (w treści dokumentu Standardowa klauzula umowne w Części 2, gdzie zdefiniowane terminy nie są pisane wielką literą). 

 

„Państwo Członkowskie”

oznacza kraj należący do Unii Europejskiej lub Europejskiego Obszaru Gospodarczego

 

„Szczególne kategorie danych (osobowych)”

dotyczy danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe lub przynależność do związków zawodowych oraz danych genetycznych, danych biometrycznych, jeżeli są przetwarzane w celu jednoznacznej identyfikacji osoby, danych dotyczących zdrowia, danych dotyczących płci danej osoby życie lub orientacja seksualna

 

„Standardowe klauzule umowne”

oznacza Standardowe Klauzule Umowne dotyczące przekazywania danych osobowych podmiotów przetwarzających z siedzibą w państwach trzecich, zgodnie z Decyzją Komisji 2010/87/UE z dnia 5 lutego 2010 r., zmienioną Decyzją Wykonawczą Komisji (UE) 2016/2297 z dnia 16 grudzień 2016

 

„Przetwarzający dane”

oznacza dowolnego agenta przetwarzającego, zlokalizowanego na terenie UE/EOG lub poza nim, który wyraża zgodę na otrzymywanie od odbierającego dane lub innego podmiotu przetwarzającego odbierającego dane danych osobowych wyłącznie w celu czynności przetwarzania, które mają być wykonane przez odbierającego dane po przekazania zgodnie z instrukcjami Eksportera Danych, warunkami niniejszego Załącznika oraz Umowy z Importerem Danych

 

 

 

2. Obowiązki eksportera danych

2.1 Eksporter danych jest zobowiązany do zapewnienia zgodności ze wszystkimi obowiązującymi zobowiązaniami wynikającymi z RODO i wszelkich innych obowiązujących przepisów o ochronie danych, które mają zastosowanie do eksportującego dane oraz do wykazania takiej zgodności zgodnie z wymogami art. 5 ust. 2 RODO. Odbiorca Danych gwarantuje, że Odbiorca Danych uzyskał uprzednią zgodę osób, których dane dotyczą, zgodnie z art. 6 lit. a RODO i spełnił swój obowiązek informowania osób, których dane dotyczą, zgodnie z art. 13 i 14 RODO.

2.2 Odbiorca danych musi przekazać Importującemu dane odpowiednie pliki czynności przetwarzania zgodnie z art. 30 ust. Art. 30 ust. 2 RODO.

2.3 Eksporter danych musi wyznaczyć inspektora lub przedstawiciela ds. ochrony danych w zakresie wymaganym przez obowiązujące prawo o ochronie danych. Odbiorcy Danych jest zobowiązany do przekazania Importerowi Danych danych kontaktowych do pełnomocnika lub ewentualnie przedstawiciela ds. ochrony danych.

2.4. Przekazujący dane potwierdza przed zakończeniem przetwarzania, akceptując niniejszy dodatek, że techniczne i organizacyjne środki bezpieczeństwa odbierającego dane, określone w załączniku 2 do części 2, są odpowiednie i wystarczające do ochrony praw osoby, której dane dotyczą oraz potwierdza, że ​​Importer Danych zapewnia wystarczające zabezpieczenia w tym zakresie.

 

3. Zgodność z lokalnym prawem

W celu spełnienia wymogów wdrożenia podmiotów przetwarzających zgodnie z art. 28 RODO stosuje się następujące zmiany:

 

3.1 Instrukcje

  1. (i) Eksporter Danych poleca Importerowi Danych przetwarzanie danych osobowych wyłącznie w imieniu Eksportera Danych. Instrukcje eksportera danych zawarte są w niniejszym Załączniku oraz w Umowie. Eksporter danych ma obowiązek zapewnić, że wszystkie instrukcje przekazane Importerowi danych są zgodne z obowiązującymi przepisami o ochronie danych. Odbiorca danych musi przetwarzać dane osobowe wyłącznie zgodnie z instrukcjami przekazanymi przez Odbiorcę danych, chyba że Unia Europejska lub prawo państwa członkowskiego stanowią inaczej (w tym ostatnim przypadku zastosowanie ma Część 1 Klauzula 3.2 (iv) (c)) .
  2. (ii) Wszelkie inne instrukcje wykraczające poza instrukcje zawarte w niniejszym Załączniku lub Umowie muszą być zawarte w przedmiocie niniejszego Załącznika i Umowy. W przypadku, gdy realizacja tej dodatkowej dyspozycji wiąże się z kosztami dla Importera Danych, Importer Danych zobowiązany jest poinformować o tych kosztach Eksportera Danych i udzielić wyjaśnienia przed realizacją dyspozycji. Dopiero po potwierdzeniu przez Eksportera Danych przyjęcia tych kosztów do realizacji dyspozycji, Importer Danych realizuje tę dodatkową dyspozycję. Eksporter danych musi udzielić dodatkowych instrukcji na piśmie, chyba że pilny charakter lub inne szczególne okoliczności wymagają innej formy (np. ustnej, elektronicznej). Dyspozycje w formie innej niż pisemna muszą być niezwłocznie potwierdzone pisemnie przez Eksportera Danych.
  3. 1. O ile Eksporter danych nie jest w stanie samodzielnie dokonać sprostowania, usunięcia lub ograniczenia danych osobowych, instrukcje mogą również odnosić się do sprostowania, usunięcia i/lub ograniczenia danych osobowych, jak określono w Części 1 Klauzula 3.3.
  4. 2. Odbiorca Danych jest zobowiązany do niezwłocznego poinformowania Eksportera Danych, jeżeli jego zdaniem, Dyspozycja narusza RODO lub inne obowiązujące przepisy o ochronie danych osobowych Unii Europejskiej lub państwa członkowskiego („ Dyspozycja spornaW przypadku uznania przez organ nadzorczy kwestionowanej Dyspozycji za legalną, Odbiorca Danych zobowiązany jest do realizacji kwestionowanej Dyspozycji. Część 1 Punkt 3.1 (ii) pozostaje w mocy.

 

3.2 Obowiązki importera danych

  1. (i) Importujący dane musi zapewnić, że osoby upoważnione przez odbierającego dane do przetwarzania danych osobowych w imieniu odbierającego dane, w szczególności pracownicy odbierającego dane i pracownicy dowolnego podwykonawcy, zobowiązały się do zachowania poufności lub podlegają odpowiedni ustawowy obowiązek zachowania poufności oraz aby osoby mające dostęp do danych osobowych przetwarzały je zgodnie z instrukcjami Eksportera Danych.
  2. (ii) Importer danych musi wdrożyć techniczne i organizacyjne środki bezpieczeństwa określone w Załączniku 2 do Części 2 przed przetwarzaniem danych osobowych w imieniu Importera danych. Importer danych może od czasu do czasu zmieniać techniczne i organizacyjne środki bezpieczeństwa, jeśli nie zapewniają one mniejszej ochrony niż te określone w Załączniku 2 do Części 2.
  3. (iii) Importer danych udostępnia eksporterowi danych, na żądanie eksportera danych, informacje w celu wykazania zgodności z zobowiązaniami importera danych wynikającymi z niniejszego dodatku. Strony uzgadniają, że obowiązek informacyjny jest spełniony poprzez dostarczenie Eksporterowi danych raportu z audytu (obejmującego bezpieczeństwo zasad, dostępność systemu i poufność) („Raport z audytu”). Jeżeli prawnie wymagane są dodatkowe czynności audytowe, Eksporter Danych może zażądać przeprowadzenia kontroli przez Eksportera Danych lub innego audytora wyznaczonego przez Eksportera Danych, pod warunkiem zawarcia przez takiego audytora umowy o zachowaniu poufności z Importerem Danych na rzecz Importera Danych. rozsądna satysfakcja („Audyt”). Ten audyt podlega następującym warunkom: (i) uprzednia formalna pisemna akceptacja podmiotu odbierającego dane; oraz (ii) Eksporter Danych poniesie wszelkie koszty związane z Audytem na miejscu dla Eksportera Danych i Importera Danych. Eksporter danych musi stworzyć raport z audytu podsumowujący wyniki i obserwacje z audytu na miejscu („Raport z audytu na miejscu”). Raporty z audytu na miejscu i raporty z audytu są informacjami poufnymi podmiotu odbierającego dane i nie mogą być ujawniane osobom trzecim, chyba że jest to wymagane przez obowiązujące prawo o ochronie danych lub zgodnie z zgodą podmiotu odbierającego dane.
  4. (iv) Importer danych ma obowiązek bez zbędnej zwłoki powiadomić eksportera danych:
    1. a. w odniesieniu do wszelkich prawnie wiążących wniosków o ujawnienie danych osobowych przez organ ścigania, o ile nie jest to inaczej zabronione, np. na mocy prawa karnego zakazu ochrony poufności dochodzenia prowadzonego przez organy ścigania
    2. b. dotyczące wszelkich skarg i wniosków otrzymanych bezpośrednio od osoby, której dane dotyczą (np. dotyczących dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu wobec przetwarzania danych, zautomatyzowanego podejmowania decyzji) bez odpowiedzi na to żądanie, chyba że Odbiorca danych został upoważniony do Zrób tak
    3. c. jeżeli podmiot odbierający dane lub podmiot przetwarzający dane jest zobowiązany na mocy prawa Unii Europejskiej lub państwa członkowskiego, któremu podlega podmiot odbierający dane lub podmiot przetwarzający, do przetwarzania danych osobowych poza poleceniami odbierającego dane, przed dokonaniem takiego przetwarzania poza instrukcje, chyba że przepisy prawa Unii Europejskiej lub państwa członkowskiego zabraniają takiego przetwarzania ze względu na żywotny interes publiczny, w którym to przypadku powiadomienie przekazywane eksporterowi danych określa wymóg prawny na mocy tego prawa Unii Europejskiej lub państwa członkowskiego; lub
    4. d. jeżeli Odbiorca Danych stwierdzi naruszenie danych osobowych, wyłącznie z własnej winy lub ze względu na swojego podwykonawcę, które miałoby wpływ na dane osobowe Odbiorcy danych objęte niniejszą umową, w takim przypadku Odbiorca Danych pomoże Odbiorcy Danych w jego obowiązkach, vis-Ã -vis obowiązującego prawa o ochronie danych, w celu poinformowania osób, których dane dotyczą oraz, w stosownych przypadkach, organów nadzorczych poprzez przekazanie posiadanych informacji, zgodnie z art. 33 ust. 3 RODO.
    5. (v) Na żądanie przekazującego dane, odbierający dane jest zobowiązany do udzielenia pomocy przekazującemu dane w jego obowiązku przeprowadzenia oceny skutków dla ochrony danych, która może być wymagana na mocy art. 35 RODO oraz uprzednich konsultacji, które mogą być wymagane przez art. 36 RODO dotyczące usług świadczonych przez Importera Danych na rzecz Eksportera Danych na podstawie niniejszego Załącznika, dostarczanie niezbędnych i informacji Eksporterowi Danych. Odbiorca Danych będzie zobowiązany do udzielenia takiej pomocy tylko wtedy, gdy Odbiorca Danych nie będzie w stanie wywiązać się ze swojego zobowiązania w inny sposób. Importer Danych poinformuje Eksportera o kosztach takiej pomocy. Gdy tylko eksporter danych potwierdzi, że może ponieść ten koszt, podmiot importujący dane udzieli eksporterowi danych pomocy.
    6. (vi) Po zakończeniu świadczenia usług, eksporter danych może zażądać zwrotu danych osobowych przetwarzanych przez podmiot odbierający dane zgodnie z niniejszym załącznikiem w ciągu jednego miesiąca po wykonaniu usług. O ile ustawodawstwo państwa członkowskiego lub Unii Europejskiej nie wymaga od odbierającego dane przechowywania lub przechowywania takich danych osobowych, odbierający dane usunie wszystkie takie dane osobowe lub nieosobowe po upływie jednego miesiąca, niezależnie od tego, czy zostały one zwrócone do eksportera danych na jego żądanie lub nie.

 

3.3 Prawa osób zainteresowanych

  1.  
    1. (i) Eksporter danych zarządza żądaniami osób, których dane dotyczą, i odpowiada na nie. Importer danych nie jest zobowiązany do bezpośredniego udzielania odpowiedzi osobom, których dane dotyczą.
    2. (ii) Jeżeli eksportujący dane wymaga pomocy od podmiotu odbierającego dane w przetwarzaniu i odpowiadaniu na żądania osoby, której dane dotyczą, eksportujący dane wyda dalsze polecenie zgodnie z klauzulą ​​3.1 (ii) części 1. Importer danych udzieli pomocy eksportującemu dane z następującymi odpowiednimi i technicznymi środkami organizacyjnymi umożliwiającymi odpowiadanie na żądania realizacji praw osób, których dane dotyczą, określonych w Rozdziale III RODO, w następujący sposób:
    3. a. W odniesieniu do wniosków o udzielenie informacji, odbierający dane przekaże eksporterowi danych informacje wymagane na mocy art. 13 i 14 PGRD, które może mieć do swojej dyspozycji, jeżeli Eksportujący dane nie może ich znaleźć samodzielnie.
    4. b. W odniesieniu do wniosków o dostęp (art. 15 RODO) Odbiorca Danych przekaże Odbierającemu dane wyłącznie informacje, które osoba, której dane dotyczą, w związku z tym wnioskiem o udostępnienie danych ma przekazać, którymi może dysponować, jeżeli ten ostatni nie może znaleźć tego sam.
    5. c. W odniesieniu do żądań sprostowania (art. 16 RODO), żądania usunięcia (art. 17 RODO), ograniczenia żądania przetwarzania (art. 18 RODO) lub żądania przeniesienia (art. 20 RODO) i tylko jeżeli Odbiorca Danych nie może sam sprostować, usunąć, ograniczyć lub przekazać danych osobowych innej osobie trzeciej, Odbiorca Danych zaoferuje Odbiorcy Danych możliwość sprostowania, usunięcia, ograniczenia lub przekazania odnośnych danych osobowych innej osobie trzeciej, lub jeśli nie jest to możliwe, zapewni pomoc w sprostowaniu lub usunięciu, ograniczeniu lub przekazaniu drugiej stronie trzeciej danych osobowych, których to dotyczy.
    6. d. W odniesieniu do powiadomienia dotyczącego sprostowania, usunięcia lub ograniczenia przetwarzania (art. 19 RODO), podmiot odbierający dane pomoże eksporterowi danych, powiadamiając o tym wszystkich odbiorców danych osobowych zaangażowanych przez podmiot odbierający dane jako podmioty przetwarzające, jeżeli eksportujący dane tego zażąda i jeżeli Eksporter Danych nie jest w stanie samodzielnie naprawić sytuacji.
    7. mi. W odniesieniu do prawa do sprzeciwu, z którego korzysta osoba, której dane dotyczą (art. 21 i 22 RODO), podmiot przekazujący dane określi, czy sprzeciw jest uzasadniony i jak sobie z nim poradzić.
    8. (iii) Obowiązki pomocy importera danych ograniczają się do danych osobowych przetwarzanych w jego infrastrukturze (np. bazy danych, systemy, aplikacje będące własnością lub dostarczone przez importera danych).
    9. (iv) Eksporter danych określi, czy Podmiot danych może korzystać z praw Podmiotów danych określonych w pkt 3.1 niniejszej Części 1 i poinformuje Importera danych o zakresie, w jakim pomoc określona w pkt 3.3 (ii), ( iii) Części 1 jest konieczne.
    10. (v) Jeżeli Eksporter Danych zażąda dodatkowych lub zmodyfikowanych środków technicznych i organizacyjnych w celu realizacji praw osób, których dane dotyczą, wykraczających poza pomoc udzielaną przez Importera Danych na mocy klauzuli 3.3 (ii), (iii) Części 1, Dane Importer informuje Eksportera Danych o kosztach wdrożenia takich dodatkowych lub zmodyfikowanych środków technicznych i organizacyjnych. Gdy tylko Eksporter Danych potwierdzi, że jest w stanie pokryć te koszty, Importer Danych wdroży takie dodatkowe lub zmodyfikowane środki techniczne i organizacyjne, aby pomóc Eksporterowi Danych w odpowiedzi na żądania Podmiotów Danych.
    11. (vi) Nie ograniczając zakresu Artykułu 3.3 (v) Części 1, Eksporter danych jest zobowiązany do zwrotu Importerowi danych jego uzasadnionych kosztów poniesionych w odpowiedzi na żądania Podmiotów danych.

 

3.4 Podprzetwarzanie

  1.  
    1. (i) Eksporter Danych zezwala Importerowi Danych na korzystanie z podwykonawców w celu świadczenia usług na podstawie niniejszego Załącznika. Podmiot odbierający dane powinien starannie wybrać taki podmiot przetwarzający dane. Eksporter danych zatwierdza procesory danych wymienione w Załączniku 1.1 na końcu Części 2.
    2. (ii) Importer danych przenosi swoje zobowiązania wynikające z niniejszego dodatku na podmiot(-y) przetwarzający(-e) dane w zakresie mającym zastosowanie do usług zleconych podwykonawcom.
    3. (iii) Importer danych może odwołać, zastąpić lub wyznaczyć innego odpowiedniego i wiarygodnego przetwarzającego dane według własnego uznania. Na pisemny wniosek eksportera danych podmiot odbierający dane musi postępować zgodnie z procedurą opisaną poniżej:
  2.  
    1. a. Importer danych poinformuje eksportera danych przed wprowadzeniem jakichkolwiek zmian w wykazie podmiotów przetwarzających dane, o których mowa w punkcie 3.4 (i) części 1. Jeżeli eksporter danych nie wniesie sprzeciwu zgodnie z punktem 3.4. (b) Części 1 trzydzieści dni po otrzymaniu powiadomienia od podmiotu odbierającego dane uznaje się, że dodatkowe podmioty przetwarzające dane zostały zaakceptowane.
    2. b. Jeżeli Odbiorca Danych ma uzasadniony powód, aby sprzeciwić się dodatkowemu przetwarzającemu dane, zawiadomi o tym pisemnie Odbiorcę danych w ciągu trzydziestu dni od otrzymania powiadomienia od Odbiorcy danych i przed uruchomieniem usługi Odbiorcy danych. Jeżeli Odbiorca Danych sprzeciwi się wykorzystaniu dodatkowego przetwarzającego Dane, Odbiorca Danych może usunąć sprzeciw za pomocą jednej z następujących opcji (wybranych według własnego uznania): (A) Importujący Dane anuluje swoje plany wykorzystania dodatkowego przetwarzającego w zakresie dane osobowe Eksportera Danych; (B) Odbiorca Danych podejmie środki naprawcze, o które wnioskował Eksporter Danych w jego sprzeciwie (cofnięcie sprzeciwu) oraz skorzysta z dodatkowego procesora w odniesieniu do danych osobowych Odbiorcy Danych;
  3.  
    1. (iv) jeżeli podmiot przetwarzający dane ma siedzibę poza UE-EOG w kraju, który nie został uznany za zapewniający odpowiedni poziom ochrony danych w wyniku decyzji Komisji Europejskiej, podmiot odbierający dane podejmie środki w celu zapewnienia zgodności z odpowiednim poziomem ochrony danych zgodnie z RODO (takie środki mogą obejmować m.in. stosowanie umów powierzenia przetwarzania danych opartych na klauzulach Modelu UE, przekazanie do samocertyfikowanych Podmiotów przetwarzających dane w ramach Tarczy Ochrony UE-USA lub podobny program).

 

3.5 Wygaśnięcie

Wygaśnięcie niniejszego Załącznika jest identyczne z datą wygaśnięcia odpowiedniej Umowy. O ile niniejszy Załącznik nie stanowi inaczej, prawa i obowiązki związane z wypowiedzeniem będą takie same, jak te zawarte w Umowie.

 

4. Ograniczenie odpowiedzialności

4.1 Każda ze stron realizuje swoje zobowiązania wynikające z niniejszego Załącznika i obowiązujących przepisów o ochronie danych.

4.2 Wszelka odpowiedzialność związana z naruszeniem zobowiązań wynikających z niniejszego Załącznika lub obowiązujących przepisów dotyczących ochrony danych podlega postanowieniom dotyczącym odpowiedzialności określonym w Umowie lub mającym do niej zastosowanie, chyba że niniejszy Załącznik stanowi inaczej. Jeżeli odpowiedzialność jest regulowana postanowieniami dotyczącymi odpowiedzialności określonymi w Umowie lub mającymi do niej zastosowanie, w celu obliczenia limitów odpowiedzialności lub określenia zastosowania innych ograniczeń odpowiedzialności, wszelkie zobowiązania wynikające z niniejszego Załącznika uznaje się za powstałe w ramach Umowy.

 

5. Postanowienia ogólne

5.1 W przypadku jakichkolwiek niespójności lub rozbieżności pomiędzy Częściami 1 i 2 niniejszego Dodatku, Część 2 ma pierwszeństwo. W szczególności, nawet w takim przypadku, Część 1, która po prostu wykracza poza Część 2 (tj. warunki klauzul standardowych), nie zaprzeczając jej, pozostaje ważna.

5.2 W przypadku jakichkolwiek rozbieżności między postanowieniami niniejszego Załącznika a postanowieniami innych umów wiążących strony, niniejszy Załącznik ma pierwszeństwo w odniesieniu do zobowiązań stron w zakresie ochrony danych. W przypadku wątpliwości, czy klauzule w innych umowach dotyczą obowiązków stron w zakresie ochrony danych, pierwszeństwo ma niniejszy Załącznik.

5.3 Jeśli którekolwiek z postanowień niniejszego Załącznika jest nieważne lub niewykonalne, pozostała część niniejszego Załącznika pozostanie w pełnej mocy i skuteczności. Nieważne lub niewykonalne postanowienie zostanie (i) zmienione, aby zapewnić jego ważność i wykonalność, z zachowaniem w miarę możliwości intencji stron lub - jeśli nie jest to możliwe - (ii) będzie interpretowane tak, jakby część nieważna lub niewykonalna nigdy nie była częścią umowy. Powyższe obowiązuje również w przypadku pominięcia w niniejszym dodatku.

5.5 W niezbędnym zakresie Strony mogą zażądać zmian w Części 1, Klauzuli 3 (Zgodność z prawem lokalnym) lub innych części Załącznika w celu dostosowania się do interpretacji, dyrektyw lub nakazów wydanych przez właściwe organy Związku lub Państwa członkowskie, krajowe przepisy wykonawcze lub wszelkie inne zmiany prawne dotyczące RODO lub inne warunki przekazania podmiotom zaangażowanym w przetwarzanie danych, a w szczególności dotyczące stosowania standardowych klauzul umownych w RODO. Warunki standardowych klauzul umownych nie mogą być modyfikowane ani zastępowane, chyba że Komisja Europejska wyraźnie to zatwierdzi (np. poprzez nowe odpowiednie klauzule i standardy ochrony danych).

5.6 Wszelkie odniesienia w niniejszym Dodatku do " Klauzul " należy rozumieć jako odnoszące się do wszystkich postanowień niniejszego Dodatku , o ile nie zaznaczono inaczej .

5.7 Wybór prawa w Części 2, Punkt 9 ma zastosowanie do całej Umowy.

 

6. Dane osobowe przekazywane i przetwarzane przez strony w celach osobistych (przekazywanie od administratora danych do administratora danych)

6.1 Strony w pełni wiedzą, że niektóre dane osobowe będą przekazywane od Eksportera danych do Odbiorcy danych i vice versa oraz że dane te są przetwarzane przez każdą ze Stron do jej własnych celów. W odniesieniu do takich danych osobowych nie ma to wpływu na inne postanowienia niniejszego Załącznika (z wyjątkiem niniejszego punktu 6).

6.2 Eksporter danych może przekazać Importerowi dane osobowe dotyczące personelu Importera danych, w tym informacje o incydentach bezpieczeństwa lub wszelkie inne dokumenty lub pliki utworzone lub utworzone przez Eksportera danych w związku z Usługami świadczonymi przez personel Importer danych. Odbiorca Danych może przetwarzać takie dane osobowe dla własnych celów, w szczególności w relacjach zawodowych z personelem Odbiorcy danych, w celu kontroli jakości i szkolenia lub w celach biznesowych.

6.3. Importer Danych może przekazać Dane Osobowe Eksporterowi Danych, w tym imię i nazwisko oraz dane kontaktowe personelu Importera Danych. Eksporter Danych może przetwarzać takie dane osobowe do własnych celów.

6.4 Obie strony będą przestrzegać wszelkich obowiązujących przepisów o ochronie danych, w tym RODO, przy gromadzeniu, przetwarzaniu i wykorzystywaniu takich danych osobowych otrzymanych od drugiej strony zgodnie z klauzulą ​​1 części 1. W szczególności obie Strony podejmą odpowiednie środki bezpieczeństwa, pod warunkiem podobny poziom ochrony do środków bezpieczeństwa określonych w dodatku 2 do części 2. Każdy dostęp do takich danych osobowych jest ograniczony do konieczności ich poznania.

6.5 Obie Strony muszą usunąć takie dane osobowe tak szybko, jak to możliwe po osiągnięciu celów.

Część 2

 

DECYZJA KOMISJI

5 lutego 2010

w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w państwach trzecich na podstawie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady

 

 

 

Klauzula 1

Definicje

W rozumieniu klauzul:

a) „dane osobowe”, „szczególne kategorie danych”, „przetwarzanie/przetwarzanie”, „administrator”, „podmiot przetwarzający”, „osoba, której dane dotyczą” i „organ nadzorczy” mają takie samo znaczenie jak w 95/46/WE Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (1);

b) „Eksporter danych” jest administratorem danych przekazującym dane osobowe;

c) „Importer danych” to podmiot przetwarzający dane, który wyraża zgodę na otrzymanie od Eksportera danych danych osobowych przeznaczonych do przetwarzania w imieniu Eksportera danych po przekazaniu zgodnie z jego instrukcjami i na warunkach niniejszych klauzul i który nie jest podlega mechanizmowi państwa trzeciego zapewniającego odpowiednią ochronę w rozumieniu art. 25 ust. 1 dyrektywy 95/46/WE; (d) „Przetwarzający dane” oznacza przetwarzającego dane zaangażowanego przez odbierającego dane lub przez innego przetwarzającego dane odbierającego dane, który wyraża zgodę na otrzymywanie od odbierającego dane lub innego przetwarzającego dane osobowe odbierającego dane wyłącznie w celu przetwarzania na rzecz być realizowane w imieniu Eksportera Danych po przekazaniu zgodnie z instrukcjami Eksportera Danych,

e) „obowiązujące prawo o ochronie danych” oznacza prawodawstwo chroniące podstawowe prawa i wolności osób fizycznych, w tym prawo do prywatności w związku z przetwarzaniem danych osobowych, mające zastosowanie do administratora w państwie członkowskim, w którym ma siedzibę podmiot przekazujący dane;

f) „środki techniczne i organizacyjne związane z bezpieczeństwem” oznaczają środki mające na celu ochronę danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem lub przypadkową utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem, w szczególności gdy przetwarzanie wiąże się z przesyłaniem danych przez sieci, oraz przed wszelkie inne niezgodne z prawem formy przetwarzania.

Klauzula 2

Szczegóły przelewu

Szczegóły przekazania, w tym, w stosownych przypadkach, szczególne kategorie danych osobowych, określa Załącznik nr 1, który stanowi integralną część niniejszych klauzul.

Klauzula 3

Klauzula beneficjenta zewnętrznego

1. Osoba, której dane dotyczą, może egzekwować wobec eksportera danych niniejszą klauzulę, klauzule 4(b) do (i), klauzule 5(a) do (e) i (g) do (j), klauzule 6 (1) i (2) ), pkt 7, pkt 8 ust. 2 i pkt 9–12 jako beneficjent będący osobą trzecią

2. Osoba, której dane dotyczą, może egzekwować niniejszą klauzulę, klauzule 5 lit. zniknęła lub przestała istnieć zgodnie z prawem, chyba że wszystkie jego obowiązki prawne zostały przeniesione, w drodze umowy lub z mocy prawa, na następcę prawnego, któremu powracają prawa i obowiązki eksportera danych i wobec którego dane podmiot może zatem egzekwować wspomniane klauzule.

Osoba, której dane dotyczą, może egzekwować niniejszą klauzulę, klauzulę 5 (a) do (e) i (g), klauzulę 6, klauzulę 7, klauzulę 8 (2) i klauzule 9 do 12 wobec przetwarzającego dane, ale tylko w przypadkach, gdy dane Eksporter i Odbiorca danych fizycznie zniknęli, przestali istnieć zgodnie z prawem lub stali się niewypłacalni, chyba że wszystkie zobowiązania prawne Eksportera danych zostały przeniesione, w drodze umowy lub z mocy prawa, na następcę prawnego, któremu przysługują prawa i spoczywają zatem obowiązki eksportera danych, wobec którego osoba, której dane dotyczą, może egzekwować takie klauzule. Taka odpowiedzialność przetwarzającego dane musi być ograniczona do jego własnych czynności przetwarzania zgodnie z tymi klauzulami.

4. Strony nie sprzeciwiają się reprezentowaniu osoby, której dane dotyczą, przez stowarzyszenie lub inny organ, jeśli sobie tego życzy i jeśli zezwala na to prawo krajowe.

Klauzula 4

Obowiązki eksportera danych

Eksporter Danych akceptuje i gwarantuje, co następuje:

a) przetwarzanie, w tym faktyczne przekazanie danych osobowych, było i będzie nadal prowadzone zgodnie z odpowiednimi przepisami obowiązującego prawa o ochronie danych (i, w stosownych przypadkach, zostało zgłoszone właściwym organom państwa członkowskiego w którym ma siedzibę Eksporter danych) i nie narusza odpowiednich przepisów tego państwa;

b) polecił i poinstruuje przez okres świadczenia usług przetwarzania danych osobowych Importerowi Danych, aby przetwarzał dane osobowe przekazane w wyłącznym imieniu Eksportera Danych oraz zgodnie z obowiązującymi przepisami prawa o ochronie danych oraz niniejszymi klauzulami;

c) Importer Danych zapewni wystarczające zabezpieczenia w zakresie technicznych i organizacyjnych środków bezpieczeństwa określonych w Załączniku 2 do niniejszej umowy;

d) po dokonaniu oceny wymogów obowiązującego prawa o ochronie danych środki bezpieczeństwa są odpowiednie do ochrony danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem lub przypadkową utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem, w szczególności gdy przetwarzanie wiąże się z przekazaniem danych za pośrednictwem sieci i przeciwko wszelkim innym niezgodnym z prawem formom przetwarzania oraz zapewnić poziom bezpieczeństwa odpowiedni do ryzyka związanego z przetwarzaniem i charakteru danych, które mają być chronione, z uwzględnieniem poziomu technologii i kosztów wdrożenia;

e) zapewnią przestrzeganie środków bezpieczeństwa;

f) jeżeli przekazanie dotyczy szczególnych kategorii danych, osoba, której dane dotyczą, została poinformowana lub zostanie poinformowana przed przekazaniem lub jak najszybciej po przekazaniu, że jej dane mogą zostać przekazane do państwa trzeciego, które nie oferuje odpowiedni poziom ochrony w rozumieniu dyrektywy 95/46/WE;

g) przekażą wszelkie powiadomienia otrzymane od podmiotu odbierającego dane lub podmiotu przetwarzającego dane zgodnie z klauzulami 5 (b) i 8 (3) organowi nadzorczemu ds. ochrony danych, jeśli postanowi on kontynuować przekazywanie lub znieść jego zawieszenie;

h) udostępni osobom, których dane dotyczą, na ich żądanie kopię niniejszych Klauzul, z wyjątkiem Załącznika 2, oraz skrócony opis środków bezpieczeństwa, a także kopię wszelkich dalszych umów o podwykonawstwo, zawartych na podstawie niniejszych Klauzul. Klauzule lub umowa zawierają informacje handlowe, w takim przypadku może wycofać taką informację;

i) w przypadku podzlecenia procesu przetwarzania danych, czynność przetwarzania jest wykonywana zgodnie z klauzulą ​​11 przez przetwarzającego dane, zapewniającego co najmniej taki sam poziom ochrony danych osobowych i praw osoby, której dane dotyczą, jak odbierający dane zgodnie z tymi klauzulami ; oraz

j) zapewni zgodność z Punktem 4 (a) do (i).

Klauzula 5

Obowiązki importera danych

Importer Danych akceptuje i gwarantuje, że:

a) będą przetwarzać dane osobowe wyłącznie w imieniu Eksportera Danych i zgodnie z poleceniami Eksportera Danych oraz niniejszymi klauzulami; jeśli z jakiegokolwiek powodu nie może spełnić wymagań, zgadzają się jak najszybciej poinformować Eksportera danych o swojej niemożności, w którym to przypadku Eksporter danych może zawiesić przekazywanie danych i/lub rozwiązać umowę;

b) nie mają powodu, by sądzić, że prawo mające do nich zastosowanie uniemożliwia mu wykonanie poleceń przekazanych przez Eksportera danych oraz obowiązków ciążących na nim na mocy umowy, a także jeżeli takie prawo podlega zmianie, która mogłaby mieć istotnie niekorzystną wpływu na gwarancje i zobowiązania wynikające z Klauzul, niezwłocznie po uzyskaniu o tym wiadomości poinformuje Eksportera danych o zmianie, w którym to przypadku Eksporter danych może zawiesić przekazywanie danych i/lub rozwiązać umowę; c) wdrożyły techniczne i organizacyjne środki bezpieczeństwa określone w Załączniku 2 przed przetwarzaniem przekazanych danych osobowych;

d) niezwłocznie powiadomi Eksportera danych:

i) każdy wiążący wniosek o ujawnienie danych osobowych złożony przez organ ścigania, o ile nie określono inaczej, taki jak zakaz karny mający na celu zachowanie tajemnicy dochodzenia policyjnego;

ii) jakikolwiek przypadkowy lub nieautoryzowany dostęp; oraz

iii) każdy wniosek otrzymany bezpośrednio od zainteresowanych osób bez odpowiedzi na nie, chyba że został do tego upoważniony; administratorzy

e) niezwłocznie i prawidłowo rozpatrzą wszelkie zapytania eksportera danych dotyczące przetwarzania przez niego przekazanych danych osobowych oraz będą działać na podstawie opinii organu nadzorczego w zakresie przetwarzania przekazanych danych;

f) na żądanie Eksportera danych poddadzą swoje obiekty przetwarzania danych audytowi czynności przetwarzania objętych niniejszymi klauzulami, przeprowadzanemu przez Eksportera Danych lub organ nadzorczy złożony z niezależnych członków o wymaganych kwalifikacjach zawodowych, podlegające obowiązkowi zachowania tajemnicy i wybrane przez eksportera danych, w stosownych przypadkach za zgodą organu nadzorczego;

g) udostępni osobie, której dane dotyczą, na jej żądanie, kopię niniejszych Klauzul lub wszelkie istniejące umowy podzlecające powierzenie przetwarzania danych, chyba że Klauzule lub umowa zawierają informacje handlowe, w takim przypadku może je usunąć. informacje, z wyjątkiem dodatku 2, który zostanie zastąpiony skróconym opisem środków bezpieczeństwa, w przypadku gdy osoba, której dane dotyczą, nie może uzyskać kopii od eksportera danych;

h) w przypadku poufnego dalszego podzlecania przetwarzania danych zapewni, że poinformuje z wyprzedzeniem Eksportera Danych i uzyska pisemną zgodę Eksportera Danych;

i) usługi przetwarzania świadczone przez podmiot przetwarzający dane będą zgodne z klauzulą ​​11;

j) niezwłocznie prześlą kopię umowy o powierzenie przetwarzania danych zawartej przez nią na podstawie niniejszych Klauzul Eksporterowi Danych.

Klauzula 6

Odpowiedzialność

1. Strony uzgadniają, że każda osoba, której dane dotyczą, która poniosła szkodę z powodu naruszenia obowiązków, o których mowa w ust. 3 lub ust. 11 przez jedną ze stron lub przez podmiot przetwarzający dane, może uzyskać od Eksportera dane odszkodowanie za poniesioną szkodę.

2. Jeżeli osoba, której dane dotyczą, nie może wnieść powództwa o odszkodowanie, o którym mowa w ust. Eksporter fizycznie zniknął, przestał istnieć zgodnie z prawem lub stał się niewypłacalny, podmiot odbierający dane zgadza się, że osoba, której dane dotyczą, może wnieść przeciwko niej skargę tak, jakby była eksporterem danych, chyba że wszystkie zobowiązania prawne eksportera danych zostały przeniesione na mocy umowy lub z mocy prawa podmiotowi będącemu jego następcą, wobec którego osoba, której dane dotyczą, może następnie dochodzić swoich praw. Podmiot odbierający dane nie może powoływać się na naruszenie swoich obowiązków przez podmiot przetwarzający dane w celu uniknięcia własnej odpowiedzialności.

3. Jeżeli osoba, której dane dotyczą, nie może wnieść powództwa, o którym mowa w ust. fizycznie zniknęły, przestały istnieć zgodnie z prawem lub stały się niewypłacalne, podmiot przetwarzający dane zgadza się, że osoba, której dane dotyczą, może złożyć przeciwko niej skargę dotyczącą jej własnych działań związanych z przetwarzaniem zgodnie z tymi klauzulami, tak jakby była eksporterem danych lub importerem danych, chyba że wszystkie obowiązki prawne eksportera danych lub odbierającego dane zostały przeniesione, w drodze umowy lub z mocy prawa, na następcę prawnego, wobec którego osoba, której dane dotyczą, może następnie dochodzić swoich praw.Odpowiedzialność przetwarzającego dane musi być ograniczona do jego własnych czynności przetwarzania zgodnie z tymi klauzulami.

 

Klauzula 7

Mediacja i jurysdykcja

1. Odbiorca Danych zgadza się, że jeżeli zgodnie z klauzulami osoba, której dane dotyczą, powołuje się przeciwko niemu na prawo beneficjenta zewnętrznego i/lub domaga się odszkodowania za doznaną krzywdę, zaakceptuje decyzję osoby, której dane dotyczą:

a) poddania sporu mediacji przez niezależną osobę lub, w stosownych przypadkach, organ nadzorczy;

b) wnieść spór przed sądy państwa członkowskiego, w którym ma siedzibę eksporter danych.

2. Strony uzgadniają, że wybór dokonany przez osobę, której dane dotyczą, nie wpływa na proceduralne lub materialne prawo osoby, której dane dotyczą, do dochodzenia roszczeń zgodnie z innymi przepisami prawa krajowego lub międzynarodowego.

Klauzula 8

Współpraca z organami nadzorczymi

1. Przekazujący dane wyraża zgodę na złożenie kopii niniejszej umowy organowi nadzorczemu, jeżeli ten zażąda tego lub jeżeli takie złożenie jest przewidziane w obowiązujących przepisach o ochronie danych.

2. Strony uzgadniają, że organ nadzorczy może przeprowadzać kontrole u Odbiorcy danych i dowolnego przetwarzającego dane w takim samym zakresie i na takich samych warunkach, jak kontrole przeprowadzane u Odbiorcy danych zgodnie z obowiązującym prawem o ochronie danych.

3. Podmiot odbierający dane jak najszybciej informuje podmiot przekazujący dane o istnieniu przepisów dotyczących podmiotu odbierającego dane lub podmiotu przetwarzającego dane, które uniemożliwiają weryfikację u podmiotu odbierającego dane lub podmiotu przetwarzającego dane zgodnie z ust. 2. W takim przypadku podmiot odbierający dane Eksporter Danych może podjąć środki przewidziane w Klauzuli 5 (b).

Klauzula 9

Obowiązujące prawo

Klauzule mają zastosowanie i podlegają prawu państwa członkowskiego, w którym ma siedzibę eksporter danych.

Klauzula 10

Modyfikacja umowy

Strony zobowiązują się nie modyfikować niniejszych klauzul. Strony mogą dołączyć inne klauzule handlowe, które uznają za konieczne, pod warunkiem, że nie są one sprzeczne z niniejszymi klauzulami.

Klauzula 11

Kolejne podwykonawstwo

1. Importer danych nie zleca podwykonawcom żadnych czynności przetwarzania wykonywanych w imieniu eksportera danych na podstawie niniejszych klauzul bez uprzedniej pisemnej zgody eksportera danych. Odbiorca danych może zlecić podwykonawstwo swoich zobowiązań wynikających z niniejszych klauzul, za zgodą Odbiorcy danych, poprzez pisemną umowę z przetwarzającym dane, nakładającą na przetwarzającego takie same obowiązki, jak te nałożone na odbierającego dane na mocy niniejszych klauzul. Jeżeli podmiot przetwarzający dane nie może wywiązać się ze swoich zobowiązań w zakresie ochrony danych wynikających z tej pisemnej umowy, podmiot odbierający dane pozostaje w pełni odpowiedzialny wobec eksportera danych za wypełnienie tych obowiązków.

2. Uprzednia pisemna umowa pomiędzy odbierającym dane a przetwarzającym dane powinna zawierać również klauzulę beneficjenta będącego osobą trzecią, o której mowa w ust. ), przeciwko eksporterowi danych lub odbierającemu dane, ponieważ eksporter danych lub odbierający dane fizycznie zniknął, przestał istnieć zgodnie z prawem lub stał się niewypłacalny, a wszystkie zobowiązania prawne eksportera danych lub odbierającego dane nie zostały przeniesione w drodze umowy lub operacji prawa do innego następcy prawnego. Odpowiedzialność przetwarzającego dane musi być ograniczona do jego własnych czynności przetwarzania zgodnie z tymi klauzulami.

3. Przepisy dotyczące aspektów ochrony danych podzlecania przetwarzania danych w ramach umowy, o której mowa w ust. 1, podlegają prawu państwa członkowskiego, w którym eksporter danych ma siedzibę.

4. Eksporter danych prowadzi wykaz podwykonawców umów powierzenia przetwarzania danych zawartych na podstawie niniejszych Klauzul i zgłoszonych przez Odbiorcę danych zgodnie z ust. 5 lit. j), który będzie aktualizowany nie rzadziej niż raz w roku. Wykaz ten jest udostępniany organowi nadzorczemu ds. ochrony danych przekazującego dane.

Klauzula 12

Obowiązek po zakończeniu świadczenia usług przetwarzania danych osobowych

1. Strony uzgadniają, że po zakończeniu świadczenia usług przetwarzania danych Odbiorca Danych i Przetwarzający Dane zwrócą, w dogodnym dla Eksportera, wszystkie przekazane dane osobowe i ich kopie, lub zniszczą wszystkie te dane i przedstawią dowód. zniszczenia na rzecz odbierającego dane, chyba że przepisy nałożone na odbierającego dane uniemożliwiają mu zwrot lub zniszczenie całości lub części przekazanych danych osobowych. W takim przypadku Importer Danych gwarantuje, że zapewni poufność przekazanych danych osobowych i nie będzie już aktywnie przetwarzał danych.

2. Odbiorca danych i podmiot przetwarzający zapewniają, że na żądanie przekazującego dane i/lub organu nadzorczego poddadzą swoje środki przetwarzania danych weryfikacji środków, o których mowa w ust. 1.

 

 

 

 

Dodatek 1.1 do Części 2

Szczegóły przelewu

 

 

Eksporter danych

Eksporterem danych jest Klient określony w Umowie Kontraktowej.

 

Importer danych

Importerem danych jest IQUALIF i jest on wyznaczony do przetwarzania danych, świadcząc usługi na rzecz Eksportera Danych.

 

Podmioty danych

Przekazywane dane osobowe dotyczą następujących kategorii osób, których dane dotyczą:

„abonenci telefoniczni wymienieni w uniwersalnej książce telefonicznej”

˜ Inne, w tym:

 

Kategorie danych

Przekazywane dane osobowe dotyczą następujących kategorii danych:

 

Kategorie danych osobowych Podmiotów Danych Eksportera w szczególności,

„Pełne imię”

„Adres pocztowy”

→ Dane kontaktowe (e-mail, telefon, adres IP itp.)

„Szczegóły działań marketingowych dotyczących abonenta telefonicznego”

„Inne, w tym rodzaj mieszkania, dochód i średni wiek w mieście, wykonane anonimowo”

 

Specjalne kategorie danych (jeśli dotyczy)

Przekazywane dane osobowe dotyczą następujących szczególnych kategorii danych:

˜ Nie przewiduje się przekazywania szczególnych kategorii danych

˜ Rasa lub pochodzenie etniczne

˜ Przekonania religijne lub filozoficzne

˜Przynależność do związków zawodowych

˜Poglądy polityczne

˜Informacje genetyczne

˜ Informacje biometryczne

˜Informacje o orientacji seksualnej lub życiu seksualnym

˜Dane zdrowotne

 

Czynności przetwarzania

Przekazane dane osobowe będą podlegały następującym podstawowym czynnościom przetwarzania:

 

  •  
    • Cel przetwarzania

Przetwarzanie podejmowane w imieniu Eksportera danych opiera się w szczególności na następujących tematach:

„Przejęcie kontroli nad produktami lub usługami oferowanymi przez Eksportera danych”

„Oferta produktu lub usługi, o którą może poprosić osoba dzwoniąca”

„Zlecenia od osób wywoływanych i dalsza realizacja tych zleceń”

„Ankiety i analizy badawcze”

„Telemarketing”

˜ Inne, w tym:

 

  •  
    • Charakter i cel przetwarzania

Odbiorca danych przetwarza dane osobowe osób, których dane dotyczą w imieniu Odbiorcy danych, w celu świadczenia następujących usług, a w szczególności:

„Sprzedaż i marketing”

„Inne, w tym aktualizowanie baz danych urzędów miejskich i partii politycznych”

 

  •  
    • Świadczenie usług i zatrudnianie usługodawców

 

IQUALIF głównie łączy, centralizuje i świadczy usługi dla Eksportera Danych. Usługi świadczone przez wskazanego usługodawcę mogą być zorganizowane (m.in. w stosownych przypadkach) wokół następujących usług dodatkowych: (i) dostarczanie aplikacji, narzędzi, systemów i infrastruktury IT w odniesieniu do wykorzystywanych centrów przetwarzania danych w celu świadczenia i wspierać usługi, w tym przetwarzanie danych osobowych osób, których dane dotyczą, jak opisano powyżej, za pośrednictwem takich aplikacji, narzędzi i systemów, (ii) świadczenia wsparcia informatycznego, konserwacji i innych usług związanych z takimi aplikacjami, narzędziami, systemami i infrastruktury IT, w tym potencjalny dostęp do danych osobowych przechowywanych w takich aplikacjach, narzędziach i systemach oraz (iii) świadczenie usług ochrony danych, monitorowania ochrony i reagowania na incydenty, w tym potencjalny dostęp do danych osobowych podczas świadczenia takich usług ochrony. IQUALIF może zaangażować podmioty przetwarzające dane, jak określono poniżej, do świadczenia usług, w tym usług pomocniczych.

 

  •  
    • Zewnętrzni usługodawcy zewnętrzni jako podpodmioty przypisane do przetwarzania danych

 

IQUALIF angażuje zewnętrznych i zewnętrznych dostawców usług, którzy nie są spółkami zależnymi IQUALIF, do wsparcia świadczenia usług na rzecz Eksportera Danych. Eksporter danych zatwierdza takich zewnętrznych zewnętrznych dostawców usług jako podpodmioty przypisane do przetwarzania danych.

 

Jeżeli podpodmiot zajmujący się przetwarzaniem danych znajduje się poza UE/EOG, w kraju uznanym za niewystarczający poziom ochrony danych na podstawie decyzji Komisji Europejskiej, podmiot odbierający dane podejmie kroki w celu uzyskania odpowiedniego poziomu ochrona danych zgodnie z RODO oraz ust. 3.4 (iv) części 1.

 

 

Dodatek 2, Część 2

Techniczne i organizacyjne środki ochronne

 

Odbiorca Danych podejmuje następujące techniczne i organizacyjne środki ochrony potwierdzone przez Odbiorcę Danych, w celu zapewnienia odpowiedniego poziomu ochrony praw i wolności osób fizycznych, w zależności od zagrożeń. Oceniając poziom ochrony, eksporter danych wziął pod uwagę w szczególności ryzyko związane z przetwarzaniem, w tym przypadkowe lub niezgodne z prawem zniszczenie, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób. Wyjaśniając: Te techniczne i organizacyjne środki ochrony nie mają zastosowania do aplikacji, narzędzi, systemów i/lub infrastruktury IT udostępnianych przez Eksportera danych.

1 Ogólne techniczne i organizacyjne środki ochrony
1.1 Informacje ogólne i strategie ochrony danych
Aby postępować zgodnie z ogólnymi strategiami ochrony danych i informacji, należy podjąć następujące kroki:
  • a) podejmuje działania w celu oceny podjętych działań w zakresie ochrony technicznej i organizacyjnej;
  • b) zapewnić szkolenia w celu podniesienia świadomości wśród pracowników;
  • c) posiadać opis odnośnych systemów i udzielać dostępu pracownikom;
  • d) ustanowić formalny proces dokumentacji za każdym razem, gdy systemy są wdrażane lub modyfikowane;
  • e) dokumentowanie struktury organizacyjnej, procesów, obowiązków i odpowiednich ocen;
 
1.2 Organizacja ochrony informacji
W celu skoordynowania działań w zakresie ochrony danych i informacji należy podjąć następujące działania:
  • a) określone obowiązki w zakresie ochrony informacji i danych (np. poprzez politykę zarządzania ochroną danych);
  • b) niezbędną wiedzę fachową w zakresie ochrony informacji i danych, które pozostają dostępne;
  • c) wszyscy pracownicy są zobowiązani do zapewnienia poufności danych osobowych i zostali poinformowani o potencjalnych konsekwencjach naruszenia tego zobowiązania.
 
1.3 Kontrola dostępu do obszarów przetwarzania
Należy podjąć następujące środki w celu uniemożliwienia osobom nieuprawnionym dostępu do systemów przetwarzania danych (w szczególności oprogramowania i sprzętu) podczas przetwarzania, przechowywania lub przesyłania danych osobowych:
  • a) ustanowić bezpieczne obszary;
  • b) chronić i ograniczać dostęp do systemów przetwarzania danych;
  • c) ustanowienia uprawnień dostępu dla pracowników i osób trzecich, w tym odpowiednich dokumentów;
  • d) każdy dostęp do centrów przetwarzania danych, w których przechowywane są dane osobowe, będzie rejestrowany.
 
1.4 Kontrola dostępu do systemów przetwarzania danych
Aby zapobiec nieuprawnionemu dostępowi do systemów przetwarzania danych, należy podjąć następujące środki:
  • a) polityki i procedury uwierzytelniania użytkowników;
  • b) używanie haseł we wszystkich systemach komputerowych;
  • c) zdalny dostęp do sieci wymaga uwierzytelniania wieloskładnikowego i jest przyznawany zainteresowanej osobie zgodnie z jej obowiązkami i po autoryzacji;
  • d) dostęp do określonych funkcji opiera się na funkcjach stanowiskowych i/lub atrybutach indywidualnie przypisanych do konta użytkownika;
  • e) prawa dostępu do danych osobowych są regularnie sprawdzane;
  • f) ewidencja zmian w prawach dostępu jest aktualizowana.
 
1.5 Kontrola dostępu do poszczególnych obszarów użytkowania systemów przetwarzania danych
Należy podjąć następujące środki, aby osoby upoważnione z prawem do korzystania z systemu przetwarzania danych miały dostęp do danych wyłącznie w ramach swoich obowiązków i uprawnień dostępu oraz aby dane osobowe nie mogły być odczytywane, kopiowane, modyfikowane ani usuwane bez upoważnienia:
  1.  
    1. a) polityki, instrukcje i szkolenia pracowników, dotyczące obowiązków każdego z nich w zakresie poufności, prawa dostępu do danych osobowych oraz zakresu przetwarzania danych osobowych;
  • b) środki dyscyplinarne wobec osób uzyskujących dostęp do danych osobowych bez upoważnienia;
  • c) dostęp do danych osobowych mają tylko osoby upoważnione, na zasadzie niezbędnej wiedzy;
  • d) prowadzić listę administratorów systemu i podejmować odpowiednie środki w celu monitorowania administratorów systemu;
  • e) nie kopiować ani nie powielać danych osobowych w jakimkolwiek systemie przechowywania danych, aby umożliwić osobom nieuprawnionym usunięcie informacji o autorze;
  • f) kontrolowane i udokumentowane usuwanie lub niszczenie danych;
  • g) do bezpiecznego przechowywania wszystkich danych osobowych, które muszą być przechowywane ze względów prawnych lub regulacyjnych (np. obowiązek przechowywania danych) i tylko tak długo, jak wymaga tego prawo.
 
1.6 Kontrola transmisji
Należy podjąć następujące środki, aby zapobiec odczytaniu, skopiowaniu, zmianie lub usunięciu danych osobowych przez nieuprawnione osoby trzecie podczas przesyłania lub transportu urządzeń do przechowywania danych (w zależności od podjętego przetwarzania danych osobowych):
  1.  
    1. a) stosowanie zapór sieciowych;
  • b) unikanie przechowywania danych osobowych na przenośnych urządzeniach magazynujących do celów transportowych lub szyfrowanie urządzeń;
  • c) używanie na laptopach i innych urządzeniach mobilnych tylko po aktywowaniu ochrony szyfrowania;
  • d) logowanie transmisji danych osobowych.
 
1.7 Kontrola wprowadzania danych
Należy podjąć następujące działania w celu zapewnienia możliwości weryfikacji i ustalenia, czy dane osobowe zostały wprowadzone lub usunięte z systemów przetwarzania danych i przez kogo:
  1.  
    1. a) politykę autoryzacji odczytu, zmiany i usunięcia przechowywanych danych;
  • b) środki ochrony związane z odczytem, ​​zmianą i usunięciem przechowywanych danych.
 
1.8 Kontrola pracy
W przypadku delegowania przetwarzania danych osobowych należy podjąć następujące działania, aby dane te były przetwarzane zgodnie z poleceniami Inspektora:
  1.  
    1. a) starannie dobranym podmiotom lub subpodmiotom, którym powierzono przetwarzanie danych (usługodawcy przetwarzający dane osobowe w imieniu administratora);
  • b) instrukcje dotyczące zakresu przetwarzania danych osobowych dla pracowników, podmiotów lub podpodmiotów, którym powierzono przetwarzanie danych;
  • c) uprawnienia do kontroli uzgodnione z podmiotami lub podpodmiotami, którym powierzono przetwarzanie danych;
  • d) zawarte umowy z podmiotami lub podwykonawcami wyznaczonymi do przetwarzania danych.
 
1.9 Oddzielenie od przetwarzania w innych celach
Aby dane gromadzone w innych celach mogły być przetwarzane oddzielnie, należy podjąć następujące środki:
  1.  
    1. a) odrębny dostęp do danych osobowych zgodnie z istniejącymi prawami użytkowników;
  • b) interfejsy, przetwarzanie wsadowe i raportowanie służą do innych celów i funkcji, dzięki czemu dane zebrane do innych celów mogą być przetwarzane oddzielnie.
 
1.10 Pseudonimizacja
W związku z pseudonimizacją danych osobowych należy podjąć następujące środki:
  1.  
    1. a) Jeżeli Odbiorca danych zleci konkretną operację przetwarzania lub jeśli Odbiorca danych uzna to za stosowne zgodnie z obowiązującymi przepisami o ochronie danych dotyczących niektórych czynności przetwarzania, przetwarzanie danych osobowych będzie odbywać się w taki sposób, aby dane nie mogą być już przypisane do konkretnej osoby bez wykorzystania dodatkowych informacji. Te dodatkowe informacje będą przechowywane oddzielnie;
  • b) stosowanie technik pseudonimizacji, w tym randomizacji list alokacji; tworzenie wartości w postaci ostrych narzędzi.
 
1.11 Szyfrowanie

Aby zaszyfrować dane osobowe w aplikacjach i transmisjach obsługujących szyfrowanie, należy podjąć następujące kroki:

  1.  
    1. a) stosowanie technik szyfrowania;
  • b) ustanowienie zarządzania szyfrowaniem w celu wsparcia technik szyfrowania dopuszczonych do użycia;
  • c) wspieranie wykorzystania kryptografii poprzez procedury i protokoły do ​​generowania, modyfikowania, odwoływania, niszczenia, rozpowszechniania, certyfikowania, przechowywania, przechwytywania, używania i archiwizowania kluczy kryptograficznych w celu ochrony przed nieuprawnioną modyfikacją i ujawnieniem.
 
1.12 Kompletność systemów i usług przetwarzania danych
W celu zapewnienia kompletności systemów i usług przetwarzania danych należy podjąć następujące środki:
  1. a) ochronę systemów przetwarzania danych przed manipulacją lub zniszczeniem za pomocą odpowiednich środków (np. oprogramowanie antywirusowe, oprogramowanie zapobiegające utracie danych i oprogramowanie przed złośliwym oprogramowaniem, poprawki oprogramowania, zapory sieciowe, ochrona zarządzanych komputerów);
  • b) zabronić instalacji jakiejkolwiek usługi lub oprogramowania szkodliwego dla systemów przetwarzania danych, usług lub manipulacji danymi osobowymi;
  • c) wykorzystanie systemu wykrywania i zapobiegania włamaniom do sieci w strukturze samej sieci.
 
1.13 Dostępność systemów i usług przetwarzania danych oraz możliwość przywrócenia dostępu i wykorzystania danych osobowych w przypadku wystąpienia incydentu materialnego lub technicznego
Należy podjąć następujące działania w celu zapewnienia dostępności systemów przetwarzania danych, a także umożliwienia szybkiego przywrócenia dostępności i dostępu do danych osobowych w przypadku wystąpienia incydentu materialnego lub technicznego (w szczególności poprzez zapewnienie, że dane osobowe są chronione przed przypadkowym zniszczeniem lub utratą):
  • a) posiadać środki kontroli przechowywania kopii zapasowych i przywracania utraconych lub usuniętych danych;
  • b) nadmiarowość infrastruktury i testowanie wydajności;
  • c) fizyczna ochrona zasobów komputerowych;
  • d) wykorzystanie narzędzi do monitorowania stanu i dostępności sieci wewnętrznej;
  • e) zasady raportowania i reagowania na incydenty regulujące procedurę zarządzania incydentami oraz powtarzanie przestrzegania tych zasad w ramach regularnych szkoleń;
  • f) kopie zapasowe (czasami poza siedzibą) w celu przywrócenia systemu, aby mógł on ponownie wykonywać swoje funkcje;
  • g) plany ciągłości działania/odzyskiwania po awarii
 
1.14 Odporność systemów i usług przetwarzania danych
Aby zapewnić odporność systemów i usług przetwarzania danych, należy podjąć następujące środki:
  • a) systemy i harmonijnie skonfigurowane, z wykorzystaniem zatwierdzonych parametrów bezpieczeństwa;
  • b) redundancja sieci;
  • c) zabezpieczenie systemów krytycznych.
 
1.15 Procedura regularnego testowania, oceny i oceny skuteczności środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych
Procedura regularnego testowania, oceny i oceny skuteczności technicznych i organizacyjnych środków ochrony przetwarzania danych.
  • a) podjąć niezbędne kroki w celu oceny ryzyka i strategii łagodzenia;
  • b) spotkania analiz serwisowych działu IT w celu omówienia bieżących problemów;
  • c) plany ciągłości działania/odbudowy po awarii są regularnie aktualizowane.

 

Część 3

Podpisy stron i lista importerów danych

 

Po wypełnieniu internetowego formularza zamówienia i zatwierdzeniu go poprzez zaznaczenie pola akceptującego ogólne warunki użytkowania, zostaje zawarta umowa regulująca relację między Klientem a IQUALIF.

Wysłanie płatności do IQUALIF rozpatrzy uzgodnioną i zawartą umowę.


Zanotuj: Ten tekst został przetłumaczony z języka francuskiego. Oryginalna wersja francuska, która jest ważna i prawnie restrykcyjna, dostępna jest tutaj .