Acest apendice face parte integrantă din Contract și este încheiat de:
Fiecare fiind o „ Partid ” și de obicei „ Partide ”.
Preambul
UNDE Importatorul de date oferă servicii software profesionale, computer și servicii conexe (cum ar fi browsere cu funcții de căutare avansate);
UNDE în conformitate cu Contractul, Importatorul de Date a fost de acord să furnizeze Exportatorului de Date serviciile specificate în Contract („ Serviciile ”);
UNDE, prin furnizarea Serviciilor, Importatorul de Date primește sau beneficiază de acces la informațiile Exportatorului de Date sau la informațiile altor persoane care au o relație (potențială) cu Exportatorul de Date, astfel de informații pot fi calificate drept date personale în sensul Regulamentului. (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (" GDPR ") și alte legi aplicabile privind protecția datelor.
UNDE acest apendice conține termenii și condițiile aplicabile colectării, prelucrării și utilizării acestor date cu caracter personal de către importatorul de date în calitatea sa de agent autorizat de prelucrare a datelor al exportatorului de date, pentru a se asigura că părțile respectă legea aplicabilă privind protecția datelor. .
PRIN CARE și pentru a permite părților să își continue relația în mod legal, părțile au încheiat prezentul apendice după cum urmează:
Partea 1
1. Structura documentului și definiții
1.1 Structura
Acest apendice cuprinde diferite părți, după cum urmează:
Partea 1: | conține prevederi generale, de exemplu, cu privire la definițiile utilizate în acest apendice, conformitatea cu legile locale, calendarul și rezilierea
|
Partea 2: | conține corpul documentului Clauzele Contractuale Standard nemodificate
|
Anexa 1.1 din partea 2: | conține detaliile operațiunilor de prelucrare furnizate de importatorul de date exportatorului de date în calitate de agent autorizat de prelucrare a datelor (inclusiv prelucrarea, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate) în conformitate cu prezentul Apendice
|
Anexa 2 din partea 2: | conține o descriere a măsurilor de securitate tehnice și organizatorice ale importatorului de date, care sunt aplicate în legătură cu toate activitățile de prelucrare descrise în apendicele 1.1 din partea 2.
|
Partea 3: | conține semnăturile părților care urmează să fie obligate prin prezentul apendice și identifică fiecare importator de date
|
1.2 Terminologie și definiții
În sensul acestui apendice, terminologia și definițiile utilizate de GDPR sunt aplicabile (în corpul documentului Clauza contractuală standard din partea 2, unde termenii definiți nu sunt scrisi cu majuscule).
"Stat membru" | înseamnă o țară aparținnd Uniunii Europene sau Spațiului Economic European
|
„Categorii speciale de date (personale)” | se referă la date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice sau apartenența la un sindicat și datele genetice, datele biometrice, dacă sunt prelucrate în scopul identificării în mod unic a unei persoane, date referitoare la sănătate, date referitoare la sexul unei persoane viata sau orientarea sexuala
|
„Clauze contractuale standard” | înseamnă Clauzele Contractuale Standard pentru transferul datelor cu caracter personal ale agenților de prelucrare stabiliți în țări terțe, în temeiul Deciziei 2010/87/UE a Comisiei din 5 februarie 2010, care a fost modificată prin Decizia de punere în aplicare (UE) 2016/2297 a Comisiei din 16 decembrie 2016
|
„Procesor de date”. | înseamnă orice agent de prelucrare, situat în interiorul sau în afara UE/SEE, care este de acord să primească de la Importatorul de date sau de la orice alt procesator al Importatorului de date, date cu caracter personal în scopul exclusiv al activităților de prelucrare care urmează să fie desfășurate de către Exportatorul de date după transferul în conformitate cu instrucțiunile Exportatorului de Date, termenii prezentei Anexe și Contractul cu Importatorul de Date
|
2. Obligațiile Exportatorului de Date
2.1 Exportatorul de date are obligația de a asigura respectarea tuturor obligațiilor aplicabile în temeiul GDPR și a oricărei alte legi aplicabile privind protecția datelor care se aplică Exportatorului de date și să demonstreze această conformitate, conform articolului 5 (2) din GDPR. Exportatorul de date garantează că importatorul de date a obținut consimțămntul prealabil al persoanelor vizate în conformitate cu articolul 6 litera (a) din GDPR și și-a respectat obligația de a informa persoanele vizate în conformitate cu articolele 13 și 14 din GDPR.
2.2 Exportatorul de date trebuie să furnizeze importatorului de date fișierele respective ale activităților de prelucrare în conformitate cu articolul 30 (1) din GDPR aferente Serviciilor din prezentul apendice, în măsura în care este necesar ca importatorul de date să respecte obligația conform Articolul 30 (2) din GDPR.
2.3 Exportatorul de date trebuie să numească un responsabil cu protecția datelor sau un reprezentant în măsura cerută de legea aplicabilă privind protecția datelor. Exportatorul de date este obligat să furnizeze importatorului de date datele de contact ale agentului de protecție a datelor sau ale reprezentantului, dacă este cazul.
2.4. Exportatorul de date confirmă înainte de finalizarea prelucrării, prin acceptarea acestui apendice, că măsurile de securitate tehnice și organizatorice ale importatorului de date, așa cum sunt prevăzute în apendicele 2 la partea 2, sunt adecvate și suficiente pentru a proteja drepturile persoanei vizate. și confirmă că importatorul de date oferă suficiente garanții în acest sens.
3. Respectarea legislației locale
Pentru a îndeplini cerințele de implementare a agenților de prelucrare în conformitate cu articolul 28 din GDPR, se aplică următoarele modificări:
3.1 Instrucțiuni
3.2 Obligațiile importatorului de date
3.3 Drepturile persoanelor vizate
3.4 Sub-prelucrare
3.5 Expirare
Termenul de expirare a acestui Apendice este identic cu data de expirare a Contractului corespunzător. Cu excepția cazului în care se prevede altfel în prezentul apendice, drepturile și obligațiile referitoare la rezilierea vor fi aceleași cu cele cuprinse în Contract.
4. Limitarea răspunderii
4.1 Fiecare parte își îndeplinește obligațiile în temeiul prezentului apendice și al legislației aplicabile privind protecția datelor.
4.2 Orice răspundere legată de încălcarea obligațiilor din prezentul apendice sau legislația aplicabilă privind protecția datelor va fi supusă și guvernată de prevederile de răspundere stabilite în contract sau aplicabile acestuia, cu excepția cazului în care se prevede altfel în prezentul apendice. În cazul în care răspunderea este guvernată de prevederile de răspundere stabilite în sau aplicabile Contractului, pentru calcularea limitelor de răspundere sau determinarea aplicării altor limitări de răspundere, orice răspundere care decurge în temeiul prezentului Apendice va fi considerată ca rezultă din Contract.
5. Prevederi generale
5.1 Dacă există neconcordanțe sau discrepanțe între părțile 1 și 2 ale acestui apendice, partea 2 va prevala. În mod specific, chiar și într-un astfel de caz, partea 1 care pur și simplu depășește partea 2 (adică termenii clauzelor standard) fără a o contrazice va rămne valabilă.
5.2 În cazul în care apare vreo discrepanță între prevederile prezentului apendice și cele ale altor contracte care leagă părțile, prezentul apendice va prevala în ceea ce privește obligațiile părților în materie de protecție a datelor. În cazul în care există îndoieli cu privire la faptul dacă clauzele din alte contracte privesc obligațiile părților privind protecția datelor, prezentul apendice va prevala.
5.3 Dacă vreo prevedere a acestui apendice este invalidă sau inaplicabilă, restul acestui apendice va rămne în vigoare și în vigoare. Dispoziția invalidă sau inaplicabilă va fi (i) modificată pentru a asigura valabilitatea și caracterul executoriu al acesteia, păstrnd în același timp pe ct posibil intenția părților, sau - dacă acest lucru nu este posibil - (ii) interpretată ca și cum partea invalidă sau inaplicabilă ar fi nu a făcut parte niciodată din contract. Cele de mai sus se aplică și în cazul în care există o omisiune în acest apendice.
5.5 În măsura în care este necesar, Părțile pot solicita modificări la Partea 1, Clauza 3 (Respectarea legislației locale) sau alte părți ale Anexei pentru a se conforma interpretărilor, directivelor sau ordinelor emise de autoritățile competente ale Uniunii sau Statele membre, dispozițiile naționale de aplicare sau orice alte evoluții legale referitoare la GDPR sau la alte condiții de delegare către orice entități implicate în prelucrarea datelor și în special în ceea ce privește utilizarea clauzelor contractuale standard din GDPR. Termenii Clauzelor Contractuale Standard nu pot fi modificați sau înlocuiți dect dacă Comisia Europeană îi aprobă în mod expres (de exemplu, prin noi clauze adecvate și standarde de protecție a datelor).
5.6 Orice referire în acest Apendice la „Clauze” va fi înțeleasă ca se referă la toate prevederile acestui Apendice, dacă nu se specifică altfel.
5.7 Alegerea legii din Partea 2, Clauza 9 se aplică întregului Contract.
6. Date cu caracter personal transmise și prelucrate de părți în scopuri personale (transfer de la operatorul de date la operatorul de date)
6.1 Părțile știu pe deplin că anumite date cu caracter personal vor fi transferate de la Exportatorul de date la Importatorul de date și invers și că aceste date sunt prelucrate de fiecare parte în propriile sale scopuri. În ceea ce privește astfel de date cu caracter personal, acestea nu afectează celelalte prevederi ale acestui Apendice (cu excepția acestei clauze 6).
6.2 Exportatorul de date poate transfera date cu caracter personal referitoare la personalul Importatorului de date către Importatorul de date, inclusiv informații despre incidente de securitate sau orice alte documente sau fișiere create sau stabilite de Exportatorul de date în legătură cu Serviciile furnizate de personalul importatorul de date. Importatorul de date poate prelucra astfel de date cu caracter personal în propriile sale scopuri, în special în relațiile sale profesionale cu personalul importatorului de date, pentru controlul calității și instruire sau în scopuri comerciale.
6.3. Importatorul de date poate transfera date cu caracter personal către Exportatorul de date, inclusiv numele și detaliile de contact ale personalului importatorului de date. Exportatorul de date poate prelucra astfel de date cu caracter personal în propriile sale scopuri.
6.4 Ambele părți se vor conforma oricăror legi aplicabile privind protecția datelor, inclusiv GDPR, în colectarea, prelucrarea și utilizarea acestor date cu caracter personal primite de la cealaltă parte în temeiul clauzei 1 din partea 1. În special, ambele părți vor lua măsuri de securitate adecvate, cu condiția ca: un nivel de protecție similar cu măsurile de securitate prevăzute în apendicele 2 din partea 2. Orice acces la astfel de date cu caracter personal se limitează la necesitatea cunoașterii acestora.
6.5 Ambele părți trebuie să șteargă aceste date cu caracter personal ct mai curnd posibil după ce obiectivele au fost atinse.
Partea 2
DECIZIA COMISIEI
la 5 februarie 2010
privind clauzele contractuale standard pentru transferul de date cu caracter personal către operatori de date stabiliți în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului
Clauza 1
Definiții
În sensul clauzelor:
a) „date cu caracter personal”, „categorii speciale de date”, „prelucrare/prelucrare”, „operator”, „operator”, „persoană de date” și „autoritate de supraveghere” au același înțeles ca în 95/46/CE Directiva Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (1);
b) „Exportatorul de date” este operatorul de date care transferă datele cu caracter personal;
c) „Importatorul de date” este operatorul de date care este de acord să primească de la Exportatorul de date date cu caracter personal destinate a fi prelucrate în numele Exportatorului de date după transfer, în conformitate cu instrucțiunile acestuia și în condițiile acestor clauze și care nu este sub rezerva mecanismului unei țări terțe care asigură o protecție adecvată în sensul articolului 25 alineatul (1) din Directiva 95/46/CE; (d) „Procesator de date” înseamnă operatorul de date angajat de Importatorul de date sau de orice alt procesator de date al Importatorului de date care este de acord să primească de la Importatorul de date sau orice alt procesator de date al Importatorului de date date cu caracter personal exclusiv pentru activități de prelucrare pentru să fie efectuate în numele exportatorului de date după transfer, în conformitate cu instrucțiunile exportatorului de date,
e) „lege aplicabilă privind protecția datelor” înseamnă legislația care protejează drepturile și libertățile fundamentale ale persoanelor, inclusiv dreptul la viață privată în ceea ce privește prelucrarea datelor cu caracter personal, și care se aplică unui operator din statul membru în care este stabilit Exportatorul de date;
f) „măsuri tehnice și organizatorice referitoare la securitate” înseamnă măsuri menite să protejeze datele cu caracter personal împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat, în special atunci cnd prelucrarea implică transmiterea de date prin rețele și împotriva toate celelalte forme ilegale de prelucrare.
Clauza 2
Detalii despre transfer
Detaliile transferului, inclusiv, după caz, categorii speciale de date cu caracter personal, sunt specificate în Anexa 1, care face parte integrantă din aceste clauze.
Clauza 3
Clauza de terț beneficiar
1. Persoana vizată poate aplica împotriva exportatorului de date această clauză, clauza 4(b) pnă la (i), clauza 5(a) pnă la (e) și (g) pnă la (j), clauza 6 (1) și (2). ), clauza 7, clauza 8 alineatul (2) și clauzele 9 pnă la 12 în calitate de terț beneficiar
2. Persoana vizată poate aplica această clauză, clauza 5 (a) la (e) și (g), clauza 6, clauza 7, clauza 8 (2) și clauzele 9 pnă la 12 împotriva importatorului de date în cazul în care exportatorul de date are fizic a dispărut sau a încetat să mai existe în drept, cu excepția cazului în care toate obligațiile sale legale au fost transferate, prin contract sau de drept, entității succesoare, căreia îi revin, prin urmare, drepturile și obligațiile Exportatorului de date și față de care datele subiectul poate, prin urmare, să aplice clauzele menționate.
Persoana vizată poate aplica această clauză, clauza 5 (a) la (e) și (g), clauza 6, clauza 7, clauza 8 (2) și clauzele 9 pnă la 12 împotriva operatorului de date, dar numai în cazurile în care datele Exportatorul și Importatorul de date au dispărut fizic, au încetat să mai existe în drept sau au intrat în insolvență, cu excepția cazului în care toate obligațiile legale ale Exportatorului de date au fost transferate, prin contract sau de drept, succesorului legal, căruia drepturile și Prin urmare, sunt învestite obligațiile Exportatorului de date și față de care persoana vizată poate, prin urmare, să aplice astfel de clauze. O astfel de răspundere a împuternicitului de date trebuie să fie limitată la propriile sale activități de prelucrare în conformitate cu aceste clauze.
4. Părțile nu se opun ca persoana vizată să fie reprezentată de o asociație sau alt organism dacă acesta dorește și dacă legislația națională permite acest lucru.
Clauza 4
Obligațiile Exportatorului de Date
Exportatorul de date acceptă și garantează următoarele:
a) prelucrarea, inclusiv transferul efectiv al datelor cu caracter personal, a fost și va continua să fie efectuată în conformitate cu prevederile relevante ale legislației aplicabile privind protecția datelor (și, după caz, a fost notificată autorităților competente ale statului membru). în care își are sediul Exportatorul de date) și nu încalcă prevederile relevante ale statului respectiv;
b) au instruit și vor instrui pe durata serviciilor de prelucrare a datelor cu caracter personal, Importatorul de date să prelucreze datele cu caracter personal transferate în numele exclusiv al Exportatorului de date și în conformitate cu legislația aplicabilă privind protecția datelor și aceste clauze;
c) Importatorul de Date va oferi suficiente garanții cu privire la măsurile tehnice și organizatorice de securitate specificate în Anexa 2 la prezentul contract;
d) după evaluarea cerințelor legislației aplicabile privind protecția datelor, măsurile de securitate sunt adecvate pentru a proteja datele cu caracter personal împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat, în special atunci cnd prelucrarea implică transmiterea datelor; în rețea și împotriva tuturor celorlalte forme ilegale de prelucrare și să asigure un nivel de securitate adecvat riscurilor reprezentate de prelucrare și naturii datelor care trebuie protejate, ținnd cont de nivelul de tehnologie și de costul implementării;
e) vor asigura respectarea măsurilor de securitate;
f) dacă transferul se referă la categorii speciale de date, persoana vizată a fost informată sau va fi informată înainte de transfer, sau ct mai curnd posibil după transfer, că datele sale pot fi transferate într-o țară terță care nu oferă un nivel adecvat de protecție în sensul Directivei 95/46/CE;
g) vor transmite autorității de supraveghere a protecției datelor orice notificare primită de la Importatorul de date sau de la orice operator de date în temeiul Clauzelor 5 (b) și 8 (3) dacă aceasta decide să continue transferul sau să ridice suspendarea;
h) vor pune la dispoziția persoanelor vizate, dacă solicită acest lucru, o copie a acestor Clauze, cu excepția Anexei 2, și o descriere sumară a măsurilor de securitate, precum și o copie a oricărui alt acord de subcontractare, încheiat în baza acestor Clauze, cu excepția cazului în care: Clauzele sau acordul conțin informații comerciale, caz în care acesta poate retrage astfel de informații;
i) în cazul subcontractării procesului de prelucrare a datelor, activitatea de prelucrare este desfășurată în conformitate cu Clauza 11 de către un procesator de date care asigură cel puțin același nivel de protecție a datelor cu caracter personal și a drepturilor persoanei vizate ca și importatorul de date în conformitate cu aceste clauze. ; și
j) va asigura conformitatea cu Clauza 4 (a) la (i).
Clauza 5
Obligațiile importatorului de date
Importatorul de date acceptă și garantează următoarele:
a) vor prelucra datele cu caracter personal numai în numele Exportatorului de date și conform instrucțiunilor Exportatorului de date și ale acestor clauze; în cazul în care nu se poate conforma din orice motiv, aceștia sunt de acord să informeze Exportatorul de Date despre incapacitatea acestuia ct mai curnd posibil, caz în care Exportatorul de Date poate suspenda transferul de date și/sau înceta contractul;
b) nu au motive să creadă că legea aplicabilă acestora îl împiedică să îndeplinească instrucțiunile date de Exportatorul de date și obligațiile care îi revin în temeiul contractului și dacă această lege este supusă unei modificări care ar putea avea un prejudiciu material; efect asupra garanțiilor și obligațiilor din Clauze, acesta va notifica fără întrziere Exportatorul de date modificarea după ce a luat cunoștință de aceasta, caz în care Exportatorul de date poate suspenda transferul de date și/sau încetează contractul; (c) au implementat măsurile de securitate tehnice și organizatorice specificate în apendicele 2 înainte de a prelucra datele cu caracter personal transferate;
d) vor notifica fără întrziere Exportatorul de date:
i) orice cerere obligatorie de dezvăluire a datelor cu caracter personal din partea unei autorități de aplicare a legii, cu excepția cazului în care se specifică altfel, cum ar fi o interdicție penală care vizează păstrarea secretului unei anchete polițienești;
ii) orice acces accidental sau neautorizat; și
iii) orice cerere primită direct de la persoanele în cauză fără a răspunde la aceasta, cu excepția cazului în care acesta a fost autorizat să facă acest lucru; administratori
e) vor trata cu promptitudine și în mod corespunzător toate întrebările din partea Exportatorului de date cu privire la prelucrarea de către acesta a datelor cu caracter personal care sunt transferate și vor acționa sub avizul autorității de supraveghere cu privire la prelucrarea datelor transferate;
f) la cererea Exportatorului de date, aceștia vor supune instalațiile sale de prelucrare a datelor unui audit al activităților de prelucrare acoperite de aceste clauze, care urmează să fie efectuat de către Exportatorul de date sau de un organism de supraveghere compus din membri independenți cu calificările profesionale necesare; supus unei obligații de secret și ales de Exportatorul de date, după caz, cu acordul autorității de supraveghere;
g) vor pune la dispoziția persoanei vizate, dacă aceasta solicită acest lucru, o copie a acestor Clauze, sau orice subcontractare existentă a contractului de prelucrare a datelor, cu excepția cazului în care Clauzele sau contractul conțin informații comerciale, caz în care poate elimina astfel de clauze. informații, cu excepția Anexei 2, care va fi înlocuită cu o descriere sumară a măsurilor de securitate, în cazul în care persoana vizată nu poate obține o copie de la Exportatorul de date;
h) în cazul subcontractării ulterioare confidențiale a prelucrării datelor, se va asigura că informează în prealabil Exportatorul de Date și obține acordul scris al Exportatorului de Date;
i) serviciile de prelucrare furnizate de operatorul de date vor respecta clauza 11;
j) vor trimite cu promptitudine Exportatorului de date o copie a oricărei subcontractări a acordului de prelucrare a datelor încheiat de acesta în temeiul acestor Clauze.
Clauza 6
Responsabilitate
1. Părțile sunt de acord că orice persoană vizată care a suferit un prejudiciu din cauza încălcării obligațiilor menționate în Clauza 3 sau Clauza 11 de către una dintre părți sau de către un procesator de date poate obține despăgubiri de la Exportatorul de date pentru prejudiciul suferit.
2. În cazul în care o persoană vizată este împiedicată să introducă o acțiune în despăgubire, conform paragrafului 1, împotriva Exportatorului de date pentru nerespectarea de către Importatorul de date sau persoana împuternicită a procesului de date cu oricare dintre obligațiile sale conform Clauzei 3 sau Clauzei 11, deoarece Datele Exportatorul a dispărut fizic, a încetat să existe în drept sau a intrat în insolvență, Importatorul de date este de acord ca persoana vizată să poată depune o plngere împotriva sa ca și cum ar fi Exportatorul de date, cu excepția cazului în care toate obligațiile legale ale Exportatorului de date au fost transferate, prin contract sau de drept, către entitatea succesoare a acesteia, față de care persoana vizată își poate exercita apoi drepturile. Importatorul de date nu se poate baza pe o încălcare a obligațiilor sale de către un operator de date pentru a evita propria răspundere.
3. În cazul în care o persoană vizată este împiedicată să introducă acțiunea menționată la paragrafele 1 și 2 împotriva Exportatorului de date sau Importatorului de date pentru încălcarea de către Procesorul de date a obligațiilor care îi revin în temeiul clauzei 3 sau clauzei 11, deoarece Exportatorul de date și Importatorul de date au dispărut fizic, au încetat să existe în drept sau au intrat în insolvență, Procesatorul de date este de acord ca persoana vizată să poată depune o plngere împotriva acesteia cu privire la propriile activități de prelucrare în conformitate cu aceste clauze ca și cum ar fi Exportatorul de date sau Importatorul de date, cu excepția cazului în care toate obligațiile legale ale Exportatorului de Date sau Importatorului de Date au fost transferate, prin contract sau de drept, succesorului legal, față de care persoana vizată își poate exercita apoi drepturile.Răspunderea împuternicitului de date trebuie să fie limitată la propriile activități de prelucrare în conformitate cu aceste clauze.
Clauza 7
Mediere și jurisdicție
1. Importatorul de date este de acord că, în cazul în care, conform clauzelor, persoana vizată invocă împotriva sa dreptul terțului beneficiar și/sau solicită despăgubiri pentru prejudiciul suferit, va accepta decizia persoanei vizate:
a) să supună litigiul medierii de către o persoană independentă sau, după caz, autoritatea de supraveghere;
b) să sesizeze litigiul în fața instanțelor din statul membru în care își are sediul Exportatorul de date.
2. Părțile convin că alegerea făcută de persoana vizată nu va afecta dreptul procedural sau material al persoanei vizate de a obține despăgubiri în conformitate cu alte dispoziții de drept național sau internațional.
Clauza 8
Cooperarea cu autoritățile de supraveghere
1. Exportatorul de date este de acord să depună o copie a prezentului contract la autoritatea de supraveghere dacă aceasta din urmă solicită acest lucru sau dacă o astfel de depunere este prevăzută de legea aplicabilă privind protecția datelor.
2. Părțile convin că autoritatea de supraveghere poate efectua verificări la Importatorul de date și orice operator de date în aceeași măsură și în aceleași condiții ca și în cazul verificărilor efectuate la Exportatorul de date în conformitate cu legislația aplicabilă privind protecția datelor.
3. Importatorul de date informează Exportatorul de date ct mai curnd posibil despre existența unei legislații privind importatorul de date sau orice operator de date care împiedică verificarea la importatorul de date sau orice operator de date în conformitate cu alineatul (2). În acest caz, Exportatorul de date poate lua măsurile prevăzute în Clauza 5 (b).
Clauza 9
Lege aplicabilă
Clauzele se aplică și sunt guvernate de legea statului membru în care își are sediul Exportatorul de date.
Clauza 10
Modificarea contractului
Părțile se obligă să nu modifice prezentele clauze. Părțile rămn libere să includă și alte clauze comerciale pe care le consideră necesare, cu condiția ca acestea să nu contravină prezentelor clauze.
Clauza 11
Subcontractare ulterioară
1. Importatorul de date nu va subcontracta niciuna dintre activitățile sale de prelucrare efectuate în numele Exportatorului de date în conformitate cu aceste clauze fără acordul prealabil scris al Exportatorului de date. Importatorul de date își va subcontracta obligațiile în temeiul acestor Clauze numai, cu acordul Exportatorului de Date, printr-un acord scris cu Procesatorul de Date care impune Procesatorului de Date aceleași obligații ca și cele impuse Importatorului de Date prin aceste Clauze. În cazul în care operatorul de date nu își poate respecta obligațiile de protecție a datelor în temeiul acordului scris, importatorul de date va rămne pe deplin responsabil față de exportatorul de date pentru îndeplinirea acestor obligații.
2. Acordul scris prealabil dintre importatorul de date și împuternicitul de date va include, de asemenea, o clauză de beneficiar terță parte, astfel cum este prevăzută în clauza 3, pentru cazurile în care persoana vizată este împiedicată să introducă cererea de despăgubire menționată la clauza 6 (1). ), împotriva Exportatorului de Date sau Importatorului de Date deoarece Exportatorul de Date sau Importatorul de Date a dispărut fizic, a încetat să mai existe în drept sau a devenit insolvabil și toate obligațiile legale ale Exportatorului de Date sau Importatorului de Date nu au fost transferate, prin contract sau prin operațiune de drept, către o altă entitate succesoare. Răspunderea împuternicitului de date trebuie să fie limitată la propriile activități de prelucrare în conformitate cu aceste clauze.
(3) Dispozițiile referitoare la aspectele privind protecția datelor în subcontractarea prelucrării datelor din contractul menționat la alineatul (1) sunt reglementate de legea statului membru în care este stabilit Exportatorul de date.
4. Exportatorul de date va păstra o listă a contractelor de subcontractare de prelucrare a datelor încheiate în temeiul prezentelor clauze și notificate de către importatorul de date în conformitate cu clauza 5 (j), care va fi actualizată cel puțin o dată pe an. Această listă va fi pusă la dispoziția autorității de supraveghere a protecției datelor a exportatorului de date.
Clauza 12
Obligație după încetarea serviciilor de prelucrare a datelor cu caracter personal
1. Părțile sunt de acord că, la finalizarea serviciilor de prelucrare a datelor, importatorul de date și procesatorul de date vor returna exportatorului de date toate datele cu caracter personal transferate și copiile acestora, la comoditatea exportatorului de date, sau vor distruge toate aceste date și vor furniza dovezi. distrugerea către Exportatorul de Date, cu excepția cazului în care legislația impusă Importatorului de Date îl împiedică să returneze sau să distrugă toate sau o parte din datele cu caracter personal transferate. În acest caz, Importatorul de Date garantează că va asigura confidențialitatea datelor cu caracter personal transferate și că nu va mai procesa în mod activ datele.
(2) Importatorul de date și operatorul de date se asigură că, la cererea exportatorului de date și/sau a autorității de supraveghere, își vor supune mijloacele de prelucrare a datelor verificării măsurilor menționate la alineatul (1).
Anexa 1.1 la partea 2
Detalii despre transfer
Exportator de date
Exportatorul de date este Clientul definit în Acordul Contractual.
Importator de date
Importatorul de date este IQUALIF și este desemnat să prelucreze datele, furniznd servicii Exportatorului de date.
Subiectele datelor
Datele cu caracter personal transferate privesc următoarele categorii de persoane vizate:
˜' abonații telefonici enumerați în directorul universal
˜ Altele, inclusiv:
Categorii de date
Datele cu caracter personal transferate privesc urmatoarele categorii de date:
Categorii de date cu caracter personal ale persoanelor vizate ale exportatorului de date, în special,
„Nume complet
˜' Adresa poştală
˜' Detalii de contact (e-mail, telefon, adresa IP etc.)
˜' Detalii despre activitățile de marketing privind abonatul la telefon
˜' Altele, inclusiv tipul de locuință, venitul și vrsta medie de către oraș, făcute anonim
Categorii speciale de date (dacă este cazul)
Datele cu caracter personal transferate privesc următoarele categorii speciale de date:
˜' Nu este prevăzut transferul de categorii speciale de date
˜ Rasa sau originea etnică
˜ Credințele religioase sau filozofice
˜ Apartenența la sindicat
˜ Opinii politice
˜ Informaţii genetice
˜ Informații biometrice
˜ Informații despre orientarea sexuală sau viața sexuală
˜ Date de sănătate
Activitati de prelucrare
Datele cu caracter personal transferate vor face obiectul următoarelor activități de prelucrare de bază:
Prelucrarea efectuată în numele Exportatorului de date se bazează pe următoarele subiecte, în special:
˜' Preluarea asupra produselor sau serviciilor oferite de Exportatorul de date
˜' Oferta unui produs sau serviciu pe care persoana apelată o poate solicita
˜' Comenzi preluate de la persoanele chemate și procesarea ulterioară a acestor comenzi
˜' Studiați chestionare și analize
˜' Telemarketing
˜ Altele, inclusiv:
Importatorul de date prelucrează datele cu caracter personal ale persoanelor vizate în numele Exportatorului de date, pentru a furniza următoarele servicii și, în special:
˜' Vnzări și marketing
˜' Altele, inclusiv actualizarea bazelor de date ale primăriilor și partidelor politice
IQUALIF în principal combină, centralizează și oferă servicii Exportatorului de date. Serviciile furnizate de furnizorul de servicii desemnat pot fi structurate (printre altele, după caz) în jurul următoarelor servicii auxiliare: (i) furnizarea de aplicații, instrumente, sisteme și infrastructură IT în legătură cu centrele de prelucrare a datelor utilizate, pentru a furniza și sprijină serviciile, inclusiv prelucrarea datelor cu caracter personal ale persoanelor vizate, așa cum este descris mai sus, prin astfel de aplicații, instrumente și sisteme, (ii) furnizarea de asistență IT, întreținere și alte servicii legate de astfel de aplicații, instrumente, sisteme și infrastructura IT, inclusiv acces potențial la datele personale stocate în astfel de aplicații, instrumente și sisteme și (iii) furnizarea de servicii de protecție a datelor, monitorizare a protecției și servicii de răspuns la incidente; inclusiv accesul potențial la datele cu caracter personal atunci cnd furnizează astfel de servicii de protecție. IQUALIF poate angaja procesatori de date, după cum se stabilește mai jos, pentru a furniza serviciile, inclusiv serviciile auxiliare.
IQUALIF angajează furnizori de servicii externi și terți, care nu sunt subsidiare ale IQUALIF, pentru a sprijini furnizarea de servicii către Exportatorul de date. Exportatorul de date aprobă astfel de furnizori externi de servicii terți ca subentități alocate procesării datelor.
În cazul în care o subentitate implicată în prelucrarea datelor se află în afara UE/SEE, într-o țară despre care se consideră că nu are un nivel adecvat de protecție a datelor în temeiul unei decizii a Comisiei Europene, Importatorul de date va lua măsuri pentru a obține un nivel adecvat de protecția datelor în conformitate cu GDPR și cu secțiunea 3.4 (iv) din partea 1.
Anexa 2, partea 2
Măsuri tehnice și organizatorice de protecție
Importatorul de Date va lua următoarele măsuri tehnice și organizatorice de protecție confirmate de Exportatorul de Date, pentru a garanta un nivel adecvat de securitate pentru drepturile și libertățile persoanelor, în funcție de riscuri. La evaluarea nivelului de protecție în cauză, Exportatorul de date a luat în considerare, în special, riscurile implicate de prelucrare, inclusiv distrugerea accidentală sau ilegală, modificarea, dezvăluirea neautorizată sau accesul la datele cu caracter personal transmise, stocate sau prelucrate în alt mod. Prin clarificare: Aceste măsuri tehnice și organizatorice de protecție nu se aplică aplicațiilor, instrumentelor, sistemelor și/sau infrastructurii IT furnizate de Exportatorul de date.
1 Măsuri generale de protecție tehnică și organizatorică |
1.1 Informații generale și strategii de protecție a datelor |
Următorii pași ar trebui luați pentru a urma strategiile generale de protecție a datelor și informațiilor: |
|
|
|
|
|
1.2 Organizarea protecției informațiilor |
Următoarele măsuri ar trebui luate pentru a coordona activitățile de protecție a datelor și informațiilor: |
|
|
|
1.3 Controlul accesului în zonele de procesare |
Următoarele măsuri trebuie luate pentru a preveni accesul persoanelor neautorizate la sistemele de prelucrare a datelor (în special software și hardware) atunci cnd datele cu caracter personal sunt prelucrate, stocate sau transmise: |
|
|
|
|
1.4 Controlul accesului la sistemele de prelucrare a datelor |
Următoarele măsuri trebuie luate pentru a preveni accesul neautorizat la sistemele de prelucrare a datelor: |
|
|
|
|
|
|
1.5 Controlul accesului la anumite domenii de utilizare a sistemelor de prelucrare a datelor |
Următoarele măsuri trebuie luate pentru a se asigura că persoanele autorizate cu drept de utilizare a sistemului de prelucrare a datelor pot accesa numai datele în cadrul responsabilităților și autorizațiilor de acces respective și că datele cu caracter personal nu pot fi citite, copiate, modificate sau șterse fără autorizație: |
|
|
|
|
|
|
|
1.6 Controlul transmisiilor |
Următoarele măsuri trebuie luate pentru a preveni citirea, copierea, modificarea sau ștergerea datelor cu caracter personal de către terți neautorizați în timpul transmiterii sau transportului dispozitivelor de stocare a datelor (în funcție de prelucrarea datelor cu caracter personal efectuată): |
|
|
|
1.7 Controlul introducerii datelor |
Trebuie luate următoarele măsuri pentru a se asigura că este posibil să se verifice și să se determine dacă datele cu caracter personal au fost introduse sau șterse din sistemele de prelucrare a datelor și de către cine: |
|
|
1.8 Controlul muncii |
În cazul prelucrării delegate a datelor cu caracter personal, trebuie luate următoarele măsuri pentru a se asigura că aceste date sunt prelucrate în conformitate cu instrucțiunile Supraveghetorului: |
|
|
|
|
1.9 Separarea de prelucrare în alte scopuri |
Trebuie luate următoarele măsuri pentru a se asigura că datele colectate în alte scopuri pot fi prelucrate separat: |
|
|
1.10 Pseudonimizare |
În ceea ce privește pseudonimizarea datelor cu caracter personal trebuie luate următoarele măsuri: |
|
|
1.11 Criptare |
Pentru a cripta datele personale în aplicațiile și transmisiile care acceptă criptarea, ar trebui să luați următorii pași:
|
|
|
1.12 Completitudinea sistemelor și serviciilor de prelucrare a datelor |
Următoarele măsuri trebuie luate pentru a asigura caracterul complet al sistemelor și serviciilor de prelucrare a datelor: |
|
|
|
1.13 Disponibilitatea sistemelor și serviciilor de prelucrare a datelor și posibilitatea de a restabili accesul și utilizarea datelor cu caracter personal în cazul unui incident material sau tehnic |
Următoarele măsuri trebuie luate pentru a asigura disponibilitatea sistemelor de prelucrare a datelor, precum și pentru a putea restabili rapid disponibilitatea și accesul la datele cu caracter personal, în cazul unui incident material sau tehnic (în special prin asigurarea faptului că: datele personale sunt protejate împotriva distrugerii sau pierderii accidentale): |
|
|
|
|
|
|
|
1.14 Reziliența sistemelor și serviciilor de prelucrare a datelor |
Trebuie luate următoarele măsuri pentru a asigura rezistența sistemelor și serviciilor de prelucrare a datelor: |
|
|
|
1.15 Procedura pentru testarea, evaluarea și evaluarea periodică a eficacității măsurilor tehnice și organizatorice pentru a asigura securitatea prelucrării datelor |
Procedura pentru testarea, evaluarea și evaluarea periodică a eficacității măsurilor tehnice și organizatorice pentru protejarea prelucrării datelor. |
|
|
|
Partea 3
Semnăturile părților și lista importatorilor de date
Cnd completați formularul de comandă online și îl validați bifnd căsuța de acceptare a termenilor și condițiilor generale de utilizare, se stabilește contractul care reglementează relația dintre Client și IQUALIF.
Trimiterea plății către IQUALIF va avea în vedere contractul agreat și stabilit.
Rețineți: acest text a fost tradus din franceză. Versiunea originală franceză, care este valabilă și restrictivă din punct de vedere legal, este disponibilă aici .