Цей Додаток є невід’ємною частиною Контракту і укладається:
Кожна з них є «стороною », а зазвичай «сторонами ».
Преамбула
ДЕ Імпортер даних надає послуги професійного програмного забезпечення, комп’ютерні та пов’язані послуги (наприклад, браузери з розширеними функціями пошуку);
ЯКЩО відповідно до Контракту Імпортер даних погодився надавати Експортеру даних послуги, зазначені в Контракті («Послуги »);
ЯКЩО, надаючи Послуги, Імпортер даних отримує або користується доступом до інформації Експортера даних або інформації інших осіб, які мають (потенційні) стосунки з Експортером даних, така інформація може кваліфікуватися як персональні дані в розумінні Регламенту (ЄС) 2016/679 Європейського парламенту та Ради від 27 квітня 2016 року про захист осіб щодо обробки персональних даних і про вільний рух таких даних («GDPR ») та інші застосовні закони про захист даних.
ДЕ цей Додаток містить положення та умови, що застосовуються до збору, обробки та використання таких персональних даних Імпортером даних як уповноваженим агентом з обробки даних Експортера даних, для забезпечення дотримання Сторонами чинного законодавства про захист даних .
ТАКИМ, щоб дати можливість Сторонам продовжувати свої відносини на законних підставах, Сторони уклали цей Додаток про наступне:
Частина 1
1. Структура документа та визначення понять
1.1 Структура
Цей Додаток складається з наступних частин:
Частина 1: | містить загальні положення, наприклад, щодо визначень, що використовуються в цьому Додатку, дотримання місцевих законів, термінів і припинення
|
Частина 2: | містить основний документ стандартних договірних положень без змін
|
Додаток 1.1 частини 2: | містить детальну інформацію про операції обробки, надані Імпортером даних Експортеру даних як уповноваженому агенту обробки даних (включаючи обробку, характер і мету обробки, тип персональних даних і категорії суб’єктів даних) відповідно до цього Додаток
|
Додаток 2 частини 2: | містить опис технічних та організаційних заходів безпеки Імпортера даних, які застосовуються у зв’язку з усіма діями обробки, описаними в Додатку 1.1 Частини 2
|
Частина 3: | містить підписи Сторін, які зобов’язуються цим Додатком, і ідентифікує кожного Імпортера даних
|
1.2 Терміни та визначення
Для цілей цього Додатку застосовуються термінологія та визначення, які використовуються в GDPR (у тексті стандартного договірного положення в частині 2, де визначені терміни не пишуться великими літерами).
"Держава-член" | означає країну, що належить до Європейського Союзу або Європейської економічної зони
|
«Особливі категорії (персональних) даних» | стосується персональних даних, що розкривають расове чи етнічне походження, політичні погляди, релігійні чи філософські переконання чи членство в профспілках, а також генетичні дані, біометричні дані, якщо вони обробляються з метою однозначної ідентифікації особи, дані про стан здоров’я, дані про стать людини життя чи сексуальної орієнтації
|
«Стандартні договірні положення» | означають стандартні договірні положення щодо передачі персональних даних агентів обробки, заснованих у третіх країнах, згідно з Рішенням Комісії 2010/87/ЄС від 5 лютого 2010 року, до якого було внесено зміни Виконавчим рішенням Комісії (ЄС) 2016/2297 від 16 числа Грудень 2016 року
|
«Обробник даних». | означає будь-якого агента з обробки даних, який знаходиться в межах або за межами ЄС/ЄЕЗ, який погоджується отримувати від Імпортера даних або будь-якого іншого обробника Імпортера даних персональні дані виключно для цілей обробки даних, які будуть здійснюватися Експортером даних після передача відповідно до інструкцій Експортера даних, умов цього Додатку та Контракту з Імпортером даних
|
2. Зобов'язання Експортера даних
2.1 Експортер даних зобов’язаний забезпечити дотримання всіх застосовних зобов’язань відповідно до GDPR та будь-якого іншого застосовного закону про захист даних, який застосовується до Експортера даних, а також продемонструвати відповідність відповідно до вимог статті 5 (2) GDPR. Експортер даних гарантує, що імпортер даних отримав попередню згоду суб’єктів даних відповідно до статті 6 (a) GDPR і виконав свої зобов’язання щодо інформування суб’єктів даних відповідно до статей 13 і 14 GDPR.
2.2 Експортер даних повинен надати Імпортеру даних відповідні файли обробки даних відповідно до статті 30 (1) GDPR, пов’язані з Послугами згідно з цим Додатком, у тій мірі, в якій це необхідно для виконання Імпортером даних зобов’язань згідно з Стаття 30 (2) GDPR.
2.3 Експортер даних повинен призначити посадову особу або представника із захисту даних у межах, передбачених чинним законодавством про захист даних. Експортер даних зобов’язаний надати Імпортеру даних контактні дані агента із захисту даних або представника, якщо такий є.
2.4. До завершення обробки Експортер даних підтверджує шляхом прийняття цього Додатку, що технічні та організаційні заходи безпеки Імпортера даних, як викладено в Додатку 2 до Частини 2, є відповідними та достатніми для захисту прав суб’єкта даних. і підтверджує, що Імпортер даних забезпечує достатні гарантії щодо цього.
3. Дотримання місцевого законодавства
Для того, щоб відповідати вимогам впровадження агентів обробки відповідно до статті 28 GDPR, застосовуються такі поправки:
3.1 Інструкції
3.2 Обов’язки Імпортера даних
3.3 Права зацікавлених осіб
3.4 Додаткова обробка
3.5 Термін дії
Закінчення терміну дії цього Додатку є ідентичним даті закінчення відповідного Контракту. Якщо інше не передбачено в цьому Додатку, права та обов’язки, пов’язані з розірванням, будуть такими самими, як ті, що містяться в Контракті.
4. Обмеження відповідальності
4.1 Кожна сторона виконує свої зобов’язання відповідно до цього Додатку та чинного законодавства про захист даних.
4.2 Будь-яка відповідальність, пов’язана з порушенням зобов’язань згідно з цим Додатком або застосовним законодавством про захист даних, регулюється та регулюється положеннями про відповідальність, викладеними в Контракті або застосовними до нього, за винятком випадків, передбачених цим Додатком. Якщо відповідальність регулюється положеннями про відповідальність, викладеними в Контракті або застосовними до нього, для розрахунку лімітів відповідальності або визначення застосування інших обмежень відповідальності, будь-яка відповідальність, що виникає згідно з цим Додатком, вважається такою, що виникає за Контрактом.
5. Загальні положення
5.1 Якщо є будь-які невідповідності або розбіжності між частинами 1 і 2 цього Додатка, частина 2 має переважну силу. Зокрема, навіть у такому випадку Частина 1, яка просто виходить за межі Частини 2 (тобто умови стандартних положень), але не суперечить їй, залишається чинною.
5.2 У разі виникнення будь-яких розбіжностей між положеннями цього Додатку та положеннями інших договорів, які зобов’язують сторони, цей Додаток має переважну силу щодо зобов’язань сторін щодо захисту даних. У разі сумнівів щодо того, чи стосуються положення інших договорів зобов’язання сторін щодо захисту даних, перевагу матиме цей Додаток.
5.3 Якщо будь-яке положення цього Додатку є недійсним або таким, що не підлягає виконанню, решта цього Додатку залишатиметься в повній силі. Недійсне або таке, що не має позовної сили, положення буде (i) змінено, щоб забезпечити його дійсність і можливість виконання, зберігаючи, наскільки це можливо, наміри сторін, або - якщо це неможливо - (ii) тлумачити так, ніби недійсна або нездійсненна частина мала ніколи не був частиною контракту. Вищезазначене також застосовується, якщо в цьому Додатку є пропуск.
5.5 Наскільки це необхідно, Сторони можуть вимагати внесення змін до частини 1, пункту 3 (Відповідність місцевому законодавству) або інших частин Додатку з метою відповідності тлумаченням, директивам або розпорядженням, виданим компетентними органами Союзу або Держави-члени, національні правозастосовні положення або будь-які інші зміни законодавства щодо GDPR або інші умови делегування будь-яким організаціям, залученим до обробки даних, зокрема щодо використання Стандартних договірних положень у GDPR. Умови Стандартних договірних положень не можуть бути змінені або замінені, якщо це прямо не схвалено Європейською Комісією (наприклад, новими відповідними положеннями та стандартами захисту даних).
5.6 Будь-яке посилання в цьому Додатку на «Положення» має розумітися як посилання на всі положення цього Додатку, якщо не зазначено інше.
5.7 Вибір права в частині 2, пункт 9 застосовується до всього Контракту.
6. Персональні дані, що передаються та обробляються сторонами для особистих цілей (передача від контролера даних до контролера даних)
6.1 Сторони повністю знають, що певні особисті дані будуть передані від Експортера даних до Імпортера даних і навпаки, і що такі дані обробляються кожною Стороною для власних цілей. Що стосується таких персональних даних, це не впливає на інші положення цього Додатку (за винятком цього пункту 6).
6.2 Експортер даних може передавати імпортеру даних особисті дані, що стосуються персоналу імпортера даних, включно з інформацією про інциденти безпеки або будь-які інші документи чи файли, створені або створені експортером даних у зв’язку з Послугами, які надаються персоналом імпортер даних. Імпортер даних може обробляти такі персональні дані для власних цілей, зокрема у своїх професійних відносинах з персоналом Імпортера даних, для контролю якості та навчання, або для комерційних цілей.
6.3. Імпортер даних може передавати особисті дані Експортеру даних, включаючи ім’я та контактні дані персоналу Імпортера даних. Експортер даних може обробляти такі персональні дані для власних цілей.
6.4 Обидві сторони повинні дотримуватися будь-яких застосовних законів про захист даних, включаючи GDPR, під час збору, обробки та використання таких персональних даних, отриманих від іншої сторони згідно з пунктом 1 частини 1. Зокрема, обидві сторони повинні вжити відповідних заходів безпеки, забезпечуючи рівень захисту, аналогічний заходам безпеки, викладеним у Додатку 2 частини 2. Будь-який доступ до таких персональних даних обмежується необхідністю їх знати.
6.5 Обидві Сторони повинні видалити такі особисті дані якомога швидше після досягнення цілей.
Частина 2
РІШЕННЯ КОМІСІЇ
5 лютого 2010 року
про стандартні договірні положення щодо передачі персональних даних обробникам даних, заснованим у третіх країнах згідно з Директивою 95/46/EC Європейського Парламенту та Ради
Пункт 1
визначення
У значенні пунктів:
a) «персональні дані», «спеціальні категорії даних», «обробка/обробка», «контролер», «обробник», «суб’єкт даних» і «наглядовий орган» мають те саме значення, що й у 95/46/EC Директива Європейського Парламенту та Ради від 24 жовтня 1995 року про захист осіб щодо обробки персональних даних та про вільний рух таких даних (1);
b) «Експортер даних» — це контролер даних, який передає персональні дані;
c) «Імпортер даних» — це обробник даних, який погоджується отримувати від Експортера даних персональні дані, призначені для обробки від імені Експортера даних після передачі відповідно до його інструкцій та згідно з умовами цих пунктів, і який не відповідно до механізму третьої країни, що забезпечує належний захист у значенні статті 25(1) Директиви 95/46/ЄС; (d) «Обробник даних» означає обробника даних, залученого Імпортером даних або будь-яким іншим обробником даних Імпортера даних, який погоджується отримувати від Імпортера даних або будь-якого іншого обробника даних Імпортера даних персональні дані виключно для обробки даних для виконуватися від імені Експортера даних після передачі відповідно до інструкцій Експортера даних,
e) «застосовне законодавство про захист даних» означає законодавство, яке захищає основні права та свободи осіб, включаючи право на конфіденційність щодо обробки персональних даних, і застосовується до контролера в державі-члені, де зареєстровано Експортера даних;
f) «технічні та організаційні заходи, пов’язані з безпекою» означає заходи, призначені для захисту персональних даних від випадкового чи незаконного знищення або випадкової втрати, зміни, несанкціонованого розкриття чи доступу, зокрема, якщо обробка включає передачу даних через мережі, а також від усі інші незаконні форми обробки.
Пункт 2
Деталі переказу
Деталі передачі, у тому числі, у відповідних випадках, спеціальні категорії персональних даних, визначені в Додатку 1, який є невід’ємною частиною цих пунктів.
Пункт 3
Застереження щодо третьої сторони-бенефіціара
1. Суб’єкт даних може застосувати проти Експортера даних цей пункт, пункти 4(b) – (i), пункти 5(a) – (e) і (g) – (j), пункти 6 (1) і (2). ), пункт 7, пункт 8(2) і пункти з 9 по 12 як сторонній бенефіціар
2. Суб’єкт даних може застосувати цей пункт, пункти 5 (a) – (e) і (g), пункт 6, пункт 7, пункт 8 (2) і пункти 9 – 12 проти Імпортера даних, якщо Експортер даних фізично зник або припинив своє існування за законом, якщо всі його юридичні зобов’язання не були передані за договором або в силу закону суб’єкту-правонаступнику, до якого таким чином повертаються права та обов’язки Експортера даних і проти якого дані тому суб'єкт може забезпечити виконання зазначених положень.
Суб’єкт даних може застосувати цей пункт, пункти 5 (a) – (e) і (g), пункт 6, пункт 7, пункт 8 (2) і пункти 9 – 12 проти Обробника даних, але лише у випадках, коли Дані Експортер та Імпортер даних фізично зникли, припинили своє існування за законом або стали неплатоспроможними, якщо всі юридичні зобов’язання Експортера даних не були передані за договором або в силу закону правонаступнику, якому належать права та Таким чином, на Експортера даних покладаються зобов’язання, і проти кого суб’єкт даних може застосувати такі положення. Така відповідальність Обробника даних має бути обмежена його власною діяльністю з обробки згідно з цими пунктами.
4. Сторони не заперечують проти того, щоб суб’єкт даних був представлений асоціацією чи іншим органом, якщо він або вона цього бажає та якщо це дозволяє національне законодавство.
Пункт 4
Зобов'язання експортера даних
Експортер даних приймає та гарантує таке:
a) обробка, включно з фактичною передачею персональних даних, здійснювалася та продовжуватиметься відповідно до відповідних положень чинного законодавства про захист даних (і, якщо застосовно, було повідомлено компетентні органи держави-члена в якій знаходиться Експортер даних) і не порушує відповідні положення цієї держави;
b) вони дали вказівки та будуть доручати Імпортеру даних обробляти персональні дані, передані виключно від імені Експортера даних і відповідно до чинного законодавства про захист даних і цих пунктів, протягом терміну надання послуг з обробки персональних даних;
c) Імпортер даних забезпечить достатні гарантії щодо технічних та організаційних заходів безпеки, зазначених у Додатку 2 до цього контракту;
d) після оцінки вимог чинного законодавства про захист даних заходи безпеки є достатніми для захисту персональних даних від випадкового чи незаконного знищення або випадкової втрати, зміни, несанкціонованого розкриття чи доступу, зокрема, якщо обробка передбачає передачу даних через мережу та проти всіх інших незаконних форм обробки та забезпечення рівня безпеки, що відповідає ризикам, пов’язаним із обробкою, і характером даних, які підлягають захисту, з огляду на рівень технології та вартість реалізації;
д) забезпечуватимуть дотримання заходів безпеки;
f) якщо передача стосується спеціальних категорій даних, суб’єкта даних було поінформовано або буде проінформовано до передачі або якомога швидше після передачі про те, що його дані можуть бути передані до третьої країни, яка не пропонує адекватний рівень захисту в розумінні Директиви 95/46/ЄС;
g) вони перешлють будь-яке повідомлення, отримане від Імпортера даних або будь-якого обробника даних відповідно до статей 5 (b) і 8 (3), до наглядового органу із захисту даних, якщо він вирішить продовжити передачу або скасувати призупинення;
h) вони повинні надавати суб’єктам даних, якщо вони цього вимагають, копію цих статей, за винятком Додатку 2, і короткий опис заходів безпеки, а також копію будь-якої подальшої угоди субпідряду, укладеної відповідно до цих статей, крім випадків, коли Пункти або угода містять комерційну інформацію, у такому разі він може відкликати таку інформацію;
i) у разі субпідряду щодо процесу обробки даних, діяльність з обробки здійснюється відповідно до пункту 11 обробником даних, який забезпечує принаймні той самий рівень захисту персональних даних і прав суб’єкта даних, що й імпортер даних згідно з цими пунктами. ; і
j) це забезпечить дотримання пункту 4 (a) - (i).
Пункт 5
Обов'язки Імпортера даних
Імпортер даних приймає та гарантує таке:
a) вони оброблятимуть персональні дані лише від імені Експортера даних і згідно з інструкціями Експортера даних і цими пунктами; якщо він не може виконати вимоги з будь-якої причини, вони погоджуються повідомити Експортера даних про свою нездатність якнайшвидше, і в цьому випадку Експортер даних може призупинити передачу даних та/або розірвати договір;
b) у них немає підстав вважати, що застосовне до них законодавство перешкоджає йому виконувати інструкції, надані Експортером даних, і зобов’язання, покладені на нього за контрактом, і якщо таке законодавство підлягає зміні, яка може мати істотні негативні наслідки вплинути на гарантії та зобов’язання відповідно до положень, він повинен повідомити Експортера даних про зміну без затримки після того, як йому стало відомо про це, і в цьому випадку Експортер даних може призупинити передачу даних та/або розірвати договір; (c) вони запровадили технічні та організаційні заходи безпеки, зазначені в Додатку 2, перед обробкою переданих персональних даних;
d) вони негайно повідомлять Експортера даних:
i) будь-який обов’язковий запит на розкриття персональних даних від правоохоронного органу, якщо не вказано інше, наприклад, кримінальна заборона, спрямована на збереження таємниці поліцейського розслідування;
ii) будь-який випадковий або несанкціонований доступ; і
iii) будь-який запит, отриманий безпосередньо від зацікавлених осіб без відповіді на нього, якщо він не був уповноважений це зробити; адміністратори
e) вони будуть оперативно та належним чином розглядати всі запити від Експортера даних щодо обробки ним персональних даних, що передаються, і діятимуть згідно з висновком наглядового органу щодо обробки переданих даних;
f) на вимогу Експортера даних вони піддадуть його засоби обробки даних аудиту дій з обробки, які охоплюються цими пунктами, які будуть проводитися Експортером даних або наглядовим органом, що складається з незалежних членів з необхідною професійною кваліфікацією, підлягає зобов’язанню зберігати секретність і вибирається Експортером даних, у відповідних випадках за згодою наглядового органу;
g) вони нададуть суб’єкту даних, якщо він цього попросить, копію цих статей або будь-якого існуючого субпідрядного договору про обробку даних, за винятком випадків, коли положення або договір містять комерційну інформацію, у такому випадку він може видалити таку інформацію, за винятком Додатку 2, який буде замінено коротким описом заходів безпеки, якщо суб’єкт даних не може отримати копію від Експортера даних;
h) у разі конфіденційного подальшого субпідряду на обробку даних він переконається, що він заздалегідь поінформує Експортера даних і отримає письмову згоду Експортера даних;
i) послуги обробки, що надаються обробником даних, повинні відповідати пункту 11;
j) вони негайно надішлють Експортеру даних копію будь-якої субпідрядної угоди про обробку даних, укладеної ним відповідно до цих положень.
Пункт 6
Відповідальність
1. Сторони погоджуються, що будь-який суб’єкт даних, який зазнав збитків через порушення зобов’язань, зазначених у пункті 3 або пункті 11, однією зі сторін або обробником даних, може отримати від Експортера даних компенсацію за завдані збитки.
2. Якщо суб’єкт даних не може подати позов про відшкодування збитків, як зазначено в пункті 1, проти Експортера даних через невиконання Імпортером даних або його обробником даних будь-яких своїх зобов’язань згідно з пунктом 3 або пунктом 11, оскільки Дані Експортер фізично зник, припинив своє існування за законом або став неплатоспроможним, Імпортер даних погоджується з тим, що суб’єкт даних може подати скаргу проти нього, як якщо б він був Експортером даних, якщо всі юридичні зобов’язання Експортера даних не були передані за договором або в силу закону, його правонаступнику, проти якого суб’єкт даних може потім захистити свої права. Імпортер даних не може покладатися на порушення своїх зобов’язань обробником даних, щоб уникнути власної відповідальності.
3. Якщо суб’єкт даних не може подати позов, зазначений у параграфах 1 і 2, проти Експортера даних або Імпортера даних за порушення Обробником даних своїх зобов’язань відповідно до пункту 3 або пункту 11, оскільки Експортер даних та Імпортер даних фізично зникли, припинили своє існування за законом або стали неплатоспроможними, обробник даних погоджується, що суб’єкт даних може подати на нього скаргу щодо його власної діяльності з обробки відповідно до цих пунктів, як якщо б він був експортером або імпортером даних, якщо всі юридичні зобов’язання Експортера або Імпортера даних були передані за контрактом або в силу закону правонаступнику, проти якого суб’єкт даних може відстоювати свої права.Відповідальність Обробника даних має бути обмежена його власною діяльністю з обробки відповідно до цих пунктів.
Пункт 7
Медіація та юрисдикція
1. Імпортер даних погоджується з тим, що якщо відповідно до положень суб’єкт даних посилається на своє право третьої сторони-бенефіціара та/або вимагає компенсацію за завдану шкоду, він погодиться з рішенням суб’єкта даних:
a) передати спір на розгляд незалежної особи або, у відповідних випадках, наглядового органу;
b) передавати спір до судів держави-члена, де знаходиться Експортер даних.
2. Сторони погоджуються, що вибір, зроблений суб’єктом даних, не впливає на процесуальне чи матеріальне право суб’єкта даних отримати відшкодування відповідно до інших положень національного чи міжнародного права.
Пункт 8
Співпраця з контролюючими органами
1. Експортер даних погоджується передати копію цього контракту наглядовому органу, якщо останній цього вимагає або якщо таке зберігання передбачено чинним законодавством про захист даних.
2. Сторони погоджуються, що наглядовий орган може проводити перевірки Імпортера даних і будь-якого обробника даних у тому ж обсязі та на тих же умовах, що й перевірки, що проводяться Експортером даних відповідно до чинного законодавства про захист даних.
3. Імпортер даних якнайшвидше інформує Експортера даних про існування законодавства щодо Імпортера даних або будь-якого обробника даних, яке перешкоджає перевірці в Імпортера даних або будь-якого обробника даних відповідно до пункту 2. У такому випадку, Експортер даних може вжити заходів, передбачених пунктом 5 (b).
Пункт 9
Застосовне право
Положення застосовуються та регулюються законодавством держави-члена, де знаходиться Експортер даних.
Пункт 10
Внесення змін до договору
Сторони зобов'язуються не змінювати ці положення. Сторони залишаються вільними включати інші комерційні положення, які вони вважають необхідними, за умови, що вони не суперечать цим положенням.
Пункт 11
Наступний субпідряд
1. Імпортер даних не повинен передавати субпідрядну діяльність щодо обробки, яка виконується від імені Експортера даних згідно з цими пунктами, без попередньої письмової згоди Експортера даних. Імпортер даних може передати свої зобов’язання згідно з цими пунктами лише за згодою експортера даних через письмову угоду з обробником даних, яка покладає на обробника даних ті самі зобов’язання, що й ті, що покладаються на імпортера даних згідно з цими пунктами. Якщо обробник даних не може виконати свої зобов’язання щодо захисту даних згідно з цією письмовою угодою, імпортер даних несе повну відповідальність перед експортером даних за виконання цих зобов’язань.
2. Попередня письмова угода між імпортером даних і обробником даних також повинна містити положення про бенефіціара третьої сторони, як зазначено в пункті 3, для випадків, коли суб’єкт даних не може подати позов про відшкодування збитків, згаданий у пункті 6 (1 ), проти Експортера або Імпортера даних, оскільки Експортер або Імпортер даних фізично зник, припинив своє існування за законом або став неплатоспроможним, а всі юридичні зобов’язання Експортера або Імпортера даних не були передані за контрактом або за операцією закону, іншому правонаступнику. Відповідальність Обробника даних має бути обмежена його власною діяльністю з обробки відповідно до цих пунктів.
3. Положення, що стосуються аспектів захисту даних субпідряду на обробку даних контракту, зазначеного в параграфі 1, регулюються законодавством держави-члена, в якій засновано Експортера даних.
4. Експортер даних повинен вести перелік субпідрядних угод про обробку даних, укладених згідно з цими пунктами та повідомлених імпортером даних відповідно до пункту 5 (j), який оновлюється принаймні один раз на рік. Цей список має бути наданий органу нагляду за захистом даних Експортера даних.
Пункт 12
Зобов’язання після припинення надання послуг з обробки персональних даних
1. Сторони погоджуються, що після завершення надання послуг з обробки даних Імпортер даних і Обробник даних у зручний для Експортера даних повернуть усі передані персональні дані та їх копії Експортеру даних або знищать усі такі дані та нададуть докази знищення Експортеру даних, якщо законодавство, накладене на Імпортера даних, не забороняє йому повернути або знищити всі або частину переданих персональних даних. У цьому випадку Імпортер даних гарантує, що він забезпечить конфіденційність переданих персональних даних і що він більше не буде активно обробляти дані.
2. Імпортер даних та обробник даних гарантують, що на вимогу експортера даних та/або наглядового органу вони піддадуть свої засоби обробки даних перевірці заходів, зазначених у параграфі 1.
Додаток 1.1 до ч.2
Деталі переказу
Експортер даних
Експортером даних є Клієнт, визначений у Договірній угоді.
Імпортер даних
Імпортером даних є IQUALIF, і йому призначено обробку даних, надання послуг експортеру даних.
Суб'єкти даних
Передані персональні дані стосуються таких категорій суб’єктів даних:
˜» телефонні абоненти, занесені в універсальний довідник
˜ Інші, зокрема:
Категорії даних
Передані персональні дані стосуються таких категорій даних:
Категорії персональних даних суб’єктів даних Експортера даних, зокрема,
˜' Повне ім'я
˜' Поштова адреса
˜' Контактні дані (електронна пошта, телефон, IP-адреса тощо)
• Деталі маркетингової діяльності щодо телефонного абонента
˜' Інші, включаючи тип житла, дохід і середній вік у місті, зроблені анонімно
Спеціальні категорії даних (за наявності)
Передані персональні дані стосуються таких спеціальних категорій даних:
˜' Передача спеціальних категорій даних не передбачається
˜ Раса або етнічне походження
˜ Релігійні чи філософські переконання
˜ Членство в профспілці
˜ Політичні погляди
˜ Генетична інформація
˜ Біометрична інформація
˜ Інформація про сексуальну орієнтацію чи сексуальне життя
˜ Дані про здоров’я
Переробна діяльність
Передані персональні дані будуть підлягати наступним основним діям обробки:
Обробка, яка здійснюється від імені Експортера даних, базується на наступних питаннях, зокрема:
˜' Взяття на себе відповідальності за продукти або послуги, які пропонує Експортер даних
˜ Пропозиція продукту чи послуги, яку може запросити особа, якій телефонують
˜' Прийняття замовлень від викликаних осіб та подальша обробка цих замовлень
˜' Вивчіть анкети та аналізи
˜' Телемаркетинг
˜ Інші, зокрема:
Імпортер даних обробляє персональні дані суб’єктів даних від імені Експортера даних, щоб надавати такі послуги, зокрема:
• Продажі та маркетинг
˜ Інші, зокрема оновлення баз даних мерій та політичних партій
IQUALIF в основному поєднує, централізує та надає послуги експортеру даних. Послуги, які надає вказаний постачальник послуг, можуть бути структуровані (зокрема, у відповідних випадках) навколо таких допоміжних послуг: (i) надання додатків, інструментів, систем та ІТ-інфраструктури щодо використовуваних центрів обробки даних, щоб забезпечити і підтримувати послуги, включаючи обробку персональних даних суб’єктів даних, як описано вище, за допомогою таких програм, інструментів і систем, (ii) надання ІТ-підтримки, обслуговування та інших послуг, пов’язаних із такими програмами, інструментами, системами та ІТ-інфраструктура, включаючи потенційний доступ до персональних даних, що зберігаються в таких програмах, інструментах і системах, і (iii) надання послуг захисту даних, моніторингу захисту та послуг реагування на інциденти, включаючи потенційний доступ до персональних даних під час надання таких послуг захисту. IQUALIF може залучати обробників даних, як зазначено нижче, для надання послуг, включаючи додаткові послуги.
IQUALIF залучає зовнішніх і сторонніх постачальників послуг, які не є дочірніми компаніями IQUALIF, для підтримки надання послуг Експортеру даних. Експортер даних затверджує таких зовнішніх сторонніх постачальників послуг як суб’єкти, призначені для обробки даних.
Якщо дочірня організація, яка бере участь в обробці даних, розташована за межами ЄС/ЄЕЗ, у країні, яка згідно з рішенням Європейської комісії не має належного рівня захисту даних, Імпортер даних вживає заходів для отримання належного рівня захисту даних. захист даних відповідно до GDPR та розділу 3.4 (iv) частини 1.
Додаток 2, частина 2
Технічні та організаційні захисні заходи
Імпортер даних вживає наступних технічних та організаційних заходів захисту, підтверджених Експортером даних, щоб гарантувати належний рівень безпеки прав і свобод осіб залежно від ризиків. Оцінюючи відповідний рівень захисту, Експортер даних врахував, зокрема, ризики, пов’язані з обробкою, включаючи випадкове або незаконне знищення, зміну, несанкціоноване розкриття або доступ до персональних даних, які передаються, зберігаються або обробляються іншим чином. До пояснення: ці технічні та організаційні заходи захисту не застосовуються до програм, інструментів, систем та/або ІТ-інфраструктури, наданої Експортером даних.
1 Загальні технічні та організаційні заходи захисту |
1.1 Загальна інформація та стратегії захисту даних |
Для дотримання загальних стратегій захисту даних та інформації необхідно вжити таких кроків: |
|
|
|
|
|
1.2 Організація захисту інформації |
Для координації діяльності із захисту даних та інформації необхідно вжити таких заходів: |
|
|
|
1.3 Контроль доступу до зон обробки |
Необхідно вжити наступних заходів для запобігання доступу неавторизованих осіб до систем обробки даних (зокрема, програмного та апаратного забезпечення), коли персональні дані обробляються, зберігаються або передаються: |
|
|
|
|
1.4 Контроль доступу до систем обробки даних |
Для запобігання несанкціонованому доступу до систем обробки даних необхідно вжити таких заходів: |
|
|
|
|
|
|
1.5 Контроль доступу до окремих сфер використання систем обробки даних |
Необхідно вжити наступних заходів, щоб переконатися, що уповноважені особи, які мають право використовувати систему обробки даних, можуть отримати доступ до даних лише в межах своїх відповідних обов’язків і повноважень доступу, і що особисті дані не можна читати, копіювати, змінювати або видаляти без дозволу: |
|
|
|
|
|
|
|
1.6 Управління трансмісіями |
Необхідно вжити наступних заходів, щоб запобігти читанню, копіюванню, зміні або видаленню особистих даних неавторизованими третіми сторонами під час передачі чи транспортування пристроїв зберігання даних (залежно від виконаної обробки персональних даних): |
|
|
|
1.7 Контроль введення даних |
Необхідно вжити таких заходів, щоб забезпечити можливість перевірити та визначити, чи були персональні дані введені в системи обробки даних або видалені з них і ким: |
|
|
1.8 Контроль роботи |
У разі делегованої обробки персональних даних необхідно вжити таких заходів, щоб забезпечити обробку таких даних відповідно до вказівок Супервайзера: |
|
|
|
|
1.9 Відокремлення від обробки для інших цілей |
Необхідно вжити таких заходів, щоб дані, зібрані для інших цілей, могли оброблятися окремо: |
|
|
1.10 Псевдонімізація |
Щодо псевдонімізації персональних даних необхідно вжити таких заходів: |
|
|
1.11 Шифрування |
Для шифрування особистих даних у програмах і передаваннях, які підтримують шифрування, слід виконати наступні дії:
|
|
|
1.12 Повнота систем і послуг обробки даних |
Для забезпечення повноти систем обробки даних і послуг необхідно вжити таких заходів: |
|
|
|
1.13 Наявність систем і сервісів обробки даних і можливість відновлення доступу та використання персональних даних у разі матеріально-технічного інциденту |
Необхідно вжити наступних заходів, щоб забезпечити доступність систем обробки даних, а також мати можливість швидко відновити доступність і доступ до персональних даних у разі матеріального чи технічного інциденту (зокрема, забезпечивши, щоб персональні дані захищені від випадкового знищення або втрати): |
|
|
|
|
|
|
|
1.14 Стійкість систем обробки даних і послуг |
Необхідно вжити наступних заходів для забезпечення стійкості систем обробки даних і послуг: |
|
|
|
1.15 Процедура регулярного тестування, оцінювання та оцінювання ефективності технічних та організаційних заходів для забезпечення безпеки обробки даних |
Процедура регулярного тестування, оцінювання та оцінки ефективності технічних та організаційних заходів захисту обробки даних. |
|
|
|
Частина 3
Підписи сторін та список Імпортерів даних
Коли ви заповнюєте онлайн-форму замовлення та підтверджуєте її, встановлюючи прапорець, приймаючи загальні положення та умови використання, укладається договір, який регулює відносини між Клієнтом та IQUALIF.
Надсилання платежу IQUALIF вважатиме договір узгодженим і укладеним.
Зверніть увагу: цей текст перекладено з французької. Оригінальна версія французькою мовою, яка є дійсною та має юридичні обмеження, доступна тут .