डेटा प्रोसेसिंग परिशिष्ट

 

यह परिशिष्ट अनुबंध का एक अभिन्न अंग है और इसमें प्रविष्ट होता है

 

  1. (i) ग्राहक ("डेटा निर्यातक")
  2. (ii)IQUALIF ("डेटा आयातक")

 

हर "पार्टी" और "पार्टियों" के लिए।

 

प्रस्तावना
जहां डेटा आयातक पेशेवर सॉफ्टवेयर सेवाएं, कंप्यूटर और संबंधित सेवाएं प्रदान करता है (जैसे उन्नत खोज कार्यों के साथ ब्राउज़र)
जहां अनुबंध के अनुसार, डेटा आयातक अनुबंध में निर्दिष्ट सेवाओं ("सेवा") डेटा निर्यातक को प्रदान करने के लिए सहमत है
जहां, सेवाएं प्रदान करके, डेटा आयातक डेटा निर्यातक की जानकारी तक पहुंच या डेटा निर्यातक के साथ (संभावित) संबंध रखने वाले अन्य व्यक्तियों की जानकारी प्राप्त करता है या लाभ प्राप्त करता है, इस तरह की जानकारी यूरोपीय संसद के विनियमन (ईयू) 2016/679 के अर्थ के भीतर व्यक्तिगत डेटा के रूप में योग्य हो सकती है और व्यक्तिगत डेटा के प्रसंस्करण के बारे में व्यक्तियों की सुरक्षा और ऐसे डेटा ("जीडीपीआर") और अन्य लागू डेटा संरक्षण कानूनों के मुक्त आंदोलन पर 27 अप्रैल २०१६ की परिषद की।
इस परिशिष्ट में डेटा आयातक द्वारा ऐसे व्यक्तिगत डेटा के संग्रह, प्रसंस्करण और उपयोग के लिए लागू नियम और शर्तें शामिल हैं, जो डेटा निर्यातक के अधिकृत डेटा प्रोसेसिंग एजेंट के रूप में अपनी क्षमता में है, ताकि यह सुनिश्चित हो सके कि पार्टियां लागू डेटा सुरक्षा कानून का पालन करती हैं। 

 

 

इसीलिए पार्टियों को अपने रिश्ते को वैध रूप से जारी रखने के लिए सक्षम करने के लिए, पार्टियों ने इस परिशिष्ट को इस प्रकार निष्कर्ष निकाला है
भाग 1

 

1. दस्तावेज़ और परिभाषाओं की संरचना

1.1 संरचना

इस परिशिष्ट में विभिन्न भाग शामिल हैं:

 

भाग 1: 

सामान्य प्रावधान शामिल हैं, उदाहरण के लिए इस परिशिष्ट में उपयोग की जाने वाली परिभाषाओं के विषय में, स्थानीय कानूनों, समय और समाप्ति के अनुपालन

 

भाग 2:

असंशोधित मानक संविदात्मक खंड दस्तावेज़ शामिल है

 

भाग 2 का परिशिष्ट 1.1

इस परिशिष्ट के तहत डेटा आयातक द्वारा अधिकृत डेटा प्रोसेसिंग एजेंट (प्रसंस्करण, प्रकृति और प्रसंस्करण के उद्देश्य, व्यक्तिगत डेटा के प्रकार और डेटा विषयों की श्रेणियों सहित) के रूप में डेटा आयातक द्वारा प्रदान किए गए प्रसंस्करण संचालन का विवरण शामिल है

 

भाग २ का परिशिष्ट २
:

डेटा आयातक के तकनीकी और संगठनात्मक सुरक्षा उपायों का विवरण शामिल है, जो भाग 2 के परिशिष्ट 1.1 में वर्णित सभी प्रसंस्करण गतिविधियों के संबंध में लागू होते हैं

 

भाग 3:

इस परिशिष्ट से बंधे होने के लिए पार्टियों के हस्ताक्षर शामिल हैं और प्रत्येक डेटा आयातक की पहचान करता है

 

 

1.2 शब्दावली और परिभाषाएँ
इस परिशिष्ट के प्रयोजनों के लिए, जीडीपीआर द्वारा उपयोग की जाने वाली शब्दावली और परिभाषाएं लागू होती हैं (भाग 2 में मानक संविदात्मक खंड दस्तावेज के शरीर में, जहां परिभाषित शर्तें पूंजीकृत नहीं हैं)।

 

"सदस्य राज्य"
यूरोपीय संघ या यूरोपीय आर्थिक क्षेत्र से संबंधित देश

 

"व्यक्तिगत (व्यक्तिगत) डेटा की विशेष श्रेणियां"

व्यक्तिगत डेटा नस्लीय या जातीय मूल, राजनीतिक राय, धार्मिक या दार्शनिक विश्वासों, या व्यापार संघ की सदस्यता, और आनुवंशिक डेटा, बॉयोमीट्रिक डेटा, अगर विशिष्ट एक व्यक्ति की पहचान करने के उद्देश्य के लिए संसाधित करने के लिए संदर्भित करता है, स्वास्थ्य से संबंधित डेटा, एक व्यक्ति के यौन जीवन या यौन अभिविन्यास से संबंधित डेटा

 

"मानक संविदात्मक खंड"

तीसरे देशों में स्थापित प्रसंस्करण एजेंटों के व्यक्तिगत डेटा को स्थानांतरित करने के लिए मानक संविदात्मक खंड, आयोग के निर्णय 2010/87/EU के तहत 5 फरवरी २०१० को, जिसे आयोग द्वारा 16 दिसंबर २०१६ को कमीशन निर्णय (ईयू) 2016/2297 द्वारा संशोधित किया गया था ।

 

"डेटा प्रोसेसर"
कोई भी प्रसंस्करण एजेंट, जो यूरोपीय संघ/ईईए के अंदर या बाहर स्थित है, जो डेटा आयातक या डेटा आयातक के किसी अन्य प्रोसेसर से प्राप्त करने के लिए सहमत है, डेटा निर्यातक के निर्देशों के अनुसार हस्तांतरण के बाद डेटा निर्यातक द्वारा किए जाने वाले प्रसंस्करण गतिविधियों के अनन्य उद्देश्य के लिए व्यक्तिगत डेटा, इस परिशिष्ट की शर्तें और डेटा आयातक के साथ अनुबंध

 

 

 

2. डेटा निर्यातक के दायित्व

2.1 डेटा निर्यातक का दायित्व है कि वह जीडीपीआर के तहत सभी लागू दायित्वों और किसी अन्य लागू डेटा संरक्षण कानून का अनुपालन सुनिश्चित करे जो डेटा निर्यातक पर लागू होता है और जीडीपीआर के अनुच्छेद 5 (2) के लिए आवश्यक इस तरह के अनुपालन को दिखाने के लिए है।डेटा निर्यातक का वारंट है कि डेटा आयातक ने जीडीपीआर के अनुच्छेद 6 (क) के अनुसार डेटा विषयों की पूर्व सहमति प्राप्त की है और जीडीपीआर के अनुच्छेद 13 और 14 के अनुसार डेटा विषयों को सूचित करने के अपने दायित्व का पालन किया है ।

2.2 डेटा निर्यातक को इस परिशिष्ट के तहत सेवाओं से संबंधित जीडीपीआर के अनुच्छेद 30 (1) के अनुसार प्रसंस्करण गतिविधियों की संबंधित फाइलों के साथ डेटा आयातक प्रदान करना चाहिए, जो डेटा आयातक के लिए जीडीपीआर के अनुच्छेद 30 (2) के तहत दायित्व का अनुपालन करने के लिए आवश्यक सीमा है ।

2.3 डेटा निर्यातक को लागू डेटा संरक्षण कानून द्वारा आवश्यक सीमा तक डेटा संरक्षण अधिकारी या प्रतिनिधि नियुक्त करना होगा।डेटा निर्यातक डेटा आयातक को डेटा सुरक्षा एजेंट या प्रतिनिधि, यदि कोई हो, का संपर्क विवरण प्रदान करने के लिए बाध्य है।

2.4. डेटा निर्यातक इस परिशिष्ट की स्वीकृति से प्रसंस्करण के पूरा होने से पहले पुष्टि करता है, कि डेटा आयातक के तकनीकी और संगठनात्मक सुरक्षा उपाय, जैसा कि परिशिष्ट 2 से भाग 2 में निर्धारित किया गया है, डेटा विषय के अधिकारों की रक्षा के लिए उपयुक्त और पर्याप्त हैं और इस बात की पुष्टि करते हैं कि डेटा आयातक इस संबंध में पर्याप्त सुरक्षा उपाय प्रदान करता है ।

 

3. स्थानीय कानून का अनुपालन

जीडीपीआर के अनुच्छेद 28 प्रसंस्करण एजेंटों के कार्यान्वयन की आवश्यकताओं को पूरा करने के लिए, निम्नलिखित संशोधन लागू होते हैं:

 

3.1 निर्देश
  1. (i) डाटा निर्यातक डाटा निर्यातक की ओर से केवल व्यक्तिगत आंकड़ों को संसाधित करने का निर्देश देता है।डेटा निर्यातक के निर्देश इस परिशिष्ट और अनुबंध में प्रदान किए जाते हैं।डेटा निर्यातक का दायित्व है कि वह यह सुनिश्चित करे कि डेटा आयातक को लागू डेटा संरक्षण कानूनों का अनुपालन करने के लिए सभी निर्देश दिए गए थे।डेटा आयातक को केवल डेटा निर्यातक द्वारा प्रदान किए गए निर्देशों के अनुसार व्यक्तिगत डेटा को संसाधित करना चाहिए जब तक कि यूरोपीय संघ या सदस्य राज्य के कानून (बाद के मामले में, भाग 1 खंड 3.2 (iv) (ग) लागू न हो) द्वारा अन्यथा आवश्यक हो।
  2. (ii) इस परिशिष्ट या संविदा में दिए गए निर्देशों से परे जाने वाले अन्य सभी निर्देशों को इस परिशिष्ट और संविदा के विषय में शामिल किया जाना चाहिए ।यदि इस अतिरिक्त अनुदेश को लागू करने में डेटा आयातक के लिए लागत शामिल है, तो डेटा आयातक डेटा निर्यातक को ऐसी लागतों की जानकारी देगा और निर्देश को लागू करने से पहले स्पष्टीकरण प्रदान करेगा।डेटा निर्यातक द्वारा निर्देश को लागू करने के लिए इन लागतों की स्वीकृति की पुष्टि करने के बाद ही, डेटा आयातक इस अतिरिक्त निर्देश को लागू करेगा।डेटा निर्यातक को लिखित रूप में अतिरिक्त निर्देश देने चाहिए जब तक कि तात्कालिकता या अन्य विशिष्ट परिस्थितियों के लिए किसी अन्य रूप की आवश्यकता न हो (उदाहरण के लिए।मौखिक, इलेक्ट्रॉनिक)। लिखित रूप के अलावा किसी अन्य रूप में निर्देशों की पुष्टि लिखित रूप में और डेटा निर्यातक द्वारा अविलंब की जानी चाहिए ।
  3. 1. जब तक डेटा निर्यातक अपने द्वारा व्यक्तिगत डेटा के सुधार, विलोपन या प्रतिबंध को पूरा नहीं कर सकता है, निर्देश भाग 1 खंड 3.3 में निर्धारित व्यक्तिगत डेटा के सुधार, विलोपन और/या प्रतिबंध से भी संबंधित हो सकते हैं ।
  4. 2. डेटा आयातक को तुरंत डेटा निर्यातक को सूचित करना चाहिए, यदि उसकी राय में, कोई निर्देश यूरोपीय संघ या सदस्य राज्य ("विवादित निर्देश") के जीडीपीआर या अन्य लागू डेटा संरक्षण प्रावधानों का उल्लंघन करता है।यदि डेटा आयातक का मानना है कि कोई निर्देश यूरोपीय संघ या सदस्य राज्य के जीडीपीआर या अन्य लागू डेटा संरक्षण प्रावधानों का उल्लंघन करता है, तो डेटा आयातक विवादित निर्देश का पालन करने के लिए बाध्य नहीं है ।यदि डेटा निर्यातक डेटा आयातक से जानकारी प्राप्त करने पर विवादित निर्देश की पुष्टि करता है और विवादित निर्देश के लिए अपनी जिम्मेदारी स्वीकार करता है, तो डेटा आयातक विवादित निर्देश को लागू करेगा, जब तक कि लड़ा गया निर्देश (i) तकनीकी और संगठनात्मक उपायों के कार्यान्वयन से संबंधित नहीं है, (ii) डेटा विषयों के अधिकार या (iii) डेटा प्रोसेसर की सगाई ।मामलों (i) से (iii) में, डेटा आयातक किसी सक्षम पर्यवेक्षी प्राधिकरण से संपर्क कर सकता है ताकि ऐसे प्राधिकरण द्वारा कानूनी रूप से विवादित अनुदेश का मूल्यांकन किया जा सके ।यदि पर्यवेक्षी प्राधिकरण चुनौती देने वाले निर्देश को कानूनी घोषित करता है, तो डेटा आयातक चुनौती प्राप्त अनुदेश को लागू करेगा ।भाग 1 खंड 3.1 (ii) लागू रहेगा।

 

3.2 Obligations of the Data Importer

  1. (i) डाटा आयातक को यह सुनिश्चित करना चाहिए कि डेटा आयातक की ओर से व्यक्तिगत आंकड़ों को संसाधित करने के लिए डेटा आयातक द्वारा प्राधिकृत व्यक्तियों, विशेष रूप से डेटा आयातक के कर्मचारियों और किसी उप-ठेकेदार के कर्मचारियों ने गोपनीयता का पालन करने का कार्य किया है या गोपनीयता के उपयुक्त सांविधिक कर्तव्य के अधीन हैं, और ऐसे व्यक्ति जिनके पास डेटा निर्यातक के निर्देशों के अनुसार व्यक्तिगत डेटा प्रक्रिया तक पहुंच है ।
  2. (ii) डाटा आयातक को डाटा निर्यातक की ओर से व्यक्तिगत डेटा प्रोसेस करने से पहले परिशिष्ट 2 से भाग 2 में निर्धारित तकनीकी और संगठनात्मक सुरक्षा उपायों को लागू करना चाहिए ।डेटा आयातक समय-समय पर तकनीकी और संगठनात्मक सुरक्षा उपायों को बदल सकता है यदि वे परिशिष्ट 2 से भाग 2 में निर्धारित लोगों की तुलना में कम सुरक्षा प्रदान नहीं करते हैं।
  3. (iii)
    इस परिशिष्ट के तहत डेटा आयातक के अनुरोध के अनुपालन के लिए डेटा निर्यातक, डेटा एक्सपोर्टर के अनुरोध पर जानकारी उपलब्ध कराएगा। पक्षकार इस बात से सहमत हैं कि यह सूचना दायित्व डेटा लेखा परीक्षक को एक ऑडिट रिपोर्ट (सिद्धांतों की सुरक्षा, प्रणाली की उपलब्धता और गोपनीयता) ("ऑडिट रिपोर्ट") प्रदान करके पूरा किया जाता है। यदि अतिरिक्त ऑडिट गतिविधियों की कानूनी रूप से आवश्यकता होती है, तो डेटा एक्सपोर्टर अनुरोध कर सकता है कि डेटा एक्सपोर्टर द्वारा निरीक्षण किया जाए या डेटा एक्सपोर्टर द्वारा नियुक्त किसी अन्य ऑडिटर को डेटा आयातक के डेटा गोपनीयता के साथ गोपनीयता समझौते के ऐसे ऑडिटर द्वारा निष्पादन के अधीन किया जाए। ("ऑडिट")। यह लेखापरीक्षा निम्नलिखित शर्तों के अधीन है: (i) डेटा आयातक की पूर्व औपचारिक लिखित स्वीकृति; और (ii) डेटा एक्सपोर्टर डेटा एक्सपोर्टर और डेटा इम्पोर्टर के लिए ऑन-साइट ऑडिट से संबंधित सभी लागतों को वहन करेगा। डेटा एक्सपोर्टर को ऑन-साइट ऑडिट ("ऑन-साइट ऑडिट रिपोर्ट") के परिणामों और टिप्पणियों को सारांशित करते हुए एक ऑडिट रिपोर्ट बनानी होगी। ऑन-साइट ऑडिट रिपोर्ट, और ऑडिट रिपोर्ट, डेटा आयातक की गोपनीय जानकारी होती है और जब तक कि लागू डेटा सुरक्षा कानून या डेटा आयातक की सहमति के अनुसार आवश्यक न हो, तब तक इसे तीसरे पक्ष को नहीं बताना चाहिए।
  4. (iv)
    (iv) डेटा आयातक को बिना किसी देरी के डेटा एक्सपोर्टर को सूचित करने की बाध्यता है:
    1. a.
      कानून प्रवर्तन प्राधिकरण द्वारा व्यक्तिगत डेटा के प्रकटीकरण के लिए किसी भी कानूनी रूप से बाध्यकारी अनुरोध के संबंध में, जब तक कि अन्यथा निषिद्ध न हो, जैसे कि कानून प्रवर्तन जांच की गोपनीयता की रक्षा के लिए आपराधिक कानून के तहत निषेध।
    2. b. डेटा अनुरोध से सीधे प्राप्त की गई किसी भी शिकायत और अनुरोध के बारे में (जैसे कि एक्सेस, सुधार, विलोपन, प्रसंस्करण पर प्रतिबंध, डेटा पोर्टेबिलिटी, डेटा प्रोसेसिंग में आपत्ति, स्वचालित निर्णय लेने से संबंधित), उस अनुरोध का जवाब दिए बिना, जब तक कि डेटा आयातक को अधिकृत नहीं किया गया हो। 
    3. c. यदि डेटा आयातक या डेटा प्रोसेसर यूरोपीय संघ के सदस्य या सदस्य राज्य के कानून के तहत, डेटा आयातक या डेटा प्रोसेसर के अधीन है, तो डेटा निर्यातक के निर्देशों से परे व्यक्तिगत डेटा को संसाधित करने के लिए, इस तरह के प्रसंस्करण से पहले बाहर ले जाने के लिए बाध्य किया जाता है। निर्देश, जब तक कि यूरोपीय संघ या सदस्य राज्य के कानून महत्वपूर्ण सार्वजनिक हित के आधार पर इस तरह के प्रसंस्करण को प्रतिबंधित नहीं करते हैं, उस स्थिति में डेटा एक्सपोर्टर की अधिसूचना यूरोपीय संघ या सदस्य राज्य के कानून के तहत कानूनी आवश्यकता को निर्दिष्ट करेगी; या
    4. d. यदि डेटा आयातक व्यक्तिगत डेटा के उल्लंघन का एहसास करता है, पूरी तरह से स्वयं या उसके उप-ठेकेदार के कारण, जो वर्तमान अनुबंध द्वारा कवर किए गए डेटा निर्यातक के व्यक्तिगत डेटा को प्रभावित करेगा, तो ऐसी स्थिति में डेटा आयातक अपने दायित्व में डेटा निर्यातक की सहायता करेगा, जीडीपीआर के अनुच्छेद 33 (3) के अनुसार, डेटा विषयों को सूचित करने के लिए लागू डेटा संरक्षण कानून, जहां लागू हो, पर्यवेक्षी अधिकारियों को इसके निपटान में जानकारी प्रदान करने के लिए।
    5. (v)डेटा निर्यातक के अनुरोध पर, डेटा आयातक को डेटा संरक्षण प्रभाव आकलन करने के लिए अपने दायित्व में डेटा एक्सपोर्टर की सहायता करने के लिए बाध्य किया जाएगा जो कि GDPR के अनुच्छेद 35 द्वारा आवश्यक हो सकता है और एक पूर्व परामर्श जिसे अनुच्छेद के लिए आवश्यक हो सकता है। इस परिशिष्ट के तहत डेटा आयातक द्वारा डेटा एक्सपोर्टर को प्रदान की जाने वाली सेवाओं के विषय में GDPR के 36, डेटा एक्सपोर्टर को आवश्यक और जानकारी प्रदान करना। यदि डेटा एक्सपोर्टर अन्य तरीकों से अपने दायित्व को पूरा नहीं कर सकता है तो डेटा आयातक केवल ऐसी सहायता प्रदान करने के लिए बाध्य होगा। डेटा आयातक ऐसी सहायता की लागत के डेटा एक्सपोर्टर को सलाह देगा। जैसे ही डेटा एक्सपोर्टर ने पुष्टि की है कि वह इस लागत को वहन कर सकता है,
      वह डेटा आयातक डेटा निर्यातक को यह सहायता प्रदान करेगा
    6. (vi)सेवाओं के प्रावधान के अंत में, डेटा निर्यातक सेवाओं के बाद एक महीने के भीतर इस परिशिष्ट के तहत डेटा आयातक द्वारा संसाधित व्यक्तिगत डेटा की वापसी का अनुरोध कर सकते हैं। जब तक सदस्य राज्य या यूरोपीय संघ के कानून को ऐसे व्यक्तिगत डेटा को संग्रहीत या बनाए रखने के लिए डेटा आयातक की आवश्यकता नहीं होती है, तब तक डेटा आयातक ऐसे सभी व्यक्तिगत या गैर-व्यक्तिगत डेटा को एक महीने की अवधि के बाद हटा देगा, चाहे वे अनुरोध पर डेटा निर्यातक को वापस कर दिए गए हों या नहीं।

 

३.३ संबंधित व्यक्तियों के अधिकार
  1.  
    1. (i)डेटा निर्यातक डेटा विषयों द्वारा किए गए अनुरोधों का प्रबंधन और प्रतिक्रिया करता है। डेटा आयातक सीधे डेटा विषयों पर प्रतिक्रिया देने के लिए बाध्य नहीं है।
    2. (ii)यदि डेटा एक्सपोर्टर को डेटा सबजेक्ट के अनुरोधों को संसाधित करने और प्रतिक्रिया देने में डेटा आयातक की सहायता की आवश्यकता होती है, तो डेटा निर्यातक भाग 1 के खंड 3.1 (ii) के अनुसार एक और निर्देश जारी करेगा। डेटा आयातक निम्नलिखित के साथ डेटा निर्यातक की सहायता करेगा। जीडीपीआर के अध्याय III में निर्धारित डेटा विषयों के अधिकारों के अभ्यास के अनुरोधों का जवाब देने के लिए उपयुक्त और तकनीकी संगठनात्मक उपाय निम्नानुसार हैं:
    3. a.जानकारी के अनुरोधों के बारे में, डेटा आयातक केवल PGRD के अनुच्छेद 13 और 14 द्वारा आवश्यक जानकारी के साथ डेटा एक्सपोर्टर को प्रदान करेगा अगर डेटा एक्सपोर्टर इसे अपने आप नहीं पा सके।
    4. b.
      एक्सेस के लिए अनुरोधों के बारे में (GDPR के अनुच्छेद 15), डेटा आयातक केवल डेटा एक्सपोर्टर को उस जानकारी के साथ प्रदान करेगा जो एक्सेस के लिए उक्त अनुरोध के लिए डेटा विषय को प्रदान किया जाना है, जो उसके निपटान में हो सकता है यदि बाद वाला इसे अकेले नहीं पा सकता है।
    5. c.सुधार के लिए अनुरोधों के बारे में (GDPR के अनुच्छेद 16), मिटाने के लिए अनुरोध (GDPR के अनुच्छेद 17), प्रसंस्करण के लिए अनुरोधों पर प्रतिबंध (GDPR के अनुच्छेद 18), या पोर्टेबिलिटी के लिए अनुरोध (GDPR के अनुच्छेद 20), और केवल यदि डेटा एक्सपोर्टर स्वयं किसी दूसरे पक्ष को व्यक्तिगत डेटा को सुधार या मिटा या सीमित या सीमित नहीं कर सकता है, तो डेटा आयातक डेटा परीक्षक को अन्य तीसरे पक्ष से संबंधित व्यक्तिगत डेटा को सुधारने या मिटाने, सीमित करने, या संचारित करने की संभावना की पेशकश करेगा, या यदि यह संभव नहीं है, तो यह संबंधित तीसरे पक्ष को व्यक्तिगत डेटा को सुधारने या मिटाने, सीमा, या संचारित करने के लिए सहायता प्रदान करेगा।
    6. d.सुधार, मिटाने, या प्रसंस्करण पर प्रतिबंध (जीडीपीआर के अनुच्छेद 19) से संबंधित अधिसूचना के बारे में, डेटा आयातक डेटा निर्यातक से प्रोसेसर के रूप में डेटा आयातक द्वारा किए गए व्यक्तिगत डेटा के सभी प्राप्तकर्ताओं को सूचित करते हुए डेटा एक्सपोर्टर की सहायता करेगा यदि डेटा एक्सपोर्टर अनुरोध करता है और यदि डेटा एक्सपोर्टर अपने आप स्थिति को माप नहीं सकता है
      .
    7. e.एक डेटा विषय (GDPR के अनुच्छेद 21 और 22) द्वारा प्रयोग किए जाने वाले विपक्ष के अधिकार के बारे में डेटा निर्यातक निर्धारित करेगा कि विपक्ष वैध है और इससे कैसे निपटना है।
    8. (iii)डेटा आयातक की सहायता बाध्यताएँ इसके आधारभूत संरचना (उदा। डेटाबेस, सिस्टम, स्वामित्व या डेटा आयातक द्वारा प्रदत्त) के भीतर संसाधित व्यक्तिगत डेटा तक सीमित हैं
    9. (iv)
      डेटा एक्सपोर्टर यह निर्धारित करेगा कि क्या डेटा सब्जेक्ट इस भाग 1 के क्लॉज 3.1 में निर्धारित किए गए डेटा सब्जेक्ट्स के अधिकारों का प्रयोग कर सकता है और क्लॉस 3.3 (ii), (iii) में निर्दिष्ट सहायता के डेटा आयातक को भाग 1 के महत्व सलाह देगा |
    10. (v)यदि डेटा एक्सपोर्टर डेटा विषयों के अधिकारों को पूरा करने के लिए अतिरिक्त या संशोधित तकनीकी और संगठनात्मक उपायों का अनुरोध करता है, जो भाग 1 के उप-खंड 3.3 (ii), (iii) के तहत डेटा आयातक द्वारा प्रदान की गई सहायता से परे जाते हैं,डेटा आयातक ऐसे अतिरिक्त या संशोधित तकनीकी और संगठनात्मक उपाय को लागू करने की लागत के डेटा निर्यातक को सूचित करेगा। जैसे ही डेटा एक्सपोर्टर ने पुष्टि की है कि यह इन लागतों को पूरा कर सकता है, डेटा आयातक डेटा के अनुरोधों के जवाब में डेटा एक्सपोर्टर की सहायता के लिए ऐसे अतिरिक्त या संशोधित तकनीकी और संगठनात्मक उपायों को लागू करेगा।
    11. (vi)भाग 1 के खंड 3.3 (v) के दायरे को सीमित किए बिना, डेटा निर्यातक डेटा के अनुरोधों के जवाब में किए गए उचित खर्च के लिए डेटा आयातक को प्रतिपूर्ति करने के लिए बाध्य होगा।

 

3.4 उप प्रसंस्करण

  1.  
    1. (i)डेटा परिशिष्ट इस परिशिष्ट के तहत सेवाओं के प्रावधान के लिए उप-ठेकेदारों के डेटा आयातक के उपयोग को अधिकृत करता है। डेटा आयातक ऐसे डेटा प्रोसेसर का चयन सावधानी से करेगा। डेटा एक्सपोर्टर पार्ट 2 के अंत में परिशिष्ट 1.1 में सूचीबद्ध डेटा प्रोसेसर (एस) को अनुमोदित करता है
    2. (ii)डेटा आयातक इस परिशिष्ट के तहत अपने दायित्वों को डेटा प्रोसेसर (ओं) को उप-सेवा के लिए लागू सीमा तक हस्तांतरित करेगा।
    3. (iii)डेटा आयातक अपने विवेक पर किसी अन्य उपयुक्त और विश्वसनीय डेटा प्रोसेसर (एस) को खारिज, प्रतिस्थापित या नियुक्त कर सकता है। यदि डेटा निर्यातक द्वारा लिखित रूप में अनुरोध किया गया है, तो डेटा आयातक को नीचे निर्धारित प्रक्रिया का पालन करना चाहिए
  2.  
    1. a.डेटा इम्प्लॉयर पार्ट 1 के क्लॉज 3.4 (i) के तहत संदर्भित डेटा प्रोसेसर की सूची में किसी भी बदलाव से पहले डेटा एक्सपोर्टर को सूचित करेगा। अगर डेटा एक्सपोर्टर क्लाज 3.4 के तहत आपत्ति नहीं करता है। (ख) डेटा आयातक से अधिसूचना प्राप्त करने के बाद भाग १ के तीस दिनों में, अतिरिक्त डेटा प्रोसेसर को स्वीकार किया जाएगा।
    2. यदि डेटा निर्यातक के पास अतिरिक्त डेटा प्रोसेसर पर आपत्ति करने का कोई वैध कारण है, तो यह डेटा आयातक की सूचना प्राप्त होने के तीस दिनों के भीतर डेटा आयातक को पूर्व लिखित सूचना देगा और इससे पहले कि डेटा आयातक की सेवा को चालू किया जाए। यदि डेटा निर्यातक एक अतिरिक्त डेटा प्रोसेसर के उपयोग के लिए ऑब्जेक्ट करता है, तो डेटा आयातक निम्न विकल्पों में से एक द्वारा आपत्ति को शुद्ध कर सकता है (अपने विवेक पर चुना गया): (ए) डेटा प्रोसेसर एक अतिरिक्त प्रोसेसर का उपयोग करने के लिए अपनी योजनाओं को रद्द कर देगा डेटा निर्यातक के व्यक्तिगत डेटा; (बी) डेटा आयातक डेटा एक्सपोर्टर द्वारा अनुरोध किए गए सुधारात्मक उपायों को अपनी आपत्ति में लेगा (आपत्ति को रद्द करना) और डेटा एक्सपोर्टर के व्यक्तिगत डेटा के संबंध में अतिरिक्त प्रोसेसर का उपयोग करेगा; (सी) डेटा आयातक प्रदान करने के लिए बंद हो सकता है या डेटा एक्सपोर्टर सेवा के किसी विशेष पहलू का उपयोग करने के लिए सहमत नहीं हो सकता है (जिसमें डेटा एक्सपोर्टर के व्यक्तिगत डेटा के डेटा एक्सपोर्टर के आगे प्रोसेसर का उपयोग शामिल होगा)।
  3.  
    1. (iv)यदि यूरोपीय संघ-ईईए के बाहर डेटा प्रोसेसर आधारित है, जिसे यूरोपीय आयोग के एक फैसले के बाद पर्याप्त स्तर के डेटा संरक्षण की पेशकश के रूप में मान्यता नहीं दी गई है, तो डेटा आयातक पर्याप्त सुरक्षा डेटा स्तर का पालन करने के लिए उपाय करेंगे। GDPR के अनुसार (इस तरह के उपायों में शामिल हो सकते हैं - दूसरों के बीच और - EU मॉडल की धाराओं के आधार पर डेटा प्रोसेसिंग कॉन्ट्रैक्ट्स का उपयोग, EU- यूएस प्रोटेक्शन शील्ड के ढांचे में स्व-प्रमाणित डेटा प्रोसेसर्स को ट्रांसफर, या एक इसी तरह का कार्यक्रम
      ).

 

3.5 समाप्ति

इस परिशिष्ट की समाप्ति इसी अनुबंध की समाप्ति तिथि के समान है। इस परिशिष्ट में अन्यथा, समाप्ति से संबंधित अधिकार और कर्तव्य अनुबंध में निहित समान होंगे।

 

4. देयता की सीमा
4.1 प्रत्येक पार्टी इस परिशिष्ट और लागू डेटा सुरक्षा कानून के तहत अपने दायित्वों को संभालती है।
4.2 इस परिशिष्ट या लागू डेटा संरक्षण कानून के तहत दायित्वों के उल्लंघन से संबंधित किसी भी दायित्व को इस परिशिष्ट में प्रदान किए गए अन्यथा को छोड़कर, अनुबंध में, या अनुबंध पर लागू देयता प्रावधानों के अधीन और शासित होगा। यदि दायित्व देयता सीमाओं की गणना या देयता की अन्य सीमाओं के अनुप्रयोग का निर्धारण करने के लिए अनुबंध में निर्धारित या लागू होने वाले देयता प्रावधानों द्वारा नियंत्रित किया जाता है, तो इस परिशिष्ट के तहत उत्पन्न होने वाले किसी भी दायित्व को अनुबंध के तहत उत्पन्न माना जाएगा।

 

5. सामान्य प्रावधान
5.1 यदि इस परिशिष्ट के भाग 1 और 2 के बीच कोई विसंगतियां या विसंगतियां हैं, तो भाग 2 प्रबल होगा। विशेष रूप से, यहां तक ​​कि ऐसे मामले में, भाग 1 जो केवल भाग 2 से परे जाता है (यानी मानक खंड की शर्तों) इसके विपरीत बिना मान्य होगा।
5.2 यदि इस परिशिष्ट के प्रावधानों और पार्टियों को बाध्य करने वाले अन्य अनुबंधों के बीच कोई विसंगति उत्पन्न होती है, तो यह परिशिष्ट पार्टियों के डेटा संरक्षण दायित्वों के बारे में प्रबल होगा। संदेह के मामले में कि क्या अन्य अनुबंधों में शामिल होने से पार्टियों के डेटा संरक्षण दायित्वों की चिंता होती है, यह परिशिष्ट प्रबल होगा।

5.3 यदि इस परिशिष्ट का कोई प्रावधान अमान्य या अप्राप्य है, तो इस परिशिष्ट का शेष पूर्ण बल और प्रभाव में रहेगा। अमान्य या अप्रवर्तनीय प्रावधान (i) में इसकी वैधता और प्रवर्तनीयता सुनिश्चित करने के लिए संशोधन किया जाएगा, जबकि पार्टियों के इरादे को यथासंभव संरक्षित किया जा सकता है, या - यदि यह संभव नहीं है - (ii) के रूप में व्याख्या की जाती है यदि अमान्य और अप्रवर्तनीय भाग था अनुबंध का हिस्सा कभी नहीं रहा। यदि इस परिशिष्ट में कोई चूक है तो पूर्वगामी भी लागू होगा।

5.5 पार्टियां संघ के सक्षम अधिकारियों द्वारा जारी व्याख्याओं, निर्देशों, या आदेशों का पालन करने के लिए भाग 1, खंड 3 (स्थानीय कानून का अनुपालन) या परिशिष्ट के अन्य हिस्सों में संशोधन का अनुरोध कर सकती हैं। जीडीपीआर या डेटा प्रोसेसिंग में शामिल किसी भी संस्था और विशेष रूप से जीडीपीआर में मानक संविदात्मक उपबंधों के उपयोग के संबंध में जीडीपीआर या प्रतिनिधिमंडल की अन्य शर्तों से संबंधित राज्य, राष्ट्रीय प्रवर्तन प्रावधान, या कोई अन्य कानूनी घटनाक्रम। मानक संविदात्मक खंड की शर्तों को तब तक संशोधित या प्रतिस्थापित नहीं किया जा सकता है जब तक कि यूरोपीय आयोग इसे स्पष्ट रूप से अनुमोदित नहीं करता (उदाहरण के लिए नए पर्याप्त खंड और डेटा सुरक्षा मानकों)।

5.6 इस परिशिष्ट के "खंड" में किसी भी संदर्भ को इस परिशिष्ट के सभी प्रावधानों का उल्लेख करने के लिए समझा जाएगा जब तक कि अन्यथा न कहा जाए।

5.7 भाग 2 में कानून का चुनाव क्लॉज 9 पूरे अनुबंध पर लागू होता है।

 

6. व्यक्तिगत उद्देश्यों के लिए पार्टियों द्वारा प्रेषित और संसाधित व्यक्तिगत डेटा (डेटा कंट्रोलर से डेटा कंट्रोलर में स्थानांतरण)

6.1 पार्टियों को पूरी तरह से पता है कि कुछ व्यक्तिगत डेटा को डेटा निर्यातक से डेटा आयातक में स्थानांतरित किया जाएगा और इसके विपरीत, और इस तरह के डेटा को प्रत्येक पार्टी द्वारा अपने स्वयं के प्रयोजनों के लिए संसाधित किया जाता है। ऐसे व्यक्तिगत डेटा के बारे में, यह इस परिशिष्ट के अन्य प्रावधानों को प्रभावित नहीं करता है (इस खंड 6 को छोड़कर)।

6.2 डेटा निर्यातक डेटा आयातक के डेटा से संबंधित व्यक्तिगत डेटा को डेटा आयातक को हस्तांतरित कर सकता है, जिसमें सुरक्षा घटनाओं की जानकारी, या डेटा एक्सपोर्टर द्वारा बनाए गए या स्थापित किए गए किसी भी अन्य दस्तावेज़ या फाइलें, जो स्टाफ के कर्मचारियों द्वारा प्रदान की गई सेवाओं के संबंध में हैं। डेटा आयातक। डेटा आयातक ऐसे व्यक्तिगत डेटा को अपने उद्देश्यों के लिए संसाधित कर सकता है, विशेष रूप से डेटा आयातक के कर्मियों के साथ अपने व्यावसायिक संबंधों में, गुणवत्ता नियंत्रण और प्रशिक्षण के लिए, या व्यावसायिक उद्देश्यों के लिए।

6.3. डेटा आयातक डेटा आयातक के नाम और संपर्क विवरण सहित डेटा निर्यातक को व्यक्तिगत डेटा स्थानांतरित कर सकता है। डेटा निर्यातक अपने स्वयं के प्रयोजनों के लिए इस तरह के व्यक्तिगत डेटा को संसाधित कर सकता है।

6.4 दोनों पार्टियां GDPR सहित किसी भी लागू डेटा सुरक्षा कानूनों का पालन करेंगी, भाग 1 के खंड 1 के तहत दूसरे पक्ष से प्राप्त ऐसे व्यक्तिगत डेटा का संग्रह, प्रसंस्करण और उपयोग करना, विशेष रूप से, दोनों पक्ष पर्याप्त सुरक्षा उपाय करेंगे, भाग 2 के परिशिष्ट 2 में निर्धारित सुरक्षा उपायों का समान स्तर। ऐसे व्यक्तिगत डेटा तक कोई भी पहुंच उन्हें जानने की आवश्यकता तक सीमित होगी।

6.5 उद्देश्यों को प्राप्त करने के बाद दोनों पार्टियों को जल्द से जल्द ऐसे व्यक्तिगत डेटा को हटाना चाहिए।

भाग 2

 

आयोग का निर्णय

5 फरवरी 2010 को

यूरोपीय संसद और परिषद के 95/46 / EC निर्देश के तहत तीसरे पक्ष के देशों में स्थापित डेटा प्रोसेसर के लिए व्यक्तिगत डेटा के हस्तांतरण के लिए मानक संविदात्मक खंडों पर

 

 

 

Clause 1

परिभाषाएं

खण्ड के अर्थ:

a) 'व्यक्तिगत डेटा', 'डेटा की विशेष श्रेणियां', 'प्रसंस्करण / प्रसंस्करण', 'नियंत्रक', 'प्रोसेसर', 'डेटा विषय' और 'पर्यवेक्षी प्राधिकरण' का वही अर्थ होगा जो 95/46 / EC में है व्यक्तिगत डेटा के प्रसंस्करण और इस तरह के डेटा (1) के मुक्त आंदोलन के बारे में व्यक्तियों की रक्षा पर 24 अक्टूबर 1995 को यूरोपीय संसद और परिषद की परिषद;

b) 'डेटा एक्सपोर्टर' व्यक्तिगत डेटा ट्रांसफर करने वाला डेटा कंट्रोलर है;

c) 'डेटा आयातक' वह डेटा प्रोसेसर है, जो डेटा एक्सपोर्टर के व्यक्तिगत डेटा से प्राप्त करने के लिए सहमत होता है, जिसे उसके निर्देशों के अनुसार और इन क्लॉस की शर्तों के तहत ट्रांसफर के बाद डेटा एक्सपोर्टर की ओर से प्रोसेस किया जाना है और जो इसके अधीन नहीं है निर्देश 95/46 / EC के अनुच्छेद 25 (1) के अर्थ के भीतर पर्याप्त सुरक्षा सुनिश्चित करने वाले तीसरे देश का तंत्र; (d) 'डेटा प्रोसेसर' का अर्थ है डेटा आयातक से जुड़ा डेटा प्रोसेसर या डेटा आयातक के किसी अन्य डेटा प्रोसेसर द्वारा, जो डेटा आयातक या डेटा आयातक के किसी अन्य डेटा प्रोसेसर से प्राप्त करने के लिए सहमत है, विशेष रूप से प्रसंस्करण गतिविधियों के लिए डेटा डाटा एक्सपोर्टर के निर्देशों के अनुसार, इन क्लॉस में निर्धारित शर्तों के तहत और डेटा सब-कॉन्ट्रैक्टिंग डेटा प्रोसेसिंग कॉन्ट्रैक्ट की शर्तों के तहत ट्रांसफर के बाद डेटा एक्सपोर्टर की ओर से किया जाएगा;

e) "लागू डेटा सुरक्षा कानून" का अर्थ है, व्यक्तिगत डेटा के प्रसंस्करण के संबंध में निजता के अधिकार, और सदस्य राज्य में एक नियंत्रक पर लागू करना जहां डेटा एक्सपोर्टर स्थापित है, जिसमें मौलिक अधिकारों और व्यक्तियों की स्वतंत्रता की रक्षा करना;

f) "सुरक्षा से संबंधित तकनीकी और संगठनात्मक उपाय" का अर्थ है आकस्मिक या गैरकानूनी विनाश या आकस्मिक हानि, परिवर्तन, अनधिकृत प्रकटीकरण या पहुंच के खिलाफ व्यक्तिगत डेटा की सुरक्षा के लिए उपाय, विशेष रूप से जहां प्रसंस्करण में नेटवर्क पर डेटा का संचरण शामिल है, और प्रसंस्करण के अन्य सभी गैरकानूनी रूपों के खिलाफ।

खंड 2
स्थानांतरण का विवरण
स्थानांतरण का विवरण, जिसमें उचित, विशेष डेटा की व्यक्तिगत श्रेणियां शामिल हैं, परिशिष्ट 1 में निर्दिष्ट हैं, जो इन खंडों का एक अभिन्न हिस्सा है।
खण्ड 3
तृतीय-पक्ष लाभार्थी खंड

1. डेटा विषय डेटा एक्सपोर्टर के खिलाफ लागू हो सकता है यह क्लॉज, क्लाज 4 (बी) से (आई), क्लॉज 5 (ए) से (ई) और (जी) से (जे), क्लाज 6 (1) और (2), क्लॉज़ 7, क्लॉज़ 8 (2) और क्लोज़ 9 से 12 एक तीसरे पक्ष के लाभार्थी के रूप में

2. डेटा विषय इस क्लॉज़ को लागू कर सकता है, क्लॉज़ 5 (ए) से (ई) और (जी), क्लॉज़ 6, क्लॉज़ 7, क्लॉज़ 8 (2) और क्लॉज़ 9 से 12 के बीच डेटा आयातक जहां डेटा एक्सपोज़र शारीरिक रूप से गायब हो जाता है या हो सकता है जब तक उनके सभी कानूनी दायित्वों को स्थानांतरित नहीं किया गया है, जब तक कि उसके सभी कानूनी दायित्वों को अनुबंध या कानून के संचालन द्वारा स्थानांतरित नहीं किया गया है,उत्तराधिकारी इकाई के लिए, जिसके लिए डेटा निर्यातक के अधिकार और दायित्व इसलिए वापस आते हैं, और जिसके खिलाफ डेटा विषय हो सकता है इसलिए उक्त धाराओं को लागू करता है।

डेटा विषय इस खंड को लागू कर सकता है, खंड 5 (ए) से (ई) और (जी), खंड 6, खंड 7, खंड 8 (2) और खंड 9 से 12 तक डेटा प्रोसेसर के खिलाफ है, लेकिन केवल उन मामलों में जहां डेटा एक्सपोर्टर और डेटा आयातक तब तक गायब हो चुके हैं, जब तक कानून में मौजूद नहीं हैं या दिवालिया हो गए हैं, जब तक कि डेटा एक्सपोर्टर के सभी कानूनी दायित्वों को अनुबंध या कानून के संचालन द्वारा, कानूनी उत्तराधिकारी को हस्तांतरित नहीं किया जाता है, जिनके अधिकार हैं। डेटा एक्सपोर्टर के दायित्वों को इसलिए निहित किया जाता है, और जिसके खिलाफ डेटा विषय इसलिए ऐसे क्लॉज़ को लागू कर सकता है। डेटा प्रोसेसर की इस तरह की देनदारी इन धाराओं के तहत अपनी स्वयं की प्रसंस्करण गतिविधियों तक सीमित होनी चाहिए।

4. पार्टियों को किसी विषय या अन्य निकाय द्वारा प्रतिनिधित्व किए जा रहे डेटा विषय पर आपत्ति नहीं है यदि वह ऐसा चाहती है और यदि राष्ट्रीय कानून ऐसा करने की अनुमति देता है।

खण्ड 4
डेटा एक्सपोर्टर की बाध्यता
डेटा निर्यातक निम्नलिखित को स्वीकार करता है और गारंटी देता है:

a) व्यक्तिगत डेटा के वास्तविक हस्तांतरण सहित प्रसंस्करण, लागू डेटा संरक्षण कानून (और जहां लागू हो, संबंधित प्रासंगिक प्रावधानों के अनुसार किया जाना जारी रहेगा, जिसमें सदस्य राज्य के सक्षम अधिकारियों को सूचित किया गया है जिसमें डेटा निर्यातक आधारित है) और उस राज्य के प्रासंगिक प्रावधानों का उल्लंघन नहीं करता है;

b) उन्होंने निर्देश दिया है, और व्यक्तिगत डेटा प्रसंस्करण सेवाओं की अवधि के लिए निर्देश देंगे, डेटा आयातक व्यक्तिगत डेटा को डेटा निर्यातक की ओर से और लागू डेटा सुरक्षा कानून और इन खंडों के अनुसार स्थानांतरित करने के लिए संसाधित करेगा;

c) डेटा आयातक वर्तमान अनुबंध में परिशिष्ट 2 में निर्दिष्ट तकनीकी और संगठनात्मक सुरक्षा उपायों के बारे में पर्याप्त सुरक्षा प्रदान करेगा;

d) लागू डेटा संरक्षण कानून की आवश्यकताओं के मूल्यांकन के बाद, सुरक्षा उपाय आकस्मिक या गैरकानूनी विनाश या आकस्मिक हानि, परिवर्तन, अनधिकृत प्रकटीकरण या पहुंच के खिलाफ व्यक्तिगत डेटा की सुरक्षा के लिए पर्याप्त हैं, विशेष रूप से जहां प्रसंस्करण में डेटा पर संचरण शामिल है नेटवर्क, और प्रसंस्करण के अन्य सभी गैरकानूनी रूपों के खिलाफ और प्रसंस्करण और डेटा की प्रकृति की रक्षा के लिए उपयुक्त स्तर की सुरक्षा सुनिश्चित करना, प्रौद्योगिकी के स्तर और कार्यान्वयन की लागत के संबंध में;

e) वे सुरक्षा उपायों का अनुपालन सुनिश्चित करेंगे;

f) यदि स्थानांतरण डेटा की विशेष श्रेणियों से संबंधित है, तो डेटा विषय को सूचित किया गया है या हस्तांतरण से पहले सूचित किया जाएगा, या हस्तांतरण के बाद जितनी जल्दी हो सके कि उसके डेटा को तीसरे देश में स्थानांतरित किया जा सकता है जो निर्देश 95/46 / EC के अर्थ के भीतर पर्याप्त स्तर की सुरक्षा प्रदान नहीं करता है

;g)यदि वे डेटा संचालक पर्यवेक्षण प्राधिकरण को क्लॉज़ 5 (बी) और 8 (3) के तहत डेटा आयातक या किसी भी डेटा प्रोसेसर से प्राप्त किसी भी सूचना को अग्रेषित करेंगे, अगर वह स्थानांतरण जारी रखने या अपना निलंबन हटाने का निर्णय लेता है;

h) वे डेटा विषयों को उपलब्ध कराएंगे, यदि वे ऐसा अनुरोध करते हैं, तो इन खंडों की एक प्रति, परिशिष्ट 2 को छोड़कर, और सुरक्षा उपायों का सारांश विवरण, और किसी भी अन्य उपमहाद्वीप समझौते की एक प्रति, इन खंडों के तहत निष्कर्ष निकाला जाएगा जब तक कि खंड या समझौते में व्यावसायिक जानकारी शामिल है, जिस स्थिति में वह ऐसी जानकारी वापस ले सकता है;

i) डेटा प्रोसेसिंग प्रक्रिया को उप-अनुबंधित करने के मामले में, प्रसंस्करण गतिविधि एक डेटा प्रोसेसर द्वारा क्लाज 11 के अनुसार की जाती है, जो इन क्लॉस के तहत डेटा आयातक के रूप में व्यक्तिगत डेटा और डेटा विषय के अधिकारों के संरक्षण का कम से कम समान स्तर प्रदान करता है; तथा

j) यह क्लॉज 4 (ए) से (i) के अनुपालन को सुनिश्चित करेगा।
खंड 5
डेटा आयातक की बाध्यता
डेटा आयातक स्वीकार करता है और निम्नलिखित की गारंटी देता है:

a) वे केवल डेटा एक्सपोर्टर की ओर से और डेटा एक्सपोर्टर के निर्देशों और इन क्लॉस के तहत व्यक्तिगत डेटा को प्रोसेस करेंगे; यदि यह किसी भी कारण से अनुपालन नहीं कर सकता है, तो वे जल्द से जल्द अपनी अक्षमता के डेटा निर्यातक को सूचित करने के लिए सहमत होते हैं, जिस स्थिति में डेटा एक्सपोर्टर डेटा ट्रांसफर को निलंबित कर सकता है और / या अनुबंध को समाप्त कर सकता है;

b) उनके पास यह मानने का कोई कारण नहीं है कि उन पर लागू कानून उन्हें डेटा एक्सपोर्टर द्वारा दिए गए निर्देशों और अनुबंध के तहत उन पर लगाए गए दायित्वों को पूरा करने से रोकता है, और यदि ऐसा कानून किसी बदलाव के अधीन है, जो सामग्री पर प्रतिकूल प्रभाव डाल सकता है। क्लॉस के तहत वारंटियों और दायित्वों, वह इसके बारे में पता चलने के बाद देरी के बिना परिवर्तन के डेटा निर्यातक को सूचित करेगा, जिस स्थिति में डेटा एक्सपोर्टर डेटा ट्रांसफर को निलंबित कर सकता है और / या अनुबंध को समाप्त कर सकता है; (ग) उन्होंने निजी डेटा को स्थानांतरित करने से पहले परिशिष्ट 2 में निर्दिष्ट तकनीकी और संगठनात्मक सुरक्षा उपायों को लागू किया है;

d)वे बिना देर किए डाटा एक्सपोर्टर को सूचित करेंगे:

i)कानून प्रवर्तन प्राधिकरण से व्यक्तिगत डेटा के प्रकटीकरण के लिए कोई बाध्यकारी अनुरोध, जब तक कि अन्यथा निर्दिष्ट न हो, जैसे कि पुलिस जांच की गोपनीयता को संरक्षित करने के उद्देश्य से आपराधिक निषेध;

ii) किसी भी आकस्मिक या अनधिकृत पहुंच; तथा

iii) जब तक वह ऐसा करने के लिए अधिकृत नहीं किया जाता है, तब तक किसी भी अनुरोध का जवाब दिए बिना संबंधित व्यक्तियों से सीधे प्राप्त किया जाता है; प्रशासकों

e) वे डेटा एक्सपोर्टर से सभी पूछताछ के साथ तुरंत और ठीक से निपटेंगे, व्यक्तिगत डेटा के अपने प्रसंस्करण के बारे में और स्थानांतरित डेटा के प्रसंस्करण के बारे में पर्यवेक्षी प्राधिकरण की राय के तहत कार्य करेगा।

;

f) डेटा एक्सपोर्टर के अनुरोध पर, वे डेटा एक्सपोर्टर द्वारा इन क्लॉज द्वारा की जाने वाली प्रोसेसिंग गतिविधियों के ऑडिट के लिए अपनी डेटा प्रोसेसिंग सुविधाओं का विषय रखेंगे, या अपेक्षित पेशेवर योग्यता के साथ स्वतंत्र सदस्यों से बना एक पर्यवेक्षी निकाय, विषय डेटा निर्यातक द्वारा गोपनीयता और चुने जाने की बाध्यता, जहां पर्यवेक्षी प्राधिकरण के समझौते के साथ उपयुक्त है;

g)वे डेटा विषय को उपलब्ध कराएंगे, यदि वह ऐसा अनुरोध करते हैं, तो इन क्लॉस की एक प्रति, या डेटा प्रोसेसिंग अनुबंध के किसी भी मौजूदा उप-अनुबंध, जब तक कि क्लॉज़ या अनुबंध में वाणिज्यिक जानकारी नहीं होती है, जिस स्थिति में यह ऐसी जानकारी को हटा सकता है, परिशिष्ट 2 को छोड़कर, जिसे सुरक्षा उपायों के सारांश विवरण से बदल दिया जाएगा, जहां डेटा विषय डेटा निर्यातक से प्रतिलिपि प्राप्त नहीं कर सकता है;

h) डेटा प्रोसेसिंग को गोपनीय और उप-अनुबंधित करने के मामले में, वह सुनिश्चित करेगा कि वह डेटा एक्सपोर्टर को पहले से सूचित करे और डेटा एक्सपोर्टर की लिखित सहमति प्राप्त करे;

i) डाटा प्रोसेसर द्वारा प्रदान की जाने वाली प्रसंस्करण सेवाएं क्लाज 11 का अनुपालन करेंगी;

j) वे तुरंत डाटा प्रोसेसिंग रिपोर्टर को इन क्लॉस के तहत इसमें दर्ज डाटा प्रोसेसिंग समझौते की किसी भी उप-अनुबंध की एक प्रति भेजेंगे।

.

खण्ड ६
ज़िम्मेदारी 
1.पार्टियों इस बात से सहमत हैं कि किसी भी डेटा विषय को जिसने क्षति का सामना करना पड़ा है, क्योंकि खंड 3 या खंड 11 में एक पार्टी द्वारा या डेटा प्रोसेसर द्वारा उल्लिखित दायित्वों के उल्लंघन के कारण हुए नुकसान के लिए डेटा एक्सपोर्टर से क्षतिपूर्ति प्राप्त कर सकता है।

2. यदि किसी डेटा विषय को डेटा आयातक या उसके डेटा प्रोसेसर द्वारा खंड 3 या खंड 11 के तहत अपने किसी भी दायित्वों का पालन करने में विफलता के लिए डेटा एक्सपोर्टर के खिलाफ 1 पैरा के रूप में संदर्भित नुकसान के लिए एक कार्रवाई लाने से रोका जाता है क्योंकि डेटा एक्सपोर्टर के पास है शारीरिक रूप से गायब हो गया है, कानून में मौजूद नहीं है या दिवालिया हो गया है, डेटा आयातक सहमत हैं कि डेटा विषय इसके खिलाफ शिकायत दर्ज कर सकता है जैसे कि यह डेटा एक्सपोर्टर था जब तक कि डेटा एक्सपोर्टर के सभी कानूनी दायित्वों को अनुबंध या उसके द्वारा स्थानांतरित नहीं किया गया हो। कानून का संचालन, उसकी उत्तराधिकारी इकाई के लिए, जिसके विरुद्ध डेटा विषय उसके अधिकारों को लागू कर सकता है। डेटा आयातक अपने स्वयं के दायित्व से बचने के लिए डेटा प्रोसेसर द्वारा अपने दायित्वों के उल्लंघन पर भरोसा नहीं कर सकता है।

3. यदि किसी डेटा विषय को अनुच्छेद 3 और खंड 11 के डेटा प्रोसेसर द्वारा उल्लंघन के लिए डेटा निर्यातक या डेटा आयातक के विरुद्ध अनुच्छेद 1 और 2 में संदर्भित कार्रवाई लाने से रोका जाता है, क्योंकि डेटा निर्यातक और डेटा आयातक भौतिक रूप से गायब, कानून में मौजूद नहीं है या दिवालिया हो गया है, डेटा प्रोसेसर इस बात से सहमत है कि डेटा विषय अपने स्वयं के प्रसंस्करण गतिविधियों के बारे में इन धाराओं के अनुसार शिकायत कर सकता है जैसे कि यह डेटा निर्यातक या डेटा आयातक थे: सभी कानूनी दायित्व डेटा निर्यातक या डेटा आयातक को कानूनी उत्तराधिकारी को अनुबंध या कानून के संचालन द्वारा स्थानांतरित किया गया है, जिसके खिलाफ डेटा विषय उसके अधिकारों का दावा कर सकता है। डेटा प्रोसेसर की देयता इन क्लॉस के अनुसार अपनी स्वयं की प्रसंस्करण गतिविधियों तक सीमित होनी चाहिए।

 

खण्ड 7
मध्यस्थता और अधिकार क्षेत्र

1. डेटा आयातक इस बात से सहमत है कि यदि धाराओं के तहत, डेटा विषय उसके खिलाफ तीसरे पक्ष के लाभार्थी के अधिकार को आमंत्रित करता है और / या पूर्वग्रहित पीड़ित के लिए मुआवजे का दावा करता है, तो वह डेटा विषय के निर्णय को स्वीकार करेगा:

a) एक स्वतंत्र व्यक्ति द्वारा मध्यस्थता के विवाद को प्रस्तुत करना या, जहां उचित हो, पर्यवेक्षी प्राधिकरण;

b) सदस्य राज्य के न्यायालयों के समक्ष विवाद लाने के लिए जहां डेटा निर्यातक आधारित है।

2. पार्टियां इस बात से सहमत हैं कि डेटा विषय द्वारा किया गया चुनाव राष्ट्रीय या अंतर्राष्ट्रीय कानून के अन्य प्रावधानों के अनुसार निवारण प्राप्त करने के लिए डेटा विषय के प्रक्रियात्मक या मूल अधिकार को प्रभावित नहीं करेगा।

खण्ड 8
पर्यवेक्षी अधिकारियों के साथ सहयोग

1.डेटा एक्सपोर्टर पर्यवेक्षी प्राधिकरण के पास वर्तमान अनुबंध की एक प्रति जमा करने के लिए सहमत होता है यदि बाद में ऐसा करने की आवश्यकता होती है या यदि लागू डेटा संरक्षण कानून द्वारा ऐसी जमा राशि प्रदान की जाती है।

2. पक्षकार सहमत हैं कि पर्यवेक्षी प्राधिकरण डेटा आयातक और किसी भी डेटा प्रोसेसर पर उसी सीमा तक और समान शर्तों के तहत लागू हो सकते हैं, जैसा कि लागू डेटा सुरक्षा कानून के अनुसार डेटा एक्सपोर्टर में किए गए चेक के साथ है।

3. डेटा आयातक डेटा आयातक या किसी डेटा प्रोसेसर से संबंधित कानून के अस्तित्व के बारे में जितनी जल्दी हो सके डेटा एक्सपोर्टर को सूचित करेगा, जो पैराग्राफ के अनुसार डेटा आयातक या किसी भी डेटा प्रोसेसर पर सत्यापन को रोकता है। ऐसी स्थिति में, डेटा एक्सपोर्टर खण्ड 5 (ख) में दिए गए उपायों को अपना सकते हैं।

खण्ड 9
लागू कानून
खंड लागू होते हैं और सदस्य राज्य के कानून द्वारा नियंत्रित होते हैं जहां डेटा निर्यातक आधारित होता है।

खण्ड 10
अनुबंध का संशोधन
पार्टियां वर्तमान क्लॉस को संशोधित नहीं करने का कार्य करती हैं। पार्टियां अन्य वाणिज्यिक खंडों को शामिल करने के लिए स्वतंत्र रहती हैं, जो उन्हें आवश्यक हैं, बशर्ते कि वे वर्तमान खंडों का खंडन न करें।
खण्ड 11
आगामी उपअनुबंध

1. डेटा आयातक पूर्ववर्ती इन शर्तों के तहत डेटा एक्सपोर्टर की पूर्व लिखित सहमति के बिना डेटा एक्सपोर्टर की ओर से की जाने वाली किसी भी प्रोसेसिंग प्रक्रिया को नहीं करेगा। डेटा आयातक इन क्लॉज़ के तहत अपने दायित्वों को केवल डेटा एक्सपोर्टर की सहमति से, डेटा प्रोसेसर पर एक लिखित समझौते के माध्यम से डेटा प्रोसेसर पर इन दायित्वों के तहत डेटा आयातक पर लगाए गए दायित्वों के साथ ही करेंगे।) यदि डेटा प्रोसेसर उस लिखित समझौते के तहत अपने डेटा सुरक्षा दायित्वों का पालन नहीं कर सकता है, डेटा आयातक पूरी तरह से उन दायित्वों की पूर्ति के लिए डेटा एक्सपोर्टर के प्रति उत्तरदायी रहेंगे।

2. डेटा आयातक और डेटा प्रोसेसर के बीच पूर्व लिखित समझौते में तृतीय-पक्ष लाभार्थी खंड भी शामिल होगा, क्योंकि क्लॉज़ 3 में उन मामलों के लिए सेट किया गया है जहाँ डेटा विषय को क्लॉज़ 6 (1) में निर्दिष्ट हर्जाने के लिए दावा लाने से रोका गया है। डेटा निर्यातक या डेटा आयातक के विरुद्ध क्योंकि डेटा निर्यातक या डेटा आयातक भौतिक रूप से गायब हो गया है, कानून में मौजूद नहीं है या दिवालिया हो गया है और डेटा निर्यातक या डेटा आयातक के सभी कानूनी दायित्वों को अनुबंध द्वारा या कानून के संचालन से स्थानांतरित नहीं किया गया है। , दूसरे उत्तराधिकारी इकाई को। डेटा प्रोसेसर की देयता इन क्लॉस के अनुसार अपनी स्वयं की प्रसंस्करण गतिविधियों तक सीमित होनी चाहिए।

3. अनुच्छेद 1 में निर्दिष्ट अनुबंध के डेटा प्रसंस्करण को उप-अनुबंधित करने के डेटा संरक्षण पहलुओं से संबंधित प्रावधान सदस्य राज्य के कानून द्वारा नियंत्रित किए जाएंगे जिसमें डेटा निर्यातक स्थापित है।

4. डेटा एक्सपोर्टर इन क्लॉस के तहत संपन्न डाटा प्रोसेसिंग समझौतों की उप-संविदा की एक सूची रखेगा और डेटा आयातक द्वारा क्लॉज 5 (जे) के अनुसार अधिसूचित किया जाएगा, जिसे वर्ष में कम से कम एक बार अपडेट किया जाएगा। यह सूची डेटा एक्सपोर्टर के डेटा सुरक्षा पर्यवेक्षी प्राधिकरण को उपलब्ध कराई जाएगी।

खंड 12
व्यक्तिगत डेटा प्रोसेसिंग सेवाओं की समाप्ति के बाद दायित्व

1. पार्टियां सहमत हैं कि डेटा प्रोसेसिंग सेवाओं के पूरा होने पर, डेटा निर्यातक और डेटा प्रोसेसर, डेटा एक्सपोर्टर की सुविधा पर, स्थानांतरित किए गए सभी व्यक्तिगत डेटा को वापस कर देगा और डेटा एक्सपोर्टर को कॉपी कर देगा या ऐसे सभी डेटा को नष्ट कर देगा और सबूत नष्ट कर देगा। डेटा एक्सपोर्टर, जब तक कि डेटा इम्पोर्टर पर लगाया गया कानून इसे वापस लौटने या व्यक्तिगत डेटा के सभी भाग को नष्ट या नष्ट करने से रोकता है। उस स्थिति में, डेटा आयातक गारंटी देता है कि यह स्थानांतरित किए गए व्यक्तिगत डेटा की गोपनीयता सुनिश्चित करेगा और यह अब डेटा को सक्रिय रूप से संसाधित नहीं करेगा।

2.

डेटा आयातक और डेटा प्रोसेसर यह सुनिश्चित करेगा कि, यदि डेटा निर्यातक और / या पर्यवेक्षी प्राधिकारी द्वारा अनुरोध किया गया है, तो वे पैराग्राफ 1 में उल्लिखित उपायों के सत्यापन के लिए डेटा प्रसंस्करण के अपने साधनों के अधीन होंगे।

 

 

 

 

परिशिष्ट 1.1 से भाग 2

स्थानांतरण का विवरण

 

 

डाटा एक्सपोर्टर

डेटा निर्यातक अनुबंध अनुबंध में परिभाषित ग्राहक है।



डेटा आयातक

डेटा आयातक IQUALIF है और डेटा निर्यातक को सेवाएं प्रदान करने के लिए डेटा को संसाधित करने के लिए सौंपा गया है।

 

डेटा के विषय

व्यक्तिगत डेटा ने डेटा विषयों की निम्न श्रेणियों की चिंता को स्थानांतरित कर दिया:

सार्वभौमिक निर्देशिका में सूचीबद्ध टेलीफोन ग्राहक

☐ अन्य, सहित:

 

आंकड़ों की श्रेणियाँ
व्यक्तिगत डेटा ने डेटा की निम्न श्रेणियों के बारे में चिंता व्यक्त की:

 

विशेष रूप से डेटा निर्यातक के डेटा विषयों के व्यक्तिगत डेटा की श्रेणियाँ,

☒ पूरा नाम

☒ डाक पता

☒ संपर्क विवरण (ई-मेल, टेलीफोन, आईपी पता, आदि)

☒ टेलीफोन सब्सक्राइबर से संबंधित विपणन गतिविधियों का विवरण

☒ शहर के आवास, आय और औसत उम्र सहित अन्य, गुमनाम रूप से बनाए गए

 

 

डेटा की विशेष श्रेणियां (यदि लागू हो)

व्यक्तिगत डेटा ने डेटा की निम्नलिखित विशेष श्रेणियों को स्थानांतरित कर दिया है:

☒ डेटा की विशेष श्रेणियों का स्थानांतरण पूर्वाभास नहीं है

☐ जाति या जातीय मूल

☐ धार्मिक या दार्शनिक मान्यताएँ

☐ ट्रेड यूनियन की सदस्यता

☐ राजनीतिक दृष्टिकोण

☐ आनुवंशिक जानकारी

☐ बायोमेट्रिक जानकारी

☐यौन अभिविन्यास या यौन जीवन पर जानकारी

☐ स्वास्थ्य डेटा

 

प्रसंस्करण गतिविधियों
हस्तांतरित व्यक्तिगत डेटा निम्नलिखित बुनियादी प्रसंस्करण गतिविधियों के अधीन होगा:

 

  •  
    • •प्रसंस्करण का उद्देश्य
डेटा एक्सपोर्टर की ओर से किया गया प्रोसेसिंग विशेष रूप से निम्नलिखित विषयों पर आधारित है:

☒ डेटा एक्सपोर्टर द्वारा पेश किए गए उत्पादों या सेवाओं का प्रभार लेना

☒ एक उत्पाद या सेवा की पेशकश जिसे तथाकथित व्यक्ति अनुरोध कर सकता है

☒ बुलाए गए व्यक्तियों से लिए गए आदेश और इन आदेशों की आगे की प्रक्रिया

☒ प्रश्नावली और विश्लेषण का अध्ययन करें

☒ टेलीमार्केटिंग

☐ अन्य, सहित:

 

  •  
    • Nature and purpose of the processing

The Data Importer processes the personal data of the data subjects on behalf of the Data Exporter, in order to provide the following services, and most notably:

☒ Sales and Marketing

☒ Others, including updating databases of town halls and political parties

 

  •  
    • •सेवा प्रदाताओं की सेवा और रोजगार का प्रावधान

 

IQUALIF मुख्य रूप से डेटा एक्सपोर्टर को जोड़ती, केंद्रीकृत करता है और सेवाएं प्रदान करता है। नामित सेवा प्रदाता द्वारा प्रदान की जाने वाली सेवाओं को निम्नलिखित सहायक सेवाओं के आसपास संरचित (अन्य के रूप में उपयुक्त) किया जा सकता है: (i) उपयोग किए जाने वाले डेटा प्रोसेसिंग केंद्रों के संबंध में एप्लिकेशन, टूल, सिस्टम और आईटी इन्फ्रास्ट्रक्चर का प्रावधान। और इस तरह के अनुप्रयोगों, उपकरण, और सिस्टम के माध्यम से ऊपर वर्णित के रूप में डेटा विषयों के व्यक्तिगत डेटा के प्रसंस्करण सहित सेवाओं का समर्थन करते हैं, (ii) ऐसे अनुप्रयोगों, उपकरण, सिस्टम से संबंधित आईटी समर्थन, रखरखाव और अन्य सेवाओं का प्रावधान और आईटी अवसंरचना, जिसमें इस तरह के अनुप्रयोगों, उपकरणों और प्रणालियों में संग्रहीत व्यक्तिगत डेटा की संभावित पहुंच शामिल है, और (iii) डेटा सुरक्षा सेवाओं, सुरक्षा निगरानी और घटना प्रतिक्रिया सेवाओं का प्रावधान, ऐसे सुरक्षा सेवाएँ प्रदान करते समय व्यक्तिगत डेटा तक संभावित पहुंच सहित। । IQUALIF सेवाओं को प्रदान करने के लिए नीचे दिए गए डेटा प्रोसेसर को संलग्न कर सकता है, जिसमें सहायक सेवाएं भी शामिल हैं।

 

  •  
    • •बाहरी तृतीय-पक्ष सेवा प्रदाताओं को डेटा प्रोसेसिंग के लिए सौंपी गई उप-इकाइयाँ के रूप में

 

IQUALIF डेटा एक्सपोर्टर को सेवाओं के प्रावधान का समर्थन करने के लिए बाहरी और तृतीय-पक्ष सेवा प्रदाताओं, जो कि IQUALIF की सहायक नहीं हैं, संलग्न करता है। डेटा निर्यातक ऐसे बाहरी तृतीय-पक्ष सेवा प्रदाताओं को अनुमोदित करता है, जो डेटा प्रोसेसिंग के लिए सौंपी गई उप-इकाइयाँ हैं।

 

यदि डेटा प्रोसेसिंग में शामिल एक उप-इकाई यूरोपीय संघ / ईईए के बाहर स्थित है, तो यूरोपीय आयोग के एक निर्णय के तहत डेटा सुरक्षा का पर्याप्त स्तर नहीं रखने वाले देश में, डेटा आयातक पर्याप्त स्तर प्राप्त करने के लिए कदम उठाएंगे। जीडीपीआर और भाग 1 के 3.4 (iv) के अनुसार डेटा सुरक्षा।

 

 

परिशिष्ट 2, भाग 2

तकनीकी और संगठनात्मक सुरक्षात्मक उपाय

 

डेटा आयातक जोखिमों के आधार पर, व्यक्तियों के अधिकारों और स्वतंत्रता के लिए उचित स्तर की सुरक्षा की गारंटी देने के लिए, डेटा एक्सपोर्टर द्वारा पुष्टि किए गए निम्नलिखित तकनीकी और संगठनात्मक सुरक्षा उपाय करेगा। संबंधित सुरक्षा के स्तर का आकलन करने में, डेटा एक्सपोर्टर ने विचार किया है, विशेष रूप से, प्रसंस्करण में शामिल जोखिम, जिसमें आकस्मिक या गैरकानूनी विनाश, परिवर्तन, अनधिकृत प्रकटीकरण, या व्यक्तिगत डेटा तक पहुंच, संग्रहीत, या अन्यथा संसाधित है। स्पष्टीकरण द्वारा: ये तकनीकी और संगठनात्मक सुरक्षा उपाय डेटा एक्सपोर्टर द्वारा प्रदान किए गए एप्लिकेशन, टूल, सिस्टम और / या आईटी इन्फ्रास्ट्रक्चर पर लागू नहीं होते हैं।
1 सामान्य तकनीकी और संगठनात्मक सुरक्षा उपाय
1.1 सामान्य जानकारी और डेटा सुरक्षा रणनीति
सामान्य डेटा और सूचना सुरक्षा रणनीतियों का पालन करने के लिए निम्नलिखित कदम उठाए जाने चाहिए:
  • a)तकनीकी और संगठनात्मक सुरक्षा के संबंध में उन लोगों का मूल्यांकन करने के लिए उपाय करना;
  • b)कर्मचारियों के बीच जागरूकता बढ़ाने के लिए प्रशिक्षण प्रदान करना;
  • c)संबंधित प्रणालियों का विवरण और कर्मचारियों तक पहुंच प्रदान करना;
  • d)जब भी सिस्टम लागू या संशोधित किया जाता है तो एक औपचारिक प्रलेखन प्रक्रिया स्थापित करें;
  • e)संगठनात्मक संरचना, प्रक्रियाओं, जिम्मेदारियों और संबंधित मूल्यांकन का दस्तावेजीकरण;
 
1.2 सूचना सुरक्षा का संगठन
डेटा और सूचना सुरक्षा गतिविधियों के समन्वय के लिए निम्नलिखित उपाय किए जाने चाहिए:
  • a)सूचना और डेटा की सुरक्षा के लिए जिम्मेदारियां (जैसे डेटा सुरक्षा प्रबंधन नीति के माध्यम से);
  • b)उपलब्ध जानकारी और डेटा की रक्षा पर आवश्यक विशेषज्ञता;
  • c)सभी कर्मचारी यह सुनिश्चित करने के लिए प्रतिबद्ध हैं कि व्यक्तिगत डेटा को गोपनीय रखा जाता है, और इस प्रतिबद्धता को भंग करने के संभावित परिणामों के बारे में सूचित किया गया है।
 
1.3 प्रसंस्करण क्षेत्रों के लिए अभिगम नियंत्रण
अनधिकृत व्यक्तियों को डेटा प्रोसेसिंग सिस्टम (विशेष रूप से सॉफ्टवेयर और हार्डवेयर में) तक पहुंचने से रोकने के लिए आवश्यक उपाय किए जाने चाहिए, जब व्यक्तिगत डेटा को संसाधित, संग्रहीत या प्रसारित किया जाता है:
  • a)सुरक्षित क्षेत्र स्थापित करना;
  • b)डेटा प्रोसेसिंग सिस्टम तक पहुंच की रक्षा और उसे प्रतिबंधित करना;
  • c)संबंधित दस्तावेजों सहित कर्मचारियों और तीसरे पक्ष के लिए पहुँच प्राधिकरण स्थापित करना;
  • d)डेटा प्रोसेसिंग केंद्रों तक कोई भी पहुंच जिसमें व्यक्तिगत डेटा संग्रहीत किया जाता है।
 
1.4 डाटा प्रोसेसिंग सिस्टम पर नियंत्रण
डेटा प्रोसेसिंग सिस्टम में अनधिकृत पहुंच को रोकने के लिए निम्नलिखित उपाय किए जाने चाहिए:
  • a)उपयोगकर्ता प्रमाणीकरण नीतियों और प्रक्रियाओं;
  • b)सभी कंप्यूटर सिस्टम पर पासवर्ड का उपयोग;
  • c)नेटवर्क तक दूरस्थ पहुंच के लिए बहु-कारक प्रमाणीकरण की आवश्यकता होती है और संबंधित व्यक्ति को उनकी जिम्मेदारियों के अनुसार और प्राधिकरण के लिए दी जाती है
  • d)विशिष्ट कार्यों तक पहुंच नौकरी के कार्यों और / या विशेषताओं पर आधारित है जो व्यक्तिगत रूप से उपयोगकर्ता के खाते में सौंपी जाती है;
  • e)व्यक्तिगत डेटा से संबंधित एक्सेस अधिकारों की नियमित रूप से समीक्षा की जाती है;
  • f)अधिकारों तक पहुंचने के लिए परिवर्तनों के रिकॉर्ड आज तक रखे गए हैं।
 
1.5 डेटा प्रोसेसिंग सिस्टम के उपयोग के विशेष क्षेत्रों तक पहुंच को नियंत्रित करना
यह सुनिश्चित करने के लिए निम्नलिखित उपाय किए जाने चाहिए कि डेटा प्रोसेसिंग सिस्टम का उपयोग करने का अधिकार रखने वाले अधिकृत व्यक्ति केवल अपनी संबंधित जिम्मेदारियों और एक्सेस प्राधिकरणों के भीतर डेटा का उपयोग कर सकते हैं और यह कि व्यक्तिगत डेटा को प्राधिकरण के बिना पढ़ा, कॉपी, संशोधित या हटाया नहीं जा सकता है:
  1.  
    1. a)नीतियों, निर्देशों और कर्मचारियों के प्रशिक्षण, उनमें से प्रत्येक के दायित्वों के बारे में गोपनीयता, व्यक्तिगत डेटा तक पहुंच के अधिकार और व्यक्तिगत डेटा के प्रसंस्करण के दायरे के बारे में;
  • b)प्राधिकरण के बिना व्यक्तिगत डेटा तक पहुंचने वाले व्यक्तियों के खिलाफ अनुशासनात्मक उपाय;
  • c)व्यक्तिगत डेटा तक पहुंच केवल अधिकृत व्यक्तियों को ही दी जा सकती है, जो कि आवश्यकता के आधार पर होती है;
  • d)सिस्टम प्रशासकों की एक सूची बनाए रखना और सिस्टम प्रशासकों की निगरानी के लिए उचित उपाय करना;
  • e)किसी भी भंडारण प्रणाली पर व्यक्तिगत डेटा की प्रतिलिपि बनाने या पुन: पेश न करने के लिए, अनधिकृत व्यक्तियों को मूल की जानकारी को हटाने में सक्षम करने के लिए;
  • f)नियंत्रित और प्रलेखित विलोपन या डेटा का विनाश;
  • g)सभी व्यक्तिगत डेटा को सुरक्षित रूप से संग्रहीत करने के लिए जिसे कानूनी या विनियामक कारणों (जैसे डेटा को बनाए रखने के लिए दायित्वों) को बनाए रखा जाना चाहिए, और केवल कानून द्वारा आवश्यकतानुसार लंबे समय तक।
 
1.6 प्रसारण नियंत्रण
व्यक्तिगत डेटा को पढ़ने, कॉपी करने, संशोधित करने, या डेटा भंडारण उपकरणों के प्रसारण या परिवहन के दौरान अनधिकृत तृतीय पक्षों द्वारा किए जाने से रोकने के लिए निम्नलिखित उपाय किए जाने चाहिए (व्यक्तिगत डेटा के प्रसंस्करण पर निर्भर करता है):
  1.  
    1. a) use o
      फायरवॉल का उपयोग;
  • b)परिवहन प्रयोजनों, या उपकरणों को एन्क्रिप्ट करने के लिए मोबाइल भंडारण उपकरणों पर व्यक्तिगत डेटा के भंडारण से बचना;
  • c)एन्क्रिप्शन सुरक्षा के सक्रिय होने के बाद ही लैपटॉप और अन्य मोबाइल उपकरणों पर उपयोग;
  • d) व्यक्तिगत डेटा प्रसारण की लॉगिंग।
 
1.7 डेटा प्रविष्टि नियंत्रण
यह सुनिश्चित करने के लिए निम्नलिखित उपाय किए जाने चाहिए कि यह सत्यापित करना और निर्धारित करना संभव है कि डेटा प्रोसेसिंग सिस्टम से व्यक्तिगत डेटा दर्ज किया गया है या हटा दिया गया है:
  1.  
    1. a)संग्रहीत डेटा के पढ़ने, परिवर्तन और विलोपन को अधिकृत करने के लिए एक नीति;
  • b)संग्रहीत डेटा के पढ़ने, परिवर्तन और विलोपन से संबंधित सुरक्षा उपाय।
 
1.8 कार्य नियंत्रण
व्यक्तिगत डेटा के प्रत्यायोजित प्रसंस्करण के मामले में, यह सुनिश्चित करने के लिए निम्नलिखित उपाय किए जाने चाहिए कि पर्यवेक्षक के निर्देशों के अनुसार इस तरह के डेटा को संसाधित किया जाए:
  1.  
    1. a)डेटा प्रोसेसिंग के लिए सौंपी गई इकाइयाँ या उप-इकाइयाँ, देखभाल के साथ चुनी गई (सेवा प्रदाता नियंत्रक की ओर से व्यक्तिगत डेटा संसाधित करने वाली);
  • b)डाटा प्रोसेसिंग के लिए सौंपे गए कर्मचारियों, संस्थाओं, या उप-संस्थाओं को व्यक्तिगत डेटा के किसी भी प्रसंस्करण के दायरे से संबंधित निर्देश;
  • c)ऑडिट अधिकार डेटा प्रोसेसिंग के लिए सौंपी गई संस्थाओं या उप-संस्थाओं से सहमत हैं;
  • d)डेटा को संसाधित करने के लिए सौंपी गई संस्थाओं या उप-संस्थाओं के साथ समझौते।
 
1.9 अन्य प्रयोजनों के लिए प्रसंस्करण से पृथक्करण
यह सुनिश्चित करने के लिए निम्नलिखित उपाय किए जाने चाहिए कि अन्य उद्देश्यों के लिए एकत्र किए गए डेटा को अलग से संसाधित किया जा सके:
  1.  
    1. a)उपयोगकर्ताओं के मौजूदा अधिकारों के अनुसार व्यक्तिगत डेटा तक अलग पहुंच;
  • b)इंटरफेस, बैच प्रोसेसिंग और रिपोर्टिंग अन्य उद्देश्यों और कार्यों के लिए है, ताकि अन्य उद्देश्यों के लिए एकत्र किए गए डेटा को अलग से संसाधित किया जा सके।
 
1.10 छद्म नामकरण
व्यक्तिगत डेटा के छद्म नामकरण के बारे में निम्नलिखित उपाय किए जाने चाहिए:
a) यदि डेटा एक्सपोर्टर एक विशिष्ट प्रोसेसिंग ऑपरेशन का आदेश देता है या यदि इसे कुछ निश्चित प्रोसेसिंग गतिविधियों के संबंध में डेटा सुरक्षा कानूनों के अनुसार डेटा आयातक द्वारा उचित माना जाता है, तो व्यक्तिगत डेटा का प्रसंस्करण इस तरह से किया जाएगा कि अतिरिक्त जानकारी के उपयोग के बिना डेटा को अब किसी विशिष्ट व्यक्ति के लिए जिम्मेदार नहीं ठहराया जा सकता है। यह अतिरिक्त जानकारी अलग से रखी जाएगी;
  • b)आवंटन सूची रेंडमाइजेशन सहित छद्म नामकरण तकनीकों का उपयोग; शार्प के रूप में मूल्यों का निर्माण।
 
1.11एन्क्रिप्शन
एन्क्रिप्शन का समर्थन करने वाले अनुप्रयोगों और प्रसारण में व्यक्तिगत डेटा को एन्क्रिप्ट करने के लिए निम्नलिखित कदम उठाए जाने चाहिए:
  1.  
    1. a)एन्क्रिप्शन तकनीकों का उपयोग;
  • b)उपयोग किए जाने के लिए अधिकृत एन्क्रिप्शन तकनीकों का समर्थन करने के लिए एन्क्रिप्शन प्रबंधन की स्थापना;
  • c)अनधिकृत संशोधन और प्रकटीकरण से बचाने के लिए क्रिप्टोग्राफ़िक कुंजियों को बनाने, संशोधित करने, नष्ट करने, नष्ट करने, वितरित करने, प्रमाणित करने, भंडारण करने, उपयोग करने और उपयोग करने के लिए प्रक्रियाओं और प्रोटोकॉल के माध्यम से क्रिप्टोग्राफी के उपयोग का समर्थन करना।
 
1.12 डाटा प्रोसेसिंग सिस्टम और सेवाओं की पूर्णता
डेटा प्रोसेसिंग सिस्टम और सेवाओं की पूर्णता सुनिश्चित करने के लिए निम्नलिखित उपाय किए जाने चाहिए:
a) उचित साधनों द्वारा हेरफेर या विनाश के खिलाफ डेटा प्रोसेसिंग सिस्टम की सुरक्षा (जैसे एंटी-वायरस सॉफ़्टवेयर, डेटा हानि की रोकथाम सॉफ्टवेयर और मैलवेयर, सॉफ़्टवेयर पैच, फ़ायरवॉल और प्रबंधित डेस्कटॉप सुरक्षा के विरुद्ध सॉफ़्टवेयर);
बी) डाटा प्रोसेसिंग सिस्टम, सेवाओं, या व्यक्तिगत डेटा के हेरफेर के लिए हानिकारक किसी भी सेवा या सॉफ़्टवेयर की स्थापना को प्रतिबंधित करता है;
ग) नेटवर्क की संरचना में एक नेटवर्क घुसपैठ का पता लगाने और रोकथाम प्रणाली का उपयोग।
 
1.13 डेटा प्रोसेसिंग सिस्टम और सेवाओं की उपलब्धता और सामग्री या तकनीकी घटना की स्थिति में व्यक्तिगत डेटा का उपयोग और उपयोग बहाल करने की संभावना।
डेटा प्रोसेसिंग सिस्टम की उपलब्धता सुनिश्चित करने के लिए निम्नलिखित उपाय किए जाने चाहिए, साथ ही किसी सामग्री या तकनीकी घटना की स्थिति में (विशेष रूप से सुनिश्चित करके) व्यक्तिगत डेटा की उपलब्धता और पहुंच को बहाल करने में सक्षम होना चाहिए। व्यक्तिगत डेटा को आकस्मिक विनाश या हानि से बचाया जाता है):
  • a)बैक-अप प्रतियां रखने और खोए या हटाए गए डेटा को पुनर्स्थापित करने के लिए नियंत्रण है;
  • b)अवसंरचना अतिरेक और प्रदर्शन परीक्षण;
  • c)कंप्यूटर संसाधनों का भौतिक संरक्षण;
     
  • d)आंतरिक नेटवर्क की स्थिति और उपलब्धता की निगरानी के लिए उपकरणों का उपयोग;
  • e) घटना की रिपोर्टिंग और प्रतिक्रिया नीतियां जो घटना प्रबंधन प्रक्रिया को नियंत्रित करती हैं, और नियमित प्रशिक्षण के भाग के रूप में इन नीतियों के पालन के लिए पुनर्मूल्यांकन;
  • f)बैकअप (कभी-कभी ऑफ-साइट) सिस्टम को पुनर्स्थापित करने के लिए इसे फिर से अपने कार्यों को करने के लिए सक्षम करने के लिए;
  • g)व्यापार निरंतरता / आपदा वसूली योजना
 
1.14 डाटा प्रोसेसिंग सिस्टम और सेवाओं का लचीलापन
डेटा प्रोसेसिंग सिस्टम और सेवाओं की लचीलापन सुनिश्चित करने के लिए निम्नलिखित उपाय किए जाने चाहिए:
  • a)स्वीकृत सुरक्षा मापदंडों का उपयोग करते हुए सिस्टम और सामंजस्यपूर्वक कॉन्फ़िगर किया गया;
  • b)नेटवर्क अतिरेक;
  • c)महत्वपूर्ण प्रणालियों का संरक्षण संरक्षण।
 
1.15
डेटा प्रोसेसिंग की सुरक्षा सुनिश्चित करने के लिए तकनीकी और संगठनात्मक उपायों की प्रभावशीलता का नियमित रूप से परीक्षण, मूल्यांकन और मूल्यांकन करने की प्रक्रिया
नियमित रूप से परीक्षण, मूल्यांकन और डेटा प्रसंस्करण की सुरक्षा के लिए तकनीकी और संगठनात्मक उपायों की प्रभावशीलता का आकलन करने की प्रक्रिया।
  • a)जोखिम और शमन रणनीतियों का आकलन करने के लिए आवश्यक कदम उठाएं;
  • b)वर्तमान मुद्दों के समाधान के लिए आईटी विभाग की सेवा विश्लेषण बैठकें;
  • c)व्यापार निरंतरता / आपदा वसूली योजनाएं नियमित रूप से अपडेट की जाती हैं।
भाग 3
पार्टियों के हस्ताक्षर और डेटा आयातकों की सूची

 

जब आप ऑनलाइन ऑर्डर फॉर्म भरते हैं और उपयोग के सामान्य नियमों और शर्तों को स्वीकार करते हुए बॉक्स को टिक करके इसे सत्यापित करते हैं, तो ग्राहक और IQUALIF के बीच संबंध को नियंत्रित करने वाला अनुबंध स्थापित होता है।
IQUALIF को भुगतान भेजना इस अनुबंध पर सहमत होने और स्थापित होने पर विचार करेगा।

ध्यान दें: इस पाठ का फ्रेंच से अनुवाद किया गया है। मूल फ्रांसीसी संस्करण, जो वैध और कानूनी रूप से प्रतिबंधात्मक है, उपलब्ध है here.