Bilaga för databehandling

 

Denna bilaga utgör en integrerad del av kontraktet och ingås av:

 

  1. (i) Klienten ("Dataexportören")
  2. (ii) IQUALIF ("Dataimportören")

 

Var och en är en "Part" och båda är "Parter".

 

Inledning

VAR Dataimportören erbjuder professionella mjukavarutjänster, dator-, och relaterade tjänster (såsom webbläsare med avancerade sökfunktioner);

VAR enligt kontraktet, Dataimportören har samtyckt till att erbjuda dataexportören tjänsterna specificerade i the kontraktet ("Tjänsterna");

VAR, genom att erbjuda Tjänsterna, Dataimportören mottager eller tjänar på tillgång till dataexportörens information eller information tillhörande andra personer med en (potentiell) relation till dataexportören, sådan information kan kvalificeras som personlig data enligt regulationen (EU) 2016/679 från europeiska parlamentet och från rådet den 27:e april 2016 om individer gällande behandlingen av personlig data och gällande fri förflyttning av sådan data ("GDPR") och andra relevanta dataskyddslagar.

VAR denna bilaga innehåller villkoren tillämpliga på kollektionen, behandlingen, och användningen av sådan personlig data av Dataimportören i dess kapacitet som den auktoriserade databehandlingsagenten åt dataexportören, för att försäkra att Parterna följer applicerbar dataskyddslag.

 

DÄRFÖR, för att möjliggöra att Parterna fortsätter sin relation lagligt, har Parterna sammanfattat denna bilaga som följer:

Del 1

 

1. Dokumenters struktur och definitioner

1.1 Strukturen

Denna bilaga sammanfogar olika delar som följer:

 

Del 1: 

innehåller generella bestämmelser, t.ex. gällande definitioner använda i denna bilaga, efterföljande av lokala lagar, timing, and uppsägning

 

Del 2:

innehåller kontentan av det oförändrade standardsavtalsklausulsdokumentet

 

Bilaga 1.1 av Del 2:

innehåller detaljerna angående behandlingsoperationerna erbjudna av Dataimportören åt dataexportören som den auktoriserade databehandlingsagenten (inklusive behandlingen, naturen, och syftet med behandlingen, typen av personlig data, och kategorier av dataobjekt) under denna bilaga

 

Bilaga 2 av Del 2:

innehåller en beskrivning av Dataimportörens tekniska och organisationsbaserade säkerhetsåtgärder, vilka används i anslutning till alla behandlingsaktiviteter beskrivna i Bilaga 1.1 av Del 2

 

Del 3:

innehåller signaturer från Parterna som finnes i denna bilaga och identifierar varje dataimportör

 

 

1.2 Terminologi och definitioner

För denna bilaga är terminologi och definitioner använda av GDPR applicerbara (i kontentan av standardsavtalsklausulsdokumentet i Del 2, där villkor inte är aktiverade).

 

"Medlemsstat"

ett land som tillhör europeiska unionen eller europeiska ekonomiska samarbetsområdet


 
"Speciella kategorier av (personlig) data"

syftar på personlig data som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk tro, eller medlemskap i fackförbund, och genetisk data, om denna behandlas i syfte att identifiera en unik person, data gällande hälsa, data gällande en persons sexuella liv eller sexuella läggning

 

"Standardsavtalsklausul"

betyder de standardsavtalsklausuler som används för överförande av personlig data av behandlingsagenter etablerade i tredje länder, under kommissionsbeslutet 2010/87/EU den 5:e februari 2010, som förändrades av kommisionsimplementerande beslutet (EU) 2016/2297 den 16:e december 2016

 

“Databehandlare”

betyder någon behandlingsagent, lokaliserad inuti eller utanför EU/EES, som accepterar att mottaga personlig data för det enda syftet att behandla aktiviteter som ska genomföras av dataexportören efter transaktionen enligt dataexportörens instruktioner, villkoren i denna bilaga och kontraktet med dataimportören, från dataimportören eller någon annan behandlare av dataimportören

 

 

 

2. Dataexportörens obligationer

2.1 Dataexportören har en obligation att försäkra följande av alla obligationer under GDPR och alla andra applicerbara dataskyddslagar som gäller dataexportören och att visa sådant följande som krävs av Artikel 5 (2) i GDPR. Dataexportören garanterar att dataimportören har fått tidigare samtycke från dataobjekten enligt Artikel 6 (a) i GDPR och har följt dess obligation att informera dataobjekten enligt Artikle 13 och 14 i GDPR.

2.2 Dataexportören måste erbjuda dataimportören de respektive filer och behandlingsaktiviteter som enligt Artikel 30 (1) i GDPR relaterar till Tjänsterna i denna bilaga, till den grad som är nödvändig för att dataimportören ska kunna följa obligationer under Artikel 30 (2) i GDPR.

2.3 Dataexportören måste utse en dataskyddsansvarig eller representant till den grad som krävs av applicerbar dataskyddslag. Dataexportören är tvungen att erbjuda kontaktdetaljer till dataskyddsagenten eller representanten, ifall sådan finns, till dataimportören.

2.4 Dataexportören verifierar innan slutförandet av behandlingen, genom att acceptera denna bilaga, att dataimportörens tekniska och organisationsrelaterade säkerhetsåtgärder, som beskrivits i bilaga 2 i Del 2, är lämpliga och tillräckliga för att skydda dataobjektens rättigheter och verifierar att dataimportören erbjuder tillräckliga skyddsåtgärder för detta.

 

3. Efterföljande av lokala lagar

För att möta kraven på implementering av beandlingsagenter enligt Artikel 28 i GDPR är följande ändringar applicerbara: 

 

3.1 Instruktioner

  1. (i) Dataexportören instruerar dataimportören att behandla data endast åt Dataexportören. Dataexportörens instruktioner finnes i denna bilaga och i kontraktet. Dataexportören är obligerad att försäkra att alla instruktioner gavs till dataimportören för att kunna följa dataskyddslagar. Dataimportören måste behandla personlig data enligt instruktionena givna av Dataexportören så länge annat inte krävs enligt EU eller medlemsstatens lag (i det senare fallet gäller Del 1 Klausul 3.2 (iv) (c)).
  2. (ii) Alla andra instruktioner som går förbi instruktionerna i denna bilaga eller i Kontraktet måste inkluderas i denna bilaga och i Kontraktet. Om implementering av dessa extra instruktioner involverar extra kostnader för dataimportören, ska dataimportören informera Dataexportören om sådana kostnader och erbjuda en förklaring innan instruktionen implementeras. Endast efter att Dataexportören har bekräftat accepterandet av kostnaderna för att implementera dessa extra instruktioner skall dataimportören implementera dessa instruktioner. Dataexportören måste ge vidare instruktioner skriftligt så länga inte akuta eller andra specifika omständigheter kräver en annan form (t.ex. muntligt, elektroniskt). Instruktioner i en form annan än skriftlig måste bekräftas skriftligt och utan dröjsmål av Dataexportören.  
  3. 1. Så länge inte Dataexportören inte kan genomföra rättelsen, raderandet eller restrikrikonen av personlig data själv, kan instruktionerna också gälla rättelse, raderande och/eller restriktion av personlig data som beskrivet i Del 1 Klausul 3.3.
  4. 2. Dataimportören måste genast informera Dataexportören om, enligt dennes åsikt, en instruktion bryter mot GDPR eller annan applicerbar dataskyddslag i EU eller en medlemsstat ("Disputerad Instruktion"). Om Dataimportören anser att en instruktion inskränker på GDPR eller annan applicerbar dataskyddslag i EU eller en medlemsstat, är Dataimportören inte obligerad att följa den Disputerade Instruktiionen. Om Dataexportören bekräftar den Disputerade Insturktionen vid mottagande av kvitto på information från Dataimportören och erkänner dess skyldighet för den Disputerade Instruktionen, så länge den Disputerade Instruktionen inte  relaterar till (i) implementeringen av tekniska och organisationsrelaterade åtgärder, (ii) dataobjecktens rättigheter eller (iii) engagemanget av databehandlare. I fallen (i) till (iii) kan Dataimportören kontakta en kompetent övervakande auktoritet för att legalt evaluerad av en sådan auktoritet. Om den övervakande auktoriteten deklarerar instruktionen legal, ska Dataimportören implementera instruktionen. Del 1 Klausul 3.1 (ii) skall förbli applicerbar.

 

3.2 Dataimportörens obligationer

  1. (i) Dataimportören måste försäkra att personer auktoriserade av Dataimportören för att behandla personlig data åt Dataexportören, särskilt anställda hos Dataimportören och anställda av någon Del-Kontraktspart, beakter konfidentialitet eller har lämplig lagstadgad plikt för konfidentialitet, och att sådana personer som har tillgång till personlig data behandlar denna enligt Dataexportörens instruktioner. 
  2. (ii) Dataimportören måste implementera tekniska och organisationsrelateradfe säkerhetsåtgärder som beskrivs i bilaga 2 Del 2 innan behandling av personlig data år Dataexportören. Dataimportören kan ändra de teknsika och organisationsrelaterade säkerhetsåtgäraderna då och då ifall de inte erbjuder mindre säkerhet än den som beskrivs i bilaga 2 Del 2.
  3. (iii) Dataimportören ska tiillgängliggöra inforamtion för att bevisa Dataimportörens följande av Dataimportörens obligationer i denna bilaga, på begäran av Dataexportören. Parterna accepterar att denna inforamtionsobligation möts genom att erbjuda en revisionsrapport (täckande säkerheten av principer, systemtillgänglighet, och konfidentialitet). Om extra revisionsaktiviteter krävs av lag, kan Dataexportören eller en annan revisor utsedd av Dataexportören, under utförandet av en sådan revisor av en sådan konfidentialitetsöverneskommelse med Dataimportören till lämplig tillfredsställelse hos Dataimportören ("Revision"). Denna Revision regleras av följande villkor: (i) det tidigare formella skriftliga accepterandet av Dataimportören; och (ii) Dataexportären ska stå för alla kostnader relaterade till On-Site-revisioner för Dataexportören och Dataimportören. Dataexportören måste skapa en revisionsrapprot som sammanfattar resultaten och observationerna av On-Site-revisionerna ("On-Site-revisionsrapport"). On-Site-revisionsrapporterna och revisionsrapporterna är konfidentiell inforamtion hos Dataimportören och ska inte avslöjas till tredje parter så länge det inte krävs av applicerabar dataskyddslag eller enligt Dataimportörens samtycke.
  4. (iv) Dataimportören har en obligation att notifiera Dataexportören utan obefogat dröjsmål:
    1. a. gällande något lagligt bindande förslag på avslöjande av personlig data av en brottsbekämpande myndighet, så länge det annars ej är förbjudet, så som förbud under lag för att skydda konfidentialiteten av en brottsutredning
    2. b. gällande något klagomål och förslag mottaget direkt från ett dataobjekt (t.ex. gällande tillgång, raderande, restriktion av behandling, dataportabilitet, objektion mot databehandling, automatiserat beslutstagande) utan svar på detta förslag, så länge inte Dataimportören har auktoriserats att göra så
    3. c. om Dataimportören eller Dataexportören är obligerad, enligt lagar i EU eller Medlemsstaten som Dataimportören eller Dataexportören lyder under, att behandla den personliga datan förbi Dataexportörens instruktioner, innan genomförande av sådan behandling förbi instruktionerna, så länge inte EU:S lagar eller lagar i Medlemsstaten förbjude rsådan behandling på grund av allmänt intresse, i vilket fall notifikationen till Dataexportören skall specificera det lagliga kravet under den lagen i EU eller Medlemsstaten; eller
    4. d. om Dataimportören inser att ett inkräktande på personlig data, endast på grund av den själv eller dennes underleverantör, vilket skulle påverka Dataexportörens personliga data täckt av detta kontrakt, i vilket fall Dataimportören ska assistera Dataexportören i dennes obligation, vis-a-vis den applicerbara dataskyddslagen, för att informerar dataobjekten och, då det är lämpligt, de övervakande myndigheterna genom att erbjuda informationen denne har tillgång till, enligt Artikel 33 (3) i GDPR.
    5. (v) På Dataexportörens förfrågan skall Dataimportören assisitera Dataexportören i dennes obligation att genomföra en dataskyddspåverkansbedömning som kan krävas enligt Artikel 35 i GDPR och en tidigare konsultation som kan krävas enligt Artikel 36 i GDPR gällande tjänster erbjudna av Dataimportören till Dataexportören i denna Bilaga, genom att erbjuda nödvändig information till Dataexportören. Dataimportören kommer bara att bli tvungen att erbjuda sådan information om Dataexportören inte kan fullfölja sin plikt på annan väg. Dataimportören ska bistå Dataexportören med rådgivning om kostnader för sådan assistans. Så fort Dataexportören har bekräftat att den kan betala denna kostnad, ska Dataimportören erbjuda Dataexportören denna hjälp.
    6. Vid slutet av provisionen av tjänsterna kan Dataexportören fråga om tillbakatagande av den personlga datan behandlad av Dataimportören i denna Bilaga inom en månad efter tjänsterna. Så länge inte lagstiftningen i Medlemsstaten eller i EU kräver att Dataimportören lagrar sådan data, skall Dataimportören genast radera all sådan personlig eller icke-personlig data efter enmånadsperioden, oavsett om de tagits tillbaka av Dataexportören eller ej.

 

3.3 Rättigheter för gällande personer

  1.  
    1. (i) Dataexportören har hand om och svarar på förfrågningar gjorda av dataobjekt. Dataimportören är inte obilgerad att svara driekt till dataobjekten.
    2. (ii) Om Dataexportören kräver Dataimportörens assistans med att behandla och svara på dataobejcktens förfrågningar, skall Dataexportören utge en vidare instruktion enligt Klausul 3.1 (ii) av Del 1. Dataimportören skall assistera Dataexportören med de följande lämpliga och tekniska organisationsrealterade åtgärderna för att svara på förfrågningarna för att följa dataobjektens rättigheter beskrivna i Kapitel III av GDPR.
    3. a. Gällande förfrågningar efter information, ska Dataimportören endast erbjuda Dataexportören informationen som krävs av Artikel 13 och 14 av PGRD som denne möjligen har tillgänglig om Dataexportören inte kan hitta sin egen.
    4. b. Gällande förfrågningar efter tillgång (Artikel 15 av GDPR), skall Dataimportören endast erbjuda Dataexportören informationen som ska ges till dataobjektet för den nämnda förfrågningen efter tillgång, wliket den kan ha tillgänglig om den senare inte kan hitta den ensam.
    5. c. Gällande förfrågningar om rättelse (Artikel 16 av GDPR), förfrågningar om raderande (artikel 17 av GDPR), restriktioner av förfrågningar om behandling (Artikel 18 av GDPR), eller förfrågningar om portabilitet (Artikel 20 av GDPR), och endast om Dataexportören inte själv kan rätta eller radera, begränsa eller vidarebefordra den personliga datan till en tredje part, eller om detta ej är möjligt, skall den erbjuda assistans för att rätta eller radera, begränsa eller vidarebefordra den gällande informationen till den tredje parten. 
    6. d. Gällande notisen om raderande, rättelse, restriktion av behandling (Artikel 19 av GDPR), skall Dataimportören assistera Dataexportören genom att meddela alla mottagare av personlig data involverade av Dataimportören som behandlare om Dataexportören förfrågar detta och om Dataexportören inte kan lösa situationen själv.
    7. e. Gällande rätten till motsättande utövad av ett dataobjekt (Artikel 21 och 22 av GDPR) ska Dataexportören avgöra om motsättandet är legitimt och hur det ska behandlas.
    8.  (iii) Dataimportörens assistansobligationer är begränsade till personlig data behandlad inom dennes infrastruktur (t.ex.databaser, system, applikationer ägda eller erbjudna av Dataimportören).
    9. (iv) Dataexportören skal avgöra ifall ett dataobjekt får lov att utöva dess rättigheter i egenskap av dataobjekt beskrivna i Klausul 3.1 i denna Del 1 och skall rådgöra Dataimportören gällande till vilken grad assistansen specificerad i Klausuler 3.3 (ii), (iii) av Del 1 är nödvändig.
    10. (v) Om Dataexportören förfrågar ytterligare eller modifierade tekniska och organisationsrelaterade åtgärder för att möta rättigheterna hos dataobjekten som går förbi assistansen erbjuden av Dataimportören under Subklausul 3.3 (ii), (iii) av Del 1, skall Dataimportören informera Dataexportören om kostnaderna för att implementera sådana ytterligare eller modifierade tekniska och organisationsrelaterade åtgärder. Så snart som Dataexportören har bekräftat att denne kan ha råd med dessa kostnader, skall Dataimportören implementera sådana ytterligare eller modifierade tekniska och organisationsrelaterade åtgärder för att assistera Dataexportören i att svara på dataobjektens förfrågningar. 
    11. (vi) Utan att begränsa Klausul 3.3 av Del 1, skall Dataexportören ersätta Dataimportören för skäliga kostnader involverade i dataobjektens förfrågningar.

 

3.4 Del-behandling

  1.  
    1. (i) Dataexportören auktoriserar Dataimportörens användning av underleverantörer för provisionstjänsterna i denna Bilaga. Dataimportören skall välja sådan(a) databehandlare noggrannt. Dataexportören aukrotiserar databehandlarna listade i Bilaga 1.1 i slutet av Del 2.
    2. (ii) Dataimportören skall överföra sin obligationer i denna Bilaga till databehandlarna till den grad som är nödvändig för underleverantörsstjänsterna.
    3. (iii) Dataimportören kan förneka, byta ut, eller hyra en/flera annan/andra lämplig(a) och pålitlig(a) databehandlare om så behövs. Ifall Dataexportören efterfrågar det skriftligt måste Dataimportören följa proceduren nedan:
  2.  
    1. a. Dataimportören skall informera Dataexporötren innan några ändringar i listan av databehandlare refererade under Klausul 3.4 (i) av Del 1. Om Dataexporötren inte avslår under Klausul 3.4 (b) av Del 1 inom trettio dagar efter att ha mottagit notisen, skall de ytterigare databehandlarna räknas som godkända. 
    2. b. Om Dataexportören har en legitim anledning att avslå en ytterligare databehandlare, skall denne ge en skriftlig notis till Dataimportören inom trettio dagar av kvittot  av  notis Dataimportören och före Dataimportörens service tas i användning. Om Dataexporötren nekar användningen av en ytterligare databehandlare, kan Dataimportören avslå nekandet genom ett av de följande alternativen: (A) Dataimportören avbryter dess planer på att använda en ytterligare databehandlare gällande Dataexportörens personliga data; (B) Dataimportören tar korrigerande åtgärder förfrågade av Dataeportören i dess objektion (för att avbryta obejktionen) och använder den ytterligare behandlaren gällande Dataexportörens personliga data; (C) Dataimportören kan upphöra att erbjuda, eller så kan Dataexportören acceptera att inte använda, (temporärt eller permanent) en viss aspekt av tjänsten som skulle involvera användningen av Dataexportörens vidare behandling av Dataexportörens personliga data. 
  3.  
    1. (iv) Om Databehandlaren är baserad utanför EU-EES i ett land som inte erkänns att inneha en godkänd nivå av dataskydd efter ett beslut europeiska kommisionen, skall Dataimportören vidta åtgärder för att följa en godkänd nivå av dataskydd enligt GDPR (sådana åtgärder kan inkludera - bland andra - användningen av databehandlingskontrakt baserade på klausulerna i EU-modellen, överföring till egencertifierade Databehandlare inom ramen för EU-USA Skyddsskölden, eller ett liknande program).

 

3.5 Utgångsdatum

Utgångsdatumet för denna Bilaga är identisk med utgångsdatumet för det korresponderande Kontraktet. Förutom då det på annat sätt finns i denna Bilaga, skall rättigheterna och skyldigheterna relaterade till uppsägning vara samma som finns i Kontraktet.

 

4. Gränser för ansvar

4.1 Varje parti hanterar sina obligationer under denna Bilaga och den applicerbara dataskyddslagstiftningen.

4.2 Ansvar relaterat till inskränkning av obligationer under denna Bilaga eller applicerbar datakyddslagstiftning skall vara föremål för och styras av ansvarsbestämmelser beskrivna i, eller applicerbara på, Kontraktet, förutom om det annars finns i denna Bilaga. Om ansvaret styrs av ansvarsbestämmelser beskrivna i eller applicerbara på Kontraktet, för att beräkna ansvarsgränserna eller för att bestämma applikationen av andra ansvarsbegränsningar, skall något ansvar under denna Bilaga dömas uppstå under Kontraktet.

 

5. Generella bestämmelser

5.1 Ifall det finns några motsägelser eller avvikelser mellan Del 1 och Del 2 i denna Bilaga, skall Del 2 råda. Specifikt, även i ett sådant fall, skall Del 1 som helt enkelt går bortom Del 2 (villkoren för Standardklausulerna) förbli giltig om denna inte motsäger Del 2.

5.2 Om någon avvikelse uppstår mellan bestämmelserna i denna Bilaga och de i andra kontrakt som förbinder parterna, skall denna Bilaga råda gällande parternas dataskyddsobligationer. Vid tvekan om huruvida klausulerna i andra kontrakt gäller perternas dataskyddsobligationer, skall denna Bilaga råda.

5.3 Om någon bestämmelse i denna Bilaga är ogiltig eller icke-genomförbar, skall resten av denna Bilaga råda med kull kraft och effekt. Den ogiltiga eller icke-genomförbara bestämmelsen skall antingen (i) ändras för att försäkra dess validitet och genomförbarhet, och bevara parternas intentioner så långt som möjligt, eller - ifall detta inte är möjligt - (ii) tolkad som att den ogiltiga delen aldrig hade varit del av kontraktet. Den tidigare skall också råda ifall det finns ett borttagande ur denna Bilaga.

5.5 Till den grad som är nödvändig, kan Parterna förfråga ändringar i Del 1, Klausul 3 (efterföljande av lokal lag) eller andra delar av Bilagan för att efterfölja tolkningar, direktiv, eller andra order av kompetenta auktoriteter från EU eller Medlemsstaterna, nationella  lagliga bestämmelser, eller andra lagliga utvecklingar gällande GDPR eller andra delegationsvillkor till något involverat i databehandling och specifikt gällande användningen av Standardklausulkontrakt i GDPR. Villkoren i Standardklusulkontrakten kan inte ändras eller ersättas så länge inte europeiska kommissionen godkänner det (genom nya adekvata klausuler och dataskyddsstandarder).

5.6 En referens i denna Bilaga till "Klausulerna" skall tolkas som att referera till alla bestämmelser i denna Bilaga om det inte annars beskrivs.

5.7 Valet av lag i Del 2, Klausul 9 gäller hela Kontraktet.

 

6. Personlig data överförd och behandlad av parterna i personliga syften (överföring från datakontrollanten till datakontrollanten)

6.1 Parterna är fullt medvetna om att personlig data kommer att överförs från Dataexportören till Dataimportären och vice versa, och att sådan databehandlas av var Part i dess egna syften. Gällande sådan personlig data, påverkar det inte andra bestämmelser i denna Bilaga (förutom dem i Klausul 6).

6.2 Dataexportören kan överföra personlig data gällande de anställda hos Dataimportören till Dataimportören, inklusive Dataexportöreninformation om säkerhetsincidenter, eller andra dokument eller filer skapade eller atablerade av Dataexportören i anslutning till Tjänsterna erbjudna av de anställda hos Dataimportören. Dataimportören kan behandla sådan personlig data för dess egna syften, specifikt i dess professionella relationer med Dataimportörens persnoal, för kvalitetskontroll och utbildning, eller av affärssyften.

6.3. Dataimportören kan överföra personlig data till Dataexportören, inklusive namn och kontaktdetaljer till Dataimportörens personal. Dataexportören kan behandlda sådan personlig data i dess egna syften. 

6.4 Båda parterna skall lyda under applicerbara dataskyddslagar, inklusive GDPR, i insamlandet, behandlingen, och användningen av sådan personlig data från den andra parten under Klausul 1 av Del 1. Specifikt skall båda Parterna vidta säkerhetsåtgärder för att uppnå en liknande nivå av säkerhet som säkerhetsåtgärderna beskrivna i Bilaga 2 av Del 2. Tillgång till sådan personlig data skall begränsas till då det finns behov av det.

6.5 Båda Parterna måste radera sådan personlig data så fort som möjligt efter att objektiven har uppnåtts.

Del 2

 

KOMMISSIONENS BESLUT

5:e februari 2010

gällande standardkontraktsklausuler för överföringen av personlig data till databehandlare etablerade i tredje-partsländer under direktivet 95/46/EC av Europeiska parlamentet och kommissionen

 

 

 

Klausul 1

Definitioner

Inom klausulernas betydelser:

a) 'personlig data', 'speciella kategorier av data', 'behandling/behandling', 'kontrollant', 'behandlare', 'dataobejkt' och 'övervakande auktoritet' skall ha samma betydelse som i direktivet 95/46/EC av Europeiska parlamentet och Kommissionen från den 24:e oktober 1995 gällande sydd av individer gällande behandlingen av personlig data och den fria rörligheten av sådan data (1);

b) Dataexportören är Datakontrollanten som överför personlig data;

c) "Dataimportören" är databehandlaren som samtycker till att ta emot personuppgifter från Dataexportören avsedda att behandlas för Dataexportörens räkning efter överföringen i enlighet med dess instruktioner och enligt villkoren i dessa klausuler, som inte omfattas mekanismen i ett tredjeland och säkerställer adekvat skydd i den mening som avses i artikel 25.1 i direktiv 95/46 / EG, (d) databehandlare: databehandlaren som anlitas av dataimportören eller av någon annan databehandlare av dataimportören samtycker till att från dataimportören eller någon annan databehandlare ta emot dataimportörens personuppgifter uteslutande för bearbetningsaktiviteter till utförande för dataexportörens räkning efter överföring i enlighet med instruktionerna från ataexportören, under de villkor som anges i dessa klausuler och enligt villkoren i den skriftliga underleverantören av databehandlingsavtalet;

e) "applicerbar dataskyddslag" betyder lagstiftningen för att skydda de fundamentala rättigheterna och friheten hos individer, inklusive rätten till integritet gällande behandlingen av personlig data, och gällande kontrollanten i Medlemsstaten där Dataexportören är etablerad;

f) “tekniska och organisationsrelaterade säkerhetsåtgärder” betyder åtgärder med avsikt att skydda personlig data från olycksmässig eller brottslig destruktion eller förlorande, förändring, oaktoriserat avslöjande eller tillgång, specifikt där behandlingen medför överföring över nätverk, och mot andra brottsliga typer av behandling.

Klausul 2

Överföringsdetaljer

Överföringsdetaljerna, inkulsive, då det är lämpligt, speciella kategorier av personlig data, är specificerade i Bilaga 1, och formar en integrerad del av dessa klausuler.

Klausul 3

Tredje parts förmånsklausul.

1. Den registrerade kan gentemot Dataexportören genomdriva denna klausul. Klausul 4(b) till (i), Klausul (5a) till (e) och (g) till (j), Klausul 6(1) och (2), Klausul 7, Klausul 8(2) och klausuler 9 till 12 som tredje parts förmånstagare.

2. Den registrerade kan genomdriva denna klausul, klausul 5 (a) till (g), Klausul 6, Klausul 7, Klausul 8 (2) och Klausul 9 till 12 mot Dataimportören där Dataexportören har fysiskt försvunnit eller har upphört att existera i lag, såvida alla hans rättsliga skylldigheter har överförts via kontrakt eller genom lag, till den efterföljande enheten, till vilken exportörens rättigheter och skyldigheter återgår, och mot vilken den registrerade därför kan genomföra nämnda klausuler.

Den registrerade kan genomdriva denna klausul, Klausul 5 (a) till (e) och (g), Klausul 6, Klausul 7, Klausul 8 (2) och klausuler 9 till 12 gentemot Databehandlaren, men endast i de fall där Dataexportören och Dataimportören har fysiskt försvunnit, upphört att existera i lag eller har blivit insolventa, såvida inte alla juridiska skyldigheter för Dataexportören har överförts, genom avtal eller genom lag, till den juridiska efterträdaren till vilken Datatexportörens skyldigheter tillämpas, och mot vilken den registrerade därför kan genomdriva sådana klausuler. Ett sådant ansvar för Databehandlaren måste begränsas till dess egna behandlingsaktiviteter enligt dessa klausuler.

4. Parterna motsätter sig inte att den registrerade representeras av en förening eller annat organ om han eller hon så önskar och om nationell lagstiftning så tillåter.

Klausul 4

Dataexportörens skyldigheter

Dataexportören accepterar och garanterar följande:

a) behandlingen, inklusive den faktiska överföringen av personuppgifter, har genomförts och kommer att fortsätta i enlighet med relevanta bestämmelser i tillämplig dataskyddslagstiftning (och i förekommande fall har meddelats till de behöriga myndigheterna i medlemsstaten där Dataexportören är baserad) och inte bryter mot relevanta bestämmelser i den staten;

b) de har instruerat, och kommer under varaktigheten av tjänsten för behandling av personlig data, instruera Dataimportören att behandla de personlig data som överförs endast på Dataexportörens enda vägnar och i enlighet med tillämplig dataskyddslag och dessa klausuler;

c) Dataimportören kommer att tillhandahålla tillräckliga skyddsåtgärder beträffande de tekniska och organisatoriska säkerhetsåtgärder som anges i bilaga 2 till detta avtal;

d) Efter utvärdering av kraven i tillämplig dataskyddslag är säkerhetsåtgärderna tillräckliga för att skydda personuppgifter mot oavsiktlig eller olaglig förstörelse eller oavsiktlig förlust, ändring, obehörig utlämnande eller åtkomst, särskilt när behandlingen innebär överföring av data över ett nätverk, och mot alla andra olagliga former av bearbetning, och säkerställa en säkerhetsnivå som är lämplig för de risker som är förknippade med behandlingen och arten av de uppgifter som ska skyddas, med hänsyn till den tekniska nivån och kostnaden för implementering;

e) de kommer säkerställa efterlevnad med säkerhetsåtgärderblebbbbv;

f) om överföringen relaterad till specifika kategorier av data, har den registrerade informerats eller blir informerad innan överföringen, eller så snart som möjligt efter överföringen att hans eller hennes data kan bli överförd till ett tredje land som inte erbjuder ett advekat skyddsnivå i den mening som avses i direktiv 95/46/EC:

g) de kommer att vidarebefordra alla meddelanden som mottagits från dataimportören eller någon databehandlare enligt klausulerna 5 (b) och 8 (3) till dataskyddsmyndigheten om den beslutar att fortsätta överföra eller upphäva avstängningen;

h) om de begär det, ska de göra tillgängliga för de registrerade en kopia av dessa klausuler, med undantag för bilaga 2, och en sammanfattande beskrivning av säkerhetsåtgärderna och en kopia av ytterligare underleverantörsavtal som ingått enligt dessa klausuler om inte klausulerna avtalet innehåller kommersiell information, i vilket fall han kan återkalla sådan information;

i) vid underleverantör av databehandlingsprocessen utförs behandlingsaktiviteten i enlighet med klausul 11 av en databehandlare som ger åtminstone samma skyddsnivå för personuppgifter och den registrerades rättigheter som dataimportören enligt dessa klausuler; och

j) det kommer att säkerställa överensstämmelse med klausul 4 (a) till (i).

Klausul 5

Skyldigheter för dataimportören

Dataimportören accepterar och garanterar följande:

a) de kommer hantera personlig data endast vid förfrågan av dataexportören och enligt dataexportörens instruktioner och dessa klausuler; om de av någon anledning inte kan följas, godkänner de att informera dataexportören om dess oförmåga så snart som möjligt, i vilket fall dataexportören kan stänga av dataöverföringen och / eller avsluta avtalet;

b) de har ingen anledning att tro att den lag som är tillämplig på dem hindrar honom från att uppfylla instruktionerna från dataexportören och de skyldigheter som åligger honom enligt avtalet, och om sådan lag är vid risk för en förändring som kan ha en väsentlig negativ inverkan på garantierna och skyldigheterna enligt klausulerna, ska han utan dröjsmål meddela dataexportören om ändringen efter att ha fått kännedom om det, i vilket fall dataexportören kan stänga av dataöverföringen och / eller avsluta avtalet; (c) de har genomfört de tekniska och organisatoriska säkerhetsåtgärder som anges i tillägg 2 innan de behandlade de personuppgifter som överförts;

d) de meddelar dataexportören utan fördröjning:

i) varje bindande begäran om utlämnande av personuppgifter från en brottsbekämpande myndighet, om inget annat anges, så som straffrättsligt förbud vars syfte är att bevara sekretessen för en polisutredning;

ii) all tillfällig eller obehörig åtkomst; och

iii) alla förfrågningar direkt mottagna från de berörda personerna utan att besvara så vida han inte har fått tillstånd att göra det; administratörer 

e) de kommer snabbt och ordentligt att hantera alla förfrågningar från dataexportören om dess behandling av de personuppgifter som hanteras och kommer agera enligt tillsynsmyndighetens yttrande angående behandlingen av de uppgifter som hanterats;

f) på begäran av dataexportören kommer de att utsätta dess databehandlingsanläggningar för en granskning av de behandlingssätt som omfattas av dessa klausuler som ska utföras av dataexportören eller ett tillsynsorgan som består av oberoende medlemmar med erforderliga yrkeskvalifikationer, med förbehåll en sekretessplikt och vald av dataexportören, i förekommande fall med tillsynsmyndighetens samtycke;

g) de kommer till den reigstrerade göra tillgängligt, om han så begär, en kopia av dessa klausuler eller alla eventuella underlevernatörerav databehandlingsavtalet, såvida inte klausulern eller kontraktet innehåller komersiell information, med undantag för bilaga 2 som kommer ersättas av en sammanfattande beskrivning av säkerhetsåtgärderna, där den registrerade inte kan få en kopia från dataexportören;

h) i fall med ytterligare konfidentiell underleverantör av databehandlingen kommer han att se till att han informerar dataexportören i förväg och erhåller dataexportörens skriftliga medgivande;

i) behandlingstjänsterna som tillhandahålls av databehandlaren ska uppfylla klausul 11;

j) de kommer omgående skicka en kopia till dataexportören av alla underleverantörer av det databehandlingsavtal som ingåtts av det enligt dessa klausuler.

Clause 6

Skyldighet

1. Parterna är överens om att varje registrerad som har blivit negativt påverkad på grund av brott mot de skyldigheter som avses i klausul 3 eller klausul 11 av en part eller av en databehandlare, kan få ersättning från dataexportören för den skada som uppstått.

2.  Om den registrerade förhindras från att utföra skadeståndstalan enligt punk 1 mot Dataexportören för misslyckande från Dataimportören eller dess databehandlare att fullgöra någon av sina skyldigheter enligt klausul 3 eller klausul 11, på grund av att Dataexportören har fysiskt försvunnit, upphört att existera i lag eller blivit insolvent, samtycker Dataimportören att den registrerade kan lämna in ett klagomål mot den beträffande som om det vore Dataexportören såvida inte alla exportörens juridiska skyldigheter har överförts, enligt avtal eller genom lag till dess efterträdande enhet, mot vilken den registrerade sedan kan genomdriva sina rättigheter. dataimportören får inte förlita sig på att en databehandlare bryter mot isna skyldigheter för att undvika eget ansvar.

3. Om den registrerade förhindras från att utföra skadeståndstalan enligt paragraf 1 eller 2 mot dataexportören eller dataimportören för brott av databehandlarens skyldigheter under klausul 3 eller klausul 11 i det fall dataexportören eller dataimportören har fysiskt försvunnit, upphört att existera i lag eller har blivit insolvent, samtycker databehandlaren att den registrerade kan lämna in ett klagomål mot den beträffande sin egen behandlingsaktivitet i enlighet med dessa klausuler som om det vore dataexportören eller dataimportören, om inte alla dataexportören eller dataimportörens rättsliga skylldigheter har överförts, genom avtal eller genom lagstiftning, till den juridiska efterträdaren, mot vilken den registrerade sen kan hävda sina rättigheter. Databehandlarens ansvar måste begränsas till dess egna behandlingsaktiviteter i enligt med dessa klausuler.
 

Klausul 7

Medling och jurisdiktion

1. Dataimportören samtycker till att om den registrerade enligt klausulerna åberopar rätten för den tredje partens stödmottagare och / eller anspråk på ersättning för den fördom som han lidit, kommer han att acceptera den registrerades beslut:

a) bestrida medling av en oberoende person eller, i tillämpliga fall, tillsynsmyndigheten,

b) att föra bestridan inför domstolarna i den medlemsstat där dataexportören är baserad.

2. Parterna är överens om att den registrerades val inte ska påverka den registrerades processuella eller materiella rätt att gottgöras i enlighet med andra bestämmelser i nationell eller internationell rätt.

Klausul 8

Samarbete med tillsynsmyndigheter

1. Dataexportören godkänner att avsätta en kopia av detta avtal hos tillsynsmyndigheten om den senare kräver det eller om sådan deposition föreskrivs i tillämplig dataskyddslag.

2. Parterna är överens om att tillsynsmyndigheten får utföra kontroller hos dataimportören och vilken databehandlare som helst i samma utsträckning och på samma villkor som med kontroller som utförs hos dataexportören i enlighet med tillämplig dataskyddslag.

3. Dataimportören ska så snart som möjligt informera dataexportören om att det finns lagstiftning om dataimportören eller någon databehandlare som förhindrar verifiering hos dataimportören eller någon databehandlare i enlighet med punkt 2. I ett sådant fall kan dataexportören vidta de åtgärder som föreskrivs i klausul 5 (b).

Klausul 9

Tillämplig ag

Klausulerna gäller och regleras av lagen i den medlemsstat där dataexportören är baserad.

Klausul 10

Ändring av kontraktet

Parterna förbinder sig att inte ändra de nuvarande klausulerna. Parterna är tillåtna att inkludera andra kommersiella klausuler som de anser nödvändiga, förutsatt att de inte strider mot de nuvarande klausulerna.

Klausul 11

Påföljande underleverantörer

1. Dataimportören får inte lägga ut någon av dess bearbetningsaktiviteter som utförs för dataexportörens räkning under dessa klausuler utan att innan fått skriftligt medgivande från dataexportören. Dataimportören ska endast lägga ut sina förpliktelser enligt dessa klausuler, med dataexportörens samtycke, genom ett skriftligt avtal med databehandlaren som ålägger databehandlaren samma skyldigheter som de som ålagts dataimportören enligt dessa klausuler.) Om databehandlaren kan inte uppfylla sina dataskyddsförpliktelser enligt det skriftliga avtalet blir dataimportören fullt ansvarig gentemot dataexportören för att uppfylla dessa skyldigheter.

2. Det tidigare skriftliga avtalet mellan dataimportören och databehandlaren ska också innehålla en tredje parts mottagarklausul som anges i klausul 3 för fall där den registrerade förhindras från att väcka skadeståndsanspråket enligt punkt 6 (1) mot dataexportören eller dataimportören eftersom dataexportören eller dataimportören fysiskt har försvunnit, upphört att existera i lag eller har blivit insolvent och alla juridiska skyldigheter för dataexportören eller dataimportören inte har överförts, genom avtal eller genom operation till en annan efterträdare. Databehandlarens ansvar måste begränsas till dess egna behandlingsaktiviteter i enlighet med dessa klausuler.

3. Bestämmelser relaterade till dataskyddsaspekter av underleverantörer för datahantering av det kontrakt som avses i punkt 1 ska regleras av lagen i den medlemskap där dataexportören är etablerad. 

4. Dataexportören ska hålla en lista över underleverantörerna för de databehandlingsavtal som ingåtts enligt dessa klausuler och som meddelats av dataimportören i enlighet med klausul 5 (j) som ska uppdateras minst en gång per år. Denna lista ska göras tillgänglig för dataexportörens dataskyddsmyndighet.

Klausul 12

Skyldighet efter avslutad behandling av personuppgifter

1. Parterna samtycker att vid avslut av databehandlingen kommer dataimportören och databehandlaren vid dataexportörens efterfrågan, lämna tillbaka all personlig data som hanterats och kopior därav till dataexportören, eller borttag av data av sådan typ och tillhandahålla bevis av borttaget till dataexportören, såvida inte lagstiftning som införts på dataimportören hindrar den från att lämna tillbaka eller förstöra hela eller delar av dem hanterade personuppgifterna. I detta fall garanterar dataimportören att den säkerställer konfidentialiteten för de personuppgifter som överförts och att den inte längre kommer att behandla uppgifterna aktivt.

2. Dataimportören och databehandlaren ska se till att de, om dataexportören och / eller tillsynsmyndigheten begär det, kommer att underkasta sina metoder för databehandling för att verifiera de åtgärder som avses i punkt 1.

 

 

 

 

Bilaga 1.1 till del 2

Detaljer om överföringen

 

 

Dataexportören

Dataexportören är den kund som definieras i avatalet.

 

Dataimportören

Dataimportören är IQuALIF och har tilldelats att behandla datat och tillhandahålla tjänster till dataexportören.

 

Subjekt för data

Den personliga datan som behandlas gäller följande katagorier av registrerade

☒ telefonabonnenter som anges i den universella katalogen

☐ Andra, inklusive:

 

Datakateogrier

De personuppgifter som överförs gäller följande kategorier av uppgifter:

 

Categories of personal data of the Data Exporter's data subjects in particular,

☒ Namn

☒ Postadress

☒ Kontaktuppgifter (e-post, telefon, IP-adress etc.)

☒ Detaljer om marknadsföringsaktiviteter rörande telefonabonnenten

☒ Andra, inklusive den typ av bostäder, inkomster och medelåldrar som staden har gjort anonymt

 

Speciella datakategorier (om tillämpligt)

De personuppgifter som överförs gäller följande speciella datakategorier:

Transfer Överföringen av särskilda kategorier av data förutses inte

☐ Ras eller etniskt ursprung

☐ Religiösa eller filosofiska övertygelser

☐ Fackligt medlemskap

☐ Politiska åsikter

☐ Genetisk information

☐ Biometrisk information

☐ Information om sexuell läggning eller sexliv

☐ Hälsodata

 

Bearbetningsaktiviteter

De överförda personuppgifterna kommer att omfattas av följande grundläggande behandlingsaktiviteter:

 

  •  
    • Syftet med behandlingen

Behandlingen som utförs på dataexportörens räkning baseras på följande ämnen:

☒ Ta ansvar för de produkter eller tjänster som erbjuds av dataexportören

☒ Erbjudandet om en produkt eller tjänst som den uppringda personen kan begära

☒ Beställningar från de personer som anropas och vidare behandling av dessa beställningar

Studera frågeformulär och analyser

☒ Telemarketing

☐ Andra, inklusive:

 

  •  
    • Bearbetningens mål och syfte

Dataimportören behandlar personuppgifterna för de registrerade på uppdrag av dataexportören för att tillhandahålla följande tjänster, och framför allt:

☒ Försäljning och marknadsföring

☒ Andra, inklusive uppdatering av databaser för stadshus och politiska partier

 

  •  
    • Tillhandahållande av tjänster och anställning av tjänsteleverantörer

 

IQUALIF kombinerar, centraliserar och tillhandahåller huvudsakligen tjänster till dataexportören. Tjänsterna som tillhandahålls av den namngivna tjänsteleverantören kan vara strukturerade (bland annat vid behov) kring följande tillhörande tjänster: (i) tillhandahållande av applikationer, verktyg, system och IT-infrastruktur i förhållande till de databehandlingscentraler som används för att tillhandahålla och stödja tjänsterna, inklusive behandling av de registrerades personuppgifter som beskrivs ovan, via sådana applikationer, verktyg och system, (ii) tillhandahållande av IT-support, underhåll och andra tjänster relaterade till sådana applikationer, verktyg, system och IT-infrastruktur, inklusive potentiell åtkomst till personuppgifter som lagras i sådana applikationer, verktyg och system, och (iii) tillhandahållande av dataskyddstjänster, skyddskontroll och incidenter, inklusive potentiell tillgång till personuppgifter när sådana skyddstjänster tillhandahålls . IQUALIF kan engagera databehandlare enligt nedan för att tillhandahålla tjänsterna, inklusive tillhörande tjänster.

 

  •  
    • • Externa tredjepartsleverantörer som underenheter som tilldelats databehandling

 

IQUALIF anlitar externa och tredje parts tjänsteleverantörer, som inte är dotterbolag till IQUALIF, för att stödja tillhandahållandet av tjänster till dataexportören. Dataexportören godkänner sådana externa tredjepartsleverantörer som underenheter som tilldelats databehandlingen.

 

Om en underenhet som är involverad i databehandling är belägen utanför EU / EES, i ett land som inte anses ha en adekvat nivå av dataskydd enligt ett beslut av Europeiska kommissionen, kommer dataimportören att vidta åtgärder för att uppnå en adekvat nivå av dataskydd i enlighet med GDPR och avsnitt 3.4 (iv) i del 1.

 

 

Bilaga 2, del 2

Tekniska och organisatoriska skyddsåtgärder

 

Dataimportören ska vidta följande tekniska och organisatoriska skyddsåtgärder som bekräftats av dataexportören för att garantera en lämplig säkerhetsnivå för individers rättigheter och friheter, beroende på riskerna. Vid bedömningen av skyddsnivån i fråga har dataexportören särskilt beaktat de risker som är förknippade med behandlingen, inklusive oavsiktlig eller olaglig förstörelse, ändring, obehörigt avslöjande eller tillgång till personuppgifter som överförs, lagras eller på annat sätt behandlas. Genom förtydligande: Dessa tekniska och organisatoriska skyddsåtgärder gäller inte applikationer, verktyg, system och / eller IT-infrastruktur som tillhandahålls av dataexportören.

1 Allmänna tekniska och organisatoriska skyddsåtgärder
1.1 Allmänna strategier för information och dataskydd
Följande steg bör vidtas för att följa allmänna strategier för data- och informationsskydd:
  • a) vidta åtgärder för att utvärdera de åtgärder som vidtagits beträffande tekniskt och organisatoriskt skydd,
  • b) tillhandahålla utbildning för att öka medarbetarnas förståelse;
  • c) dokumentation över påverkade system och ge tillgång till detta åt medarbetare;
  • d) upprätta en formell dokumentationsprocess när system implementeras eller modifieras;
  • e) dokumentera organisationsstruktur, processer, ansvar och respektive utvärderingar;
 
1.2 Organisation av informationsskydd
Följande åtgärder bör vidtas för att samordna uppgifter och informationsskydd:
  • a) definierade ansvarsområden för skydd av information och data (t.ex. genom dataskyddspolicyn);
  • b) nödvändig expertis för att skydda information och data som finns kvar;     
  • c) alla anställda är engagerade i att säkerställa att personuppgifter hålls konfidentiella och har informerats om de potentiella konsekvenserna av att bryta mot detta åtagande.
 
1.3 Kontroll av åtkomst till behandlingsområden
Följande åtgärder måste vidtas för att förhindra att obehöriga får tillgång till databehandlingssystem (särskilt mjukvara och hårdvara) när personuppgifter behandlas, lagras eller överförs::
  • a) etablera säkra områden
  • b) skydda och begränsa åtkomst till databehandlingssystemen;
  • c) fastställa åtkomstbehörigheter för anställda och tredje parter, inklusive respektive dokument;
  • d) all åtkomst till databehandlingscenter där personuppgifter lagras ska loggas.
 
1.4 Åtkomstkontroll till databehandlingssystem
Följande åtgärder måste vidtas för att förhindra obehörig åtkomst till databehandlingssystem:
  • a) policyer och procedurer för användarautentisering;
  • b) användning av lösenord i alla datorsystem;
  • c) fjärråtkomst till nätverket kräver multifaktorautentisering och beviljas den berörda personen i enlighet med deras ansvar och efter auktorisation.
  • d) tillgång till specifika funktioner baseras på jobbfunktioner och / eller attribut som tilldelats en användares konto individuellt;
  • e) åtkomsträttigheter relaterade till personuppgifter granskas regelbundet;
  • f) register över ändringar av åtkomsträttigheter hålls uppdaterade.
 
1.5 Kontrollera åtkomst till vissa användningsområden för databehandlingssystem
Följande åtgärder måste vidtas för att säkerställa att auktoriserade personer med rätten att använda databehandlingssystemet endast kan få åtkomst till data inom deras respektive ansvarsområden och åtkomstbehörigheter och att personuppgifter inte kan läsas, kopieras, ändras eller raderas utan tillstånd:
  1.  
    1. a) policyer, instruktioner och utbildning av anställda om var och en av deras skyldigheter beträffande sekretess, rätt till åtkomst till personuppgifter och omfattningen av behandlingen av personuppgifter;
  • b) disciplinära åtgärder mot personer som får tillgång till personuppgifter utan tillstånd;
  • c) tillgång till personuppgifter ska endast beviljas auktoriserade personer på grundval av behov.
  • d)  föra en lista över systemadministratörer och vidta lämpliga åtgärder för att övervaka systemadministratörer,
  • e) att inte kopiera eller reproducera personuppgifter på något lagringssystem för att göra det möjligt för obehöriga att ta bort informationen från upphovsmannen;
  • f) kontrollerad och dokumenterad radering eller förstörelse av data;
  • g) att lagra alla personuppgifter som måste lagras av juridiska eller regleringsskäl (t.ex. skyldigheter att lagra uppgifter) och endast så länge som krävs enligt lag.
 
1.6 Kontroll av överföringar
Följande åtgärder måste vidtas för att förhindra att personuppgifter läses, kopieras, ändras eller raderas av obehöriga tredje parter under överföring eller transport av datalagringsenheter (beroende på behandlingen av personuppgifter som utförts):
  1.  
    1. a) användning av brandväggar;
  • b) undvika lagring av personuppgifter på mobila lagringsenheter för transportändamål eller kryptering av enheterna;
  • c) anvädning på bärbara datorer och andra mobila enheter först efter att krypteringsskyddet har aktiverats.;
  • d) loggning av överföringar av personuppgifter.
 
1.7 Kontroll av datainmatning
Följande åtgärder måste vidtas för att säkerställa att det är möjligt att verifiera och avgöra om personuppgifter har införts eller raderats från databehandlingssystem och av vem:
  1.  
    1. a) en policy för godkännande av läsning, ändring och radering av lagrade data;
  • b) skyddsåtgärder rörande läsning, ändring och radering av lagrade data.
 
1.8 Arbetskontroll
Vid delegerad behandling av personuppgifter måste följande åtgärder vidtas för att säkerställa att sådana uppgifter behandlas i enlighet med instruktionerna från handledaren:
  1.  
    1. a) enheter eller underenheter som tilldelats databehandling, valda med omsorg (tjänsteleverantörer som behandlar personuppgifter för den registeransvarige);
  • b) enheter eller underenheter som tilldelats databehandling, valda med omsorg (tjänsteleverantörer som behandlar personuppgifter för den registeransvarige);
  • c) rättigheter för granskning som överenskommits med de enheter eller underenheter som tilldelats databehandlingen;
  • d) avtal med de enheter eller underenheter som har tilldelats att behandla uppgifterna.
 
1.9 Separation från bearbetning för andra ändamål
Följande åtgärder måste vidtas för att säkerställa att uppgifter som samlas in för andra ändamål kan behandlas separat:
  1.  
    1. a) separat åtkomst till personuppgifter i enlighet med användarnas befintliga rättigheter;
  • b) gränssnitt, batchbehandling och rapportering är för andra ändamål och funktioner, så att data som samlas in för andra ändamål kan behandlas separat.
 
1.10 Pseudonymisering
Följande åtgärder måste vidtas beträffande pseudonymisering av personuppgifter:
  1.  
    1. a) Om dataexportören beställer en specifik bearbetning eller om detta anses lämpligt av dataimportören i enlighet med gällande dataskyddslagar som gäller vissa behandlingsaktiviteter kommer behandlingen av personuppgifter att ske på ett sådant sätt att uppgifter inte längre tillskrivas en specifik person utan användning av ytterligare information. Denna ytterligare information sparas separat;
  • b) användning av pseudonymiseringstekniker, inklusive randomisering av allokeringslistor; skapande av värden i form av skarpa.
 
1.11 Kryptering

Följande steg bör vidtas för att kryptera personuppgifter i applikationer och överföringar som stöder kryptering:

  1.  
    1. a) användning av krypteringstekniker;
  • b) upprättande av krypteringshantering för att stödja de krypteringstekniker som är auktoriserade att användas;
  • c) stödja användningen av kryptografi genom procedurer och protokoll för att generera, modifiera, återkalla, förstöra, distribuera, certifiera, lagra, fånga, använda och arkivera kryptografiska nycklar för att skydda mot obehörig modifiering och avslöjande.
 
1.12 Fullständighet av databehandlingssystem och tjänster
Följande åtgärder måste vidtas för att säkerställa att databehandlingssystem och tjänster är fullständiga:
  1. a) skydd av databehandlingssystem mot manipulation eller förstörelse på lämpligt sätt (t.ex. antivirusprogramvara, programvara för förebyggande av dataförlust och programvara mot skadlig kod, programvarupatcher, brandväggar och hanterat skrivbordsskydd);
  • b) förbud mot installation av någon tjänst eller programvara som är skadlig för databehandlingssystem, tjänster eller manipulation av personuppgifter;
  • c) användning av ett system för detektering och förebyggande av nätverksintrång i själva nätverkets struktur.
 
1.13 Tillgänglighet för databehandlingssystem och tjänster och möjligheten att återställa åtkomst till och användning av personuppgifter i händelse av en väsentlig eller teknisk incident
Följande åtgärder måste vidtas för att säkerställa tillgängligheten av databehandlingssystem samt för att snabbt kunna återställa tillgången och åtkomsten till personuppgifter i händelse av en oförutsedd eller teknisk händelse (särskilt genom att säkerställa att personuppgifter skyddas mot oavsiktlig förstörelse eller förlust):
  • a) ha kontrollmedel för att hålla säkerhetskopior och återställa förlorade eller raderade data;
  • b) infrastrukturredundans och prestandatestning;
  • c) fysiskt skydd av datorresurser;
  • d) användning av verktyg för att övervaka status och tillgänglighet för det interna nätverket;
  • e) incidentrapportering och svarspolicy som reglerar proceduren för incidenthantering och upprepning av att dessa policyer följs som en del av regelbunden utbildning;
  • f)säkerhetskopior (ibland externt) för att återställa systemet så att det kan utföra sina funktioner igen;
  • g) planer för företagskontinuitet / katastrofåterställning
 
1.14 Resiliens hos databehandlingssystem och tjänster
Följande åtgärder måste vidtas för att säkerställa motståndskraften i databehandlingssystem och tjänster:
  • a) system och konfigureras harmoniskt med hjälp av godkända säkerhetsparametrar.
  • b) nätverksredundans;
  • c) skydd för kritiska system.
 
1.15 Procedure for regularly testing, evaluating, and assessing the effectiveness of technical and organizational measures to ensure the security of data processing
Procedur för regelbunden testning, utvärdering och bedömning av effektiviteten av tekniska och organisatoriska åtgärder för att skydda databehandling.
  • a) vidta nödvändiga steg för att bedöma risker och begränsningsstrategier,
  • b) service analysmöten för IT-avdelningen för att hantera aktuella frågor;
  • c) business continuity/disaster recovery plans are regularly updated.

 

Part 3

Partiernas underskrifter och lista över dataimportörer

 

När du fyller i onlinebeställningsformuläret och validerar det genom att kryssa i rutan som accepterar de allmänna användarvillkoren, upprättas avtalet som reglerar förhållandet mellan kunden och IQUALIF.

Att skicka betalningen till IQUALIF upprättar avtalet och konstaterar det godkänt.


Notera: Denna text har översatts från franska. Den franska originalversionen, som är giltig och juridiskt begränsande, hittas här