Denna bilaga utgör en integrerad del av kontraktet och ingås av:
Var och en är en "Part" och båda är "Parter".
Inledning
VAR Dataimportören erbjuder professionella mjukavarutjänster, dator-, och relaterade tjänster (såsom webbläsare med avancerade sökfunktioner);
VAR enligt kontraktet, Dataimportören har samtyckt till att erbjuda dataexportören tjänsterna specificerade i the kontraktet ("Tjänsterna");
VAR, genom att erbjuda Tjänsterna, Dataimportören mottager eller tjänar på tillgång till dataexportörens information eller information tillhörande andra personer med en (potentiell) relation till dataexportören, sådan information kan kvalificeras som personlig data enligt regulationen (EU) 2016/679 från europeiska parlamentet och från rådet den 27:e april 2016 om individer gällande behandlingen av personlig data och gällande fri förflyttning av sådan data ("GDPR") och andra relevanta dataskyddslagar.
VAR denna bilaga innehåller villkoren tillämpliga på kollektionen, behandlingen, och användningen av sådan personlig data av Dataimportören i dess kapacitet som den auktoriserade databehandlingsagenten åt dataexportören, för att försäkra att Parterna följer applicerbar dataskyddslag.
DÄRFÖR, för att möjliggöra att Parterna fortsätter sin relation lagligt, har Parterna sammanfattat denna bilaga som följer:
Del 1
1. Dokumenters struktur och definitioner
1.1 Strukturen
Denna bilaga sammanfogar olika delar som följer:
Del 1: | innehåller generella bestämmelser, t.ex. gällande definitioner använda i denna bilaga, efterföljande av lokala lagar, timing, and uppsägning
|
Del 2: | innehåller kontentan av det oförändrade standardsavtalsklausulsdokumentet
|
Bilaga 1.1 av Del 2: | innehåller detaljerna angående behandlingsoperationerna erbjudna av Dataimportören åt dataexportören som den auktoriserade databehandlingsagenten (inklusive behandlingen, naturen, och syftet med behandlingen, typen av personlig data, och kategorier av dataobjekt) under denna bilaga
|
Bilaga 2 av Del 2: | innehåller en beskrivning av Dataimportörens tekniska och organisationsbaserade säkerhetsåtgärder, vilka används i anslutning till alla behandlingsaktiviteter beskrivna i Bilaga 1.1 av Del 2
|
Del 3: | innehåller signaturer från Parterna som finnes i denna bilaga och identifierar varje dataimportör
|
1.2 Terminologi och definitioner
För denna bilaga är terminologi och definitioner använda av GDPR applicerbara (i kontentan av standardsavtalsklausulsdokumentet i Del 2, där villkor inte är aktiverade).
"Medlemsstat" | ett land som tillhör europeiska unionen eller europeiska ekonomiska samarbetsområdet |
"Speciella kategorier av (personlig) data" | syftar på personlig data som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk tro, eller medlemskap i fackförbund, och genetisk data, om denna behandlas i syfte att identifiera en unik person, data gällande hälsa, data gällande en persons sexuella liv eller sexuella läggning
|
"Standardsavtalsklausul" | betyder de standardsavtalsklausuler som används för överförande av personlig data av behandlingsagenter etablerade i tredje länder, under kommissionsbeslutet 2010/87/EU den 5:e februari 2010, som förändrades av kommisionsimplementerande beslutet (EU) 2016/2297 den 16:e december 2016
|
“Databehandlare” | betyder någon behandlingsagent, lokaliserad inuti eller utanför EU/EES, som accepterar att mottaga personlig data för det enda syftet att behandla aktiviteter som ska genomföras av dataexportören efter transaktionen enligt dataexportörens instruktioner, villkoren i denna bilaga och kontraktet med dataimportören, från dataimportören eller någon annan behandlare av dataimportören
|
2. Dataexportörens obligationer
2.1 Dataexportören har en obligation att försäkra följande av alla obligationer under GDPR och alla andra applicerbara dataskyddslagar som gäller dataexportören och att visa sådant följande som krävs av Artikel 5 (2) i GDPR. Dataexportören garanterar att dataimportören har fått tidigare samtycke från dataobjekten enligt Artikel 6 (a) i GDPR och har följt dess obligation att informera dataobjekten enligt Artikle 13 och 14 i GDPR.
2.2 Dataexportören måste erbjuda dataimportören de respektive filer och behandlingsaktiviteter som enligt Artikel 30 (1) i GDPR relaterar till Tjänsterna i denna bilaga, till den grad som är nödvändig för att dataimportören ska kunna följa obligationer under Artikel 30 (2) i GDPR.
2.3 Dataexportören måste utse en dataskyddsansvarig eller representant till den grad som krävs av applicerbar dataskyddslag. Dataexportören är tvungen att erbjuda kontaktdetaljer till dataskyddsagenten eller representanten, ifall sådan finns, till dataimportören.
2.4 Dataexportören verifierar innan slutförandet av behandlingen, genom att acceptera denna bilaga, att dataimportörens tekniska och organisationsrelaterade säkerhetsåtgärder, som beskrivits i bilaga 2 i Del 2, är lämpliga och tillräckliga för att skydda dataobjektens rättigheter och verifierar att dataimportören erbjuder tillräckliga skyddsåtgärder för detta.
3. Efterföljande av lokala lagar
För att möta kraven på implementering av beandlingsagenter enligt Artikel 28 i GDPR är följande ändringar applicerbara:
3.1 Instruktioner
3.2 Dataimportörens obligationer
3.3 Rättigheter för gällande personer
3.4 Del-behandling
3.5 Utgångsdatum
Utgångsdatumet för denna Bilaga är identisk med utgångsdatumet för det korresponderande Kontraktet. Förutom då det på annat sätt finns i denna Bilaga, skall rättigheterna och skyldigheterna relaterade till uppsägning vara samma som finns i Kontraktet.
4. Gränser för ansvar
4.1 Varje parti hanterar sina obligationer under denna Bilaga och den applicerbara dataskyddslagstiftningen.
4.2 Ansvar relaterat till inskränkning av obligationer under denna Bilaga eller applicerbar datakyddslagstiftning skall vara föremål för och styras av ansvarsbestämmelser beskrivna i, eller applicerbara på, Kontraktet, förutom om det annars finns i denna Bilaga. Om ansvaret styrs av ansvarsbestämmelser beskrivna i eller applicerbara på Kontraktet, för att beräkna ansvarsgränserna eller för att bestämma applikationen av andra ansvarsbegränsningar, skall något ansvar under denna Bilaga dömas uppstå under Kontraktet.
5. Generella bestämmelser
5.1 Ifall det finns några motsägelser eller avvikelser mellan Del 1 och Del 2 i denna Bilaga, skall Del 2 råda. Specifikt, även i ett sådant fall, skall Del 1 som helt enkelt går bortom Del 2 (villkoren för Standardklausulerna) förbli giltig om denna inte motsäger Del 2.
5.2 Om någon avvikelse uppstår mellan bestämmelserna i denna Bilaga och de i andra kontrakt som förbinder parterna, skall denna Bilaga råda gällande parternas dataskyddsobligationer. Vid tvekan om huruvida klausulerna i andra kontrakt gäller perternas dataskyddsobligationer, skall denna Bilaga råda.
5.3 Om någon bestämmelse i denna Bilaga är ogiltig eller icke-genomförbar, skall resten av denna Bilaga råda med kull kraft och effekt. Den ogiltiga eller icke-genomförbara bestämmelsen skall antingen (i) ändras för att försäkra dess validitet och genomförbarhet, och bevara parternas intentioner så långt som möjligt, eller - ifall detta inte är möjligt - (ii) tolkad som att den ogiltiga delen aldrig hade varit del av kontraktet. Den tidigare skall också råda ifall det finns ett borttagande ur denna Bilaga.
5.5 Till den grad som är nödvändig, kan Parterna förfråga ändringar i Del 1, Klausul 3 (efterföljande av lokal lag) eller andra delar av Bilagan för att efterfölja tolkningar, direktiv, eller andra order av kompetenta auktoriteter från EU eller Medlemsstaterna, nationella lagliga bestämmelser, eller andra lagliga utvecklingar gällande GDPR eller andra delegationsvillkor till något involverat i databehandling och specifikt gällande användningen av Standardklausulkontrakt i GDPR. Villkoren i Standardklusulkontrakten kan inte ändras eller ersättas så länge inte europeiska kommissionen godkänner det (genom nya adekvata klausuler och dataskyddsstandarder).
5.6 En referens i denna Bilaga till "Klausulerna" skall tolkas som att referera till alla bestämmelser i denna Bilaga om det inte annars beskrivs.
5.7 Valet av lag i Del 2, Klausul 9 gäller hela Kontraktet.
6. Personlig data överförd och behandlad av parterna i personliga syften (överföring från datakontrollanten till datakontrollanten)
6.1 Parterna är fullt medvetna om att personlig data kommer att överförs från Dataexportören till Dataimportären och vice versa, och att sådan databehandlas av var Part i dess egna syften. Gällande sådan personlig data, påverkar det inte andra bestämmelser i denna Bilaga (förutom dem i Klausul 6).
6.2 Dataexportören kan överföra personlig data gällande de anställda hos Dataimportören till Dataimportören, inklusive Dataexportöreninformation om säkerhetsincidenter, eller andra dokument eller filer skapade eller atablerade av Dataexportören i anslutning till Tjänsterna erbjudna av de anställda hos Dataimportören. Dataimportören kan behandla sådan personlig data för dess egna syften, specifikt i dess professionella relationer med Dataimportörens persnoal, för kvalitetskontroll och utbildning, eller av affärssyften.
6.3. Dataimportören kan överföra personlig data till Dataexportören, inklusive namn och kontaktdetaljer till Dataimportörens personal. Dataexportören kan behandlda sådan personlig data i dess egna syften.
6.4 Båda parterna skall lyda under applicerbara dataskyddslagar, inklusive GDPR, i insamlandet, behandlingen, och användningen av sådan personlig data från den andra parten under Klausul 1 av Del 1. Specifikt skall båda Parterna vidta säkerhetsåtgärder för att uppnå en liknande nivå av säkerhet som säkerhetsåtgärderna beskrivna i Bilaga 2 av Del 2. Tillgång till sådan personlig data skall begränsas till då det finns behov av det.
6.5 Båda Parterna måste radera sådan personlig data så fort som möjligt efter att objektiven har uppnåtts.
Del 2
KOMMISSIONENS BESLUT
5:e februari 2010
gällande standardkontraktsklausuler för överföringen av personlig data till databehandlare etablerade i tredje-partsländer under direktivet 95/46/EC av Europeiska parlamentet och kommissionen
Klausul 1
Definitioner
Inom klausulernas betydelser:
a) 'personlig data', 'speciella kategorier av data', 'behandling/behandling', 'kontrollant', 'behandlare', 'dataobejkt' och 'övervakande auktoritet' skall ha samma betydelse som i direktivet 95/46/EC av Europeiska parlamentet och Kommissionen från den 24:e oktober 1995 gällande sydd av individer gällande behandlingen av personlig data och den fria rörligheten av sådan data (1);
b) Dataexportören är Datakontrollanten som överför personlig data;
c) "Dataimportören" är databehandlaren som samtycker till att ta emot personuppgifter från Dataexportören avsedda att behandlas för Dataexportörens räkning efter överföringen i enlighet med dess instruktioner och enligt villkoren i dessa klausuler, som inte omfattas mekanismen i ett tredjeland och säkerställer adekvat skydd i den mening som avses i artikel 25.1 i direktiv 95/46 / EG, (d) databehandlare: databehandlaren som anlitas av dataimportören eller av någon annan databehandlare av dataimportören samtycker till att från dataimportören eller någon annan databehandlare ta emot dataimportörens personuppgifter uteslutande för bearbetningsaktiviteter till utförande för dataexportörens räkning efter överföring i enlighet med instruktionerna från ataexportören, under de villkor som anges i dessa klausuler och enligt villkoren i den skriftliga underleverantören av databehandlingsavtalet;
e) "applicerbar dataskyddslag" betyder lagstiftningen för att skydda de fundamentala rättigheterna och friheten hos individer, inklusive rätten till integritet gällande behandlingen av personlig data, och gällande kontrollanten i Medlemsstaten där Dataexportören är etablerad;
f) “tekniska och organisationsrelaterade säkerhetsåtgärder” betyder åtgärder med avsikt att skydda personlig data från olycksmässig eller brottslig destruktion eller förlorande, förändring, oaktoriserat avslöjande eller tillgång, specifikt där behandlingen medför överföring över nätverk, och mot andra brottsliga typer av behandling.
Klausul 2
Överföringsdetaljer
Överföringsdetaljerna, inkulsive, då det är lämpligt, speciella kategorier av personlig data, är specificerade i Bilaga 1, och formar en integrerad del av dessa klausuler.
Klausul 3
Tredje parts förmånsklausul.
1. Den registrerade kan gentemot Dataexportören genomdriva denna klausul. Klausul 4(b) till (i), Klausul (5a) till (e) och (g) till (j), Klausul 6(1) och (2), Klausul 7, Klausul 8(2) och klausuler 9 till 12 som tredje parts förmånstagare.
2. Den registrerade kan genomdriva denna klausul, klausul 5 (a) till (g), Klausul 6, Klausul 7, Klausul 8 (2) och Klausul 9 till 12 mot Dataimportören där Dataexportören har fysiskt försvunnit eller har upphört att existera i lag, såvida alla hans rättsliga skylldigheter har överförts via kontrakt eller genom lag, till den efterföljande enheten, till vilken exportörens rättigheter och skyldigheter återgår, och mot vilken den registrerade därför kan genomföra nämnda klausuler.
Den registrerade kan genomdriva denna klausul, Klausul 5 (a) till (e) och (g), Klausul 6, Klausul 7, Klausul 8 (2) och klausuler 9 till 12 gentemot Databehandlaren, men endast i de fall där Dataexportören och Dataimportören har fysiskt försvunnit, upphört att existera i lag eller har blivit insolventa, såvida inte alla juridiska skyldigheter för Dataexportören har överförts, genom avtal eller genom lag, till den juridiska efterträdaren till vilken Datatexportörens skyldigheter tillämpas, och mot vilken den registrerade därför kan genomdriva sådana klausuler. Ett sådant ansvar för Databehandlaren måste begränsas till dess egna behandlingsaktiviteter enligt dessa klausuler.
4. Parterna motsätter sig inte att den registrerade representeras av en förening eller annat organ om han eller hon så önskar och om nationell lagstiftning så tillåter.
Klausul 4
Dataexportörens skyldigheter
Dataexportören accepterar och garanterar följande:
a) behandlingen, inklusive den faktiska överföringen av personuppgifter, har genomförts och kommer att fortsätta i enlighet med relevanta bestämmelser i tillämplig dataskyddslagstiftning (och i förekommande fall har meddelats till de behöriga myndigheterna i medlemsstaten där Dataexportören är baserad) och inte bryter mot relevanta bestämmelser i den staten;
b) de har instruerat, och kommer under varaktigheten av tjänsten för behandling av personlig data, instruera Dataimportören att behandla de personlig data som överförs endast på Dataexportörens enda vägnar och i enlighet med tillämplig dataskyddslag och dessa klausuler;
c) Dataimportören kommer att tillhandahålla tillräckliga skyddsåtgärder beträffande de tekniska och organisatoriska säkerhetsåtgärder som anges i bilaga 2 till detta avtal;
d) Efter utvärdering av kraven i tillämplig dataskyddslag är säkerhetsåtgärderna tillräckliga för att skydda personuppgifter mot oavsiktlig eller olaglig förstörelse eller oavsiktlig förlust, ändring, obehörig utlämnande eller åtkomst, särskilt när behandlingen innebär överföring av data över ett nätverk, och mot alla andra olagliga former av bearbetning, och säkerställa en säkerhetsnivå som är lämplig för de risker som är förknippade med behandlingen och arten av de uppgifter som ska skyddas, med hänsyn till den tekniska nivån och kostnaden för implementering;
e) de kommer säkerställa efterlevnad med säkerhetsåtgärderblebbbbv;
f) om överföringen relaterad till specifika kategorier av data, har den registrerade informerats eller blir informerad innan överföringen, eller så snart som möjligt efter överföringen att hans eller hennes data kan bli överförd till ett tredje land som inte erbjuder ett advekat skyddsnivå i den mening som avses i direktiv 95/46/EC:
g) de kommer att vidarebefordra alla meddelanden som mottagits från dataimportören eller någon databehandlare enligt klausulerna 5 (b) och 8 (3) till dataskyddsmyndigheten om den beslutar att fortsätta överföra eller upphäva avstängningen;
h) om de begär det, ska de göra tillgängliga för de registrerade en kopia av dessa klausuler, med undantag för bilaga 2, och en sammanfattande beskrivning av säkerhetsåtgärderna och en kopia av ytterligare underleverantörsavtal som ingått enligt dessa klausuler om inte klausulerna avtalet innehåller kommersiell information, i vilket fall han kan återkalla sådan information;
i) vid underleverantör av databehandlingsprocessen utförs behandlingsaktiviteten i enlighet med klausul 11 av en databehandlare som ger åtminstone samma skyddsnivå för personuppgifter och den registrerades rättigheter som dataimportören enligt dessa klausuler; och
j) det kommer att säkerställa överensstämmelse med klausul 4 (a) till (i).
Klausul 5
Skyldigheter för dataimportören
Dataimportören accepterar och garanterar följande:
a) de kommer hantera personlig data endast vid förfrågan av dataexportören och enligt dataexportörens instruktioner och dessa klausuler; om de av någon anledning inte kan följas, godkänner de att informera dataexportören om dess oförmåga så snart som möjligt, i vilket fall dataexportören kan stänga av dataöverföringen och / eller avsluta avtalet;
b) de har ingen anledning att tro att den lag som är tillämplig på dem hindrar honom från att uppfylla instruktionerna från dataexportören och de skyldigheter som åligger honom enligt avtalet, och om sådan lag är vid risk för en förändring som kan ha en väsentlig negativ inverkan på garantierna och skyldigheterna enligt klausulerna, ska han utan dröjsmål meddela dataexportören om ändringen efter att ha fått kännedom om det, i vilket fall dataexportören kan stänga av dataöverföringen och / eller avsluta avtalet; (c) de har genomfört de tekniska och organisatoriska säkerhetsåtgärder som anges i tillägg 2 innan de behandlade de personuppgifter som överförts;
d) de meddelar dataexportören utan fördröjning:
i) varje bindande begäran om utlämnande av personuppgifter från en brottsbekämpande myndighet, om inget annat anges, så som straffrättsligt förbud vars syfte är att bevara sekretessen för en polisutredning;
ii) all tillfällig eller obehörig åtkomst; och
iii) alla förfrågningar direkt mottagna från de berörda personerna utan att besvara så vida han inte har fått tillstånd att göra det; administratörer
e) de kommer snabbt och ordentligt att hantera alla förfrågningar från dataexportören om dess behandling av de personuppgifter som hanteras och kommer agera enligt tillsynsmyndighetens yttrande angående behandlingen av de uppgifter som hanterats;
f) på begäran av dataexportören kommer de att utsätta dess databehandlingsanläggningar för en granskning av de behandlingssätt som omfattas av dessa klausuler som ska utföras av dataexportören eller ett tillsynsorgan som består av oberoende medlemmar med erforderliga yrkeskvalifikationer, med förbehåll en sekretessplikt och vald av dataexportören, i förekommande fall med tillsynsmyndighetens samtycke;
g) de kommer till den reigstrerade göra tillgängligt, om han så begär, en kopia av dessa klausuler eller alla eventuella underlevernatörerav databehandlingsavtalet, såvida inte klausulern eller kontraktet innehåller komersiell information, med undantag för bilaga 2 som kommer ersättas av en sammanfattande beskrivning av säkerhetsåtgärderna, där den registrerade inte kan få en kopia från dataexportören;
h) i fall med ytterligare konfidentiell underleverantör av databehandlingen kommer han att se till att han informerar dataexportören i förväg och erhåller dataexportörens skriftliga medgivande;
i) behandlingstjänsterna som tillhandahålls av databehandlaren ska uppfylla klausul 11;
j) de kommer omgående skicka en kopia till dataexportören av alla underleverantörer av det databehandlingsavtal som ingåtts av det enligt dessa klausuler.
Clause 6
Skyldighet
1. Parterna är överens om att varje registrerad som har blivit negativt påverkad på grund av brott mot de skyldigheter som avses i klausul 3 eller klausul 11 av en part eller av en databehandlare, kan få ersättning från dataexportören för den skada som uppstått.
2. Om den registrerade förhindras från att utföra skadeståndstalan enligt punk 1 mot Dataexportören för misslyckande från Dataimportören eller dess databehandlare att fullgöra någon av sina skyldigheter enligt klausul 3 eller klausul 11, på grund av att Dataexportören har fysiskt försvunnit, upphört att existera i lag eller blivit insolvent, samtycker Dataimportören att den registrerade kan lämna in ett klagomål mot den beträffande som om det vore Dataexportören såvida inte alla exportörens juridiska skyldigheter har överförts, enligt avtal eller genom lag till dess efterträdande enhet, mot vilken den registrerade sedan kan genomdriva sina rättigheter. dataimportören får inte förlita sig på att en databehandlare bryter mot isna skyldigheter för att undvika eget ansvar.
3. Om den registrerade förhindras från att utföra skadeståndstalan enligt paragraf 1 eller 2 mot dataexportören eller dataimportören för brott av databehandlarens skyldigheter under klausul 3 eller klausul 11 i det fall dataexportören eller dataimportören har fysiskt försvunnit, upphört att existera i lag eller har blivit insolvent, samtycker databehandlaren att den registrerade kan lämna in ett klagomål mot den beträffande sin egen behandlingsaktivitet i enlighet med dessa klausuler som om det vore dataexportören eller dataimportören, om inte alla dataexportören eller dataimportörens rättsliga skylldigheter har överförts, genom avtal eller genom lagstiftning, till den juridiska efterträdaren, mot vilken den registrerade sen kan hävda sina rättigheter. Databehandlarens ansvar måste begränsas till dess egna behandlingsaktiviteter i enligt med dessa klausuler.
Klausul 7
Medling och jurisdiktion
1. Dataimportören samtycker till att om den registrerade enligt klausulerna åberopar rätten för den tredje partens stödmottagare och / eller anspråk på ersättning för den fördom som han lidit, kommer han att acceptera den registrerades beslut:
a) bestrida medling av en oberoende person eller, i tillämpliga fall, tillsynsmyndigheten,
b) att föra bestridan inför domstolarna i den medlemsstat där dataexportören är baserad.
2. Parterna är överens om att den registrerades val inte ska påverka den registrerades processuella eller materiella rätt att gottgöras i enlighet med andra bestämmelser i nationell eller internationell rätt.
Klausul 8
Samarbete med tillsynsmyndigheter
1. Dataexportören godkänner att avsätta en kopia av detta avtal hos tillsynsmyndigheten om den senare kräver det eller om sådan deposition föreskrivs i tillämplig dataskyddslag.
2. Parterna är överens om att tillsynsmyndigheten får utföra kontroller hos dataimportören och vilken databehandlare som helst i samma utsträckning och på samma villkor som med kontroller som utförs hos dataexportören i enlighet med tillämplig dataskyddslag.
3. Dataimportören ska så snart som möjligt informera dataexportören om att det finns lagstiftning om dataimportören eller någon databehandlare som förhindrar verifiering hos dataimportören eller någon databehandlare i enlighet med punkt 2. I ett sådant fall kan dataexportören vidta de åtgärder som föreskrivs i klausul 5 (b).
Klausul 9
Tillämplig ag
Klausulerna gäller och regleras av lagen i den medlemsstat där dataexportören är baserad.
Klausul 10
Ändring av kontraktet
Parterna förbinder sig att inte ändra de nuvarande klausulerna. Parterna är tillåtna att inkludera andra kommersiella klausuler som de anser nödvändiga, förutsatt att de inte strider mot de nuvarande klausulerna.
Klausul 11
Påföljande underleverantörer
1. Dataimportören får inte lägga ut någon av dess bearbetningsaktiviteter som utförs för dataexportörens räkning under dessa klausuler utan att innan fått skriftligt medgivande från dataexportören. Dataimportören ska endast lägga ut sina förpliktelser enligt dessa klausuler, med dataexportörens samtycke, genom ett skriftligt avtal med databehandlaren som ålägger databehandlaren samma skyldigheter som de som ålagts dataimportören enligt dessa klausuler.) Om databehandlaren kan inte uppfylla sina dataskyddsförpliktelser enligt det skriftliga avtalet blir dataimportören fullt ansvarig gentemot dataexportören för att uppfylla dessa skyldigheter.
2. Det tidigare skriftliga avtalet mellan dataimportören och databehandlaren ska också innehålla en tredje parts mottagarklausul som anges i klausul 3 för fall där den registrerade förhindras från att väcka skadeståndsanspråket enligt punkt 6 (1) mot dataexportören eller dataimportören eftersom dataexportören eller dataimportören fysiskt har försvunnit, upphört att existera i lag eller har blivit insolvent och alla juridiska skyldigheter för dataexportören eller dataimportören inte har överförts, genom avtal eller genom operation till en annan efterträdare. Databehandlarens ansvar måste begränsas till dess egna behandlingsaktiviteter i enlighet med dessa klausuler.
3. Bestämmelser relaterade till dataskyddsaspekter av underleverantörer för datahantering av det kontrakt som avses i punkt 1 ska regleras av lagen i den medlemskap där dataexportören är etablerad.
4. Dataexportören ska hålla en lista över underleverantörerna för de databehandlingsavtal som ingåtts enligt dessa klausuler och som meddelats av dataimportören i enlighet med klausul 5 (j) som ska uppdateras minst en gång per år. Denna lista ska göras tillgänglig för dataexportörens dataskyddsmyndighet.
Klausul 12
Skyldighet efter avslutad behandling av personuppgifter
1. Parterna samtycker att vid avslut av databehandlingen kommer dataimportören och databehandlaren vid dataexportörens efterfrågan, lämna tillbaka all personlig data som hanterats och kopior därav till dataexportören, eller borttag av data av sådan typ och tillhandahålla bevis av borttaget till dataexportören, såvida inte lagstiftning som införts på dataimportören hindrar den från att lämna tillbaka eller förstöra hela eller delar av dem hanterade personuppgifterna. I detta fall garanterar dataimportören att den säkerställer konfidentialiteten för de personuppgifter som överförts och att den inte längre kommer att behandla uppgifterna aktivt.
2. Dataimportören och databehandlaren ska se till att de, om dataexportören och / eller tillsynsmyndigheten begär det, kommer att underkasta sina metoder för databehandling för att verifiera de åtgärder som avses i punkt 1.
Bilaga 1.1 till del 2
Detaljer om överföringen
Dataexportören
Dataexportören är den kund som definieras i avatalet.
Dataimportören
Dataimportören är IQuALIF och har tilldelats att behandla datat och tillhandahålla tjänster till dataexportören.
Subjekt för data
Den personliga datan som behandlas gäller följande katagorier av registrerade
☒ telefonabonnenter som anges i den universella katalogen
☐ Andra, inklusive:
Datakateogrier
De personuppgifter som överförs gäller följande kategorier av uppgifter:
Categories of personal data of the Data Exporter's data subjects in particular,
☒ Namn
☒ Postadress
☒ Kontaktuppgifter (e-post, telefon, IP-adress etc.)
☒ Detaljer om marknadsföringsaktiviteter rörande telefonabonnenten
☒ Andra, inklusive den typ av bostäder, inkomster och medelåldrar som staden har gjort anonymt
Speciella datakategorier (om tillämpligt)
De personuppgifter som överförs gäller följande speciella datakategorier:
Transfer Överföringen av särskilda kategorier av data förutses inte
☐ Ras eller etniskt ursprung
☐ Religiösa eller filosofiska övertygelser
☐ Fackligt medlemskap
☐ Politiska åsikter
☐ Genetisk information
☐ Biometrisk information
☐ Information om sexuell läggning eller sexliv
☐ Hälsodata
Bearbetningsaktiviteter
De överförda personuppgifterna kommer att omfattas av följande grundläggande behandlingsaktiviteter:
Behandlingen som utförs på dataexportörens räkning baseras på följande ämnen:
☒ Ta ansvar för de produkter eller tjänster som erbjuds av dataexportören
☒ Erbjudandet om en produkt eller tjänst som den uppringda personen kan begära
☒ Beställningar från de personer som anropas och vidare behandling av dessa beställningar
Studera frågeformulär och analyser
☒ Telemarketing
☐ Andra, inklusive:
Dataimportören behandlar personuppgifterna för de registrerade på uppdrag av dataexportören för att tillhandahålla följande tjänster, och framför allt:
☒ Försäljning och marknadsföring
☒ Andra, inklusive uppdatering av databaser för stadshus och politiska partier
IQUALIF kombinerar, centraliserar och tillhandahåller huvudsakligen tjänster till dataexportören. Tjänsterna som tillhandahålls av den namngivna tjänsteleverantören kan vara strukturerade (bland annat vid behov) kring följande tillhörande tjänster: (i) tillhandahållande av applikationer, verktyg, system och IT-infrastruktur i förhållande till de databehandlingscentraler som används för att tillhandahålla och stödja tjänsterna, inklusive behandling av de registrerades personuppgifter som beskrivs ovan, via sådana applikationer, verktyg och system, (ii) tillhandahållande av IT-support, underhåll och andra tjänster relaterade till sådana applikationer, verktyg, system och IT-infrastruktur, inklusive potentiell åtkomst till personuppgifter som lagras i sådana applikationer, verktyg och system, och (iii) tillhandahållande av dataskyddstjänster, skyddskontroll och incidenter, inklusive potentiell tillgång till personuppgifter när sådana skyddstjänster tillhandahålls . IQUALIF kan engagera databehandlare enligt nedan för att tillhandahålla tjänsterna, inklusive tillhörande tjänster.
IQUALIF anlitar externa och tredje parts tjänsteleverantörer, som inte är dotterbolag till IQUALIF, för att stödja tillhandahållandet av tjänster till dataexportören. Dataexportören godkänner sådana externa tredjepartsleverantörer som underenheter som tilldelats databehandlingen.
Om en underenhet som är involverad i databehandling är belägen utanför EU / EES, i ett land som inte anses ha en adekvat nivå av dataskydd enligt ett beslut av Europeiska kommissionen, kommer dataimportören att vidta åtgärder för att uppnå en adekvat nivå av dataskydd i enlighet med GDPR och avsnitt 3.4 (iv) i del 1.
Bilaga 2, del 2
Tekniska och organisatoriska skyddsåtgärder
Dataimportören ska vidta följande tekniska och organisatoriska skyddsåtgärder som bekräftats av dataexportören för att garantera en lämplig säkerhetsnivå för individers rättigheter och friheter, beroende på riskerna. Vid bedömningen av skyddsnivån i fråga har dataexportören särskilt beaktat de risker som är förknippade med behandlingen, inklusive oavsiktlig eller olaglig förstörelse, ändring, obehörigt avslöjande eller tillgång till personuppgifter som överförs, lagras eller på annat sätt behandlas. Genom förtydligande: Dessa tekniska och organisatoriska skyddsåtgärder gäller inte applikationer, verktyg, system och / eller IT-infrastruktur som tillhandahålls av dataexportören.
1 Allmänna tekniska och organisatoriska skyddsåtgärder |
1.1 Allmänna strategier för information och dataskydd |
Följande steg bör vidtas för att följa allmänna strategier för data- och informationsskydd: |
|
|
|
|
|
1.2 Organisation av informationsskydd |
Följande åtgärder bör vidtas för att samordna uppgifter och informationsskydd: |
|
|
|
1.3 Kontroll av åtkomst till behandlingsområden |
Följande åtgärder måste vidtas för att förhindra att obehöriga får tillgång till databehandlingssystem (särskilt mjukvara och hårdvara) när personuppgifter behandlas, lagras eller överförs:: |
|
|
|
|
1.4 Åtkomstkontroll till databehandlingssystem |
Följande åtgärder måste vidtas för att förhindra obehörig åtkomst till databehandlingssystem: |
|
|
|
|
|
|
1.5 Kontrollera åtkomst till vissa användningsområden för databehandlingssystem |
Följande åtgärder måste vidtas för att säkerställa att auktoriserade personer med rätten att använda databehandlingssystemet endast kan få åtkomst till data inom deras respektive ansvarsområden och åtkomstbehörigheter och att personuppgifter inte kan läsas, kopieras, ändras eller raderas utan tillstånd: |
|
|
|
|
|
|
|
1.6 Kontroll av överföringar |
Följande åtgärder måste vidtas för att förhindra att personuppgifter läses, kopieras, ändras eller raderas av obehöriga tredje parter under överföring eller transport av datalagringsenheter (beroende på behandlingen av personuppgifter som utförts): |
|
|
|
1.7 Kontroll av datainmatning |
Följande åtgärder måste vidtas för att säkerställa att det är möjligt att verifiera och avgöra om personuppgifter har införts eller raderats från databehandlingssystem och av vem: |
|
|
1.8 Arbetskontroll |
Vid delegerad behandling av personuppgifter måste följande åtgärder vidtas för att säkerställa att sådana uppgifter behandlas i enlighet med instruktionerna från handledaren: |
|
|
|
|
1.9 Separation från bearbetning för andra ändamål |
Följande åtgärder måste vidtas för att säkerställa att uppgifter som samlas in för andra ändamål kan behandlas separat: |
|
|
1.10 Pseudonymisering |
Följande åtgärder måste vidtas beträffande pseudonymisering av personuppgifter: |
|
|
1.11 Kryptering |
Följande steg bör vidtas för att kryptera personuppgifter i applikationer och överföringar som stöder kryptering:
|
|
|
1.12 Fullständighet av databehandlingssystem och tjänster |
Följande åtgärder måste vidtas för att säkerställa att databehandlingssystem och tjänster är fullständiga: |
|
|
|
1.13 Tillgänglighet för databehandlingssystem och tjänster och möjligheten att återställa åtkomst till och användning av personuppgifter i händelse av en väsentlig eller teknisk incident |
Följande åtgärder måste vidtas för att säkerställa tillgängligheten av databehandlingssystem samt för att snabbt kunna återställa tillgången och åtkomsten till personuppgifter i händelse av en oförutsedd eller teknisk händelse (särskilt genom att säkerställa att personuppgifter skyddas mot oavsiktlig förstörelse eller förlust): |
|
|
|
|
|
|
|
1.14 Resiliens hos databehandlingssystem och tjänster |
Följande åtgärder måste vidtas för att säkerställa motståndskraften i databehandlingssystem och tjänster: |
|
|
|
1.15 Procedure for regularly testing, evaluating, and assessing the effectiveness of technical and organizational measures to ensure the security of data processing |
Procedur för regelbunden testning, utvärdering och bedömning av effektiviteten av tekniska och organisatoriska åtgärder för att skydda databehandling. |
|
|
|
Part 3
Partiernas underskrifter och lista över dataimportörer
När du fyller i onlinebeställningsformuläret och validerar det genom att kryssa i rutan som accepterar de allmänna användarvillkoren, upprättas avtalet som reglerar förhållandet mellan kunden och IQUALIF.
Att skicka betalningen till IQUALIF upprättar avtalet och konstaterar det godkänt.
Notera: Denna text har översatts från franska. Den franska originalversionen, som är giltig och juridiskt begränsande, hittas här