Apendise sa pagproseso ng data

 

Ang Appendix na ito ay bumubuo ng mahalagang bahagi ng Kontrata at pinasok ng:

 

  1. (i) Ang Kliyente (" Data Exporter ")
  2. (ii) IQUALIF (" Data Importer ")

 

Ang bawat isa ay isang " Partido " at karaniwang " Mga Partido ".

 

Preamble

KUNG SAAN ang Data Importer ay nagbibigay ng mga propesyonal na serbisyo ng software, computer, at mga kaugnay na serbisyo (tulad ng mga browser na may mga advanced na function sa paghahanap);

KUNG SAAN alinsunod sa Kontrata, ang Data Importer ay sumang-ayon na ibigay sa Data Exporter ang mga serbisyong tinukoy sa Kontrata (ang " Mga Serbisyo ");

KUNG SAAN, sa pamamagitan ng pagbibigay ng Mga Serbisyo, natatanggap o nakikinabang ang Data Importer mula sa pag-access sa impormasyon ng Data Exporter o sa impormasyon ng ibang mga taong may (potensyal) na kaugnayan sa Data Exporter, ang naturang impormasyon ay maaaring maging kwalipikado bilang personal na data sa loob ng kahulugan ng Regulasyon (EU) 2016/679 ng European Parliament at ng Council of the 27th of April 2016 sa pagprotekta sa mga indibidwal hinggil sa pagproseso ng personal na data at sa libreng paggalaw ng naturang data (" GDPR ") at iba pang naaangkop na mga batas sa proteksyon ng data.

KUNG SAAN naglalaman ang Appendix na ito ng mga tuntunin at kundisyon na naaangkop sa pangongolekta, pagproseso, at paggamit ng naturang personal na data ng Data Importer sa kapasidad nito bilang awtorisadong ahente sa pagproseso ng data ng Data Exporter, upang matiyak na ang mga Partido ay sumusunod sa naaangkop na batas sa proteksyon ng data .

 

KAYA, at upang bigyang-daan ang mga Partido na ipagpatuloy ang kanilang relasyon ayon sa batas, tinapos ng Mga Partido ang Appendix na ito bilang mga sumusunod:

Bahagi 1

 

1. Istraktura ng dokumento at mga kahulugan

1.1 Istruktura

Ang Apendiks na ito ay binubuo ng iba't ibang bahagi tulad ng sumusunod:

 

Bahagi 1: 

naglalaman ng mga pangkalahatang probisyon, hal. patungkol sa mga kahulugang ginamit sa Appendix na ito, pagsunod sa mga lokal na batas, timing, at pagwawakas.

 

Bahagi 2:

naglalaman ng katawan ng hindi binagong dokumento ng Standard Contractual Clauses

 

Appendix 1.1 ng Bahagi 2:

naglalaman ng mga detalye ng mga operasyon sa pagpoproseso na ibinigay ng Data Importer sa Data Exporter bilang ang awtorisadong ahente sa pagpoproseso ng data (kabilang ang pagproseso, kalikasan, at layunin ng pagproseso, ang uri ng personal na data, at ang mga kategorya ng mga paksa ng data) sa ilalim nito Appendix

 

Appendix 2 ng Part 2:

naglalaman ng paglalarawan ng mga teknikal at pang-organisasyong hakbang sa seguridad ng Data Importer, na inilalapat kaugnay ng lahat ng aktibidad sa pagproseso na inilalarawan sa Appendix 1.1 ng Bahagi 2

 

Bahagi 3:

naglalaman ng mga lagda ng Mga Partido na mapapatali sa Appendix na ito at kinikilala ang bawat Data Importer

 

 

1.2 Terminolohiya at mga kahulugan

Para sa mga layunin ng Appendix na ito, ang mga terminolohiya at mga kahulugan na ginamit ng GDPR ay naaangkop (Sa katawan ng dokumento ng Standard Contractual Clause sa Part 2, kung saan ang mga tinukoy na termino ay hindi naka-capitalize). 

 

"Miyembrong estado"

nangangahulugang isang bansang kabilang sa European Union o European Economic Area

 

"Mga espesyal na kategorya ng (personal) na data"

tumutukoy sa personal na data na naghahayag ng lahi o etnikong pinagmulan, mga opinyon sa pulitika, relihiyon o pilosopikal na paniniwala, o membership sa unyon ng manggagawa, at genetic data, biometric data, kung naproseso para sa layunin ng natatanging pagkilala sa isang tao, data tungkol sa kalusugan, data tungkol sa kasarian ng isang tao buhay o oryentasyong sekswal

 

"Mga Karaniwang Kontratwal na Sugnay"

nangangahulugang ang Standard Contractual Clauses para sa paglilipat ng personal na data ng mga ahente sa pagpoproseso na itinatag sa mga ikatlong bansa, sa ilalim ng Commission Decision 2010/87/EU noong ika-5 ng Pebrero 2010, na binago ng Commission Implementing Decision (EU) 2016/2297 noong ika-16 ng Disyembre 2016

 

œData processor

nangangahulugang anumang ahente sa pagproseso, na matatagpuan sa loob o labas ng EU/EEA, na sumasang-ayon na tumanggap mula sa Data Importer o anumang iba pang processor ng Data Importer, personal na data para sa eksklusibong layunin ng pagproseso ng mga aktibidad na isasagawa ng Data Exporter pagkatapos ng paglipat alinsunod sa mga tagubilin ng Data Exporter, sa mga tuntunin ng Appendix na ito at sa Kontrata sa Data Importer

 

 

 

2. Mga Obligasyon ng Data Exporter

2.1 Ang Data Exporter ay may obligasyon na tiyakin ang pagsunod sa lahat ng naaangkop na obligasyon sa ilalim ng GDPR at anumang iba pang naaangkop na batas sa proteksyon ng data na nalalapat sa Data Exporter at upang ipakita ang naturang pagsunod gaya ng iniaatas ng Artikulo 5 (2) ng GDPR. Ginagarantiyahan ng Data Exporter na nakuha ng Data Importer ang paunang pahintulot ng mga paksa ng data alinsunod sa Artikulo 6 (a) ng GDPR at nakasunod sa obligasyon nitong ipaalam sa mga paksa ng data alinsunod sa Artikulo 13 at 14 ng GDPR.

2.2 Ang Data Exporter ay dapat magbigay sa Data Importer ng kani-kanilang mga file ng mga aktibidad sa pagpoproseso alinsunod sa Artikulo 30 (1) ng GDPR na nauugnay sa Mga Serbisyo sa ilalim ng Appendix na ito, sa lawak na kinakailangan para sa Data Importer na sumunod sa obligasyon sa ilalim ng Artikulo 30 (2) ng GDPR.

2.3 Ang Data Exporter ay dapat magtalaga ng isang opisyal ng proteksyon ng data o kinatawan sa lawak na kinakailangan ng naaangkop na batas sa proteksyon ng data. Obligado ang Data Exporter na ibigay ang mga detalye sa pakikipag-ugnayan ng ahente o kinatawan ng proteksyon ng data, kung mayroon man, sa Data Importer.

2.4. Kinukumpirma ng Data Exporter bago ang pagkumpleto ng pagproseso, sa pamamagitan ng pagtanggap sa Appendix na ito, na ang mga teknikal at organisasyonal na hakbang sa seguridad ng Data Importer, tulad ng itinakda sa Appendix 2 hanggang Part 2, ay angkop at sapat upang protektahan ang mga karapatan ng paksa ng data. at kinukumpirma na ang Data Importer ay nagbibigay ng sapat na mga pananggalang sa bagay na ito.

 

3. Pagsunod sa lokal na batas

Upang matugunan ang mga kinakailangan ng pagpapatupad ng mga ahente sa pagproseso kasunod ng Artikulo 28 ng GDPR, naaangkop ang mga sumusunod na pagbabago:

 

3.1 Mga Tagubilin

  1. (i) Inutusan ng Data Exporter ang Data Importer na iproseso ang personal na data lamang sa ngalan ng Data Exporter. Ang mga tagubilin ng Data Exporter ay ibinigay sa Appendix na ito at sa Kontrata. Ang Data Exporter ay may obligasyon na tiyaking ang lahat ng mga tagubilin ay ibinigay sa Data Importer ay sumusunod sa mga naaangkop na batas sa proteksyon ng data. Ang Data Importer ay dapat magproseso ng personal na data lamang alinsunod sa mga tagubiling ibinigay ng Data Exporter maliban kung kinakailangan ng European Union o ng batas ng Member State (sa huling kaso, Part 1 Clause 3.2 (iv) (c) ay nalalapat) .
  2. (ii) Ang lahat ng iba pang mga tagubilin na lampas sa mga tagubilin sa Apendise na ito o sa Kontrata ay dapat na kasama sa paksa ng Apendiks na ito at ng Kontrata. Kung ang pagpapatupad ng karagdagang tagubiling ito ay nagsasangkot ng mga gastos para sa Data Importer, ang Data Importer ay dapat ipaalam sa Data Exporter ang mga naturang gastos at magbigay ng paliwanag bago ipatupad ang tagubilin. Pagkatapos lamang makumpirma ng Data Exporter ang pagtanggap sa mga gastos na ito para sa pagpapatupad ng pagtuturo, dapat ipatupad ng Data Importer ang karagdagang tagubiling ito. Ang Data Exporter ay dapat magbigay ng karagdagang mga tagubilin sa pagsulat maliban kung ang pagkaapurahan o iba pang partikular na mga pangyayari ay nangangailangan ng isa pang anyo (hal. oral, electronic). Ang mga tagubilin sa isang form maliban sa nakasulat ay dapat kumpirmahin sa pamamagitan ng sulat at walang pagkaantala ng Data Exporter.
  3. 1. Maliban kung ang Data Exporter ay hindi maaaring magsagawa ng pagwawasto, pagbura, o paghihigpit ng personal na data nang mag-isa, ang mga tagubilin ay maaari ring nauugnay sa pagwawasto, pagbura, at/o paghihigpit ng personal na data tulad ng itinakda sa Bahagi 1 Clause 3.3.
  4. 2. Dapat na agad na ipaalam ng Data Importer ang Data Exporter kung, sa opinyon nito, ang isang Tagubilin ay lumalabag sa GDPR o iba pang naaangkop na mga probisyon sa proteksyon ng data ng European Union o isang Member State (" Pinagtatalunang TagubilinKung idineklara ng awtoridad sa pangangasiwa na legal ang hinamon na Tagubilin, ipapatupad ng Data Importer ang hinamon na Tagubilin. Bahagi 1 Clause 3.1 (ii) ay mananatiling naaangkop.

 

3.2 Mga Obligasyon ng Data Importer

  1. (i) Dapat tiyakin ng Data Importer na ang mga taong pinahintulutan ng Data Importer na magproseso ng personal na data sa ngalan ng Data Exporter, sa partikular na mga empleyado ng Data Importer at mga empleyado ng alinmang Sub-Contractor, ay nagsagawa ng pagsunod sa pagiging kumpidensyal o napapailalim sa isang naaangkop na tungkulin sa batas ng pagiging kumpidensyal, at na ang mga taong iyon na may access sa personal na data ay nagpoproseso nito alinsunod sa mga tagubilin ng Data Exporter.
  2. (ii) Dapat ipatupad ng Data Importer ang teknikal at pang-organisasyong mga hakbang sa seguridad tulad ng itinakda sa Appendix 2 hanggang Part 2 bago iproseso ang personal na data sa ngalan ng Data Exporter. Maaaring baguhin ng Data Importer ang teknikal at organisasyonal na mga hakbang sa seguridad paminsan-minsan kung hindi sila nagbibigay ng mas kaunting proteksyon kaysa sa mga itinakda sa Appendix 2 hanggang Part 2.
  3. (iii) Ang Data Importer ay dapat gawing available sa Data Exporter, kapag hiniling ng Data Exporter, ang impormasyon upang ipakita ang pagsunod sa mga obligasyon ng Data Importer sa ilalim ng Appendix na ito. Sumasang-ayon ang Mga Partido na ang obligasyong ito ng impormasyon ay natutugunan sa pamamagitan ng pagbibigay sa Data Exporter ng ulat ng pag-audit (na sumasaklaw sa seguridad ng mga prinsipyo, pagkakaroon ng system, at pagiging kumpidensyal) ("Ulat sa Pag-audit"). Kung legal na kinakailangan ang mga karagdagang aktibidad sa pag-audit, maaaring hilingin ng Data Exporter na magsagawa ng mga inspeksyon ng Data Exporter o ng isa pang auditor na hinirang ng Data Exporter, na napapailalim sa pagpapatupad ng naturang auditor ng isang kasunduan sa pagiging kumpidensyal kasama ang Data Importer sa Data Importer's makatwirang kasiyahan ("Audit"). Ang Audit na ito ay napapailalim sa mga sumusunod na kundisyon: (i) ang paunang pormal na nakasulat na pagtanggap ng Data Importer; at (ii) sasagutin ng Data Exporter ang lahat ng gastos na nauugnay sa On-Site Audit para sa Data Exporter at Data Importer. Ang Data Exporter ay dapat gumawa ng audit report na nagbubuod sa mga resulta at obserbasyon ng On-Site Audit ("On-Site Audit Report"). Ang On-Site Audit Reports, at ang Audit Reports, ay kumpidensyal na impormasyon ng Data Importer at hindi dapat ibunyag sa mga third party maliban kung kinakailangan ng naaangkop na batas sa proteksyon ng data o alinsunod sa pahintulot ng Data Importer.
  4. (iv) Ang Data Importer ay may obligasyon na abisuhan ang Data Exporter nang walang labis na pagkaantala:
    1. a. hinggil sa anumang legal na may bisang kahilingan para sa pagbubunyag ng personal na data ng isang awtoridad na nagpapatupad ng batas, maliban kung ipinagbabawal, gaya ng pagbabawal sa ilalim ng batas kriminal na protektahan ang pagiging kompidensiyal ng isang pagsisiyasat sa pagpapatupad ng batas
    2. b. tungkol sa anumang reklamo at kahilingang direktang natanggap mula sa isang paksa ng data (hal. patungkol sa pag-access, pagwawasto, pagtanggal, paghihigpit sa pagproseso, pagdadala ng data, pagtutol sa pagproseso ng data, awtomatikong paggawa ng desisyon) nang hindi tumutugon sa kahilingang iyon, maliban kung ang Data Importer ay pinahintulutan na gawin mo
    3. c. kung obligado ang Data Importer o Data processor, sa ilalim ng batas ng European Union o ng Member State kung saan napapailalim ang Data Importer o Data processor, na iproseso ang personal na data na lampas sa mga tagubilin ng Data Exporter, bago isagawa ang naturang pagproseso nang higit pa ang mga tagubilin, maliban kung ang mga batas ng European Union o ng Estado ng Miyembro ay nagbabawal sa ganoong pagproseso sa mahahalagang batayan ng pampublikong interes, kung saan ang abiso sa Data Exporter ay dapat tukuyin ang legal na kinakailangan sa ilalim ng batas na iyon ng European Union o ng Estado ng Miyembro; o
    4. d. kung napagtanto ng Data Importer ang isang paglabag sa personal na data, dahil lamang sa sarili nito o sa sub-contractor nito, na makakaapekto sa personal na data ng Data Exporter na sakop ng kasalukuyang kontrata, kung saan tutulungan ng Data Importer ang Data Exporter sa obligasyon nito, vis-Ã -vis sa naaangkop na batas sa proteksyon ng data, upang ipaalam sa mga paksa ng data at, kung naaangkop, ang mga awtoridad sa pangangasiwa sa pamamagitan ng pagbibigay ng impormasyong magagamit nito, alinsunod sa Artikulo 33 (3) ng GDPR.
    5. (v) Sa kahilingan ng Data Exporter, ang Data Importer ay mapipilitang tulungan ang Data Exporter sa obligasyon nitong magsagawa ng data protection impact assessment na maaaring kailanganin ng Artikulo 35 ng GDPR at isang paunang konsultasyon na maaaring kinakailangan ng Artikulo 36 ng GDPR tungkol sa mga serbisyong ibinigay ng Data Importer sa Data Exporter sa ilalim ng Appendix na ito, na nagbibigay ng kinakailangan at impormasyon sa Data Exporter. Obligado lamang ang Data Importer na magbigay ng naturang tulong kung hindi matupad ng Data Exporter ang obligasyon nito sa ibang paraan. Ang Data Importer ay magpapayo sa Data Exporter ng halaga ng naturang tulong. Sa sandaling makumpirma ng Data Exporter na kaya nitong pasanin ang halagang ito, ibibigay ng Data Importer ang Data Exporter ng tulong na ito.
    6. (vi) Sa pagtatapos ng probisyon ng mga serbisyo, maaaring humiling ang Data Exporter na ibalik ang personal na data na naproseso ng Data Importer sa ilalim ng Appendix na ito sa loob ng isang buwan pagkatapos ng mga serbisyo. Maliban kung ang batas ng Estado ng Miyembro o ng European Union ay nag-aatas sa Data Importer na mag-imbak o magpanatili ng naturang personal na data, tatanggalin ng Data Importer ang lahat ng naturang personal o hindi personal na data pagkatapos ng isang buwan, ibinalik man ang mga ito sa ang Data Exporter sa kahilingan nito o hindi.

 

3.3 Mga karapatan ng mga taong kinauukulan

  1.  
    1. (i) Ang Data Exporter ay namamahala at tumutugon sa mga kahilingang ginawa ng mga paksa ng data. Hindi obligado ang Data Importer na direktang tumugon sa mga paksa ng data.
    2. (ii) Kung kailangan ng Data Exporter ng tulong ng Data Importer sa pagproseso at pagtugon sa mga kahilingan ng Data Subject, ang Data Exporter ay maglalabas ng karagdagang tagubilin alinsunod sa Clause 3.1 (ii) ng Part 1. Tutulungan ng Data Importer ang Data Exporter na may sumusunod na naaangkop at teknikal na mga hakbang sa organisasyon upang tumugon sa mga kahilingan para sa paggamit ng mga karapatan ng mga paksa ng data na itinakda sa Kabanata III ng GDPR gaya ng sumusunod:
    3. a. Tungkol sa mga kahilingan para sa impormasyon, ang Data Importer ay magbibigay lamang sa Data Exporter ng impormasyong kinakailangan ng Artikulo 13 at 14 ng PGRD na maaaring mayroon ito sa pagtatapon nito kung hindi ito mahanap ng Data Exporter nang mag-isa.
    4. b. Tungkol sa mga kahilingan para sa pag-access (Artikulo 15 ng GDPR), ang Data Importer ay magbibigay lamang sa Data Exporter ng impormasyon na dapat ibigay sa isang paksa ng data para sa nasabing kahilingan para sa pag-access, na maaaring mayroon ito kung ang hindi ito mahahanap ng huli nang mag-isa.
    5. c. Tungkol sa mga kahilingan para sa pagwawasto (Artikulo 16 ng GDPR), mga kahilingan para sa pagbura (Artikulo 17 ng GDPR), paghihigpit sa mga kahilingan para sa pagproseso (Artikulo 18 ng GDPR), o mga kahilingan para sa portability (Artikulo 20 ng GDPR), at tanging kung ang Data Exporter ay hindi maaaring magtama o magbura, limitahan o ipadala ang personal na data sa isa pang third party, ang Data Importer ay mag-aalok sa Data Exporter ng posibilidad na itama o burahin, limitahan, o ipadala ang personal na data na may kinalaman sa ibang third party, o kung hindi ito posible, magbibigay ito ng tulong upang itama o burahin, limitahan, o ipadala sa ibang third party ang personal na data na may kinalaman.
    6. d. Tungkol sa abiso na nauugnay sa pagwawasto, pagbura, o paghihigpit sa pagproseso (Artikulo 19 ng GDPR), tutulungan ng Data Importer ang Data Exporter sa pamamagitan ng pag-abiso sa lahat ng tatanggap ng personal na data na nakipag-ugnayan ng Data Importer bilang mga processor kung ito ay hihilingin ng Data Exporter at kung hindi mareresolba ng Data Exporter ang sitwasyon nang mag-isa.
    7. e. Tungkol sa karapatan ng pagsalungat na ginamit ng isang paksa ng data (Artikulo 21 at 22 ng GDPR) tutukuyin ng Data Exporter kung lehitimo ang pagsalungat at kung paano haharapin ito.
    8. (iii) Ang mga obligasyon sa tulong ng Data Importer ay limitado sa personal na data na naproseso sa loob ng imprastraktura nito (hal. mga database, system, application na pagmamay-ari o ibinigay ng Data Importer).
    9. (iv) Dapat tukuyin ng Data Exporter kung maaaring gamitin ng isang Data Subject ang mga karapatan ng Data Subjects na itinakda sa Clause 3.1 ng Part 1 na ito at dapat payuhan ang Data Importer kung hanggang saan ang tulong na tinukoy sa Clauses 3.3 (ii), ( iii) ng Bahagi 1 ay kinakailangan.
    10. (v) Kung humiling ang Data Exporter ng karagdagang o binagong mga teknikal at pang-organisasyong hakbang upang matugunan ang mga karapatan ng mga paksa ng data na higit pa sa tulong na ibinigay ng Data Importer sa ilalim ng Sub-Clause 3.3 (ii), (iii) ng Part 1, ang Data Dapat ipaalam ng importer sa Data Exporter ang mga gastos sa pagpapatupad ng mga karagdagang o binagong teknikal at pang-organisasyong hakbang. Sa sandaling makumpirma ng Data Exporter na maaari nitong matugunan ang mga gastos na ito, ang Data Importer ay magpapatupad ng mga karagdagang o binagong teknikal at organisasyonal na mga hakbang upang tulungan ang Data Exporter sa pagtugon sa mga kahilingan ng Mga Paksa ng Data.
    11. (vi) Nang hindi nililimitahan ang saklaw ng Clause 3.3 (v) ng Bahagi 1, obligado ang Data Exporter na bayaran ang Data Importer para sa mga makatwirang gastos na natamo sa pagtugon sa mga kahilingan ng Mga Paksa ng Data.

 

3.4 Sub-processing

  1.  
    1. (i) Pinahihintulutan ng Data Exporter ang paggamit ng Data Importer ng mga sub-contractor para sa pagbibigay ng mga serbisyo sa ilalim ng Appendix na ito. Dapat piliin ng Data Importer ang naturang (mga) processor ng Data nang maingat. Inaprubahan ng Data Exporter ang (mga) processor ng Data na nakalista sa Appendix 1.1 sa dulo ng Part 2.
    2. (ii) Dapat ilipat ng Data Importer ang mga obligasyon nito sa ilalim ng Appendix na ito sa (mga) processor ng Data sa lawak na naaangkop sa mga subcontracted na serbisyo.
    3. (iii) Maaaring tanggalin, palitan, o humirang ng Data Importer ang isa pang naaangkop at maaasahang (mga) processor ng Data ayon sa pagpapasya nito. Kung hiniling ito nang nakasulat ng Data Exporter, dapat sundin ng Data Importer ang pamamaraang itinakda sa ibaba:
  2.  
    1. a. Dapat ipaalam ng Data Importer ang Data Exporter bago ang anumang pagbabago sa listahan ng mga Data processor na isinangguni sa ilalim ng Clause 3.4 (i) ng Part 1. Kung ang Data Exporter ay hindi tumutol sa ilalim ng Clause 3.4. (b) ng Bahagi 1 tatlumpung araw pagkatapos matanggap ang abiso mula sa Data Importer, ang mga karagdagang Data processor ay dapat ituring na tinanggap.
    2. b. Kung ang Data Exporter ay may lehitimong dahilan upang tumutol sa isang karagdagang Data processor, ito ay magbibigay ng paunang nakasulat na abiso sa Data Importer sa loob ng tatlumpung araw pagkatapos matanggap ang abiso ng Data Importer at bago ang serbisyo ng Data Importer ay isakatuparan. Kung tutol ang Data Exporter sa paggamit ng karagdagang Data processor, maaaring tanggalin ng Data Importer ang pagtutol sa pamamagitan ng isa sa mga sumusunod na opsyon (pinili ayon sa pagpapasya nito): (A) kakanselahin ng Data Importer ang mga plano nitong gumamit ng karagdagang processor patungkol sa personal na data ng Data Exporter; (B) gagawin ng Data Importer ang mga hakbang sa pagwawasto na hinihiling ng Data Exporter sa pagtutol nito (pagkansela ng pagtutol) at gagamitin ang karagdagang processor patungkol sa personal na data ng Data Exporter;
  3.  
    1. (iv) kung ang Data processor ay nakabase sa labas ng EU-EEA sa isang bansang hindi kinikilala bilang nag-aalok ng sapat na antas ng proteksyon ng data kasunod ng desisyon ng European Commission, ang Data Importer ay gagawa ng mga hakbang upang sumunod sa isang sapat na antas ng proteksyon ng data alinsunod sa GDPR (maaaring kabilang sa mga naturang hakbang - bukod sa iba pa at - ang paggamit ng mga kontrata sa pagpoproseso ng data batay sa mga sugnay ng Modelo ng EU, paglipat sa mga self-certified na Data processor sa balangkas ng EU-US Protection Shield , o katulad na programa).

 

3.5 Pag-expire

Ang expiration ng Appendix na ito ay kapareho ng expiration date ng kaukulang Kontrata. Maliban sa iba pang itinatadhana sa Apendise na ito, ang mga karapatan at tungkulin na may kaugnayan sa pagwawakas ay magiging pareho sa mga nilalaman ng Kontrata.

 

4. Limitasyon ng Pananagutan

4.1 Pinangangasiwaan ng bawat partido ang mga obligasyon nito sa ilalim ng Appendix na ito at ang naaangkop na batas sa proteksyon ng data.

4.2 Ang anumang pananagutan na nauugnay sa isang paglabag sa mga obligasyon sa ilalim ng Appendix na ito o naaangkop na batas sa proteksyon ng data ay sasailalim sa at pamamahalaan ng mga probisyon ng pananagutan na itinakda sa, o naaangkop sa, Kontrata, maliban kung itinatadhana sa Appendix na ito. Kung ang pananagutan ay pinamamahalaan ng mga probisyon ng pananagutan na itinakda o naaangkop sa Kontrata, para sa pagkalkula ng mga limitasyon sa pananagutan o pagtukoy sa aplikasyon ng iba pang mga limitasyon ng pananagutan, anumang pananagutan na magmumula sa ilalim ng Apendise na ito ay dapat ituring na lumitaw sa ilalim ng Kontrata.

 

5. Pangkalahatang mga probisyon

5.1 Kung mayroong anumang mga hindi pagkakapare-pareho o pagkakaiba sa pagitan ng Mga Bahagi 1 at 2 ng Appendix na ito, ang Bahagi 2 ay mananaig. Sa partikular, kahit na sa ganoong kaso, ang Bahagi 1 na lumalampas lamang sa Bahagi 2 (ibig sabihin, ang mga tuntunin ng Mga Pamantayang sugnay) nang hindi sumasalungat dito ay mananatiling wasto.

5.2 Kung may anumang pagkakaiba sa pagitan ng mga probisyon ng Appendix na ito at ng iba pang mga kontratang nagbubuklod sa mga partido, ang Appendix na ito ay mananaig patungkol sa mga obligasyon sa proteksyon ng data ng mga partido. Sa kaso ng pagdududa kung ang mga sugnay sa ibang mga kontrata ay may kinalaman sa mga obligasyon sa proteksyon ng data ng mga partido, ang Apendise na ito ay mananaig.

5.3 Kung ang anumang probisyon ng Appendix na ito ay hindi wasto o hindi maipapatupad, ang natitira sa Appendix na ito ay mananatiling ganap na may bisa at bisa. Ang di-wasto o hindi maipapatupad na probisyon ay (i) susugan upang matiyak ang bisa at kakayahang maipatupad nito, habang pinapanatili hangga't maaari ang intensyon ng mga partido, o - kung hindi ito posible - (ii) ipakahulugan na parang ang di-wasto o hindi maipapatupad na bahagi ay may hindi kailanman naging bahagi ng kontrata. Ang nabanggit ay dapat ding ilapat kung may pagkukulang sa Appendix na ito.

5.5 Sa lawak na kinakailangan, ang Mga Partido ay maaaring humiling ng mga pagbabago sa Bahagi 1, Clause 3 (Pagsunod sa lokal na batas) o iba pang bahagi ng Appendix upang makasunod sa mga interpretasyon, direktiba, o mga utos na inisyu ng mga karampatang awtoridad ng Unyon o ng Mga Estado ng Miyembro, mga probisyon sa pambansang pagpapatupad, o anumang iba pang legal na pag-unlad tungkol sa GDPR o iba pang mga kundisyon ng delegasyon sa anumang mga entity na kasangkot sa pagproseso ng data at partikular na patungkol sa paggamit ng mga Standard Contractual Clause sa GDPR. Ang mga tuntunin ng Standard Contractual Clauses ay hindi maaaring baguhin o palitan maliban kung ang European Commission ay hayagang inaprubahan ito (hal sa pamamagitan ng mga bagong sapat na clause at mga pamantayan sa proteksyon ng data).

5.6 Ang anumang pagtukoy sa Appendix na ito sa "Mga Sugnay" ay dapat unawaing sumangguni sa lahat ng mga probisyon ng Apendise na ito maliban kung iba ang nakasaad.

5.7 Ang pagpili ng batas sa Bahagi 2, Clause 9 ay nalalapat sa buong Kontrata.

 

6. Personal na data na ipinadala at pinoproseso ng mga partido para sa mga personal na layunin (ilipat mula sa data controller patungo sa data controller)

6.1 Ang mga Partido ay lubos na nakakaalam na ang ilang partikular na personal na data ay ililipat mula sa Data Exporter patungo sa Data Importer at sa kabaligtaran, at ang naturang data ay pinoproseso ng bawat Partido para sa sarili nitong mga layunin. Tungkol sa naturang personal na data, hindi nito naaapektuhan ang iba pang mga probisyon ng Appendix na ito (maliban sa sugnay 6 na ito).

6.2 Ang Data Exporter ay maaaring maglipat ng personal na data na nauugnay sa mga tauhan ng Data Importer sa Data Importer, kabilang ang impormasyon sa mga insidente ng seguridad, o anumang iba pang mga dokumento o file na ginawa o itinatag ng Data Exporter kaugnay ng Mga Serbisyong ibinigay ng kawani ng ang Data Importer. Maaaring iproseso ng Data Importer ang naturang personal na data para sa sarili nitong mga layunin, lalo na sa mga propesyonal na relasyon nito sa mga tauhan ng Data Importer, para sa kontrol sa kalidad at pagsasanay, o para sa mga layunin ng negosyo.

6.3. Ang Data Importer ay maaaring maglipat ng personal na data sa Data Exporter, kasama ang pangalan at mga detalye ng contact ng mga tauhan ng Data Importer. Maaaring iproseso ng Data Exporter ang naturang personal na data para sa sarili nitong mga layunin.

6.4 Ang parehong partido ay dapat sumunod sa anumang naaangkop na mga batas sa proteksyon ng data, kabilang ang GDPR, sa pagkolekta, pagproseso, at paggamit ng naturang personal na data na natanggap mula sa kabilang partido sa ilalim ng sugnay 1 ng Bahagi 1. Sa partikular, ang parehong Mga Partido ay magsasagawa ng sapat na mga hakbang sa seguridad, na nagbibigay ng isang katulad na antas ng proteksyon sa mga hakbang sa seguridad na itinakda sa Appendix 2 ng Bahagi 2. Ang anumang pag-access sa naturang personal na data ay dapat na limitado sa pangangailangang malaman ang mga ito.

6.5 Dapat tanggalin ng parehong Partido ang naturang personal na data sa lalong madaling panahon pagkatapos na makamit ang mga layunin.

Bahagi 2

 

DESISYON NG KOMISYON

noong ika-5 ng Pebrero 2010

sa mga karaniwang contractual clause para sa paglipat ng personal na data sa mga tagaproseso ng data na itinatag sa mga bansang third-party sa ilalim ng 95/46/EC Directive ng European Parliament at ng Konseho

 

 

 

Sugnay 1

Mga Kahulugan

Sa loob ng kahulugan ng mga sugnay:

a) 'personal na data', 'espesyal na kategorya ng data', 'pagproseso/pagproseso', 'controller', 'processor', 'data subject' at 'supervisory authority' ay magkakaroon ng parehong kahulugan tulad ng sa 95/46/EC Direktiba ng European Parliament at ng Konseho ng ika-24 ng Oktubre 1995 sa pagprotekta sa mga indibidwal hinggil sa pagproseso ng personal na data at sa malayang paggalaw ng naturang data (1);

b) ang 'Data Exporter' ay ang Data controller na naglilipat ng personal na data;

c) ang 'Data Importer' ay ang Data processor na sumasang-ayon na tumanggap mula sa Data Exporter ng personal na data na nilalayong iproseso sa ngalan ng Data Exporter pagkatapos ng paglipat alinsunod sa mga tagubilin nito at sa ilalim ng mga tuntunin ng mga clause na ito at kung sino ang hindi napapailalim sa mekanismo ng ikatlong bansa na nagtitiyak ng sapat na proteksyon sa loob ng kahulugan ng Artikulo 25(1) ng Direktiba 95/46/EC; (d) Ang ibig sabihin ng 'Data processor' ay ang Data processor na nakikipag-ugnayan ng Data Importer o ng anumang iba pang Data processor ng Data Importer na sumasang-ayon na tumanggap mula sa Data Importer o anumang iba pang Data processor ng Data Importer na personal na data para lamang sa pagproseso ng mga aktibidad sa isagawa sa ngalan ng Data Exporter pagkatapos ng paglipat alinsunod sa mga tagubilin ng Data Exporter,

e) "naaangkop na batas sa proteksyon ng data" ay nangangahulugang ang batas na nagpoprotekta sa mga pangunahing karapatan at kalayaan ng mga indibidwal, kabilang ang karapatan sa privacy tungkol sa pagproseso ng personal na data, at pag-aaplay sa isang controller sa Member State kung saan itinatag ang Data Exporter;

f) Ang ibig sabihin ng œmga teknikal at organisasyonal na hakbang na may kaugnayan sa seguridad ay mga hakbang na nilayon upang protektahan ang personal na data laban sa aksidente o labag sa batas na pagkasira o aksidenteng pagkawala, pagbabago, hindi awtorisadong pagsisiwalat o pag-access, lalo na kung saan ang pagproseso ay nagsasangkot ng pagpapadala ng data sa mga network, at laban sa lahat ng iba pang labag sa batas na paraan ng pagproseso.

Sugnay 2

Mga detalye ng paglilipat

Ang mga detalye ng paglilipat, kasama, kung naaangkop, mga espesyal na kategorya ng personal na data, ay tinukoy sa Appendix 1, na bumubuo ng mahalagang bahagi ng mga sugnay na ito.

Clause 3

Clause ng third-party na benepisyaryo

1. Maaaring ipatupad ng paksa ng data laban sa Data Exporter ang Clause na ito, Clause 4(b) hanggang (i), Clause 5(a) hanggang (e) at (g) hanggang (j), Clause 6 (1) at (2 ), Clause 7, Clause 8(2) at Clause 9 hanggang 12 bilang isang third party na benepisyaryo

2. Maaaring ipatupad ng paksa ng data ang Clause na ito, Clause 5 (a) hanggang (e) at (g), Clause 6, Clause 7, Clause 8 (2) at Clause 9 hanggang 12 laban sa Data Importer kung saan pisikal na mayroon ang Data Exporter nawala o hindi na umiral sa batas, maliban kung ang lahat ng kanyang legal na obligasyon ay nailipat, sa pamamagitan ng kontrata o sa pamamagitan ng pagpapatakbo ng batas, sa kahalili na entity, kung saan ang mga karapatan at obligasyon ng Data Exporter ay ibinalik, at laban sa kung saan ang data maaaring ipatupad ng paksa ang nasabing mga sugnay.

Maaaring ipatupad ng paksa ng data ang Clause na ito, Clause 5 (a) hanggang (e) at (g), Clause 6, Clause 7, Clause 8 (2) at Clauses 9 hanggang 12 laban sa Data processor, ngunit sa mga kaso lamang kung saan ang Data Ang Exporter at ang Data Importer ay pisikal na nawala, tumigil sa pag-iral sa batas o naging insolvent, maliban kung ang lahat ng mga legal na obligasyon ng Data Exporter ay nailipat, sa pamamagitan ng kontrata o sa pamamagitan ng pagpapatakbo ng batas, sa legal na kahalili, kung saan ang mga karapatan at ang mga obligasyon ng Data Exporter ay samakatuwid ay binigay, at laban sa kung kanino ang paksa ng data ay maaaring magpatupad ng mga naturang sugnay. Ang nasabing pananagutan ng Data processor ay dapat na limitado sa sarili nitong mga aktibidad sa pagproseso sa ilalim ng mga sugnay na ito.

4. Ang mga partido ay hindi tumututol sa data subject na kinakatawan ng isang asosasyon o iba pang katawan kung nais niya at kung pinapayagan ng pambansang batas.

Sugnay 4

Mga Obligasyon ng Data Exporter

Tinatanggap at ginagarantiyahan ng Data Exporter ang sumusunod:

a) ang pagproseso, kabilang ang aktwal na paglilipat ng personal na data, ay at patuloy na isasagawa alinsunod sa mga nauugnay na probisyon ng naaangkop na batas sa proteksyon ng data (at, kung naaangkop, ay naabisuhan sa mga karampatang awtoridad ng Estado ng Miyembro. kung saan nakabatay ang Data Exporter) at hindi nilalabag ang mga nauugnay na probisyon ng Estadong iyon;

b) sila ay nag-utos, at magtuturo sa tagal ng mga serbisyo sa pagpoproseso ng personal na data, ang Data Importer na iproseso ang personal na data na inilipat sa ngalan ng Data Exporter at alinsunod sa naaangkop na batas sa proteksyon ng data at mga sugnay na ito;

c) ang Data Importer ay magbibigay ng sapat na mga pananggalang patungkol sa teknikal at organisasyonal na mga hakbang sa seguridad na tinukoy sa Appendix 2 sa kasalukuyang kontrata;

d) pagkatapos ng pagsusuri ng mga kinakailangan ng naaangkop na batas sa proteksyon ng data, ang mga hakbang sa seguridad ay sapat upang maprotektahan ang personal na data laban sa aksidente o labag sa batas na pagkasira o aksidenteng pagkawala, pagbabago, hindi awtorisadong pagsisiwalat, o pag-access, lalo na kung saan ang pagproseso ay nagsasangkot ng paghahatid ng data sa isang network, at laban sa lahat ng iba pang labag sa batas na paraan ng pagproseso at pagtiyak ng antas ng seguridad na naaangkop sa mga panganib na kinakatawan ng pagproseso at likas na katangian ng data na protektahan, na isinasaalang-alang ang antas ng teknolohiya at ang halaga ng pagpapatupad;

e) titiyakin nila ang pagsunod sa mga hakbang sa seguridad;

f) kung ang paglilipat ay nauugnay sa mga espesyal na kategorya ng data, ang paksa ng data ay ipinaalam o ipapaalam bago ang paglipat, o sa lalong madaling panahon pagkatapos ng paglipat na ang kanyang data ay maaaring ilipat sa isang ikatlong bansa na hindi nag-aalok isang sapat na antas ng proteksyon sa loob ng kahulugan ng Directive 95/46/EC;

g) ipapasa nila ang anumang notification na natanggap mula sa Data Importer o anumang Data processor sa ilalim ng Clauses 5 (b) at 8 (3) sa data protection supervisory authority kung magpasya itong ipagpatuloy ang paglilipat o alisin ang pagsususpinde nito;

h) ibibigay nila sa mga paksa ng data, kung humiling sila, ng kopya ng Mga Clause na ito, maliban sa Appendix 2, at isang buod na paglalarawan ng mga hakbang sa seguridad, at isang kopya ng anumang karagdagang kasunduan sa subcontracting, na natapos sa ilalim ng Mga Clause na ito maliban kung ang Ang mga sugnay o ang kasunduan ay naglalaman ng komersyal na impormasyon, kung saan maaari niyang bawiin ang naturang impormasyon;

i) sa kaso ng sub-contracting ang proseso ng pagproseso ng data, ang aktibidad sa pagproseso ay isinasagawa alinsunod sa Clause 11 ng isang Data processor na nagbibigay ng hindi bababa sa parehong antas ng proteksyon ng personal na data at mga karapatan ng subject ng data bilang ang Data Importer sa ilalim ng Mga Clause na ito ; at

j) titiyakin nito ang pagsunod sa Clause 4 (a) hanggang (i).

Clause 5

Mga Obligasyon ng Data Importer

Tinatanggap at ginagarantiyahan ng Data Importer ang sumusunod:

a) ipoproseso lamang nila ang personal na data sa ngalan ng Data Exporter at sa ilalim ng mga tagubilin ng Data Exporter at ang mga clause na ito; kung hindi ito makakasunod sa anumang dahilan, sumasang-ayon silang ipaalam sa Data Exporter ang kawalan nito sa lalong madaling panahon, kung saan maaaring suspindihin ng Data Exporter ang paglilipat ng data at/o tapusin ang kontrata;

b) wala silang dahilan upang maniwala na ang batas na naaangkop sa kanila ay pumipigil sa kanya na tuparin ang mga tagubiling ibinigay ng Data Exporter at ang mga obligasyong nauukol sa kanya sa ilalim ng kontrata, at kung ang naturang batas ay napapailalim sa pagbabago na maaaring magkaroon ng materyal na masamang epekto. epekto sa mga warranty at obligasyon sa ilalim ng Mga Clause, aabisuhan niya ang Data Exporter ng pagbabago nang walang pagkaantala pagkatapos na malaman ito, kung saan maaaring suspindihin ng Data Exporter ang paglilipat ng data at/o tapusin ang kontrata; (c) ipinatupad nila ang teknikal at organisasyonal na mga hakbang sa seguridad na tinukoy sa Appendix 2 bago iproseso ang inilipat na personal na data;

d) aabisuhan nila ang Data Exporter nang walang pagkaantala:

i) anumang may-bisang kahilingan para sa pagbubunyag ng personal na data mula sa isang awtoridad na nagpapatupad ng batas, maliban kung tinukoy, tulad ng isang pagbabawal sa krimen na naglalayong panatilihin ang lihim ng isang imbestigasyon ng pulisya;

ii) anumang hindi sinasadya o hindi awtorisadong pag-access; at

iii) anumang kahilingang natanggap nang direkta mula sa mga taong kinauukulan nang hindi tumutugon dito maliban kung siya ay pinahintulutan na gawin ito; mga tagapangasiwa

e) haharapin nila kaagad at maayos ang lahat ng mga katanungan mula sa Data Exporter tungkol sa pagproseso nito ng inililipat na personal na data at kikilos sa ilalim ng opinyon ng awtoridad na nangangasiwa tungkol sa pagproseso ng inilipat na data;

f) sa kahilingan ng Data Exporter, isasailalim nila ang mga pasilidad sa pagpoproseso ng data nito sa isang pag-audit ng mga aktibidad sa pagproseso na saklaw ng mga clause na ito na isasagawa ng Data Exporter o isang supervisory body na binubuo ng mga independiyenteng miyembro na may mga kinakailangang propesyonal na kwalipikasyon, napapailalim sa isang obligasyon ng lihim at pinili ng Data Exporter, kung saan naaangkop sa kasunduan ng awtoridad sa pangangasiwa;

g) gagawin nilang available sa paksa ng data, kung humiling siya, ng kopya ng Mga Clause na ito, o anumang umiiral nang sub-contracting sa kontrata sa pagpoproseso ng data, maliban kung naglalaman ang Mga Clause o ang kontrata ng komersyal na impormasyon, kung saan maaari nitong alisin ang naturang kontrata. impormasyon, maliban sa Appendix 2, na papalitan ng isang buod na paglalarawan ng mga hakbang sa seguridad, kung saan ang paksa ng data ay hindi makakakuha ng kopya mula sa Data Exporter;

h) sa kaso ng kumpidensyal na karagdagang sub-contracting sa pagpoproseso ng data, titiyakin niyang ipapaalam niya ang Data Exporter nang maaga at kukuha ng nakasulat na pahintulot ng Data Exporter;

i) ang mga serbisyo sa pagproseso na ibinigay ng Data processor ay dapat sumunod sa Clause 11;

j) kaagad silang magpapadala ng kopya ng anumang sub-contracting ng kasunduan sa pagproseso ng data na pinasok nito sa ilalim ng Mga Clause na ito sa Data Exporter.

Sugnay 6

Pananagutan

1. Sumasang-ayon ang mga partido na ang sinumang paksa ng data na nakaranas ng pinsala dahil sa paglabag sa mga obligasyong tinukoy sa Clause 3 o Clause 11 ng isang partido o ng isang Data processor ay maaaring makakuha ng kabayaran mula sa Data Exporter para sa pinsalang natamo.

2. Kung ang isang paksa ng data ay pinigilan na magsagawa ng aksyon para sa mga pinsala gaya ng tinutukoy sa talata 1 laban sa Data Exporter dahil sa pagkabigo ng Data Importer o ng Data processor nito na sumunod sa alinman sa mga obligasyon nito sa ilalim ng Clause 3 o Clause 11 dahil ang Data Ang Exporter ay pisikal na nawala, hindi na umiral sa batas o naging insolvent, ang Data Importer ay sumasang-ayon na ang data subject ay maaaring magsampa ng reklamo laban dito na parang ito ang Data Exporter maliban kung ang lahat ng legal na obligasyon ng Data Exporter ay nailipat, sa pamamagitan ng kontrata o sa pamamagitan ng pagpapatakbo ng batas, sa kahalili nitong entity, kung saan maaaring ipatupad ng paksa ng data ang kanyang mga karapatan. Maaaring hindi umasa ang Data Importer sa isang paglabag sa mga obligasyon nito ng isang Data processor upang maiwasan ang sarili nitong pananagutan.

3. Kung ang isang paksa ng data ay pinigilan na magsagawa ng pagkilos na tinutukoy sa mga talata 1 at 2 laban sa Data Exporter o sa Data Importer dahil sa paglabag ng Data processor sa mga obligasyon nito sa ilalim ng Clause 3 o Clause 11 dahil ang Data Exporter at ang Data Importer pisikal na nawala, tumigil sa pag-iral sa batas o naging insolvent, sumasang-ayon ang Data processor na ang data subject ay maaaring magsampa ng reklamo laban dito tungkol sa sarili nitong mga aktibidad sa pagpoproseso alinsunod sa mga clause na ito na parang ito ang Data Exporter o Data Importer maliban kung lahat ang mga legal na obligasyon ng Data Exporter o Data Importer ay nailipat, sa pamamagitan ng kontrata o sa pamamagitan ng pagpapatakbo ng batas, sa legal na kahalili, kung saan maaaring igiit ng paksa ng data ang kanyang mga karapatan.Ang pananagutan ng Data processor ay dapat na limitado sa sarili nitong mga aktibidad sa pagpoproseso alinsunod sa mga sugnay na ito.

 

Sugnay 7

Pamamagitan at hurisdiksyon

1. Sumasang-ayon ang Data Importer na kung sa ilalim ng mga sugnay, ang paksa ng data ay humihiling laban sa kanya ng karapatan ng third party na benepisyaryo at/o maghahabol ng kabayaran para sa pinsalang dinanas, tatanggapin niya ang desisyon ng paksa ng data:

a) upang isumite ang hindi pagkakaunawaan sa pamamagitan ng isang independiyenteng tao o, kung naaangkop, ang awtoridad sa pangangasiwa;

b) upang dalhin ang hindi pagkakaunawaan sa mga korte ng Estado ng Miyembro kung saan nakabatay ang Data Exporter.

2. Sumasang-ayon ang mga partido na ang pagpili na ginawa ng paksa ng data ay hindi makakaapekto sa pamamaraan o substantibong karapatan ng paksa ng data upang makakuha ng pagbawi alinsunod sa iba pang mga probisyon ng pambansa o internasyonal na batas.

Sugnay 8

Pakikipagtulungan sa mga awtoridad sa pangangasiwa

1. Sumasang-ayon ang Data Exporter na magdeposito ng kopya ng kasalukuyang kontrata sa awtoridad ng pangangasiwa kung kinakailangan ng huli o kung ang naturang deposito ay ibinigay ng naaangkop na batas sa proteksyon ng data.

2. Sumasang-ayon ang mga partido na ang awtoridad sa pangangasiwa ay maaaring magsagawa ng mga pagsusuri sa Data Importer at anumang Data processor sa parehong lawak at sa ilalim ng parehong mga kundisyon tulad ng mga pagsusuri na isinasagawa sa Data Exporter alinsunod sa naaangkop na batas sa proteksyon ng data.

3. Dapat ipaalam ng Data Importer sa Data Exporter sa lalong madaling panahon ang pagkakaroon ng batas tungkol sa Data Importer o anumang Data processor na pumipigil sa pag-verify sa Data Importer o anumang Data processor alinsunod sa talata 2. Sa ganoong kaso, ang Maaaring gawin ng Data Exporter ang mga hakbang na ibinigay para sa Clause 5 (b).

Sugnay 9

Naaangkop na batas

Nalalapat ang mga sugnay at pinamamahalaan ng batas ng Estado ng Miyembro kung saan nakabatay ang Data Exporter.

Sugnay 10

Pagbabago ng kontrata

Ang mga partido ay nangangako na hindi baguhin ang kasalukuyang mga sugnay. Nananatiling malaya ang mga partido na isama ang iba pang mga komersyal na sugnay na sa tingin nila ay kinakailangan, sa kondisyon na hindi sila sumasalungat sa kasalukuyang mga sugnay.

Sugnay 11

Kasunod na subcontracting

1. Hindi dapat i-subcontract ng Data Importer ang alinman sa mga aktibidad sa pagproseso nito na isinasagawa sa ngalan ng Data Exporter sa ilalim ng mga clause na ito nang walang paunang nakasulat na pahintulot ng Data Exporter. Dapat lamang i-subcontract ng Data Importer ang mga obligasyon nito sa ilalim ng Mga Clause na ito, nang may pahintulot ng Data Exporter, sa pamamagitan ng isang nakasulat na kasunduan sa Data processor na nagpapataw sa Data processor ng parehong mga obligasyon tulad ng ipinataw sa Data Importer sa ilalim ng Mga Clause na ito. Kung hindi makasunod ang Data processor sa mga obligasyon nito sa proteksyon ng data sa ilalim ng nakasulat na kasunduan, ang Data Importer ay mananatiling ganap na responsable sa Data Exporter para sa pagtupad ng mga obligasyong iyon.

2. Ang naunang nakasulat na kasunduan sa pagitan ng Data Importer at ng Data processor ay dapat ding magsama ng isang third-party na sugnay na benepisyaryo tulad ng itinakda sa Clause 3 para sa mga kaso kung saan ang paksa ng data ay pinipigilan na dalhin ang claim para sa mga pinsalang tinutukoy sa Clause 6 (1 ), laban sa Data Exporter o Data Importer dahil ang Data Exporter o Data Importer ay pisikal na nawala, tumigil sa pag-iral sa batas o naging insolvent at lahat ng legal na obligasyon ng Data Exporter o Data Importer ay hindi nailipat, sa pamamagitan ng kontrata o sa pamamagitan ng operasyon ng batas, sa isa pang kahalili na entity. Ang pananagutan ng Data processor ay dapat na limitado sa sarili nitong mga aktibidad sa pagpoproseso alinsunod sa mga sugnay na ito.

3. Ang mga probisyon na nauugnay sa mga aspeto ng proteksyon ng data ng sub-contracting sa pagproseso ng data ng kontrata na tinutukoy sa talata 1 ay dapat na pamamahalaan ng batas ng Estado ng Miyembro kung saan itinatag ang Data Exporter.

4. Ang Data Exporter ay dapat magtago ng isang listahan ng sub-contracting ang mga kasunduan sa pagpoproseso ng data na natapos sa ilalim ng Mga Clause na ito at aabisuhan ng Data Importer alinsunod sa Clause 5 (j), na dapat i-update nang hindi bababa sa isang beses sa isang taon. Ang listahang ito ay dapat gawing available sa awtoridad ng pangangasiwa sa proteksyon ng data ng Data Exporter.

Sugnay 12

Obligasyon pagkatapos ng pagwawakas ng mga serbisyo sa pagpoproseso ng personal na data

1. Sumasang-ayon ang mga partido na sa pagkumpleto ng mga serbisyo sa pagpoproseso ng data, ang Data Importer at ang Data processor ay, sa kaginhawahan ng Data Exporter, ibabalik ang lahat ng personal na data na inilipat at mga kopya nito sa Data Exporter, o sisirain ang lahat ng naturang data at magbibigay ng patunay ang pagkasira sa Data Exporter, maliban kung ang batas na ipinataw sa Data Importer ay humahadlang dito na ibalik o sirain ang lahat o bahagi ng personal na data na inilipat. Sa kasong iyon, ginagarantiyahan ng Data Importer na titiyakin nito ang pagiging kumpidensyal ng inilipat na personal na data at hindi na nito aktibong ipoproseso ang data.

2. Ang Data Importer at ang Data processor ay dapat tiyakin na, kung ito ay hihilingin ng Data Exporter at/o ang nangangasiwa na awtoridad, isasailalim nila ang kanilang paraan ng pagproseso ng data sa pag-verify ng mga hakbang na tinutukoy sa talata 1.

 

 

 

 

Appendix 1.1 hanggang Part 2

Mga detalye ng paglilipat

 

 

Taga-export ng Data

Ang Data Exporter ay ang Customer na tinukoy sa Contractual na kasunduan.

 

Taga-import ng Data

Ang Data Importer ay IQUALIF at itinalaga upang iproseso ang data, na nagbibigay ng mga serbisyo sa Data Exporter.

 

Mga paksa ng datos

Ang personal na data na inilipat ay may kinalaman sa mga sumusunod na kategorya ng mga paksa ng data:

˜' mga subscriber ng telepono na nakalista sa pangkalahatang direktoryo

˜ Iba pa, kabilang ang:

 

Mga kategorya ng data

Ang personal na data na inilipat ay may kinalaman sa mga sumusunod na kategorya ng data:

 

Mga kategorya ng personal na data ng mga paksa ng data ng Data Exporter sa partikular,

˜' Buong pangalan

˜' Postal address

˜' Mga detalye ng contact (e-mail, telepono, IP address, atbp.)

˜' Mga detalye ng mga aktibidad sa marketing tungkol sa subscriber ng telepono

˜' Iba pa, kabilang ang uri ng pabahay, kita, at karaniwang edad ng lungsod na ginawa nang hindi nagpapakilala

 

Mga espesyal na kategorya ng data (kung naaangkop)

Ang personal na data na inilipat ay may kinalaman sa mga sumusunod na espesyal na kategorya ng data:

˜' Ang paglipat ng mga espesyal na kategorya ng data ay hindi inaasahan

˜ Lahi o etnikong pinagmulan

˜ Relihiyoso o pilosopikal na paniniwala

˜ Membership sa unyon ng manggagawa

˜ Mga pananaw sa pulitika

˜ Genetic na impormasyon

˜ Biometric na impormasyon

˜ Impormasyon sa oryentasyong sekswal o buhay sekswal

˜ Data ng kalusugan

 

Mga aktibidad sa pagproseso

Ang personal na data na inilipat ay sasailalim sa mga sumusunod na pangunahing aktibidad sa pagproseso:

 

  •  
    • ¢ Layunin ng pagproseso

Ang pagproseso na isinagawa sa ngalan ng Data Exporter ay batay sa mga sumusunod na paksa, sa partikular:

˜' Pangangasiwa sa mga produkto o serbisyong inaalok ng Data Exporter

˜' Ang alok ng isang produkto o serbisyo na maaaring hilingin ng tinatawag na tao

˜' Mga order na kinuha mula sa mga taong tinawag at karagdagang pagproseso ng mga order na ito

˜' Pag-aralan ang mga questionnaire at pagsusuri

˜' Telemarketing

˜ Iba pa, kabilang ang:

 

  •  
    • ¢ Kalikasan at layunin ng pagproseso

Pinoproseso ng Data Importer ang personal na data ng mga paksa ng data sa ngalan ng Data Exporter, upang maibigay ang mga sumusunod na serbisyo, at higit sa lahat:

˜' Sales at Marketing

˜' Iba pa, kabilang ang pag-update ng mga database ng mga bulwagan ng bayan at mga partidong pampulitika

 

  •  
    • ¢ Probisyon ng mga serbisyo at trabaho ng mga nagbibigay ng serbisyo

 

Ang IQUALIF ay pangunahing pinagsasama, isinasentro, at nagbibigay ng mga serbisyo sa Data Exporter. Ang mga serbisyong ibinigay ng pinangalanang service provider ay maaaring nakaayos (kabilang ang iba kung naaangkop) sa paligid ng mga sumusunod na pantulong na serbisyo: (i) probisyon ng mga application, tool, system, at imprastraktura ng IT kaugnay ng mga data processing center na ginamit, upang makapagbigay ng at suportahan ang mga serbisyo, kabilang ang pagpoproseso ng personal na data ng mga paksa ng data tulad ng inilarawan sa itaas, sa pamamagitan ng mga application, tool, at system, (ii) ang pagbibigay ng suporta sa IT, pagpapanatili at iba pang mga serbisyong nauugnay sa mga naturang application, tool, system at imprastraktura ng IT, kabilang ang potensyal na pag-access sa personal na data na nakaimbak sa naturang mga application, tool, at system, at (iii) ang pagbibigay ng mga serbisyo sa proteksyon ng data, pagsubaybay sa proteksyon, at mga serbisyo sa pagtugon sa insidente, kabilang ang potensyal na pag-access sa personal na data kapag nagbibigay ng mga naturang serbisyo sa proteksyon. Maaaring makipag-ugnayan ang IQUALIF sa mga Data processor gaya ng itinakda sa ibaba upang ibigay ang mga serbisyo, kabilang ang mga pantulong na serbisyo.

 

  •  
    • ¢ Mga panlabas na third-party na service provider bilang mga sub-entity na nakatalaga sa pagproseso ng data

 

Nakikipag-ugnayan ang IQUALIF sa mga external at third-party na service provider, na hindi mga subsidiary ng IQUALIF, upang suportahan ang pagbibigay ng mga serbisyo sa Data Exporter. Inaprubahan ng Data Exporter ang mga panlabas na third-party na service provider bilang mga sub-entity na nakatalaga sa pagproseso ng data.

 

Kung ang isang sub-entity na kasangkot sa pagproseso ng data ay matatagpuan sa labas ng EU/EEA, sa isang bansang itinuring na walang sapat na antas ng proteksyon ng data sa ilalim ng desisyon ng European Commission, ang Data Importer ay gagawa ng mga hakbang upang makakuha ng sapat na antas ng proteksyon ng data alinsunod sa GDPR at seksyon 3.4 (iv) ng Bahagi 1.

 

 

Appendix 2, Bahagi 2

Teknikal at organisasyonal na mga hakbang sa proteksyon

 

Dapat gawin ng Data Importer ang mga sumusunod na teknikal at organisasyonal na mga hakbang sa proteksyon na kinumpirma ng Data Exporter, upang magarantiya ang naaangkop na antas ng seguridad para sa mga karapatan at kalayaan ng mga indibidwal, depende sa mga panganib. Sa pagtatasa sa antas ng proteksyong nababahala, ang Data Exporter ay isinasaalang-alang, sa partikular, ang mga panganib na kasangkot sa pagproseso, kabilang ang hindi sinasadya o labag sa batas na pagkasira, pagbabago, hindi awtorisadong pagbubunyag, o pag-access sa personal na data na ipinadala, nakaimbak, o kung hindi man naproseso. Sa pamamagitan ng paglilinaw: Hindi nalalapat ang mga teknikal at organisasyonal na hakbang na ito sa proteksyon sa mga application, tool, system, at/o imprastraktura ng IT na ibinigay ng Data Exporter.

1 Pangkalahatang teknikal at organisasyonal na mga hakbang sa proteksyon
1.1 Pangkalahatang impormasyon at mga diskarte sa proteksyon ng data
Ang mga sumusunod na hakbang ay dapat gawin upang sundin ang pangkalahatang data at mga diskarte sa proteksyon ng impormasyon:
  • a) gumawa ng mga hakbang upang suriin ang mga ginawa tungkol sa teknikal at pang-organisasyong proteksyon;
  • b) magbigay ng pagsasanay upang itaas ang kamalayan sa mga empleyado;
  • c) magkaroon ng isang paglalarawan ng mga system na nababahala at magbigay ng access sa mga empleyado;
  • d) magtatag ng isang pormal na proseso ng dokumentasyon sa tuwing ipinapatupad o binago ang mga sistema;
  • e) pagdodokumento ng istruktura ng organisasyon, mga proseso, mga responsibilidad, at kani-kanilang mga pagsusuri;
 
1.2 Organisasyon ng proteksyon ng impormasyon
Ang mga sumusunod na hakbang ay dapat gawin upang i-coordinate ang mga aktibidad sa proteksyon ng data at impormasyon:
  • a) tinukoy na mga responsibilidad para sa proteksyon ng impormasyon at data (hal. sa pamamagitan ng patakaran sa pamamahala ng proteksyon ng data);
  • b) ang kinakailangang kadalubhasaan sa pagprotekta sa impormasyon at data na natitirang magagamit;
  • c) ang lahat ng empleyado ay nakatuon sa pagtiyak na ang personal na data ay pinananatiling kumpidensyal, at naabisuhan ng mga potensyal na kahihinatnan ng paglabag sa pangakong ito.
 
1.3 I-access ang kontrol sa mga lugar ng pagpoproseso
Ang mga sumusunod na hakbang ay dapat gawin upang maiwasan ang mga hindi awtorisadong tao na magkaroon ng access sa mga sistema ng pagpoproseso ng data (sa partikular na software at hardware) kapag ang personal na data ay naproseso, iniimbak, o ipinadala:
  • a) magtatag ng mga ligtas na lugar;
  • b) protektahan at higpitan ang pag-access sa mga sistema ng pagproseso ng data;
  • c) magtatag ng mga awtorisasyon sa pag-access para sa mga empleyado at mga ikatlong partido, kabilang ang mga kaukulang dokumento;
  • d) ang anumang pag-access sa mga sentro ng pagpoproseso ng data kung saan naka-imbak ang personal na data ay dapat maitala.
 
1.4 I-access ang kontrol sa mga sistema ng pagproseso ng data
Ang mga sumusunod na hakbang ay dapat gawin upang maiwasan ang hindi awtorisadong pag-access sa mga sistema ng pagproseso ng data:
  • a) mga patakaran at pamamaraan sa pagpapatunay ng user;
  • b) ang paggamit ng mga password sa lahat ng mga computer system;
  • c) ang malayuang pag-access sa network ay nangangailangan ng multi-factor authentication at ibinibigay sa taong kinauukulan ayon sa kanilang mga responsibilidad at kapag may pahintulot;
  • d) ang pag-access sa mga partikular na function ay batay sa mga function ng trabaho at/o mga katangian na indibidwal na itinalaga sa account ng isang user;
  • e) ang mga karapatan sa pag-access na nauugnay sa personal na data ay regular na sinusuri;
  • f) ang mga talaan ng mga pagbabago sa mga karapatan sa pag-access ay pinananatiling napapanahon.
 
1.5 Pagkontrol sa pag-access sa mga partikular na lugar ng paggamit ng mga sistema ng pagpoproseso ng data
Ang mga sumusunod na hakbang ay dapat gawin upang matiyak na ang mga awtorisadong tao na may karapatang gumamit ng sistema ng pagpoproseso ng data ay maaari lamang mag-access ng data sa loob ng kani-kanilang mga responsibilidad at ma-access ang mga pahintulot at ang personal na data ay hindi maaaring basahin, kopyahin, baguhin, o tanggalin nang walang pahintulot:
  1.  
    1. a) mga patakaran, tagubilin, at pagsasanay ng mga empleyado, tungkol sa mga obligasyon ng bawat isa sa kanila tungkol sa pagiging kumpidensyal, mga karapatan ng pag-access sa personal na data, at ang saklaw ng pagproseso ng personal na data;
  • b) mga hakbang sa pagdidisiplina laban sa mga taong uma-access ng personal na data nang walang pahintulot;
  • c) ang pag-access sa personal na data ay ipagkakaloob lamang sa mga awtorisadong tao, sa batayan na kailangang malaman;
  • d) magpanatili ng isang listahan ng mga tagapangasiwa ng system at gumawa ng naaangkop na mga hakbang upang masubaybayan ang mga tagapangasiwa ng system;
  • e) hindi upang kopyahin o kopyahin ang personal na data sa anumang sistema ng imbakan upang bigyang-daan ang mga hindi awtorisadong tao na alisin ang impormasyon ng nagmula;
  • f) kinokontrol at dokumentado ang pagtanggal o pagsira ng data;
  • g) upang ligtas na iimbak ang lahat ng personal na data na dapat panatilihin para sa legal o pangregulasyon na mga kadahilanan (hal. mga obligasyon na panatilihin ang data), at hangga't kinakailangan ng batas.
 
1.6 Kontrol sa paghahatid
Ang mga sumusunod na hakbang ay dapat gawin upang maiwasan ang personal na data na mabasa, makopya, mabago, o matanggal ng hindi awtorisadong mga third party sa panahon ng paghahatid o transportasyon ng mga data storage device (depende sa pagproseso ng personal na data na ginawa):
  1.  
    1. a) paggamit ng mga firewall;
  • b) pag-iwas sa pag-imbak ng personal na data sa mga mobile storage device para sa mga layunin ng transportasyon, o pag-encrypt ng mga device;
  • c) gamitin sa mga laptop at iba pang mga mobile device pagkatapos lamang ma-activate ang proteksyon sa pag-encrypt;
  • d) pag-log ng mga pagpapadala ng personal na data.
 
1.7 Kontrol sa pagpasok ng data
Ang mga sumusunod na hakbang ay dapat gawin upang matiyak na posibleng ma-verify at matukoy kung ang personal na data ay naipasok o tinanggal mula sa mga sistema ng pagproseso ng data at kung kanino:
  1.  
    1. a) isang patakaran para sa pagpapahintulot sa pagbabasa, pagbabago, at pagtanggal ng nakaimbak na data;
  • b) mga hakbang sa proteksyon hinggil sa pagbabasa, pagbabago, at pagtanggal ng nakaimbak na data.
 
1.8 Kontrol sa trabaho
Sa kaso ng itinalagang pagproseso ng personal na data, ang mga sumusunod na hakbang ay dapat gawin upang matiyak na ang naturang data ay naproseso alinsunod sa mga tagubilin ng Supervisor:
  1.  
    1. a) mga entity o sub-entity na nakatalaga sa pagproseso ng data, pinili nang may pag-iingat (mga service provider na nagpoproseso ng personal na data sa ngalan ng controller);
  • b) mga tagubilin tungkol sa saklaw ng anumang pagproseso ng personal na data sa mga empleyado, entity, o sub-entity na itinalaga sa pagproseso ng data;
  • c) mga karapatan sa pag-audit na napagkasunduan sa mga entity o sub-entity na itinalaga sa pagproseso ng data;
  • d) mga kasunduan sa lugar sa mga entity o sub-entity na itinalaga upang iproseso ang data.
 
1.9 Paghihiwalay mula sa pagproseso para sa iba pang mga layunin
Ang mga sumusunod na hakbang ay dapat gawin upang matiyak na ang data na nakolekta para sa iba pang mga layunin ay maaaring iproseso nang hiwalay:
  1.  
    1. a) hiwalay na pag-access sa personal na data alinsunod sa mga umiiral na karapatan ng mga gumagamit;
  • b) ang mga interface, pagpoproseso ng batch at pag-uulat ay para sa iba pang mga layunin at function, upang ang data na nakolekta para sa iba pang mga layunin ay maaaring maproseso nang hiwalay.
 
1.10 Pseudonymization
Ang mga sumusunod na hakbang ay dapat gawin tungkol sa pseudonymization ng personal na data:
  1.  
    1. a) Kung ang Data Exporter ay nag-utos ng isang partikular na operasyon sa pagpoproseso o kung ito ay itinuturing na naaangkop ng Data Importer alinsunod sa mga batas sa proteksyon ng data na ipinatutupad tungkol sa ilang mga aktibidad sa pagproseso, ang pagproseso ng personal na data ay isasagawa sa paraang ang hindi na maiuugnay ang data sa isang partikular na tao nang hindi gumagamit ng karagdagang impormasyon. Ang karagdagang impormasyong ito ay itatago nang hiwalay;
  • b) paggamit ng mga pamamaraan ng pseudonymization, kabilang ang randomization ng listahan ng alokasyon; paglikha ng mga halaga sa anyo ng mga matutulis.
 
1.11 Pag-encrypt

Ang mga sumusunod na hakbang ay dapat gawin upang i-encrypt ang personal na data sa mga application at pagpapadala na sumusuporta sa pag-encrypt:

  1.  
    1. a) paggamit ng mga diskarte sa pag-encrypt;
  • b) pagtatatag ng pamamahala sa pag-encrypt upang suportahan ang mga pamamaraan ng pag-encrypt na awtorisadong gamitin;
  • c) pagsuporta sa paggamit ng cryptography sa pamamagitan ng mga pamamaraan at protocol para sa pagbuo, pagbabago, pagbawi, pagsira, pamamahagi, pagpapatunay, pag-iimbak, pagkuha, paggamit, at pag-archive ng mga cryptographic key upang maprotektahan laban sa hindi awtorisadong pagbabago at pagsisiwalat.
 
1.12 Pagkumpleto ng mga sistema at serbisyo sa pagproseso ng data
Ang mga sumusunod na hakbang ay dapat gawin upang matiyak ang pagkakumpleto ng mga sistema at serbisyo sa pagproseso ng data:
  1. a) proteksyon ng mga sistema sa pagpoproseso ng data laban sa pagmamanipula o pagkasira sa pamamagitan ng naaangkop na paraan (hal. anti-virus software, data loss prevention software at software laban sa malware, software patch, firewall, at pinamamahalaang desktop protection);
  • b) ipagbawal ang pag-install ng anumang serbisyo o software na nakakapinsala sa mga sistema ng pagproseso ng data, mga serbisyo, o pagmamanipula ng personal na data;
  • c) paggamit ng isang network intrusion detection at prevention system sa istruktura ng network mismo.
 
1.13 Availability ng mga system at serbisyo sa pagpoproseso ng data at ang posibilidad ng pagpapanumbalik ng access sa at paggamit ng personal na data sa kaganapan ng isang materyal o teknikal na insidente
Ang mga sumusunod na hakbang ay dapat gawin upang matiyak ang pagkakaroon ng mga sistema sa pagpoproseso ng data, gayundin upang mabilis na maibalik ang kakayahang magamit at pag-access sa personal na data, sa kaganapan ng isang materyal o teknikal na insidente (lalo na sa pamamagitan ng pagtiyak na ang personal na data ay protektado laban sa hindi sinasadyang pagkasira o pagkawala):
  • a) may paraan ng kontrol para sa pagpapanatili ng mga backup na kopya at pagpapanumbalik ng nawala o tinanggal na data;
  • b) kalabisan sa imprastraktura at pagsubok sa pagganap;
  • c) pisikal na proteksyon ng mga mapagkukunan ng computer;
  • d) paggamit ng mga tool upang subaybayan ang katayuan at pagkakaroon ng panloob na network;
  • e) mga patakaran sa pag-uulat ng insidente at pagtugon na namamahala sa pamamaraan ng pamamahala ng insidente, at pag-uulit ng pagsunod sa mga patakarang ito bilang bahagi ng regular na pagsasanay;
  • f) mga backup (kung minsan ay nasa labas ng site) upang ibalik ang system upang paganahin itong maisagawa muli ang mga function nito;
  • g) pagpapatuloy ng negosyo/mga plano sa pagbawi ng kalamidad
 
1.14 Katatagan ng mga sistema at serbisyo sa pagproseso ng data
Ang mga sumusunod na hakbang ay dapat gawin upang matiyak ang katatagan ng mga sistema at serbisyo sa pagpoproseso ng data:
  • a) mga system at na-configure nang maayos, gamit ang mga naaprubahang parameter ng seguridad;
  • b) kalabisan sa network;
  • c) proteksyon sa pagpigil ng mga kritikal na sistema.
 
1.15 Pamamaraan para sa regular na pagsubok, pagsusuri, at pagtatasa ng pagiging epektibo ng teknikal at organisasyonal na mga hakbang upang matiyak ang seguridad ng pagproseso ng data
Pamamaraan para sa regular na pagsubok, pagsusuri, at pagtatasa ng pagiging epektibo ng mga teknikal at organisasyonal na hakbang upang maprotektahan ang pagproseso ng data.
  • a) gawin ang mga kinakailangang hakbang upang masuri ang mga panganib at mga diskarte sa pagpapagaan;
  • b) mga pagpupulong sa pagsusuri ng serbisyo ng departamento ng IT upang matugunan ang mga kasalukuyang isyu;
  • c) ang pagpapatuloy ng negosyo/mga plano sa pagbawi ng kalamidad ay regular na ina-update.

 

Bahagi 3

Mga lagda ng mga partido at listahan ng mga Data Importer

 

Kapag pinunan mo ang online na form ng pag-order at na-validate ito sa pamamagitan ng pag-tick sa kahon na tinatanggap ang mga pangkalahatang tuntunin at kundisyon ng paggamit, ang kontrata na namamahala sa relasyon sa pagitan ng Customer at IQUALIF ay itinatag.

Ang pagpapadala ng bayad sa IQUALIF ay isasaalang-alang ang kontratang napagkasunduan at itinatag.


Tandaan: Ang tekstong ito ay isinalin mula sa Pranses. Ang orihinal na bersyon ng Pranses, na wasto at legal na naghihigpit, ay magagamit dito .