資料處理附錄
本附錄是本契约不可分割的一部分,由以下各方簽訂:
- (i)客戶(“數據匯出方”)
- (ii)IQUALIF(“數據導入方”)
每一方都是“一方”,通常是“雙方”。
序言
數據導入方提供專業軟件服務、電腦及相關服務(如具有高級搜索功能的瀏覽器);
根據契约,資料登錄方同意向數據輸出方提供契约規定的服務(“服務”);
如果通過提供服務,數據導入方獲得或受益於數據匯出方的資訊或與數據匯出方有(潜在)關係的其他人的資訊,則此類資訊可被視為歐洲議會和歐盟法規(EU)2016/679所指的個人數據2016年4月27日關於保護個人處理個人數據和此類數據自由流動的理事會(“GDPR”)和其他適用的數據保護法律。
如果本附錄包含適用於數據導入方作為數據匯出方的授權資料處理代理收集、處理和使用此類個人數據的條款和條件,以確保雙方遵守適用的資料保護法。
囙此,為了使雙方能够合法地繼續其關係,雙方訂立本附錄如下:
第1部分
1檔案結構和定義
1.1結構
本附錄包括以下不同部分:
| 第1部分: | 包含一般規定,例如關於本附錄中使用的定義、遵守當地法律、時間安排和終止
|
| 第2部分: | 包含未修訂的標準合同條款檔案的正文 |
| 第2部分附錄1.1: | 載有資料輸入者向資料輸出者提供的資料處理工作詳情,而資料輸出者是本附錄下的獲授權資料處理代理人(包括資料處理、性質及處理目的、個人資料類型及資料主體類別)
|
| 第2部分附錄2: | 包含數據導入方的科技和組織安全措施的說明,這些措施適用於第2部分附錄1.1中描述的所有處理活動
|
| 第3部分: | 包含受本附錄約束的各方的簽名,並標識每個數據導入者
|
1.2術語和定義
在本附錄中,GDPR使用的術語和定義適用(在第2部分標準合同條款檔案正文中,定義的術語不大寫)。
| “成員國” | 指屬於歐盟或歐洲經濟區的國家
|
| “特殊類別(個人)數據” | 是指顯示種族或民族血統、政治觀點、宗教或哲學信仰或工會成員身份的個人數據,以及遺傳數據、生物特徵數據(如果為唯一識別個人而處理)、有關健康的數據、有關個人性生活或性取向的數據
|
| “標準合同條款” | 系指根據2010年2月5日歐盟委員會第2010/87/EU號决定,並經2016年12月16日歐盟委員會第2016/2297號執行决定修訂的第三國處理機构個人資料傳輸標準合同條款
|
| “數據處理器” | 系指位於歐盟/歐洲經濟區內外的任何處理代理,其同意從數據導入方或數據導入方的任何其他處理方處接收個人數據,用於數據匯出方在根據數據匯出方的訓示、本協定的條款進行傳輸後進行的處理活動附錄和與數據導入方的契约
|
2數據輸出者的義務
2.1數據輸出方有義務確保遵守GDPR和適用於數據輸出方的任何其他適用資料保護法下的所有適用義務,並按照GDPR第5(2)條的要求證明此類遵守。數據輸出方保證,資料登錄方已根據GDPR第6(a)條獲得數據主體的事先同意,並已根據GDPR第13條和第14條履行其通知數據主體的義務。
2.2數據輸出方必須根據GDPR第30(1)條向資料登錄方提供與本附錄下服務相關的處理活動的相應檔案,以使資料登錄方遵守GDPR第30(2)條規定的義務。
2.3數據輸出方必須在適用資料保護法要求的範圍內任命一名數據保護官員或代表。數據輸出方有義務向資料登錄方提供數據保護代理或代表(如有)的聯繫方式。
2.4.數據輸出方在處理完成前,通過接受本附錄,確認資料登錄方的科技和組織安全措施,如第2部分附錄2所述,適當且足以保護數據主體的權利,並確認數據導入方在這方面提供了充分的保障。
3。遵守當地法律
為滿足GDPR第28條規定的加工劑實施要求,適用以下修正案:
3.1說明
- (i)數據匯出器訓示數據導入器僅代表數據匯出器處理個人數據。本附錄和契约中提供了數據輸出者的說明。數據輸出方有義務確保向資料登錄方發出的所有訓示符合適用的數據保護法律。除非歐盟或成員國法律另有要求(在後一種情况下,第1部分第3.2(iv)(c)條適用),否則數據導入方只能按照數據匯出方提供的說明處理個人數據。
- (ii)超出本附錄或契约中說明的所有其他說明必須包含在本附錄和契约的主題中。如果執行本附加指令涉及數據導入方的費用,數據導入方應在執行指令前通知數據匯出方此類費用並提供解釋。只有在數據輸出方確認接受這些執行指令的費用後,資料登錄方才能執行此附加指令。除非緊急情况或其他特殊情况需要另一種形式(如口頭、電子形式),否則數據輸出者必須以書面形式提供額外的訓示。非書面形式的訓示必須由數據輸出者立即書面確認。
- 1除非數據輸出者無法自行對個人數據進行更正、删除或限制,否則本說明也可能涉及第1部分第3.3條所述的個人數據更正、删除和/或限制。
- 2如果數據進口方認為指令違反了GDPR或歐盟或成員國的其他適用數據保護規定(“有爭議指令”),則數據進口方必須立即通知數據出口方。如果數據進口商認為某項訓示違反了GDPR或歐盟或成員國的其他適用數據保護規定,則數據進口商沒有義務遵循有爭議的訓示。如果數據輸出方在收到資料登錄方的資訊後確認有爭議的訓示,並承認其對有爭議的訓示負有責任,則資料登錄方應執行有爭議的訓示,除非有爭議的訓示涉及(i)科技和組織措施的執行,(ii)數據主體的權利或(iii)資料處理者的參與。在第(i)至(iii)種情况下,數據進口商可聯系首長監管機构,由該機构對有爭議的指令進行法律評估。如果監管機构宣佈被質疑的指令合法,數據導入方應執行被質疑的指令。第一部分第3.1(ii)條仍適用。
3.2數據導入方的義務
- (i)數據導入方必須確保數據導入方授權代表數據匯出方處理個人數據的人員,特別是數據導入方的員工和任何分包商的員工,已承諾遵守保密規定,或遵守適當的法定保密義務,而該等有權查閱個人資料的人須按照資料輸出人的訓示處理該等資料。
- (ii)在代表數據輸出者處理個人數據之前,資料登錄者必須實施第2部分附錄2中規定的科技和組織安全措施。如果科技和組織安全措施提供的保護不低於第2部分附錄2中規定的保護,則數據導入方可不時更改這些措施。
- (iii)應數據輸出方的要求,資料登錄方應向數據輸出方提供資訊,以表明資料登錄方遵守本附錄規定的義務。雙方同意,通過向數據輸出方提供稽核報告(涵蓋原則安全、系統可用性和保密性)(“稽核報告”)來履行此資訊義務。如果法律要求進行額外的稽核活動,數據輸出方可要求數據輸出方或數據輸出方指定的其他審計師進行檢查,前提是該審計師與資料登錄方簽署保密協定,並使資料登錄方合理滿意(“稽核”)。本次稽核須符合以下條件:(i)數據導入方事先正式書面接受;(ii)數據匯出方應承擔數據匯出方和數據導入方現場稽核的所有相關費用。數據輸出者必須創建一份稽核報告,總結現場稽核的結果和觀察結果(“現場稽核報告”)。現場稽核報告和稽核報告是數據導入方的機密資訊,除非適用的資料保護法要求或數據導入方同意,否則不得向協力廠商披露。
- (iv)數據進口方有義務立即通知數據出口方:
- a、關於執法機關披露個人資料的任何具有法律約束力的請求,除非另有禁止,例如刑法禁止保護執法調查的機密性
- b、關於直接從數據主體收到的任何投訴和請求(例如,關於訪問、更正、删除、處理限制、數據可移植性、對資料處理的抗告、自動決策),而不回應該請求,除非數據導入方已獲授權這樣做
- c、如果數據導入者或資料處理者根據歐盟或數據導入者或資料處理者所屬成員國的法律,有義務在數據匯出者的訓示之外處理個人數據,則在執行訓示之外的處理之前,除非歐盟或成員國的法律基於重大公共利益禁止此類處理,在這種情況下,向數據輸出者發出的通知應說明歐盟或成員國法律規定的法律要求;或
- d、如果數據導入方僅僅因為其自身或其分包商而實現了對個人數據的侵權,這將影響本契约所涵蓋的數據匯出方的個人數據,在這種情況下,數據導入方將協助數據匯出方履行其根據適用數據保護法承擔的義務,根據GDPR第33(3)條,通過提供可供其使用的資訊,通知數據主體和監管機构(如適用)。
- (v)應數據輸出方的請求,資料登錄方應被迫協助數據輸出方履行其義務,進行《全球數據保護條例》第35條可能要求的數據保護影響評估,以及《全球數據保護條例》第36條可能要求的關於數據輸入方向數據輸出方提供的服務的事先磋商本附錄下的數據輸出者,向數據輸出者提供必要的資訊。只有當數據輸出方不能通過其他管道履行其義務時,資料登錄方才有義務提供此類協助。數據導入方將告知數據匯出方此類協助的成本。一旦數據匯出器確認它可以承擔此費用,數據導入器將向數據匯出器提供此幫助。
- (vi)在提供服務結束時,數據輸出者可在服務結束後一個月內要求歸還資料登錄者根據本附錄處理的個人數據。除非成員國或歐盟的立法要求數據進口方存儲或保留此類個人數據,否則數據進口方將在一個月後删除所有此類個人或非個人數據,無論這些數據是否應數據出口方的要求退還給數據出口方。
3.3有關人員的權利
- (i)數據匯出器管理並響應數據主體發出的請求。數據導入者沒有義務直接回復數據主體。
- (ii)如果數據輸出者要求資料登錄者協助處理和響應數據主體的請求,則數據輸出者應根據第1部分第3.1(ii)條發出進一步訓示。數據進口方將協助數據出口方採取以下適當的技術性組織措施,以回應《全球數據保護條例》第三章所列數據主體行使權利的請求,具體如下:
- a、關於資訊請求,數據導入方將僅向數據匯出方提供PGRD第13條和第14條所要求的資訊,如果數據匯出方無法自行找到這些資訊,則數據導入方可能擁有這些資訊。
- b、關於訪問請求(《全球數據保護條例》第15條),數據進口方將只向數據出口方提供為上述訪問請求而應向數據主體提供的資訊,如果後者單獨找不到這些資訊,則數據進口方可能擁有這些信息。
- c、關於糾正請求(《全球數據保護條例》第16條)、删除請求(《全球數據保護條例》第17條)、處理請求限制(《全球數據保護條例》第18條)或可移植性請求(《全球數據保護條例》第20條),且僅當數據匯出者自身無法糾正或删除時,限制或傳輸個人數據給另一協力廠商,數據導入方將向數據匯出方提供糾正或删除、限制或傳輸相關個人數據給另一協力廠商的可能性,如果不可能,數據導入方將提供糾正或删除、限制或傳輸相關個人數據的協助,或將有關的個人資料傳送給第三者。
- d、關於糾正、删除或限制處理的通知(《全球數據保護條例》第19條),如果數據輸出者提出要求,並且數據輸出者無法補救其所處的情况,資料登錄者將通過通知資料登錄者作為處理者聘用的個人數據的所有接收者來協助數據輸出者自己的。
- e、關於數據主體行使的反對權(《全球數據保護條例》第21條和第22條),數據輸出方將决定反對是否合法以及如何處理。
- (iii)資料登錄者的協助義務僅限於在其基礎設施內處理的個人數據(例如資料登錄者擁有或提供的資料庫、系統、應用程序)。
- (iv)數據輸出方應確定數據主體是否可以行使本第1部分第3.1條規定的數據主體的權利,並應將第1部分第3.3(ii)、(iii)條規定的協助的必要程度告知資料登錄方。
- (v)如果數據輸出方要求採取額外或修改的科技和組織措施,以滿足數據主體的權利,而這些權利超出了資料登錄方根據第1部分第3.3(ii)、(iii)款提供的協助範圍,數據進口方應將實施此類附加或修改的科技和組織措施的費用告知數據出口方。一旦數據輸出方確認其能够支付這些費用,資料登錄方應實施此類附加或修改的科技和組織措施,以協助數據輸出方響應數據主體的請求。
- (vi)在不限制第1部分第3.3(v)條範圍的情况下,數據輸出方有義務向資料登錄方補償其在響應數據主體請求時產生的合理費用。
3.4子處理
- (i)數據輸出方授權資料登錄方使用分包商提供本附錄下的服務。數據導入者應仔細選擇此類數據處理器。數據輸出方準予第2部分末尾附錄1.1中列出的數據處理器。
- (ii)數據進口方應將其在本附錄下的義務轉移至適用於分包服務的資料處理方。
- (iii)數據導入方可自行决定解雇、更換或任命另一個適當且可靠的資料處理方。如果數據輸出方書面要求,資料登錄方必須遵循以下程式:
- a、數據導入方應在第1部分第3.4(i)條所述數據處理器清單發生任何變更前通知數據匯出方。如果數據匯出器未根據第3.4條提出異議。(b)在收到資料登錄方的通知後三十天內,額外的資料處理者應被視為已被接受。
- b、如果數據輸出方有正當理由反對額外的資料處理方,它將在收到資料登錄方的通知後三十天內,在資料登錄方的服務投入運行之前,向資料登錄方發出事先書面通知。如果數據輸出者反對使用額外的資料處理者,資料登錄者可以通過以下選項之一(自行選擇)消除反對意見:(A)資料登錄者將取消其使用有關資料輸出者個人數據的額外處理者的計畫;(B)數據導入方將採取數據匯出方在其抗告(取消抗告)中要求的糾正措施,並就數據匯出方的個人數據使用附加處理器;(C)數據導入方可能停止提供或數據匯出方可能同意(暫時或永久)不使用數據的特定方面涉及使用數據輸出者的個人數據的進一步處理器的服務。
- (iv)如果數據處理器位於歐盟-歐洲經濟區以外的一個國家,而該國家在歐盟委員會作出决定後未被認為提供足够水准的數據保護,數據進口商將採取措施,按照GDPR的規定,遵守適當的數據保護水准(此類措施可能包括——除其他外——使用基於歐盟模式條款的資料處理契约,在歐盟-美國保護盾的框架內轉讓給自我認證的資料處理者,或類似措施)程式)。
3.5有效期
本附件的有效期與相應契约的有效期相同。除本附錄另有規定外,與契约終止有關的權利和義務應與契约中包含的權利和義務相同。
4責任限制
4.1各方處理其在本附錄和適用數據保護立法下的義務。
4.2與違反本附錄或適用數據保護立法下的義務有關的任何責任應遵守或適用於本契约的責任條款,除非本附錄另有規定。如果責任受本契约中規定的或適用於本契约的責任條款管轄,為計算責任限額或確定其他責任限額的適用,本附錄下產生的任何責任應視為本契约下產生的責任。
5一般規定
5.1如果本附錄第1部分和第2部分之間存在任何不一致或不一致之處,以第2部分為准。具體地說,即使在這種情況下,第1部分僅僅超越了第2部分(即標準條款的條款),而沒有與之相抵觸,仍然有效。
5.2如果本附錄的規定與對雙方具有約束力的其他契约的規定之間出現任何差异,則雙方的數據保護義務應以本附錄為准。如對其他契约條款是否涉及雙方數據保護義務有疑問,以本附件為准。
5.3如果本附錄的任何規定無效或不可執行,本附錄的其餘部分應保持完全有效。無效或不可執行的條款將(i)進行修改,以確保其有效性和可執行性,同時盡可能保留雙方的意圖,或-如果這不可能-(ii)解釋為無效或不可執行的部分從未是契约的一部分。如果本附錄中有遺漏,上述規定也應適用。
5.5在必要的情况下,雙方可要求修改第一部分第3條(遵守當地法律)或附錄的其他部分,以符合本聯盟或成員國首長當局發佈的解釋、指令或命令、國家執法規定,或與GDPR有關的任何其他法律發展,或與參與資料處理的任何實體的其他授權條件,特別是與GDPR中標準合同條款的使用有關的任何其他法律發展。除非歐盟委員會明確準予(例如,通過新的適當條款和數據保護標準),否則不得修改或替換標準合同條款。
5.6除非另有說明,否則本附錄中提及的“條款”應理解為指本附錄的所有規定。
5.7第2部分第9條中的法律選擇適用於整個契约。
6雙方為個人目的傳輸和處理的個人數據(從數據控制器傳輸到數據控制器)
6.1雙方完全知道,某些個人數據將從數據輸出方傳輸到資料登錄方,反之亦然,並且這些數據由各方為自己的目的進行處理。關於此類個人資料,不影響本附錄的其他規定(第6條除外)。
6.2數據輸出方可向資料登錄方傳輸與資料登錄方工作人員有關的個人數據,包括有關安全事件的資訊,或數據輸出方創建或建立的與資料登錄方工作人員提供的服務有關的任何其他檔案或檔案。數據導入方可出於自身目的處理此類個人數據,特別是在其與數據導入方人員的專業關係中,出於品質控制和培訓,或出於商業目的。
6.3.數據導入方可以將個人資料傳輸給數據匯出方,包括數據導入方人員的姓名和聯繫方式。資料輸出者可自行處理該等個人資料。
6.4在收集、處理和使用根據第1部分第1條從另一方收到的此類個人數據時,雙方應遵守任何適用的數據保護法律,包括GDPR。特別是,雙方應採取充分的安全措施,提供與第2部分附錄2中規定的安全措施類似的保護水准。對此類個人數據的任何訪問應限於瞭解這些數據的需要。
6.5雙方必須在目標實現後儘快删除此類個人資料。
第2部分
委員會的决定
2010年2月5日
關於根據歐洲議會和理事會95/46/EC指令向協力廠商國家建立的資料處理機构傳輸個人數據的標準合同條款
第1條
定義
在條款含義內:
a)“個人數據”、“特殊數據類別”、“處理/處理”、“控制器”、“處理器”,“數據主體”和“監管機构”的含義應與1995年10月24日歐洲議會和理事會關於保護個人處理個人數據和此類數據自由流動的95/46/EC指令中的含義相同(1);
b)“數據匯出器”是傳輸個人數據的數據控制器;
c)“資料登錄者”是指同意從數據輸出者處接收個人數據的資料處理者,該個人數據將在數據輸出者按照其訓示和本條款的條款進行傳輸後代表數據輸出者進行處理,並且不受第三國機制的約束,以確保在數據輸出者範圍內得到充分的保護指令95/46/EC第25(1)條的含義;(d)“資料處理者”是指數據導入者或數據導入者的任何其他資料處理者雇傭的資料處理者,該資料處理者同意從數據導入者或數據導入者的任何其他資料處理者處接收個人數據,專門用於在轉入後代表數據匯出者進行的處理活動按照數據輸出方的訓示,在本條款規定的條件下,以及根據資料處理契约的書面分包合同的條款;
e)“適用的資料保護法”是指保護個人基本權利和自由的立法,包括處理個人數據的隱私權,並適用於數據出口商所在成員國的控制者;
f)“與安全有關的科技和組織措施”是指旨在保護個人數據免受意外或非法破壞或意外遺失、更改、未經授權的披露或訪問的措施,特別是在處理涉及通過網絡傳輸數據的情况下,以及所有其他非法形式的處理。
第2條
轉讓詳情
轉讓的詳細情况,包括在適當情况下的特殊類別的個人資料,在附錄1中有詳細說明,附錄1是這些條款不可分割的一部分。
第3條
協力廠商受益人條款
1數據主體可作為協力廠商受益人對數據輸出方強制執行本條款、第4(b)至(i)條、第5(a)至(e)條和(g)至(j)條、第6(1)和(2)條、第7條、第8(2)條和第9至12條
2數據主體可對資料登錄方強制執行本條款、第5(a)條至第(e)條和第5(g)條、第6條、第7條、第8(2)條和第9條至第12條,如果數據輸出方已實際消失或在法律上已不復存在,除非其所有法律義務已通過契约或法律實施轉讓,後繼實體,數據輸出者的權利和義務囙此恢復,數據主體囙此可以對其強制執行上述條款。
數據主體可對資料處理者強制執行本條、第5(a)至(e)和(g)條、第6條、第7條、第8(2)條和第9至12條,但僅在數據輸出者和資料登錄者已實際失踪、法律上不再存在或資不抵債的情况下,除非數據輸出者的所有法律義務已通過契约或法律實施轉讓給合法繼承人,囙此數據輸出者的權利和義務歸其所有,並且數據主體可對其強制執行此類條款。資料處理者的此類責任必須限於其在本條款下的處理活動。
4如果當事人願意並在國內法允許的情况下,當事人不反對由協會或其他機構代表數據主體。
第4條
數據輸出者的義務
數據匯出器接受並保證以下內容:
a)處理,包括個人數據的實際傳輸,已經並將繼續按照適用資料保護法的相關規定進行(以及,如果適用,已通知數據輸出者所在成員國的首長當局,且未違反該國的相關規定;
b)他們已經訓示,並將在個人資料處理服務期間,訓示數據導入方根據適用的資料保護法和本條款,僅代表數據匯出方處理傳輸的個人數據;
c)數據導入方將為本契约附錄2中規定的科技和組織安全措施提供充分的保障;
d)在評估適用資料保護法的要求後,安全措施足以保護個人數據免受意外或非法破壞或意外遺失、更改、未經授權的披露或訪問,特別是在處理涉及通過網絡傳輸數據的情况下,以及針對所有其他非法形式的處理,並在考慮到科技水准和實施成本的情况下,確保與處理所代表的風險和受保護數據的性質相適應的安全水准;
e)他們將確保遵守安全措施;
f)如果轉移涉及特殊類別的數據,則在轉移前或轉移後儘快通知數據主體其數據可能被轉移到第95/46/EC號指令所指的未提供充分保護的第三國;
g)如果數據保護監管局决定繼續轉讓或取消暫停,則他們將根據第5(b)和8(3)條從數據進口商或任何資料處理者處收到的任何通知轉發給數據保護監管局;
h)如果數據主體提出要求,則應向其提供本條款(附錄2除外)的副本、安全措施的概要說明以及根據本條款簽訂的任何進一步分包協定的副本,除非本條款或協定包含商業資訊,在這種情況下,他可以撤回這些資料;
i)在分包資料處理過程的情况下,處理活動由資料處理者按照第11條的規定進行,該資料處理者提供的個人數據和數據主體權利的保護水准至少與這些條款下的數據導入者相同;以及
j)它將確保遵守第4(a)至(i)條。
第五條
數據導入方的義務
數據導入方接受並保證:
a)他們將僅代表數據輸出者並根據數據輸出者的訓示和本條款處理個人數據;如果由於任何原因無法遵守,他們同意儘快通知數據輸出者其無法履行義務,在這種情況下,數據輸出者可以暫停資料傳輸和/或終止合同;
b)他們沒有理由相信適用於他們的法律封锁他履行數據輸出者發出的訓示和契约規定的義務,如果此類法律發生變化,可能對條款下的保證和義務產生重大不利影響,他應通知數據輸出方在意識到該變更後,應立即通知該變更,在此情况下,數據輸出方可暫停資料傳輸和/或終止合同;(c)在處理所傳輸的個人數據之前,已實施附錄2中規定的科技和組織安全措施;
d)他們將立即通知數據匯出者:
i)除非另有規定,否則執法當局對披露個人數據的任何有約束力的請求,例如旨在保護警方調查的保密性的刑事禁令;
ii)任何偶然或未經授權的訪問;以及
iii)直接從有關人士處收到的任何請求,除非他已獲授權,否則不作答覆;或
e)他們將及時妥善地處理數據輸出者有關其處理所傳輸個人數據的所有詢問,並根據監管機构關於處理所傳輸數據的意見行事;
f)應數據輸出者的要求,他們將對其資料處理設施進行稽核,審計工作由數據輸出者或由具有必要專業資格的獨立成員組成的監督機構進行,但須遵守保密義務,並由委員會選定經監管機构同意的數據輸出方;
g)如果數據主體提出要求,他們將向其提供這些條款或資料處理契约的任何現有分包合同的副本,除非這些條款或契约包含商業資訊,在這種情況下,他們可以删除這些資訊,附錄2除外,當數據主體無法從數據匯出者處獲得副本時,將用安全措施的簡要說明代替;
h)如果將資料處理進一步分包出去,他將確保提前通知數據輸出者並獲得數據輸出者的書面同意;
i)數據處理機提供的處理服務應符合第11條的規定;
j)他們將立即向數據輸出方發送其根據這些條款簽訂的資料處理協定的任何分包合同的副本。
第六條
責任
1雙方同意,因一方或資料處理方違反第3條或第11條所述義務而遭受損害的任何數據主體可就所遭受的損害從數據輸出方獲得賠償。
2如果數據主體因資料登錄方或其資料處理方未能履行第3條或第11條規定的義務而無法對數據輸出方提起第1款所述的損害賠償訴訟,則數據導入方同意,數據主體可以像數據匯出方一樣對其提出投訴,除非數據匯出方的所有法律義務已通過契约或法律實施轉移給其繼承實體,然後數據主體可以對其強制執行其權利。資料登錄者不得依賴資料處理者違反其義務來避免其自身的責任。
三。如果由於數據輸出者和資料登錄者已實際消失、法律上不再存在或資不抵債,數據主體因資料處理者違反第3條或第11條規定的義務而無法對數據輸出者或資料登錄者提起第1款和第2款所述的訴訟,資料處理方同意,除非數據輸出方或資料登錄方的所有法律義務已通過契约或法律實施轉讓,否則數據主體可根據本條款就其自身的處理活動向其提出投訴,如同其是數據輸出方或資料登錄方一樣,給合法繼承人,然後數據主體可以對其主張權利。根據這些條款,資料處理者的責任必須限於其自身的處理活動。
第七條
調解和管轄權
1數據導入方同意,如果根據條款,數據主體援引協力廠商受益人的權利和/或要求賠償所遭受的損害,他將接受數據主體的决定:
a)將爭議提交獨立人士調解,或在適當情况下提交監管機构調解;
b)將爭議提交給數據輸出方所在成員國的法院。
2雙方同意,數據主體作出的選擇不應影響數據主體根據國內法或國際法的其他規定獲得補救的程式性或實質性權利。
第八條
與監管機构的合作
1如果監管機构有此要求或適用的資料保護法有此規定,數據輸出者同意向監管機构存放本契约的副本。
2雙方同意,根據適用的資料保護法,監管機构可以在與在數據輸出方進行的檢查相同的程度和條件下,對資料登錄方和任何資料處理方進行檢查。
三。數據進口方應儘快通知數據出口方存在與數據進口方或任何資料處理方有關的法律,該法律封锁數據進口方或任何資料處理方根據第2款進行核查。在這種情況下,數據輸出方可採取第5(b)條規定的措施。
第九條
適用法律
這些條款適用,並受數據匯出者所在成員國的法律管轄。
第十條
契约的修改
雙方承諾不修改本條款。當事人可以自由地列入他們認為必要的其他商業條款,但條件是這些條款不與本條款相抵觸。
第十一條
後續分包
1未經數據輸出方事先書面同意,資料登錄方不得將其根據本條款代表數據輸出方進行的任何處理活動分包出去。資料登錄方只能在數據輸出方同意的情况下,將其在本條款下的義務分包出去,通過與資料處理方簽訂的書面協定,向資料處理方施加與本條款規定的數據導入方相同的義務。)如果資料處理方不能遵守該書面協議規定的數據保護義務,數據導入方應對數據匯出方履行這些義務承擔全部責任。
2數據導入方和資料處理方之間的事先書面協定還應包括第3條中規定的協力廠商受益人條款,以防數據主體因數據匯出方或數據導入方的原因而無法向數據匯出方或數據導入方提出第6(1)條所述的損害索賠已實際消失、法律上不復存在或已資不抵債,且數據輸出者或資料登錄者的所有法律義務未通過契约或法律實施轉讓給另一繼承實體。根據這些條款,資料處理者的責任必須限於其自身的處理活動。
三。與第1款所述契约的資料處理分包的數據保護方面有關的規定應受數據輸出方所在成員國的法律管轄。
4數據輸出方應保存一份根據本條款簽訂並由資料登錄方根據第5(j)條通知的資料處理協定的分包商名單,該名單應至少每年更新一次。該清單應提供給數據輸出方的數據保護監管機构。
第十二條
個人資料處理服務終止後的義務
1雙方同意,在完成資料處理服務後,數據導入方和資料處理方將在數據匯出方方便的情况下,將所有傳輸的個人數據及其副本返還給數據匯出方,或銷毀所有此類數據並向數據匯出方提供銷毀證明,除非對資料登錄者施加的法律封锁其返還或銷毀所傳輸的全部或部分個人數據。在這種情況下,數據導入方保證將確保傳輸的個人數據的機密性,並且不再主動處理數據。
2資料登錄者和資料處理者應確保,如果數據輸出者和/或監管機构提出要求,他們將對其資料處理手段進行第1款所述措施的核查。
第2部分附錄1.1
轉讓詳情
數據匯出器
數據匯出者是契约協定中定義的客戶。
數據導入器
數據導入器是IQUALIF,被指定處理數據,為數據匯出器提供服務。
數據的主題
傳輸的個人數據涉及以下幾類數據主體:
☒通用目錄中列出的電話使用者
☐其他,包括:
數據類別
傳輸的個人數據涉及以下幾類數據:
尤其是數據輸出者數據主體的個人數據類別,
☒全名
☒郵政地址
☒聯繫方式(電子郵件、電話、IP地址等)
☒有關電話使用者的行銷活動詳情
☒其他,包括都市匿名提供的住房類型、收入和平均年齡
特殊數據類別(如適用)
傳輸的個人數據涉及以下特殊類別的數據:
☒無法預見特殊類別數據的傳輸
☐種族或民族
☐宗教或哲學信仰
☐工會會員
☐政治觀點
☐遺傳資訊
☐生物特徵資訊
☐性取向或性生活資訊
☐健康數據
加工活動
傳輸的個人數據將接受以下基本處理活動:
•處理目的
代表數據輸出者進行的處理基於以下主題,尤其是:
☒負責數據輸出方提供的產品或服務
☒被叫人可以要求提供的產品或服務
☒從被叫人處獲得的命令以及對這些命令的進一步處理
☒研究問卷和分析
☒電話行銷
☐其他,包括:
•處理的性質和目的
數據導入方代表數據匯出方處理數據主體的個人數據,以便提供以下服務,尤其是:
☒銷售和行銷
☒其他,包括更新市政廳和政黨的資料庫
•提供服務和雇用服務提供者
IQUALIF主要合併、集中並向數據匯出器提供服務。指定服務提供者提供的服務可圍繞以下輔助服務進行結構化(尤其是在適當情况下):(i)提供與所用資料處理中心相關的應用程序、工具、系統和IT基礎設施,以提供和支持服務,包括通過此類應用程序、工具和系統處理上述數據主體的個人數據,(ii)提供與此類應用程序、工具、系統和IT基礎設施相關的IT支持、維護和其他服務,包括對存儲在此類應用程序、工具和系統中的個人數據的潜在訪問,和系統,以及(iii)提供數據保護服務、保護監控和事件響應服務,包括在提供此類保護服務時對個人數據的潜在訪問。IQUALIF可聘請以下資料處理人員提供服務,包括輔助服務。
•作為分配給資料處理的子實體的外部協力廠商服務提供者
IQUALIF聘請外部和協力廠商服務提供者(不是IQUALIF的子公司)支持向數據匯出者提供服務。數據匯出者準予這些外部協力廠商服務提供者作為分配給資料處理的子實體。
如果參與資料處理的子實體位於歐盟/歐洲經濟區以外、歐盟委員會决定認為不具備適當數據保護水准的國家,則數據進口商將採取措施,根據《全球數據保護條例》和第1部分第3.4(iv)節獲得適當的數據保護水准。
附錄2,第2部分
科技和組織保護措施
資料登錄方應採取以下經數據輸出方確認的科技和組織保護措施,以確保個人權利和自由的適當安全水准,具體視風險而定。在評估有關的保護水准時,數據輸出者特別考慮了處理過程中涉及的風險,包括意外或非法破壞、更改、未經授權的披露或訪問傳輸、存儲或以其他管道處理的個人數據。澄清:這些科技和組織保護措施不適用於數據匯出器提供的應用程序、工具、系統和/或IT基礎設施。
| 1一般科技和組織保護措施 |
| 1.1一般資訊和數據保護策略 |
| 應採取以下步驟來遵循一般數據和資訊保護戰畧: |
| a)採取措施評估在科技和組織保護方面採取的措施; |
| b)提供培訓以提高員工的意識; |
| c)對相關系統進行描述,並允許員工訪問; |
| d)當系統被實施或修改時,建立正式的檔案過程; |
| e)記錄組織結構、過程、職責和各自的評估; |
| 1.2資訊保護組織 |
| 為協調數據和資訊保護活動,應採取以下措施: |
| a)明確的資訊和數據保護責任(例如,通過數據保護管理政策); |
| b)關於保護現有資訊和數據的必要專門知識; |
| c)所有員工都致力於確保個人資料保密,並已被告知違反此承諾的潜在後果。 |
| 1.3 加工區出入控制 |
| 在處理、存儲或傳輸個人數據時,必須採取以下措施防止未經授權的人員訪問資料處理系統(特別是軟件和硬體): |
| a)建立安全區域; |
| b)保護和限制對資料處理系統的訪問; |
| c)為員工和協力廠商建立訪問授權,包括各自的檔案; |
| d)應記錄對存儲個人數據的資料處理中心的任何訪問。 |
| 1.4資料處理系統的存取控制 |
| 為防止未經授權訪問資料處理系統,必須採取以下措施: |
| a)用戶認證政策和程式; |
| b)在所有電腦系統上使用密碼; |
| c)遠端存取網絡需要多因素認證,並根據其職責和授權授予相關人員; |
| d)對特定功能的訪問基於任務功能和/或單獨分配給使用者帳戶的内容; |
| e)定期審查與個人數據有關的訪問權; |
| f)存取權限的更改記錄是最新的。 |
| 1.5 控制對資料處理系統特定使用區域的訪問 |
| 必須採取以下措施,以確保有權使用資料處理系統的授權人員只能訪問其各自職責範圍內的數據和訪問授權,並且未經授權不得讀取、複製、修改或删除個人數據: |
| a)員工的政策、訓示和培訓,涉及他們各自的保密義務、訪問個人數據的權利和處理個人數據的範圍; |
| b)對未經授權訪問個人數據的人員採取紀律措施; |
| c)只有在需要瞭解的基礎上,才允許授權人員查閱個人資料; |
| d)維護系統管理員清單,並採取適當措施監控系統管理員; |
| e)不得在任何存儲系統上複製或複製個人數據,以使未經授權的人能够删除發起人的資訊; |
| f)數據的受控和檔案化删除或銷毀; |
| g)安全地存儲因法律或監管原因(如保留數據的義務)必須保留的所有個人數據,並且僅在法律要求的時間內保留。 |
| 1.6變速箱控制 |
| 必須採取以下措施,以防止未經授權的協力廠商在資料存儲設備的傳輸或傳輸過程中讀取、複製、修改或删除個人數據(取決於對個人數據的處理): |
| a)防火牆的使用; |
| b)避免將個人資料存儲在移動存放裝置上用於傳輸目的,或對設備進行加密; c)僅在啟動加密保護後在筆記型電腦和其他移動設備上使用; |
| d)記錄個人資料傳輸。 |
| 1.7資料登錄控制 |
| 必須採取以下措施,以確保能够核實和確定個人數據是否已輸入或從資料處理系統中删除,以及由誰輸入或删除: |
| a)授權讀取、更改和删除存儲數據的策略; |
| b)有關讀取、更改和删除存儲數據的保護措施。 |
| 1.8工作控制 |
| 在委託處理個人數據的情况下,必須採取以下措施,以確保這些數據按照首長的訓示進行處理: |
| a)分配給資料處理的實體或子實體,謹慎選擇(代表控制者處理個人數據的服務提供者); |
| b)向被指派進行資料處理的雇員、實體或子實體發出的關於任何個人資料處理範圍的訓示; |
| c)與被指定進行資料處理的實體或子實體約定的稽核權利; |
| d)與指定處理數據的實體或子實體簽訂的協定。 |
| 1.9與其他用途的加工分離 |
| 必須採取以下措施,以確保為其他目的收集的數據可以單獨處理: |
| a)根據用戶的現有權利單獨訪問個人數據; |
| b)介面、批次處理和報告用於其他目的和功能,囙此為其他目的收集的數據可以單獨處理。 |
| 1.10化名 |
| 對於個人數據的假名化,必須採取以下措施: |
| a)如果數據輸出者命令特定的處理操作,或者如果資料登錄者根據有關某些處理活動的現行資料保護法認為這是適當的,個人數據的處理將以這樣一種管道進行,即在不使用額外資訊的情况下,數據將不再歸屬於特定的人。此附加資訊將單獨保存; |
| b)使用假名科技,包括分配清單隨機化;以銳器的形式創建值。 |
| 1.11 加密 |
| 應採取以下步驟對支持加密的應用程序和傳輸中的個人數據進行加密: a)使用加密技術; |
| b)建立加密管理,支持授權使用的加密技術; |
| c)通過生成、修改、撤銷、銷毀、分發、驗證、存儲、捕獲、使用和存檔加密金鑰的程式和協定支持加密的使用,以防止未經授權的修改和披露。 |
| 1.12資料處理系統和服務的完整性 |
| 為確保資料處理系統和服務的完整性,必須採取以下措施: |
| a)通過適當手段保護資料處理系統免受操縱或破壞(例如,防毒軟體、資料丟失預防軟件和防惡意軟件軟件、軟件補丁、防火牆和管理案頭保護); |
| b)禁止安裝任何對資料處理系統、服務有害的服務或軟件,或操縱個人數據; |
| c)在網絡本身的結構中使用網絡入侵偵測與防範系統。 |
| 1.13資料處理系統和服務的可用性,以及在發生重大或科技事故時恢復訪問和使用個人數據的可能性 |
| 必須採取以下措施,以確保資料處理系統的可用性,以及在發生重大或科技事故時能够迅速恢復個人數據的可用性和存取權限(特別是確保個人數據不受意外破壞或遺失的保護): |
| a)具有保存備份副本和恢復遺失或删除數據的控制手段; |
| b)基礎設施冗餘和性能測試; |
| c)電腦資源實物保護; |
| d)使用工具監控內部網絡的狀態和可用性; |
| e)管理事件管理程式的事件報告和響應政策,並重申遵守這些政策作為定期培訓的一部分; |
| f)備份(有時非現場)以恢復系統,使其能够再次執行其功能; |
| g)業務連續性/災難恢復計畫 |
| 1.14資料處理系統和服務的彈性 |
| 必須採取以下措施以確保資料處理系統和服務的彈性: |
| a)使用經準予的安全參數,協調配寘系統和設備; |
| b)網絡冗餘; |
| c)關鍵系統的安全殼保護。 |
| 1.15 定期測試、評估和評估科技和組織措施有效性的程式,以確保資料處理的安全性 |
| 定期測試、評估和評估保護資料處理的科技和組織措施的有效性的程式。 |
| a)採取必要步驟評估風險和緩解策略; |
| b)資訊科技部的服務分析會議,以解决現時的問題; |
| c)定期更新業務連續性/災難恢復計畫。 |
第三部分
雙方簽字及數據導入人名單
當您填寫線上訂購單並通過勾選接受一般使用條款和條件的框進行驗證時,將建立管理客戶和IQUALIF之間關係的契约。
向IQUALIF付款將視為已同意並建立的契约。
注意:這篇文章是從法語翻譯過來的。法文原版有效且具有法律限制性,可在此處查閱。