Duomenų apdorojimo priedas

 

Šis priedas yra neatskiriama Sutarties dalis ir jį sudaro:

 

  1. (i) Klientas („ Duomenų eksportuotojas “)
  2. ii) IQUALIF („ Duomenų importuotojas “)

 

Kiekvienas iš jų yra „ vakarėlis “ ir dažniausiai „ partijos “.

 

Preambulė

KUR Duomenų importuotojas teikia profesionalias programinės įrangos paslaugas, kompiuterius ir susijusias paslaugas (pvz., naršykles su išplėstinėmis paieškos funkcijomis);

KAI pagal Sutartį Duomenų importuotojas sutiko teikti Duomenų eksportuotojui Sutartyje nurodytas paslaugas (" Paslaugos ");

KAI Duomenų importuotojas, teikdamas Paslaugas, gauna prieigą prie Duomenų eksportuotojo informacijos arba kitų asmenų, turinčių (galimų) ryšių su duomenų eksportuotoju, informacijos, tokia informacija gali būti kvalifikuojama kaip asmens duomenys, kaip apibrėžta Reglamento Nr. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (toliau – BDAR ) ir kiti taikomi duomenų apsaugos įstatymai.

KAI šiame priede pateikiamos duomenų importuotojo, kaip duomenų eksportuotojo įgalioto duomenų apdorojimo agento, tokių asmens duomenų rinkimui, tvarkymui ir naudojimui taikomos taisyklės ir sąlygos, siekdamos užtikrinti, kad Šalys laikytųsi taikomų duomenų apsaugos teisės aktų. .

 

TODĖL ir siekdamos sudaryti sąlygas Šalims teisėtai tęsti savo santykius, Šalys sudarė šį priedą taip:

1 dalis

 

1. Dokumento struktūra ir apibrėžimai

1.1 Struktūra

Šį priedą sudaro įvairios dalys:

 

1 dalis: 

yra bendrųjų nuostatų, pvz., dėl šiame priede vartojamų apibrėžimų, vietinių įstatymų laikymosi, laiko ir nutraukimo

 

2 dalis:

yra nepakeisto standartinių sutarties sąlygų dokumento turinys

 

2 dalies 1.1 priedėlis:

yra išsami informacija apie duomenų importuotojo Duomenų eksportuotojui, kaip įgaliotam duomenų tvarkymo agentui, pateiktas tvarkymo operacijas (įskaitant tvarkymą, tvarkymo pobūdį ir tikslą, asmens duomenų rūšį ir duomenų subjektų kategorijas) pagal šį reglamentą. Priedas

 

2 dalies 2 priedėlis:

yra Duomenų importuotojo techninių ir organizacinių saugumo priemonių, kurios taikomos atliekant visas 2 dalies 1.1 priede aprašytas tvarkymo veiklas, aprašymas.

 

3 dalis:

yra Šalių, kurios privalo laikytis šio priedo, parašai ir nurodomas kiekvienas duomenų importuotojas

 

 

1.2 Terminija ir apibrėžimai

Šio priedo tikslais taikoma BDAR vartojama terminija ir apibrėžimai (Standartinės sutarties sąlygos dokumento 2 dalyje, kur apibrėžti terminai nėra rašomi didžiosiomis raidėmis). 

 

"Valstybė narė"

reiškia valstybę, priklausančią Europos Sąjungai arba Europos ekonominei erdvei

 

„Specialios (asmens) duomenų kategorijos“

nurodo asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus arba narystę profesinėse sąjungose, taip pat genetinius duomenis, biometrinius duomenis, jei tvarkomi siekiant tiksliai nustatyti asmens tapatybę, duomenis apie sveikatą, duomenis apie asmens lytį. gyvenimo ar seksualinės orientacijos

 

„Standartinės sutarties sąlygos“

Tai standartinės sutarčių sąlygos dėl trečiosiose šalyse įsteigtų duomenų tvarkymo tarpininkų asmens duomenų perdavimo pagal 2010 m. vasario 5 d. Komisijos sprendimą 2010/87/ES, kuris buvo pakeistas 2010 m. vasario 16 d. Komisijos įgyvendinimo sprendimu (ES) 2016/2297. 2016 m. gruodžio mėn

 

„Duomenų procesorius“.

reiškia bet kurį duomenų tvarkymo tarpininką, esantį ES/EEE arba už jos ribų, kuris sutinka gauti iš Duomenų importuotojo ar bet kurio kito Duomenų importuotojo tvarkytojo asmens duomenis išskirtiniu tikslu duomenų eksportuotojo vykdomai tvarkymo veiklai pasibaigus perduoti pagal Duomenų eksportuotojo nurodymus, šio priedo sąlygas ir sutartį su duomenų importuotoju

 

 

 

2. Duomenų eksportuotojo įsipareigojimai

2.1 Duomenų eksportuotojas privalo užtikrinti, kad būtų laikomasi visų taikomų įsipareigojimų pagal BDAR ir bet kurį kitą taikomą duomenų apsaugos įstatymą, kuris taikomas duomenų eksportuotojui, ir parodyti tokį laikymąsi, kaip reikalaujama pagal BDAR 5 straipsnio 2 dalį. Duomenų eksportuotojas garantuoja, kad Duomenų importuotojas gavo išankstinį duomenų subjektų sutikimą pagal BDAR 6 straipsnio a punktą ir įvykdė savo pareigą informuoti duomenų subjektus pagal BDAR 13 ir 14 straipsnius.

2.2 Duomenų eksportuotojas privalo pateikti duomenų importuotojui atitinkamas tvarkymo veiksmų bylas pagal BDAR 30 straipsnio 1 dalį, susijusią su Paslaugomis pagal šį priedą, tiek, kiek tai būtina, kad Duomenų importuotojas įvykdytų įsipareigojimą pagal BDAR. BDAR 30 straipsnio 2 dalis.

2.3 Duomenų eksportuotojas turi paskirti duomenų apsaugos pareigūną arba atstovą tiek, kiek to reikalauja taikytini duomenų apsaugos teisės aktai. Duomenų eksportuotojas privalo pateikti duomenų importuotojui duomenų apsaugos agento arba atstovo, jei toks yra, kontaktinius duomenis.

2.4. Duomenų eksportuotojas prieš baigdamas tvarkyti, sutikdamas su šiuo priedu, patvirtina, kad duomenų importuotojo techninės ir organizacinės saugumo priemonės, nurodytos 2 dalies 2 priede, yra tinkamos ir pakankamos duomenų subjekto teisėms apsaugoti. ir patvirtina, kad Duomenų importuotojas šiuo atžvilgiu užtikrina pakankamas apsaugos priemones.

 

3. Vietos įstatymų laikymasis

Siekiant įvykdyti apdorojimo agentų diegimo reikalavimus pagal BDAR 28 straipsnį, taikomi šie pakeitimai:

 

3.1 Instrukcijos

  1. (i) Duomenų eksportuotojas nurodo duomenų importuotojui asmens duomenis tvarkyti tik duomenų eksportuotojo vardu. Duomenų eksportuotojo nurodymai pateikiami šiame priede ir Sutartyje. Duomenų eksportuotojas privalo užtikrinti, kad visi duomenų importuotojui duoti nurodymai atitiktų galiojančius duomenų apsaugos įstatymus. Duomenų importuotojas turi tvarkyti asmens duomenis tik pagal Duomenų eksportuotojo pateiktas instrukcijas, nebent Europos Sąjunga ar valstybės narės teisės aktai reikalauja kitaip (pastaruoju atveju taikomas 1 dalies 3.2 punkto iv papunkčio c papunktis). .
  2. (ii) Visos kitos instrukcijos, viršijančios šiame priede arba Sutartyje pateiktas instrukcijas, turi būti įtrauktos į šio priedo ir sutarties dalyką. Jei įgyvendinant šį papildomą nurodymą duomenų importuotojas patiria išlaidų, duomenų importuotojas apie tokias išlaidas informuoja duomenų eksportuotoją ir pateikia paaiškinimą prieš įgyvendindamas nurodymą. Tik po to, kai Duomenų eksportuotojas patvirtina, kad sutinka su šiomis nurodymo įgyvendinimo išlaidomis, Duomenų importuotojas įgyvendina šį papildomą nurodymą. Duomenų eksportuotojas turi duoti papildomus nurodymus raštu, nebent dėl ​​skubos ar kitų specifinių aplinkybių reikia kitos formos (pvz., žodžiu, elektroniniu). Ne rašytiniai nurodymai turi būti nedelsdami patvirtinti raštu Duomenų eksportuotojo.
  3. 1. Išskyrus atvejus, kai duomenų eksportuotojas pats negali ištaisyti, ištrinti arba apriboti asmens duomenų, nurodymai taip pat gali būti susiję su asmens duomenų taisymu, ištrynimu ir (arba) apribojimu, kaip nurodyta 1 dalies 3.3 punkte.
  4. 2. Duomenų importuotojas privalo nedelsdamas informuoti duomenų eksportuotoją, jeigu, jo nuomone, Nurodymas pažeidžia BDAR ar kitas taikomas Europos Sąjungos ar valstybės narės duomenų apsaugos nuostatas (toliau – Ginčijamas nurodymas ).Jeigu priežiūros institucija ginčijamą Nurodymą pripažįsta teisėtu, Duomenų importuotojas ginčijamą Nurodymą įgyvendina. 1 dalies 3.1 punkto ii papunktis ir toliau taikomas.

 

3.2 Duomenų importuotojo įsipareigojimai

  1. (i) Duomenų importuotojas privalo užtikrinti, kad Duomenų importuotojo įgalioti asmenys duomenų eksportuotojo vardu tvarkyti asmens duomenis, ypač duomenų importuotojo darbuotojai ir bet kurio subrangovo darbuotojai, būtų įsipareigoję laikytis konfidencialumo arba jiems būtų taikoma atitinkamą įstatyme numatytą konfidencialumo pareigą ir kad tokie asmenys, turintys prieigą prie asmens duomenų, juos tvarkytų pagal Duomenų eksportuotojo nurodymus.
  2. (ii) Duomenų importuotojas, prieš tvarkydamas asmens duomenis duomenų eksportuotojo vardu, privalo įgyvendinti technines ir organizacines saugumo priemones, nurodytas 2 dalies 2 priede. Duomenų importuotojas gali retkarčiais keisti technines ir organizacines saugumo priemones, jei jos neužtikrina mažesnės apsaugos nei nurodytos 2 dalies 2 priede.
  3. iii) Duomenų eksportuotojo prašymu duomenų importuotojas pateikia duomenų eksportuotojui informaciją, įrodančią, kad duomenų importuotojas laikosi šiame priede nustatytų įsipareigojimų. Šalys susitaria, kad šis informavimo įsipareigojimas vykdomas pateikdamos duomenų eksportuotojui audito ataskaitą (apimančią principų saugumą, sistemos prieinamumą ir konfidencialumą) (toliau – Audito ataskaita). Jei teisiškai reikalaujama atlikti papildomus audito veiksmus, duomenų eksportuotojas gali prašyti, kad patikrinimus atliktų duomenų eksportuotojas arba kitas duomenų eksportuotojo paskirtas auditorius, jei toks auditorius su Duomenų importuotoju sudarė konfidencialumo sutartį su duomenų importuotoju. pagrįstą pasitenkinimą („Auditas“). Šiam auditui taikomos šios sąlygos: i) išankstinis oficialus rašytinis duomenų importuotojo sutikimas; ir (ii) duomenų eksportuotojas padengia visas išlaidas, susijusias su duomenų eksportuotojo ir duomenų importuotojo auditu vietoje. Duomenų eksportuotojas turi sukurti audito ataskaitą, kurioje apibendrinami audito vietoje rezultatai ir pastebėjimai („Audito vietoje ataskaita“). Audito vietoje ataskaitos ir audito ataskaitos yra konfidenciali duomenų importuotojo informacija ir negali būti atskleista trečiosioms šalims, nebent to reikalauja taikytini duomenų apsaugos įstatymai arba duomenų importuotojo sutikimas.
  4. (iv) Duomenų importuotojas privalo nepagrįstai nedelsdamas pranešti duomenų eksportuotojui:
    1. a. dėl bet kokio teisiškai įpareigojančio teisėsaugos institucijos prašymo atskleisti asmens duomenis, nebent būtų uždrausta kitaip, pavyzdžiui, draudimas pagal baudžiamąjį įstatymą apsaugoti teisėsaugos tyrimo konfidencialumą
    2. b. dėl bet kokio skundo ir prašymo, gauto tiesiogiai iš duomenų subjekto (pvz., dėl prieigos, ištaisymo, ištrynimo, tvarkymo apribojimo, duomenų perkeliamumo, prieštaravimo duomenų tvarkymui, automatizuoto sprendimų priėmimo), neatsakant į tą prašymą, nebent duomenų importuotojas buvo įgaliotas daryk taip
    3. c. jei duomenų importuotojas arba duomenų tvarkytojas pagal Europos Sąjungos arba valstybės narės, kuriai taikomas duomenų importuotojas arba duomenų tvarkytojas, įstatymus, yra įpareigoti tvarkyti asmens duomenis ne pagal duomenų eksportuotojo nurodymus, prieš pradėdamas tokį tvarkymą ilgiau nei nurodymus, nebent Europos Sąjungos ar valstybės narės įstatymai draudžia tokį tvarkymą dėl gyvybiškai svarbių viešųjų interesų, tokiu atveju pranešime duomenų eksportuotojui turi būti nurodytas teisinis reikalavimas pagal tą Europos Sąjungos ar valstybės narės teisę; arba
    4. d. jei Duomenų importuotojas tik dėl savęs ar savo subrangovo suvokia asmens duomenų pažeidimą, kuris turėtų įtakos Duomenų eksportuotojo asmens duomenims, kuriems taikoma ši sutartis, ir tokiu atveju Duomenų importuotojas padės Duomenų eksportuotojui įvykdyti įsipareigojimą, atsižvelgiant į taikomą duomenų apsaugos įstatymą, informuoti duomenų subjektus ir, kai taikoma, priežiūros institucijas, pateikdama turimą informaciją pagal BDAR 33 straipsnio 3 dalį.
    5. v) Duomenų eksportuotojo prašymu duomenų importuotojas yra priverstas padėti duomenų eksportuotojui atlikti jo pareigą atlikti poveikio duomenų apsaugai vertinimą, kurio gali reikėti pagal BDAR 35 straipsnį, ir išankstinę konsultaciją, kuri gali būti reikalaujama pagal BDAR 36 straipsnį dėl Duomenų importuotojo Duomenų eksportuotojui pagal šį priedą teikiamų paslaugų, teikiant Duomenų eksportuotojui reikiamą ir informaciją. Duomenų importuotojas privalės teikti tokią pagalbą tik tuo atveju, jei duomenų eksportuotojas negalės įvykdyti savo įsipareigojimo kitomis priemonėmis. Duomenų importuotojas informuos duomenų eksportuotoją apie tokios pagalbos išlaidas. Kai tik duomenų eksportuotojas patvirtins, kad gali padengti šias išlaidas, duomenų importuotojas suteiks duomenų eksportuotojui šią pagalbą.
    6. (vi) Pasibaigus paslaugų teikimui, duomenų eksportuotojas gali prašyti grąžinti Duomenų importuotojo pagal šį priedą tvarkomus asmens duomenis per vieną mėnesį nuo paslaugų suteikimo. Išskyrus atvejus, kai pagal valstybės narės ar Europos Sąjungos teisės aktus duomenų importuotojas privalo saugoti ar saugoti tokius asmens duomenis, duomenų importuotojas visus tokius asmens ar ne asmens duomenis ištrins praėjus vienam mėnesiui, nesvarbu, ar jie buvo grąžinti Duomenų eksportuotojas jo prašymu ar ne.

 

3.3 Suinteresuotų asmenų teisės

  1.  
    1. (i) Duomenų eksportuotojas tvarko duomenų subjektų prašymus ir į juos atsako. Duomenų importuotojas neprivalo tiesiogiai atsakyti duomenų subjektams.
    2. (ii) Jei duomenų eksportuotojas reikalauja duomenų importuotojo pagalbos tvarkant ir atsakant į duomenų subjekto prašymus, duomenų eksportuotojas pateikia tolesnį nurodymą pagal 1 dalies 3.1 punkto ii papunktį. Duomenų importuotojas padės duomenų eksportuotojui šiomis tinkamomis ir techninėmis organizacinėmis priemonėmis atsakyti į prašymus pasinaudoti duomenų subjektų teisėmis, nustatytomis BDAR III skyriuje:
    3. a. Dėl informacijos užklausų duomenų importuotojas duomenų eksportuotojui pateiks tik tą informaciją, kurios reikalaujama pagal PGRD 13 ir 14 straipsnius, kuria jis gali disponuoti, jei duomenų eksportuotojas pats jos neras.
    4. b. Kalbant apie prašymus leisti susipažinti su duomenimis (BDAR 15 straipsnis), duomenų importuotojas duomenų eksportuotojui pateiks tik tą informaciją, kuri turėtų būti pateikta duomenų subjektui už minėtą prieigos prašymą, kuriuo jis gali disponuoti, jei pastarasis vienas jo neranda.
    5. c. Dėl prašymų ištaisyti (BDAR 16 straipsnis), prašymų ištrinti (BDAR 17 straipsnis), prašymų dėl apdorojimo apribojimo (BDAR 18 straipsnis) arba prašymų dėl perkeliamumo (BDAR 20 straipsnis) ir tik jei Duomenų eksportuotojas pats negali ištaisyti ar ištrinti, apriboti ar perduoti asmens duomenų kitai trečiajai šaliai, duomenų importuotojas pasiūlys duomenų eksportuotojui galimybę ištaisyti arba ištrinti, apriboti arba perduoti atitinkamus asmens duomenis kitai trečiajai šaliai, arba, jei tai neįmanoma, ji suteiks pagalbą ištaisyti, ištrinti, apriboti arba perduoti kitai trečiajai šaliai atitinkamus asmens duomenis.
    6. d. Kalbant apie pranešimą, susijusį su ištaisymu, ištrynimu ar apdorojimo apribojimu (BDAR 19 straipsnis), duomenų importuotojas padės duomenų eksportuotojui, pranešdamas visiems asmens duomenų gavėjams, kuriuos duomenų importuotojas pasamdo kaip tvarkytojus, jei duomenų eksportuotojas to prašo ir jei Duomenų eksportuotojas negali pats ištaisyti situacijos.
    7. e. Dėl duomenų subjekto vykdomos prieštaravimo teisės (BDAR 21 ir 22 straipsniai) duomenų eksportuotojas nustatys, ar prieštaravimas yra teisėtas ir kaip su juo elgtis.
    8. (iii) Duomenų importuotojo pagalbos įsipareigojimai apsiriboja jo infrastruktūroje tvarkomais asmens duomenimis (pvz., duomenų importuotojui priklausančiose arba jo teikiamose duomenų bazėse, sistemose, taikomosiose programose).
    9. (iv) Duomenų eksportuotojas nustato, ar duomenų subjektas gali pasinaudoti duomenų subjektų teisėmis, nustatytomis šios 1 dalies 3.1 punkte, ir informuoja duomenų importuotoją apie tai, kiek pagalbos, nurodytos 3.3 punkto ii, ( iii) būtina.
    10. (v) Jei duomenų eksportuotojas prašo papildomų arba pakeistų techninių ir organizacinių priemonių, kad būtų įgyvendintos duomenų subjektų teisės, kurios viršija duomenų importuotojo teikiamą pagalbą pagal 1 dalies 3.3 punkto ii, iii papunkčius, Duomenys Importuotojas informuoja duomenų eksportuotoją apie tokių papildomų ar pakeistų techninių ir organizacinių priemonių įgyvendinimo išlaidas. Kai tik Duomenų eksportuotojas patvirtina, kad gali padengti šias išlaidas, Duomenų importuotojas įgyvendina tokias papildomas arba pakeistas technines ir organizacines priemones, kad padėtų Duomenų eksportuotojui atsakyti į Duomenų subjektų prašymus.
    11. (vi) Neribojant 1 dalies 3.3 punkto v papunkčio taikymo srities, duomenų eksportuotojas privalo atlyginti duomenų importuotojui jo pagrįstas išlaidas, patirtas atsakant į duomenų subjektų prašymus.

 

3.4 Papildomas apdorojimas

  1.  
    1. (i) Duomenų eksportuotojas leidžia duomenų importuotojui pasitelkti subrangovus, kad šios teiktų paslaugas pagal šį priedą. Duomenų importuotojas tokius Duomenų tvarkytojus (-us) pasirenka atidžiai. Duomenų eksportuotojas patvirtina Duomenų tvarkytoją (-us), nurodytą (-us) 1.1 priedėlyje 2 dalies pabaigoje.
    2. (ii) Duomenų importuotojas perduoda savo įsipareigojimus pagal šį priedą Duomenų tvarkytojui (-iams) tiek, kiek tai taikoma subrangos paslaugoms.
    3. (iii) Duomenų importuotojas gali savo nuožiūra atleisti, pakeisti arba paskirti kitą tinkamą ir patikimą duomenų tvarkytoją (-us). Duomenų eksportuotojui raštu paprašius, duomenų importuotojas privalo laikytis toliau nurodytos tvarkos:
  2.  
    1. a. Duomenų importuotojas informuoja duomenų eksportuotoją prieš bet kokius 1 dalies 3.4 punkto i papunktyje nurodyto Duomenų tvarkytojų sąrašo pakeitimus. Jei duomenų eksportuotojas neprieštarauja pagal 3.4 punktą. b) 1 dalies 30 dienų nuo duomenų importuotojo pranešimo gavimo, laikoma, kad papildomi duomenų tvarkytojai yra priimti.
    2. b. Jei Duomenų eksportuotojas turi teisėtą priežastį nesutikti su papildomu Duomenų tvarkytoju, jis per trisdešimt dienų nuo Duomenų importuotojo pranešimo gavimo ir prieš pradedant teikti Duomenų importuotojo paslaugą apie tai iš anksto raštu praneša Duomenų importuotojui. Jei duomenų eksportuotojas prieštarauja, kad būtų naudojamas papildomas duomenų tvarkytojas, duomenų importuotojas gali panaikinti prieštaravimą viena iš šių parinkčių (pasirinkta savo nuožiūra): (A) duomenų importuotojas atšauks savo planus naudoti papildomą duomenų tvarkytoją. Duomenų eksportuotojo asmens duomenis; (B) Duomenų importuotojas imsis taisomųjų priemonių, kurių Duomenų eksportuotojas paprašė pateikti prieštaravimą (atšaukdamas prieštaravimą) ir naudosis papildomu tvarkytoju dėl duomenų eksportuotojo asmens duomenų;
  3.  
    1. (iv) jei Duomenų tvarkytojas yra įsisteigęs už ES-EEE ribų šalyje, kuri nepripažinta kaip siūlanti tinkamą duomenų apsaugos lygį Europos Komisijos sprendimu, duomenų importuotojas imsis priemonių, kad būtų laikomasi atitinkamo lygio duomenų apsaugos pagal BDAR (tokios priemonės, be kita ko, gali apimti duomenų tvarkymo sutarčių, pagrįstų ES modelio sąlygomis, naudojimą, perdavimą savarankiškai sertifikuotiems duomenų tvarkytojams pagal ES ir JAV apsaugos skydą. , arba panašią programą).

 

3.5 Galiojimo laikas

Šio priedo galiojimo laikas yra identiškas atitinkamos Sutarties galiojimo terminui. Išskyrus atvejus, kai šiame priede nurodyta kitaip, teisės ir pareigos, susijusios su sutarties nutraukimu, yra tokios pačios kaip ir nurodytos Sutartyje.

 

4. Atsakomybės ribojimas

4.1 Kiekviena šalis vykdo savo įsipareigojimus pagal šį priedą ir taikomus duomenų apsaugos teisės aktus.

4.2 Bet kokiai atsakomybei, susijusiai su įsipareigojimų pagal šį priedą arba taikomų duomenų apsaugos teisės aktų pažeidimu, taikomos Sutartyje išdėstytos arba jai taikomos atsakomybės nuostatos, išskyrus atvejus, kai šiame priede nurodyta kitaip. Jei atsakomybę reglamentuoja Sutartyje išdėstytos arba jai taikomos atsakomybės nuostatos, apskaičiuojant atsakomybės limitus ar nustatant kitų atsakomybės apribojimų taikymą, laikoma, kad bet kokia pagal šį priedą kylanti atsakomybė atsiranda pagal Sutartį.

 

5. Bendrosios nuostatos

5.1 Jei yra kokių nors neatitikimų ar neatitikimų tarp šio priedėlio 1 ir 2 dalių, vadovaujamasi 2 dalimi. Tiksliau, net ir tokiu atveju 1 dalis, kuri paprasčiausiai viršija 2 dalį (ty standartinių sąlygų sąlygas), jai neprieštarauja, lieka galioti.

5.2 Jei atsiranda neatitikimų tarp šio priedo ir kitų šalis įpareigojančių sutarčių nuostatų, šalių įsipareigojimų duomenų apsaugos atžvilgiu atžvilgiu galioja šis Priedas. Kilus abejonių, ar kitų sutarčių sąlygos yra susijusios su šalių įsipareigojimais dėl duomenų apsaugos, šis priedas turi viršenybę.

5.3 Jei kuri nors šio priedo nuostata yra negaliojanti arba neįgyvendinama, likusi šio priedo dalis lieka galioti ir galioti. Negaliojanti arba neįgyvendinama nuostata bus (i) iš dalies pakeista, kad būtų užtikrintas jos galiojimas ir įvykdymas, kiek įmanoma išsaugant šalių ketinimus arba, jei tai neįmanoma, (ii) aiškinama taip, lyg negaliojanti arba neįgyvendinama dalis būtų niekada nebuvo sutarties dalis. Tai, kas išdėstyta pirmiau, taip pat taikoma, jei šiame priedėlyje yra praleidimų.

5.5 Tiek, kiek būtina, Šalys gali prašyti pakeisti 1 dalies 3 skirsnį (Atitikimas vietiniams įstatymams) arba kitas priedėlio dalis, kad būtų laikomasi Sąjungos kompetentingų institucijų išaiškinimų, direktyvų ar įsakymų. valstybėse narėse, nacionalinėse teisės aktų vykdymo nuostatose ar bet kokiais kitais teisiniais pokyčiais, susijusiais su BDAR arba kitomis perdavimo bet kuriems subjektams, dalyvaujantiems duomenų tvarkyme, sąlygomis ir konkrečiai dėl BDAR standartinių sutarčių sąlygų naudojimo. Standartinių sutarčių sąlygų negalima keisti ar pakeisti, nebent Europos Komisija tam aiškiai pritartų (pvz., naujomis tinkamomis išlygomis ir duomenų apsaugos standartais).

5.6 Bet kokia šiame priede esanti nuoroda į " Straipsniai " turi būti suprantama kaip nuoroda į visas šio priedo nuostatas, jei nenurodyta kitaip.

5.7 Teisės pasirinkimas 2 dalies 9 punkte taikomas visai Sutarčiai.

 

6. Šalių asmeniniais tikslais perduoti ir tvarkomi asmens duomenys (perdavimas iš duomenų valdytojo duomenų valdytojui)

6.1 Šalys puikiai žino, kad tam tikri asmens duomenys bus perduoti iš Duomenų eksportuotojo duomenų importuotojui ir atvirkščiai, ir kad tokius duomenis kiekviena Šalis tvarko savo tikslais. Kalbant apie tokius asmens duomenis, tai neturi įtakos kitoms šio priedo nuostatoms (išskyrus šį 6 punktą).

6.2 Duomenų eksportuotojas gali perduoti duomenų importuotojui asmens duomenis, susijusius su Duomenų importuotojo darbuotojais, įskaitant informaciją apie saugumo incidentus, arba bet kokius kitus Duomenų eksportuotojo sukurtus ar sukurtus dokumentus ar failus, susijusius su Duomenų eksportuotojo teikiamomis paslaugomis. duomenų importuotojas. Duomenų importuotojas tokius asmens duomenis gali tvarkyti savo tikslais, ypač palaikydamas profesinius santykius su Duomenų importuotojo darbuotojais, kokybės kontrolei ir mokymams arba verslo tikslais.

6.3. Duomenų importuotojas gali perduoti Duomenų eksportuotojui asmens duomenis, įskaitant Duomenų importuotojo darbuotojų vardą ir pavardę bei kontaktinius duomenis. Duomenų eksportuotojas tokius asmens duomenis gali tvarkyti savo tikslais.

6.4 Abi šalys laikosi visų taikomų duomenų apsaugos įstatymų, įskaitant BDAR, rinkdamos, tvarkydamos ir naudodamos tokius asmens duomenis, gautus iš kitos šalies pagal 1 dalies 1 punktą. Visų pirma, abi Šalys imasi tinkamų saugumo priemonių, panašaus lygio apsauga kaip ir 2 dalies 2 priedėlyje nustatytos saugumo priemonės. Bet kokia prieiga prie tokių asmens duomenų apsiriboja būtinybe juos žinoti.

6.5 Abi Šalys privalo ištrinti tokius asmens duomenis kuo greičiau po to, kai bus pasiekti tikslai.

2 dalis

 

KOMISIJOS SPRENDIMAS

2010 metų vasario 5 dieną

dėl standartinių sutarčių sąlygų dėl asmens duomenų perdavimo duomenų tvarkytojams, įsisteigusiems trečiųjų šalių šalyse pagal Europos Parlamento ir Tarybos direktyvą 95/46/EB

 

 

 

1 punktas

Apibrėžimai

Straipsnių prasme:

a) „asmens duomenys“, „specialios duomenų kategorijos“, „tvarkomas/tvarkomas“, „duomenų valdytojas“, „tvarkytojas“, „duomenų subjektas“ ir „priežiūros institucija“ turi tą pačią reikšmę kaip ir 95/46/EB. 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (1);

b) „Duomenų eksportuotojas“ yra asmens duomenis perduodantis duomenų valdytojas;

c) „Duomenų importuotojas“ yra duomenų tvarkytojas, kuris sutinka gauti iš Duomenų eksportuotojo asmens duomenis, skirtus tvarkyti duomenų eksportuotojo vardu po perdavimo pagal jo nurodymus ir šių punktų sąlygas, ir kuris nėra atsižvelgiant į trečiosios šalies mechanizmą, užtikrinantį tinkamą apsaugą, kaip apibrėžta Direktyvos 95/46/EB 25 straipsnio 1 dalyje; d) Duomenų tvarkytojas – duomenų tvarkytojas, kurį pasamdo duomenų importuotojas arba bet kuris kitas duomenų importuotojo duomenų tvarkytojas, kuris sutinka gauti iš Duomenų importuotojo ar bet kurio kito Duomenų importuotojo duomenų tvarkytojo asmens duomenis, skirtus išimtinai tvarkymo veiklai. atlikti duomenų eksportuotojo vardu po perdavimo pagal duomenų eksportuotojo nurodymus,

e) taikomas duomenų apsaugos įstatymas – teisės aktas, ginantis pagrindines asmenų teises ir laisves, įskaitant teisę į privatumą tvarkant asmens duomenis, ir taikomas duomenų valdytojui valstybėje narėje, kurioje yra įsisteigęs duomenų eksportuotojas;

f) „techninės ir organizacinės priemonės, susijusios su saugumu“ – priemonės, skirtos apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo ar netyčinio praradimo, pakeitimo, neteisėto atskleidimo ar prieigos, ypač kai tvarkymas susijęs su duomenų perdavimu tinklais, ir nuo visų kitų neteisėtų tvarkymo formų.

2 punktas

Išsami informacija apie perkėlimą

Išsami informacija apie perdavimą, įskaitant, jei reikia, specialias asmens duomenų kategorijas, nurodyta 1 priede, kuris yra neatskiriama šių punktų dalis.

3 punktas

Trečiosios šalies naudos gavėjo sąlyga

1. Duomenų subjektas gali priversti duomenų eksportuotoją vykdyti šią sąlygą, 4 punkto b–i papunkčius, 5 punkto a–e papunkčius ir g–j punktus, 6 straipsnio 1 ir 2 dalis. ), 7 straipsnis, 8 straipsnio 2 dalis ir 9–12 punktai kaip trečiosios šalies naudos gavėjas

2. Duomenų subjektas gali įgyvendinti šią sąlygą, 5 punkto a–e ir g punktus, 6 punktą, 7 punktą, 8 straipsnio 2 dalį ir 9–12 punktus prieš duomenų importuotoją, jei duomenų eksportuotojas fiziškai dingo arba nustojo egzistuoti pagal įstatymą, nebent visos jo teisinės prievolės pagal sutartį ar pagal įstatymą buvo perduotos perėmėjui, kuriam dėl to grįžta duomenų eksportuotojo teisės ir pareigos, ir prieš kurį duomenys todėl subjektas gali vykdyti minėtas sąlygas.

Duomenų subjektas gali įgyvendinti šią sąlygą, 5 punkto a–e ir g papunkčius, 6 punktą, 7 punktą, 8 punkto 2 dalį ir 9–12 punktus prieš Duomenų tvarkytoją, tačiau tik tais atvejais, kai Duomenų Eksportuotojas ir Duomenų importuotojas fiziškai išnyko, nustojo egzistuoti pagal įstatymą arba tapo nemokūs, nebent visos Duomenų eksportuotojo teisinės pareigos sutartimi ar pagal įstatymą buvo perduotos teisių perėmėjui, kurio teisės ir todėl duomenų eksportuotojas turi savo įsipareigojimus, o prieš kurį duomenų subjektas gali vykdyti tokias sąlygas. Tokia Duomenų tvarkytojo atsakomybė turi apsiriboti jo paties tvarkymo veikla pagal šiuos punktus.

4. Šalys neprieštarauja, kad duomenų subjektui atstovautų asociacija ar kita įstaiga, jei jis to pageidauja ir jei tai leidžia nacionalinė teisė.

4 punktas

Duomenų eksportuotojo įsipareigojimai

Duomenų eksportuotojas sutinka ir garantuoja:

a) tvarkymas, įskaitant faktinį asmens duomenų perdavimą, buvo ir bus toliau vykdomas pagal atitinkamas galiojančio duomenų apsaugos įstatymo nuostatas (ir, kai taikoma, apie tai buvo pranešta valstybės narės kompetentingoms institucijoms kurioje yra duomenų eksportuotojas) ir nepažeidžia atitinkamų tos valstybės nuostatų;

b) jie nurodė ir duos nurodymus asmens duomenų tvarkymo paslaugų teikimo laikotarpiu Duomenų importuotojui tvarkyti asmens duomenis, perduotus tik duomenų eksportuotojo vardu ir pagal taikomus duomenų apsaugos įstatymus ir šias sąlygas;

c) Duomenų importuotojas užtikrins pakankamas garantijas dėl techninių ir organizacinių saugumo priemonių, nurodytų šios sutarties 2 priede;

d) įvertinus taikomų duomenų apsaugos teisės aktų reikalavimus, saugumo priemonės yra tinkamos asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo ar netyčinio praradimo, pakeitimo, neteisėto atskleidimo ar prieigos, ypač kai tvarkymas yra susijęs su duomenų perdavimu. tinkle ir nuo visų kitų neteisėtų duomenų tvarkymo formų ir užtikrina saugumo lygį, atitinkantį su apdorojimu susijusią riziką ir saugotinų duomenų pobūdį, atsižvelgiant į technologijos lygį ir įgyvendinimo išlaidas;

e) jie užtikrins saugumo priemonių laikymąsi;

f) jei perdavimas yra susijęs su specialiomis duomenų kategorijomis, duomenų subjektas buvo informuotas arba bus informuotas prieš perdavimą arba kuo greičiau po perdavimo, kad jo duomenys gali būti perduoti trečiajai šaliai, kuri nesiūlo tinkamas apsaugos lygis, kaip apibrėžta Direktyvoje 95/46/EB;

g) jie perduos visus iš Duomenų importuotojo arba bet kurio duomenų tvarkytojo pagal 5 punkto b punktą ir 8 straipsnio 3 dalį gautus pranešimus duomenų apsaugos priežiūros institucijai, jei ji nuspręs tęsti perdavimą arba panaikinti jo sustabdymą;

h) jie pateikia duomenų subjektams, jei jie to reikalauja, šių punktų, išskyrus 2 priedėlį, kopiją ir saugumo priemonių santrauką bei bet kokios kitos subrangos sutarties, sudarytos pagal šias nuostatas, kopiją, nebent Sąlygose arba sutartyje yra komercinės informacijos, tokiu atveju jis gali tokią informaciją atšaukti;

i) jei duomenų tvarkymo procesą sudaro subrangos sutartimi, duomenų tvarkymo veiklą pagal 11 punktą atlieka Duomenų tvarkytojas, užtikrinantis bent tokį patį asmens duomenų ir duomenų subjekto teisių apsaugos lygį kaip ir Duomenų importuotojas pagal šiuos punktus. ; ir

j) ji užtikrins, kad būtų laikomasi 4 punkto a–i punktų.

5 punktas

Duomenų importuotojo įsipareigojimai

Duomenų importuotojas sutinka ir garantuoja:

a) jie tvarkys asmens duomenis tik duomenų eksportuotojo vardu ir vadovaudamiesi duomenų eksportuotojo nurodymais bei šiomis išlygomis; jei dėl kokių nors priežasčių negali laikytis, jie sutinka kuo greičiau informuoti Duomenų eksportuotoją apie savo negalėjimą, tokiu atveju duomenų eksportuotojas gali sustabdyti duomenų perdavimą ir (arba) nutraukti sutartį;

b) jie neturi pagrindo manyti, kad jiems taikoma teisė trukdo vykdyti duomenų eksportuotojo nurodymus ir vykdyti jam pagal sutartį prisiimtus įsipareigojimus, ir jei tokia teisė gali būti pakeista, galinti turėti esminių neigiamų padarinių. įtakos garantijoms ir įsipareigojimams pagal Sąlygas, apie pasikeitimą jis nedelsdamas praneša Duomenų eksportuotojui, kai apie tai sužinojo, tokiu atveju duomenų eksportuotojas gali sustabdyti duomenų perdavimą ir (arba) nutraukti sutartį; c) prieš tvarkydami perduotus asmens duomenis, jie įgyvendino 2 priedėlyje nurodytas technines ir organizacines saugumo priemones;

d) jie nedelsdami praneš duomenų eksportuotojui:

i) bet koks privalomas teisėsaugos institucijos prašymas atskleisti asmens duomenis, jei nenurodyta kitaip, pavyzdžiui, baudžiamasis draudimas, kuriuo siekiama išsaugoti policijos tyrimo paslaptį;

ii) bet kokią atsitiktinę ar neteisėtą prieigą; ir

iii) bet kokį prašymą, gautą tiesiogiai iš atitinkamų asmenų, į jį neatsakius, nebent jis buvo įgaliotas tai padaryti; administratoriai

e) jie greitai ir tinkamai išnagrinės visus Duomenų eksportuotojo užklausas dėl perduodamų asmens duomenų tvarkymo ir veiks pagal priežiūros institucijos nuomonę dėl perduotų duomenų tvarkymo;

f) duomenų eksportuotojo prašymu jie atliks duomenų eksportuotojo arba priežiūros institucijos, sudarytos iš nepriklausomų narių, turinčių reikiamą profesinę kvalifikaciją, duomenų tvarkymo veiklos, kuriai taikomos šios sąlygos, auditą, laikantis slaptumo įsipareigojimo ir pasirinkto duomenų eksportuotojo, jei reikia, sutikus priežiūros institucijai;

g) jie suteiks duomenų subjektui, jei jis to paprašys, šių punktų kopiją arba bet kokią esamą duomenų tvarkymo sutarties subrangos sutartį, nebent sąlygose ar sutartyje yra komercinės informacijos, ir tokiu atveju ji gali tokią informaciją pašalinti. informacija, išskyrus 2 priedą, kuris bus pakeistas suvestiniu saugumo priemonių aprašymu, kai duomenų subjektas negali gauti kopijos iš Duomenų eksportuotojo;

h) konfidencialaus tolesnio duomenų tvarkymo subrangos sutartimi jis užtikrins, kad iš anksto informuotų duomenų eksportuotoją ir gautų rašytinį duomenų eksportuotojo sutikimą;

i) Duomenų tvarkytojo teikiamos tvarkymo paslaugos turi atitikti 11 punktą;

j) jie nedelsdami išsiųs duomenų eksportuotojui visų duomenų tvarkymo sutarties, sudarytos pagal šias nuostatas, subrangos sutarties kopijas.

6 punktas

Atsakomybė

1. Šalys susitaria, kad bet kuris duomenų subjektas, patyręs žalą dėl to, kad viena šalis arba Duomenų tvarkytojas pažeidė 3 arba 11 punkte nurodytus įsipareigojimus, gali gauti iš Duomenų eksportuotojo kompensaciją už patirtą žalą.

2. Jei duomenų subjektas negali pareikšti ieškinio dėl žalos atlyginimo, kaip nurodyta 1 dalyje duomenų eksportuotojui dėl to, kad duomenų importuotojas arba jo duomenų tvarkytojas nevykdo kokių nors savo įsipareigojimų pagal 3 ar 11 punktą, nes duomenys Eksportuotojas fiziškai dingo, nustojo egzistuoti pagal įstatymą arba tapo nemokus, duomenų importuotojas sutinka, kad duomenų subjektas galėtų pateikti jam skundą taip, lyg jis būtų duomenų eksportuotojas, nebent visi duomenų eksportuotojo teisiniai įsipareigojimai būtų perduoti pagal sutartį. arba pagal įstatymą jį perėmėnčiam subjektui, prieš kurį duomenų subjektas gali įgyvendinti savo teises. Duomenų importuotojas negali remtis tuo, kad Duomenų tvarkytojas pažeidė savo įsipareigojimus, kad išvengtų savo atsakomybės.

3. Jei duomenų subjektas negali pareikšti 1 ir 2 dalyse nurodytų ieškinių duomenų eksportuotojui arba duomenų importuotojui dėl to, kad duomenų tvarkytojas pažeidė savo įsipareigojimus pagal 3 arba 11 punktą, nes duomenų eksportuotojas ir duomenų importuotojas fiziškai dingo, nustojo egzistuoti pagal įstatymą arba tapo nemokus, Duomenų tvarkytojas sutinka, kad duomenų subjektas galėtų pateikti jam skundą dėl savo duomenų tvarkymo veiklos pagal šias sąlygas taip, lyg jis būtų duomenų eksportuotojas ar importuotojas, nebent visi Duomenų eksportuotojo arba duomenų importuotojo teisinės pareigos pagal sutartį arba pagal įstatymą buvo perduotos teisių perėmėjui, prieš kurį duomenų subjektas gali ginti savo teises.Duomenų tvarkytojo atsakomybė turi apsiriboti jo paties tvarkymo veikla pagal šiuos punktus.

 

7 punktas

Tarpininkavimas ir jurisdikcija

1. Duomenų importuotojas sutinka, kad jei pagal sąlygas duomenų subjektas prieš jį remiasi trečiosios šalies naudos gavėjo teise ir (arba) reikalauja kompensacijos už patirtą žalą, jis priims duomenų subjekto sprendimą:

a) perduoti ginčą tarpininkauti nepriklausomam asmeniui arba, jei reikia, priežiūros institucijai;

b) perduoti ginčą valstybės narės, kurioje yra duomenų eksportuotojas, teismams.

2. Šalys susitaria, kad duomenų subjekto pasirinkimas neturi įtakos procedūrinei ar materialinei duomenų subjekto teisei gauti žalos atlyginimą pagal kitas nacionalinės ar tarptautinės teisės nuostatas.

8 punktas

Bendradarbiavimas su priežiūros institucijomis

1. Duomenų eksportuotojas sutinka deponuoti šios sutarties kopiją priežiūros institucijai, jei ši to reikalauja arba jei toks deponavimas numatytas taikomuose duomenų apsaugos įstatymuose.

2. Šalys susitaria, kad priežiūros institucija duomenų importuotojo ir bet kurio duomenų tvarkytojo patikrinimus gali atlikti tokia pat apimtimi ir tokiomis pat sąlygomis, kaip ir duomenų eksportuotoje atliekamus patikrinimus pagal taikomus duomenų apsaugos įstatymus.

3. Duomenų importuotojas kuo greičiau informuoja duomenų eksportuotoją apie su duomenų importuotoju arba bet kuriuo duomenų tvarkytoju susijusius teisės aktus, kurie neleidžia duomenų importuotojui ar bet kuriam duomenų tvarkytojui atlikti patikrinimą pagal 2 dalį. Tokiu atveju Duomenų eksportuotojas gali imtis 5 punkto b punkte numatytų priemonių.

9 punktas

Taikytina teisė

Sąlygos taikomos ir jas reglamentuoja valstybės narės, kurioje yra duomenų eksportuotojas, teisė.

10 punktas

Sutarties pakeitimas

Šalys įsipareigoja nekeisti šių sąlygų. Šalys gali laisvai įtraukti kitas komercines sąlygas, kurios, jų nuomone, yra būtinos, jei jos neprieštarauja šioms sąlygoms.

11 punktas

Vėlesnė subranga

1. Be išankstinio rašytinio duomenų eksportuotojo sutikimo duomenų importuotojas nesudaro subrangos sutartimi dėl jokios duomenų eksportuotojo vardu atliekamos tvarkymo veiklos pagal šias sąlygas. Duomenų importuotojas savo įsipareigojimus pagal šiuos punktus perleidžia tik su Duomenų eksportuotojo sutikimu, sudarydamas rašytinį susitarimą su Duomenų tvarkytoju, kuriuo Duomenų tvarkytojui nustatomi tokie patys įsipareigojimai, kaip ir Duomenų importuotojui pagal šiuos punktus. Jei Duomenų tvarkytojas negali vykdyti savo duomenų apsaugos įsipareigojimų pagal tą rašytinį susitarimą, duomenų importuotojas lieka visiškai atsakingas duomenų eksportuotojui už tų įsipareigojimų vykdymą.

2. Į išankstinį rašytinį duomenų importuotojo ir duomenų tvarkytojo susitarimą taip pat įtraukiama trečiosios šalies naudos gavėjo sąlyga, kaip nurodyta 3 punkte, tais atvejais, kai duomenų subjektas negali pareikšti reikalavimo atlyginti žalą, nurodytą 6 punkte (1). ), prieš Duomenų eksportuotoją ar duomenų importuotoją, nes duomenų eksportuotojas arba duomenų importuotojas fiziškai išnyko, nustojo egzistuoti pagal įstatymą arba tapo nemokus ir nebuvo perduotos visos duomenų eksportuotojo ar duomenų importuotojo teisinės prievolės pagal sutartį ar operaciją. pagal įstatymą, kitam subjekto teisių perėmėjui. Duomenų tvarkytojo atsakomybė turi apsiriboti jo paties tvarkymo veikla pagal šiuos punktus.

3. Su duomenų apsaugos aspektais susijusias nuostatas, susijusias su 1 dalyje nurodytos sutarties duomenų tvarkymo subrangos sutartimi, reglamentuoja valstybės narės, kurioje yra įsisteigęs duomenų eksportuotojas, teisė.

4. Duomenų eksportuotojas saugo pagal šiuos punktus sudarytų duomenų tvarkymo sutarčių, apie kurias Duomenų importuotojas praneša pagal 5 punkto j punktą, subrangovų sąrašą, kuris atnaujinamas ne rečiau kaip kartą per metus. Šis sąrašas pateikiamas duomenų eksportuotojo duomenų apsaugos priežiūros institucijai.

12 punktas

Prievolė nutraukus asmens duomenų tvarkymo paslaugas

1. Šalys susitaria, kad baigę teikti duomenų tvarkymo paslaugas Duomenų importuotojas ir Duomenų tvarkytojas Duomenų eksportuotojui patogiu metu grąžins visus perduotus asmens duomenis ir jų kopijas duomenų eksportuotojui arba visus tokius duomenis sunaikins ir pateiks įrodymus. sunaikinimą Duomenų eksportuotojui, nebent duomenų importuotojui nustatyti teisės aktai draudžia grąžinti arba sunaikinti visų ar dalies perduotų asmens duomenų. Tokiu atveju Duomenų importuotojas garantuoja, kad užtikrins perduotų asmens duomenų konfidencialumą ir daugiau netvarkys duomenų.

2. Duomenų importuotojas ir duomenų tvarkytojas užtikrina, kad duomenų eksportuotojui ir (arba) priežiūros institucijai paprašius, jų duomenų tvarkymo priemonės patikrintų 1 dalyje nurodytas priemones.

 

 

 

 

2 dalies 1.1 priedas

Išsami informacija apie perkėlimą

 

 

Duomenų eksportuotojas

Duomenų eksportuotojas yra Sutartyje apibrėžtas Klientas.

 

Duomenų importuotojas

Duomenų importuotojas yra IQUALIF ir jam pavesta tvarkyti duomenis, teikti paslaugas Duomenų eksportuotojui.

 

Duomenų subjektai

Perduodami asmens duomenys yra susiję su šiomis duomenų subjektų kategorijomis:

˜' telefonų abonentai, išvardyti universaliajame kataloge

˜ Kiti, įskaitant:

 

Duomenų kategorijos

Perduodami asmens duomenys yra susiję su šių kategorijų duomenimis:

 

Visų pirma Duomenų eksportuotojo duomenų subjektų asmens duomenų kategorijos,

˜' Pilnas vardas

˜' Pašto adresas

˜' Kontaktiniai duomenys (el. paštas, telefonas, IP adresas ir kt.)

˜' Informacija apie rinkodaros veiklą, susijusią su telefono abonentu

Kiti, įskaitant būsto tipą, pajamas ir vidutinį amžių mieste, paskelbtus anonimiškai

 

Specialios duomenų kategorijos (jei taikoma)

Perduodami asmens duomenys yra susiję su šiomis specialiomis duomenų kategorijomis:

˜' Specialių kategorijų duomenų perdavimas nenumatytas

˜ Rasė arba etninė kilmė

˜ Religiniai ar filosofiniai įsitikinimai

˜ Narystė profesinėje sąjungoje

˜ Politinės pažiūros

˜ Genetinė informacija

˜ Biometrinė informacija

˜ Informacija apie seksualinę orientaciją arba seksualinį gyvenimą

˜ Sveikatos duomenys

 

Apdorojimo veikla

Perduotiems asmens duomenims bus taikomos šios pagrindinės tvarkymo veiklos:

 

  •  
    • ¢ Tvarkymo tikslas

Duomenų eksportuotojo vardu atliekamas tvarkymas grindžiamas šiais dalykais, visų pirma:

„Duomenų eksportuotojo siūlomų produktų ar paslaugų valdymas

„Prekės ar paslaugos pasiūlymas, kurio gali paprašyti skambinamas asmuo

˜' Iš skambintų asmenų paimti užsakymai ir tolesnis šių užsakymų apdorojimas

˜' Studijuoti klausimynus ir analizes

„Telerinkodara

˜ Kiti, įskaitant:

 

  •  
    • ¢ Tvarkymo pobūdis ir tikslas

Duomenų importuotojas tvarko duomenų subjektų asmens duomenis Duomenų eksportuotojo vardu, siekdamas teikti šias paslaugas, ypač:

„Pardavimas ir rinkodara

„Kita, įskaitant rotušės ir politinių partijų duomenų bazių atnaujinimą

 

  •  
    • Paslaugų teikimas ir paslaugų teikėjų įdarbinimas

 

IQUALIF daugiausia jungia, centralizuoja ir teikia paslaugas duomenų eksportuotojui. Nurodyto paslaugų teikėjo teikiamos paslaugos gali būti struktūrizuotos (be kitų, jei reikia) pagal šias papildomas paslaugas: i) taikomųjų programų, įrankių, sistemų ir IT infrastruktūros teikimas, susijęs su naudojamais duomenų apdorojimo centrais, siekiant teikti ir teikti paslaugas, įskaitant pirmiau aprašytą duomenų subjektų asmens duomenų tvarkymą, naudojant tokias programas, įrankius ir sistemas, (ii) teikti IT pagalbą, techninę priežiūrą ir kitas paslaugas, susijusias su tokiomis programomis, įrankiais, sistemomis. ir IT infrastruktūra, įskaitant galimą prieigą prie asmens duomenų, saugomų tokiose programose, priemonėse ir sistemose, ir iii) duomenų apsaugos paslaugų teikimą, apsaugos stebėjimą ir reagavimo į incidentus paslaugas, įskaitant galimą prieigą prie asmens duomenų teikiant tokias apsaugos paslaugas. IQUALIF gali pasitelkti duomenų tvarkytojus, kaip nurodyta toliau, teikti paslaugas, įskaitant papildomas paslaugas.

 

  •  
    • • Išoriniai trečiųjų šalių paslaugų teikėjai kaip duomenų apdorojimui priskirti subsubjektai

 

IQUALIF pasitelkia išorės ir trečiųjų šalių paslaugų teikėjus, kurie nėra IQUALIF dukterinės įmonės, kad padėtų teikti paslaugas Duomenų eksportuotojui. Duomenų eksportuotojas tokius išorinius trečiųjų šalių paslaugų teikėjus patvirtina duomenų tvarkymui priskirtais subsubjektais.

 

Jei su duomenų tvarkymu susijęs subjektas yra ne ES/EEE, šalyje, kurioje, remiantis Europos Komisijos sprendimu, nėra tinkamo duomenų apsaugos lygio, duomenų importuotojas imsis veiksmų, kad pasiektų tinkamą duomenų apsaugos lygį. duomenų apsauga pagal BDAR ir 1 dalies 3.4 skirsnio iv papunktį.

 

 

2 priedas, 2 dalis

Techninės ir organizacinės apsaugos priemonės

 

Duomenų importuotojas imasi šių duomenų eksportuotojo patvirtintų techninių ir organizacinių apsaugos priemonių, siekdamas užtikrinti tinkamą asmenų teisių ir laisvių saugumo lygį, priklausomai nuo rizikos. Vertindamas atitinkamą apsaugos lygį, duomenų eksportuotojas visų pirma atsižvelgė į riziką, susijusią su duomenų tvarkymu, įskaitant atsitiktinį ar neteisėtą sunaikinimą, pakeitimą, neteisėtą atskleidimą arba prieigą prie perduodamų, saugomų ar kitaip tvarkomų asmens duomenų. Paaiškinimu: Šios techninės ir organizacinės apsaugos priemonės netaikomos Duomenų eksportuotojo teikiamoms programoms, priemonėms, sistemoms ir (arba) IT infrastruktūrai.

1 Bendrosios techninės ir organizacinės apsaugos priemonės
1.1 Bendra informacija ir duomenų apsaugos strategijos
Norint laikytis bendrųjų duomenų ir informacijos apsaugos strategijų, reikia imtis šių veiksmų:
  • a) imtis priemonių įvertinti priemones, kurių buvo imtasi dėl techninės ir organizacinės apsaugos;
  • b) rengti mokymus, skirtus darbuotojų informuotumui didinti;
  • c) turėti atitinkamų sistemų aprašymą ir suteikti darbuotojams prieigą;
  • d) nustato oficialų dokumentacijos procesą, kai sistemos yra įdiegiamos arba keičiamos;
  • e) dokumentuoti organizacinę struktūrą, procesus, atsakomybę ir atitinkamus vertinimus;
 
1.2 Informacijos apsaugos organizavimas
Siekiant koordinuoti duomenų ir informacijos apsaugos veiklą, reikėtų imtis šių priemonių:
  • a) apibrėžtos atsakomybės už informacijos ir duomenų apsaugą (pvz., taikant duomenų apsaugos valdymo politiką);
  • b) reikalingos žinios ir žinios, kaip apsaugoti informaciją ir likusius turimus duomenis;
  • c) visi darbuotojai yra įsipareigoję užtikrinti, kad asmens duomenys būtų konfidencialūs, ir būtų informuoti apie galimas šio įsipareigojimo pažeidimo pasekmes.
 
1.3 Prieigos prie apdorojimo zonų kontrolė
Turi būti imamasi šių priemonių, kad asmens duomenys tvarkomi, saugomi arba perduodami, kad pašaliniai asmenys nepatektų į duomenų tvarkymo sistemas (ypač programinę ir techninę įrangą):
  • a) įrengti saugias zonas;
  • b) apsaugoti ir apriboti prieigą prie duomenų tvarkymo sistemų;
  • c) nustatyti prieigos teises darbuotojams ir trečiosioms šalims, įskaitant atitinkamus dokumentus;
  • d) bet kokia prieiga prie duomenų tvarkymo centrų, kuriuose saugomi asmens duomenys, registruojama.
 
1.4 Prieigos prie duomenų apdorojimo sistemų kontrolė
Siekiant užkirsti kelią neteisėtai prieigai prie duomenų tvarkymo sistemų, reikia imtis šių priemonių:
  • a) vartotojo autentifikavimo politika ir procedūros;
  • b) slaptažodžių naudojimas visose kompiuterinėse sistemose;
  • c) nuotolinei prieigai prie tinklo reikalingas kelių veiksnių autentifikavimas ir ji suteikiama atitinkamam asmeniui pagal jo pareigas ir gavus leidimą;
  • d) prieiga prie konkrečių funkcijų yra pagrįsta darbo funkcijomis ir (arba) atributais, individualiai priskirtais vartotojo paskyrai;
  • e) su asmens duomenimis susijusios prieigos teisės būtų reguliariai peržiūrimos;
  • f) prieigos teisių pasikeitimų įrašai yra nuolat atnaujinami.
 
1.5 Prieigos prie konkrečių duomenų apdorojimo sistemų naudojimo sričių kontrolė
Turi būti imamasi šių priemonių siekiant užtikrinti, kad įgalioti asmenys, turintys teisę naudotis duomenų tvarkymo sistema, galėtų prieiti tik prie duomenų pagal savo atitinkamas pareigas ir prieigos įgaliojimus ir kad asmens duomenų nebūtų galima skaityti, kopijuoti, keisti ar ištrinti be leidimo:
  1.  
    1. a) politika, nurodymai ir darbuotojų mokymai, susiję su kiekvieno iš jų įsipareigojimais dėl konfidencialumo, teisėmis susipažinti su asmens duomenimis ir asmens duomenų tvarkymo apimtimi;
  • b) drausmines priemones asmenims, turintiems prieigą prie asmens duomenų be leidimo;
  • c) prieiga prie asmens duomenų suteikiama tik įgaliotiems asmenims, esant būtinybei žinoti;
  • d) tvarkyti sistemos administratorių sąrašą ir imtis atitinkamų priemonių sistemos administratoriams stebėti;
  • e) nekopijuoti ir neatkurti asmens duomenų jokioje saugojimo sistemoje, kad pašaliniai asmenys galėtų pašalinti informaciją, kurią jie pateikė;
  • f) kontroliuojamas ir dokumentais pagrįstas duomenų ištrynimas arba sunaikinimas;
  • g) saugiai saugoti visus asmens duomenis, kurie turi būti saugomi dėl teisinių ar reguliavimo priežasčių (pvz., įsipareigojimų saugoti duomenis), ir tik tiek, kiek to reikalauja įstatymai.
 
1.6 Transmisijų valdymas
Turi būti imamasi šių priemonių, kad asmens duomenų neleistų perskaityti, kopijuoti, keisti ar ištrinti neįgalioti tretieji asmenys perduodant ar gabenant duomenų saugojimo priemones (priklausomai nuo asmens duomenų tvarkymo):
  1.  
    1. a) ugniasienės naudojimas;
  • b) vengiant asmens duomenų saugojimo mobiliuosiuose saugojimo įrenginiuose transportavimo tikslais arba prietaisų šifravimo;
  • c) naudoti nešiojamuosiuose kompiuteriuose ir kituose mobiliuosiuose įrenginiuose tik suaktyvinus šifravimo apsaugą;
  • d) asmens duomenų perdavimo registravimas.
 
1.7 Duomenų įvedimo kontrolė
Turi būti imamasi šių priemonių, kad būtų galima patikrinti ir nustatyti, ar asmens duomenys buvo įtraukti į duomenų tvarkymo sistemas arba iš jų ištrinti ir kas juos atliko:
  1.  
    1. a) leidimo skaityti, keisti ir ištrinti saugomus duomenis politika;
  • b) apsaugos priemonės, susijusios su saugomų duomenų skaitymu, keitimu ir ištrynimu.
 
1.8 Darbo kontrolė
Perduoto asmens duomenų tvarkymo atveju turi būti imamasi šių priemonių siekiant užtikrinti, kad tokie duomenys būtų tvarkomi pagal Prižiūrėtojo nurodymus:
  1.  
    1. a) subjektai ar subsubjektai, kuriems pavesta tvarkyti duomenis, pasirinkti atsargiai (paslaugų teikėjai, tvarkantys asmens duomenis duomenų valdytojo vardu);
  • b) nurodymai dėl bet kokio asmens duomenų tvarkymo apimties darbuotojams, subjektams ar subjektams, kuriems pavesta tvarkyti duomenis;
  • c) audito teisės, sutartos su subjektais ar subsubjektais, kuriems pavesta tvarkyti duomenis;
  • d) sudarytos sutartys su subjektais ar subsubjektais, kuriems pavesta tvarkyti duomenis.
 
1.9 Atskyrimas nuo tvarkymo kitais tikslais
Siekiant užtikrinti, kad kitais tikslais surinkti duomenys galėtų būti tvarkomi atskirai, būtina imtis šių priemonių:
  1.  
    1. a) atskira prieiga prie asmens duomenų pagal esamas vartotojų teises;
  • b) sąsajos, paketinis apdorojimas ir ataskaitų teikimas yra skirti kitiems tikslams ir funkcijoms, kad kitais tikslais surinkti duomenys galėtų būti tvarkomi atskirai.
 
1.10 Pseudoniminimas
Dėl asmens duomenų pseudonimizacijos turi būti imamasi šių priemonių:
  1.  
    1. a) Jei duomenų eksportuotojas užsako atlikti konkrečią tvarkymo operaciją arba jei duomenų importuotojas mano, kad tai tinkama pagal galiojančius duomenų apsaugos įstatymus, susijusius su tam tikra tvarkymo veikla, asmens duomenys bus tvarkomi taip, kad duomenys nebegali būti priskirti konkrečiam asmeniui, nenaudojant papildomos informacijos. Ši papildoma informacija bus saugoma atskirai;
  • b) pseudonimizacijos metodų naudojimas, įskaitant atsitiktinių imčių paskirstymo sąrašus; vertybių kūrimas aštrių pavidalu.
 
1.11 Šifravimas

Norint užšifruoti asmeninius duomenis programose ir perdavimuose, kurie palaiko šifravimą, reikia imtis šių veiksmų:

  1.  
    1. a) šifravimo metodų naudojimas;
  • b) šifravimo valdymo sukūrimas, kad būtų palaikomi leistini naudoti šifravimo būdai;
  • c) remti kriptografijos naudojimą taikant procedūras ir protokolus, skirtus kriptografinių raktų generavimui, modifikavimui, atšaukimui, naikinimui, platinimui, sertifikavimui, saugojimui, fiksavimui, naudojimui ir archyvavimui, siekiant apsaugoti nuo neteisėto pakeitimo ir atskleidimo.
 
1.12 Duomenų apdorojimo sistemų ir paslaugų išsamumas
Siekiant užtikrinti duomenų tvarkymo sistemų ir paslaugų išsamumą, būtina imtis šių priemonių:
  1. a) duomenų apdorojimo sistemų apsauga nuo manipuliavimo arba sunaikinimo tinkamomis priemonėmis (pvz., antivirusine programine įranga, duomenų praradimo prevencijos programine įranga ir programine įranga nuo kenkėjiškų programų, programinės įrangos pataisomis, ugniasienėmis ir valdoma darbalaukio apsauga);
  • b) uždrausti įdiegti bet kokias duomenų tvarkymo sistemoms, paslaugoms kenksmingas paslaugas ar programinę įrangą arba manipuliuoti asmens duomenimis;
  • c) tinklo įsilaužimo aptikimo ir prevencijos sistemos naudojimas pačiame tinklo struktūroje.
 
1.13 Duomenų tvarkymo sistemų ir paslaugų prieinamumas bei galimybė atkurti prieigą prie asmens duomenų ir jų naudojimą materialinio ar techninio incidento atveju
Turi būti imamasi šių priemonių, kad būtų užtikrintas duomenų tvarkymo sistemų prieinamumas, taip pat būtų galima greitai atkurti asmens duomenų prieinamumą ir prieigą prie jų materialinio ar techninio incidento atveju (ypač užtikrinant, kad asmens duomenys yra apsaugoti nuo atsitiktinio sunaikinimo ar praradimo):
  • a) turėti atsarginių kopijų saugojimo ir prarastų arba ištrintų duomenų atkūrimo valdymo priemones;
  • b) infrastruktūros pertekliaus ir veikimo patikrinimas;
  • c) fizinė kompiuterių išteklių apsauga;
  • d) vidaus tinklo būsenos ir prieinamumo stebėjimo priemonių naudojimas;
  • e) pranešimų apie incidentus ir reagavimo į incidentus politiką, reglamentuojančią incidentų valdymo procedūrą, ir šios politikos laikymosi pakartojimą kaip reguliarių mokymų dalį;
  • f) atsarginės kopijos (kartais ne vietoje), kad būtų atkurta sistema, kad ji vėl galėtų atlikti savo funkcijas;
  • g) veiklos tęstinumo / atkūrimo po nelaimių planai
 
1.14 Duomenų apdorojimo sistemų ir paslaugų atsparumas
Siekiant užtikrinti duomenų apdorojimo sistemų ir paslaugų atsparumą, reikia imtis šių priemonių:
  • a) sistemos ir harmoningai sukonfigūruotos, naudojant patvirtintus saugumo parametrus;
  • b) tinklo dubliavimas;
  • c) svarbiausių sistemų izoliavimo apsauga.
 
1.15 Techninių ir organizacinių priemonių, skirtų duomenų tvarkymo saugumui užtikrinti, reguliaraus tikrinimo, vertinimo ir efektyvumo vertinimo tvarka
Duomenų tvarkymo apsaugos techninių ir organizacinių priemonių reguliaraus tikrinimo, vertinimo ir efektyvumo vertinimo tvarka.
  • a) imasi reikiamų veiksmų, kad įvertintų riziką ir jos mažinimo strategijas;
  • b) IT skyriaus paslaugų analizės susitikimai aktualiems klausimams spręsti;
  • c) veiklos tęstinumo / atkūrimo po nelaimių planai yra reguliariai atnaujinami.

 

3 dalis

Šalių parašai ir duomenų importuotojų sąrašas

 

Kai užpildote internetinę užsakymo formą ir patvirtinate ją pažymėdami varnelę, kad sutinkate su bendromis naudojimo sąlygomis, sudaroma sutartis, reglamentuojanti Kliento ir IQUALIF santykius.

Siunčiant mokėjimą IQUALIF, bus laikoma, kad sutartis yra sudaryta ir sudaryta.


Atkreipkite dėmesį: šis tekstas išverstas iš prancūzų kalbos. Originalią versiją prancūzų kalba, kuri yra galiojanti ir teisiškai ribojanti, rasite čia .