Datu apstrādes pielikums

 

Šis pielikums ir Līguma neatņemama sastāvdaļa, un to noslēdz:

 

  1. (i) Klients (" Datu eksportētājs ")
  2. (ii) IQUALIF (" Datu importētājs ")

 

Katrs no tiem ir " partija " un parasti " partijas ".

 

Preambula

KUR Datu importētājs nodrošina profesionālus programmatūras pakalpojumus, datoru un saistītos pakalpojumus (piemēram, pārlūkprogrammas ar izvērstās meklēšanas funkcijām);

KAD saskaņā ar Līgumu Datu importētājs ir piekritis sniegt Datu eksportētājam Līgumā noteiktos pakalpojumus (" Pakalpojumi ");

KAD, sniedzot Pakalpojumus, datu importētājs saņem vai gūst labumu no piekļuves datu eksportētāja informācijai vai citu personu informācijai, kurām ir (potenciālas) attiecības ar datu eksportētāju, šāda informācija var tikt kvalificēta kā personas dati Regulas izpratnē. Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (“ VDAR ”) un citi piemērojamie datu aizsardzības tiesību akti.

KAD šajā pielikumā ir ietverti noteikumi un nosacījumi, kas piemērojami šādu personas datu vākšanai, apstrādei un lietošanai, ko datu importētājs veic kā datu eksportētāja pilnvarotais datu apstrādes aģents, lai nodrošinātu, ka Puses ievēro piemērojamos datu aizsardzības tiesību aktus. .

 

TĀPĒC un, lai Puses varētu likumīgi turpināt savas attiecības, Puses ir noslēgušas šo papildinājumu šādi:

1. daļa

 

1. Dokumenta struktūra un definīcijas

1.1. Struktūra

Šis papildinājums sastāv no šādām dažādām daļām:

 

1. daļa: 

satur vispārīgus noteikumus, piemēram, par šajā pielikumā lietotajām definīcijām, atbilstību vietējiem likumiem, laiku un izbeigšanu

 

2. daļa:

satur negrozītā līguma standartklauzulu dokumenta pamattekstu

 

2. daļas 1.1. papildinājums:

satur informāciju par apstrādes darbībām, ko datu importētājs sniedzis datu eksportētājam kā pilnvarotajam datu apstrādes aģentam (tostarp apstrādi, apstrādes veidu un mērķi, personas datu veidu un datu subjektu kategorijas) saskaņā ar šo Pielikums

 

2. daļas 2. papildinājums:

satur Datu importētāja tehnisko un organizatorisko drošības pasākumu aprakstu, kas tiek piemēroti saistībā ar visām apstrādes darbībām, kas aprakstītas 2. daļas 1.1.pielikumā.

 

3. daļa:

satur to pušu parakstus, kurām ir saistošs šis papildinājums, un identificē katru datu importētāju

 

 

1.2. Terminoloģija un definīcijas

Šī pielikuma vajadzībām ir piemērojama VDAR izmantotā terminoloģija un definīcijas (Līguma standarta klauzulas dokumenta 2. daļā, kur definētie termini nav rakstīti ar lielo burtu). 

 

"dalībvalsts"

nozīmē valsti, kas pieder Eiropas Savienībai vai Eiropas Ekonomikas zonai

 

"Īpašas (personas) datu kategorijas"

attiecas uz personas datiem, kas atklāj rasi vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai piederību arodbiedrībām, un ģenētiskajiem datiem, biometriskajiem datiem, ja tie tiek apstrādāti personas unikālās identifikācijas nolūkos, datiem par veselību, datiem par personas dzimumu. dzīve vai seksuālā orientācija

 

"Līgumu standarta klauzulas"

ir līguma standartklauzulas trešās valstīs reģistrētu apstrādes aģentu personas datu pārsūtīšanai saskaņā ar Komisijas 2010. gada 5. februāra Lēmumu 2010/87/ES, kas grozīts ar Komisijas Īstenošanas lēmumu (ES) 2016/2297 2010. gada 16. februārī. 2016. gada decembris

 

“Datu procesors”.

nozīmē jebkuru apstrādes aģentu, kas atrodas ES/EEZ vai ārpus tās un kurš piekrīt saņemt no datu importētāja vai jebkura cita datu importētāja apstrādātāja personas datus tikai apstrādes darbībām, kuras datu eksportētājs veic pēc datuma pārsūtīšanu saskaņā ar datu eksportētāja norādījumiem, šī pielikuma noteikumiem un līgumu ar datu importētāju

 

 

 

2. Datu eksportētāja pienākumi

2.1. Datu eksportētāja pienākums ir nodrošināt atbilstību visiem piemērojamajiem pienākumiem saskaņā ar VDAR un citiem piemērojamiem datu aizsardzības tiesību aktiem, kas attiecas uz datu eksportētāju, un uzrādīt šādu atbilstību, kā noteikts VDAR 5. panta 2. punktā. Datu eksportētājs garantē, ka datu importētājs ir saņēmis datu subjektu iepriekšēju piekrišanu saskaņā ar VDAR 6. panta a) apakšpunktu un ir izpildījis savu pienākumu informēt datu subjektus saskaņā ar VDAR 13. un 14. pantu.

2.2. Datu eksportētājam ir jāiesniedz datu importētājam attiecīgie apstrādes darbību faili saskaņā ar VDAR 30. panta 1. punktu saistībā ar Pakalpojumiem saskaņā ar šo pielikumu, ciktāl tas nepieciešams, lai datu importētājs izpildītu pienākumu saskaņā ar šo pielikumu. VDAR 30. panta 2. punkts.

2.3. Datu eksportētājam jāieceļ datu aizsardzības speciālists vai pārstāvis, ciktāl to prasa piemērojamie datu aizsardzības tiesību akti. Datu eksportētājam ir pienākums sniegt datu importētājam datu aizsardzības aģenta vai pārstāvja kontaktinformāciju, ja tāds ir.

2.4. Datu eksportētājs pirms apstrādes pabeigšanas, akceptējot šo pielikumu, apstiprina, ka datu importētāja tehniskie un organizatoriski drošības pasākumi, kas noteikti 2. daļas 2. pielikumā, ir atbilstoši un pietiekami, lai aizsargātu datu subjekta tiesības. un apstiprina, ka datu importētājs šajā ziņā nodrošina pietiekamus drošības pasākumus.

 

3. Atbilstība vietējiem tiesību aktiem

Lai izpildītu apstrādes aģentu ieviešanas prasības saskaņā ar VDAR 28. pantu, ir piemērojami šādi grozījumi:

 

3.1 Norādījumi

  1. (i) Datu eksportētājs uzdod datu importētājam apstrādāt personas datus tikai datu eksportētāja vārdā. Datu eksportētāja norādījumi ir sniegti šajā pielikumā un Līgumā. Datu eksportētāja pienākums ir nodrošināt, lai visi datu importētājam sniegtie norādījumi atbilstu piemērojamajiem datu aizsardzības tiesību aktiem. Datu importētājam ir jāapstrādā personas dati tikai saskaņā ar datu eksportētāja sniegtajiem norādījumiem, ja vien Eiropas Savienībā vai dalībvalsts tiesību aktos nav noteikts citādi (pēdējā gadījumā piemēro 1. daļas 3.2. punkta iv) apakšpunkta c) apakšpunktu) .
  2. (ii) Visiem citiem norādījumiem, kas pārsniedz šajā pielikumā vai Līgumā sniegtos norādījumus, jābūt iekļautiem šī pielikuma un līguma priekšmetā. Ja šīs papildu instrukcijas īstenošana datu importētājam ir saistīta ar izmaksām, datu importētājs par tām informē datu eksportētāju un sniedz paskaidrojumu pirms norādījuma ieviešanas. Tikai pēc tam, kad datu eksportētājs ir apstiprinājis, ka piekrīt šīm instrukcijas izpildes izmaksām, datu importētājs īsteno šo papildu norādījumu. Datu eksportētājam jāsniedz papildu norādījumi rakstiski, ja vien steidzamības vai citu īpašu apstākļu dēļ nav nepieciešama cita forma (piemēram, mutiska, elektroniska). Norādījumi citā formā, nevis rakstiski, Datu eksportētājam nekavējoties jāapstiprina rakstiski.
  3. 1. Ja vien datu eksportētājs nevar pats veikt personas datu labošanu, dzēšanu vai ierobežošanu, norādījumi var attiekties arī uz personas datu labošanu, dzēšanu un/vai ierobežošanu, kā noteikts 1. daļas 3.3. punktā.
  4. 2. Datu importētājam nekavējoties jāinformē datu eksportētājs, ja, viņaprāt, Instrukcija pārkāpj GDPR vai citus piemērojamos Eiropas Savienības vai dalībvalsts datu aizsardzības noteikumus (" Apstrīdētā instrukcijaJa uzraudzības iestāde atzīst apstrīdēto Rīkojumu par likumīgu, Datu importētājs īsteno apstrīdēto Instrukciju. 1. daļas 3.1. punkta ii) apakšpunkts paliek spēkā.

 

3.2. Datu importētāja pienākumi

  1. (i) Datu importētājam ir jānodrošina, ka personas, kuras datu importētājs ir pilnvarojis apstrādāt personas datus datu eksportētāja vārdā, jo īpaši datu importētāja darbinieki un jebkura apakšuzņēmēja darbinieki, ir apņēmušies ievērot konfidencialitāti vai ir pakļauti atbilstošs likumā noteiktais konfidencialitātes pienākums un ka personas, kurām ir piekļuve personas datiem, tos apstrādā saskaņā ar datu eksportētāja norādījumiem.
  2. (ii) Pirms personas datu apstrādes datu eksportētāja vārdā datu importētājam ir jāīsteno tehniskie un organizatoriski drošības pasākumi, kā norādīts 2. daļas 2. pielikumā. Datu importētājs laiku pa laikam var mainīt tehniskos un organizatoriskos drošības pasākumus, ja tie nenodrošina mazāku aizsardzību kā tie, kas noteikti 2. daļas 2. pielikumā.
  3. (iii) Datu importētājs pēc datu eksportētāja pieprasījuma dara pieejamu datu eksportētājam informāciju, kas apliecina atbilstību datu importētāja saistībām saskaņā ar šo papildinājumu. Puses vienojas, ka šis informācijas sniegšanas pienākums tiek izpildīts, iesniedzot datu eksportētājam audita ziņojumu (attiecībā uz principu drošību, sistēmas pieejamību un konfidencialitāti) ("Audita ziņojums"). Ja likumā ir nepieciešamas papildu revīzijas darbības, datu eksportētājs var pieprasīt, lai pārbaudes veic datu eksportētājs vai cits datu eksportētāja iecelts revidents, ja šāds auditors ir noslēdzis konfidencialitātes līgumu ar datu importētāju datu importētāja iestādei. saprātīgu gandarījumu ("Revīzija"). Uz šo auditu attiecas šādi nosacījumi: i) datu importētāja iepriekšēja oficiāla rakstiska piekrišana; un (ii) datu eksportētājs sedz visas izmaksas, kas saistītas ar datu eksportētāja un datu importētāja auditu uz vietas. Datu eksportētājam ir jāizveido audita ziņojums, kurā apkopoti klātienes audita rezultāti un novērojumi ("Uz vietas audita ziņojums"). Revīzijas ziņojumi uz vietas un audita ziņojumi ir datu importētāja konfidenciāla informācija, un tos nedrīkst izpaust trešajām personām, ja vien to nepieprasa piemērojamie datu aizsardzības tiesību akti vai saskaņā ar datu importētāja piekrišanu.
  4. (iv) Datu importētājam ir pienākums bez nepamatotas kavēšanās paziņot datu eksportētājam:
    1. a. par jebkuru juridiski saistošu tiesībaizsardzības iestādes pieprasījumu par personas datu izpaušanu, ja vien nav aizliegts citādi, piemēram, krimināllikumā noteikto aizliegumu aizsargāt tiesībaizsardzības izmeklēšanas konfidencialitāti
    2. b. par jebkuru sūdzību un pieprasījumu, kas saņemts tieši no datu subjekta (piemēram, par piekļuvi, labošanu, dzēšanu, apstrādes ierobežošanu, datu pārnesamību, iebildumiem pret datu apstrādi, automatizētu lēmumu pieņemšanu), neatbildot uz šo pieprasījumu, ja vien datu importētājs nav pilnvarots dari tā
    3. c. ja datu importētājam vai datu apstrādātājam saskaņā ar Eiropas Savienības vai tās dalībvalsts tiesību aktiem, uz kuru attiecas datu importētājs vai datu apstrādātājs, ir pienākums apstrādāt personas datus ārpus datu eksportētāja norādījumiem, pirms šādas apstrādes veikšanas ārpus datu importētāja vai datu apstrādātāja norādījumus, ja vien Eiropas Savienības vai dalībvalsts tiesību akti neaizliedz šādu apstrādi būtisku sabiedrības interešu dēļ, un tādā gadījumā paziņojumā datu eksportētājam norāda juridisko prasību saskaņā ar šo Eiropas Savienības vai dalībvalsts tiesību aktu; vai
    4. d. ja Datu importētājs tikai paša vai sava apakšuzņēmēja dēļ konstatē personas datu pārkāpumu, kas ietekmētu Datu eksportētāja personas datus, uz kuriem attiecas šis līgums, un tādā gadījumā datu importētājs palīdzēs datu eksportētājam pildīt pienākumu, attiecībā uz piemērojamajiem datu aizsardzības tiesību aktiem informēt datu subjektus un attiecīgā gadījumā uzraudzības iestādes, sniedzot tās rīcībā esošo informāciju saskaņā ar VDAR 33. panta 3. punktu.
    5. (v) Pēc datu eksportētāja pieprasījuma datu importētājs ir spiests palīdzēt datu eksportētājam saistībā ar datu aizsardzības ietekmes novērtējumu, kas var būt prasīts VDAR 35. pantā, un iepriekšēju konsultāciju, kas var tikt veikta. VDAR 36. pantā noteikto par pakalpojumiem, ko datu importētājs sniedz datu eksportētājam saskaņā ar šo pielikumu, sniedzot datu eksportētājam nepieciešamo un informāciju. Datu importētājam būs pienākums sniegt šādu palīdzību tikai tad, ja datu eksportētājs nevarēs izpildīt savu pienākumu citādā veidā. Datu importētājs informēs datu eksportētāju par šādas palīdzības izmaksām. Tiklīdz datu eksportētājs ir apstiprinājis, ka var segt šīs izmaksas, datu importētājs sniegs datu eksportētājam šo palīdzību.
    6. (vi) Beidzoties pakalpojumu sniegšanai, datu eksportētājs viena mēneša laikā pēc pakalpojumu sniegšanas var pieprasīt atgriezt datu importētāja saskaņā ar šo pielikumu apstrādātos personas datus. Ja vien dalībvalsts vai Eiropas Savienības tiesību aktos nav noteikts, ka datu importētājam ir jāuzglabā vai jāsaglabā šādi personas dati, datu importētājs pēc viena mēneša perioda izdzēsīs visus šādus personas vai nepersoniskus datus neatkarīgi no tā, vai tie ir atgriezti datu eksportētājam pēc tā pieprasījuma vai nē.

 

3.3. Attiecīgo personu tiesības

  1.  
    1. (i) Datu eksportētājs pārvalda datu subjektu pieprasījumus un atbild uz tiem. Datu importētājam nav pienākuma tieši atbildēt datu subjektiem.
    2. (ii) Ja datu eksportētājam ir nepieciešama datu importētāja palīdzība, apstrādājot un atbildot uz datu subjekta pieprasījumiem, datu eksportētājs izdod turpmāku norādījumu saskaņā ar 1. daļas 3.1. (ii) punktu. Datu importētājs palīdzēs datu eksportētājam. ar šādiem atbilstošiem un tehniskiem organizatoriskiem pasākumiem, lai atbildētu uz VDAR III nodaļā noteikto datu subjektu tiesību īstenošanas pieprasījumiem šādi:
    3. a. Attiecībā uz informācijas pieprasījumiem Datu importētājs sniegs datu eksportētājam tikai PGRD 13. un 14. pantā prasīto informāciju, kas tā var būt tā rīcībā, ja datu eksportētājs pats to nevarēs atrast.
    4. b. Attiecībā uz piekļuves pieprasījumiem (VDAR 15. pants) datu importētājs sniegs datu eksportētājam tikai to informāciju, kas datu subjektam ir jāsniedz saistībā ar minēto piekļuves pieprasījumu un kura var būt tā rīcībā, ja pēdējais to nevar atrast viens pats.
    5. c. Attiecībā uz labošanas pieprasījumiem (VDAR 16. pants), dzēšanas pieprasījumiem (VDAR 17. pants), apstrādes pieprasījumu ierobežošanu (VDAR 18. pants) vai pārnesamības pieprasījumiem (VDAR 20. pants) un tikai ja datu eksportētājs pats nevar labot vai dzēst, ierobežot vai pārsūtīt personas datus citai trešajai personai, datu importētājs piedāvās datu eksportētājam iespēju labot vai dzēst, ierobežot vai pārsūtīt attiecīgos personas datus otrai trešajai personai, vai, ja tas nav iespējams, tā sniegs palīdzību attiecīgo personas datu labošanai vai dzēšanai, ierobežošanai vai pārsūtīšanai citai trešajai pusei.
    6. d. Attiecībā uz paziņojumu par labošanu, dzēšanu vai apstrādes ierobežošanu (VDAR 19. pants), datu importētājs palīdzēs datu eksportētājam, informējot visus personas datu saņēmējus, kurus datu importētājs ir iesaistījis kā apstrādātājus, ja datu eksportētājs to pieprasa un ja Datu eksportētājs nevar patstāvīgi labot situāciju.
    7. e. Attiecībā uz datu subjekta izmantotajām iebilduma tiesībām (VDAR 21. un 22. pants) datu eksportētājs noteiks, vai iebildums ir likumīgs un kā ar to rīkoties.
    8. (iii) Datu importētāja palīdzības pienākumi attiecas tikai uz personas datiem, kas tiek apstrādāti tā infrastruktūrā (piemēram, datubāzēs, sistēmās, lietojumprogrammās, kas pieder datu importētājam vai ko nodrošina datu importētājs).
    9. (iv) Datu eksportētājs nosaka, vai Datu subjekts var izmantot šīs 1. daļas 3.1. punktā noteiktās datu subjektu tiesības, un informē datu importētāju par to, cik lielā mērā 3.3. punkta ii) apakšpunktā norādītā palīdzība, ( iii) ir nepieciešams.
    10. (v) Ja datu eksportētājs pieprasa papildu vai grozītus tehniskos un organizatoriskos pasākumus, lai ievērotu datu subjektu tiesības, kas pārsniedz palīdzību, ko datu importētājs sniedz saskaņā ar 1. daļas 3.3. (ii), (iii) apakšpunktu, Dati Importētājs informē datu eksportētāju par šādu papildu vai modificētu tehnisko un organizatorisko pasākumu īstenošanas izmaksām. Tiklīdz datu eksportētājs ir apstiprinājis, ka var segt šīs izmaksas, datu importētājs īsteno šādus papildu vai pārveidotus tehniskos un organizatoriskos pasākumus, lai palīdzētu datu eksportētājam atbildēt uz datu subjektu pieprasījumiem.
    11. (vi) neierobežojot 1. daļas 3.3. panta v) apakšpunkta darbības jomu, datu eksportētājam ir pienākums atlīdzināt datu importētājam tā saprātīgos izdevumus, kas radušies, atbildot uz datu subjektu pieprasījumiem.

 

3.4. Apakšapstrāde

  1.  
    1. (i) Datu eksportētājs atļauj datu importētājam izmantot apakšuzņēmējus pakalpojumu sniegšanai saskaņā ar šo papildinājumu. Datu importētājs rūpīgi izvēlas šādus datu apstrādātājus. Datu eksportētājs apstiprina datu apstrādātāju(-us), kas norādīti 1.1. pielikumā 2. daļas beigās.
    2. (ii) Datu importētājs nodod savus pienākumus saskaņā ar šo pielikumu datu apstrādātājam(-iem), ciktāl tas attiecas uz apakšlīguma pakalpojumiem.
    3. (iii) Datu importētājs pēc saviem ieskatiem var atlaist, aizstāt vai iecelt citu atbilstošu un uzticamu datu apstrādātāju(-us). Ja datu eksportētājs to rakstiski pieprasa, datu importētājam jāievēro tālāk norādītā procedūra:
  2.  
    1. a. Datu importētājs informē datu eksportētāju pirms jebkādām izmaiņām datu apstrādātāju sarakstā, kas minēts 1. daļas 3.4. (i) punktā. Ja datu eksportētājs neiebilst saskaņā ar 3.4. 1. daļas b) apakšpunktu. Trīsdesmit dienas pēc paziņojuma saņemšanas no datu importētāja papildu datu apstrādātājus uzskata par pieņemtiem.
    2. b. Ja datu eksportētājam ir likumīgs iemesls iebilst pret papildu datu apstrādātāju, tas trīsdesmit dienu laikā pēc datu importētāja paziņojuma saņemšanas un pirms datu importētāja pakalpojuma nodošanas iepriekš rakstiski paziņos datu importētājam. Ja datu eksportētājs iebilst pret papildu datu apstrādātāja izmantošanu, datu importētājs var dzēst iebildumu, izmantojot vienu no šādām iespējām (izvēlas pēc saviem ieskatiem): (A) datu importētājs atcels savus plānus izmantot papildu apstrādātāju saistībā ar Datu eksportētāja personas datus; (B) datu importētājs veiks datu eksportētāja iebildumā pieprasītos korektīvos pasākumus (atceļ iebildumu) un izmantos papildu apstrādātāju attiecībā uz datu eksportētāja personas datiem;
  3.  
    1. (iv) ja Datu apstrādātājs atrodas ārpus ES-EEZ valstī, kas pēc Eiropas Komisijas lēmuma nav atzīta par tādu, kas piedāvā atbilstošu datu aizsardzības līmeni, datu importētājs veiks pasākumus, lai ievērotu atbilstošu līmeni. datu aizsardzību saskaņā ar GDPR (šādi pasākumi cita starpā var ietvert datu apstrādes līgumu izmantošanu, pamatojoties uz ES modeļa klauzulām, nosūtīšanu pašsertificētiem datu apstrādātājiem ES un ASV aizsardzības vairoga ietvaros , vai līdzīga programma).

 

3.5. Derīguma termiņš

Šī pielikuma derīguma termiņš ir identisks attiecīgā Līguma beigu datumam. Ja šajā pielikumā nav noteikts citādi, tiesības un pienākumi, kas attiecas uz izbeigšanu, ir tādi paši kā Līgumā ietvertie.

 

4. Atbildības ierobežojums

4.1. Katra puse pilda savus pienākumus saskaņā ar šo pielikumu un piemērojamajiem datu aizsardzības tiesību aktiem.

4.2. Jebkura atbildība, kas saistīta ar šajā papildinājumā vai piemērojamajiem datu aizsardzības tiesību aktiem paredzēto saistību pārkāpšanu, ir pakļauta Līgumā izklāstītajiem vai uz to piemērojamajiem atbildības noteikumiem un tos regulē, ja vien šajā pielikumā nav noteikts citādi. Ja atbildību regulē Līgumā izklāstītie vai uz to attiecināmie atbildības noteikumi, lai aprēķinātu atbildības limitus vai noteiktu citu atbildības ierobežojumu piemērošanu, jebkura atbildība, kas izriet no šī pielikuma, tiek uzskatīta par tādu, kas izriet no Līguma.

 

5. Vispārīgie noteikumi

5.1. Ja starp šī papildinājuma 1. un 2. daļu ir pretrunas vai neatbilstības, noteicošā ir 2. daļa. Konkrēti, pat šādā gadījumā 1. daļa, kas vienkārši pārsniedz 2. daļu (ti, standarta klauzulu noteikumus), ar to nav pretrunā, paliek spēkā.

5.2. Ja rodas pretrunas starp šī pielikuma noteikumiem un citiem līgumiem, kas ir saistoši pusēm, šis pielikums ir noteicošais attiecībā uz pušu datu aizsardzības saistībām. Ja rodas šaubas par to, vai citu līgumu klauzulas attiecas uz pušu datu aizsardzības saistībām, noteicošais ir šis papildinājums.

5.3. Ja kāds šī pielikuma noteikums ir nederīgs vai neizpildāms, pārējā šī pielikuma daļa paliek spēkā pilnībā. Nederīgais vai neizpildāmais noteikums tiks (i) grozīts, lai nodrošinātu tā spēkā esamību un izpildāmību, vienlaikus cik vien iespējams saglabājot pušu nodomu, vai, ja tas nav iespējams, (ii) interpretēts tā, it kā spēkā neesošā vai neizpildāmā daļa būtu bijusi nekad nav bijis līguma sastāvdaļa. Iepriekšminēto piemēro arī tad, ja šajā papildinājumā ir izlaidums.

5.5. Ciktāl nepieciešams, Puses var pieprasīt grozījumus 1. daļas 3. punktā (Atbilstība vietējiem tiesību aktiem) vai citās pielikuma daļās, lai izpildītu Savienības kompetento iestāžu izdotās interpretācijas, direktīvas vai rīkojumus. Dalībvalstīm, valsts izpildes noteikumiem vai jebkādiem citiem juridiskiem notikumiem saistībā ar VDAR vai citiem deleģēšanas nosacījumiem jebkurai datu apstrādē iesaistītai struktūrai un jo īpaši attiecībā uz VDAR līguma standartklauzulu izmantošanu. Līguma standartklauzulu noteikumus nedrīkst grozīt vai aizstāt, ja vien Eiropas Komisija to nepārprotami apstiprina (piemēram, ar jaunām atbilstošām klauzulām un datu aizsardzības standartiem).

5.6. Jebkura atsauce šajā pielikumā uz "Klauzulām" ir jāsaprot kā atsauce uz visiem šī pielikuma noteikumiem, ja vien nav norādīts citādi.

5.7. Tiesību aktu izvēle 2. daļas 9. punktā attiecas uz visu Līgumu.

 

6. Personas dati, ko puses pārsūta un apstrādā personiskiem nolūkiem (nodošana no datu pārziņa datu pārzinim)

6.1. Puses pilnībā apzinās, ka noteikti personas dati tiks pārsūtīti no datu eksportētāja uz datu importētāju un otrādi, un ka šādus datus katra Puse apstrādā saviem nolūkiem. Attiecībā uz šādiem personas datiem tas neietekmē pārējos šī pielikuma noteikumus (izņemot šo 6. punktu).

6.2. Datu eksportētājs var pārsūtīt datu importētājam personas datus, kas attiecas uz datu importētāja darbiniekiem, tostarp informāciju par drošības incidentiem, vai jebkurus citus dokumentus vai failus, ko datu eksportētājs ir izveidojis vai izveidojis saistībā ar uzņēmuma darbinieku sniegtajiem pakalpojumiem. datu importētājs. Datu importētājs var apstrādāt šādus personas datus saviem mērķiem, jo ​​īpaši profesionālajās attiecībās ar Datu importētāja personālu, kvalitātes kontrolei un apmācībai, vai uzņēmējdarbības nolūkos.

6.3. Datu importētājs var nodot Datu eksportētājam personas datus, tostarp datu importētāja personāla vārdu un kontaktinformāciju. Datu eksportētājs var apstrādāt šādus personas datus saviem mērķiem.

6.4. Abas puses ievēro visus piemērojamos datu aizsardzības likumus, tostarp VDAR, vācot, apstrādājot un izmantojot šādus personas datus, kas saņemti no otras puses saskaņā ar 1. daļas 1. pantu. Jo īpaši abas puses veic atbilstošus drošības pasākumus, nodrošinot līdzīgs aizsardzības līmenis 2. daļas 2. papildinājumā noteiktajiem drošības pasākumiem. Jebkura piekļuve šādiem personas datiem ir ierobežota līdz nepieciešamībai tos zināt.

6.5 Abām Pusēm šādi personas dati ir jādzēš pēc iespējas ātrāk pēc mērķu sasniegšanas.

2. daļa

 

KOMISIJAS LĒMUMS

2010. gada 5. februārī

par līguma standartklauzulām par personas datu pārsūtīšanu datu apstrādātājiem, kas reģistrēti trešās puses valstīs saskaņā ar Eiropas Parlamenta un Padomes Direktīvu 95/46/EK

 

 

 

1. punkts

Definīcijas

Klauzulu izpratnē:

a) "personas datiem", "īpašām datu kategorijām", "apstrāde/apstrāde", "pārzinis", "apstrādātājs", "datu subjekts" un "uzraudzības iestāde" ir tāda pati nozīme kā Direktīvā 95/46/EK. Eiropas Parlamenta un Padomes 1995. gada 24. oktobra Direktīva par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (1);

b) “Datu eksportētājs” ir datu pārzinis, kas nodod personas datus;

c) “Datu importētājs” ir datu apstrādātājs, kurš piekrīt saņemt no datu eksportētāja personas datus, kurus paredzēts apstrādāt datu eksportētāja vārdā pēc nosūtīšanas saskaņā ar tā norādījumiem un saskaņā ar šo klauzulu nosacījumiem, un kurš nav saskaņā ar trešās valsts mehānismu, kas nodrošina atbilstošu aizsardzību Direktīvas 95/46/EK 25. panta 1. punkta nozīmē; d) “datu apstrādātājs” ir datu apstrādātājs, ko nolīgst datu importētājs vai jebkurš cits datu importētāja datu apstrādātājs, kurš piekrīt saņemt no datu importētāja vai jebkura cita datu importētāja datu apstrādātāja personas datus tikai apstrādes darbībām, lai veikt datu eksportētāja vārdā pēc pārsūtīšanas saskaņā ar datu eksportētāja norādījumiem,

e) "piemērojamie datu aizsardzības tiesību akti" ir tiesību akti, kas aizsargā personu pamattiesības un brīvības, tostarp tiesības uz privātumu attiecībā uz personas datu apstrādi, un attiecas uz pārzini dalībvalstī, kurā datu eksportētājs ir reģistrēts;

f) “tehniski un organizatoriski pasākumi, kas saistīti ar drošību” ir pasākumi, kas paredzēti, lai aizsargātu personas datus pret nejaušu vai nelikumīgu iznīcināšanu vai nejaušu nozaudēšanu, pārveidošanu, neatļautu izpaušanu vai piekļuvi, jo īpaši, ja apstrāde ietver datu pārraidi pa tīkliem, un pret visi citi nelikumīgie apstrādes veidi.

2. punkts

Sīkāka informācija par pārskaitījumu

Sīkāka informācija par pārsūtīšanu, tostarp attiecīgā gadījumā īpašas personas datu kategorijas, ir norādīta 1. pielikumā, kas ir šo klauzulu neatņemama sastāvdaļa.

3. punkts

Trešās puses saņēmēja klauzula

1. Datu subjekts var īstenot pret datu eksportētāju šo klauzulu, 4. klauzulas b) līdz i) apakšpunktu, 5. klauzulas a) līdz e) un g) līdz j) apakšpunktu, 6. klauzulas 1. un 2. punktu. ), 7. klauzula, 8. klauzulas 2. punkts un 9. līdz 12. klauzula kā trešās puses labuma guvējs

2. Datu subjekts var īstenot šīs klauzulas 5. punkta a) līdz e) un g) apakšpunktu, 6. klauzulu, 7. klauzulu, 8. panta 2. punktu un 9. līdz 12. punktu pret datu importētāju, ja datu eksportētājs ir fiziski. pazudis vai beidzis pastāvēt likumā, ja vien visas viņa juridiskās saistības ar līgumu vai saskaņā ar likumu nav nodotas tiesību pārņēmējai vienībai, kurai tādējādi atgriežas datu eksportētāja tiesības un pienākumi un pret kuru tiek nodoti dati. tādējādi subjekts var īstenot minētās klauzulas.

Datu subjekts var vērst pret Datu apstrādātāju šo punktu, 5. punkta a) līdz e) un g) apakšpunktu, 6. punktu, 7. punktu, 8. punkta 2. apakšpunktu un 9. līdz 12. punktu, taču tikai gadījumos, kad Dati Eksportētājs un Datu importētājs ir fiziski pazuduši, beiguši pastāvēt likumā vai ir kļuvuši maksātnespējīgi, ja vien visi Datu eksportētāja juridiskie pienākumi ar līgumu vai saskaņā ar likumu nav nodoti tiesību pārņēmējam, kuram ir tiesības un tāpēc datu eksportētāja pienākumi ir uzticēti un pret kuru datu subjekts var piemērot šādas klauzulas. Šāda Datu apstrādātāja atbildība ir jāierobežo ar tā paša apstrādes darbībām saskaņā ar šiem punktiem.

4. Puses neiebilst pret to, ka datu subjektu pārstāv kāda asociācija vai cita struktūra, ja viņš vai viņa to vēlas un ja to atļauj valsts tiesību akti.

4. punkts

Datu eksportētāja pienākumi

Datu eksportētājs pieņem un garantē sekojošo:

a) apstrāde, tostarp faktiskā personas datu pārsūtīšana, ir veikta un tiks veikta saskaņā ar attiecīgajiem piemērojamo datu aizsardzības tiesību aktu noteikumiem (un attiecīgā gadījumā par to ir paziņots dalībvalsts kompetentajām iestādēm kurā atrodas datu eksportētājs) un nepārkāpj attiecīgās valsts noteikumus;

b) viņi ir devuši norādījumus un dos norādījumus personas datu apstrādes pakalpojumu sniegšanas laikā datu importētājam apstrādāt personas datus, kas pārsūtīti tikai datu eksportētāja vārdā un saskaņā ar piemērojamajiem datu aizsardzības tiesību aktiem un šīm klauzulām;

c) Datu importētājs nodrošinās pietiekamus drošības pasākumus attiecībā uz šī līguma 2.pielikumā noteiktajiem tehniskajiem un organizatoriskiem drošības pasākumiem;

d) pēc piemērojamo datu aizsardzības tiesību aktu prasību izvērtēšanas drošības pasākumi ir piemēroti, lai aizsargātu personas datus pret nejaušu vai nelikumīgu iznīcināšanu vai nejaušu nozaudēšanu, pārveidošanu, neatļautu izpaušanu vai piekļuvi, jo īpaši, ja apstrāde ir saistīta ar datu pārsūtīšanu. tīklā un pret visiem citiem nelikumīgiem apstrādes veidiem un nodrošina tādu drošības līmeni, kas atbilst apstrādes radītajiem riskiem un aizsargājamo datu veidam, ņemot vērā tehnoloģijas līmeni un īstenošanas izmaksas;

e) viņi nodrošinās drošības pasākumu ievērošanu;

f) ja pārsūtīšana attiecas uz īpašām datu kategorijām, datu subjekts ir informēts vai tiks informēts pirms nosūtīšanas vai cik drīz vien iespējams pēc nosūtīšanas, ka viņa datus var pārsūtīt uz trešo valsti, kas nepiedāvā atbilstošs aizsardzības līmenis Direktīvas 95/46/EK nozīmē;

g) viņi nosūtīs datu aizsardzības uzraudzības iestādei visus paziņojumus, kas saņemti no datu importētāja vai jebkura datu apstrādātāja saskaņā ar 5. panta b) apakšpunktu un 8. panta 3. punktu, ja tā nolems turpināt pārsūtīšanu vai atcelt tās apturēšanu;

h) tie dara pieejamu datu subjektiem, ja viņi to pieprasa, šo punktu kopiju, izņemot 2. pielikumu, un drošības pasākumu kopsavilkuma aprakstu, kā arī jebkura turpmāka apakšlīguma līguma kopiju, kas noslēgta saskaņā ar šiem punktiem, ja vien Noteikumos vai līgumā ir ietverta komerciāla informācija, un tādā gadījumā viņš var atsaukt šādu informāciju;

i) datu apstrādes procesa apakšlīguma gadījumā apstrādes darbību saskaņā ar 11. punktu veic Datu apstrādātājs, kas nodrošina vismaz tādu pašu personas datu un datu subjekta tiesību aizsardzības līmeni kā Datu importētājs saskaņā ar šiem punktiem ; un

j) tas nodrošinās atbilstību 4. panta a) līdz i) apakšpunktam.

5. punkts

Datu importētāja pienākumi

Datu importētājs pieņem un garantē sekojošo:

a) viņi apstrādās personas datus tikai datu eksportētāja vārdā un saskaņā ar datu eksportētāja norādījumiem un šīm klauzulām; ja tas kāda iemesla dēļ nevar ievērot, viņi piekrīt pēc iespējas ātrāk informēt datu eksportētāju par savu nespēju, un tādā gadījumā datu eksportētājs var apturēt datu pārsūtīšanu un/vai izbeigt līgumu;

b) viņiem nav iemesla uzskatīt, ka viņiem piemērojamie tiesību akti liedz viņam izpildīt datu eksportētāja norādījumus un pienākumus, kas viņam uzlikti saskaņā ar līgumu, un ja šie tiesību akti ir pakļauti izmaiņām, kas varētu būtiski negatīvi ietekmēt punktā noteiktajām garantijām un saistībām, viņam nekavējoties pēc to uzzināšanas ir jāpaziņo datu eksportētājam par izmaiņām, un tādā gadījumā datu eksportētājs var apturēt datu pārsūtīšanu un/vai izbeigt līgumu; c) pirms pārsūtīto personas datu apstrādes tās ir īstenojušas 2. papildinājumā noteiktos tehniskos un organizatoriskos drošības pasākumus;

d) viņi nekavējoties informēs datu eksportētāju:

i) jebkuru saistošu pieprasījumu par personas datu izpaušanu no tiesībaizsardzības iestādes, ja vien nav noteikts citādi, piemēram, kriminālaizliedzība, kuras mērķis ir saglabāt policijas izmeklēšanas noslēpumu;

ii) jebkura nejauša vai nesankcionēta piekļuve; un

iii) jebkuru pieprasījumu, kas saņemts tieši no attiecīgajām personām, uz to neatbildot, ja vien tā nav pilnvarota to darīt; administratori

e) viņi nekavējoties un pareizi izskatīs visus Datu eksportētāja pieprasījumus par pārsūtāmo personas datu apstrādi un rīkosies saskaņā ar uzraudzības iestādes atzinumu par nodoto datu apstrādi;

f) pēc datu eksportētāja pieprasījuma tie pakļauj tā datu apstrādes iekārtas šajās klauzulās ietverto apstrādes darbību auditam, ko veic datu eksportētājs vai uzraudzības iestāde, kurā ir neatkarīgi locekļi ar nepieciešamo profesionālo kvalifikāciju; uz ko attiecas slepenības pienākums un ko izvēlas datu eksportētājs, vajadzības gadījumā vienojoties ar uzraudzības iestādi;

g) datu subjektam, ja viņš to pieprasa, viņi darīs pieejamu šo punktu kopiju vai jebkuru esošo datu apstrādes līguma apakšlīgumu, ja vien klauzulas vai līgums nesatur komerciālu informāciju, un tādā gadījumā tā var noņemt informāciju, izņemot 2.pielikumu, kas tiks aizstāts ar kopsavilkuma drošības pasākumu aprakstu, ja datu subjekts nevar iegūt kopiju no Datu eksportētāja;

h) konfidenciālas turpmākas datu apstrādes apakšlīguma slēgšanas gadījumā viņš nodrošinās, ka iepriekš informē datu eksportētāju un saņem Datu eksportētāja rakstisku piekrišanu;

i) datu apstrādātāja sniegtie apstrādes pakalpojumi atbilst 11. punktam;

j) tie nekavējoties nosūtīs datu eksportētājam jebkura datu apstrādes līguma apakšlīguma kopiju, ko tā noslēgusi saskaņā ar šiem punktiem.

6. punkts

Atbildība

1. Puses vienojas, ka jebkurš datu subjekts, kuram ir nodarīts kaitējums vienas puses vai datu apstrādātāja 3. vai 11. punktā minēto pienākumu pārkāpuma dēļ, var saņemt kompensāciju no datu eksportētāja par nodarīto kaitējumu.

2. Ja datu subjektam ir liegts celt prasību par zaudējumu atlīdzināšanu, kā minēts 1. punktā pret datu eksportētāju, jo datu importētājs vai tā datu apstrādātājs nav izpildījis kādu no saviem 3. vai 11. punktā noteiktajiem pienākumiem, jo ​​Dati Eksportētājs ir fiziski pazudis, beidzis pastāvēt likumā vai ir kļuvis maksātnespējīgs, datu importētājs piekrīt, ka datu subjekts var iesniegt pret to sūdzību tā, it kā tas būtu datu eksportētājs, ja vien ar līgumu nav nodotas visas datu eksportētāja juridiskās saistības. vai saskaņā ar likumu tās tiesību pārņēmējai vienībai, pret kuru datu subjekts pēc tam var īstenot savas tiesības. Datu importētājs nedrīkst paļauties uz to, ka Datu apstrādātājs ir pārkāpis savus pienākumus, lai izvairītos no savas atbildības.

3. Ja datu subjektam ir liegts celt 1. un 2. punktā minēto prasību pret datu eksportētāju vai datu importētāju par to, ka datu apstrādātājs ir pārkāpis savus pienākumus saskaņā ar 3. vai 11. punktu, jo datu eksportētājs un datu importētājs ir fiziski pazuduši, beiguši pastāvēt likumā vai ir kļuvuši maksātnespējīgi, Datu apstrādātājs piekrīt, ka datu subjekts var iesniegt pret to sūdzību par savām apstrādes darbībām saskaņā ar šiem punktiem tā, it kā tas būtu datu eksportētājs vai datu importētājs, ja vien datu eksportētāja vai datu importētāja juridiskās saistības ar līgumu vai saskaņā ar likumu ir nodotas tiesību pārņēmējam, pret kuru datu subjekts pēc tam var aizstāvēt savas tiesības.Datu apstrādātāja atbildība ir jāierobežo ar viņa paša apstrādes darbībām saskaņā ar šiem punktiem.

 

7. punkts

Starpniecība un jurisdikcija

1. Datu importētājs piekrīt, ka, ja saskaņā ar šiem noteikumiem datu subjekts atsaucas pret viņu uz trešās puses labuma guvēja tiesībām un/vai pieprasa kompensāciju par nodarīto kaitējumu, viņš pieņems datu subjekta lēmumu:

a) nodot strīdu neatkarīgai personai vai, attiecīgā gadījumā, uzraudzības iestādei;

b) iesniegt strīdu tās dalībvalsts tiesās, kurā atrodas datu eksportētājs.

2. Puses vienojas, ka datu subjekta izdarītā izvēle neietekmē datu subjekta procesuālās vai materiālās tiesības saņemt kompensāciju saskaņā ar citiem valsts vai starptautisko tiesību noteikumiem.

8. punkts

Sadarbība ar uzraudzības iestādēm

1. Datu eksportētājs piekrīt nodot šī līguma kopiju uzraudzības iestādei, ja tā to pieprasa vai ja šādu deponēšanu paredz piemērojamie datu aizsardzības tiesību akti.

2. Puses vienojas, ka uzraudzības iestāde var veikt pārbaudes pie datu importētāja un jebkura datu apstrādātāja tādā pašā apjomā un ar tādiem pašiem nosacījumiem kā pie datu eksportētāja veiktās pārbaudes saskaņā ar piemērojamajiem datu aizsardzības tiesību aktiem.

3. Datu importētājs pēc iespējas ātrāk informē datu eksportētāju par tiesību aktiem attiecībā uz datu importētāju vai jebkuru datu apstrādātāju, kas neļauj veikt pārbaudi pie datu importētāja vai jebkura datu apstrādātāja saskaņā ar 2. punktu. Šādā gadījumā Datu eksportētājs var veikt 5. panta b) apakšpunktā paredzētos pasākumus.

9. punkts

Piemērojamiem tiesību aktiem

Šīs klauzulas ir piemērojamas, un tās reglamentē tās dalībvalsts tiesību akti, kurā atrodas datu eksportētājs.

10. punkts

Līguma grozīšana

Puses apņemas nemainīt šos noteikumus. Puses var brīvi iekļaut citas komerciālas klauzulas, kuras tās uzskata par vajadzīgām, ja tās nav pretrunā esošajām klauzulām.

11. punkts

Turpmākie apakšlīgumi

1. Datu importētājs bez iepriekšējas rakstiskas datu eksportētāja piekrišanas nenoslēgs apakšlīgumu par nevienu no savām apstrādes darbībām, kas tiek veiktas datu eksportētāja vārdā saskaņā ar šiem punktiem. Datu importētājs noslēdz apakšlīgumus par savām saistībām saskaņā ar šiem punktiem tikai ar datu eksportētāja piekrišanu, noslēdzot rakstisku vienošanos ar datu apstrādātāju, uzliekot datu apstrādātājam tādus pašus pienākumus kā datu importētājam saskaņā ar šiem punktiem. Ja datu apstrādātājs nevar izpildīt savus datu aizsardzības pienākumus saskaņā ar šo rakstisko līgumu, datu importētājs ir pilnībā atbildīgs datu eksportētāja priekšā par šo saistību izpildi.

2. Iepriekšējā rakstiskā līgumā starp datu importētāju un datu apstrādātāju iekļauj arī trešās puses labuma guvēja klauzulu, kā noteikts 3. punktā gadījumos, kad datu subjekts nevar celt prasību par zaudējumu atlīdzināšanu, kas minēta 6. panta 1. punktā. ), pret Datu eksportētāju vai datu importētāju, jo datu eksportētājs vai datu importētājs ir fiziski pazudis, beidzis pastāvēt saskaņā ar likumu vai ir kļuvis maksātnespējīgs un visas datu eksportētāja vai datu importētāja juridiskās saistības nav nodotas, ar līgumu vai ar darbību. saskaņā ar likumu citai tiesību pārņēmējai vienībai. Datu apstrādātāja atbildība ir jāierobežo ar viņa paša apstrādes darbībām saskaņā ar šiem punktiem.

3. Noteikumus, kas attiecas uz datu aizsardzības aspektiem, slēdzot apakšlīgumus par datu apstrādi saskaņā ar 1. punktā minēto līgumu, reglamentē tās dalībvalsts tiesību akti, kurā datu eksportētājs ir reģistrēts.

4. Datu eksportētājs uztur saskaņā ar šiem punktiem noslēgto datu apstrādes līgumu apakšlīgumu sarakstu, par kuriem datu importētājs ir paziņojis saskaņā ar 5. punkta j) apakšpunktu, un tas tiek atjaunināts vismaz reizi gadā. Šo sarakstu dara pieejamu datu eksportētāja datu aizsardzības uzraudzības iestādei.

12. punkts

Pienākums pēc personas datu apstrādes pakalpojumu pārtraukšanas

1. Puses vienojas, ka pēc datu apstrādes pakalpojumu pabeigšanas Datu importētājs un datu apstrādātājs pēc datu eksportētāja ērtībām atdos visus pārsūtītos personas datus un to kopijas datu eksportētājam vai iznīcinās visus šos datus un uzrādīs pierādījumus. iznīcināšanu datu eksportētājam, ja vien Datu importētājam noteiktā likumdošana neliedz atgriezt vai iznīcināt visus vai daļu no nodotajiem personas datiem. Tādā gadījumā Datu importētājs garantē, ka nodrošinās nodoto personas datu konfidencialitāti un vairs aktīvi neapstrādās datus.

2. Datu importētājs un datu apstrādātājs nodrošina, ka pēc datu eksportētāja un/vai uzraudzības iestādes pieprasījuma tie pakļauj savus datu apstrādes līdzekļus 1. punktā minēto pasākumu pārbaudei.

 

 

 

 

2. daļas 1.1. papildinājums

Sīkāka informācija par pārskaitījumu

 

 

Datu eksportētājs

Datu eksportētājs ir Līgumā noteiktais Klients.

 

Datu importētājs

Datu importētājs ir IQUALIF un tam ir uzticēts apstrādāt datus, sniedzot pakalpojumus datu eksportētājam.

 

Datu subjekti

Pārsūtītie personas dati attiecas uz šādām datu subjektu kategorijām:

˜' tālruņu abonenti, kas uzskaitīti universālajā katalogā

˜ citi, tostarp:

 

Datu kategorijas

Pārsūtītie personas dati attiecas uz šādām datu kategorijām:

 

Jo īpaši datu eksportētāja datu subjektu personas datu kategorijas,

˜' Pilns vārds

˜' Pasta adrese

˜' Kontaktinformācija (e-pasts, tālrunis, IP adrese utt.)

˜' Sīkāka informācija par mārketinga aktivitātēm saistībā ar tālruņa abonentu

Cita informācija, tostarp anonīmi norādīts mājokļa veids, ienākumi un pilsētas vidējais vecums

 

Īpašas datu kategorijas (ja piemērojams)

Pārsūtītie personas dati attiecas uz šādām īpašām datu kategorijām:

˜' Īpašu kategoriju datu pārsūtīšana nav paredzēta

˜ Rase vai etniskā izcelsme

˜ Reliģiskā vai filozofiskā pārliecība

˜ Dalība arodbiedrībā

˜ Politiskie uzskati

˜ Ģenētiskā informācija

˜ Biometriskā informācija

˜ Informācija par seksuālo orientāciju vai seksuālo dzīvi

˜ Veselības dati

 

Apstrādes darbības

Pārsūtītie personas dati tiks pakļauti šādām pamata apstrādes darbībām:

 

  •  
    • Apstrādes mērķis

Datu eksportētāja vārdā veiktā apstrāde ir balstīta uz šādiem jautājumiem, jo ​​īpaši:

˜' Datu eksportētāja piedāvāto produktu vai pakalpojumu pārņemšana

˜' Produkta vai pakalpojuma piedāvājums, ko zvanītā persona var pieprasīt

˜' No izsauktajām personām pieņemtie pasūtījumi un to turpmākā apstrāde

˜' Pētījumu anketas un analīzes

˜' Telemārketings

˜ citi, tostarp:

 

  •  
    • Apstrādes veids un mērķis

Datu importētājs apstrādā datu subjektu personas datus datu eksportētāja vārdā, lai sniegtu šādus pakalpojumus, un jo īpaši:

˜' Pārdošana un mārketings

˜' Citi, tostarp rātsnamu un politisko partiju datubāzu atjaunināšana

 

  •  
    • ¢ Pakalpojumu sniegšana un pakalpojumu sniedzēju nodarbināšana

 

IQUALIF galvenokārt apvieno, centralizē un sniedz pakalpojumus datu eksportētājam. Nosauktā pakalpojumu sniedzēja sniegtie pakalpojumi var būt strukturēti (tostarp pēc vajadzības) ap šādiem palīgpakalpojumiem: (i) lietojumprogrammu, rīku, sistēmu un IT infrastruktūras nodrošināšana saistībā ar izmantotajiem datu apstrādes centriem, lai nodrošinātu un atbalsta pakalpojumus, tostarp iepriekš aprakstīto datu subjektu personas datu apstrādi, izmantojot šādas lietojumprogrammas, rīkus un sistēmas, (ii) IT atbalsta, apkopes un citu pakalpojumu sniegšanu saistībā ar šādām lietojumprogrammām, rīkiem, sistēmām. un IT infrastruktūra, tostarp potenciāla piekļuve personas datiem, kas glabājas šādās lietojumprogrammās, rīkos un sistēmās, un iii) datu aizsardzības pakalpojumu, aizsardzības uzraudzības un incidentu reaģēšanas pakalpojumu sniegšana, tostarp iespēja piekļūt personas datiem, sniedzot šādus aizsardzības pakalpojumus. IQUALIF var piesaistīt datu apstrādātājus, kā norādīts tālāk, lai sniegtu pakalpojumus, tostarp palīgpakalpojumus.

 

  •  
    • ¢ Ārējie trešo pušu pakalpojumu sniedzēji kā datu apstrādei piešķirtās apakšvienības

 

IQUALIF piesaista ārējos un trešo pušu pakalpojumu sniedzējus, kas nav IQUALIF meitasuzņēmumi, lai atbalstītu pakalpojumu sniegšanu Datu eksportētājam. Datu eksportētājs šādus ārējos trešo personu pakalpojumu sniedzējus apstiprina kā datu apstrādei uzticētās apakšvienības.

 

Ja datu apstrādē iesaistītā apakšvienība atrodas ārpus ES/EEZ, valstī, kurā saskaņā ar Eiropas Komisijas lēmumu tiek uzskatīts, ka datu aizsardzības līmenis nav atbilstošs, datu importētājs veiks pasākumus, lai iegūtu atbilstošu datu aizsardzības līmeni. datu aizsardzība saskaņā ar VDAR un 1. daļas 3.4. sadaļu (iv).

 

 

2. pielikuma 2. daļa

Tehniskie un organizatoriski aizsardzības pasākumi

 

Datu importētājs veic šādus Datu eksportētāja apstiprinātus tehniskos un organizatoriskos aizsardzības pasākumus, lai atkarībā no riskiem garantētu atbilstošu fizisko personu tiesību un brīvību drošības līmeni. Novērtējot attiecīgo aizsardzības līmeni, datu eksportētājs jo īpaši ir ņēmis vērā ar apstrādi saistītos riskus, tostarp nejaušu vai nelikumīgu iznīcināšanu, pārveidošanu, neatļautu izpaušanu vai piekļuvi pārsūtītajiem, uzglabātajiem vai citādi apstrādātajiem personas datiem. Precizējot: Šie tehniskie un organizatoriskie aizsardzības pasākumi neattiecas uz datu eksportētāja nodrošinātajām lietojumprogrammām, rīkiem, sistēmām un/vai IT infrastruktūru.

1 Vispārējie tehniskie un organizatoriskie aizsardzības pasākumi
1.1. Vispārīga informācija un datu aizsardzības stratēģijas
Lai ievērotu vispārīgās datu un informācijas aizsardzības stratēģijas, jāveic šādas darbības:
  • a) veikt pasākumus, lai novērtētu veiktos tehniskos un organizatoriskos aizsardzības pasākumus;
  • b) nodrošināt apmācību, lai palielinātu darbinieku informētību;
  • c) ir attiecīgo sistēmu apraksts un jānodrošina darbiniekiem piekļuve;
  • d) izveido formālu dokumentācijas procesu ikreiz, kad sistēmas tiek ieviestas vai pārveidotas;
  • e) organizatoriskās struktūras, procesu, pienākumu un attiecīgo novērtējumu dokumentēšana;
 
1.2 Informācijas aizsardzības organizācija
Lai koordinētu datu un informācijas aizsardzības darbības, jāveic šādi pasākumi:
  • a) noteikti pienākumi par informācijas un datu aizsardzību (piemēram, izmantojot datu aizsardzības pārvaldības politiku);
  • b) nepieciešamās zināšanas par informācijas un pieejamo datu aizsardzību;
  • c) visi darbinieki ir apņēmušies nodrošināt personas datu konfidencialitāti, un ir informēti par iespējamām sekām, ja šīs saistības tiek pārkāptas.
 
1.3. Piekļuves kontrole apstrādes zonām
Jāveic šādi pasākumi, lai personas datu apstrādes, uzglabāšanas vai pārsūtīšanas laikā nepieļautu nepilnvarotu personu piekļuvi datu apstrādes sistēmām (jo īpaši programmatūrai un aparatūrai):
  • a) izveidot drošas zonas;
  • b) aizsargāt un ierobežot piekļuvi datu apstrādes sistēmām;
  • c) izveidot darbiniekiem un trešajām personām piekļuves atļaujas, ieskaitot attiecīgos dokumentus;
  • d) tiek reģistrēta jebkura piekļuve datu apstrādes centriem, kuros tiek glabāti personas dati.
 
1.4. Piekļuves kontrole datu apstrādes sistēmām
Lai novērstu nesankcionētu piekļuvi datu apstrādes sistēmām, jāveic šādi pasākumi:
  • a) lietotāju autentifikācijas politikas un procedūras;
  • b) paroļu izmantošana visās datorsistēmās;
  • c) attālinātai piekļuvei tīklam nepieciešama vairāku faktoru autentifikācija, un tā tiek piešķirta attiecīgajai personai saskaņā ar tās pienākumiem un ar atļauju;
  • d) piekļuve konkrētām funkcijām ir balstīta uz darba funkcijām un/vai atribūtiem, kas individuāli piešķirti lietotāja kontam;
  • e) regulāri tiek pārskatītas piekļuves tiesības saistībā ar personas datiem;
  • f) piekļuves tiesību izmaiņu ieraksti tiek pastāvīgi atjaunināti.
 
1.5. Kontrolēt piekļuvi noteiktām datu apstrādes sistēmu lietošanas jomām
Jāveic šādi pasākumi, lai nodrošinātu, ka pilnvarotās personas, kurām ir tiesības izmantot datu apstrādes sistēmu, var piekļūt datiem tikai savu attiecīgo pienākumu un piekļuves atļauju ietvaros un lai personas datus nevarētu bez atļaujas lasīt, kopēt, mainīt vai dzēst:
  1.  
    1. a) politiku, norādījumus un darbinieku apmācību attiecībā uz katra viņu pienākumiem attiecībā uz konfidencialitāti, tiesībām piekļūt personas datiem un personas datu apstrādes apjomu;
  • b) disciplināri pasākumi pret personām, kas bez atļaujas piekļūst personas datiem;
  • c) piekļuvi personas datiem piešķir tikai pilnvarotām personām, pamatojoties uz nepieciešamību zināt;
  • d) uzturēt sistēmu administratoru sarakstu un veikt atbilstošus pasākumus, lai uzraudzītu sistēmas administratorus;
  • e) nekopēt vai reproducēt personas datus nevienā uzglabāšanas sistēmā, lai ļautu nepiederošām personām noņemt izcelsmes informāciju;
  • f) kontrolēta un dokumentēta datu dzēšana vai iznīcināšana;
  • g) droši glabāt visus personas datus, kas ir jāsaglabā juridisku vai regulējošu iemeslu dēļ (piemēram, datu glabāšanas pienākumi), un tikai tik ilgi, cik to prasa likums.
 
1.6 Transmisijas vadība
Jāveic šādi pasākumi, lai datu uzglabāšanas ierīču pārraides vai transportēšanas laikā nesankcionētas trešās personas nelasītu, kopētu, pārveidotu vai dzēstu personas datus (atkarībā no veiktās personas datu apstrādes):
  1.  
    1. a) ugunsmūru izmantošana;
  • b) izvairoties no personas datu uzglabāšanas mobilajās datu glabāšanas ierīcēs transporta nolūkos vai ierīču šifrēšanas;
  • c) lietot klēpjdatoros un citās mobilajās ierīcēs tikai pēc tam, kad ir aktivizēta šifrēšanas aizsardzība;
  • d) personas datu pārraides reģistrēšana.
 
1.7 Datu ievades kontrole
Jāveic šādi pasākumi, lai nodrošinātu, ka ir iespējams pārbaudīt un noteikt, vai personas dati ir ievadīti vai dzēsti no datu apstrādes sistēmām un kas to ir veicis:
  1.  
    1. a) saglabāto datu lasīšanas, grozīšanas un dzēšanas atļaujas politika;
  • b) aizsardzības pasākumi attiecībā uz saglabāto datu nolasīšanu, pārveidošanu un dzēšanu.
 
1.8 Darba kontrole
Deleģētas personas datu apstrādes gadījumā ir jāveic šādi pasākumi, lai nodrošinātu, ka šie dati tiek apstrādāti saskaņā ar Uzraudzītāja norādījumiem:
  1.  
    1. a) vienībām vai apakšvienībām, kurām uzticēta datu apstrāde un kuras ir izvēlētas rūpīgi (pakalpojumu sniedzēji, kas apstrādā personas datus pārziņa vārdā);
  • b) norādījumus par jebkādas personas datu apstrādes apjomu darbiniekiem, vienībām vai apakšvienībām, kurām ir uzticēta datu apstrāde;
  • c) revīzijas tiesības, par kurām panākta vienošanās ar vienībām vai apakšvienībām, kas uzticētas datu apstrādei;
  • d) noslēgtie līgumi ar vienībām vai apakšvienībām, kurām ir uzticēta datu apstrāde.
 
1.9. Nodalīšana no apstrādes citiem nolūkiem
Jāveic šādi pasākumi, lai nodrošinātu, ka citiem nolūkiem savāktos datus var apstrādāt atsevišķi:
  1.  
    1. a) atsevišķa piekļuve personas datiem saskaņā ar lietotāju esošajām tiesībām;
  • b) saskarnes, pakešu apstrāde un ziņošana ir paredzēta citiem mērķiem un funkcijām, lai citiem nolūkiem savāktos datus varētu apstrādāt atsevišķi.
 
1.10. Pseidonimizācija
Attiecībā uz personas datu pseidonimizāciju ir jāveic šādi pasākumi:
  1.  
    1. a) Ja datu eksportētājs pasūta konkrētu apstrādes darbību vai ja datu importētājs to uzskata par vajadzīgu saskaņā ar spēkā esošajiem datu aizsardzības tiesību aktiem attiecībā uz noteiktām apstrādes darbībām, personas datu apstrāde tiks veikta tā, lai datus vairs nevar attiecināt uz konkrētu personu, neizmantojot papildu informāciju. Šī papildu informācija tiks glabāta atsevišķi;
  • b) pseidonimizācijas paņēmienu izmantošana, tostarp sadales saraksta randomizācija; vērtību radīšana asumu veidā.
 
1.11 Šifrēšana

Lai šifrētu personas datus lietojumprogrammās un pārraidēs, kas atbalsta šifrēšanu, jāveic šādas darbības:

  1.  
    1. a) šifrēšanas metožu izmantošana;
  • b) šifrēšanas pārvaldības izveide, lai atbalstītu atļautās šifrēšanas metodes;
  • c) atbalstīt kriptogrāfijas izmantošanu, izmantojot procedūras un protokolus kriptogrāfisko atslēgu ģenerēšanai, modificēšanai, atsaukšanai, iznīcināšanai, izplatīšanai, sertificēšanai, glabāšanai, tveršanai, izmantošanai un arhivēšanai, lai aizsargātu pret neatļautu modifikāciju un izpaušanu.
 
1.12. Datu apstrādes sistēmu un pakalpojumu pilnīgums
Lai nodrošinātu datu apstrādes sistēmu un pakalpojumu pilnīgumu, jāveic šādi pasākumi:
  1. a) datu apstrādes sistēmu aizsardzība pret manipulācijām vai iznīcināšanu ar atbilstošiem līdzekļiem (piemēram, pretvīrusu programmatūra, datu zudumu novēršanas programmatūra un programmatūra pret ļaunprātīgu programmatūru, programmatūras ielāpi, ugunsmūri un pārvaldīta darbvirsmas aizsardzība);
  • b) aizliegt jebkādu pakalpojumu vai programmatūras instalēšanu, kas kaitē datu apstrādes sistēmām, pakalpojumiem vai manipulācijām ar personas datiem;
  • c) tīkla ielaušanās atklāšanas un novēršanas sistēmas izmantošana paša tīkla struktūrā.
 
1.13. Datu apstrādes sistēmu un pakalpojumu pieejamība un iespēja atjaunot piekļuvi personas datiem un to izmantošanu materiāla vai tehniska incidenta gadījumā
Ir jāveic šādi pasākumi, lai nodrošinātu datu apstrādes sistēmu pieejamību, kā arī varētu ātri atjaunot personas datu pieejamību un piekļuvi tiem materiāla vai tehniska incidenta gadījumā (jo īpaši nodrošinot, ka personas dati ir aizsargāti pret nejaušu iznīcināšanu vai nozaudēšanu):
  • a) jābūt kontroles līdzekļiem dublējumkopiju saglabāšanai un pazaudētu vai izdzēstu datu atjaunošanai;
  • b) infrastruktūras dublēšanas un veiktspējas pārbaude;
  • c) datoru resursu fiziskā aizsardzība;
  • d) rīku izmantošana iekšējā tīkla statusa un pieejamības uzraudzībai;
  • e) ziņošanas par incidentiem un reaģēšanas politikas, kas reglamentē incidentu pārvaldības procedūru, un šo politiku ievērošanas atkārtošana regulāru apmācību ietvaros;
  • f) dublējumkopijas (dažreiz ārpus vietnes), lai atjaunotu sistēmu, lai tā atkal varētu veikt savas funkcijas;
  • g) darbības nepārtrauktības/atveseļošanas plāni katastrofu gadījumā
 
1.14. Datu apstrādes sistēmu un pakalpojumu noturība
Lai nodrošinātu datu apstrādes sistēmu un pakalpojumu noturību, jāveic šādi pasākumi:
  • a) sistēmas un harmoniski konfigurētas, izmantojot apstiprinātus drošības parametrus;
  • b) tīkla dublēšana;
  • c) kritisko sistēmu ierobežošanas aizsardzība.
 
1.15. Datu apstrādes drošības nodrošināšanas tehnisko un organizatorisko pasākumu regulāras pārbaudes, izvērtēšanas un efektivitātes novērtēšanas kārtība
Procedūra datu apstrādes aizsardzības tehnisko un organizatorisko pasākumu regulārai pārbaudei, novērtēšanai un efektivitātes novērtēšanai.
  • a) veic nepieciešamos pasākumus, lai novērtētu riskus un mazināšanas stratēģijas;
  • b) IT nodaļas pakalpojumu analīzes sanāksmes aktuālo jautājumu risināšanai;
  • c) darbības nepārtrauktības/avārijas seku novēršanas plāni tiek regulāri atjaunināti.

 

3. daļa

Pušu paraksti un datu importētāju saraksts

 

Aizpildot tiešsaistes pasūtījuma veidlapu un apstiprinot to, atzīmējot rūtiņu, kas piekrīt vispārīgajiem lietošanas noteikumiem, tiek noslēgts līgums, kas regulē attiecības starp Klientu un IQUALIF.

Nosūtot maksājumu IQUALIF, tiks uzskatīts, ka līgums ir saskaņots un noslēgts.


Ņemiet vērā: Šis teksts ir tulkots no franču valodas. Sākotnējā franču valodas versija, kas ir derīga un juridiski ierobežojoša, ir pieejama šeit .