Dette tillæg skaber en integreret del af kontrakten og deltages i af:
Hver er en "Part" og typisk "Parter".
Indledning
HVOR dataimportøren udbyder profesionelle softwaretjenester, computer og relaterede tjenester (som f.eks. browsere med avanceret søgefunktioner);
HVOR i følge kontrakten, dataimportøren har indgået en aftale om en levere til dataeksportøren de tjenester specificeret i kontrakten ("Tjenester");
HVOR, ved levering af tjenesterne, Dataimportøren modtager eller drager fordel af adgangen til Dataeksportørens information eller informationen af andre personer der har et (potentielt) forhold med Dataeksportøren, som information der er kvalificeret som personlig data med den betydning af regulation (EU) 2016/679 af det Europæiske Parlament og af Rådet fra den 27. April 2016 for beskyttelse af individer i henhold til behandlingen af personlige data og den frie bevægelse af sådan data ("GDPR") og andre databeskyttelses love.
HVOR dette tillæg indeholder de regler og forhold gældende til indsamlingen, behandlingen, og brug af sådan personlig data af Dataimportøren i sin kapacitet som den autoriseret databehandlingsagent af Dataeksportøren, for at sikre at parterne følger gældende data beskyttelse lov.
DERFOR, og for at gøre det muligt for paterne at fortsætte deres forhold lovligt, skal Parterne have konkluderet dette tillæg som følgende:
Part 1
1. Struktur af dokumentet og definitioner
1.1 Struktur
Dette tillæg indholder forskellige dele som følgende:
Part 1: | indeholder generelle retningslinjer, f.eks. i forhold til definitionerne brugt i dette tillæg, i følge med lokale love, tidspunkt og afslutning.
|
Part 2: | indeholder hoveddelen af den uændrende standard kontraktuelle klausulsdokument
|
Tillæg 1.1 af Part 2: | indeholder detaljer om behandelnde operationer leveret af dataimportøren til dataeksportøren som den autoriseret databehandlingsagent (inkluderne behandlingen, naturen og formål af behandlingen, typen af personlig data, og kategorierne af dataemnerne) under dette tillæg
|
Tillæg 2 af Part 2: | inderholder en beskrivelse af dataimportørens tekniske og organisatoriske sikkerhedsforanstaltninger, hvilke er gældende i forbindelse med alle behandlingsaktiviteter beskrevet i tillæg 1.1 af part 2
|
Part 3: | Indeholder underskrifter af parterne til at være bundet af dette tillæg og identificere hver dataimportør
|
1.2 Terminologi and definitioner
For formålene af dette tillæg, terminologien og definitionerne brugt af GDPR er gældende (I hoveddelen af standard kontraktuelle klausulsdokument i part 2, hvor defineret termer ikke er kapitaliseret).
"Medlemsstat" | betyder en land tilhørende den europæiske union eller det europæiske økonomiske område
|
"Specielle kategorier af (personlig) data" | referer til personlig data der viser race eller etnisk oprindelse, politiske holdninger, religiøse eller filosofiske tro, eller handelsunion medlemskab, og genetisk data, biometrisk data, hvis behandlet med det formål at unikt identificere en person, data vedrørende sundhed, data vedrørende en persons sex liv eller seksuelle orientering.
|
"Standard kontraktuelle klausuler" | betyder den standard kontraktuelle klausuler til overføring af personlig ata af behandlingsagenter etableret i tredjeparts lande, under kommisionens beslutning 2010/87/EU d. 5. Februar 2010, som blev sat i kræft af kommisionens implementerende beslutning (EU) 2016/22097 d. 16. December 2016
|
“Data behandler” | betyder enhver behandlende agent, lokaliseret indenfor eller udenfor EU/EEA, som er enig med at modtage fra dataimportøren eller hvilken som helst anden behandler af dataimportøren, personlig data med det eksklusive formål at behandle aktiviteter som skal udføres af dataeksportøren efter overførslen i henhold med dataeksportørens instruktioner, de vilkår af dette tillæg og kontrakten med dataimpo
|
2. Forpligtelser af dataskportøren
2.1 Dataeksportøren har en forpligtelse til at forsikre at følge alle gældende obligationer under GDPR og hvilken som helst anden gældende databeskyttelseslov der gælder til Dataeksportøren og for at vise sådanna overholdelser som krævet af Artikel 5 (2) af GDPR. Dataeksportøren garanterer at Dataimportøren har fået samtykke før af dataemnerne i henhold til Artikel 6 (a) af GDPR og har fulgt dens obligationer om at informere dataemnerne i henhold med artikel 13 of 14 af GDPR.
2.2 Dataeksportøren skal give Dataimportøren de respektive filer af behandlingen af aktiviteter i følge Artikel 30 (1) af GDPR relateret tjenester uner dette tillæg, til den længde der er nødvendig for at Dataimporøtren kan følge obligationen under Artikel 30 (2) af GDPR.
2.3 Dataeksportøren skal give en databeskyttelses officer eller repræsentativ til den længde nødvendig af den gældende databeskyttelseslov. Dataeksportøren er obligeret til at give de kontaktdetaljer af databeskyttelsesagenten eller repræsentativ, hvis nogen, til dataimportøren.
2.4. Dataeksportøren bekræfter før færdiggørelsen af behandlingen, ved at acceptere dette tilløg at Dataimportørens tekniske og organisatoriske sikkerhedsforanstaltninger som beskrevet i tillæg 2 til part 2 er passende og rigelige til at beskytte rettighederne af dataemnet og bekræfter at dataimportøren giver rigeligt beskyttelse med hensyn til dette.
3. Overensstemmelse med lokal lov
For at møde kravene til implementeringen af behandlingsagenter efter Artikel 28 af GDPR, er de følgende krav gældende:
3.1 Instruktioner
3.2 Obligationer af dataimportøren
3.3 Rettigheder for personer det vedrører
(i) Dataeksportøren håndtere og svare til forespørgsler lavet af dataemner. Dataimportøren er ikke bundet til at svare på nogle direkte dataemner.
(ii) Hvis dataeksportøren har brug for dataimportørens hjælp til at behandle og svare på den registreredes anmodninger, skal dataeksportøren udstede en yderligere instruktion i overensstemmelse med afsnit 3.1 (ii) i del 1. Dataimportøren vil hjælpe dataeksportøren med følgende passende og tekniske organisatoriske foranstaltninger til at svare på anmodningerne om udøvelse af de registreredes rettigheder som beskrevet i kapitel III i GDPR som følger:
a. Med hensyn til anmodninger om information vil dataimportøren kun give dataeksportøren de oplysninger, der kræves i artikel 13 og 14 i PGRD, som den måtte have til rådighed, hvis dataeksportøren ikke kan finde dem alene.
b. Med hensyn til anmodninger om adgang (artikel 15 i GDPR) vil dataimportøren kun give dataeksportøren de oplysninger, der formodes at blive leveret til en registreret til den nævnte anmodning om adgang, som den måtte have til rådighed, hvis sidstnævnte kan ikke finde det alene.
c. Med hensyn til anmodninger om berigtigelse (artikel 16 i GDPR), anmodninger om sletning (artikel 17 i GDPR), begrænsning af anmodninger om behandling (artikel 18 i GDPR) eller anmodninger om bærbarhed (artikel 20 i GDPR) og kun hvis dataeksportøren ikke selv kan rette eller slette, begrænse eller videregive personoplysningerne til en anden tredjepart, vil dataimportøren give dataeksportøren mulighed for at rette eller slette, begrænse eller videregive de pågældende personoplysninger til den anden tredjepart, eller hvis dette ikke er muligt, vil det yde hjælp til at rette eller slette, begrænse eller videregive de pågældende personoplysninger til den anden tredjepart.
d. Med hensyn til underretning om berigtigelse, sletning eller begrænsning af behandling (artikel 19 i GDPR) vil dataimportøren bistå dataeksportøren ved at underrette alle modtagere af personoplysninger, der er involveret af dataimportøren som behandlere, hvis dataeksportøren anmoder om det og hvis dataeksportøren ikke kan afhjælpe situationen alene.
e. Med hensyn til retten til indsigelse, der udøves af en registreret (artikel 21 og 22 i GDPR), vil dataeksportøren afgøre, om oppositionen er legitim, og hvordan den skal håndteres.
(iii) Dataimportørens bistandsforpligtelser er begrænset til personoplysninger, der behandles inden for dens infrastruktur (f.eks. databaser, systemer, applikationer, der ejes eller leveres af dataimportøren).
(iv) Dataeksportøren skal afgøre, om en registreret kan udøve de registreredes rettigheder som beskrevet i afsnit 3.1 i denne del 1 og skal informere dataimportøren om, i hvilket omfang den assistance, der er specificeret i paragraf 3.3 (ii), ( iii) i del 1 er nødvendig.
(v) Hvis dataeksportøren anmoder om supplerende eller ændrede tekniske og organisatoriske foranstaltninger for at imødekomme de registreredes rettigheder, der går ud over den bistand, der ydes af dataimportøren i henhold til afsnit 3.3 (ii), (iii) i del 1, er dataene Importøren skal informere dataeksportøren om omkostningerne ved at gennemføre sådanne yderligere eller ændrede tekniske og organisatoriske foranstaltninger. Så snart dataeksportøren har bekræftet, at den kan afholde disse omkostninger, skal dataimportøren gennemføre sådanne yderligere eller modificerede tekniske og organisatoriske foranstaltninger for at hjælpe dataeksportøren med at svare på dataindsamlingens anmodninger.
(vi) Uden at begrænse anvendelsesområdet for afsnit 3.3 (v) i del 1 er dataeksportøren forpligtet til at godtgøre dataimportøren for sine rimelige udgifter, der er afholdt i forbindelse med at reagere på de registreredes anmodninger.
3.4 Underbehandling
b. Hvis at dataksporøten har en god grund til at indvende sog til en ekstra data slutningstager, det vil gør førhenværende emnet til en enhed addtional Databhandler svær at læse inden for 30 dage af modtagelse af Dataimportørens notifikation og før Dataimportøren tjenester er lige sat i værk. Hvis dataeksportøren indvender sig med bruget af en ekstra databahandler, Dataimorøtren vil måske undgår ojektionen følgende muligheder: (valgt som det beskrivelse): (A) Dataimportøren annullerer sine planer om at bruge en ekstra processor angående Dataeksportørens personlige data (B) Dataimportøren træffer de korrigerende foranstaltninger, som Dataeksportøren anmoder om i sin indsigelse (annullerer indsigelsen) og bruger den ekstra processor vedrørende Dataeksportørens personlige data; (C) Dataimportøren kan ophøre med at levere, eller Dataeksportøren kan blive enige om ikke at bruge (midlertidigt eller permanent) et bestemt aspekt af tjenesten, der vil involvere brugen af Dataeksportørens yderligere behandler af Dataeksportørens personlige data.
3.5 Udløbsdato
Udløbsdatoen af dette tillæg er ens med udløbsdatoen for den tilsvarende kontrakt. Medmindre andet er bestemt i dette tillæg, skal rettigheder og pligter i forbindelse med opsigelse være magen som indeholdt i kontrakten.
4. Begrænsning af ansvar
4.1 Hver part håndtere sine obligationer under dette tillæg og den gældende databeskyttelses lovgivning.
4.2 Ethvert erstatningsansvar i forbindelse med overtrædelse af obligationerne i dette tillæg eller gældende databeskyttelseslovgivning er underlagt og bestemt af ansvarsbestemmelserne i eller finder anvendelse på kontrakten, medmindre andet er angivet i dette tillæg. Hvis ansvar styres af ansvarsbestemmelserne i eller finder anvendelse på kontrakten, til beregning af ansvarsgrænser eller bestemmelse af anvendelsen af andre ansvarsbegrænsninger, anses ethvert ansvar, der opstår i henhold til dette tillæg, for at opstå under kontrakten.
5. Generelle bestemmelser
5.1 Hvis der er nogen uoverensstemmelser mellem Parter 1 og 2 af dette tillæg, part 2 vinder. Specifikt, selv i sådan et tilffælde, Part 1 hvilket simpelthen går udover Part 2. (f.eks. vilkårene for standard kalusuler) uden at modsige skal det forblive valid.
5.2 Hvis der opstår uoverensstemmelse mellem bestemmelserne i dette tillæg og bestemmelserne i andre kontrakter, der binder parterne, har dette tillæg forrang vedrørende parternes databeskyttelsesforpligtelser. I tvivl om, hvorvidt klausuler i andre kontrakter vedrører parternes databeskyttelsesforpligtelser, har dette tillæg forrang.
5.3 Hvis noget udlæg fra dette tillæg er ugyldigt eller ikke kan håndhæves, skal det tilbagestående fra dette tillæg forblive ved fuld kraft og effekt. Det ugyldige og det der ikke kan håbdhæves vil blive (i) ændret til at sikre dets gyldighed og at det kan håndhæves, mens man gemmer så meget som muligt af intentionerne fra parterne, eller, hvis ikke muligt (ii) forstået som ugyldigt eller ikke kan håndhæves part der aldrig er blevet en del af kontrakten. Det forgåene skal også gælde hvis der har været en udeladelse i dette tillæg.
5.5 I det omfang, det er nødvendigt, kan parterne anmode om ændringer til del 1, punkt 3 (overholdelse af lokal lovgivning) eller andre dele af tillægget for at overholde fortolkninger, direktiver eller ordrer udstedt af de kompetente myndigheder i Unionen eller Medlemsstater, nationale håndhævelsesbestemmelser eller enhver anden juridisk udvikling vedrørende GDPR eller andre delegationsbetingelser til enheder, der er involveret i databehandling og specifikt vedrørende brugen af standardkontraktbestemmelserne i GDPR. Vilkårene i standardkontraktbestemmelserne kan ikke ændres eller erstattes, medmindre Europa-Kommissionen udtrykkeligt godkender det (f.eks. Ved nye passende klausuler og databeskyttelsesstandarder).
5.6 Enhver reference i dette tillæg til "Klusulerne" skal forstås som reference til alle bestemmelser af dette tillæg medmindre andet er skrevet.
5.7 Valg af lov i Part 2, Klausul 9 gælder til hele kontrakten.
6. Personlig data overført og behandlet af parterne til personlige formål (overførsel fra deta kontrol til data kontrol)
6.1 Parterne ved fuldt ud at nogle personlige data vil blive overført fra dataeksportøren til dataimportøren og omvendt, og at sådanne data behandles af hver part til sine egne formål. Med hensyn til sådanne personoplysninger påvirker det ikke de øvrige bestemmelser i dette tillæg (undtagen denne paragraf 6).
6.2 Dataeksportøren må overføre personlig data relateret til ansatte af dataimportøren til dataimportøre, inklusiv information om sikkerheds tilfælde, eller hvilke som helst andre dokumenter eller filer skabt eller etableret af Dataeksportøren i forbindelse med de tjenester leveret af ansatte fra Dataimportøren. Dataimport'ren kan behandle sådanna personlig data til eget formål, specielt i dets proffesionelle forhold med Dataimportørens ansatte, til kvalitetskontrol og træning, eller til forretningsformål.
6.3. Dataimportøren kan overføre personlig data til Dataeksportøren, inkluderende navn og kontaktdetaljer af Dataimporøtrens ansatte. Dataeksportøren må behandle sådanne personlig data til eget formål.
6.4 Begge parter skal overholde gældende databeskyttelseslove, herunder GDPR, ved indsamling, behandling og brug af sådanne personoplysninger, der er modtaget fra den anden part i henhold til afsnit 1 i del 1. Især skal begge parter træffe passende sikkerhedsforanstaltninger, der giver et lignende beskyttelsesniveau som de sikkerhedsforanstaltninger, der er anført i tillæg 2 til del 2. Enhver adgang til sådanne personoplysninger skal være begrænset til behovet for at kende dem.
6.5 Begge parter skal slette sådanne personlige data så hurtigt som muligt efter at målene er opnået.
Part 2
Beslutningen af kommisionen
På d. 5. Februar 2010
Ved standard kontraktuelle klausuler til overførsel af personlig data til data behandlere etableret i tredjeparts lande under 95/46/EC Direktivet af det Europæiske Parlament og Rådet
Klausul 1
Definitioner
Indenfor for betydningen af klausulerne:
a) 'personoplysninger', 'særlige kategorier af data', 'behandling / behandling', 'registeransvarlig', 'behandler', 'registreret' og 'tilsynsmyndighed' har samme betydning som i 95/46 / EF Europa-Parlamentets og Rådets direktiv af 24. oktober 1995 om beskyttelse af enkeltpersoner i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne data (1)
b) Dataeksportøren er Datakontrolløren der overfører den personlige data;
c) 'Dataimportøren' er den databehandler, der godtager at modtage personlige data fra Dataeksportøren, der er beregnet til at blive behandlet af Dataeksportøren efter overførslen i overensstemmelse med de instruktioner og i henhold til betingelserne i disse klausuler, og som ikke er underlagt mekanismen i et tredjeland, der sikrer tilstrækkelig beskyttelse i henhold til artikel 25, stk. 1, i direktiv 95/46 / EF (d) 'databehandler': den databehandler, der er engageret af dataimportøren eller af enhver anden databehandler af dataimportøren, der accepterer at modtage fra dataimportøren eller enhver anden databehandler af dataimportøren personoplysninger udelukkende til behandlingsaktiviteter til udføres på vegne af dataeksportøren efter overførslen i overensstemmelse med dataeksportørens instruktioner under de betingelser, der er beskrevet i disse klausuler og under betingelserne for den skriftlige underkontrakt til databehandlingsaftalen;
e) "gældende databeskyttelseslov" betyder den lov beskytter de fundamentale rettigheder og frihed af individer, inklusiv retten til privatliv vedrørende behandlingen af personlig data, og gældende til en kontrollør i medlemstaten hvor dataeksportøren er etableret;
f) "tekniske og organisatoriske foranstaltninger vedrørende sikkerhed": foranstaltninger beregnet til at beskytte personoplysninger mod utilsigtet eller ulovlig ødelæggelse eller utilsigtet tab, ændring, uautoriseret videregivelse eller adgang, specielt når behandlingen indebærer transmission af data over netværk og mod alle andre ulovlige former for behandling.
Klausul 2
Detaljer om overførslen
Detaljerne om overførslen, inklusiv, hvor passende, special kateogirer af personlig data er specificeret i tillæg 1, hvilket former en integreret del af disse klausuler.
Klausul 3
Tredjeparts fordels klausul
1. Dataemnet må håndhæve imod dataeksportørens dette klausul, Klusul 4(b) til (i), Klausul 5(a) til (e) og (g) til (j), Klausul 6 (1) og (2), Klausul 7, Klausul 8(2) og Klausuler 9 til 12 som tredjeparts fordelstager
2. Den registrerede må håndhæve denne klausul, klausul 5 (a) til (e) og (g), klausul 6, klausul 7, klausul 8 (2) og klausul 9 til 12 imod dataimportøren, hvor dataeksportøren fysisk er forsvundet eller er ophørt med at eksistere i loven, medmindre alle hans juridiske forpligtelser ved kontrakt eller ved lov er overført til den efterfølgende enhed, hvor dataeksportørens rettigheder og forpligtelser derfor kommer tilbage, og som dataene mod emnet kan derfor håndhæve de nævnte klausuler.
Den registrerede må håndhæve denne klausul, klausul 5 (a) til (e) og (g), klausul 6, klausul 7, klausul 8 (2) og klausul 9 til 12 imod databehandleren, men kun i specielle tilfælde, hvor dataeksportør og dataimportør er fysisk forsvundet, stoppet med at eksistere i lov eller er blevet insolvent, medmindre alle de juridiske forpligtelser, som dataeksportøren har fået, ved kontrakt eller ved lov, er overført til den juridiske efterfølger, til som rettighederne og Dataeksportørens forpligtelser påhviler derfor, og mod hvem den registrerede derfor kan håndhæve sådanne klausuler. Et sådant ansvar for databehandleren skal være begrænset til dens egne behandlingsaktiviteter i henhold til disse klausuler.
4. Parterne går ikke imod til dataemnet er repræsenteret af en afdeling eller anden krop hvis han eller hun ønsker og hvis national lov tillader det.
Klausul 4
Obligationer af dataeksportøren
Dataeksportøren acceptere og garantere følgende:
a) behandlingen, inklusive den faktiske overførsel af personoplysninger, er og vil stadig blive udført i overensstemmelse med de relevante bestemmelser i gældende databeskyttelseslov (og, hvor det er relevant, er meddelt de kompetente myndigheder i medlemsstaten hvor dataeksportøren er baseret) og ikke overtræder de relevante bestemmelser i denne stat;
b) de har instrueret og vil stadig instruere dataimportøren i databehandlingsservices varighed at behandle personoplysninger, der overføres på dataeksportørens eneste grundlag og i overensstemmelse med gældende databeskyttelseslov og disse klausuler;
c) Dataimportøren vil give rigeligt med sikkerhedsforanstaltninger vedrørende den tekniske og organisatoriske sikkerhedsforanstaltninger specificeret i Tillæg 2 til den nuværende kontrakt;
d) efter evaluering af kravene i den gældende databeskyttelseslov er sikkerhedsforanstaltningerne tilstrækkelige til at beskytte personoplysninger mod utilsigtet eller ulovlig destruktion eller utilsigtet tab, ændring, uautoriseret videregivelse eller adgang, især når behandlingen indebærer transmission af data over et netværk og mod alle andre ulovlige former for behandling og sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen og arten af de data, der skal beskyttes under hensyntagen til teknologiniveauet og omkostningerne ved implementering
e) de vil forsikre overensstemmelse med sikkerhedsforanstaltninger;
f) hvis overførslen vedrører særlige kategorier af data, er den registrerede blevet underrettet eller vil blive informeret inden overførslen eller hurtigst muligt efter overførslen, at hans eller hendes data kan overføres til et tredjeland, der ikke tilbyder et passende beskyttelsesniveau som defineret i direktiv 95/46 / EF
g) de vil fremkalde hvilken som helst notifikation modtaget fra dataimporøtren eller nogen databehandler under klausul 5 (b) og 8 (3) til databeskyttelses overvågnings autoritet hvis den beslutter sig for at fortsætte overførslen eller at løfte suspension;
h) de stiller til rådighed for registrerede, hvis de anmoder herom, en kopi af disse klausuler, undtagen bilag 2, og en sammenfattende beskrivelse af sikkerhedsforanstaltningerne og en kopi af enhver yderligere underentrepriseaftale, der er indgået i henhold til disse klausuler, medmindre Klausuler eller aftalen indeholder kommerciel information, i hvilket tilfælde han kan trække sådanne oplysninger tilbage;
i) i tilfælde af underentreprise til databehandlingsprocessen udføres behandlingsaktiviteten i henhold til paragraf 11 af en databehandler, der giver mindst det samme niveau for beskyttelse af personoplysninger og registreredes rettigheder som dataimportøren i henhold til disse klausuler ; og
j) Det vil forsikre overensstemmelse med Klausul 4 (a) til (i).
Klausul 5
Obligationer af Dataimportøren
Dataimportøren acceptere og garantere det følgende:
a) de behandler kun personoplysningerne på vegne af dataeksportøren og under dataeksportørens instruktioner og disse klausuler; hvis det af en eller anden grund ikke kan overholde det, accepterer de at informere dataeksportøren om dets manglende evne hurtigst muligt, i hvilket tilfælde dataeksportøren kan suspendere dataoverførslen og / eller afslutte kontrakten;
b) de ikke har nogen grund til at tro, at den gældende lovgivning for dem forhindrer ham i at opfylde instruktionerne fra dataeksportøren og de forpligtelser, der påhviler ham i henhold til kontrakten, og hvis sådan lov er underlagt en ændring, der kan have en væsentlig negativ indvirkning på garantier og forpligtelser i henhold til klausulerne, skal han straks underrette dataeksportøren om ændringen efter at have fået kendskab til den, i hvilket tilfælde dataeksportøren kan suspendere dataoverførslen og / eller afslutte kontrakten; (c) de har implementeret de tekniske og organisatoriske sikkerhedsforanstaltninger, der er specificeret i tillæg 2, inden de behandler de overførte personoplysninger
d) de vil gøre opmærksom på dette for dataeksportøren uden forsinkelse:
i) enhver bindende forespørgsel til visning af personlig data fra en lov håndhævende autoritet, medmindre andet er specificeret, såsom et kriminelt forbud målrettet at vedligeholde hemmeligheden af en politi efterforskning.
ii) enhver uheldig eller uautoriseret adgang, og
iii) enhver forespørgsel modtaget direkte fra de involverede personer uden svar til medmindre han er blevet autoriseret til at gøre således, administratorer
e) de vil behandle hurtigt og korrekt alle henvendelser fra dataeksportøren vedrørende dens behandling af de personoplysninger, der overføres, og vil handle under tilsynsmyndighedens mening om behandlingen af de overførte data;
f) på anmodning fra dataeksportøren vil de underkaste sine databehandlingsfaciliteter en revision af de behandlingsaktiviteter, der er omfattet af disse klausuler, der skal udføres af dataeksportøren eller et tilsynsorgan bestående af uafhængige medlemmer med de nødvendige faglige kvalifikationer underlagt tavshedspligt og valgt af dataeksportøren, hvor det er relevant med tilsynsmyndighedens samtykke;
g) de stiller til rådighed for den registrerede, hvis han anmoder herom, en kopi af disse klausuler eller enhver eksisterende underentreprise til databehandlingsaftalen, medmindre klausulerne eller kontrakten indeholder kommercielle oplysninger, i hvilket tilfælde den kan fjerne sådan information undtagen tillæg 2, som erstattes af en sammenfattende beskrivelse af sikkerhedsforanstaltningerne, hvor den registrerede ikke kan få en kopi fra dataeksportøren
h) i det tilfælde at hemmeligt videre underkontakter databehandlingen, han vil forsikre at han informere dataeksportøren forud og opnår dataeksportørens skrevne samtykke
i) behandlingstjenesterne givet af databehandleren skal være overevs med klausul 11;
j) de vil hurtigt sende en kopi af hvilken som helst underkontrakt af databehandlerens aftale som er gået ind i under disse klausuler til dataeksportøren.
Klausul 6
Ansvar
1. Parterne er enige om, at enhver registreret, de har lidt skade på grund af en parts eller en databehandlers misligholdelse af de forpligtelser, der er nævnt i punkt 3 eller § 11, kan få erstatning fra dataeksportøren for denne skade.
2. Hvis en registreret forhindres i at anlægge erstatningssøgsmål som nævnt i stk. 1 mod dataeksportøren for manglende overholdelse af dataimportøren eller dennes databehandler af nogen af sine forpligtelser i henhold til pkt. 3 eller pkt. 11, fordi dataene Eksportør er fysisk forsvundet, holdt op med at eksistere i loven eller er blevet insolvent, Dataimportøren accepterer, at den registrerede kan indgive en klage over den, som om den var Dataeksportøren, medmindre alle juridiske forpligtelser fra Dataeksportøren er overført, efter kontrakt eller ved lov, til dens efterfølgende enhed, mod hvilken den registrerede derefter kan håndhæve sine rettigheder. Dataimportøren kan ikke stole på, at en databehandler overtræder sine forpligtelser for at undgå sit eget ansvar.
3. Hvis et dataemne ikke kan bringe den aktion som er referret i paragraf 1 og 2 imod dataeksportøren eller dataimportøen for brud af databehandleren af dens obligationer under klausul 3 eller klausul 11 fordi dataeksportøren og dataimportøren har fysisk forsvundet, stoppet me at eksisteret i loven eller er gpet konkurs, så databehandleren aktiviteter ifølge med disse klausuler som hvis det var dataeksportøren eller dataimportøren medmindre alle lovlige obligationer af dateksportøren eller dataimportøren er blevet overflyttet, ved kontakt eller af loven, den lovlige eftergænger, imod hvem dataemnet må rette sine rettigheder. Databehandlerens ansvar skal være begrænset til dets egne behandlingsaktiviteter i overensstemmelse med disse klausuler.
Klausul 7
Mægling og jurisdiktion
1. Dataimportøren accepterer, at den registrerede i henhold til klausulerne kan påberåbe sig tredjemandsmodtagerens ret og kræve erstatning for den lidte skade, accepterer han den registreredes beslutning:
a) at underkaste tvisten mægling af en uafhængig person eller i givet fald tilsynsmyndigheden
b) at indbringe tvisten for domstolene i den medlemsstat, hvor dataeksportøren er baseret.
2. Parterne er enige om, at den registreredes valg ikke berører den registreredes proceduremæssige eller materielle ret til at opnå erstatning i overensstemmelse med andre bestemmelser i national eller international ret.
Klausul 8
Samarbejde med tilsynsmyndigheder
1. Dataeksportøren accepterer at lave en kopi af den nuværende kontrakt hos tilsynsmyndigheden, hvis de kræver det, eller hvis en sådan depositum er fastsat i den gældende databeskyttelseslov.
2. Parterne er enige om, at tilsynsmyndigheden kan udføre kontrol hos dataimportøren og enhver databehandler i samme omfang og på samme betingelser som med kontrol, der udføres hos dataeksportøren i overensstemmelse med gældende databeskyttelseslovgivning.
3. Dataimportøren skal med det samme informere dataeksportøren om, at der findes lovgivning vedrørende dataimportøren eller enhver databehandler, som forhindrer verifikation hos dataimportøren eller enhver databehandler i overensstemmelse med stk. 2. I et dette tilfælde er Dataeksportør kan træffe de foranstaltninger, der er omhandlet i paragraf 5 (b).
Klausul 9
Gældende lov
Dette klausul gælder og er regeret af loven af medlemsstaten hvor dataeksportøren er baseret.
Klausul 10
Modificering af kontrakten
Parterne undertager ikke at modificere de nuværende klausuler. Parterner forbliver frie til at inkluderer kommercielle klausuler som de mener er nødvendige, givet at de ikke modsider de nuværende kalusuler.
Klausul 11
Efterfølgende underkontrakt
1. Dataimportøren skal underkontraktere ingen af sine behandlingsaktiviteter udført på vegne af dataeksportøren under disse klusuler uden tidligere skrevet samtykke af dataeksportøren. Dataimportøren må kun udlicitere sine forpligtelser i henhold til disse klausuler med dataeksportørens samtykke gennem en skriftlig aftale med databehandleren, der pålægger databehandleren de samme forpligtelser som dem, der pålægges dataimportøren i henhold til disse klausuler.) Hvis Databehandler kan ikke overholde sine databeskyttelsesforpligtelser i henhold til den skriftlige aftale, Dataimportøren skal forblive fuldt ansvarlig over for Dataeksportøren for opfyldelsen af disse forpligtelser.
2. Den tidligere skrevne aftale mellem dataimporøtren og databehandleren skal også inkludere en tredjeparts fordelstager klausul som beskrevet i klausul 3 for tilfælde hvor dataemenet er forebygget fra at bringe den påstand af skader referret til i klausul 6 (1), imod dataeksportøren eller dataimportøren fordi dataeksportøren eller dataimportøren har fysisk forsvundet, stoppet med at eksistere i loven, eler er gået konkurs og alle lovlige obligationer af dataeksportøren eller dataimportøren ikke er blevet overført af kontrakt ekker loven, til eftergængerens enhed. Ansvaret for databehandleren skal være begrænset til dens egne behandlingsaktiviteter i overensstemmelse med disse klausuler.
3. Bestemmelserne vedrørende databeskyttelsesaspekter ved underentreprise med databehandling af den i stk. 1 omhandlede kontrakt er underlagt lovgivningen i den medlemsstat, hvor dataeksportøren er etableret.
4. Dataeksportøren fører en liste over underentreprise af de databehandlingsaftaler, der er indgået i henhold til disse klausuler og meddelt af dataimportøren i overensstemmelse med klausul 5 (j), som skal opdateres mindst en gang om året. Denne liste skal gøres tilgængelig for dataeksportørens tilsynsmyndighed for databeskyttelse.
Klausul 12
Forpligtelse efter ophør af behandling af personoplysninger
1. Parterne er enige om, at dataimportøren og databehandleren af afslutningen af databehandlingstjenesterne, når dataeksportøren har det hensigtsmæssigt, returnerer alle overførte personoplysninger og kopiere deraf til dataeksportøren eller ødelægger alle sådanne data og fremlægger bevis ødelæggelsen til dataeksportøren, medmindre lovgivning, der gives dataimportøren, stopper den i at returnere eller ødelægge hele eller dele af de overførte personoplysninger. I så fald garanterer dataimportøren, at den vil sikre fortroligheden af de overførte personoplysninger, og at den ikke længere aktivt behandler dataene.
2. Dataimportøren og databehandleren skal være sikre på, at de, hvis dataeksportøren eller tilsynsmyndigheden forespørger herom, vil underkaste deres midler til databehandling kontrol af de i stk. 1 nævnte foranstaltninger.
Tillæg 1.1 til Part 2
Detaljer af overførsel
Dataeksportør
Dataeksportøren er brugerderfineret i den kontraktuelle aftale.
Dataimportør
Dataimportøren er IQUALIF og er delegeret til at behandle dataen, levere tjenester til dataeksportøren.
Dataemner
Den personlige data overfør vedrørende de følgende kategorier af dataemner:
☒ telefon abonnenter listet i den universelle bog
☐ Andre, inklusiv:
Kategorier af data
Den personlige data overført vedrørende de følgende kategorier af data:
Kategorier af personlig data af dataeksportørens dataemner specielt,
☒ Fulde navn
☒ Postadresse
☒ Kontaktdetaljer (e-mail, telefon, IP addresse, osv.)
☒ Detaljer af markedsføringsaktiviter vedrørende telefon abonnenten
☒ Andre, inklusiv typen af bolig, indkomst, og gennemsnitlig aldre af byen lavet anonymt
Specielle kategorier af data (Hvis muligt)
Den personlige data overført gælder de følgende specielle kategorier af data:
☒ Overførslen af special kategorier af data er ikke forudsagt
☐ Race eller etnisk oprindelse
☐ Religiøse eller filosofiske tro
☐ Handelsunion medlemskab
☐ Politiske tro
☐ Genetisk information
☐ Biometrisk information
☐ Information om seksuel orientation eller seksuelt liv
☐ Sundhedsdata
Behandlingsaktiviteter
De overførte personoplysninger vil være underlagt følgende grundlæggende behandlingsaktiviteter:
Behandlingen foretaget på vegne af dataeksportøren er baseret på følgende emner, især:
☒ Tage ledelse af produkter eller tjenester givet af dataeksportøren
☒ Tilbuddet af et produkt eller tjenste som en ringet person kan forespørge
☒ Ordre taget fra personer der har ringet og videre behandling af disse ordre
☒ studie spørgeskemaer og analyser
☒ Telemarketing
☐ Andre, inklusiv:
Dataimportøren behandler de registreredes personoplysninger på vegne af dataeksportøren for at levere følgende tjenester og især:
☒ Salg og markedsføring
☒ Andre, inklusiv opdateringer databaser af rådhuse og politiske partier
IQUALIF kombinerer hovedsageligt, centraliserer og leverer tjenester til dataeksportøren. Tjenesterne, der leveres af den navngivne tjenesteudbyder, kan være struktureret (blandt andet efter behov) omkring følgende supplerende tjenester: (i) levering af applikationer, værktøjer, systemer og IT-infrastruktur i forhold til de anvendte databehandlingscentre for at levere og understøtter tjenesterne, herunder behandling af de registreredes personlige data som beskrevet ovenfor, via sådanne applikationer, værktøjer og systemer, (ii) levering af IT-support, vedligeholdelse og andre tjenester relateret til sådanne applikationer, værktøjer, systemer og IT-infrastruktur, herunder potentiel adgang til personlige data, der er gemt i sådanne applikationer, værktøjer og systemer, og (iii) levering af databeskyttelsestjenester, beskyttelsesovervågning og hændelseshåndteringstjenester, herunder potentiel adgang til personlige data, når de yder sådanne beskyttelsestjenester . IQUALIF kan engagere databehandlere som angivet nedenfor for at levere tjenesterne, herunder supplerende tjenester.
IQUALIF engagere eksterne og tredjeparts tjenesteudbydere, hvilke ikke er datteselskaber af IQUALIF, til at hjælpe leveringen af tjenester til dataeksportøren. Dataeksportøren godkender såddane tredjeparts tjenester udbydere so under-enheder tildelt til databehandling.
Hvis en underenhed, der er involveret i databehandling, er placeret uden for EU / EØS, i et land, der ikke anses for at have et tilstrækkeligt databeskyttelsesniveau i henhold til en beslutning truffet af Europa-Kommissionen, vil dataimportøren tage skridt til at opnå et passende niveau af databeskyttelse i overensstemmelse med GDPR og afsnit 3.4 (iv) i Part 1.
Tillæg 2, Part 2
Tekniske og organisatoriske sikkerhedsforanstaltninger
Dataimportøren skal træffe følgende tekniske og organisatoriske beskyttelsesforanstaltninger, der er bekræftet af dataeksportøren, for at garantere et passende sikkerhedsniveau for enkeltpersoners rettigheder og friheder afhængigt af risiciene. Ved vurderingen af det pågældende beskyttelsesniveau har dataeksportøren især overvejet de risici, der er involveret i behandlingen, herunder utilsigtet eller ulovlig destruktion, ændring, uautoriseret videregivelse eller adgang til personoplysninger, der overføres, lagres eller på anden måde behandles. Afklaring: Disse tekniske og organisatoriske beskyttelsesforanstaltninger gælder ikke for applikationer, værktøjer, systemer og / eller IT-infrastruktur, der leveres af dataeksportøren.
1 Generelle tekniske og organisatoriske sikkerhedsforanstaltninger |
1.1 Generel information og databeskyttelses strategier |
De følgende skridt bør tages for at følge genreal data og information beskyttelsesstrategier. |
|
|
|
|
|
1.2 Organisation af informationsbeskyttelse |
De følgende foranstaltninger bør tages for at sikre koordination af data og informations beskyttelse aktiviter: |
|
|
|
1.3 Adgangskontrol til behandlingsområder |
Følgende foranstaltninger skal træffes for at forhindre uautoriserede personer i at få adgang til databehandlingssystemer (især software og hardware), når personoplysninger behandles, lagres eller transmitteres: |
|
|
|
|
1.4 Adgangskontrol til databehandlingssystemer |
Følgende foranstaltninger skal træffes for at forhindre uautoriseret adgang til databehandlingssystemer: |
|
|
|
|
|
|
1.5 Kontrol af adgang til bestemte anvendelsesområder for databehandlingssystemer |
Følgende foranstaltninger skal træffes for at sikre, at autoriserede personer med ret til at bruge databehandlingssystemet kun kan få adgang til data inden for deres respektive ansvarsområder og adgangstilladelser, og at personlige data ikke kan læses, kopieres, ændres eller slettes uden tilladelse: |
|
|
|
|
|
|
|
1.6 Transmissionskontrol |
Følgende foranstaltninger skal træffes for at forhindre, at personoplysninger læses, kopieres, ændres eller slettes af uautoriserede tredjeparter under transmission eller transport af datalagringsenheder (afhængigt af behandlingen af de udførte personoplysninger): |
|
|
|
1.7 Kontrol af dataindtastning |
Følgende foranstaltninger skal træffes for at sikre, at det er muligt at kontrollere og afgøre, om personoplysninger er blevet indtastet eller slettet fra databehandlingssystemer, og af hvem: |
|
|
1.8 Arbejdskontrol |
I tilfælde af delegeret behandling af personoplysninger skal der træffes følgende foranstaltninger for at sikre, at sådanne data behandles i overensstemmelse med vejledningen fra tilsynsføreren: |
|
|
|
|
1.9 Adskillelse fra behandling til andre formål |
Følgende foranstaltninger skal træffes for at sikre, at data indsamlet til andre formål kan behandles separat: |
|
|
1.10 Pseudoanonymisering |
Følgende foranstaltninger skal træffes med hensyn til pseudonymisering af personoplysninger: |
|
|
1.11 Enkryptering |
Følgende trin skal tages for at kryptere personlige data i applikationer og transmissioner, der understøtter kryptering:
|
|
|
1.12 Gennemførelse af databehandlingssystemer og tjenster |
Følgende foranstaltninger skal træffes for at sikre fuldstændigheden af databehandlingssystemer og -tjenester: |
|
|
|
1.13 Tilgængelighed af databehandlingssystemer og -tjenester og muligheden for at gendanne adgang til og brug af personoplysninger i tilfælde af en væsentlig eller teknisk hændelse |
Følgende foranstaltninger skal træffes for at sikre tilgængeligheden af databehandlingssystemer samt for hurtigt at kunne gendanne tilgængeligheden af og adgangen til personoplysninger i tilfælde af en væsentlig eller teknisk hændelse (især ved at sikre, at personlige data er beskyttet mod utilsigtet destruktion eller tab): |
|
|
|
|
|
|
|
1.14 Modstandsdygtighed i databehandlingssystemer og -tjenester |
Følgende foranstaltninger skal træffes for at sikre modstandsdygtigheden i databehandlingssystemer og -tjenester: |
|
|
|
1.15 Procedure til regelmæssig afprøvning, evaluering og vurdering af effektiviteten af tekniske og organisatoriske foranstaltninger for at sikre sikkerheden ved databehandling |
Fremgangsmåde til regelmæssig test, evaluering og vurdering af effektiviteten af tekniske og organisatoriske foranstaltninger til beskyttelse af databehandling. |
|
|
|
Part 3
Parternes underskrifter og listen over dataimportører
Når du udfylder onlinebestillingsformularen og validerer den ved at markere afkrydsningsfeltet, der accepterer de generelle vilkår og betingelser for brug, oprettes kontrakten, der regulerer forholdet mellem Kunden og IQUALIF.
Afsendelse af betalingen til IQUALIF overvejer den aftale, der er aftalt og etableret.
Tag en note: Denne tekst er blevet oversat fra Fransk. Den originale Franske version, som er gyldig og lovligt begrænsende, er tilgængelig her.