Andmetöötluse lisa

Käesolev lisa on lepingu lahutamatu osa ja selle sõlmivad:

(i) Klient (" andmete eksportija ")
(ii) IQUALIF (" andmete importija ")

Igaüks neist on " pidu " ja tavaliselt " peod ".

Preambula

KUS Andmete importija pakub professionaalseid tarkvarateenuseid, arvuti- ja seotud teenuseid (nt täpsemate otsingufunktsioonidega brauserid);

KUI Andmete importija on Lepingu kohaselt nõustunud osutama Andmeeksportijale Lepingus nimetatud teenuseid (edaspidi " Teenused ");

KUI Andmeimportija saab teenuseid pakkudes juurdepääsu andmeeksportija teabele või teiste andmete eksportijaga (võimalikes) suhetes olevate isikute teabele või saab sellest kasu, võib sellist teavet kvalifitseerida isikuandmetena määruse tähenduses. Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 üksikisikute kaitsmise kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta ( GDPR ) ja muud kohaldatavad andmekaitseseadused.

KUI käesolev lisa sisaldab tingimusi, mida kohaldatakse selliste isikuandmete kogumise, töötlemise ja kasutamise suhtes andmeimportija kui andmeeksportija volitatud andmetöötlusagendina, et tagada lepinguosaliste vastavus kohaldatavatele andmekaitseseadustele. .

SEEGA ja selleks, et lepinguosalised saaksid oma suhteid seaduslikult jätkata, on pooled sõlminud käesoleva lisa järgmiselt:

1. osa

1. Dokumendi ülesehitus ja mõisted

1.1 Struktuur

See liide koosneb järgmistest osadest:

1. osa:	sisaldab üldsätteid, nt selles lisas kasutatud mõistete, kohalike seaduste järgimise, ajastuse ja lõpetamise kohta
2. osa:	sisaldab muutmata lepingu tüüptingimuste dokumendi sisu
2. osa liide 1.1:	sisaldab andmete importija poolt andmeeksportijale kui volitatud andmetöötlusagendile edastatud töötlemistoimingute üksikasju (sealhulgas töötlemine, töötlemise olemus ja eesmärk, isikuandmete liik ja andmesubjektide kategooriad) käesoleva artikli alusel. Lisa
2. osa 2. liide:	sisaldab andmete importija tehniliste ja organisatsiooniliste turvameetmete kirjeldust, mida rakendatakse seoses kõigi osa 2 lisas 1.1 kirjeldatud töötlemistoimingutega.
3. osa:	sisaldab käesoleva lisaga seotud lepinguosaliste allkirju ja identifitseerib iga andmeimportija

1.2 Terminoloogia ja mõisted

Selle lisa tähenduses kohaldatakse GDPR-is kasutatud terminoloogiat ja määratlusi (lepingu tüüpklausli dokumendi põhiosas 2. osas, kus määratletud termineid ei kirjutata suurtähtedega).

"liikmesriik"	tähendab Euroopa Liitu või Euroopa Majanduspiirkonda kuuluvat riiki
"(isiku)andmete erikategooriad"	viitab isikuandmetele, mis paljastavad rassilise või etnilise päritolu, poliitilisi vaateid, usulisi või filosoofilisi veendumusi või ametiühingusse kuulumist, ja geneetilisi andmeid, biomeetrilisi andmeid, kui neid töödeldakse isiku unikaalse identifitseerimise eesmärgil, terviseandmeid, andmeid isiku soo kohta. elu või seksuaalne sättumus
"Standardlepingulised klauslid"	tähendab lepingu tüüptingimusi kolmandates riikides asutatud töötlejate isikuandmete edastamiseks vastavalt komisjoni 5. veebruari 2010. aasta otsusele 2010/87/EL, mida muudeti komisjoni 16. veebruari rakendusotsusega (EL) 2016/2297. detsember 2016
"Andmeprotsessor".	tähendab mis tahes töötlejat, kes asub EL-is/EMP-s või väljaspool seda ja kes nõustub saama andmeimportijalt või andmeimportija muult töötlejalt isikuandmeid üksnes töötlemise eesmärgil, mida andmeeksportija teostab pärast edastamine vastavalt Andmeeksportija juhistele, käesoleva lisa tingimustele ja andmeimportijaga sõlmitud lepingule

2. Andmeeksportija kohustused

2.1 Andmeeksportija on kohustatud tagama kõigi GDPR-ist ja muudest andmeeksportija suhtes kohaldatavatest andmekaitseseadustest tulenevate kohaldatavate kohustuste täitmise ning näitama sellist vastavust GDPR-i artikli 5 lõike 2 kohaselt. Andmeeksportija garanteerib, et andmete importija on saanud andmesubjektide eelneva nõusoleku vastavalt GDPR-i artikli 6 punktile a ning täitnud andmesubjektide teavitamise kohustuse vastavalt GDPR-i artiklitele 13 ja 14.

2.2 Andmeeksportija peab andme importijale esitama andmete importijale vastavad töötlemistoimingute failid vastavalt GDPR artikli 30 lõikele 1, mis on seotud käesoleva lisa alusel osutatavate teenustega, ulatuses, mis on vajalik Andmeimportija kohustuse täitmiseks. GDPR artikli 30 lõige 2.

2.3 Andmeeksportija peab määrama andmekaitseametniku või esindaja kohaldatava andmekaitseseadusega nõutavas ulatuses. Andmeeksportija on kohustatud esitama andmeimportijale andmekaitseagendi või esindaja kontaktandmed, kui need on olemas.

2.4. Andmeeksportija kinnitab enne töötlemise lõpetamist käesoleva lisaga nõustudes, et andmeimportija tehnilised ja organisatsioonilised turvameetmed, nagu on sätestatud 2. osa 2. lisas, on andmesubjekti õiguste kaitsmiseks asjakohased ja piisavad. ning kinnitab, et andmeimportija pakub selles osas piisavaid kaitsemeetmeid.

3. Kohalike seaduste järgimine

GDPR-i artiklist 28 tulenevate töötlemisagentide rakendamise nõuete täitmiseks kohaldatakse järgmisi muudatusi:

3.1 Juhised

(i) Andmeeksportija annab andmeimportijale ülesandeks töödelda isikuandmeid ainult andmeeksportija nimel. Andmeeksportija juhised on toodud käesolevas lisas ja lepingus. Andmeeksportija on kohustatud tagama, et kõik andmeimportijale antud juhised vastaksid kehtivatele andmekaitseseadustele. Andmeimportija peab isikuandmeid töötlema ainult andmeeksportija antud juhiste kohaselt, kui Euroopa Liidust või liikmesriigi õigusest ei tulene teisiti (viimasel juhul kohaldatakse 1. osa punkti 3.2 alapunkti iv alapunkti c). .
(ii) Kõik muud juhised, mis lähevad kaugemale käesolevas lisas või lepingus sisalduvatest juhistest, peavad sisalduma käesoleva lisa ja lepingu esemes. Kui selle lisajuhise rakendamine toob andmete importijale kulusid, teavitab andmeimportija nendest kuludest andmeeksportijat ja esitab selgituse enne juhise rakendamist. Alles pärast seda, kui andmeeksportija on kinnitanud, et nõustub nende juhiste rakendamise kuludega, rakendab andmete importija selle täiendava juhise. Andmeeksportija peab andma täiendavaid juhiseid kirjalikult, välja arvatud juhul, kui kiireloomulisus või muud konkreetsed asjaolud nõuavad muud vormi (nt suuline, elektrooniline). Muus vormis kui kirjalikud juhised peab andmeeksportija viivitamatult kirjalikult kinnitama.
1. Kui andmeeksportija ei saa ise isikuandmeid parandada, kustutada või piirata, võivad juhised olla seotud ka isikuandmete parandamise, kustutamise ja/või piiramisega, nagu on sätestatud 1. osa punktis 3.3.
2. Andmeimportija peab viivitamatult teavitama Andmeeksportijat, kui juhis rikub tema hinnangul GDPR-i või muid kehtivaid Euroopa Liidu või liikmesriigi andmekaitsesätteid (“ Vaidlustatud juhend ).Kui järelevalveasutus tunnistab vaidlustatud juhise seaduslikuks, rakendab andmeimportija vaidlustatud juhise. 1. osa punkti 3.1 alapunkt ii jääb kehtima.

3.2 Andmete importija kohustused

(i) Andmete importija peab tagama, et isikud, kes on andmeimportija poolt andmeeksportija nimel isikuandmeid töötlema volitatud, eelkõige andmeimportija töötajad ja mis tahes alltöövõtja töötajad, on kohustunud järgima konfidentsiaalsust või alluksid asjakohane seadusest tulenev konfidentsiaalsuskohustus ning isikuandmetele juurdepääsu omavad isikud töötleksid neid vastavalt andmeeksportija juhistele.
(ii) Andmete importija peab enne isikuandmete töötlemist andmeeksportija nimel rakendama 2. osa 2. lisas sätestatud tehnilisi ja organisatsioonilisi turvameetmeid. Andmete importija võib tehnilisi ja korralduslikke turvameetmeid aeg-ajalt muuta, kui need ei paku vähem kaitset kui 2. osa lisas 2 sätestatu.
(iii) Andmeimportija teeb andmeeksportija taotlusel andmeeksportijale kättesaadavaks teabe, mis tõendab andmete importija käesolevast liitest tulenevate kohustuste täitmist. Pooled lepivad kokku, et see teavitamiskohustus on täidetud, esitades andmeeksportijale auditiaruande (mis hõlmab põhimõtete turvalisust, süsteemi käideldavust ja konfidentsiaalsust) (edaspidi "auditiaruanne"). Kui seadusega on vaja täiendavaid auditeerimistoiminguid, võib andmeeksportija nõuda, et andmeeksportija või muu andmeeksportija määratud audiitor viiks läbi kontrolli, tingimusel et selline audiitor on sõlminud andmete importijaga andmeimportijaga konfidentsiaalsuslepingu. mõistlik rahulolu ("Audit"). Sellele auditile kehtivad järgmised tingimused: (i) andmete importija eelnev ametlik kirjalik nõusolek; ja (ii) andmeeksportija kannab kõik andmeeksportija ja andmete importija kohapealse auditiga seotud kulud. Andmeeksportija peab koostama kohapealse auditi tulemused ja tähelepanekud kokkuvõtva auditi aruande ("Kohapealse auditi aruanne"). Kohapealsed auditiaruanded ja auditiaruanded on andmete importija konfidentsiaalne teave ja neid ei tohi avaldada kolmandatele isikutele, välja arvatud juhul, kui seda nõuavad kohaldatavad andmekaitseseadused või andmete importija nõusolekul.
(iv) Andmete importija on kohustatud andmeeksportijat põhjendamatu viivituseta teavitama:
1. a. õiguskaitseorganite mis tahes õiguslikult siduva isikuandmete avaldamise taotluse kohta, kui ei ole teisiti keelatud, näiteks kriminaalõiguslik keeld kaitsta õiguskaitselise uurimise konfidentsiaalsust
2. b. mis tahes kaebuse ja taotluse kohta, mis on saadud otse andmesubjektilt (nt seoses juurdepääsu, parandamise, kustutamise, töötlemise piiramise, andmete teisaldatavuse, andmetöötluse vastuväidete, automatiseeritud otsuste tegemisega) sellele taotlusele vastamata, välja arvatud juhul, kui andmeimportijal on selleks volitused. tee nii
3. c. kui andmeimportija või andmetöötleja on Euroopa Liidu või andmeimportija või andmetöötleja suhtes kohaldatava liikmesriigi õiguse alusel kohustatud töötlema isikuandmeid väljaspool andmeeksportija juhiseid, enne sellise töötlemise läbiviimist pärast seda. juhised, välja arvatud juhul, kui Euroopa Liidu või liikmesriigi seadused keelavad sellise töötlemise olulisel avalikul huvil, millisel juhul tuleb andmeeksportijale saadetavas teates täpsustada Euroopa Liidu või liikmesriigi kõnealusest õigusest tulenev õigusnõue; või
4. d. kui Andmete importija mõistab ainuüksi enda või alltöövõtja tõttu isikuandmete rikkumist, mis mõjutaks käesoleva lepinguga hõlmatud andmeeksportija isikuandmeid, mille puhul andmete importija abistab andmeeksportijat tema kohustuse täitmisel, kohaldatava andmekaitseseadusega seoses teavitama andmesubjekte ja vajaduse korral järelevalveasutusi, edastades tema käsutuses oleva teabe vastavalt GDPR-i artikli 33 lõikele 3.
5. (v) Andmeeksportija taotlusel on andmete importija sunnitud aitama andmeeksportijat tema kohustuse täitmisel viia läbi andmekaitsealase mõju hindamine, mida võib nõuda GDPR-i artikkel 35, ja eelnev konsultatsioon, mis võib olla nõutav. GDPR artikliga 36 nõutud andmete importija poolt andmeeksportijale käesoleva lisa alusel osutatavate teenuste kohta, andes andmeeksportijale vajaliku ja teabe. Andmete importija on kohustatud sellist abi osutama vaid juhul, kui andmeeksportija ei saa oma kohustust muul viisil täita. Andmete importija teavitab andmeeksportijat sellise abi maksumusest. Niipea, kui andmeeksportija on kinnitanud, et suudab selle kulu kanda, annab andmete importija andmeeksportijale selle abi.
6. (vi) Teenuste osutamise lõppedes võib andmeeksportija nõuda andmete importija poolt käesoleva lisa alusel töödeldud isikuandmete tagastamist ühe kuu jooksul pärast teenuste osutamist. Kui liikmesriigi või Euroopa Liidu õigusaktid ei nõua andmeimportijalt selliste isikuandmete säilitamist või säilitamist, kustutab andmeimportija kõik sellised isiku- või mitteisikuandmed pärast ühekuulist perioodi, olenemata sellest, kas need on tagastatud andmeeksportija taotlusel või mitte.

3.3 Asjaomaste isikute õigused

1. (i) Andmeeksportija haldab andmesubjektide päringuid ja vastab neile. Andmete importija ei ole kohustatud andmesubjektidele otse vastama.
2. (ii) Kui andmeeksportija vajab andmesubjekti taotluste töötlemisel ja neile vastamisel andmeimportija abi, annab andmeeksportija täiendava juhise vastavalt 1. osa punkti 3.1 alapunktile ii. Andmete importija abistab andmeeksportijat järgmiste asjakohaste ja tehniliste organisatsiooniliste meetmetega, et vastata GDPR III peatükis sätestatud andmesubjektide õiguste teostamise taotlustele järgmiselt:
3. a. Andmeimportija esitab andmeeksportijale teabepäringute puhul ainult PGRD artiklites 13 ja 14 nõutud teabe, mis võib olla tema käsutuses, kui andmeeksportija ei leia seda ise.
4. b. Seoses juurdepääsutaotlustega (GDPR artikkel 15) annab andmeimportija andmeeksportijale ainult seda teavet, mis tuleb andmesubjektile nimetatud juurdepääsutaotluse jaoks esitada ja mis võib olla tema käsutuses, kui viimane ei leia seda üksi.
5. c. Mis puudutab parandamistaotlusi (GDPR artikkel 16), kustutamistaotlusi (GDPR artikkel 17), töötlemistaotluste piiramist (GDPR artikkel 18) või teisaldamise taotlusi (GDPR artikkel 20) ja ainult kui andmeeksportija ei saa ise isikuandmeid parandada või kustutada, piirata või teisele kolmandale isikule edastada, pakub andmeimportija võimalust asjaomaseid isikuandmeid parandada või kustutada, piirata või edastada teisele kolmandale isikule, või kui see ei ole võimalik, pakub ta abi asjaomaste isikuandmete parandamiseks või kustutamiseks, piiramiseks või teisele kolmandale isikule edastamiseks.
6. d. Seoses parandamise, kustutamise või töötlemise piiramisega (GDPR artikkel 19) teavitamisega abistab andmeimportija andmeeksportijat, teavitades kõiki isikuandmete saajaid, kelle andmeimportija on töötlejatena kaasanud, kui andmeeksportija seda nõuab ja kui Andmeeksportija ei suuda olukorda ise parandada.
7. e. Andmesubjekti vastulause esitamise õiguse osas (GDPR artiklid 21 ja 22) otsustab andmeeksportija, kas vastulause on õiguspärane ja kuidas sellega toime tulla.
8. (iii) Andmete importija abikohustused piirduvad tema infrastruktuuris töödeldavate isikuandmetega (nt Andmeimportija omanduses või pakutavad andmebaasid, süsteemid, rakendused).
9. (iv) Andmeeksportija teeb kindlaks, kas andmesubjekt võib kasutada käesoleva osa 1 punktis 3.1 sätestatud andmesubjektide õigusi, ning teavitab andmeimportijat, mil määral osutatakse punkti 3.3 alapunktis ii nimetatud abi, ( iii) 1. osa on vajalik.
10. (v) Kui andmeeksportija taotleb andmesubjektide õiguste täitmiseks täiendavaid või muudetud tehnilisi ja korralduslikke meetmeid, mis ületavad andmeimportija poolt 1. osa alapunkti 3.3 alapunkti ii, iii alusel pakutavat abi, esitatakse andmed. Importija teavitab andmeeksportijat selliste täiendavate või muudetud tehniliste ja korralduslike meetmete rakendamise kuludest. Niipea kui andmeeksportija on kinnitanud, et suudab need kulud katta, rakendab andmeimportija selliseid täiendavaid või muudetud tehnilisi ja korralduslikke meetmeid, et aidata andmeeksportijal andmesubjektide taotlustele vastata.
11. (vi) Piiramata 1. osa punkti 3.3 alapunkti v kohaldamisala, on andmeeksportija kohustatud hüvitama andmeimportijale andmesubjektide taotlustele vastamisel tehtud mõistlikud kulud.

3.4 Alamtöötlus

1. (i) Andmeeksportija lubab andmeimportijal kasutada alltöövõtjaid teenuste osutamiseks käesoleva lisa alusel. Andmete importija valib sellise(d) andmetöötleja(d) hoolikalt. Andmeeksportija kinnitab 2. osa lõpus lisas 1.1 loetletud andmetöötleja(d).
2. (ii) Andmete importija annab oma käesolevast lisast tulenevad kohustused üle andmetöötleja(te)le ulatuses, mis on kohaldatav alltöövõtu teenuste suhtes.
3. (iii) Andmete importija võib oma äranägemise järgi vallandada, asendada või määrata teise sobiva ja usaldusväärse andmetöötleja(d). Andmeeksportija kirjaliku taotluse korral peab andmete importija järgima alltoodud protseduuri:
1. a. Andmeimportija teavitab andmeeksportijat enne 1. osa punkti 3.4 alapunktis i viidatud andmetöötlejate loendi muutmist. Kui andmeeksportija ei esita punkti 3.4 alusel vastuväiteid, teavitab ta sellest Andmeeksportijat. b) 1. osa kolmkümmend päeva pärast andmete importijalt teate saamist loetakse täiendavad andmetöötlejad vastuvõetuks.
2. b. Kui andmeeksportijal on õigustatud põhjus täiendava andmetöötleja suhtes vastuväite esitamiseks, teatab ta sellest eelnevalt andmeimportijale kirjalikult 30 päeva jooksul andmete importija teate saamisest ja enne andmeimportija teenuse käivitamist. Kui andmeeksportija vaidleb vastu täiendava andmetöötleja kasutamisele, võib andmete importija vastulause tühistada, kasutades ühte järgmistest valikutest (valitud oma äranägemisel): (A) andmete importija tühistab oma plaani kasutada täiendavat töötlejat. Andmeeksportija isikuandmed; (B) Andmeimportija rakendab andmeeksportija poolt vastulauses taotletud parandusmeetmeid (vastulause tühistab) ja kasutab andmeeksportija isikuandmete osas täiendavat töötlejat;
1. (iv) kui andmetöötleja asub väljaspool EL-EMP-d riigis, mis ei ole Euroopa Komisjoni otsuse alusel tunnistatud piisaval tasemel andmekaitse pakkuvaks, võtab andmete importija meetmed piisava taseme järgimiseks. andmekaitse vastavalt GDPR-ile (sellised meetmed võivad muu hulgas hõlmata - EL-i mudeli klauslitel põhinevate andmetöötluslepingute kasutamist, edastamist isesertifitseeritud andmetöötlejatele EL-USA kaitsekilbi raames või mõni sarnane programm).

3.5 Kehtivusaeg

Käesoleva lisa kehtivusaeg on identne vastava lepingu lõppemise kuupäevaga. Kui käesolevas Lisas ei ole sätestatud teisiti, on ülesütlemisega seotud õigused ja kohustused samad, mis Lepingus sisalduvad.

4. Vastutuse piirang

4.1 Kumbki pool täidab oma kohustusi, mis tulenevad käesolevast lisast ja kohaldatavatest andmekaitseseadustest.

4.2 Mis tahes vastutus, mis on seotud käesolevast lisast või kohaldatavatest andmekaitsealastest õigusaktidest tulenevate kohustuste rikkumisega, allub lepingus sätestatud või lepingu suhtes kohaldatavatele vastutussätetele ja neid reguleeritakse, välja arvatud juhul, kui käesolevas lisas on sätestatud teisiti. Kui vastutust reguleerivad Lepingus sätestatud või sellele kohalduvad vastutussätted, siis vastutuslimiitide arvutamisel või muude vastutuspiirangute kohaldamise määramisel, loetakse käesolevast lisast tulenevad kohustused tulenevad lepingust.

5. Üldsätted

5.1. Kui käesoleva liite 1. ja 2. osa vahel esineb ebakõlasid või lahknevusi, kohaldatakse 2. osa. Täpsemalt, isegi sellisel juhul jääb kehtima 1. osa, mis lihtsalt läheb kaugemale 2. osast (st standardklauslite tingimused), ilma et see oleks sellega vastuolus.

5.2 Kui käesoleva lisa ja teiste pooli siduvate lepingute sätete vahel ilmneb lahknevus, on poolte andmekaitsekohustuste osas ülimuslik käesolev lisa. Kahtluse korral, kas teiste lepingute punktid puudutavad poolte andmekaitsekohustusi, on ülimuslik käesolev lisa.

5.3 Kui mõni selle lisa säte on kehtetu või jõustamatu, jääb selle lisa ülejäänud osa täielikult jõusse. Kehtetut või jõustamatut sätet (i) muudetakse, et tagada selle kehtivus ja jõustatavus, säilitades nii palju kui võimalik poolte kavatsused, või – kui see ei ole võimalik – (ii) tõlgendatakse nii, nagu oleks kehtetu või jõustamatu osa pole kunagi lepingu osaks olnud. Eeltoodu kehtib ka juhul, kui käesolevas liites on väljajätmine.

5.5 Osapooled võivad vajalikul määral nõuda 1. osa punkti 3 (Kohaliku õiguse järgimine) või lisa muude osade muutmist, et järgida liidu pädevate asutuste või liidu pädevate asutuste tõlgendusi, direktiive või korraldusi. liikmesriigid, riiklikud jõustamissätted või muud õiguslikud arengud, mis puudutavad GDPR-i või muid andmetöötlusega seotud üksustele delegeerimise tingimusi ja konkreetselt GDPR-i lepingu tüüptingimuste kasutamist. Lepingu tüüptingimuste tingimusi ei tohi muuta ega asendada, välja arvatud juhul, kui Euroopa Komisjon seda selgesõnaliselt heaks kiidab (nt uute asjakohaste klauslite ja andmekaitsestandarditega).

5.6 Kui ei ole sätestatud teisiti, käesolevas lisas olevaid viiteid "klauslitele" tuleb mõista viitena kõigile selle lisa sätetele.

5.7 Osa 2 punktis 9 toodud õiguse valik kehtib kogu Lepingule.

6. Poolte poolt isiklikel eesmärkidel edastatud ja töödeldavad isikuandmed (vastutavalt vastutavalt töötlejalt vastutavale töötlejale üleandmine)

6.1 Pooled teavad täielikult, et teatud isikuandmed edastatakse andmeeksportijalt andmeimportijale ja vastupidi ning neid andmeid töötleb kumbki pool oma eesmärkidel. Mis puudutab selliseid isikuandmeid, siis see ei mõjuta käesoleva lisa muid sätteid (välja arvatud käesolev punkt 6).

6.2 Andmeeksportija võib andmeimportijale edastada andmeimportija töötajatega seotud isikuandmeid, sealhulgas teavet turvaintsidentide kohta, või mis tahes muid dokumente või faile, mille andmeeksportija on loonud või loonud seoses ettevõtte töötajate poolt osutatavate teenustega. andmete importija. Andmete importija võib selliseid isikuandmeid töödelda oma eesmärkidel, eelkõige oma ametialastes suhetes andmete importija töötajatega, kvaliteedikontrolliks ja koolituseks või ärilistel eesmärkidel.

6.3. Andmete importija võib andmeeksportijale edastada isikuandmeid, sealhulgas andmeimportija töötajate nime ja kontaktandmeid. Andmeeksportija võib selliseid isikuandmeid töödelda oma eesmärkidel.

6.4 Mõlemad pooled järgivad 1. osa punkti 1 alusel teiselt poolelt saadud isikuandmete kogumisel, töötlemisel ja kasutamisel kõiki kohaldatavaid andmekaitseseadusi, sealhulgas GDPR-i. Eelkõige võtavad mõlemad pooled piisavaid turvameetmeid, tagades 2. osa 2. liites sätestatud turvameetmetega sarnane kaitsetase. Juurdepääs sellistele isikuandmetele piirdub vajadusega neid teada.

6.5 Mõlemad Pooled peavad sellised isikuandmed kustutama võimalikult kiiresti pärast eesmärkide saavutamist.

2. osa

KOMISJONI OTSUS

5. veebruaril 2010

lepingu tüüptingimuste kohta isikuandmete edastamiseks kolmandatest isikutest riikides asuvatele andmetöötlejatele vastavalt Euroopa Parlamendi ja nõukogu direktiivile 95/46/EÜ

Klausel 1

Definitsioonid

Klauslite tähenduses:

a) „isikuandmed, „andmete erikategooriad, „töötlemine/töötlemine, „vastutav töötleja, „töötleja, „andmesubjekt ja „järelevalveasutus on sama tähendusega kui direktiivis 95/46/EÜ. Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (1);

b) „andmete eksportija on isikuandmeid edastav vastutav töötleja;

c) Andmeimportija on andmetöötleja, kes nõustub saama andmeeksportijalt isikuandmeid, mis on ette nähtud töötlemiseks andmeeksportija nimel pärast edastamist vastavalt tema juhistele ja käesolevate punktide tingimustele, ning kes ei ole vastavalt kolmanda riigi mehhanismile, mis tagab piisava kaitse direktiivi 95/46/EÜ artikli 25 lõike 1 tähenduses; d) Andmetöötleja – andmeimportija või andmeimportija mis tahes muu andmetöötleja kaasatud andmetöötleja, kes nõustub saama andmeimportijalt või muult andmeimportija andmetöötlejalt isikuandmeid eranditult nende töötlemiseks teostada andmeeksportija nimel pärast edastamist vastavalt andmeeksportija juhistele,

e) kohaldatav andmekaitseseadus – õigusakt, mis kaitseb üksikisikute põhiõigusi ja -vabadusi, sealhulgas õigust eraelu puutumatusele seoses isikuandmete töötlemisega, ja mida kohaldatakse vastutava töötleja suhtes selles liikmesriigis, kus andmeeksportija on registreeritud;

f) "turvalisusega seotud tehnilised ja korralduslikud meetmed" – meetmed, mille eesmärk on kaitsta isikuandmeid juhusliku või ebaseadusliku hävitamise või juhusliku kaotsimineku, muutmise, loata avaldamise või juurdepääsu eest, eelkõige kui töötlemine hõlmab andmete edastamist võrkude kaudu, ja kõik muud ebaseaduslikud töötlemisviisid.

Punkt 2

Ülekande üksikasjad

Edastamise üksikasjad, sealhulgas vajaduse korral isikuandmete erikategooriad, on täpsustatud 1. lisas, mis on nende klauslite lahutamatu osa.

Punkt 3

Kolmanda osapoole abisaaja klausel

1. Andmesubjekt võib andmeeksportija suhtes jõustada käesoleva klausli punkti 4 punktide b–i, punkti 5 punktide a–e ja g–j ning klausli 6 punktide 1 ja 2 nõudeid. ), klausel 7, klausli 8 lõige 2 ja klauslid 9–12 kolmandast isikust kasusaajana

2. Andmesubjekt võib käesolevat klauslit, punkti 5 alapunkte a–e ja g, klauslit 6, klauslit 7, klausli 8 lõiget 2 ja klausleid 9–12 andmeimportija suhtes jõustada, kui andmeeksportija on füüsiliselt kadus või on seaduslikult lakanud eksisteerimast, välja arvatud juhul, kui kõik tema juriidilised kohustused on lepingu või seaduse alusel üle antud õigusjärglasele, kellele andmeeksportija õigused ja kohustused seetõttu tagasi lähevad ning kelle vastu andmed subjekt saab seega nimetatud klausleid jõustada.

Andmesubjekt võib käesoleva punkti, punkti 5 alapunktide a–e ja g, punkti 6, punkti 7, punkti 8 lõike 2 ja punktide 9 kuni 12 nõudeid andmetöötleja suhtes jõustada, kuid ainult juhtudel, kui Andmed Eksportija ja Andmeimportija on füüsiliselt kadunud, seaduslikult lakanud eksisteerimast või muutunud maksejõuetuks, välja arvatud juhul, kui kõik Andmeeksportija juriidilised kohustused on lepingu või seaduse alusel üle läinud õigusjärglasele, kellele kuuluvad õigused ja seega on andmeeksportija kohustused ja kelle suhtes andmesubjekt võib selliseid klausleid jõustada. Andmetöötleja selline vastutus peab piirduma tema enda töötlemistoimingutega nende punktide alusel.

4. Pooled ei ole vastu sellele, et andmesubjekti esindab ühendus või muu organ, kui ta seda soovib ja kui siseriiklik õigus seda võimaldab.

Punkt 4

Andmeeksportija kohustused

Andmeeksportija aktsepteerib ja tagab järgmise:

a) töötlemine, sealhulgas isikuandmete tegelik edastamine, on toimunud ja toimub ka edaspidi kooskõlas kohaldatava andmekaitseseaduse asjakohaste sätetega (ja vajaduse korral on sellest teavitatud liikmesriigi pädevaid asutusi kus Andmeeksportija asub) ja ei riku selle riigi asjakohaseid sätteid;

b) nad on andnud andmeimportijale korralduse töödelda isikuandmeid edastatud isikuandmeid ainuisikuliselt andmeeksportija nimel ning kooskõlas kohaldatava andmekaitseseaduse ja käesolevate klauslitega ning teevad seda isikuandmete töötlemise teenuste kestuse jooksul;

c) Andmete importija tagab piisavad tagatised käesoleva lepingu lisas 2 nimetatud tehniliste ja organisatsiooniliste turvameetmete osas;

d) pärast kohaldatava andmekaitseseaduse nõuete hindamist on turvameetmed piisavad, et kaitsta isikuandmeid juhusliku või ebaseadusliku hävimise või juhusliku kaotsimineku, muutmise, volitamata avaldamise või juurdepääsu eest, eriti kui töötlemine hõlmab andmete edastamist. võrgu kaudu ja kõigi muude ebaseaduslike töötlemise vormide eest ning tagama turvalisuse taseme, mis vastab töötlemisega kaasnevatele riskidele ja kaitstavate andmete olemusele, võttes arvesse tehnoloogia taset ja rakenduskulusid;

e) nad tagavad turvameetmete järgimise;

f) kui edastamine on seotud andmete erikategooriatega, on andmesubjekti teavitatud või teavitatakse teda enne edastamist või võimalikult kiiresti pärast edastamist, et tema andmed võidakse edastada kolmandasse riiki, mis ei paku piisav kaitsetase direktiivi 95/46/EÜ tähenduses;

g) nad edastavad kõik andmete importijalt või mis tahes andmetöötlejalt punkti 5 punkti b ja lõike 8 lõike 3 alusel saadud teated andmekaitse järelevalveasutusele, kui ta otsustab edastamist jätkata või selle peatamise tühistada;

h) nad teevad andmesubjektidele nende nõudmisel kättesaadavaks nende klauslite, välja arvatud 2. liide, koopia ja turvameetmete kokkuvõtliku kirjelduse ning mis tahes edasise alltöövõtulepingu koopia, mis on sõlmitud nende punktide alusel, välja arvatud juhul, kui Klauslid või leping sisaldavad äriteavet, sel juhul võib ta selle teabe tagasi võtta;

i) andmetöötlusprotsessi alltöövõtu korral teostab töötlemistoimingu vastavalt punktile 11 andmetöötleja, kes tagab isikuandmete ja andmesubjekti õiguste kaitse vähemalt samal tasemel kui andmeimportija käesolevate punktide alusel. ; ja

j) see tagab vastavuse klausli 4 punktidele a–i.

Punkt 5

Andmete importija kohustused

Andmete importija aktsepteerib ja tagab järgmise:

a) nad töötlevad isikuandmeid ainult andmeeksportija nimel ning andmeeksportija juhiste ja käesolevate klauslite alusel; kui ta ei suuda mingil põhjusel järgida, nõustuvad nad esimesel võimalusel teavitama andmeeksportijat oma suutmatusest, sel juhul võib andmeeksportija andmeedastuse peatada ja/või lepingu lõpetada;

b) neil ei ole põhjust arvata, et nende suhtes kohaldatav õigus takistab tal täita andmeeksportija antud juhiseid ja talle lepingust tulenevaid kohustusi, ning kui sellist seadust muudetakse, mis võib oluliselt kahjustada mõju punktidest tulenevatele garantiidele ja kohustustele, teatab ta muudatusest viivitamata pärast sellest teadasaamist Andmeeksportijale, millisel juhul võib andmeeksportija andmeedastuse peatada ja/või lepingu lõpetada; c) nad on enne edastatud isikuandmete töötlemist rakendanud 2. liites nimetatud tehnilised ja organisatsioonilised turvameetmed;

d) nad teavitavad andmeeksportijat viivitamata:

i) õiguskaitseasutuse mis tahes siduv taotlus isikuandmete avaldamiseks, kui ei ole sätestatud teisiti, näiteks kriminaalmenetluse keeld, mille eesmärk on säilitada politseijuurdluse saladus;

ii) juhuslik või volitamata juurdepääs; ja

iii) kõik taotlused, mis on saadud otse asjaomastelt isikutelt neile vastamata, välja arvatud juhul, kui tal on selleks luba; administraatorid

e) nad tegelevad kiiresti ja nõuetekohaselt kõigi andmeeksportijalt esitatud päringutega, mis puudutavad tema poolt edastatavate isikuandmete töötlemist, ning tegutsevad vastavalt järelevalveasutuse arvamusele edastatavate andmete töötlemise kohta;

f) andmeeksportija taotlusel kontrollivad nad tema andmetöötlusrajatisi nende klauslitega hõlmatud töötlemistoiminguid, mille viib läbi andmeeksportija või järelevalveorgan, mis koosneb nõutava kutsekvalifikatsiooniga sõltumatutest liikmetest, järgib saladuse hoidmise kohustust ja valib andmeeksportija vajaduse korral kokkuleppel järelevalveasutusega;

g) nad teevad andmesubjektile tema nõudmisel kättesaadavaks nende klauslite koopiad või mis tahes olemasoleva andmetöötluslepingu alltöövõtulepingu, välja arvatud juhul, kui klauslid või leping sisaldavad äriteavet, millisel juhul võib ta sellise teabe eemaldada. teave, välja arvatud lisa 2, mis asendatakse turvameetmete kokkuvõtliku kirjeldusega, kui andmesubjekt ei saa andmeeksportijalt koopiat saada;

h) konfidentsiaalse edasise andmetöötluse alltöövõtulepingu sõlmimise korral tagab ta, et teavitab sellest eelnevalt andmeeksportijat ja saab andmeeksportijalt kirjaliku nõusoleku;

i) andmetöötleja poolt osutatavad töötlemisteenused peavad vastama punktile 11;

j) nad saadavad nende punktide alusel sõlmitud andmetöötluslepingu mis tahes allhankelepingu koopia viivitamata andmeeksportijale.

Punkt 6

Vastutus

1. Pooled lepivad kokku, et iga andmesubjekt, kes on kandnud kahju ühe poole või andmetöötleja poolt punktis 3 või 11 nimetatud kohustuste rikkumise tõttu, võib saada andmeeksportijalt tekkinud kahju hüvitamist.

2. Kui andmesubjektil ei ole võimalik esitada lõikes 1 osutatud kahju hüvitamise hagi andmeeksportija vastu, kuna andmeimportija või tema andmetöötleja ei ole täitnud mis tahes punktist 3 või punktist 11 tulenevat kohustust, kuna andmed Eksportija on füüsiliselt kadunud, lakanud eksisteerimast seadusega või muutunud maksejõuetuks, andmesubjekt nõustub sellega, et andmesubjekt võib esitada tema peale kaebuse nii, nagu ta oleks andmeeksportija, välja arvatud juhul, kui kõik andmeeksportija juriidilised kohustused on lepinguga üle antud. või seaduse alusel oma õigusjärglasele üksusele, kelle suhtes andmesubjekt võib seejärel oma õigusi rakendada. Andmete importija ei tohi oma vastutuse vältimiseks tugineda andmetöötleja poolt oma kohustuste rikkumisele.

3. Kui andmesubjekt ei saa esitada lõigetes 1 ja 2 nimetatud hagi andmeeksportija või andmeimportija vastu, kuna andmetöötleja rikub punktis 3 või punktis 11 sätestatud kohustusi, kuna andmeeksportija ja andmete importija on füüsiliselt kadunud, lakanud eksisteerimast seaduse järgi või muutunud maksejõuetuks, nõustub andmesubjekt, et andmesubjekt võib vastavalt käesolevatele punktidele esitada tema vastu kaebuse enda töötlemistoimingute kohta nii, nagu oleks ta andmeeksportija või andmete importija, välja arvatud juhul, kui kõik Andmeeksportija või -importija juriidilised kohustused on lepingu või seaduse alusel üle antud õigusjärglasele, kelle vastu andmesubjekt võib seejärel oma õigusi kaitsta.Andmetöötleja vastutus peab piirduma tema enda töötlemistoimingutega vastavalt käesolevatele punktidele.

Punkt 7

Vahendus ja jurisdiktsioon

1. Andmete importija nõustub, et kui andmesubjekt tugineb punktide kohaselt tema vastu kolmandast isikust kasusaaja õigusele ja/või nõuab kahju hüvitamist, nõustub ta andmesubjekti otsusega:

a) anda vaidlus sõltumatule isikule või vajaduse korral järelevalveasutusele vahendajaks;

b) anda vaidlus selle liikmesriigi kohtusse, kus andmete eksportija asub.

2. Pooled lepivad kokku, et andmesubjekti valik ei mõjuta andmesubjekti menetluslikku ega materiaalset õigust saada hüvitist vastavalt siseriikliku või rahvusvahelise õiguse muudele sätetele.

Punkt 8

Koostöö järelevalveasutustega

1. Andmeeksportija nõustub andma käesoleva lepingu koopia hoiule järelevalveasutusele, kui viimane seda nõuab või kui selline hoiuleandmine on ette nähtud kohaldatava andmekaitseseadusega.

2. Pooled lepivad kokku, et järelevalveasutus võib andmeimportija ja mis tahes andmetöötleja juures läbi viia kontrolle samas ulatuses ja samadel tingimustel kui andmeeksportija juures läbiviidavaid kontrolle kooskõlas kehtiva andmekaitseseadusega.

3. Andmete importija teavitab andmeeksportijat niipea kui võimalik andmete importijat või mis tahes andmetöötlejat puudutavate õigusaktide olemasolust, mis takistavad andmete importija või mis tahes andmetöötleja juures lõike 2 kohaselt kontrollimist. Andmete eksportija võib rakendada punkti 5 punktis b sätestatud meetmeid.

Punkt 9

Kohaldatav seadus

Neid klausleid kohaldatakse ja nende suhtes kohaldatakse andmeeksportija asukohaliikmesriigi õigust.

Punkt 10

Lepingu muutmine

Pooled kohustuvad käesolevaid tingimusi mitte muutma. Pooled võivad lisada muid kaubandusklausleid, mida nad vajalikuks peavad, tingimusel et need ei ole käesolevate klauslitega vastuolus.

Punkt 11

Hilisem alltöövõtt

1. Andmeimportija ei sõlmi allhankelepinguid oma andmeeksportija nimel tehtavatest töötlemistoimingutest nende punktide alusel ilma andmeeksportija eelneva kirjaliku nõusolekuta. Andmeimportija sõlmib oma käesolevatest punktidest tulenevate kohustuste täitmise alltöövõtulepinguna ainult andmeeksportija nõusolekul andmetöötlejaga sõlmitud kirjaliku lepinguga, millega kehtestatakse andmetöötlejale samad kohustused, mis nende punktide alusel on andmeimportijale pandud. Kui andmetöötleja ei suuda täita oma sellest kirjalikust lepingust tulenevaid andmekaitsekohustusi, jääb andmeimportija nende kohustuste täitmise eest andmeeksportija ees täielikult vastutavaks.

2. Andmete importija ja andmetöötleja vaheline eelnev kirjalik leping sisaldab ka punktis 3 sätestatud kolmandast isikust kasusaaja klauslit juhtudeks, kui andmesubjektil ei ole võimalik esitada punktis 6 (1) nimetatud kahju hüvitamise nõuet. ), andmeeksportija või -importija vastu, kuna andmeeksportija või andmete importija on füüsiliselt kadunud, seaduslikult lakanud eksisteerimast või muutunud maksejõuetuks ning kõik andmeeksportija või andmeimportija juriidilised kohustused ei ole lepingu või tegevusega üle läinud. seaduse alusel teisele õigusjärglasele. Andmetöötleja vastutus peab piirduma tema enda töötlemistoimingutega vastavalt käesolevatele punktidele.

3. Lõikes 1 osutatud lepingu andmetöötluse allhankelepingute sõlmimise andmekaitseaspekte käsitlevaid sätteid reguleerib selle liikmesriigi õigus, kus andmeeksportija on registreeritud.

4. Andmeeksportija peab käesolevate punktide alusel sõlmitud ja Andmeimportija poolt punkti 5 punkti j kohaselt teatavaks tehtud andmetöötluslepingute alltöövõtjate nimekirja, mida ajakohastatakse vähemalt kord aastas. See nimekiri tehakse kättesaadavaks andmeeksportija andmekaitse järelevalveasutusele.

Punkt 12

Kohustus pärast isikuandmete töötlemise teenuste lõpetamist

1. Pooled lepivad kokku, et andmeimportija ja andmetöötleja tagastavad andmeeksportijale sobival ajal andmetöötlusteenuste lõpetamisel kõik edastatud isikuandmed ja nende koopiad andmeeksportijale või hävitavad kõik sellised andmed ja esitavad tõendi. hävitamine Andmeeksportijale, välja arvatud juhul, kui andmeimportijale kehtestatud õigusaktid takistavad tal kõiki või osa edastatud isikuandmeid tagastada või hävitada. Sellisel juhul garanteerib Andmeimportija, et ta tagab edastatavate isikuandmete konfidentsiaalsuse ja andmeid enam aktiivselt ei töötle.

2. Andmete importija ja andmetöötleja tagavad, et andmeeksportija ja/või järelevalveasutuse nõudmisel kontrollivad nad oma andmetöötlusvahendeid lõikes 1 osutatud meetmete järgimise kohta.

2. osa lisa 1.1

Ülekande üksikasjad

Andmete eksportija

Andmete eksportija on Lepingus määratletud Klient.

Andmete importija

Andmete importija on IQUALIF ja tema ülesanne on töödelda andmeid, pakkudes Andmeeksportijale teenuseid.

Andmete subjektid

Edastatud isikuandmed puudutavad järgmisi andmesubjektide kategooriaid:

˜' universaalses kataloogis loetletud telefoniabonendid

˜ Muud, sealhulgas:

Andmete kategooriad

Edastatud isikuandmed puudutavad järgmisi andmekategooriaid:

Eelkõige andmeeksportija andmesubjektide isikuandmete kategooriad,

˜' Täisnimi

˜' Postiaadress

˜' Kontaktandmed (e-post, telefon, IP-aadress jne)

˜' Telefoni abonenti puudutavate turundustegevuste üksikasjad

„Muud, sealhulgas anonüümselt tehtud eluaseme tüüp, sissetulek ja linna keskmine vanus

Andmete erikategooriad (vajadusel)

Edastatud isikuandmed puudutavad järgmisi andmekategooriaid:

˜' Erikategooriate andmete edastamine ei ole ette nähtud

˜ Rass või etniline päritolu

˜ Religioossed või filosoofilised tõekspidamised

˜ Ametiühingusse kuulumine

˜ Poliitilised vaated

˜ Geneetiline teave

˜ Biomeetriline teave

˜ Teave seksuaalse sättumuse või seksuaalelu kohta

˜ Terviseandmed

Töötlemistegevused

Edastatud isikuandmete suhtes kohaldatakse järgmisi põhilisi töötlemistoiminguid:

- ¢ Töötlemise eesmärk

Andmeeksportija nimel tehtav töötlemine põhineb järgmistel teemadel, eelkõige:

˜' Andmeeksportija pakutavate toodete või teenuste eest vastutamine

˜' Toote või teenuse pakkumine, mida helistaja saab taotleda

˜' Helistatud isikutelt võetud korraldused ja nende tellimuste edasine töötlemine

˜' Uurige küsimustikke ja analüüse

˜' Telemarketing

˜ Muud, sealhulgas:

- ¢ Töötlemise olemus ja eesmärk

Andmete importija töötleb andmesubjektide isikuandmeid andmeeksportija nimel, et osutada järgmisi teenuseid, eelkõige:

˜' Müük ja turundus

˜' Muud, sealhulgas raekodade ja erakondade andmebaaside uuendamine

- ¢ Teenuste pakkumine ja teenuseosutajate palkamine

IQUALIF ühendab, tsentraliseerib ja pakub teenuseid peamiselt andmeeksportijale. Nimetatud teenusepakkuja pakutavad teenused võivad olla struktureeritud (muu hulgas vastavalt vajadusele) järgmiste abiteenuste ümber: (i) rakenduste, tööriistade, süsteemide ja IT-infrastruktuuri pakkumine seoses kasutatavate andmetöötluskeskustega, et pakkuda ja toetada teenuseid, sealhulgas ülalkirjeldatud andmesubjektide isikuandmete töötlemist selliste rakenduste, tööriistade ja süsteemide kaudu, (ii) selliste rakenduste, tööriistade ja süsteemidega seotud IT-toe, hoolduse ja muude teenuste pakkumist. ja IT-infrastruktuur, sealhulgas võimalik juurdepääs sellistes rakendustes, tööriistades ja süsteemides salvestatud isikuandmetele ning iii) andmekaitseteenuste pakkumine, kaitse jälgimine ja intsidentidele reageerimise teenused, sealhulgas võimalik juurdepääs isikuandmetele selliste kaitseteenuste osutamisel. IQUALIF võib teenuste, sealhulgas abiteenuste osutamiseks kaasata andmetöötlejaid, nagu allpool sätestatud.

- ¢ Välised kolmandast osapoolest teenusepakkujad kui andmetöötlusele määratud allüksused

IQUALIF kaasab andmeeksportijale teenuste osutamise toetamiseks väliseid ja kolmandaid teenusepakkujaid, kes ei ole IQUALIFi tütarettevõtted. Andmeeksportija kinnitab sellised välised kolmandatest isikutest teenusepakkujad andmetöötlusele määratud allüksusteks.

Kui andmetöötlusega seotud allüksus asub väljaspool EL-i/EMP-d riigis, mille andmekaitse tase Euroopa Komisjoni otsuse kohaselt ei ole piisav, astub andmete importija meetmeid piisava andmekaitsetaseme saavutamiseks. andmekaitse vastavalt GDPR-ile ja 1. osa jaotisele 3.4 (iv).

2. lisa 2. osa

Tehnilised ja organisatsioonilised kaitsemeetmed

Andmete importija rakendab järgmisi Andmeeksportija poolt kinnitatud tehnilisi ja organisatsioonilisi kaitsemeetmeid, et tagada üksikisikute õiguste ja vabaduste asjakohane turvalisuse tase, olenevalt riskidest. Asjaomase kaitsetaseme hindamisel on andmeeksportija võtnud eelkõige arvesse töötlemisega kaasnevaid riske, sealhulgas juhuslikku või ebaseaduslikku hävitamist, muutmist, volitamata avaldamist või juurdepääsu edastatud, salvestatud või muul viisil töödeldavatele isikuandmetele. Selgituseks: need tehnilised ja organisatsioonilised kaitsemeetmed ei kehti andmeeksportija pakutavate rakenduste, tööriistade, süsteemide ja/või IT-infrastruktuuri kohta.

1 Üldised tehnilised ja organisatsioonilised kaitsemeetmed

1.1 Üldteave ja andmekaitsestrateegiad

Üldiste andme- ja teabekaitsestrateegiate järgimiseks tuleks võtta järgmised sammud.

a) võtma meetmeid tehnilise ja organisatsioonilise kaitse osas võetud meetmete hindamiseks;

b) pakkuda koolitusi töötajate teadlikkuse tõstmiseks;

c) omama asjaomaste süsteemide kirjeldust ja võimaldama töötajatele juurdepääsu;

d) kehtestama ametliku dokumenteerimisprotsessi iga kord, kui süsteeme rakendatakse või muudetakse;

e) organisatsioonilise struktuuri, protsesside, vastutusalade ja vastavate hinnangute dokumenteerimine;

1.2 Infokaitse korraldus

Andme- ja teabekaitsetegevuse koordineerimiseks tuleks võtta järgmised meetmed:

a) määratletud kohustused teabe ja andmete kaitsmisel (nt andmekaitsehalduspoliitika kaudu);

b) vajalikud teadmised teabe ja kättesaadavaks jäävate andmete kaitsmiseks;

c) kõik töötajad on võtnud kohustuse tagada, et isikuandmeid hoitakse konfidentsiaalsena, ja neid on teavitatud selle kohustuse rikkumise võimalikest tagajärgedest.

1.3 Juurdepääsu kontroll töötlemisaladele

Tuleb võtta järgmised meetmed, et vältida volitamata isikute juurdepääsu andmetöötlussüsteemidele (eelkõige tarkvarale ja riistvarale) isikuandmete töötlemise, säilitamise või edastamise ajal:

a) rajama turvaalasid;

b) kaitsta andmetöötlussüsteeme ja piirata neile juurdepääsu;

c) kehtestada töötajatele ja kolmandatele isikutele juurdepääsuload, sealhulgas vastavad dokumendid;

d) registreeritakse igasugune juurdepääs andmetöötluskeskustele, kus isikuandmeid säilitatakse.

1.4 Juurdepääsu kontroll andmetöötlussüsteemidele

Selleks et vältida volitamata juurdepääsu andmetöötlussüsteemidele, tuleb võtta järgmised meetmed:

a) kasutaja autentimise eeskirjad ja protseduurid;

b) paroolide kasutamine kõigis arvutisüsteemides;

c) kaugjuurdepääs võrgule nõuab mitmefaktorilist autentimist ning see antakse asjaomasele isikule vastavalt tema kohustustele ja loa alusel;

d) juurdepääs konkreetsetele funktsioonidele põhineb tööfunktsioonidel ja/või atribuutidel, mis on individuaalselt määratud kasutaja kontole;

e) isikuandmetega seotud juurdepääsuõigused vaadatakse regulaarselt üle;

f) juurdepääsuõiguste muudatuste dokumente hoitakse ajakohasena.

1.5 Andmetöötlussüsteemide konkreetsetele kasutusvaldkondadele juurdepääsu kontrollimine

Tagamaks, et andmetöötlussüsteemi kasutamise õigust omavad volitatud isikud pääseksid juurde ainult oma kohustuste ja juurdepääsulubade piires ning isikuandmeid ei saaks ilma loata lugeda, kopeerida, muuta ega kustutada, tuleb kasutusele võtta järgmised meetmed:

1. a) poliitikad, juhised ja töötajate koolitamine, mis puudutavad igaühe kohustusi seoses konfidentsiaalsusega, isikuandmetega tutvumise õigusi ja isikuandmete töötlemise ulatust;

b) distsiplinaarmeetmed isikute suhtes, kes pääsevad isikuandmetele loata juurde;

c) juurdepääs isikuandmetele võimaldatakse teadmisvajaduse alusel ainult selleks volitatud isikutele;

d) pidama süsteemiadministraatorite nimekirja ja võtma asjakohaseid meetmeid süsteemiadministraatorite jälgimiseks;

e) mitte kopeerida ega reprodutseerida isikuandmeid üheski salvestussüsteemis, et võimaldada volitamata isikutel andmete koostaja teavet eemaldada;

f) andmete kontrollitud ja dokumenteeritud kustutamine või hävitamine;

g) säilitada turvaliselt kõiki isikuandmeid, mida tuleb säilitada õiguslikel või regulatiivsetel põhjustel (nt andmete säilitamise kohustus) ja ainult nii kaua, kui seadus seda nõuab.

1.6 Käigukasti juhtimine

Selleks et vältida isikuandmete lugemist, kopeerimist, muutmist või kustutamist volitamata kolmandate isikute poolt andmesalvestusseadmete edastamise või transportimise ajal (olenevalt teostatud isikuandmete töötlemisest), tuleb kasutusele võtta järgmised meetmed:

1. a) tulemüüride kasutamine;

b) vältides isikuandmete salvestamist mobiilsetele salvestusseadmetele transpordi eesmärgil või seadmete krüpteerimist;
c) kasutada sülearvutites ja muudes mobiilseadmetes alles pärast krüpteerimiskaitse aktiveerimist;

d) isikuandmete edastamise logimine.

1.7 Andmesisestuse kontroll

Selleks, et oleks võimalik kontrollida ja kindlaks teha, kas isikuandmed on andmetöötlussüsteemidesse sisestatud või neist kustutatud ja kes neid on, tuleb kasutusele võtta järgmised meetmed:

1. a) salvestatud andmete lugemise, muutmise ja kustutamise lubamise poliitika;

b) kaitsemeetmed salvestatud andmete lugemise, muutmise ja kustutamise kohta.

1.8 Töökontroll

Isikuandmete delegeeritud töötlemise korral tuleb rakendada järgmisi meetmeid tagamaks, et neid andmeid töödeldakse vastavalt järelevalve teostaja juhistele:

1. a) andmetöötluseks määratud üksused või allüksused, kes on hoolikalt valitud (vastutava töötleja nimel isikuandmeid töötlevad teenusepakkujad);

b) juhised isikuandmete töötlemise ulatuse kohta andmetöötlusega tegelevatele töötajatele, üksustele või allüksustele;

c) andmetöötluseks määratud üksuste või allüksustega kokkulepitud auditeerimisõigused;

d) lepingud, mis on sõlmitud andmete töötlemiseks määratud üksuste või allüksustega.

1.9 Eraldamine muudel eesmärkidel töötlemisest

Selleks et muul eesmärgil kogutud andmeid saaks eraldi töödelda, tuleb võtta järgmised meetmed:

1. a) eraldi juurdepääs isikuandmetele vastavalt kasutaja olemasolevatele õigustele;

b) liidesed, paketttöötlus ja aruandlus on muudel eesmärkidel ja funktsioonidel, et muul eesmärgil kogutud andmeid saaks eraldi töödelda.

1.10 Pseudonüümiseerimine

Isikuandmete pseudonümiseerimiseks tuleb võtta järgmised meetmed:

1. a) Kui andmeeksportija tellib konkreetse töötlemistoimingu või kui andmeimportija peab seda teatud töötlemistoiminguid käsitlevate kehtivate andmekaitseseaduste kohaselt asjakohaseks, siis töödeldakse isikuandmeid nii, et andmeid ei saa enam konkreetsele isikule omistada ilma täiendavat teavet kasutamata. Seda lisateavet säilitatakse eraldi;

b) pseudonüümiseerimise tehnikate kasutamine, sealhulgas jaotusnimekirjade randomiseerimine; väärtuste loomine teravate näol.

1.11 Krüpteerimine

Isikuandmete krüptimiseks krüptimist toetavates rakendustes ja edastustes tuleks võtta järgmised toimingud.

1. a) krüpteerimistehnikate kasutamine;

b) krüpteerimishalduse loomine, et toetada kasutamiseks lubatud krüpteerimistehnikaid;

c) krüptograafia kasutamise toetamine krüptograafiliste võtmete genereerimise, muutmise, tühistamise, hävitamise, levitamise, sertifitseerimise, salvestamise, hõivamise, kasutamise ja arhiveerimise protseduuride ja protokollide kaudu, et kaitsta neid volitamata muutmise ja avalikustamise eest.

1.12 Andmetöötlussüsteemide ja -teenuste täielikkus

Andmetöötlussüsteemide ja -teenuste täielikkuse tagamiseks tuleb võtta järgmised meetmed:

a) andmetöötlussüsteemide kaitsmine manipuleerimise või hävitamise eest asjakohaste vahenditega (nt viirusetõrjetarkvara, andmekao vältimise tarkvara ja tarkvara pahavara vastu, tarkvarapaigad, tulemüürid ja hallatud töölauakaitse);

b) keelata andmetöötlussüsteeme, teenuseid kahjustava teenuse või tarkvara installimine või isikuandmetega manipuleerimine;

c) võrgu sissetungi tuvastamise ja ennetamise süsteemi kasutamine võrgu enda struktuuris.

1.13 Andmetöötlussüsteemide ja -teenuste kättesaadavus ning isikuandmetele juurdepääsu ja nende kasutamise taastamise võimalus materiaalse või tehnilise intsidendi korral

Selleks et tagada andmetöötlussüsteemide kättesaadavus, samuti oleks võimalik kiiresti taastada isikuandmete kättesaadavus ja juurdepääs materiaalse või tehnilise intsidendi korral, tuleb kasutusele võtta järgmised meetmed (eelkõige tagades isikuandmed on kaitstud juhusliku hävimise või kaotsimineku eest):

a) omama vahendeid varukoopiate säilitamiseks ja kadunud või kustutatud andmete taastamiseks;

b) infrastruktuuri koondamise ja jõudluse testimine;

c) arvutiressursside füüsiline kaitse;

d) vahendite kasutamine sisevõrgu oleku ja saadavuse jälgimiseks;

e) intsidentidest teatamise ja neile reageerimise eeskirjad, mis reguleerivad intsidentide haldamise protseduuri, ning nendest põhimõtetest kinnipidamise kordamine osana tavakoolitusest;

f) varukoopiad (mõnikord väljaspool asukohta), et taastada süsteem, et see saaks uuesti oma funktsioone täita;

g) talitluspidevuse/katastroofi taastamise kavad

1.14 Andmetöötlussüsteemide ja -teenuste vastupidavus

Andmetöötlussüsteemide ja -teenuste vastupidavuse tagamiseks tuleb võtta järgmised meetmed:

a) süsteemid ja konfigureeritud harmooniliselt, kasutades heakskiidetud turvaparameetreid;

b) võrgu koondamine;

c) kriitiliste süsteemide isolatsioonikaitse.

1.15 Andmetöötluse turvalisuse tagamise tehniliste ja organisatsiooniliste meetmete regulaarse testimise, hindamise ja tõhususe hindamise kord

Andmetöötluse kaitse tehniliste ja organisatsiooniliste meetmete regulaarse testimise, hindamise ja tõhususe hindamise kord.

a) võtma vajalikud meetmed riskide ja maandamise strateegiate hindamiseks;

b) IT-osakonna teenuseanalüüsi koosolekud jooksvate küsimuste käsitlemiseks;

c) talitluspidevuse/katastroofi taastamise plaane ajakohastatakse regulaarselt.

3. osa

Poolte allkirjad ja andmete importijate nimekiri

Kui täidate veebipõhise tellimisvormi ja kinnitate selle üldiste kasutustingimustega nõustumise kastikesega, sõlmitakse Kliendi ja IQUALIF-i vahelisi suhteid reguleeriv leping.

Makse saatmisel IQUALIF-ile loetakse leping kokkulepituks ja sõlmituks.

Pange tähele: see tekst on tõlgitud prantsuse keelest. Algne prantsuskeelne versioon, mis on kehtiv ja juriidiliselt piirav, on saadaval siin .