נספח עיבוד נתונים

נספח עיבוד נתונים

 

נספח זה מהווה חלק בלתי נפרד מהחוזה ומנוסח על ידי:

 

  1. (i) הלקוח ("מוציא הנתונים")
  2. (ii) IQUALIF ("מייבא הנתונים")

 

כל אחד מהם הינו "צד" ונהוג לכנותם "צדדים".

 

הקדמה

בהינתן שמייבא הנתונים מספק שירותי תוכנה מקצועיים, מחשבים ושירותים קשורים (כגון דפדפנים עם פונקציות חיפוש מתקדמות);

בהתאם לחוזה, מייבא הנתונים הסכים לספק למוציא הנתונים את השירותים המפורטים בחוזה ("השירותים");

בהינתן שבמתן השירותים, מייבא הנתונים מקבל או נהנה מגישה למידע של מוציא הנתונים או של אנשים אחרים שיש להם קשר (פוטנציאלי) עם מוציא הנתונים, מידע זה עשוי להיות מוגדר כנתונים אישיים במשמעות תקנות (EU) 2016/679 של הפרלמנט האירופי ומועצת אירופה מ-27 באפריל 2016 על הגנה על יחידים בכל הנוגע לעיבוד נתונים אישיים ועל תנועת נתונים חופשית ("GDPR") וחוקי הגנת נתונים חלים נוספים.

בהינתן שנספח זה מכיל את התנאים וההגבלות החלים על איסוף, עיבוד ושימוש בנתונים אישיים כאמור על ידי מייבא הנתונים בתפקידו כסוכן עיבוד הנתונים המורשה של מוציא הנתונים, כדי להבטיח שהצדדים יעמדו בחוקי ההגנה על הנתונים החלים.

 

לפיכך, ולצורך המשך קיום הקשר בין הצדדים באופן חוקי, הצדדים הסכימו על נספח זה כדלקמן:

חלק 1

 

1. מבנה ההמסמך והגדרות

1.1 מבנה

נספח זה מורכב מחלקים שונים כדלקמן:

 

חלק 1: 

מכיל הוראות כלליות, למשל בנוגע להגדרות בשימוש בנספח זה, עמידה בחוקי המקום, זמנים, וסיום

 
חלק 2:

מכיל את גוף מסמך ההסכם הסטנדרטי המתוקן

 
נספח 1.1 של חלק 2:

מכיל את פרטי פעולות העיבוד שהוענקו על ידי מייבא הנתונים למוציא הנתונים כסוכן עיבוד הנתונים המורשה (כולל אופי, מטרה וסוג העיבוד, סוג הנתונים האישיים, וקבוצות נושאי הנתונים) לפי נספח זה

 
נספח 2 של חלק 2:

מכיל תיאור של אמצעי הביטחון הטכניים והארגוניים של מייבא הנתונים, המיושמים בכל פעולות העיבוד המתוארות בנספח 1.1 של חלק 2

 
חלק 3:

מכיל את חתימות הצדדים המחויבים בנספח זה ומזהה כל מייבא נתונים

 

 

1.2 מונחים והגדרות

למטרות נספח זה, המונחים וההגדרות בשימוש ב-GDPR חלים (בגוף מסמך ההסכם הסטנדרטי בחלק 2, כאשר מונחים מוגדרים אינם באותיות גדולות). 

 

"מדינה חברה"

משמעותה מדינה השייכת לאיחוד האירופי או לאזור הכלכלי האירופי

 
"קטגוריות מיוחדות של (נתונים אישיים)"

מתייחס לנתונים אישיים המגלים מוצא גזעי או אתני, דעות פוליטיות, אמונות דתיות או פילוסופיות, או חברות בארגוני עובדים, ונתונים גנטיים, ביומטריים, אם מעובדים לצורך זיהוי ייחודי של אדם, נתונים בנוגע לבריאות, נתונים בנוגע לחיי המין או ההעדפה המינית של אדם

 
"הסכם חוזי סטנדרטי"

משמעותו ההסכם החוזי הסטנדרטי להעברת נתונים אישיים של סוכני עיבוד הממוקמים במדינות שלישיות, לפי החלטת הוועדה 2010/87/EU מ-5 בפברואר 2010, שתוקנה על ידי החלטת היישום של הוועדה (EU) 2016/2297 מ-16 בדצמבר 2016

 
"מעבד נתונים"

משמעותו כל סוכן עיבוד, הממוקם בתוך או מחוץ לאיחוד האירופי/האי האירופי, שמסכים לקבל מייבא הנתונים או מכל מעבד אחר של מייבא הנתונים, נתונים אישיים לצורך פעולות עיבוד שיבוצעו על ידי מוציא הנתונים לאחר ההעברה בהתאם להוראותיו, לתנאי נספח זה ולחוזה עם מייבא הנתונים

 

 

 

2. חובות מייבא הנתונים

2.1 מייבא הנתונים מחויב להבטיח עמידה בכל החובות החלות לפי GDPR וכל חוק הגנה על נתונים אחר החלים על מייבא הנתונים ולהציג עמידה זו כנדרש על ידי סעיף 5 (2) של GDPR. מייבא הנתונים מצהיר כי קיבל את הסכמת מוקדמת של נושאי הנתונים בהתאם לסעיף 6 (א) של GDPR וכי קיים את חובתו ליידע את נושאי הנתונים בהתאם לסעיפים 13 ו-14 של GDPR.

2.2 מייבא הנתונים חייב לספק למוציא הנתונים את הקבצים הרלוונטיים של פעולות העיבוד בהתאם לסעיף 30 (1) של GDPR הקשורות לשירותים לפי נספח זה, במידת הצורך כדי לאפשר למוציא הנתונים לעמוד בחובתו לפי סעיף 30 (2) של GDPR.

2.3 מייבא הנתונים חייב למנות אחראי על הגנת נתונים או נציג, ככל שנדרש על פי חוקי ההגנה על נתונים החלים. מייבא הנתונים מחויב לספק את פרטי הקשר של סוכן או נציג הגנת הנתונים, אם יש כזה.

2.4 מייבא הנתונים מאשר מראש לסיום העיבוד, בהסכמה לנספח זה, כי אמצעי הביטחון הטכניים והארגוניים של מייבא הנתונים, כפי שמפורטים בנספח 2 לחלק 2, הינם מתאימים ומספקים כדי להגן על זכויות נושא הנתונים ומאשר שמייבא הנתונים מספק אמצעי הגנה מספקים בעניין זה.

 

3. עמידה בחוק המקומי

כדי לעמוד בדרישות יישום סוכני העיבוד לפי סעיף 28 של GDPR, חלים התיקונים הבאים:

 

3.1 הוראות

  1. (i) מייבא הנתונים מורה למייבא הנתונים לעבד נתונים אישיים רק בשם מייבא הנתונים. ההוראות של מייבא הנתונים ניתנות בנספח זה ובחוזה. מייבא הנתונים מחויב להבטיח שכל ההוראות שניתנות למייבא הנתונים תואמות לחוקי ההגנה על נתונים החלים. מייבא הנתונים חייב לעבד נתונים אישיים רק בהתאם להוראות שניתנו על ידי מייבא הנתונים אלא אם כן נדרש אחרת על ידי האיחוד האירופי או חוק מדינה חברה (במקרה זה, סעיף 3.2 (iv) (c) של חלק 1 חלה).
  2. (ii) כל הוראה נוספת החורגת מההוראות בנספח זה או בחוזה תיכלל בנספח זה ובחוזה. אם יישום הוראה נוספת זו כרוך בעלויות למייבא הנתונים, על מייבא הנתונים ליידע את מוציא הנתונים על כך ולספק הסבר לפני יישום ההוראה. רק לאחר שמוציא הנתונים יאשר את ההוצאות, מייבא הנתונים ייישם את ההוראה הנוספת. מוציא הנתונים חייב לתת הוראות נוספות בכתב אלא אם כן דחיפות או נסיבות אחרות מחייבות צורה אחרת (לדוגמה, בעל פה, אלקטרונית). הוראות בצורת אחרת מכתב חייבות להיות מאושרות בכתב וללא דיחוי על ידי מוציא הנתונים.
  3. 1. אלא אם מוציא הנתונים אינו יכול לבצע את התיקון, המחיקה או ההגבלה של הנתונים האישיים בעצמו, ההוראות יכולות גם להתייחס לתיקון, מחיקה ו/או הגבלה של הנתונים האישיים כפי שמפורט בסעיף 3.3 של חלק 1.
  4. 2. מייבא הנתונים חייב ליידע מיד את מוציא הנתונים אם לדעתו הוראה כלשהי מפרה את ה-GDPR או הוראות הגנת נתונים אחרות של האיחוד האירופי או מדינה חברה ("הוראה שנויה במחלוקת"). אם מייבא הנתונים סבור שההוראה מפרה את ה-GDPR או הוראות הגנת נתונים אחרות, הוא אינו מחויב לבצע את ההוראה המורכבת. אם מוציא הנתונים יאשר את ההוראה המורכבת עם קבלת מידע ממייבא הנתונים ויאשר את אחריותו להוראה, מייבא הנתונים ייישם את ההוראה המורכבת, אלא אם ההוראה קשורה ל-(i) יישום אמצעי ביטחון טכניים וארגוניים, (ii) זכויות נושאי הנתונים או (iii) מעורבות של מעבדי נתונים. במקרים אלה, מייבא הנתונים רשאי לפנות לרשות פיקוח רלוונטית כדי להעריך את ההוראה המשפטית על ידי רשות זו. אם הרשות תכריז שההוראה המורכבת חוקית, מייבא הנתונים ייישם אותה. סעיף 3.1 (ii) של חלק 1 יישאר בתוקפו.

 

3.2 חובות מייבא הנתונים

  1. (i) מייבא הנתונים חייב להבטיח כי אנשים המורשים לעבד נתונים אישיים בשמו של מוציא הנתונים, בפרט עובדים של מייבא הנתונים ועובדים של קבלן משנה, התחייבו לשמור על סודיות או כפופים לחובת סודיות חוקית מתאימה, וכי אנשים אלה שיש להם גישה לנתונים אישיים מעבדים אותם בהתאם להוראות מוציא הנתונים.
  2. (ii) מייבא הנתונים חייב ליישם את אמצעי הביטחון הטכניים והארגוניים כפי שמפורטים בנספח 2 לחלק 2 לפני עיבוד הנתונים האישיים בשמו של מוציא הנתונים. מייבא הנתונים רשאי לשנות את אמצעי הביטחון הטכניים והארגוניים מעת לעת אם הם אינם מספקים פחות הגנה מאלה שמפורטים בנספח 2 לחלק 2.
  3. (iii) מייבא הנתונים ימסור למוציא הנתונים, לפי בקשה, מידע המראה עמידה בחובות מייבא הנתונים לפי נספח זה. הצדדים מסכימים כי חובת המידע מתמלאת בהענקת דוח ביקורת (הקובע את אבטחת העקרונות, זמינות המערכת, וסודיות) ("דוח ביקורת"). אם נדרשות פעולות ביקורת נוספות על פי חוק, מוציא הנתונים רשאי לבקש לבדוק על ידי מייבא הנתונים או מבקר אחר שמונה על ידי מוציא הנתונים, בכפוף לחתימת הסכם סודיות סביר עם מייבא הנתונים ("ביקורת"). ביקורת זו מותנית בתנאים הבאים: (i) קבלת אישור בכתב מראש מייבא הנתונים; ו-(ii) מוציא הנתונים יישא בכל העלויות של ביקורת באתר עבור מוציא הנתונים ומייבא הנתונים. מוציא הנתונים ייצור דוח סיכום של תוצאות והערות של ביקורת באתר ("דוח ביקורת באתר"). דוחות ביקורת באתר ודוחות ביקורת הם מידע סודי של מייבא הנתונים ואינם ניתנים לחשיפה לצדדים שלישיים אלא אם כן נדרש על פי חוקי ההגנה על נתונים או בהסכמה של מייבא הנתונים.
  4. (iv) מייבא הנתונים מחויב ליידע את מוציא הנתונים ללא דיחוי מופרז:
    1. a. בנוגע לכל בקשה מחייבת לחשיפת נתונים אישיים על ידי רשות אכיפת חוק, אלא אם כן נאסר אחרת, כגון איסור על פי חוק פלילי לשם שמירת סודיות חקירה משטרתית
    2. b. בנוגע לכל תלונה ובקשה שהתקבלה ישירות מנושא הנתונים (כגון בנוגע לגישה, תיקון, מחיקה, הגבלת עיבוד, העברת נתונים, התנגדות לעיבוד נתונים, החלטה אוטומטית) מבלי להגיב לבקשה זו, אלא אם מייבא הנתונים הוסמך לכך
    3. c. אם חובת עיבוד הנתונים חלה על מייבא הנתונים או על מעבד הנתונים לפי חוקי האיחוד האירופי או מדינה חברה אליה שייך מייבא הנתונים או מעבד הנתונים, לפני ביצוע עיבוד חורג מהוראות מוציא הנתונים, אלא אם כן חוקי האיחוד או המדינה אוסרים על כך מטעמים של עניין ציבורי חיוני, ואז ההודעה למוציא הנתונים תפרט את הדרישה החוקית לפי חוק זה של האיחוד או המדינה; או
    4. d. אם מייבא הנתונים מזהה הפרה של נתונים אישיים, רק בשל עצמו או בשל קבלן משנה שלו, המשפיעה על נתוני הנתונים האישיים של מוציא הנתונים, מייבא הנתונים יסייע למוציא הנתונים בחובתו לפי חוקי ההגנה על נתונים, ליידע את נושאי הנתונים ולפנות לרשויות הפיקוח, על פי סעיף 33 (3) של GDPR, על ידי מתן המידע שבידו.

 

3.3 זכויות של הנוגעים בדבר

  1.  
    1. (i) מוציא הנתונים מנהל ומגיב לבקשות של נושאי הנתונים. מייבא הנתונים אינו מחויב להשיב ישירות לנושאי הנתונים.
    2. (ii) אם מוציא הנתונים דורש את עזרת מייבא הנתונים בעיבוד ובמענה לבקשות נושא הנתונים, מוציא הנתונים ייתן הוראה נוספת בהתאם לסעיף 3.1 (ii) של חלק 1. מייבא הנתונים יסייע למוציא הנתונים באמצעות אמצעים טכניים וארגוניים מתאימים כדי להשיב לבקשות למימוש זכויות נושאי הנתונים המפורטים בפרק III של GDPR, כדלקמן:
    3. a. בנוגע לבקשות למידע, מייבא הנתונים יספק למוציא הנתונים את המידע הנדרש על ידי סעיפים 13 ו-14 של GDPR, אם יש בידו, במידת הצורך, אם לא יוכל למצוא אותו לבד.
    4. b. בנוגע לבקשות לגישה (סעיף 15 של GDPR), מייבא הנתונים יספק למוציא הנתונים את המידע שצריך להימסר לנושא הנתונים לבקשה זו, אם יש בידו, במידת הצורך, אם לא יוכל למצוא אותו לבד.
    5. c. בנוגע לבקשות לתיקון (סעיף 16 של GDPR), מחיקה (סעיף 17 של GDPR), הגבלת עיבוד (סעיף 18 של GDPR), או העברת נתונים (סעיף 20 של GDPR), ורק אם מוציא הנתונים אינו יכול לתקן או למחוק בעצמו, להגביל או להעביר את הנתונים האישיים לצד שלישי אחר, מייבא הנתונים יציע למוציא הנתונים אפשרות לתקן או למחוק, להגביל או להעביר את הנתונים האישיים הרלוונטיים לצד שלישי אחר, ואם זה לא אפשרי, יסייע לתקן או למחוק, להגביל או להעביר את הנתונים לצד השלישי האחר.
    6. d. בנוגע להודעה על תיקון, מחיקה או הגבלת עיבוד (סעיף 19 של GDPR), מייבא הנתונים יסייע למוציא הנתונים על ידי הודעה לכל מקבלי הנתונים האישיים שהועברו על ידי מייבא הנתונים כמעבדים, אם ידרוש זאת מוציא הנתונים, ואם לא יוכל לתקן את המצב לבד.
    7. e. בנוגע לזכות ההתנגדות של נושא הנתונים (סעיפים 21 ו-22 של GDPR), מוציא הנתונים יחליט אם ההתנגדות מוצדקת ואיך לטפל בה.
    8. (iii) חובות הסיוע של מייבא הנתונים מוגבלות לנתונים אישיים המעובדים בתוך תשתיתו (כגון מסדי נתונים, מערכות, יישומים שבבעלותו או המסופקים על ידו).
    9. (iv) מוציא הנתונים יחליט אם נושא הנתונים רשאי לממש את הזכויות של נושאי הנתונים המפורטות בסעיף 3.1 של חלק 1 ויודיע למייבא הנתונים עד כמה הסיוע המפורט בסעיפים 3.3 (ii), (iii) של חלק 1 נחוץ.
    10. (v) אם מוציא הנתונים יבקש אמצעים טכניים וארגוניים נוספים או משופרים כדי לעמוד בזכויות נושאי הנתונים שמעבר לסיוע שניתן על ידי מייבא הנתונים לפי סעיף 3.3 (ii), (iii), מייבא הנתונים יודיע למוציא הנתונים על עלות יישום אמצעים אלה. ברגע שמוציא הנתונים יאשר כי הוא מוכן לשאת בעלות, מייבא הנתונים ייישם אמצעים אלה.
    11. (vi) מבלי להחיל את ההגבלה בסעיף 3.3 (v), מוציא הנתונים יישא בהוצאות סבירות של מייבא הנתונים בתגובה לבקשות נושאי הנתונים.

 

3.4 תת-עיבוד

  1.  
    1. (i) מוציא הנתונים מאשר למייבא הנתונים להשתמש בקבלני משנה לצורך מתן השירותים לפי נספח זה. מייבא הנתונים יבחר את מעבדי הנתונים בזהירות. מייבא הנתונים מאשר את רשימת מעבדי הנתונים בנספח 1.1 בסוף חלק 2.
    2. (ii) מייבא הנתונים יעביר את חובותיו לפי נספח זה למעבדי הנתונים, ככל שהדבר רלוונטי לשירותים המוענקים על ידי קבלני המשנה.
    3. (iii) מייבא הנתונים רשאי לפטר, להחליף או למנות מעבדי נתונים אחרים, ראויים ואמינים, לפי שיקול דעתו. אם נדרש בכתב על ידי מוציא הנתונים, מייבא הנתונים יפעל לפי ההליך הבא:
  2.  
    1. a. מייבא הנתונים יודיע למוציא הנתונים לפני כל שינוי ברשימת מעבדי הנתונים המצוינים בסעיף 3.4 (i) של חלק 1. אם מוציא הנתונים לא יתנגד בתוך שלושים יום מקבלת ההודעה, ייחשבו מעבדי הנתונים הנוספים כמקובלים.
    2. b. אם למוציא הנתונים יש סיבה לגיטימית להתנגד למעבד נתונים נוסף, הוא ייתן הודעה מוקדמת בכתב למייבא הנתונים בתוך שלושים יום מקבלת ההודעה של מייבא הנתונים ולפני שהשירות של מייבא הנתונים ייכנס לפעולה. אם מוציא הנתונים מתנגד לשימוש במעבד נתונים נוסף, מייבא הנתונים יוכל לבטל את ההתנגדות באחת מהאפשרויות הבאות (לפי שיקול דעתו): (A) מייבא הנתונים יבטל את תכניותיו להשתמש במעבד נוסף בנוגע לנתוני הנתונים של מוציא הנתונים; (B) מייבא הנתונים ינקוט את אמצעי התיקון שביקש מוציא הנתונים בהתנגדותו (ביטול ההתנגדות) וישתמש במעבד הנתונים הנוסף בנוגע לנתוני מוציא הנתונים; (C) מייבא הנתונים יפסיק לספק או מוציא הנתונים יסכים שלא להשתמש (זמנית או לצמיתות) באחד מהאספקטים של השירות שיכלול שימוש במעבד הנתונים הנוסף של מוציא הנתונים.
  3.  
    1. (iv) אם מעבד הנתונים ממוקם מחוץ לאיחוד האירופי/האי האירופי במדינה שאינה מוכרת כמציעה רמת הגנה על נתונים מספקת לפי החלטת הוועדה האירופית, מייבא הנתונים ינקוט צעדים כדי להשיג רמת הגנה על נתונים מתאימה לפי GDPR (צעדים אלה עשויים לכלול - בין היתר - שימוש בחוזי עיבוד נתונים על בסיס ההסכמות של האיחוד האירופי, העברת נתונים למעבדי נתונים המאושרים באופן עצמאי במסגרת הגנת הנתונים של ה-EU-US, או תכנית דומה).

 

3.5 תוקף

תוקפו של נספח זה זהה לתאריך תום תוקפו של החוזה המתאים. אלא אם כן נקבע אחרת בנספח זה, הזכויות והחובות הקשורות לסיום יעמדו באותם תנאים כמו בחוזה.

 

4. הגבלת אחריות

4.1 כל צד מטפל בחובותיו לפי נספח זה ובחוקי ההגנה על נתונים החלים.

4.2 אחריות כלשהי הנוגעת להפרת חובות לפי נספח זה או חוקי הגנה על נתונים חלים תוגבל ותהיה כפופה לתנאי האחריות המפורטים בחוזה, אלא אם כן נקבע אחרת בנספח זה. אם האחריות נקבעת לפי התנאים בחוזה, לצורך חישוב גבולות אחריות או קביעת ההגבלות האחרות, כל אחריות הנובעת מנספח זה תיחשב כנגזרת מהחוזה.

 

5. הוראות כלליות

5.1 אם קיימות סתירות או אי התאמות בין חלק 1 לחלק 2 של נספח זה, חלק 2 יגבר. במיוחד, גם במצב כזה, חלק 1 שחרג מחלק 2 (כלומר, תנאי ההסכם הסטנדרטי) מבלי לסתור אותו, יישאר בתוקף.

5.2 אם קיימת אי התאמה בין הוראות נספח זה להוראות חוזים אחרים המחייבים את הצדדים, נספח זה יגבר בנוגע לחובות ההגנה על נתונים של הצדדים. במקרה של ספק אם הוראות בחוזים אחרים עוסקות בחובות ההגנה על נתונים של הצדדים, נספח זה יגבר.

5.3 אם הוראה כלשהי בנספח זה בטלה או לא ניתנת לאכיפה, שאר הנספח יישאר בתוקפו המלא. ההוראה בטלה או לא ניתנת לאכיפה תתוקן כדי להבטיח את תוקפה ואכיפתה, תוך שמירה על כוונת הצדדים ככל שניתן, או - אם זה לא אפשרי - תפורש כאילו חלק זה מעולם לא היה חלק מהחוזה. הוראה זו תוחל גם אם יש היעדרות בנספח זה.

5.5 ככל שיידרש, הצדדים יוכלו לבקש תיקונים לחלק 1, סעיף 3 (עמידה בחוק המקומי) או חלקים אחרים של הנספח כדי לעמוד בהוראות, צווים או פקודות של הרשויות הרלוונטיות של האיחוד או מדינות החברות, הוראות אכיפה לאומיות, או התפתחויות חוקיות אחרות בנוגע ל-GDPR או לתנאי ההסמכה של גופים אחרים המעורבים בעיבוד נתונים, ובפרט בנוגע לשימוש בהסכם החוזי הסטנדרטי ב-GDPR. תנאי ההסכם החוזי הסטנדרטי לא יוכלו להשתנות או להחליף אלא באישור מפורש של הוועדה האירופית (למשל, על ידי תקנות חדשות או תקני הגנה על נתונים).

5.6 כל התייחסות בנספח זה ל"סעיפים" תיחשב כהתייחסות לכל הוראות הנספח אלא אם כן מצוין אחרת.

5.7 בחירת הדין בסעיף 2, סעיף 9 חלה על כל החוזה.

 

6. נתונים אישיים שנשלחים ומעובדים על ידי הצדדים למטרות אישיות (העברה מנותן הנתונים לנותן הנתונים)

6.1 הצדדים מודעים לכך שיינתנו נתונים אישיים מסוימים מייבא הנתונים אל מוציא הנתונים ולהפך, ונתונים אלה מעובדים על ידי כל צד לצרכיו. בנוגע לנתונים אלה, אין בכך כדי להשפיע על ההוראות האחרות של נספח זה (למעט סעיף 6).

6.2 מוציא הנתונים רשאי להעביר נתונים אישיים הנוגעים לעובדי מייבא הנתונים אל מייבא הנתונים, כולל מידע על תקריות אבטחה, או מסמכים וקבצים אחרים שנוצרו או הוקמו על ידי מוציא הנתונים בקשר לשירותים שניתנו על ידי עובדי מייבא הנתונים. מייבא הנתונים רשאי לעבד נתונים אלה לצרכיו, בפרט ביחסים המקצועיים עם עובדי מייבא הנתונים, לצורך בקרת איכות והכשרה, או לצרכים עסקיים.

6.3 מייבא הנתונים רשאי להעביר נתונים אישיים אל מוציא הנתונים, כולל שם ופרטי יצירת קשר של עובדי מייבא הנתונים. מוציא הנתונים רשאי לעבד נתונים אלה לצרכיו.

6.4 שני הצדדים יעמדו בכל חוקי ההגנה על נתונים החלים, כולל GDPR, באיסוף, עיבוד ושימוש בנתונים האישיים שהתקבלו מהצד השני לפי סעיף 1 של חלק 1. בפרט, שני הצדדים ינקוטו באמצעי ביטחון הולמים, שיספקו רמת הגנה דומה לזו שמפורטת בנספח 2 של חלק 2. כל גישה לנתונים האישיים תוגבל לצורך ההכרח בלבד.

6.5 שני הצדדים ימחוק את הנתונים האישיים בהקדם האפשרי לאחר שהושגו המטרות.

חלק 2

 

החלטת הוועדה

ב-5 בפברואר 2010

על הסכמים חוזיים סטנדרטיים להעברת נתונים אישיים לסוכני עיבוד הנתונים הממוקמים במדינות שלישיות לפי ההנחיה 95/46/EC של הפרלמנט האירופי והוועדה

 

 

 

סעיף 1

הגדרות

בהתאם למשמעות הסעיפים:

a) 'נתונים אישיים', 'קטגוריות מיוחדות של נתונים', 'עיבוד', 'מנהל העיבוד', 'מעבד', 'נושא הנתונים' ו"רשות הפיקוח" יהיו באותה משמעות כפי שהן בהנחיה 95/46/EC של הפרלמנט והוועדה מ-24 באוקטובר 1995 על הגנה על יחידים בנוגע לעיבוד נתונים אישיים ועל תנועת נתונים חופשית (1);

b) 'מוציא הנתונים' הוא מנהל הנתונים שמעביר את הנתונים האישיים;

c) 'מייבא הנתונים' הוא מעבד הנתונים שמסכים לקבל מייבא הנתונים נתונים אישיים לצורך עיבוד בשמו של מייבא הנתונים לאחר ההעברה בהתאם להוראותיו ולתנאי הסעיפים הללו, והוא אינו כפוף למנגנון של מדינה שלישית המבטיח הגנה מספקת לפי סעיף 25(1) של ההנחיה 95/46/EC; (d) 'מעבד הנתונים' פירושו מעבד הנתונים שמעסיק מייבא הנתונים או כל מעבד אחר של מייבא הנתונים שמסכים לקבל מייבא הנתונים או כל מעבד אחר של מייבא הנתונים, אך לצורך פעולות עיבוד שיבוצעו בשמו של מייבא הנתונים לאחר ההעברה בהתאם להוראות מייבא הנתונים, בתנאים שמפורטים בסעיפים אלה ובתנאי ההסכם בכתב על עיבוד הנתונים;

e) "חוקי ההגנה על נתונים החלים" פירושו החקיקה המגינה על זכויות היסוד והחירויות של יחידים, כולל הזכות לפרטיות בנוגע לעיבוד נתונים אישיים, החלה על מנהל הנתונים במדינה שבה מוצא הנתונים ממוקם;

f) “אמצעי ביטחון טכניים וארגוניים הקשורים לביטחון” פירושם אמצעים שנועדו להגן על נתונים אישיים מפני השמדה או אובדן מקרי או בלתי חוקי, שינוי, גילוי או גישה בלתי מורשית, בפרט כאשר העיבוד כולל העברת נתונים ברשתות, ומנגד כל צורה בלתי חוקית של עיבוד.

סעיף 2

פרטי ההעברה

פרטי ההעברה, כולל, במידת הצורך, קטגוריות מיוחדות של נתונים אישיים, מפורטים בנספח 1, שהוא חלק בלתי נפרד מסעיפים אלה.

סעיף 3

סעיף תועלת צד שלישי

1. נושא הנתונים רשאי לאכוף נגד מוציא הנתונים את סעיף זה, סעיף 4(ב) עד (י), סעיף 5(א) עד (ה) ו-(ג), סעיף 6 (1) ו-(2), סעיף 7, סעיף 8(2) וסעיפים 9 עד 12 כזכאי צד שלישי

2. נושא הנתונים רשאי לאכוף את סעיף זה, סעיף 5(א) עד (ה) ו-(ג), סעיף 6, סעיף 7, סעיף 8(2) וסעיפים 9 עד 12 נגד מייבא הנתונים כאשר מוציא הנתונים נעלם פיזית או חדל מלהתקיים בחוק, אלא אם כן כל חובותיו החוקיות הועברו, בהסכם או בפעולת חוק, לישות היורשת, שלגביה זכויות וחובות מוציא הנתונים חוזרות, וניתן לאכוף את הסעיפים על ידי נושא הנתונים. נושא הנתונים רשאי לאכוף את סעיף זה, סעיף 5(א) עד (ה) ו-(ג), סעיף 6, סעיף 7, סעיף 8(2) וסעיפים 9 עד 12 נגד מעבד הנתונים, אך רק במקרים בהם מוציא הנתונים ומייבא הנתונים נעלמו פיזית, חדלו מלהתקיים בחוק או הפכו לפירוק, אלא אם כל חובותיו החוקיות של מוציא הנתונים או מייבא הנתונים הועברו, בהסכם או בפעולת חוק, ליורש החוקי, שלגביו זכויות וחובות מוציא הנתונים או מייבא הנתונים מוקנים, וניתן לאכוף את הסעיפים על ידי נושא הנתונים. אחריותו של מעבד הנתונים מוגבלת לפעילות העיבוד שלו לפי סעיפים אלה.

4. הצדדים אינם מתנגדים לכך שנושא הנתונים ייוצג על ידי אגודה או גוף אחר אם הוא מעוניין בכך ואם החוק הלאומי מאפשר זאת.

סעיף 4

חובות מוציא הנתונים

מוציא הנתונים מקבל ומתחייב ל:

a) שהעיבוד, כולל ההעברה בפועל של הנתונים האישיים, נעשה וימשיך להיעשות בהתאם להוראות חוקי ההגנה על נתונים החלים (ובמקרה הרלוונטי, הועבר לידיעת הרשויות הרלוונטיות של מדינה שבה מוצא הנתונים), ואינו מפר את הוראות המדינה הרלוונטית;

b) שהנחו את, וימשיכו להנחות, את מייבא הנתונים לעבד את הנתונים האישיים שהועברו בשמו בלבד ולפי חוקי ההגנה על נתונים החלים ותקנות אלה;

c) שמייבא הנתונים יספק אמצעי הגנה מספקים בנוגע לאמצעי הביטחון הטכניים והארגוניים המפורטים בנספח 2 לחוזה זה;

d) שהאמצעים הביטחוניים הם מתאימים ומספקים כדי להגן על נתונים אישיים מפני השמדה או אובדן מקרי או בלתי חוקי, שינוי, גילוי או גישה בלתי מורשית, בפרט כאשר העיבוד כולל העברת נתונים ברשת, ומנגד כל צורה בלתי חוקית של עיבוד, תוך שמירה על רמת אבטחה הולמת לסיכונים שמייצג העיבוד ולסוג הנתונים, תוך התחשבות בטכנולוגיה ובעלות היישום;

e) שיקפיד על עמידה באמצעי הביטחון;

f) אם ההעברה קשורה לקטגוריות מיוחדות של נתונים, שהנושא ידע או יידע לפני ההעברה כי נתוניו עשויים להיות מועברים למדינה שלישית שאינה מציעה רמת הגנה מספקת לפי ההנחיה 95/46/EC;

g) שישלח כל הודעה שהתקבלה מ מייבא הנתונים או מכל מעבד נתונים לפי סעיפים 5(ב) ו-8(ג) לרשות הפיקוח על הגנת נתונים אם יחליט להמשיך בהעברה או לשחרר את ההשהיה;

h) ימסור לנושאי הנתונים, לפי בקשה, עותק מנספח זה, פרט לנספח 2, ותיאור סיכום של אמצעי הביטחון, וכל הסכם תת-עיבוד נוסף שנחתם לפי סעיפים אלה, אלא אם כן הנספח או ההסכם מכילים מידע מסחרי, ואז הוא רשאי להסיר מידע כזה;

i) במקרה של תת-עיבוד, שהפעילות נעשית בהתאם לסעיף 11 על ידי מעבד נתונים שמספק לפחות את אותו רמת הגנה על נתונים אישיים וזכויות נושא הנתונים כמו מייבא הנתונים לפי סעיפים אלה; ו-

j) שיוודא עמידה בסעיף 4 (א) עד (י).

סעיף 5

חובות מייבא הנתונים

מייבא הנתונים מקבל ומתחייב ל:

a) לעבד את הנתונים האישיים רק בשם מוציא הנתונים ולפי הוראותיו ולפי סעיפים אלה; אם אינו יכול לעמוד בכך מכל סיבה שהיא, יידע את מוציא הנתונים על כך בהקדם האפשרי, ובמקרה זה מוציא הנתונים רשאי להשהות את ההעברה או לסיים את ההסכם;

b) שאין לו סיבה להאמין שהחוק החלים עליו מונע ממנו למלא את ההוראות שניתנו על ידי מוציא הנתונים והחובות החלות עליו לפי ההסכם, ואם חוק כזה משתנה ויכול להשפיע באופן מהותי על ההבטחות והחובות לפי הסעיפים, עליו ליידע את מוציא הנתונים על השינוי מיד לאחר שמצא אותו, ובמקרה זה מוציא הנתונים רשאי להשהות את ההעברה או לסיים את ההסכם; (ג) ייישם את אמצעי הביטחון הטכניים והארגוניים המפורטים בנספח 2 לפני עיבוד הנתונים האישיים שהועברו;

d) ייידע את מוציא הנתונים מיד:

i) כל בקשה מחייבת לחשיפת נתונים אישיים מרשות אכיפת חוק, אלא אם כן נאסר אחרת, כגון איסור על פי חוק פלילי לשם שמירת סודיות חקירה משטרתית;

ii) כל גישה מקרית או בלתי מורשית; ו-

iii) כל בקשה שהתקבלה ישירות מנושא הנתונים מבלי להשיב לה, אלא אם כן הוסמך לכך; מנהלים

e) יטפל במהירות ובכבוד בכל פנייה מ מוציא הנתונים בנוגע לעיבוד הנתונים האישיים המועברים ויפעל לפי דעת הרשות הפיקוח בנוגע לעיבוד הנתונים שהועברו;

f) לפי בקשת מוציא הנתונים, יבחן את מתקני עיבוד הנתונים שלו לביקורת על פעולות העיבוד המפורטות בסעיפים אלה, שתיערך על ידי מוציא הנתונים או גוף פיקוח המורכב מחברים עצמאיים בעלי הכשרה מקצועית נדרשת, בכפוף להתחייבות לשמירת סודיות ובחירת מ ידי מוציא הנתונים, ככל שיידרש, באישור הרשות הפיקוח;

g) ימסור לנושא הנתונים, אם יבקש זאת, עותק מנספח זה, או כל תת-הסכם אחר של חוזה תת-עיבוד, אלא אם כן הנספח או ההסכם מכילים מידע מסחרי, ואז הוא רשאי להסיר מידע כזה, פרט לנספח 2, שיחליף תיאור סיכום של אמצעי הביטחון, ומבלי שהנושא יוכל לקבל עותק מ מוציא הנתונים;

h) במקרה של תת-עיבוד סודי של עיבוד הנתונים, יבטיח כי יידע את מוציא הנתונים מראש ויקבל את הסכמתו בכתב;

i) שירותי העיבוד שמספק מעבד הנתונים יעמדו בתנאי סעיף 11; ו-

j) ישלח במהירות עותק מכל תת-הסכם של חוזה תת-עיבוד שנחתם על ידו לפי סעיפים אלה ל מוציא הנתונים.

סעיף 6

אחריות

1. הצדדים מסכימים כי כל נושא נתונים שנפגע עקב הפרה של חובות המפורטות בסעיף 3 או 11 על ידי צד אחד או על ידי מעבד נתונים שלו, יוכל לקבל פיצוי מהמוציא הנתונים על הנזק שנגרם.

2. אם נושא הנתונים נמנע מלהגיש תביעה לפיצויים לפי פסקה 1 נגד מוציא הנתונים בשל כישלון של מייבא הנתונים או מעבד הנתונים שלו לעמוד באחת מחובותיו לפי סעיף 3 או 11 כי מוציא הנתונים נעלם פיזית, חדל מלהתקיים בחוק או הפך לפירוק, מייבא הנתונים מסכים כי נושא הנתונים יוכל להגיש תלונה נגדו כאילו היה מוציא הנתונים, אלא אם כן כל חובותיו החוקיות של מוציא הנתונים הועברו, בהסכם או בפעולת חוק, לישות היורשת, שלגביה זכויות וחובות מוציא הנתונים חוזרות, וניתן לאכוף את הסעיפים על ידי נושא הנתונים. מייבא הנתונים לא יוכל להסתמך על הפרת חובות על ידי מעבד הנתונים כדי להימנע מאחריותו.

3. אם נושא הנתונים נמנע מלהגיש את התביעה לפי פסקאות 1 ו-2 נגד מוציא הנתונים או מייבא הנתונים בשל הפרה של מעבד הנתונים את חובותיו לפי סעיף 3 או 11 כי מוציא הנתונים ומייבא הנתונים נעלמו פיזית, חדלו מלהתקיים בחוק או הפכו לפירוק, מעבד הנתונים יסכים כי נושא הנתונים יוכל להגיש תלונה נגדו בנוגע לפעילות העיבוד שלו לפי סעיפים אלה כאילו היה מוציא הנתונים או מייבא הנתונים, אלא אם כן כל חובותיו החוקיות של מוציא הנתונים או מייבא הנתונים הועברו, בהסכם או בפעולת חוק, ליורש החוקי, שלגביו זכויות וחובות מוציא הנתונים או מייבא הנתונים מוקנים, וניתן לאכוף את הסעיפים על ידי נושא הנתונים. אחריותו של מעבד הנתונים מוגבלת לפעילות העיבוד שלו לפי סעיפים אלה.

 

סעיף 7

גישור וסמכות שיפוט

1. מייבא הנתונים מסכים כי אם לפי הסעיפים, נושא הנתונים יזמין אותו לזכות של זכאי צד שלישי ו/או ידרוש פיצוי על הנזק שנגרם, הוא יקבל את ההחלטה של נושא הנתונים:

a) להגיש את הסכסוך לגישור על ידי אדם עצמאי או, במידת הצורך, לרשות הפיקוח;

b) להגיש את הסכסוך לבית המשפט של מדינה חברה שבה מוצא הנתונים ממוקם.

2. הצדדים מסכימים כי הבחירה של נושא הנתונים לא תשפיע על הזכות הפרוצדורלית או המהותית של נושא הנתונים לקבל סעד בהתאם להוראות חוקיות אחרות של חוק לאומי או בינלאומי.

סעיף 8

שיתוף פעולה עם רשויות הפיקוח

1. מוציא הנתונים מסכים להפקיד עותק מהחוזה הנוכחי ברשות הפיקוח אם תדרוש זאת או אם חלה חובה על פי חוקי ההגנה על נתונים החלים;

2. הצדדים מסכימים כי רשות הפיקוח תוכל לבצע בדיקות במייבא הנתונים ובכל מעבד נתונים, באותן תנאים ובאותה מידה כמו בדיקות שנערכו במוציא הנתונים, בהתאם לחוקי ההגנה על נתונים החלים;

3. מייבא הנתונים יודיע למוציא הנתונים בהקדם האפשרי על קיומו של חקיקה הנוגעת למייבא הנתונים או לכל מעבד נתונים שמונעת את הבדיקה במייבא הנתונים או במעבדי הנתונים, בהתאם לסעיף 2. במצב כזה, מוציא הנתונים יוכל לנקוט את הצעדים המפורטים בסעיף 5 (ב).

סעיף 9

חוק חלים

הסעיפים חלים ומנוהלים על פי חוק מדינה שבה מוצא הנתונים ממוקם.

סעיף 10

שינוי החוזה

הצדדים מתחייבים לא לשנות את הסעיפים האלה. הם רשאים לכלול סעיפים מסחריים אחרים שהם רואים לנכון, כל עוד הם אינם סותרים את הסעיפים האלה.

סעיף 11

תת-עיבוד מאוחר

1. מייבא הנתונים לא יעסוק בתת-עיבוד של פעולותיו לפי סעיפים אלה ללא הסכמה בכתב מראש של מוציא הנתונים. מייבא הנתונים יעסוק רק בחובותיו לפי סעיפים אלה באמצעות הסכם בכתב עם מעבדי הנתונים, שיחייב את מעבדי הנתונים באותן חובות כמו אלה שמוטלות על מייבא הנתונים. אם מעבד הנתונים לא יוכל לעמוד בחובותיו לפי ההסכם בכתב, מייבא הנתונים יישאר אחראי מלא כלפי מוציא הנתונים לביצוע החובות.

2. ההסכם בכתב מראש בין מייבא הנתונים למעבדי הנתונים יכלול גם סעיף זכאי צד שלישי כפי שמפורט בסעיף 3, במקרים שבהם נושא הנתונים נמנע מלתבוע פיצויים לפי סעיף 6 (1), נגד מוציא הנתונים או מייבא הנתונים כי מוציא הנתונים או מייבא הנתונים נעלמו פיזית, חדלו מלהתקיים בחוק או הפכו לפירוק, וכל חובותיו החוקיות של מוציא הנתונים או מייבא הנתונים לא הועברו, בהסכם או בפעולת חוק, ליורש החוקי, שלגביו זכויות וחובות מוציא הנתונים או מייבא הנתונים מוקנים, וניתן לאכוף את הסעיפים על ידי נושא הנתונים. אחריותו של מעבד הנתונים מוגבלת לפעילות העיבוד שלו לפי סעיפים אלה.

3. ההוראות הנוגעות להיבטי ההגנה על נתונים של תת-העיבוד של חוזה זה, המוזכר בסעיף 1, ינוהלו על פי חוק המדינה שבה מוצא הנתונים ממוקם.

4. מוציא הנתונים ינהל רשימה של הסכמי תת-עיבוד הנתונים שנחתמו לפי סעיפים אלה והודעו על ידי מייבא הנתונים לפי סעיף 5 (j), שתתעדכן לפחות פעם בשנה. רשימה זו תועבר לרשות הפיקוח על הגנת הנתונים של מוציא הנתונים.

סעיף 12

חובה לאחר סיום שירותי עיבוד הנתונים האישיים

1. הצדדים מסכימים כי עם סיום שירותי העיבוד, מייבא הנתונים ומעבד הנתונים ימסרו לפי נוחות מוציא הנתונים את כל הנתונים האישיים שהועברו ואת עותקיהם, או ימחו את כל הנתונים הללו וימסרו הוכחה על המחיקה, אלא אם כן חוק חוסם על מייבא הנתונים להחזיק או למחוק את כל או חלק מהנתונים שהועברו. במצב כזה, מייבא הנתונים יבטיח לשמור על סודיות הנתונים האישיים שהועברו ולא ימשיך לעבד את הנתונים בפעילות פעילה.

2. מייבא הנתונים ומעבד הנתונים יבטיחו כי, אם יידרש על ידי מוציא הנתונים ו/או רשות הפיקוח, יבדקו את אמצעי עיבוד הנתונים שלהם כדי לאמת את אמצעי הפעולה שהוזכרו בפסקה 1.