נספח עיבוד נתונים

 

נספח זה מהווה חלק בלתי נפרד מהחוזה והוא נכרת על ידי:

 

  1. (i) הלקוח (" ייצואן נתונים ")
  2. (ii) IQUALIF (" יבואן נתונים ")

 

כל אחד מהם הוא " מפלגה " ובדרך כלל " מפלגות ".

 

הַקדָמָה

היכן ייבוא ​​הנתונים מספק שירותי תוכנה מקצועיים, מחשבים ושירותים נלווים (כגון דפדפנים עם פונקציות חיפוש מתקדמות);

היכן בהתאם לחוזה, יבואן הנתונים הסכים לספק ליצואן הנתונים את השירותים המפורטים בחוזה (" השירותים ");

כאשר, על ידי אספקת השירותים, ייבוא ​​הנתונים מקבל או נהנה מגישה למידע של יצואן הנתונים או למידע של אנשים אחרים שיש להם קשר (פוטנציאלי) עם יצואן הנתונים, מידע כזה עשוי להיות מוגדר כנתונים אישיים במשמעות הרגולציה. (EU) 2016/679 של הפרלמנט האירופי ושל המועצה מה-27 באפריל 2016 על הגנה על יחידים בנוגע לעיבוד נתונים אישיים ועל תנועה חופשית של נתונים כאלה (" GDPR ") וחוקי הגנת מידע רלוונטיים אחרים.

היכן נספח זה מכיל את התנאים וההגבלות החלים על איסוף, עיבוד ושימוש בנתונים אישיים אלה על ידי יבואן הנתונים בתפקידו כסוכן עיבוד הנתונים המורשה של יצואן הנתונים, כדי להבטיח שהצדדים מצייתים לחוק הגנת המידע החל. .

 

לפיכך, וכדי לאפשר לצדדים להמשיך את מערכת היחסים ביניהם כדין, סיכמו הצדדים את נספח זה כדלקמן:

חלק 1

 

1. מבנה המסמך והגדרות

1.1 מבנה

נספח זה כולל חלקים שונים כדלקמן:

 

חלק 1: 

מכיל הוראות כלליות, למשל בנוגע להגדרות המשמשות בנספח זה, עמידה בחוקים המקומיים, עיתוי וסיום

 

חלק 2:

מכיל את גוף מסמך הסעיפים החוזיים הסטנדרטיים ללא שינוי

 

נספח 1.1 של חלק 2:

מכיל את פרטי פעולות העיבוד שסופק על ידי יבואן הנתונים ליצואן הנתונים כסוכן עיבוד הנתונים המורשה (לרבות העיבוד, אופי ומטרת העיבוד, סוג הנתונים האישיים והקטגוריות של נושאי המידע) לפי זה נִספָּח

 

נספח 2 של חלק 2:

מכיל תיאור של אמצעי האבטחה הטכניים והארגוניים של יבואן הנתונים, המיושמים בקשר לכל פעולות העיבוד המתוארות בנספח 1.1 של חלק 2

 

חלק 3:

מכיל את החתימות של הצדדים שיחולו בנספח זה ומזהה כל יבואן נתונים

 

 

1.2 טרמינולוגיה והגדרות

למטרות נספח זה, המינוח וההגדרות המשמשים את ה-GDPR ישימים (בגוף המסמך של סעיף החוזה הסטנדרטי בחלק 2, כאשר מונחים מוגדרים אינם באותיות רישיות). 

 

"מדינה חברה"

פירושו מדינה השייכת לאיחוד האירופי או לאזור הכלכלי האירופי

 

"קטגוריות מיוחדות של נתונים (אישיים)"

הכוונה לנתונים אישיים החושפים מוצא גזעי או אתני, דעות פוליטיות, אמונות דתיות או פילוסופיות, או חברות באיגוד מקצועי, ונתונים גנטיים, נתונים ביומטריים, אם מעובדים לצורך זיהוי ייחודי של אדם, נתונים הנוגעים לבריאות, נתונים הנוגעים למין של אדם. חיים או נטייה מינית

 

"סעיפים חוזיים סטנדרטיים"

פירושו הסעיפים החוזיים האחידים להעברת נתונים אישיים של סוכני עיבוד שהוקמה במדינות שלישיות, במסגרת החלטת הנציבות 2010/87/EU ב-5 בפברואר 2010, שתוקנה על ידי החלטת היישום של הנציבות (EU) 2016/2297 ב-16 ב-16 בספטמבר. דצמבר 2016

 

"מעבד נתונים".

פירושו כל סוכן עיבוד, הממוקם בתוך או מחוץ לאיחוד האירופי/EEA, אשר מסכים לקבל מייבוא ​​הנתונים או מכל מעבד אחר של יבואן הנתונים, נתונים אישיים למטרות בלעדיות של עיבוד פעילויות שיבוצעו על ידי יצואן הנתונים לאחר העברה בהתאם להוראות יצואן הנתונים, תנאי נספח זה וההתקשרות עם ייבוא ​​הנתונים

 

 

 

2. חובות יצואן הנתונים

2.1 ליצואן הנתונים יש חובה להבטיח עמידה בכל החובות החלות על פי ה-GDPR וכל חוק הגנת מידע רלוונטי אחר החל על יצואן הנתונים ולהראות ציות כאמור כנדרש בסעיף 5 (2) ל-GDPR. יצואן הנתונים מתחייב כי יבואן הנתונים השיג את הסכמתם המוקדמת של נושאי הנתונים בהתאם לסעיף 6(א) ל-GDPR ומילא את חובתו ליידע את נושאי הנתונים בהתאם לסעיפים 13 ו-14 ל-GDPR.

2.2 על יצואן הנתונים לספק ליבואן הנתונים את הקבצים המתאימים של פעילויות העיבוד בהתאם לסעיף 30 (1) ל-GDPR הקשור לשירותים לפי נספח זה, במידה הדרושה לייבוא ​​הנתונים כדי לעמוד בהתחייבות לפי סעיף 30 (2) ל-GDPR.

2.3 על יצואן הנתונים למנות קצין או נציג הגנת מידע במידה הנדרשת על פי חוק הגנת המידע החל. יצואן הנתונים מחויב למסור את פרטי ההתקשרות של סוכן או נציג הגנת המידע, אם קיים, לייבוא ​​הנתונים.

2.4. יצואן הנתונים מאשר טרם השלמת העיבוד, בקבלת נספח זה, כי אמצעי האבטחה הטכניים והארגוניים של יבואן הנתונים, כמפורט בנספח 2 לחלק 2, מתאימים ומספיקים להגנה על זכויות נשוא המידע. ומאשר כי יבואן הנתונים מספק אמצעי הגנה מספקים בהקשר זה.

 

3. עמידה בחוק המקומי

על מנת לעמוד בדרישות היישום של סוכני העיבוד בהתאם לסעיף 28 של ה-GDPR, התיקונים הבאים חלים:

 

3.1 הוראות

  1. (i) יצואן הנתונים מורה לייבוא ​​הנתונים לעבד נתונים אישיים רק מטעם יצואן הנתונים. הנחיות יצואן הנתונים מסופקות בנספח זה ובחוזה. על יצואן הנתונים מוטלת החובה להבטיח שכל ההנחיות ניתנו לייבוא ​​הנתונים עומדות בחוקי הגנת המידע החלים. יבואן הנתונים חייב לעבד נתונים אישיים רק בהתאם להנחיות שסופקו על ידי יצואן הנתונים, אלא אם כן נדרש אחרת על ידי האיחוד האירופי או החוק של המדינה החברית (במקרה האחרון, חלק 1 סעיף 3.2 (iv) (ג) חל) .
  2. (ii) כל הוראות אחרות החורגות מההנחיות בנספח זה או בחוזה חייבות להיכלל בנושא נספח זה והחוזה. אם יישום הוראה נוספת זו כרוך בעלויות עבור ייבוא ​​הנתונים, ייבוא ​​הנתונים יודיע ליצואן הנתונים על עלויות אלו ויספק הסבר לפני יישום ההוראה. רק לאחר שיצואן הנתונים אישר קבלת עלויות אלו ליישום ההוראה, יבצע יבואן הנתונים הוראה נוספת זו. יצואן הנתונים חייב לתת הנחיות נוספות בכתב, אלא אם כן דחיפות או נסיבות ספציפיות אחרות מחייבות טופס אחר (למשל בעל פה, אלקטרוני). הנחיות בצורה שאינה בכתב חייבות להיות מאושרות בכתב וללא דיחוי על ידי יצואן הנתונים.
  3. 1. אלא אם יצואן הנתונים אינו יכול לבצע את התיקון, המחיקה או ההגבלה של נתונים אישיים בעצמו, ההנחיות עשויות להתייחס גם לתיקון, מחיקה ו/או הגבלה של נתונים אישיים כמפורט בחלק 1 סעיף 3.3.
  4. 2. יבואן הנתונים חייב להודיע ​​מיידית ליצואן הנתונים אם, לדעתו, הוראה מפרה את ה-GDPR או הוראות הגנת מידע חלות אחרות של האיחוד האירופי או מדינה חברה (" הוראה במחלוקת "אם רשות הפיקוח תכריז על ההוראה המערערת כחוקית, ייבוא ​​יבואן הנתונים יישם את ההוראה המערערת. חלק 1 סעיף 3.1 (ii) יישאר תקף.

 

3.2 חובות יבואן הנתונים

  1. (ט) על יבואן הנתונים לוודא שאנשים המורשים על ידי יבואן הנתונים לעבד נתונים אישיים מטעם יצואן הנתונים, בפרט עובדי יבואן הנתונים ועובדי כל קבלן משנה, התחייבו לשמור על סודיות או כפופים לכך. חובת סודיות חוקתית מתאימה, וכי אנשים כאלה שיש להם גישה לנתונים אישיים יעבדו אותם בהתאם להנחיות של יצואן הנתונים.
  2. (ii) על יבואן הנתונים ליישם את אמצעי האבטחה הטכניים והארגוניים כמפורט בנספח 2 לחלק 2 לפני עיבוד הנתונים האישיים מטעם יצואן הנתונים. יבואן הנתונים רשאי לשנות מעת לעת את אמצעי האבטחה הטכניים והארגוניים אם אינם מספקים הגנה פחותה מאלה המפורטים בנספח 2 לחלק ב'.
  3. (iii) יבואן הנתונים יעמיד לרשות יצואן הנתונים, לפי בקשת יצואן הנתונים, מידע כדי להראות עמידה בהתחייבויותיו של יבואן הנתונים לפי נספח זה. הצדדים מסכימים כי חובת מידע זו מתקיימת על ידי מתן דוח ביקורת (המכסה אבטחת עקרונות, זמינות מערכת וסודיות) ליצואן הנתונים ("דוח ביקורת"). אם נדרשות פעולות ביקורת נוספות על פי חוק, יצואן הנתונים רשאי לבקש שיבוצעו בדיקות על ידי יצואן הנתונים או מבקר אחר שמונה על ידי יצואן הנתונים, בכפוף לביצוע על ידי המבקר הסכם סודיות עם ייבוא ​​הנתונים ליבואן הנתונים. שביעות רצון סבירה ("ביקורת"). ביקורת זו כפופה לתנאים הבאים: (i) הסכמה רשמית מראש ובכתב של יבואן הנתונים; וכן (ii) יצואן הנתונים ישא בכל העלויות הקשורות לביקורת באתר עבור יצואן הנתונים וייבוא ​​הנתונים. על יצואן הנתונים ליצור דוח ביקורת המסכם את התוצאות והתצפיות של הביקורת באתר ("דוח ביקורת באתר"). דוחות הביקורת באתר, ודוחות הביקורת, הם מידע סודי של יבואן הנתונים ואין לחשוף אותם לצדדים שלישיים אלא אם כן נדרש על פי חוק הגנת המידע החל או בהתאם להסכמת יבואן הנתונים.
  4. (iv) על יבואן הנתונים חלה חובה להודיע ​​ליצואן הנתונים ללא דיחוי:
    1. א. לגבי כל בקשה משפטית מחייבת לחשיפת נתונים אישיים על ידי רשות אכיפת חוק, אלא אם כן אסור אחרת, כגון איסור לפי החוק הפלילי כדי להגן על סודיות חקירת אכיפת החוק
    2. ב. לגבי כל תלונה ובקשה שהתקבלו ישירות מנושאי המידע (למשל לגבי גישה, תיקון, מחיקה, הגבלת עיבוד, ניידות נתונים, התנגדות לעיבוד נתונים, קבלת החלטות אוטומטית) מבלי להגיב לבקשה זו, אלא אם כן יבואן הנתונים הוסמך לכך עשה כך
    3. ג. אם יבואן הנתונים או מעבד הנתונים מחויבים, על פי חוק האיחוד האירופי או של המדינה החברית אליה כפופים יבואן הנתונים או מעבד הנתונים, לעבד את הנתונים האישיים מעבר להוראות יצואן הנתונים, לפני ביצוע עיבוד זה מעבר ל. ההנחיות, אלא אם חוקי האיחוד האירופי או של המדינה החברות אוסרים עיבוד כזה מטעמים של אינטרס ציבורי חיוני, ובמקרה זה ההודעה ליצואן הנתונים תפרט את הדרישה המשפטית לפי אותו חוק של האיחוד האירופי או של המדינה החברית; אוֹ
    4. ד. אם יגלה יבואן הנתונים הפרה של נתונים אישיים, אך ורק בגלל עצמו או קבלן המשנה שלו, אשר תשפיע על הנתונים האישיים של יצואן הנתונים המכוסים בחוזה הנוכחי, ובמקרה זה יסייע יבואן הנתונים ליצואן הנתונים בהתחייבותו, מול חוק הגנת המידע החל, ליידע את נושאי הנתונים, ובמקרה רלוונטי, את רשויות הפיקוח על ידי מסירת המידע העומד לרשותה, בהתאם לסעיף 33 (3) ל-GDPR.
    5. (v) לבקשת יצואן הנתונים, ייאלץ יבואן הנתונים לסייע ליצואן הנתונים בהתחייבותו לבצע הערכת השפעה על הגנת נתונים אשר עשויה להידרש על פי סעיף 35 ל-GDPR וכן התייעצות מוקדמת שעלולה להיות הנדרש על פי סעיף 36 ל-GDPR בנוגע לשירותים שמספקים ייבוא ​​הנתונים ליצואן הנתונים לפי נספח זה, תוך מתן המידע הדרוש והמידע ליצואן הנתונים. יבואן הנתונים יהיה מחויב להעניק סיוע כאמור רק אם יצואן הנתונים אינו יכול לעמוד בהתחייבותו באמצעים אחרים. יבואן הנתונים יודיע ליצואן הנתונים לגבי עלות הסיוע כאמור. ברגע שיצואן הנתונים אישר כי הוא יכול לשאת בעלות זו, ייבוא ​​הנתונים יספק ליצואן הנתונים עזרה זו.
    6. (vi) בתום מתן השירותים, יצואן הנתונים רשאי לבקש החזרת הנתונים האישיים שעובדו על ידי יבואן הנתונים לפי נספח זה תוך חודש לאחר השירותים. אלא אם כן החקיקה של המדינה החברית או של האיחוד האירופי מחייבת את יבואן הנתונים לאחסן או לשמור נתונים אישיים כאלה, יבואן הנתונים ימחק את כל הנתונים האישיים או הלא אישיים הללו לאחר התקופה של חודש, בין אם הם הוחזרו ל יצואן הנתונים לפי בקשתו או לא.

 

3.3 זכויות הנוגעים בדבר

  1.  
    1. (i) יצואן הנתונים מנהל ומשיב לבקשות של נושאי מידע. יבואן הנתונים אינו מחויב להגיב ישירות לנושאי הנתונים.
    2. (ii) אם יצואן הנתונים יזדקק לסיוע של יבואן הנתונים בעיבוד ובמתן מענה לבקשותיו של נושא הנתונים, יצואן הנתונים ייתן הוראה נוספת בהתאם לסעיף 3.1 (ii) של חלק 1. ייבוא ​​הנתונים יסייע ליצואן הנתונים. עם האמצעים הארגוניים המתאימים והטכניים הבאים כדי להגיב לבקשות למימוש הזכויות של נושאי מידע המפורטים בפרק III של ה-GDPR כדלקמן:
    3. א. לגבי בקשות למידע, ייבוא ​​הנתונים ימסור ליצואן הנתונים רק את המידע הנדרש לפי סעיפים 13 ו-14 ל-PGRD שעשוי לעמוד לרשותו אם יצואן הנתונים לא יוכל למצוא אותו בעצמו.
    4. ב. לגבי בקשות גישה (סעיף 15 ל-GDPR), יבואן הנתונים ימסור ליצואן הנתונים רק את המידע שאמור להינתן לנושא המידע עבור בקשת הגישה האמורה, שעשוי לעמוד לרשותו אם האחרון לא יכול למצוא אותו לבד.
    5. ג. לגבי בקשות לתיקון (סעיף 16 ל-GDPR), בקשות למחיקה (סעיף 17 ל-GDPR), הגבלת בקשות לעיבוד (סעיף 18 ל-GDPR), או בקשות לניוד (סעיף 20 ל-GDPR), ורק אם יצואן הנתונים אינו יכול בעצמו לתקן או למחוק, להגביל או להעביר את הנתונים האישיים לצד שלישי אחר, יבואן הנתונים יציע ליצואן הנתונים את האפשרות לתקן או למחוק, להגביל או להעביר את הנתונים האישיים הנוגעים לצד השלישי האחר. או אם הדבר אינו אפשרי, היא תספק את הסיוע לתקן או למחוק, להגביל או להעביר לצד השלישי האחר את הנתונים האישיים הנוגעים בדבר.
    6. ד. לגבי ההודעה המתייחסת לתיקון, מחיקה או הגבלת עיבוד (סעיף 19 ל-GDPR), ייבוא ​​הנתונים יסייע ליצואן הנתונים על ידי הודעה לכל מקבלי הנתונים האישיים המועסקים על ידי יבואן הנתונים כמעבדים אם יצואן הנתונים יבקש זאת. אם יצואן הנתונים אינו יכול לתקן את המצב בעצמו.
    7. ה. לגבי זכות ההתנגדות המופעלת על ידי נושא המידע (סעיפים 21 ו-22 ל-GDPR) יצואן הנתונים יקבע האם ההתנגדות לגיטימית וכיצד לטפל בה.
    8. (iii) חובות הסיוע של יבואן הנתונים מוגבלות לנתונים אישיים המעובדים בתוך התשתית שלו (כגון מאגרי מידע, מערכות, אפליקציות בבעלות יבואן הנתונים או מסופקים בו).
    9. (iv) יצואן הנתונים יקבע אם נושא הנתונים רשאי לממש את זכויותיהם של נושאי המידע המפורטות בסעיף 3.1 לחלק 1 זה ויודיע לייבוא ​​הנתונים באיזו מידה הסיוע המפורט בסעיפים 3.3 (ii), ( iii) של חלק 1 הכרחי.
    10. (v) אם יצואן הנתונים יבקש אמצעים טכניים וארגוניים נוספים או משתנים כדי לעמוד בזכויותיהם של נושאי המידע החורגים מהסיוע שניתן על ידי ייבוא ​​הנתונים לפי סעיף משנה 3.3 (ii), (iii) של חלק 1, הנתונים היבואן יודיע ליצואן הנתונים על העלויות של יישום אמצעים טכניים וארגוניים נוספים או משתנים כאמור. ברגע שיצואן הנתונים אישר כי הוא יכול לעמוד בעלויות אלו, ייבוא ​​הנתונים יישם אמצעים טכניים וארגוניים נוספים או משתנים כאמור כדי לסייע ליצואן הנתונים במתן מענה לבקשות הנבדקים.
    11. (vi) מבלי להגביל את היקפו של סעיף 3.3 (v) בחלק 1, יצואן הנתונים יהיה מחויב להחזיר לייבוא ​​הנתונים את הוצאותיו הסבירות שנגרמו לו במתן מענה לבקשות הנבדקים.

 

3.4 עיבוד משנה

  1.  
    1. (ט) יצואן הנתונים מאשר את השימוש של יבואן הנתונים בקבלני משנה לצורך מתן שירותים לפי נספח זה. יבואן הנתונים יבחר את מעבדי הנתונים הללו בקפידה. יצואן הנתונים מאשר את מעבדי הנתונים המפורטים בנספח 1.1 בסוף חלק 2.
    2. (ii) יבואן הנתונים יעביר את התחייבויותיו לפי נספח זה למעבד(ים) הנתונים ככל שיחול על שירותי קבלני משנה.
    3. (iii) יבואן הנתונים רשאי לפטר, להחליף או למנות מעבד(ים) נתונים מתאים ואמין אחר לפי שיקול דעתו. אם ביקש זאת בכתב על ידי יצואן הנתונים, על יבואן הנתונים לבצע את ההליך המפורט להלן:
  2.  
    1. א. ייבוא ​​הנתונים יודיע ליצואן הנתונים לפני כל שינוי ברשימת מעבדי הנתונים הנזכרים בסעיף 3.4 (i) בחלק 1. אם יצואן הנתונים אינו מתנגד לפי סעיף 3.4. (ב) של חלק 1 שלושים יום לאחר קבלת הודעה מיבואן הנתונים, יראו את מעבדי הנתונים הנוספים כמקובלים.
    2. ב. אם ליצואן הנתונים יש סיבה לגיטימית להתנגד למעבד נתונים נוסף, הוא ימסור הודעה מוקדמת בכתב לייבוא ​​הנתונים תוך שלושים יום מיום קבלת הודעת יבואן הנתונים ולפני הפעלת השירות של ייבוא ​​הנתונים. אם יצואן הנתונים מתנגד לשימוש במעבד נתונים נוסף, ייבוא ​​הנתונים רשאי למחוק את ההתנגדות באחת מהאפשרויות הבאות (הנבחרות לפי שיקול דעתו): (א) ייבוא ​​הנתונים יבטל את תוכניותיו להשתמש במעבד נוסף לגבי הנתונים האישיים של יצואן הנתונים; (ב) יבואן הנתונים ינקוט באמצעי התיקון שביקש יצואן הנתונים בהתנגדותו (ביטול ההתנגדות) וישתמש במעבד הנוסף בנוגע לנתונים האישיים של יצואן הנתונים;
  3.  
    1. (iv) אם מעבד הנתונים מבוסס מחוץ לאיחוד האירופי-EEA במדינה שאינה מוכרת כמציעה רמה נאותה של הגנת מידע בעקבות החלטה של ​​הנציבות האירופית, יבואן הנתונים ינקוט את האמצעים כדי לעמוד ברמה נאותה של הגנת מידע בהתאם ל-GDPR (אמצעים כאלה עשויים לכלול - בין היתר ו- שימוש בחוזי עיבוד נתונים המבוססים על הסעיפים של מודל האיחוד האירופי, העברה למעבדי נתונים בעלי אישור עצמי במסגרת מגן ההגנה של האיחוד האירופי-ארה"ב , או תוכנית דומה).

 

3.5 תפוגה

תפוגה של נספח זה זהה לתאריך התפוגה של החוזה המקביל. אלא אם נקבע אחרת בנספח זה, הזכויות והחובות הקשורות לסיום יהיו זהות לאלו הכלולות בחוזה.

 

4. הגבלת אחריות

4.1 כל צד מטפל בהתחייבויותיו על פי נספח זה וחקיקת הגנת המידע החלה.

4.2 כל אחריות הנוגעת להפרה של ההתחייבויות על פי נספח זה או חקיקת הגנת מידע החלה תהיה כפופה ותחול עליהן הוראות האחריות המפורטות או החלות על החוזה, אלא אם נקבע אחרת בנספח זה. אם האחריות נשלטת על ידי הוראות האחריות המפורטות או החלות על החוזה, לחישוב מגבלות אחריות או קביעת החלת מגבלות אחריות אחרות, כל אחריות הנובעת על פי נספח זה תיחשב כנובעת על פי החוזה.

 

5. הוראות כלליות

5.1 אם יש אי-התאמות או אי-התאמות בין חלקים 1 ו-2 של נספח זה, חלק 2 יגבר. ספציפית, גם במקרה כזה, חלק 1 שפשוט חורג מחלק 2 (כלומר תנאי סעיפי התקן) מבלי לסתור אותו יישאר בתוקף.

5.2 אם תיווצר אי התאמה כלשהי בין הוראות נספח זה לאלו של חוזים אחרים המחייבים את הצדדים, נספח זה יגבר לגבי חובות הצדדים להגנת מידע. במקרה של ספק אם סעיפים בחוזים אחרים נוגעים לחובות של הצדדים להגנת מידע, נספח זה יגבר.

5.3 אם הוראה כלשהי בנספח זה אינה חוקית או בלתי ניתנת לאכיפה, שאר הנספח יישאר בתוקף ובתוקף. ההוראה הפסולה או הבלתי ניתנת לאכיפה תתוקן (i) על מנת להבטיח את תוקפו ואכיפה, תוך שמירה ככל האפשר על כוונת הצדדים, או - אם הדבר אינו אפשרי - (ii) תתפרש כאילו היה לחלק הפסול או הבלתי ניתן לאכיפה. מעולם לא היה חלק מהחוזה. האמור לעיל יחול גם אם יש מחדל בנספח זה.

5.5 במידת הצורך, הצדדים רשאים לבקש תיקונים לחלק 1, סעיף 3 (עמידה בחוק המקומי) או לחלקים אחרים של הנספח על מנת לציית לפרשנויות, הנחיות או צווים שהוצאו על ידי הרשויות המוסמכות של האיגוד או מדינות חברות, הוראות אכיפה לאומיות, או כל התפתחויות משפטיות אחרות הנוגעות ל-GDPR או תנאים אחרים של האצלה לגופים המעורבים בעיבוד נתונים ובמיוחד לגבי השימוש בסעיפים החוזים הסטנדרטיים ב-GDPR. אין לשנות או להחליף את תנאי הסעיפים החוזיים הסטנדרטיים, אלא אם הנציבות האירופית מאשרת זאת במפורש (למשל על ידי סעיפים הולמים חדשים ותקני הגנה על נתונים).

5.6 כל התייחסות בנספח זה ל"סעיפים" תובן כמתייחסת לכל הוראות נספח זה אלא אם צוין אחרת.

5.7 ברירת הדין בחלק 2, סעיף 9 חלה על כל החוזה.

 

6. נתונים אישיים המועברים ומעובדים על ידי הצדדים למטרות אישיות (העברה מבוקר הנתונים לבקר הנתונים)

6.1 הצדדים יודעים היטב כי נתונים אישיים מסוימים יועברו מיצואן הנתונים לייבוא ​​הנתונים ולהיפך, וכי נתונים אלו מעובדים על ידי כל צד למטרותיו. לגבי נתונים אישיים כאלה, אין זה משפיע על שאר ההוראות של נספח זה (למעט סעיף 6 זה).

6.2 יצואן הנתונים רשאי להעביר ליבואן הנתונים נתונים אישיים הנוגעים לצוות יבואן הנתונים, לרבות מידע על אירועי אבטחה, או כל מסמך או קובץ אחר שנוצר או הוקם על ידי יצואן הנתונים בקשר לשירותים הניתנים על ידי צוות החברה. יבואן הנתונים. יבואן הנתונים רשאי לעבד נתונים אישיים כאמור למטרותיו, בפרט ביחסיו המקצועיים עם אנשי יבואן הנתונים, לצורך בקרת איכות והדרכה, או למטרות עסקיות.

6.3. יבואן הנתונים רשאי להעביר מידע אישי ליצואן הנתונים, לרבות השם ופרטי ההתקשרות של אנשי יבואן הנתונים. יצואן הנתונים רשאי לעבד נתונים אישיים אלה למטרותיו.

6.4 שני הצדדים יצייתו לכל חוקי הגנת המידע החלים, לרבות ה-GDPR, באיסוף, עיבוד ושימוש בנתונים אישיים כאלה שהתקבלו מהצד השני במסגרת סעיף 1 של חלק 1. בפרט, שני הצדדים ינקטו אמצעי אבטחה נאותים, בתנאי רמת הגנה דומה לאמצעי האבטחה המפורטים בנספח 2 של חלק 2. כל גישה לנתונים אישיים כאמור תוגבל לצורך לדעת אותם.

6.5 שני הצדדים חייבים למחוק נתונים אישיים כאלה בהקדם האפשרי לאחר השגת היעדים.

חלק 2

 

החלטת הועדה

ב-5 בפברואר 2010

על סעיפים חוזיים סטנדרטיים להעברת נתונים אישיים למעבדי נתונים הממוקמים במדינות צד שלישי לפי הוראת 95/46/EC של הפרלמנט האירופי והמועצה

 

 

 

סעיף 1

הגדרות

כמשמעות הסעיפים:

א) ל'נתונים אישיים', 'קטגוריות מיוחדות של נתונים', 'עיבוד/עיבוד', 'בקר', 'מעבד', 'נושא מידע' ו'רשות ​​מפקחת' תהיה אותה משמעות כמו ב-95/46/EC הוראה של הפרלמנט האירופי ושל המועצה מה-24 באוקטובר 1995 בדבר הגנה על יחידים בנוגע לעיבוד נתונים אישיים ועל תנועה חופשית של נתונים כאלה (1);

ב) 'ייצואן הנתונים' הוא בקר הנתונים המעביר את הנתונים האישיים;

ג) 'יבואן הנתונים' הוא מעבד הנתונים אשר מסכים לקבל מיצואן הנתונים נתונים אישיים המיועדים לעיבוד מטעם יצואן הנתונים לאחר ההעברה בהתאם להוראותיו ולפי תנאי סעיפים אלה ושאיננו בכפוף למנגנון של מדינה שלישית המבטיח הגנה נאותה במשמעות של סעיף 25(1) של הוראה 95/46/EC; (ד) 'מעבד נתונים' פירושו מעבד הנתונים המועסק על ידי יבואן הנתונים או על ידי כל מעבד נתונים אחר של יבואן הנתונים אשר מסכים לקבל מייבוא ​​הנתונים או מכל מעבד נתונים אחר של יבואן הנתונים נתונים אישיים אך ורק לצורך עיבוד פעילויות ל להתבצע מטעם יצואן הנתונים לאחר ההעברה בהתאם להוראות יצואן הנתונים,

ה) "חוק הגנת מידע החל" פירושו החקיקה המגנה על זכויות היסוד וחירויותיהם של יחידים, לרבות הזכות לפרטיות בנוגע לעיבוד נתונים אישיים, והחלה על בקר במדינה החברית שבה מוקם יצואן הנתונים;

ו) "אמצעים טכניים וארגוניים הקשורים לאבטחה" פירושם אמצעים שנועדו להגן על נתונים אישיים מפני השמדה בשוגג או בלתי חוקי או אובדן, שינוי, חשיפה או גישה בלתי מורשית, בפרט כאשר העיבוד כרוך בהעברת נתונים ברשתות, וכנגד כל צורות עיבוד בלתי חוקיות אחרות.

סעיף 2

פרטי ההעברה

פרטי ההעברה, לרבות, במידת הצורך, קטגוריות מיוחדות של נתונים אישיים, מפורטים בנספח 1, המהווה חלק בלתי נפרד מסעיפים אלה.

סעיף 3

סעיף מוטב צד שלישי

1. נושא הנתונים רשאי לאכוף כנגד יצואן הנתונים את סעיף זה, סעיף 4(ב) עד (i), סעיף 5(א) עד (ה) ו-(ז) עד (י), סעיף 6 (1) ו-(2). ), סעיף 7, סעיף 8(2) וסעיפים 9 עד 12 כמוטב צד שלישי

2. נושא הנתונים רשאי לאכוף סעיף זה, סעיף 5 (א) עד (ה) ו-(ז), סעיף 6, סעיף 7, סעיף 8 (2) וסעיפים 9 עד 12 כנגד ייבוא ​​הנתונים כאשר ליצואן הנתונים יש פיזית נעלם או חדל להתקיים על פי דין, אלא אם הועברו כל התחייבויותיו המשפטיות, על פי חוזה או מכוח דין, לגורם היורש, אשר לפיכך חוזרות אליו זכויות וחובותיו של יצואן הנתונים, וכנגדו הנתונים. לפיכך הנושא יכול לאכוף את הסעיפים האמורים.

נושא הנתונים רשאי לאכוף סעיף זה, סעיף 5 (א) עד (ה) ו-(ז), סעיף 6, סעיף 7, סעיף 8 (2) וסעיפים 9 עד 12 כנגד מעבד הנתונים, אך רק במקרים בהם הנתונים היצואן וייבוא ​​הנתונים נעלמו פיזית, חדלו להתקיים בחוק או הפכו לחדלות פירעון, אלא אם הועברו כל ההתחייבויות המשפטיות של יצואן הנתונים, בחוזה או מכוח דין, ליורש החוקי, לו הזכויות והזכויות. מחויבויותיו של יצואן הנתונים נתונות אפוא, וכנגדו נושא הנתונים רשאי לאכוף סעיפים כאלה. אחריות כזו של מעבד הנתונים חייבת להיות מוגבלת לפעילויות העיבוד שלו על פי סעיפים אלה.

4. הצדדים אינם מתנגדים לכך שהנושא יוצג על ידי עמותה או גוף אחר אם ירצה בכך ואם החוק הלאומי מאפשר זאת.

סעיף 4

חובות יצואן הנתונים

יצואן הנתונים מקבל ומבטיח את הדברים הבאים:

א) העיבוד, לרבות העברה בפועל של נתונים אישיים, בוצע וימשיך להתבצע בהתאם להוראות הרלוונטיות של חוק הגנת המידע החל (ובמקרה רלוונטי, נמסר לרשויות המוסמכות של המדינה החברית שבו מבוסס יצואן הנתונים) ואינו מפר את ההוראות הרלוונטיות של אותה מדינה;

ב) הם הורו, וידריכו במשך כל תקופת שירותי עיבוד הנתונים האישיים, ליבואן הנתונים לעבד את הנתונים האישיים המועברים בשמו הבלעדי של יצואן הנתונים ובהתאם לחוק הגנת המידע החל וסעיפים אלה;

ג) יבואן הנתונים יספק אמצעי הגנה מספקים לגבי אמצעי האבטחה הטכניים והארגוניים המפורטים בנספח 2 לחוזה זה;

ד) לאחר הערכה של הדרישות של חוק הגנת המידע החל, אמצעי האבטחה מתאימים כדי להגן על נתונים אישיים מפני הרס מקרי או בלתי חוקי או אובדן, שינוי, חשיפה בלתי מורשית או גישה, בפרט כאשר העיבוד כרוך בהעברת נתונים על גבי רשת, וכנגד כל צורות עיבוד בלתי חוקיות אחרות ולהבטיח רמת אבטחה המתאימה לסיכונים שמייצגים העיבוד ולאופי הנתונים שיש להגן עליהם, בהתחשב ברמת הטכנולוגיה ובעלות היישום;

ה) הם יבטיחו עמידה באמצעי האבטחה;

ו) אם ההעברה מתייחסת לקטגוריות מיוחדות של נתונים, נמסר או יודיע לנושא הנתונים לפני ההעברה, או בהקדם האפשרי לאחר ההעברה כי ייתכן שהנתונים שלו יועברו למדינה שלישית שאינה מציעה. רמת הגנה נאותה כמשמעותה של הוראה 95/46/EC;

ז) הם יעבירו כל הודעה שתתקבל מייבוא ​​הנתונים או מכל מעבד נתונים לפי סעיפים 5 (ב) ו-8 (3) לרשות הפיקוח על הגנת הנתונים אם היא תחליט להמשיך להעביר או להסיר את השעייתה;

ח) הם יעמידו לרשות נושאי המידע, אם יבקשו זאת, עותק של סעיפים אלה, למעט נספח 2, ותיאור תמצית של אמצעי האבטחה, והעתק של כל הסכם קבלנות משנה נוסף, שנחתם על פי סעיפים אלה, אלא אם כן סעיפים או ההסכם מכילים מידע מסחרי, ובמקרה זה הוא רשאי למשוך מידע כאמור;

i) במקרה של קבלנות משנה לתהליך עיבוד הנתונים, פעילות העיבוד מבוצעת בהתאם לסעיף 11 על ידי מעבד נתונים המספק לפחות את אותה רמת הגנה על נתונים אישיים וזכויות נושא המידע כמו ייבוא ​​הנתונים לפי סעיפים אלה ; ו

י) היא תבטיח עמידה בסעיף 4 (א) עד (i).

סעיף 5

חובות יבואן הנתונים

יבואן הנתונים מקבל ומבטיח את הדברים הבאים:

א) הם יעבדו את הנתונים האישיים רק מטעם יצואן הנתונים ועל פי הוראות יצואן הנתונים וסעיפים אלה; אם אין באפשרותו לציית מסיבה כלשהי, הם מסכימים להודיע ​​ליצואן הנתונים על חוסר יכולתו בהקדם האפשרי, ובמקרה זה רשאי יצואן הנתונים להשעות את העברת הנתונים ו/או לסיים את החוזה;

ב) אין להם סיבה להאמין שהדין החל עליהם מונע ממנו למלא את ההוראות שנתן יצואן הנתונים ואת ההתחייבויות המוטלות עליו על פי החוזה, ואם דין זה נתון לשינוי שעלול להשפיע לרעה מהותית. השפעה על האחריות וההתחייבויות לפי הסעיפים, יודיע ליצואן הנתונים על השינוי ללא דיחוי לאחר שנודע לו, ובמקרה זה רשאי יצואן הנתונים להשעות את העברת הנתונים ו/או לסיים את ההתקשרות; (ג) הם יישמו את אמצעי האבטחה הטכניים והארגוניים המפורטים בנספח 2 לפני עיבוד הנתונים האישיים שהועברו;

ד) הם יודיעו ליצואן הנתונים ללא דיחוי:

ט) כל בקשה מחייבת לגילוי נתונים אישיים מרשות אכיפת חוק, אלא אם צוין אחרת, כגון איסור פלילי שמטרתו לשמור על סודיות חקירה משטרתית;

ii) כל גישה מקרית או בלתי מורשית; ו

iii) כל בקשה שהתקבלה ישירות מהאנשים הנוגעים בדבר מבלי להשיב לה אלא אם כן הוסמך לכך; מנהלים

ה) הם יטפלו באופן מיידי וראוי בכל פנייה של יצואן הנתונים בנוגע לעיבודו בנתונים האישיים המועברים ויפעלו על פי חוות דעת הרשות המפקחת לגבי עיבוד הנתונים המועברים;

ו) לבקשת יצואן הנתונים, הם יכפיפו את מתקני עיבוד הנתונים שלו לביקורת של פעולות העיבוד המכוסות בסעיפים אלה שתבוצע על ידי יצואן הנתונים או גוף מפקח המורכב מחברים עצמאיים בעלי הכישורים המקצועיים הנדרשים. בכפוף לחובת סודיות ונבחר על ידי יצואן הנתונים, במידת הצורך בהסכמת רשות הפיקוח;

ז) הם יעמידו לרשות נשוא המידע, אם יבקש זאת, עותק של סעיפים אלה, או כל קבלני משנה קיים של חוזה עיבוד הנתונים, אלא אם הסעיפים או החוזה מכילים מידע מסחרי, ובמקרה זה הוא רשאי להסיר אותו. מידע, למעט נספח 2, אשר יוחלף בתיאור מסכם של אמצעי האבטחה, כאשר נושא המידע אינו יכול לקבל עותק מיצואן הנתונים;

ח) במקרה של קבלנות משנה סודית נוספת בעיבוד הנתונים, ידאג ליידע את יצואן הנתונים מראש ולקבל את הסכמת יצואן הנתונים בכתב;

i) שירותי העיבוד הניתנים על ידי מעבד הנתונים יתאימו לסעיף 11;

י) הם ישלחו מיידית עותק של כל קבלנות משנה של הסכם עיבוד הנתונים שנחתם על ידה במסגרת סעיפים אלה ליצואן הנתונים.

סעיף 6

אַחֲרָיוּת

1. הצדדים מסכימים כי כל נושא מידע שנגרם לו נזק עקב הפרת ההתחייבויות האמורות בסעיף 3 או סעיף 11 על ידי צד אחד או על ידי מעבד נתונים רשאי לקבל פיצוי מיצואן הנתונים עבור הנזק שנגרם.

2. אם נשוא המידע נמנע מלהגיש תביעה לפיצויים כאמור בסעיף 1 נגד יצואן הנתונים בשל אי עמידה של יבואן הנתונים או מעבד הנתונים שלו בכל אחת מהתחייבויותיו לפי סעיף 3 או סעיף 11, משום שהנתונים היצואן נעלם פיזית, חדל להתקיים על פי חוק או הפך לחדל פירעון, יבואן הנתונים מסכים כי נשוא המידע רשאי להגיש נגדו תלונה כאילו היה יצואן הנתונים אלא אם הועברו כל ההתחייבויות המשפטיות של יצואן הנתונים, בחוזה או מכוח חוק, לישות היורשת שלה, אשר אז יכול נושא המידע לאכוף את זכויותיו. יבואן הנתונים אינו רשאי להסתמך על הפרת התחייבויותיו על ידי מעבד נתונים כדי להימנע מאחריותו שלו.

3. אם נשוא המידע נמנע מלהגיש את התביעה האמורה בסעיפים 1 ו-2 נגד יצואן הנתונים או יבואן הנתונים בגין הפרת מעבד הנתונים של התחייבויותיו לפי סעיף 3 או סעיף 11, משום שיצואן הנתונים וייבוא ​​הנתונים. נעלמו פיזית, חדלו להתקיים בחוק או הפכו לחדלות פירעון, מעבד הנתונים מסכים כי נשוא המידע רשאי להגיש נגדו תלונה בנוגע לפעילות העיבוד שלו בהתאם לסעיפים אלה כאילו היה יצואן הנתונים או יבואן הנתונים, אלא אם כן כל חובותיו המשפטיות של יצואן הנתונים או יבואן הנתונים הועברו, על פי חוזה או על פי דין, ליורש המשפטי, אשר נגדו יוכל נושא הנתונים לטעון את זכויותיו.אחריותו של מעבד הנתונים חייבת להיות מוגבלת לפעילויות העיבוד שלו בהתאם לסעיפים אלה.

 

סעיף 7

גישור וסמכות שיפוט

1. יבואן הנתונים מסכים כי אם על פי הסעיפים, נושא המידע יפעיל כלפיו את זכותו של מוטב הצד השלישי ו/או ידרוש פיצוי בגין הפגיעות הקדומות שנגרמו לו, הוא יקבל את החלטת נושא המידע:

א) להגיש את הסכסוך לגישור על ידי אדם עצמאי או, לפי הצורך, רשות הפיקוח;

ב) להביא את המחלוקת בפני בתי המשפט של המדינה החברית שבה יושב יצואן הנתונים.

2. הצדדים מסכימים כי הבחירה שנעשה על ידי נושא המידע לא תשפיע על זכותו הפרוצדורלית או המהותית של נשוא המידע לקבל תיקון בהתאם להוראות אחרות של המשפט הלאומי או הבינלאומי.

סעיף 8

שיתוף פעולה עם רשויות הפיקוח

1. יצואן הנתונים מסכים להפקיד עותק של החוזה הנוכחי אצל רשות הפיקוח אם זו תדרוש זאת או אם הפקדה כזו נקבעת בחוק הגנת המידע החל.

2. הצדדים מסכימים כי רשות הפיקוח רשאית לבצע בדיקות אצל יבואן הנתונים ובכל מעבד נתונים באותה מידה ובאותם תנאים כמו בבדיקות המתבצעות ביצואן הנתונים בהתאם לחוק הגנת המידע החל.

3. יבואן הנתונים יודיע ליצואן הנתונים בהקדם האפשרי על קיומה של חקיקה הנוגעת ליבואן הנתונים או כל מעבד מידע המונע אימות אצל יבואן הנתונים או בכל מעבד נתונים בהתאם לסעיף 2. במקרה כזה, יצואן נתונים רשאי לנקוט באמצעים המפורטים בסעיף 5 (ב).

סעיף 9

החוק החל

הסעיפים חלים והם כפופים לחוק של המדינה החברית שבה יושב יצואן הנתונים.

סעיף 10

שינוי החוזה

הצדדים מתחייבים שלא לשנות את הסעיפים הנוכחיים. הצדדים נותרים חופשיים לכלול סעיפים מסחריים אחרים הנראים להם נחוצים, ובלבד שאינם סותרים את הסעיפים הנוכחיים.

סעיף 11

קבלנות משנה לאחר מכן

1. יבואן הנתונים לא יקבל בקבלנות משנה אף אחת מפעולות העיבוד שלו המבוצעות מטעם יצואן הנתונים לפי סעיפים אלה ללא הסכמה מראש ובכתב של יצואן הנתונים. יבואן הנתונים יקבל בקבלנות משנה את התחייבויותיו לפי סעיפים אלה, בהסכמת יצואן הנתונים, באמצעות הסכם בכתב עם מעבד הנתונים המטיל על מעבד הנתונים את אותן החובות המוטלות על יבואן הנתונים לפי סעיפים אלה. אם מעבד הנתונים אינו יכול לעמוד בהתחייבויותיו להגנת המידע על פי אותו הסכם כתוב, ייבא הנתונים יישאר באחריות מלאה כלפי יצואן הנתונים למילוי התחייבויות אלו.

2. ההסכם המוקדם בכתב בין יבואן הנתונים למעבד הנתונים יכלול גם סעיף מוטב צד ג' כמפורט בסעיף 3 למקרים בהם נשוא המידע מנוע מלהגיש את תביעת הנזק האמורה בסעיף 6 (1). ), נגד יצואן הנתונים או יבואן הנתונים משום שיצואן הנתונים או יבואן הנתונים נעלמו פיזית, חדלו להתקיים על פי חוק או הפכו לחדלות פירעון וכל ההתחייבויות המשפטיות של יצואן הנתונים או יבואן הנתונים לא הועברו, בחוזה או בפעולה. בחוק, לגורם ממשיך אחר. אחריות מעבד הנתונים חייבת להיות מוגבלת לפעילויות העיבוד שלו בהתאם לסעיפים אלה.

3. ההוראות המתייחסות להיבטי הגנת הנתונים של קבלנות משנה לעיבוד הנתונים של החוזה הנזכר בסעיף 1, יהיו כפופים לחוק של המדינה החברית שבה פועל יצואן הנתונים.

4. יצואן הנתונים ישמור רשימה של קבלני המשנה של הסכמי עיבוד הנתונים שנכרתו על פי סעיפים אלה ועל כך יודיעו על ידי יבואן הנתונים בהתאם לסעיף 5(י), אשר תעודכן לפחות אחת לשנה. רשימה זו תוגש לרשות הפיקוח על הגנת הנתונים של יצואן הנתונים.

סעיף 12

חובה לאחר הפסקת שירותי עיבוד נתונים אישיים

1. הצדדים מסכימים כי עם השלמת שירותי עיבוד הנתונים, ייבוא ​​הנתונים ומעבד הנתונים יחזירו ליצואן הנתונים את כל הנתונים האישיים שהועברו והעתקים שלהם, בנוחות של יצואן הנתונים, או ישמידו את כל הנתונים הללו ויספקו הוכחות. ההשמדה ליצואן הנתונים, אלא אם כן חקיקה שהוטלה על יבואן הנתונים מונעת ממנו להחזיר או להשמיד את כל הנתונים האישיים שהועברו או חלקם. במקרה זה, יבואן הנתונים מבטיח כי יבטיח את סודיות הנתונים האישיים המועברים וכי לא יעבד את הנתונים באופן אקטיבי.

2. יבואן הנתונים ומעבד הנתונים יבטיחו כי אם יבקשו זאת יצואן הנתונים ו/או הרשות המפקחת, יעמידו את אמצעי עיבוד הנתונים שלהם לאימות האמצעים האמורים בסעיף 1.

 

 

 

 

נספח 1.1 לחלק 2

פרטי ההעברה

 

 

ייצואן נתונים

יצואן הנתונים הוא הלקוח המוגדר בהסכם החוזי.

 

יבואן נתונים

יבואן הנתונים הוא IQUALIF והוא מופקד לעבד את הנתונים, לספק שירותים ליצואן הנתונים.

 

נושאי הנתונים

הנתונים האישיים המועברים נוגעים לקטגוריות הבאות של נושאי מידע:

מנויי טלפון הרשומים בספרייה האוניברסלית

˜ אחרים, כולל:

 

קטגוריות של נתונים

הנתונים האישיים המועברים נוגעים לקטגוריות הנתונים הבאות:

 

קטגוריות של נתונים אישיים של נושאי הנתונים של יצואן הנתונים בפרט,

˜' השם המלא

˜' כתובת דואר

˜' פרטי התקשרות (מייל, טלפון, כתובת IP וכו')

˜' פירוט הפעילות השיווקית הנוגעת למנוי הטלפון

"אחרים, כולל סוג הדיור, ההכנסה והגילאים הממוצעים על ידי העיר שנעשו בעילום שם

 

קטגוריות מיוחדות של נתונים (אם רלוונטי)

הנתונים האישיים המועברים נוגעים לקטגוריות הנתונים המיוחדות הבאות:

˜' העברת קטגוריות מיוחדות של נתונים לא צפויה

גזע או מוצא אתני

אמונות דתיות או פילוסופיות

˜ חברות באיגוד מקצועי

˜ דעות פוליטיות

˜ מידע גנטי

˜ מידע ביומטרי

˜ מידע על נטייה מינית או חיי מין

˜ נתוני בריאות

 

פעילויות עיבוד

הנתונים האישיים המועברים יהיו כפופים לפעולות העיבוד הבסיסיות הבאות:

 

  •  
    • ¢ מטרת העיבוד

העיבוד המתבצע מטעם יצואן הנתונים מבוסס על הנושאים הבאים, בפרט:

˜' לקיחת אחריות על המוצרים או השירותים המוצעים על ידי יצואן הנתונים

˜' ההצעה של מוצר או שירות שהאדם שנקרא יכול לבקש

הזמנות שנלקחו מהאנשים שנקראו ועיבוד נוסף של הזמנות אלו

לימוד שאלונים וניתוחים

˜' טלמרקטינג

˜ אחרים, כולל:

 

  •  
    • ¢ אופי ומטרת העיבוד

יבואן הנתונים מעבד את הנתונים האישיים של נושאי המידע מטעם יצואן הנתונים, על מנת לספק את השירותים הבאים, ובעיקר:

˜' מכירות ושיווק

"אחרים, כולל עדכון מאגרי מידע של בתי עירייה ומפלגות פוליטיות

 

  •  
    • ¢ מתן שירותים והעסקת נותני שירותים

 

IQUALIF בעיקר משלבת, מרכזת ומספקת שירותים ליצואן הנתונים. השירותים הניתנים על ידי ספק השירות הנ"ל עשויים להיות בנויים (בין היתר לפי העניין) סביב השירותים הנלווים הבאים: (א) אספקת יישומים, כלים, מערכות ותשתיות IT ביחס למרכזי עיבוד הנתונים המשמשים, על מנת לספק ולתמוך בשירותים, לרבות עיבוד הנתונים האישיים של נושאי הנתונים כמתואר לעיל, באמצעות יישומים, כלים ומערכות כאמור, (ii) אספקת תמיכת IT, תחזוקה ושירותים אחרים הקשורים ליישומים, כלים, מערכות כאמור. ותשתית IT, לרבות גישה אפשרית לנתונים אישיים המאוחסנים ביישומים, כלים ומערכות כאלה, וכן (iii) אספקת שירותי הגנת מידע, ניטור הגנה ושירותי תגובה לאירועים, כולל גישה אפשרית לנתונים אישיים בעת מתן שירותי הגנה כאלה. IQUALIF עשויה להעסיק מעבדי נתונים כמפורט להלן כדי לספק את השירותים, לרבות שירותים נלווים.

 

  •  
    • ¢ ספקי שירות חיצוניים של צד שלישי כישויות משנה המוקצות לעיבוד נתונים

 

IQUALIF מעסיקה ספקי שירותים חיצוניים וצדדים שלישיים, שאינם חברות בת של IQUALIF, כדי לתמוך במתן שירותים ליצואן הנתונים. יצואן הנתונים מאשר ספקי שירותים חיצוניים כאלה של צד שלישי כישויות משנה המוקצות לעיבוד נתונים.

 

אם ישות משנה המעורבת בעיבוד נתונים ממוקמת מחוץ לאיחוד האירופי/EEA, במדינה הנחשבת לא בעלת רמה נאותה של הגנת מידע לפי החלטת הנציבות האירופית, ייבוא ​​הנתונים ינקוט בצעדים להשגת רמה נאותה של הגנת מידע בהתאם ל-GDPR ולסעיף 3.4 (iv) של חלק 1.

 

 

נספח 2, חלק 2

אמצעי הגנה טכניים וארגוניים

 

יבואן הנתונים ינקוט באמצעי ההגנה הטכניים והארגוניים הבאים שאושרו על ידי יצואן הנתונים, על מנת להבטיח רמת אבטחה מתאימה לזכויות וחירויות של יחידים, בהתאם לסיכונים. בהערכת רמת ההגנה הנוגעת בדבר, יצואן הנתונים שקל, במיוחד, את הסיכונים הכרוכים בעיבוד, לרבות השמדה, שינוי, חשיפה לא מורשית או גישה לנתונים אישיים שנשלחו, מאוחסנים או מעובדים בשוגג או בלתי חוקי. בהבהרה: אמצעי הגנה טכניים וארגוניים אלו אינם חלים על היישומים, הכלים, המערכות ו/או תשתית ה-IT המסופקים על ידי יצואן הנתונים.

1 אמצעי הגנה טכניים וארגוניים כלליים
1.1 מידע כללי ואסטרטגיות להגנה על נתונים
יש לנקוט את הצעדים הבאים כדי לעקוב אחר אסטרטגיות כלליות להגנה על נתונים ומידע:
  • א) לנקוט באמצעים להערכת אלה שננקטו לגבי הגנה טכנית וארגונית;
  • ב) לספק הדרכה להעלאת המודעות בקרב העובדים;
  • ג) יש תיאור של המערכות הנוגעות בדבר ולהעניק גישה לעובדים;
  • ד) להקים תהליך תיעוד רשמי בכל פעם שמערכות מיושמות או משתנות;
  • ה) תיעוד המבנה הארגוני, תהליכים, אחריות והערכות בהתאמה;
 
1.2 ארגון הגנת מידע
יש לנקוט באמצעים הבאים על מנת לתאם את פעילויות הגנת מידע ומידע:
  • א) אחריות מוגדרת להגנה על מידע ונתונים (למשל באמצעות מדיניות ניהול הגנת הנתונים);
  • ב) המומחיות הדרושה בהגנה על מידע ונתונים שנותרו זמינים;
  • ג) כל העובדים מחויבים להבטיח שהנתונים האישיים יישמרו בסודיות, והם קיבלו מידע על ההשלכות הפוטנציאליות של הפרת התחייבות זו.
 
1.3 בקרת גישה לאזורי עיבוד
יש לנקוט באמצעים הבאים כדי למנוע מאנשים בלתי מורשים לקבל גישה למערכות עיבוד נתונים (בפרט תוכנה וחומרה) כאשר נתונים אישיים מעובדים, מאוחסנים או מועברים:
  • א) להקים אזורים מאובטחים;
  • ב) להגן ולהגביל את הגישה למערכות עיבוד נתונים;
  • ג) לקבוע הרשאות גישה לעובדים ולצדדים שלישיים, לרבות המסמכים המתאימים;
  • ד) כל גישה למרכזי עיבוד נתונים שבהם מאוחסנים נתונים אישיים תירשם.
 
1.4 בקרת גישה למערכות עיבוד נתונים
יש לנקוט באמצעים הבאים על מנת למנוע גישה בלתי מורשית למערכות עיבוד נתונים:
  • א) מדיניות ונהלים של אימות משתמשים;
  • ב) שימוש בסיסמאות בכל מערכות המחשב;
  • ג) גישה מרחוק לרשת מחייבת אימות רב-גורמי וניתנת לאדם הנוגע בדבר בהתאם לאחריותו ובאישור;
  • ד) גישה לפונקציות ספציפיות מבוססת על פונקציות עבודה ו/או תכונות שהוקצו בנפרד לחשבון של משתמש;
  • ה) זכויות גישה הקשורות לנתונים אישיים נבדקות באופן קבוע;
  • ו) רישומים של שינויים בזכויות הגישה נשמרים מעודכנים.
 
1.5 שליטה בגישה לתחומי שימוש מסוימים של מערכות עיבוד נתונים
יש לנקוט באמצעים הבאים כדי להבטיח שאנשים מורשים בעלי זכות שימוש במערכת עיבוד הנתונים יוכלו לגשת רק לנתונים במסגרת אחריותם והרשאות הגישה שלהם, ושלא ניתן לקרוא, להעתיק, לשנות או למחוק נתונים אישיים ללא אישור:
  1.  
    1. א) מדיניות, הנחיות והדרכה של עובדים, באשר לחובות של כל אחד מהם לגבי סודיות, זכויות גישה לנתונים אישיים והיקף העיבוד של נתונים אישיים;
  • ב) אמצעים משמעתיים נגד אנשים שניגשים לנתונים אישיים ללא אישור;
  • ג) גישה לנתונים אישיים תינתן רק לאנשים מורשים, על בסיס צורך לדעת;
  • ד) לנהל רשימה של מנהלי מערכת ולנקוט באמצעים מתאימים לפיקוח על מנהלי מערכת;
  • ה) לא להעתיק או לשכפל נתונים אישיים בכל מערכת אחסון כדי לאפשר לאנשים לא מורשים להסיר את המידע של המקור;
  • ו) מחיקה או השמדה מבוקרת ומתועדת של נתונים;
  • ז) לאחסן בצורה מאובטחת את כל הנתונים האישיים שיש לשמור מסיבות משפטיות או רגולטוריות (למשל חובות לשמירת נתונים), ורק כל עוד נדרש על פי חוק.
 
1.6 בקרת הילוכים
יש לנקוט באמצעים הבאים על מנת למנוע קריאה, העתקה, שינוי או מחיקה של נתונים אישיים על ידי צדדים שלישיים לא מורשים במהלך שידור או העברה של התקני אחסון נתונים (בהתאם לעיבוד הנתונים האישיים שבוצעו):
  1.  
    1. א) שימוש בחומות אש;
  • ב) הימנעות מאחסון נתונים אישיים במכשירי אחסון ניידים למטרות תחבורה, או הצפנת המכשירים;
  • ג) שימוש במחשבים ניידים ובמכשירים ניידים אחרים רק לאחר הפעלת הגנת ההצפנה;
  • ד) רישום של שידורי נתונים אישיים.
 
1.7 בקרת הזנת נתונים
יש לנקוט באמצעים הבאים על מנת להבטיח שניתן לאמת ולקבוע האם הוכנסו או נמחקו נתונים אישיים ממערכות עיבוד הנתונים ועל ידי מי:
  1.  
    1. א) מדיניות לאישור קריאה, שינוי ומחיקה של נתונים מאוחסנים;
  • ב) אמצעי הגנה הנוגעים לקריאה, שינוי ומחיקה של נתונים מאוחסנים.
 
1.8 בקרת עבודה
במקרה של עיבוד מואצל של נתונים אישיים, יש לנקוט באמצעים הבאים על מנת להבטיח עיבוד נתונים כאמור בהתאם להנחיות המפקח:
  1.  
    1. א) ישויות או ישויות משנה שהוקצו לעיבוד נתונים, שנבחרו בקפידה (נותני שירותים המעבדים נתונים אישיים מטעם המבקר);
  • ב) הנחיות הנוגעות להיקף כל עיבוד של נתונים אישיים לעובדים, לגופים או לישויות המשנה שהוקצו לעיבוד הנתונים;
  • ג) זכויות ביקורת המוסכמות עם הגופים או גופי המשנה שהוקצו לעיבוד הנתונים;
  • ד) הסכמים עם הגופים או ישויות המשנה שהוקצו לעבד את הנתונים.
 
1.9 הפרדה מעיבוד למטרות אחרות
יש לנקוט באמצעים הבאים כדי להבטיח שניתן יהיה לעבד בנפרד נתונים שנאספו למטרות אחרות:
  1.  
    1. א) גישה נפרדת לנתונים אישיים בהתאם לזכויות הקיימות של המשתמשים;
  • ב) ממשקים, עיבוד אצווה ודיווח הם למטרות ופונקציות אחרות, כך שניתן לעבד נתונים שנאספים למטרות אחרות בנפרד.
 
1.10 פסאודונימיזציה
יש לנקוט את האמצעים הבאים בנוגע לפסוודונימיזציה של נתונים אישיים:
  1.  
    1. א) אם יצואן הנתונים הזמין פעולת עיבוד ספציפית או אם ימצא הדבר מתאים על ידי יבואן הנתונים בהתאם לחוקי הגנת המידע הקיימים לגבי פעילויות עיבוד מסוימות, עיבוד הנתונים האישיים יתבצע באופן שה לא ניתן עוד לייחס נתונים לאדם ספציפי ללא שימוש במידע נוסף. מידע נוסף זה יישמר בנפרד;
  • ב) שימוש בטכניקות פסאודונימיזציה, לרבות רנדומיזציה אקראית של רשימות ההקצאה; יצירת ערכים בצורה של חדים.
 
1.11 הצפנה

יש לנקוט בצעדים הבאים כדי להצפין נתונים אישיים באפליקציות ותשדורות התומכות בהצפנה:

  1.  
    1. א) שימוש בטכניקות הצפנה;
  • ב) הקמת ניהול הצפנה לתמיכה בטכניקות ההצפנה המורשות לשימוש;
  • ג) תמיכה בשימוש בהצפנה באמצעות נהלים ופרוטוקולים להפקה, שינוי, ביטול, השמדה, הפצה, אישור, אחסון, לכידה, שימוש וארכיון מפתחות קריפטוגרפיים כדי להגן מפני שינויים וחשיפה בלתי מורשים.
 
1.12 שלמות מערכות ושירותי עיבוד נתונים
יש לנקוט באמצעים הבאים על מנת להבטיח את שלמותם של מערכות ושירותי עיבוד נתונים:
  1. א) הגנה על מערכות עיבוד נתונים מפני מניפולציה או הרס באמצעים מתאימים (כגון תוכנות אנטי-וירוס, תוכנות ותוכנות למניעת אובדן נתונים מפני תוכנות זדוניות, תיקוני תוכנה, חומות אש והגנת שולחן עבודה מנוהלים);
  • ב) לאסור התקנה של כל שירות או תוכנה המזיקים למערכות עיבוד נתונים, שירותים או מניפולציה של נתונים אישיים;
  • ג) שימוש במערכת זיהוי ומניעת חדירת רשת במבנה הרשת עצמה.
 
1.13 זמינות מערכות ושירותי עיבוד נתונים ואפשרות לשחזר גישה ושימוש בנתונים אישיים במקרה של אירוע מהותי או טכני
יש לנקוט באמצעים הבאים על מנת להבטיח את זמינותן של מערכות עיבוד נתונים, וכן על מנת להיות מסוגל לשחזר במהירות את הזמינות והגישה לנתונים אישיים, במקרה של אירוע מהותי או טכני (במיוחד על ידי הבטחת כי נתונים אישיים מוגנים מפני השמדה או אובדן בשוגג):
  • א) יש אמצעי שליטה לשמירת עותקי גיבוי ושחזור נתונים שאבדו או נמחקו;
  • ב) יתירות תשתיתית ובדיקות ביצועים;
  • ג) הגנה פיזית על משאבי מחשב;
  • ד) שימוש בכלים לניטור המצב והזמינות של הרשת הפנימית;
  • ה) מדיניות דיווח ותגובה על אירועים המסדירה את הליך ניהול האירועים, וחזרה על הקפדה על מדיניות זו כחלק מהדרכה שוטפת;
  • ו) גיבויים (לעיתים מחוץ לאתר) לשחזור המערכת כדי לאפשר לה לבצע שוב את תפקידיה;
  • ז) תוכניות המשכיות עסקית/התאוששות מאסון
 
1.14 חוסן של מערכות ושירותי עיבוד נתונים
יש לנקוט באמצעים הבאים כדי להבטיח את חוסנם של מערכות ושירותי עיבוד נתונים:
  • א) מערכות ומוגדרות בצורה הרמונית, תוך שימוש בפרמטרי אבטחה מאושרים;
  • ב) יתירות רשת;
  • ג) הגנת בלימה של מערכות קריטיות.
 
1.15 נוהל לבדיקה, הערכה והערכת יעילות של אמצעים טכניים וארגוניים כדי להבטיח את אבטחת עיבוד הנתונים
נוהל לבדיקה, הערכה והערכת יעילותם של אמצעים טכניים וארגוניים להגנה על עיבוד נתונים.
  • א) לנקוט בצעדים הדרושים להערכת סיכונים ואסטרטגיות הפחתה;
  • ב) פגישות ניתוח שירות של מחלקת ה-IT לטיפול בנושאים שוטפים;
  • ג) תוכניות המשכיות עסקית/התאוששות מאסון מתעדכנות באופן קבוע.

 

חלק 3

חתימות הצדדים ורשימת יבואני הנתונים

 

כאשר אתה ממלא את טופס ההזמנה המקוון ומאמת אותו על ידי סימון התיבה המקבלת את התנאים וההגבלות הכלליים, נוצר החוזה המסדיר את היחסים בין הלקוח לבין IQUALIF.

שליחת התשלום ל-IQUALIF תשקול את החוזה שסוכם ונקבע.


שימו לב: טקסט זה תורגם מצרפתית. הגרסה הצרפתית המקורית, שהיא תקפה ומגבילה מבחינה משפטית, זמינה כאן .