Lampiran ini merupakan sebahagian daripada Kontrak dan dimeterai oleh:
Masing-masing menjadi " Parti " dan biasanya " Parti ".
Mukadimah
DI MANA Pengimport Data menyediakan perkhidmatan perisian profesional, komputer dan perkhidmatan yang berkaitan (seperti penyemak imbas dengan fungsi carian lanjutan);
DI MANA menurut Kontrak, Pengimport Data telah bersetuju untuk memberikan kepada Pengeksport Data perkhidmatan yang dinyatakan dalam Kontrak (" Perkhidmatan ");
DI MANA, dengan menyediakan Perkhidmatan, Pengimport Data menerima atau mendapat manfaat daripada akses kepada maklumat Pengeksport Data atau maklumat orang lain yang mempunyai hubungan (berpotensi) dengan Pengeksport Data, maklumat tersebut mungkin layak sebagai data peribadi dalam pengertian Peraturan. (EU) 2016/679 Parlimen Eropah dan Majlis 27 April 2016 mengenai melindungi individu berkenaan pemprosesan data peribadi dan mengenai pergerakan bebas data tersebut (" GDPR ") dan undang-undang perlindungan data lain yang berkenaan.
DI MANA Lampiran ini mengandungi terma dan syarat yang terpakai untuk pengumpulan, pemprosesan dan penggunaan data peribadi sedemikian oleh Pengimport Data dalam kapasitinya sebagai ejen pemprosesan data yang dibenarkan bagi Pengeksport Data, untuk memastikan Pihak-Pihak mematuhi undang-undang perlindungan data yang berkenaan .
OLEH ITU, dan untuk membolehkan Pihak-Pihak meneruskan hubungan mereka secara sah, Pihak-Pihak telah menyimpulkan Lampiran ini seperti berikut:
Bahagian 1
1. Struktur dokumen dan definisi
1.1 Struktur
Lampiran ini mengandungi bahagian yang berbeza seperti berikut:
Bahagian 1: | mengandungi peruntukan am, contohnya mengenai definisi yang digunakan dalam Lampiran ini, pematuhan undang-undang tempatan, masa dan penamatan
|
Bahagian 2: | mengandungi badan dokumen Klausa Kontrak Standard yang tidak dipinda
|
Lampiran 1.1 Bahagian 2: | mengandungi butiran operasi pemprosesan yang disediakan oleh Pengimport Data kepada Pengeksport Data sebagai ejen pemprosesan data yang dibenarkan (termasuk pemprosesan, sifat dan tujuan pemprosesan, jenis data peribadi dan kategori subjek data) di bawah ini Lampiran
|
Lampiran 2 Bahagian 2: | mengandungi penerangan tentang langkah keselamatan teknikal dan organisasi Pengimport Data, yang digunakan berkaitan dengan semua aktiviti pemprosesan yang diterangkan dalam Lampiran 1.1 Bahagian 2
|
Bahagian 3: | mengandungi tandatangan Pihak yang akan terikat oleh Lampiran ini dan mengenal pasti setiap Pengimport Data
|
1.2 Terminologi dan definisi
Untuk tujuan Lampiran ini, istilah dan takrifan yang digunakan oleh GDPR adalah terpakai (Dalam badan dokumen Klausa Kontrak Standard dalam Bahagian 2, jika istilah yang ditakrifkan tidak menggunakan huruf besar).
"Negeri Anggota" | bermaksud negara kepunyaan Kesatuan Eropah atau Kawasan Ekonomi Eropah
|
"Kategori khas data (peribadi)" | merujuk kepada data peribadi yang mendedahkan asal usul kaum atau etnik, pendapat politik, kepercayaan agama atau falsafah, atau keahlian kesatuan sekerja, dan data genetik, data biometrik, jika diproses untuk tujuan mengenal pasti seseorang secara unik, data mengenai kesihatan, data mengenai jantina seseorang kehidupan atau orientasi seksual
|
"Klausa Kontrak Standard" | bermaksud Klausa Kontrak Standard untuk memindahkan data peribadi ejen pemprosesan yang ditubuhkan di negara ketiga, di bawah Keputusan Suruhanjaya 2010/87/EU pada 5 Februari 2010, yang telah dipinda oleh Keputusan Pelaksana Suruhanjaya (EU) 2016/2297 pada 16 haribulan. Disember 2016
|
œPemproses data | bermaksud mana-mana ejen pemprosesan, yang terletak di dalam atau di luar EU/EEA, yang bersetuju untuk menerima daripada Pengimport Data atau mana-mana pemproses lain Pengimport Data, data peribadi untuk tujuan eksklusif aktiviti pemprosesan yang akan dijalankan oleh Pengeksport Data selepas pemindahan mengikut arahan Pengeksport Data, syarat Lampiran ini dan Kontrak dengan Pengimport Data
|
2. Kewajipan Pengeksport Data
2.1 Pengeksport Data mempunyai kewajipan untuk memastikan pematuhan terhadap semua kewajipan yang berkenaan di bawah GDPR dan mana-mana undang-undang perlindungan data terpakai lain yang terpakai kepada Pengeksport Data dan untuk menunjukkan pematuhan sedemikian seperti yang dikehendaki oleh Artikel 5 (2) GDPR. Pengeksport Data menjamin bahawa Pengimport Data telah mendapat kebenaran terlebih dahulu daripada subjek data menurut Perkara 6 (a) GDPR dan telah mematuhi kewajipannya untuk memaklumkan subjek data mengikut Perkara 13 dan 14 GDPR.
2.2 Pengeksport Data mesti memberikan Pengimport Data dengan fail masing-masing aktiviti pemprosesan mengikut Perkara 30 (1) GDPR yang berkaitan dengan Perkhidmatan di bawah Lampiran ini, setakat yang diperlukan untuk Pengimport Data untuk mematuhi kewajipan di bawah Perkara 30 (2) GDPR.
2.3 Pengeksport Data mesti melantik pegawai atau wakil perlindungan data setakat yang diperlukan oleh undang-undang perlindungan data yang berkenaan. Pengeksport Data bertanggungjawab untuk memberikan butiran hubungan ejen perlindungan data atau wakil, jika ada, kepada Pengimport Data.
2.4. Pengeksport Data mengesahkan sebelum selesai pemprosesan, dengan penerimaan Lampiran ini, bahawa langkah keselamatan teknikal dan organisasi Pengimport Data, seperti yang dinyatakan dalam Lampiran 2 hingga Bahagian 2, adalah sesuai dan mencukupi untuk melindungi hak subjek data. dan mengesahkan bahawa Pengimport Data menyediakan perlindungan yang mencukupi dalam hal ini.
3. Pematuhan undang-undang tempatan
Untuk memenuhi keperluan pelaksanaan ejen pemprosesan berikutan Artikel 28 GDPR, pindaan berikut adalah terpakai:
3.1 Arahan
3.2 Kewajipan Pengimport Data
3.3 Hak orang yang berkenaan
3.4 Pemprosesan kecil
3.5 Tamat tempoh
Tamat tempoh Lampiran ini adalah sama dengan tarikh tamat Kontrak yang sepadan. Kecuali sebagaimana yang diperuntukkan sebaliknya dalam Lampiran ini, hak dan kewajipan yang berkaitan dengan penamatan hendaklah sama seperti yang terkandung dalam Kontrak.
4. Had Liabiliti
4.1 Setiap pihak mengendalikan kewajipannya di bawah Lampiran ini dan perundangan perlindungan data yang berkenaan.
4.2 Sebarang liabiliti yang berkaitan dengan pelanggaran kewajipan di bawah Lampiran ini atau perundangan perlindungan data yang berkenaan hendaklah tertakluk kepada dan dikawal oleh peruntukan liabiliti yang dinyatakan dalam, atau terpakai kepada, Kontrak, kecuali sebagaimana yang diperuntukkan sebaliknya dalam Lampiran ini. Jika liabiliti ditadbir oleh peruntukan liabiliti yang dinyatakan dalam atau terpakai kepada Kontrak, untuk mengira had liabiliti atau menentukan pemakaian had liabiliti lain, sebarang liabiliti yang timbul di bawah Lampiran ini akan dianggap timbul di bawah Kontrak.
5. Peruntukan am
5.1 Jika terdapat sebarang percanggahan atau percanggahan antara Bahagian 1 dan 2 Lampiran ini, Bahagian 2 akan diutamakan. Khususnya, walaupun dalam kes sedemikian, Bahagian 1 yang hanya melangkaui Bahagian 2 (iaitu terma klausa Standard) tanpa bercanggah dengannya akan kekal sah.
5.2 Jika sebarang percanggahan timbul antara peruntukan Lampiran ini dan kontrak lain yang mengikat pihak-pihak, Lampiran ini akan mengatasi kewajipan perlindungan data pihak-pihak. Sekiranya terdapat keraguan sama ada klausa dalam kontrak lain berkenaan dengan kewajipan perlindungan data pihak-pihak, Lampiran ini akan diguna pakai.
5.3 Jika mana-mana peruntukan Lampiran ini tidak sah atau tidak boleh dikuatkuasakan, baki Lampiran ini akan kekal berkuat kuasa dan berkesan sepenuhnya. Peruntukan yang tidak sah atau tidak boleh dikuatkuasakan akan (i) dipinda untuk memastikan kesahihan dan kebolehkuatkuasaannya, sambil mengekalkan sejauh mungkin niat pihak-pihak, atau - jika ini tidak mungkin - (ii) ditafsirkan seolah-olah bahagian yang tidak sah atau tidak boleh dikuatkuasakan telah tidak pernah menjadi sebahagian daripada kontrak. Perkara di atas juga hendaklah terpakai sekiranya terdapat ketinggalan dalam Lampiran ini.
5.5 Setakat yang perlu, Pihak-Pihak boleh meminta pindaan kepada Bahagian 1, Fasal 3 (Pematuhan kepada undang-undang tempatan) atau bahagian lain Lampiran untuk mematuhi tafsiran, arahan, atau perintah yang dikeluarkan oleh pihak berkuasa Kesatuan yang berwibawa atau Negara Anggota, peruntukan penguatkuasaan negara atau sebarang perkembangan undang-undang lain berkenaan GDPR atau syarat perwakilan lain kepada mana-mana entiti yang terlibat dalam pemprosesan data dan khususnya mengenai penggunaan Klausa Kontrak Standard dalam GDPR. Terma Klausa Kontrak Standard tidak boleh diubah suai atau diganti melainkan Suruhanjaya Eropah meluluskannya secara nyata (cth dengan klausa baharu yang mencukupi dan piawaian perlindungan data).
5.6 Sebarang rujukan dalam Lampiran ini kepada "Klausa" hendaklah difahamkan merujuk kepada semua peruntukan Lampiran ini melainkan dinyatakan sebaliknya.
5.7 Pilihan undang-undang dalam Bahagian 2, Fasal 9 terpakai kepada keseluruhan Kontrak.
6. Data peribadi yang dihantar dan diproses oleh pihak untuk tujuan peribadi (pindah dari pengawal data kepada pengawal data)
6.1 Para Pihak mengetahui sepenuhnya bahawa data peribadi tertentu akan dipindahkan daripada Pengeksport Data kepada Pengimport Data dan sebaliknya, dan bahawa data tersebut diproses oleh setiap Pihak untuk tujuannya sendiri. Berkenaan data peribadi tersebut, ia tidak menjejaskan peruntukan lain Lampiran ini (kecuali klausa 6 ini).
6.2 Pengeksport Data boleh memindahkan data peribadi yang berkaitan dengan kakitangan Pengimport Data kepada Pengimport Data, termasuk maklumat tentang insiden keselamatan, atau mana-mana dokumen atau fail lain yang dicipta atau ditubuhkan oleh Pengeksport Data berkaitan dengan Perkhidmatan yang disediakan oleh kakitangan Pengimport Data. Pengimport Data boleh memproses data peribadi tersebut untuk tujuannya sendiri, khususnya dalam hubungan profesionalnya dengan kakitangan Pengimport Data, untuk kawalan kualiti dan latihan, atau untuk tujuan perniagaan.
6.3. Pengimport Data boleh memindahkan data peribadi kepada Pengeksport Data, termasuk nama dan butiran hubungan kakitangan Pengimport Data. Pengeksport Data boleh memproses data peribadi tersebut untuk tujuannya sendiri.
6.4 Kedua-dua pihak hendaklah mematuhi mana-mana undang-undang perlindungan data yang terpakai, termasuk GDPR, dalam mengumpul, memproses dan menggunakan data peribadi sedemikian yang diterima daripada pihak lain di bawah klausa 1 Bahagian 1. Khususnya, kedua-dua Pihak hendaklah mengambil langkah keselamatan yang mencukupi, dengan menyediakan tahap perlindungan yang serupa dengan langkah keselamatan yang dinyatakan dalam Lampiran 2 Bahagian 2. Sebarang akses kepada data peribadi tersebut hendaklah terhad kepada keperluan untuk mengetahuinya.
6.5 Kedua-dua Pihak mesti memadam data peribadi tersebut secepat mungkin selepas objektif telah dicapai.
Bahagian 2
KEPUTUSAN SURUHANJAYA
pada 5 Februari 2010
mengenai klausa kontrak standard untuk pemindahan data peribadi kepada pemproses data yang ditubuhkan di negara pihak ketiga di bawah Arahan 95/46/EC Parlimen Eropah dan Majlis
Fasal 1
Definisi
Dalam pengertian klausa:
a) 'data peribadi', 'kategori khas data', 'pemprosesan/pemprosesan', 'pengawal', 'pemproses', 'subjek data' dan 'pihak berkuasa penyeliaan' hendaklah mempunyai maksud yang sama seperti dalam 95/46/EC Arahan Parlimen Eropah dan Majlis 24 Oktober 1995 mengenai melindungi individu berkenaan pemprosesan data peribadi dan pergerakan bebas data tersebut (1);
b) 'Pengeksport Data' ialah pengawal Data yang memindahkan data peribadi;
c) 'Pengimport Data' ialah pemproses Data yang bersetuju menerima data peribadi daripada Pengeksport Data yang bertujuan untuk diproses bagi pihak Pengeksport Data selepas pemindahan mengikut arahannya dan di bawah terma klausa ini dan yang tidak tertakluk kepada mekanisme negara ketiga yang memastikan perlindungan yang mencukupi mengikut pengertian Perkara 25(1) Arahan 95/46/EC; (d) 'Pemproses data' bermaksud pemproses Data yang digunakan oleh Pengimport Data atau oleh mana-mana pemproses Data lain Pengimport Data yang bersetuju menerima daripada Pengimport Data atau mana-mana pemproses Data lain data peribadi Pengimport Data secara eksklusif untuk aktiviti pemprosesan untuk dijalankan bagi pihak Pengeksport Data selepas pemindahan mengikut arahan Pengeksport Data,
e) "undang-undang perlindungan data yang terpakai" bermaksud perundangan yang melindungi hak asas dan kebebasan individu, termasuk hak untuk privasi berkenaan pemprosesan data peribadi, dan memohon kepada pengawal di Negara Anggota di mana Pengeksport Data ditubuhkan;
f) œlangkah teknikal dan organisasi yang berkaitan dengan keselamatan bermaksud langkah yang bertujuan untuk melindungi data peribadi daripada kemusnahan yang tidak disengajakan atau menyalahi undang-undang atau kehilangan, pengubahan, pendedahan atau akses tanpa kebenaran, khususnya di mana pemprosesan melibatkan penghantaran data melalui rangkaian, dan terhadap semua bentuk pemprosesan lain yang menyalahi undang-undang.
Fasal 2
Butiran pemindahan
Butiran pemindahan, termasuk, di mana sesuai, kategori khas data peribadi, dinyatakan dalam Lampiran 1, yang membentuk bahagian penting daripada klausa ini.
Fasal 3
Klausa benefisiari pihak ketiga
1. Subjek data boleh menguatkuasakan terhadap Pengeksport Data Klausa ini, Klausa 4(b) hingga (i), Klausa 5(a) hingga (e) dan (g) hingga (j), Klausa 6 (1) dan (2 ), Fasal 7, Fasal 8(2) dan Fasal 9 hingga 12 sebagai benefisiari pihak ketiga
2. Subjek data boleh menguatkuasakan Klausa ini, Klausa 5 (a) hingga (e) dan (g), Klausa 6, Klausa 7, Klausa 8 (2) dan Klausa 9 hingga 12 terhadap Pengimport Data di mana Pengeksport Data telah secara fizikal hilang atau tidak lagi wujud dalam undang-undang, melainkan semua kewajipan undang-undangnya telah dipindahkan, melalui kontrak atau melalui operasi undang-undang, kepada entiti pengganti, yang hak dan kewajipan Pengeksport Data itu kembali, dan terhadapnya data itu maka subjek boleh menguatkuasakan klausa tersebut.
Subjek data boleh menguatkuasakan Klausa ini, Klausa 5 (a) hingga (e) dan (g), Klausa 6, Klausa 7, Klausa 8 (2) dan Klausa 9 hingga 12 terhadap pemproses Data, tetapi hanya dalam kes di mana Data Pengeksport dan Pengimport Data telah hilang secara fizikal, tidak lagi wujud dalam undang-undang atau telah menjadi tidak solven, melainkan semua kewajipan undang-undang Pengeksport Data telah dipindahkan, melalui kontrak atau melalui operasi undang-undang, kepada pengganti undang-undang, yang hak dan Oleh itu, kewajipan Pengeksport Data adalah terletak hak, dan terhadap siapa subjek data boleh menguatkuasakan klausa tersebut. Liabiliti pemproses Data sedemikian mestilah terhad kepada aktiviti pemprosesannya sendiri di bawah klausa ini.
4. Pihak-pihak tidak membantah subjek data yang diwakili oleh persatuan atau badan lain jika dia mahu dan jika undang-undang negara membenarkannya.
Fasal 4
Kewajipan Pengeksport Data
Pengeksport Data menerima dan menjamin perkara berikut:
a) pemprosesan, termasuk pemindahan sebenar data peribadi, telah dan akan terus dijalankan mengikut peruntukan berkaitan undang-undang perlindungan data yang terpakai (dan, jika berkenaan, telah dimaklumkan kepada pihak berkuasa kompeten Negara Anggota. di mana Pengeksport Data berasaskan) dan tidak melanggar peruntukan berkaitan Negeri itu;
b) mereka telah mengarahkan, dan akan mengarahkan untuk tempoh perkhidmatan pemprosesan data peribadi, Pengimport Data untuk memproses data peribadi yang dipindahkan bagi pihak tunggal Pengeksport Data dan mengikut undang-undang perlindungan data yang berkenaan dan klausa ini;
c) Pengimport Data akan menyediakan perlindungan yang mencukupi mengenai langkah keselamatan teknikal dan organisasi yang dinyatakan dalam Lampiran 2 kepada kontrak semasa;
d) selepas menilai keperluan undang-undang perlindungan data yang berkenaan, langkah keselamatan adalah memadai untuk melindungi data peribadi daripada kemusnahan yang tidak disengajakan atau menyalahi undang-undang atau kehilangan, pengubahan, pendedahan tanpa kebenaran, atau akses, khususnya apabila pemprosesan melibatkan penghantaran data melalui rangkaian, dan terhadap semua bentuk pemprosesan lain yang menyalahi undang-undang dan memastikan tahap keselamatan yang sesuai dengan risiko yang diwakili oleh pemprosesan dan sifat data yang akan dilindungi, dengan mengambil kira tahap teknologi dan kos pelaksanaan;
e) mereka akan memastikan pematuhan terhadap langkah keselamatan;
f) jika pemindahan berkaitan dengan kategori data khas, subjek data telah dimaklumkan atau akan dimaklumkan sebelum pemindahan, atau secepat mungkin selepas pemindahan bahawa datanya boleh dipindahkan ke negara ketiga yang tidak menawarkan tahap perlindungan yang mencukupi dalam pengertian Arahan 95/46/EC;
g) mereka akan memajukan sebarang pemberitahuan yang diterima daripada Pengimport Data atau mana-mana pemproses Data di bawah Fasal 5 (b) dan 8 (3) kepada pihak berkuasa penyeliaan perlindungan data jika ia memutuskan untuk meneruskan pemindahan atau menarik balik penggantungannya;
h) mereka hendaklah menyediakan kepada subjek data, jika mereka meminta sedemikian, salinan Fasal ini, kecuali untuk Lampiran 2, dan huraian ringkasan langkah keselamatan, dan salinan mana-mana perjanjian subkontrak selanjutnya, yang dibuat di bawah Fasal ini melainkan jika Fasal atau perjanjian mengandungi maklumat komersial, di mana dia boleh menarik balik maklumat tersebut;
i) dalam kes sub-kontrak proses pemprosesan data, aktiviti pemprosesan dijalankan mengikut Klausa 11 oleh Pemproses Data yang menyediakan sekurang-kurangnya tahap perlindungan data peribadi dan hak subjek data yang sama seperti Pengimport Data di bawah Klausa ini ; dan
j) ia akan memastikan pematuhan Klausa 4 (a) hingga (i).
Fasal 5
Kewajipan Pengimport Data
Pengimport Data menerima dan menjamin perkara berikut:
a) mereka akan memproses data peribadi hanya bagi pihak Pengeksport Data dan di bawah arahan Pengeksport Data dan klausa ini; jika ia tidak dapat mematuhi sebarang sebab, mereka bersetuju untuk memberitahu Pengeksport Data tentang ketidakupayaannya secepat mungkin, dalam hal ini Pengeksport Data boleh menggantung pemindahan data dan/atau menamatkan kontrak;
b) mereka tidak mempunyai sebab untuk mempercayai bahawa undang-undang yang terpakai kepada mereka menghalangnya daripada memenuhi arahan yang diberikan oleh Pengeksport Data dan kewajipan yang dibebankan ke atasnya di bawah kontrak, dan jika undang-undang tersebut tertakluk kepada perubahan yang boleh mendatangkan kesan buruk yang material. kesan ke atas waranti dan kewajipan di bawah Klausa, dia hendaklah memberitahu Pengeksport Data tentang perubahan itu tanpa berlengah-lengah selepas menyedarinya, dalam hal ini Pengeksport Data boleh menggantung pemindahan data dan/atau menamatkan kontrak; (c) mereka telah melaksanakan langkah keselamatan teknikal dan organisasi yang dinyatakan dalam Lampiran 2 sebelum memproses data peribadi yang dipindahkan;
d) mereka akan memberitahu Pengeksport Data tanpa berlengah-lengah:
i) sebarang permintaan yang mengikat untuk pendedahan data peribadi daripada pihak berkuasa penguatkuasaan undang-undang, melainkan dinyatakan sebaliknya, seperti larangan jenayah yang bertujuan untuk memelihara kerahsiaan siasatan polis;
ii) sebarang akses sampingan atau tanpa kebenaran; dan
iii) sebarang permintaan yang diterima terus daripada orang yang berkenaan tanpa membalasnya melainkan dia telah diberi kuasa untuk berbuat demikian; pentadbir
e) mereka akan berurusan dengan segera dan betul dengan semua pertanyaan daripada Pengeksport Data mengenai pemprosesan data peribadi yang dipindahkan dan akan bertindak di bawah pendapat pihak berkuasa penyeliaan berkenaan pemprosesan data yang dipindahkan;
f) atas permintaan Pengeksport Data, mereka akan tertakluk kepada kemudahan pemprosesan datanya kepada audit terhadap aktiviti pemprosesan yang diliputi oleh klausa ini yang akan dijalankan oleh Pengeksport Data atau badan penyeliaan yang terdiri daripada ahli bebas dengan kelayakan profesional yang diperlukan, tertakluk kepada kewajipan kerahsiaan dan dipilih oleh Pengeksport Data, jika sesuai dengan persetujuan pihak berkuasa penyeliaan;
g) mereka akan menyediakan kepada subjek data, jika dia meminta sedemikian, salinan Klausa ini, atau mana-mana subkontrak kontrak pemprosesan data yang sedia ada, melainkan Klausa atau kontrak itu mengandungi maklumat komersial, dalam hal ini ia boleh mengalih keluar sedemikian. maklumat, kecuali Lampiran 2, yang akan digantikan dengan huraian ringkasan langkah keselamatan, di mana subjek data tidak boleh mendapatkan salinan daripada Pengeksport Data;
h) dalam kes sulit lagi subkontrak pemprosesan data, dia akan memastikan bahawa dia memaklumkan Pengeksport Data terlebih dahulu dan mendapatkan kebenaran bertulis Pengeksport Data;
i) perkhidmatan pemprosesan yang disediakan oleh Pemproses Data hendaklah mematuhi Klausa 11;
j) mereka akan segera menghantar salinan mana-mana subkontrak perjanjian pemprosesan data yang dimeterai olehnya di bawah Klausa ini kepada Pengeksport Data.
Fasal 6
Tanggungjawab
1. Pihak-pihak bersetuju bahawa mana-mana subjek data yang telah mengalami kerosakan kerana pelanggaran kewajipan yang dirujuk dalam Klausa 3 atau Klausa 11 oleh satu pihak atau oleh pemproses Data boleh mendapatkan pampasan daripada Pengeksport Data untuk kerosakan yang dialami.
2. Jika subjek data dihalang daripada membawa tindakan untuk ganti rugi seperti yang dirujuk dalam perenggan 1 terhadap Pengeksport Data kerana kegagalan Pengimport Data atau pemproses Datanya untuk mematuhi mana-mana kewajipannya di bawah Klausa 3 atau Klausa 11 kerana Data Pengeksport telah hilang secara fizikal, tidak lagi wujud dalam undang-undang atau telah menjadi tidak solven, Pengimport Data bersetuju bahawa subjek data boleh membuat aduan terhadapnya seolah-olah ia adalah Pengeksport Data melainkan semua kewajipan undang-undang Pengeksport Data telah dipindahkan, melalui kontrak atau melalui kuat kuasa undang-undang, kepada entiti penggantinya, yang terhadapnya subjek data kemudiannya boleh menguatkuasakan haknya. Pengimport Data tidak boleh bergantung pada pelanggaran kewajipannya oleh pemproses Data untuk mengelakkan liabilitinya sendiri.
3. Jika subjek data dihalang daripada membawa tindakan yang dirujuk dalam perenggan 1 dan 2 terhadap Pengeksport Data atau Pengimport Data kerana dilanggar oleh pemproses Data kewajipannya di bawah Klausa 3 atau Klausa 11 kerana Pengeksport Data dan Pengimport Data telah hilang secara fizikal, tidak lagi wujud dalam undang-undang atau telah menjadi tidak solven, pemproses Data bersetuju bahawa subjek data boleh membuat aduan terhadapnya mengenai aktiviti pemprosesannya sendiri mengikut klausa ini seolah-olah ia adalah Pengeksport Data atau Pengimport Data melainkan semua kewajipan undang-undang Pengeksport Data atau Pengimport Data telah dipindahkan, melalui kontrak atau melalui operasi undang-undang, kepada pengganti undang-undang, yang terhadapnya subjek data kemudiannya boleh menuntut haknya.Liabiliti pemproses Data mestilah terhad kepada aktiviti pemprosesannya sendiri mengikut klausa ini.
Fasal 7
Pengantaraan dan bidang kuasa
1. Pengimport Data bersetuju bahawa jika di bawah klausa, subjek data memohon terhadapnya hak benefisiari pihak ketiga dan/atau menuntut pampasan untuk prasangka yang dialami, dia akan menerima keputusan subjek data:
a) untuk menyerahkan pertikaian kepada pengantaraan oleh orang bebas atau, jika sesuai, pihak berkuasa penyeliaan;
b) untuk membawa pertikaian ke mahkamah Negara Anggota di mana Pengeksport Data berpusat.
2. Pihak-pihak bersetuju bahawa pilihan yang dibuat oleh subjek data tidak akan menjejaskan hak prosedur atau substantif subjek data untuk mendapatkan ganti rugi mengikut peruntukan lain undang-undang negara atau antarabangsa.
Fasal 8
Kerjasama dengan pihak berkuasa penyeliaan
1. Pengeksport Data bersetuju untuk mendepositkan salinan kontrak sekarang dengan pihak berkuasa penyeliaan jika pihak yang kedua memerlukannya atau jika deposit tersebut diperuntukkan oleh undang-undang perlindungan data yang berkenaan.
2. Pihak-pihak bersetuju bahawa pihak berkuasa penyeliaan boleh menjalankan pemeriksaan di Pengimport Data dan mana-mana pemproses Data pada tahap yang sama dan di bawah syarat yang sama seperti pemeriksaan yang dijalankan di Pengeksport Data mengikut undang-undang perlindungan data yang berkenaan.
3. Pengimport Data hendaklah memaklumkan Pengeksport Data secepat mungkin tentang kewujudan undang-undang berkenaan Pengimport Data atau mana-mana pemproses Data yang menghalang pengesahan di Pengimport Data atau mana-mana pemproses Data mengikut perenggan 2. Dalam kes sedemikian, Pengeksport Data boleh mengambil langkah-langkah yang diperuntukkan dalam Klausa 5 (b).
Fasal 9
Perundangan berkaitan
Klausa tersebut terpakai dan dikawal oleh undang-undang Negara Anggota di mana Pengeksport Data berpusat.
Fasal 10
Pengubahsuaian kontrak
Pihak-pihak berjanji untuk tidak mengubah suai klausa ini. Pihak-pihak kekal bebas untuk memasukkan klausa komersial lain yang mereka anggap perlu, dengan syarat mereka tidak bercanggah dengan klausa sekarang.
Fasal 11
Subkontrak seterusnya
1. Pengimport Data tidak boleh mensubkontrakkan sebarang aktiviti pemprosesannya yang dijalankan bagi pihak Pengeksport Data di bawah klausa ini tanpa kebenaran bertulis terlebih dahulu daripada Pengeksport Data. Pengimport Data hanya akan menyubkontrakkan kewajipannya di bawah Klausa ini, dengan persetujuan Pengeksport Data, melalui perjanjian bertulis dengan Pemproses Data yang mengenakan kewajipan yang sama kepada pemproses Data seperti yang dikenakan ke atas Pengimport Data di bawah Klausa ini. Jika pemproses Data tidak dapat mematuhi kewajipan perlindungan datanya di bawah perjanjian bertulis itu, Pengimport Data hendaklah tetap bertanggungjawab sepenuhnya kepada Pengeksport Data untuk memenuhi kewajipan tersebut.
2. Perjanjian bertulis terdahulu antara Pengimport Data dan pemproses Data hendaklah juga termasuk klausa benefisiari pihak ketiga seperti yang dinyatakan dalam Klausa 3 untuk kes di mana subjek data dihalang daripada membawa tuntutan untuk ganti rugi yang disebut dalam Klausa 6 (1). ), terhadap Pengeksport Data atau Pengimport Data kerana Pengeksport Data atau Pengimport Data telah hilang secara fizikal, tidak lagi wujud dalam undang-undang atau telah menjadi tidak solven dan semua kewajipan undang-undang Pengeksport Data atau Pengimport Data belum dipindahkan, melalui kontrak atau operasi undang-undang, kepada entiti pengganti yang lain. Liabiliti pemproses Data mestilah terhad kepada aktiviti pemprosesannya sendiri mengikut klausa ini.
3. Peruntukan yang berkaitan dengan aspek perlindungan data sub-kontrak pemprosesan data kontrak yang disebut dalam perenggan 1 hendaklah dikawal oleh undang-undang Negara Anggota di mana Pengeksport Data ditubuhkan.
4. Pengeksport Data hendaklah menyimpan senarai subkontrak perjanjian pemprosesan data yang dibuat di bawah Klausa ini dan dimaklumkan oleh Pengimport Data mengikut Klausa 5 (j), yang hendaklah dikemas kini sekurang-kurangnya sekali setahun. Senarai ini hendaklah disediakan kepada pihak berkuasa penyeliaan perlindungan data Pengeksport Data.
Fasal 12
Kewajipan selepas penamatan perkhidmatan pemprosesan data peribadi
1. Pihak-pihak bersetuju bahawa setelah selesai perkhidmatan pemprosesan data, Pengimport Data dan pemproses Data akan, atas kemudahan Pengeksport Data, mengembalikan semua data peribadi yang dipindahkan dan salinannya kepada Pengeksport Data, atau memusnahkan semua data tersebut dan memberikan bukti pemusnahan kepada Pengeksport Data, melainkan undang-undang yang dikenakan ke atas Pengimport Data menghalangnya daripada memulangkan atau memusnahkan semua atau sebahagian daripada data peribadi yang dipindahkan. Dalam kes itu, Pengimport Data menjamin bahawa ia akan memastikan kerahsiaan data peribadi yang dipindahkan dan ia tidak lagi akan memproses data secara aktif.
2. Pengimport Data dan Pemproses Data hendaklah memastikan bahawa, jika diminta oleh Pengeksport Data dan/atau pihak berkuasa penyeliaan, mereka akan tertakluk kepada kaedah pemprosesan data mereka kepada pengesahan langkah-langkah yang dirujuk dalam perenggan 1.
Lampiran 1.1 hingga Bahagian 2
Butiran pemindahan
Pengeksport Data
Pengeksport Data ialah Pelanggan yang ditakrifkan dalam perjanjian Kontrak.
Pengimport Data
Pengimport Data ialah IQUALIF dan ditugaskan untuk memproses data, menyediakan perkhidmatan kepada Pengeksport Data.
Subjek data
Data peribadi yang dipindahkan melibatkan kategori subjek data berikut:
˜' pelanggan telefon disenaraikan dalam direktori universal
˜ Lain-lain, termasuk:
Kategori data
Data peribadi yang dipindahkan melibatkan kategori data berikut:
Kategori data peribadi subjek data Pengeksport Data khususnya,
˜' Nama penuh
˜'Alamat pos
˜' Butiran hubungan (e-mel, telefon, alamat IP, dll.)
˜' Butiran aktiviti pemasaran mengenai pelanggan telefon
˜' Lain-lain, termasuk jenis perumahan, pendapatan dan umur purata oleh bandar yang dibuat tanpa nama
Kategori data khas (jika berkenaan)
Data peribadi yang dipindahkan melibatkan kategori data khas berikut:
˜' Pemindahan kategori khusus data tidak diramalkan
˜ Bangsa atau asal usul etnik
˜ Kepercayaan agama atau falsafah
˜ Keahlian kesatuan sekerja
˜ Pandangan politik
˜ Maklumat genetik
˜ Maklumat biometrik
˜ Maklumat tentang orientasi seksual atau kehidupan seksual
˜ Data kesihatan
Aktiviti pemprosesan
Data peribadi yang dipindahkan akan tertakluk kepada aktiviti pemprosesan asas berikut:
Pemprosesan yang dilakukan bagi pihak Pengeksport Data adalah berdasarkan subjek berikut, khususnya:
˜' Menjaga produk atau perkhidmatan yang ditawarkan oleh Pengeksport Data
˜' Tawaran produk atau perkhidmatan yang boleh diminta oleh orang yang dipanggil
˜' Pesanan yang diambil daripada orang yang dipanggil dan pemprosesan lanjut pesanan ini
˜' Kajian soal selidik dan analisis
˜' Telemarketing
˜ Lain-lain, termasuk:
Pengimport Data memproses data peribadi subjek data bagi pihak Pengeksport Data, untuk menyediakan perkhidmatan berikut, dan terutamanya:
˜' Jualan dan Pemasaran
˜' Lain-lain, termasuk mengemas kini pangkalan data dewan bandaran dan parti politik
IQUALIF terutamanya menggabungkan, memusatkan dan menyediakan perkhidmatan kepada Pengeksport Data. Perkhidmatan yang disediakan oleh pembekal perkhidmatan yang dinamakan mungkin distrukturkan (antara lain mengikut kesesuaian) di sekitar perkhidmatan sampingan berikut: (i) penyediaan aplikasi, alatan, sistem dan infrastruktur IT berhubung dengan pusat pemprosesan data yang digunakan, untuk menyediakan dan menyokong perkhidmatan, termasuk pemprosesan data peribadi subjek data seperti yang diterangkan di atas, melalui aplikasi, alatan dan sistem tersebut, (ii) penyediaan sokongan IT, penyelenggaraan dan perkhidmatan lain yang berkaitan dengan aplikasi, alatan, sistem tersebut dan infrastruktur IT, termasuk potensi akses kepada data peribadi yang disimpan dalam aplikasi, alatan dan sistem tersebut, dan (iii) penyediaan perkhidmatan perlindungan data, pemantauan perlindungan dan perkhidmatan tindak balas insiden, termasuk potensi akses kepada data peribadi apabila menyediakan perkhidmatan perlindungan tersebut. IQUALIF boleh menggunakan pemproses Data seperti yang ditetapkan di bawah untuk menyediakan perkhidmatan, termasuk perkhidmatan sampingan.
IQUALIF melibatkan penyedia perkhidmatan luar dan pihak ketiga, yang bukan anak syarikat IQUALIF, untuk menyokong penyediaan perkhidmatan kepada Pengeksport Data. Pengeksport Data meluluskan pembekal perkhidmatan pihak ketiga luaran tersebut sebagai sub-entiti yang diperuntukkan kepada pemprosesan data.
Jika sub-entiti yang terlibat dalam pemprosesan data terletak di luar EU/EEA, di negara yang dianggap tidak mempunyai tahap perlindungan data yang mencukupi di bawah keputusan Suruhanjaya Eropah, Pengimport Data akan mengambil langkah untuk mendapatkan tahap yang mencukupi perlindungan data mengikut GDPR dan seksyen 3.4 (iv) Bahagian 1.
Lampiran 2, Bahagian 2
Langkah-langkah perlindungan teknikal dan organisasi
Pengimport Data hendaklah mengambil langkah perlindungan teknikal dan organisasi berikut yang disahkan oleh Pengeksport Data, untuk menjamin tahap keselamatan yang sesuai untuk hak dan kebebasan individu, bergantung pada risiko. Dalam menilai tahap perlindungan yang berkenaan, Pengeksport Data telah mempertimbangkan, khususnya, risiko yang terlibat dalam pemprosesan, termasuk pemusnahan, pengubahan, pendedahan tanpa kebenaran, atau akses kepada data peribadi yang dihantar, disimpan atau diproses secara tidak sengaja atau menyalahi undang-undang. Dengan penjelasan: Langkah perlindungan teknikal dan organisasi ini tidak digunakan pada aplikasi, alatan, sistem dan/atau infrastruktur IT yang disediakan oleh Pengeksport Data.
1 Langkah perlindungan teknikal dan organisasi am |
1.1 Maklumat am dan strategi perlindungan data |
Langkah-langkah berikut perlu diambil untuk mengikuti strategi perlindungan data dan maklumat am: |
|
|
|
|
|
1.2 Organisasi perlindungan maklumat |
Langkah-langkah berikut perlu diambil untuk menyelaraskan aktiviti perlindungan data dan maklumat: |
|
|
|
1.3 Kawalan akses ke kawasan pemprosesan |
Langkah-langkah berikut mesti diambil untuk menghalang orang yang tidak dibenarkan daripada mendapat akses kepada sistem pemprosesan data (khususnya perisian dan perkakasan) apabila data peribadi diproses, disimpan atau dihantar: |
|
|
|
|
1.4 Kawalan capaian kepada sistem pemprosesan data |
Langkah-langkah berikut mesti diambil untuk mengelakkan capaian yang tidak dibenarkan kepada sistem pemprosesan data: |
|
|
|
|
|
|
1.5 Mengawal akses kepada kawasan tertentu penggunaan sistem pemprosesan data |
Langkah-langkah berikut mesti diambil untuk memastikan bahawa orang yang diberi kuasa yang mempunyai hak untuk menggunakan sistem pemprosesan data hanya boleh mengakses data dalam tanggungjawab dan kebenaran capaian masing-masing dan bahawa data peribadi tidak boleh dibaca, disalin, diubah suai atau dipadamkan tanpa kebenaran: |
|
|
|
|
|
|
|
1.6 Kawalan penghantaran |
Langkah-langkah berikut mesti diambil untuk mengelakkan data peribadi daripada dibaca, disalin, diubah suai atau dipadamkan oleh pihak ketiga yang tidak dibenarkan semasa penghantaran atau pengangkutan peranti storan data (bergantung pada pemprosesan data peribadi yang dijalankan): |
|
|
|
1.7 Kawalan kemasukan data |
Langkah-langkah berikut mesti diambil untuk memastikan bahawa adalah mungkin untuk mengesahkan dan menentukan sama ada data peribadi telah dimasukkan atau dipadamkan daripada sistem pemprosesan data dan oleh siapa: |
|
|
1.8 Kawalan kerja |
Dalam kes pemprosesan data peribadi yang diwakilkan, langkah-langkah berikut mesti diambil untuk memastikan data tersebut diproses mengikut arahan Penyelia: |
|
|
|
|
1.9 Pengasingan daripada pemprosesan untuk tujuan lain |
Langkah-langkah berikut mesti diambil untuk memastikan data yang dikumpul untuk tujuan lain boleh diproses secara berasingan: |
|
|
1.10 Nama samaran |
Langkah-langkah berikut mesti diambil berkenaan penyamaran data peribadi: |
|
|
1.11 Penyulitan |
Langkah berikut perlu diambil untuk menyulitkan data peribadi dalam aplikasi dan penghantaran yang menyokong penyulitan:
|
|
|
1.12 Kesempurnaan sistem dan perkhidmatan pemprosesan data |
Langkah-langkah berikut mesti diambil untuk memastikan kesempurnaan sistem dan perkhidmatan pemprosesan data: |
|
|
|
1.13 Ketersediaan sistem dan perkhidmatan pemprosesan data dan kemungkinan memulihkan akses kepada dan penggunaan data peribadi sekiranya berlaku insiden material atau teknikal |
Langkah-langkah berikut mesti diambil untuk memastikan ketersediaan sistem pemprosesan data, serta dapat memulihkan ketersediaan dan akses kepada data peribadi dengan cepat, sekiranya berlaku insiden material atau teknikal (khususnya dengan memastikan bahawa data peribadi dilindungi daripada kemusnahan atau kehilangan secara tidak sengaja): |
|
|
|
|
|
|
|
1.14 Ketahanan sistem dan perkhidmatan pemprosesan data |
Langkah-langkah berikut mesti diambil untuk memastikan daya tahan sistem dan perkhidmatan pemprosesan data: |
|
|
|
1.15 Prosedur untuk kerap menguji, menilai dan menilai keberkesanan langkah teknikal dan organisasi untuk memastikan keselamatan pemprosesan data |
Prosedur untuk kerap menguji, menilai dan menilai keberkesanan langkah teknikal dan organisasi untuk melindungi pemprosesan data. |
|
|
|
Bahagian 3
Tandatangan pihak dan senarai Pengimport Data
Apabila anda mengisi borang pesanan dalam talian dan mengesahkannya dengan menandakan kotak menerima terma dan syarat umum penggunaan, kontrak yang mengawal hubungan antara Pelanggan dan IQUALIF diwujudkan.
Menghantar bayaran kepada IQUALIF akan mempertimbangkan kontrak yang dipersetujui dan ditetapkan.
Ambil perhatian: Teks ini telah diterjemahkan daripada bahasa Perancis. Versi Perancis asal, yang sah dan menyekat undang-undang, tersedia di sini .