Lampiran Pemprosesan Data

Lampiran pemprosesan data

 

Lampiran ini merupakan bahagian integral daripada Kontrak dan dimeterai oleh:

 

  1. (i) Pelanggan ("Penghantar Data")
  2. (ii) IQUALIF ("Penerima Data")

 

Masing-masing dikenali sebagai "Pihak" dan secara umum "Pihak-pihak".

 

Preambule

DI MANA Penerima Data menyediakan perkhidmatan perisian profesional, komputer, dan perkhidmatan berkaitan (seperti pelayar dengan fungsi carian lanjutan);

DI MANA menurut Kontrak, Penerima Data bersetuju untuk menyediakan kepada Penghantar Data perkhidmatan yang dinyatakan dalam Kontrak (yang "Perkhidmatan");

DI MANA, dengan menyediakan Perkhidmatan, Penerima Data menerima atau mendapat manfaat daripada akses kepada maklumat Penghantar Data atau maklumat orang lain yang mempunyai hubungan (potensi) dengan Penghantar Data, maklumat tersebut boleh diklasifikasikan sebagai data peribadi dalam pengertian Peraturan (EU) 2016/679 Parlimen Eropah dan Majlis mengenai perlindungan individu berkenaan pemprosesan data peribadi dan pergerakan bebas data tersebut ("GDPR") dan undang-undang perlindungan data lain yang berkenaan.

DI MANA lampiran ini mengandungi terma dan syarat yang berkaitan dengan pengumpulan, pemprosesan, dan penggunaan data peribadi sedemikian oleh Penerima Data sebagai ejen pemprosesan data yang diberi kuasa oleh Penghantar Data, untuk memastikan bahawa Pihak mematuhi undang-undang perlindungan data yang berkenaan.

 

OLEH YANG DEMIKIAN, dan untuk membolehkan Pihak meneruskan hubungan mereka secara sah, Pihak telah menyimpulkan lampiran ini seperti berikut:

Bahagian 1

 

1. Struktur dokumen dan definisi

1.1 Struktur

Lampiran ini terdiri daripada bahagian-bahagian yang berbeza seperti berikut:

 

Bahagian 1: 

mengandungi ketentuan umum, contohnya berkenaan definisi yang digunakan dalam Lampiran ini, pematuhan terhadap undang-undang tempatan, masa, dan penamatan

 
Bahagian 2:

mengandungi isi kandungan Dokumen Klausa Kontrak Standard yang tidak diubah

 
Lampiran 1.1 Bahagian 2:

mengandungi butiran operasi pemprosesan yang disediakan oleh Penerima Data kepada Penghantar Data sebagai ejen pemprosesan data yang diberi kuasa (termasuk pemprosesan, sifat, dan tujuan pemprosesan, jenis data peribadi, dan kategori subjek data) di bawah Lampiran ini

 
Lampiran 2 Bahagian 2:

mengandungi penerangan tentang langkah-langkah keselamatan teknikal dan organisasi Penerima Data, yang diterapkan dalam semua aktiviti pemprosesan yang digambarkan dalam Lampiran 1.1 Bahagian 2

 
Bahagian 3:

mengandungi tandatangan Pihak yang terikat oleh Lampiran ini dan mengenal pasti setiap Penerima Data

 

 

1.2 Terminologi dan definisi

Untuk tujuan Lampiran ini, terminologi dan definisi yang digunakan oleh GDPR adalah berkenaan (Dalam isi kandungan Dokumen Klausa Kontrak Standard di Bahagian 2, di mana istilah yang ditakrifkan tidak dikapitalkan). 

 

"Negara Ahli"

bermaksud sebuah negara yang menjadi anggota Kesatuan Eropah atau Kawasan Ekonomi Eropah

 
"Kategori khas data (peribadi)"

merujuk kepada data peribadi yang mendedahkan asal kaum atau etnik, pendapat politik, kepercayaan agama atau falsafah, atau keanggotaan kesatuan sekerja, dan data genetik, data biometrik, jika diproses untuk tujuan mengenal pasti individu secara unik, data berkaitan kesihatan, data berkaitan kehidupan seks atau orientasi seksual seseorang

 
"Klausa Kontrak Standard"

bermaksud Klausa Kontrak Standard untuk pemindahan data peribadi agen pemprosesan yang ditubuhkan di negara ketiga, di bawah Keputusan Suruhanjaya 2010/87/EU pada 5 Februari 2010, yang dipinda oleh Keputusan Pelaksanaan Suruhanjaya (EU) 2016/2297 pada 16 Disember 2016

 
"Pemproses data"

bermaksud mana-mana agen pemprosesan, yang berada di dalam atau di luar EU/EEA, yang bersetuju menerima daripada Penerima Data atau mana-mana pemproses lain milik Penerima Data, data peribadi untuk tujuan eksklusif aktiviti pemprosesan yang akan dilakukan oleh Penghantar Data selepas pemindahan mengikut arahan Penghantar Data, terma dalam Lampiran ini dan Kontrak dengan Penerima Data

 

 

 

2. Tanggungjawab Penghantar Data

2.1 Penghantar Data mempunyai tanggungjawab untuk memastikan pematuhan terhadap semua kewajiban berkenaan di bawah GDPR dan undang-undang perlindungan data lain yang berkenaan yang berkaitan dengan Penghantar Data dan menunjukkan pematuhan tersebut sebagaimana yang dikehendaki oleh Artikel 5 (2) GDPR. Penghantar Data menjamin bahawa Penerima Data telah memperoleh kebenaran awal daripada subjek data mengikut Artikel 6 (a) GDPR dan telah mematuhi kewajiban untuk memaklumkan subjek data mengikut Artikel 13 dan 14 GDPR.

2.2 Penghantar Data mesti menyediakan Penerima Data dengan fail-fail aktiviti pemprosesan masing-masing mengikut Artikel 30 (1) GDPR berkaitan Perkhidmatan di bawah Lampiran ini, sejauh mana diperlukan untuk membolehkan Penerima Data mematuhi kewajiban di bawah Artikel 30 (2) GDPR.

2.3 Penghantar Data mesti melantik pegawai perlindungan data atau wakil sejauh mana diperlukan oleh undang-undang perlindungan data yang berkenaan. Penghantar Data wajib menyediakan maklumat hubungan ejen atau wakil perlindungan data, jika ada, kepada Penerima Data.

2.4 Penghantar Data mengesahkan sebelum selesai proses pemprosesan, dengan penerimaan Lampiran ini, bahawa langkah-langkah keselamatan teknikal dan organisasi Penerima Data, seperti yang ditetapkan dalam Lampiran 2 Bahagian 2, adalah sesuai dan mencukupi untuk melindungi hak subjek data dan mengesahkan bahawa Penerima Data menyediakan perlindungan yang mencukupi dalam hal ini.

 

3. Pematuhan terhadap undang-undang tempatan

Untuk memenuhi keperluan pelaksanaan agen pemprosesan berikutan Artikel 28 GDPR, pindaan berikut adalah berkenaan:

 

3.1 Arahan

  1. (i) Penghantar Data mengarahkan Penerima Data untuk memproses data peribadi hanya bagi pihak Penghantar Data. Arahan Penghantar Data disediakan dalam Lampiran ini dan dalam Kontrak. Penghantar Data bertanggungjawab memastikan semua arahan yang diberikan kepada Penerima Data mematuhi undang-undang perlindungan data yang berkenaan. Penerima Data mesti memproses data peribadi hanya mengikut arahan yang diberikan oleh Penghantar Data kecuali diarahkan lain oleh Kesatuan Eropah atau undang-undang Negara Ahli (dalam hal ini, Klausa 3.2 (iv) (c) Bahagian 1 terpakai).
  2. (ii) Semua arahan lain yang melangkaui arahan dalam Lampiran ini atau dalam Kontrak mesti dimasukkan dalam subjek Lampiran ini dan Kontrak. Jika pelaksanaan arahan tambahan ini melibatkan kos untuk Penerima Data, Penerima Data hendaklah memaklumkan kepada Penghantar Data tentang kos tersebut dan memberi penjelasan sebelum melaksanakan arahan. Hanya selepas Penghantar Data mengesahkan penerimaan kos tersebut, Penerima Data akan melaksanakan arahan tambahan ini. Penghantar Data mesti memberi arahan tambahan secara bertulis kecuali keadaan mendesak atau keadaan tertentu lain memerlukan bentuk lain (contoh: lisan, elektronik). Arahan dalam bentuk selain bertulis mesti disahkan secara bertulis dan tanpa berlengah-lengah oleh Penghantar Data.
  3. 1. Melainkan Penghantar Data tidak dapat melaksanakan pembetulan, pemadaman, atau sekatan data peribadi sendiri, arahan juga boleh berkaitan dengan pembetulan, pemadaman, dan/atau sekatan data peribadi sebagaimana yang dinyatakan dalam Klausa 3.3 Bahagian 1.
  4. 2. Penerima Data mesti segera memaklumkan kepada Penghantar Data jika, menurut pendapatnya, Arahan melanggar GDPR atau peruntukan perlindungan data lain yang berkenaan di Kesatuan Eropah atau Negara Ahli ("Arahan Dipertikaikan"). Jika Penerima Data percaya bahawa Arahan melanggar GDPR atau peruntukan perlindungan data lain yang berkenaan di Kesatuan Eropah atau Negara Ahli, Penerima Data tidak wajib mengikuti Arahan Dipertikaikan tersebut. Jika Penghantar Data mengesahkan Arahan Dipertikaikan selepas menerima maklumat daripada Penerima Data dan mengakui tanggungjawabnya terhadap Arahan Dipertikaikan, Penerima Data hendaklah melaksanakan Arahan Dipertikaikan, kecuali jika Arahan tersebut berkaitan dengan (i) pelaksanaan langkah-langkah teknikal dan organisasi, (ii) hak subjek data, atau (iii) penglibatan pemproses data. Dalam kes (i) hingga (iii), Penerima Data boleh menghubungi pihak berkuasa pengawasan yang berkenaan untuk menilai secara sah Arahan yang dipertikaikan tersebut. Jika pihak berkuasa pengawasan menyatakan Arahan tersebut sah, Penerima Data hendaklah melaksanakan Arahan tersebut. Klausa 3.1 (ii) Bahagian 1 kekal berkuat kuasa.

 

3.2 Tanggungjawab Penerima Data

  1. (i) Penerima Data mesti memastikan bahawa orang yang diberi kuasa oleh Penerima Data untuk memproses data peribadi bagi pihak Penghantar Data, khususnya pekerja Penerima Data dan pekerja Sub-Kontraktor, telah berjanji untuk mematuhi kerahsiaan atau tertakluk kepada kewajiban kerahsiaan yang sesuai menurut undang-undang, dan bahawa orang yang mempunyai akses kepada data peribadi memprosesnya mengikut arahan Penghantar Data.
  2. (ii) Penerima Data mesti melaksanakan langkah-langkah keselamatan teknikal dan organisasi sebagaimana yang ditetapkan dalam Lampiran 2 Bahagian 2 sebelum memproses data peribadi bagi pihak Penghantar Data. Penerima Data boleh mengubah langkah-langkah keselamatan teknikal dan organisasi dari semasa ke semasa jika langkah tersebut tidak menyediakan perlindungan yang kurang daripada yang ditetapkan dalam Lampiran 2 Bahagian 2.
  3. (iii) Penerima Data hendaklah menyediakan maklumat kepada Penghantar Data, atas permintaan Penghantar Data, untuk menunjukkan pematuhan terhadap kewajiban Penerima Data di bawah Lampiran ini. Pihak-pihak bersetuju bahawa kewajiban maklumat ini dipenuhi dengan menyediakan laporan audit kepada Penghantar Data (yang meliputi keselamatan prinsip, ketersediaan sistem, dan kerahsiaan) ("Laporan Audit"). Jika aktiviti audit tambahan secara sah diperlukan, Penghantar Data boleh meminta agar pemeriksaan dilakukan oleh Penghantar Data sendiri atau auditor lain yang dilantik oleh Penghantar Data, tertakluk kepada pelaksanaan perjanjian kerahsiaan oleh auditor tersebut dengan Penerima Data yang memuaskan hati Penghantar Data ("Audit"). Audit ini tertakluk kepada syarat berikut: (i) penerimaan rasmi bertulis terlebih dahulu daripada Penerima Data; dan (ii) Penghantar Data menanggung semua kos berkaitan Audit di tempat untuk Penghantar Data dan Penerima Data. Penghantar Data mesti menyediakan laporan audit yang merumuskan hasil dan pemerhatian Audit Tempat ("Laporan Audit Tempat"). Laporan Audit Tempat dan Laporan Audit adalah maklumat sulit Penerima Data dan tidak boleh didedahkan kepada pihak ketiga kecuali dikehendaki oleh undang-undang perlindungan data yang berkenaan atau dengan persetujuan Penghantar Data.
  4. (iv) Penerima Data mempunyai kewajiban untuk memaklumkan kepada Penghantar Data tanpa berlengah-lengah:
    1. a. berkenaan sebarang permintaan mengikat secara sah untuk pendedahan data peribadi oleh pihak berkuasa penguatkuasaan undang-undang, kecuali jika dilarang, seperti larangan di bawah undang-undang jenayah untuk melindungi kerahsiaan siasatan pihak berkuasa;
    2. b. berkenaan sebarang aduan dan permintaan yang diterima secara langsung daripada subjek data (contoh: berkenaan akses, pembetulan, penghapusan, sekatan pemprosesan, pemindahan data, keberatan terhadap pemprosesan data, keputusan automatik) tanpa memberi maklum balas terhadap permintaan tersebut, kecuali Penerima Data diberi kuasa untuk berbuat demikian;
    3. c. jika Penerima Data atau Pemproses Data diwajibkan, di bawah undang-undang Kesatuan Eropah atau Negara Ahli yang berkenaan, untuk memproses data peribadi melebihi arahan Penghantar Data, sebelum menjalankan pemprosesan tersebut, kecuali undang-undang Kesatuan Eropah atau Negara Ahli melarang pemprosesan tersebut atas alasan kepentingan awam yang penting, dalam hal ini, maklumat pemberitahuan kepada Penghantar Data mesti menyatakan keperluan undang-undang di bawah undang-undang Kesatuan Eropah atau Negara Ahli tersebut; atau
    4. d. jika Penerima Data menyedari pelanggaran data peribadi, semata-mata kerana dirinya sendiri atau sub-kontraktornya, yang akan menjejaskan data peribadi Penghantar Data yang diliputi oleh kontrak ini, dalam hal ini, Penerima Data akan membantu Penghantar Data dalam kewajibannya, berhubung undang-undang perlindungan data yang berkenaan, untuk memaklumkan subjek data dan, jika berkenaan, pihak berkuasa pengawasan dengan menyediakan maklumat yang ada, mengikut Artikel 33 (3) GDPR.
      1. e. Atas permintaan Penghantar Data, Penerima Data hendaklah dipaksa membantu Penghantar Data dalam kewajibannya menjalankan penilaian impak perlindungan data yang mungkin diperlukan oleh Artikel 35 GDPR dan konsultasi awal yang mungkin diperlukan oleh Artikel 36 GDPR berkenaan perkhidmatan yang disediakan oleh Penerima Data kepada Penghantar Data di bawah Lampiran ini, menyediakan maklumat dan bantuan yang diperlukan kepada Penghantar Data. Penerima Data hanya wajib memberi bantuan tersebut jika Penghantar Data tidak dapat memenuhi kewajibannya dengan cara lain. Penerima Data akan memberitahu Penghantar Data tentang kos bantuan tersebut. Sebaik sahaja Penghantar Data mengesahkan bahawa ia mampu menanggung kos ini, Penerima Data akan menyediakan bantuan tersebut.
      2. f. Pada akhir penyediaan perkhidmatan, Penghantar Data boleh meminta pengembalian data peribadi yang diproses oleh Penerima Data di bawah Lampiran ini dalam masa satu bulan selepas perkhidmatan. Melainkan undang-undang Negara Ahli atau Kesatuan Eropah memerlukan Penerima Data menyimpan atau mengekalkan data tersebut, Penerima Data akan memadam semua data peribadi atau data bukan peribadi tersebut selepas tempoh satu bulan, sama ada data tersebut dikembalikan kepada Penghantar Data atas permintaan atau tidak.

     

    3.3 Hak subjek data

    1.  
      1. (i) Penghantar Data mengurus dan memberi maklum balas terhadap permintaan yang dibuat oleh subjek data. Penerima Data tidak wajib memberi maklum balas secara langsung kepada subjek data.
      2. (ii) Jika Penghantar Data memerlukan bantuan Penerima Data dalam memproses dan memberi maklum balas terhadap permintaan Subjek Data, Penghantar Data hendaklah mengeluarkan arahan selanjutnya mengikut Klausa 3.1 (ii) Bahagian 1. Arahan ini akan membantu Penghantar Data dengan langkah-langkah teknikal dan organisasi yang sesuai untuk membalas permintaan bagi melaksanakan hak subjek data sebagaimana yang dinyatakan dalam Bab III GDPR seperti berikut:
      3. a. Berkenaan permintaan maklumat, Penerima Data hanya akan menyediakan Penghantar Data dengan maklumat yang diperlukan oleh Artikel 13 dan 14 GDPR yang mungkin ada padanya jika Penghantar Data tidak dapat menemuinya sendiri.
      4. b. Berkenaan permintaan akses (Artikel 15 GDPR), Penerima Data hanya akan menyediakan Penghantar Data dengan maklumat yang sepatutnya diberikan kepada subjek data untuk permintaan akses tersebut, yang mungkin ada padanya jika subjek data tidak dapat menemuinya sendiri.
      5. c. Berkenaan permintaan pembetulan (Artikel 16 GDPR), penghapusan (Artikel 17 GDPR), sekatan pemprosesan (Artikel 18 GDPR), atau permintaan pemindahan data (Artikel 20 GDPR), dan hanya jika Penghantar Data tidak dapat membetulkan atau memadam sendiri, membatasi, atau memindahkan data peribadi kepada pihak ketiga lain, Penerima Data akan menawarkan kepada Penghantar Data kemungkinan membetulkan atau memadam, membatasi, atau memindahkan data peribadi yang berkenaan kepada pihak ketiga lain, atau jika tidak dapat, akan memberi bantuan untuk membetulkan atau memadam, membatasi, atau memindahkan data tersebut kepada pihak ketiga lain.
      6. d. Berkenaan notifikasi berkenaan pembetulan, penghapusan, atau sekatan pemprosesan (Artikel 19 GDPR), Penerima Data akan membantu Penghantar Data dengan memaklumkan semua penerima data peribadi yang dilibatkan oleh Penerima Data sebagai pemproses jika Penghantar Data memintanya dan jika Penghantar Data tidak dapat menyelesaikan keadaan sendiri.
      7. e. Berkenaan hak keberatan yang dilaksanakan oleh subjek data (Artikel 21 dan 22 GDPR), Penghantar Data akan menentukan sama ada keberatan tersebut sah dan bagaimana menanganinya.
      8. (iii) Kewajiban bantuan Penerima Data adalah terhad kepada data peribadi yang diproses dalam infrastruktur mereka sendiri (contoh: pangkalan data, sistem, aplikasi milik atau disediakan oleh Penerima Data).
      9. (iv) Penghantar Data hendaklah menentukan sama ada Subjek Data boleh melaksanakan hak-hak Subjek Data sebagaimana yang dinyatakan dalam Klausa 3.1 Bahagian 1 dan hendaklah menasihati Penerima Data tentang sejauh mana bantuan yang dinyatakan dalam Klausa 3.3 (ii), (iii) Bahagian 1 adalah perlu.
      10. (v) Jika Penghantar Data meminta langkah-langkah teknikal dan organisasi tambahan atau yang diubah suai untuk memenuhi hak subjek data yang melebihi bantuan yang disediakan oleh Penerima Data di bawah Sub-Klausa 3.3 (ii), (iii) Bahagian 1, Penerima Data hendaklah memberitahu Penghantar Data tentang kos pelaksanaan langkah-langkah tersebut. Sebaik sahaja Penghantar Data mengesahkan mampu menanggung kos ini, Penerima Data akan melaksanakan langkah tambahan atau yang diubah suai tersebut untuk membantu Penghantar Data dalam membalas permintaan Subjek Data.
      11. (vi) Tanpa mengehadkan skop Klausa 3.3 (v) Bahagian 1, Penghantar Data hendaklah bertanggungjawab untuk membayar balik Penerima Data bagi perbelanjaan yang munasabah yang ditanggungnya dalam membalas permintaan Subjek Data.

     

    3.4 Sub-pemprosesan

    1.  
      1. (i) Penghantar Data memberi kuasa kepada Penerima Data untuk menggunakan sub-kontraktor bagi penyediaan perkhidmatan di bawah Lampiran ini. Penerima Data hendaklah memilih pemproses data tersebut dengan berhati-hati. Penghantar Data meluluskan pemproses data yang disenaraikan dalam Lampiran 1.1 di akhir Bahagian 2.
      2. (ii) Penerima Data hendaklah memindahkan kewajiban mereka di bawah Lampiran ini kepada pemproses data (s) sejauh mana berkaitan dengan perkhidmatan sub-kontrak tersebut.
      3. (iii) Penerima Data boleh memberhentikan, menggantikan, atau melantik pemproses data lain yang sesuai dan boleh dipercayai mengikut budi bicara mereka. Jika diminta secara bertulis oleh Penghantar Data, Penerima Data mesti mengikuti prosedur yang ditetapkan di bawah:
    2.  
      1. a. Penerima Data hendaklah memaklumkan kepada Penghantar Data sebelum sebarang perubahan pada senarai pemproses data yang dirujuk di bawah Klausa 3.4 (i) Bahagian 1. Jika Penghantar Data tidak membantah dalam tempoh tiga puluh hari selepas menerima pemberitahuan daripada Penerima Data, pemproses tambahan tersebut dianggap diterima.
      2. b. Jika Penghantar Data mempunyai alasan sah untuk membantah penggunaan pemproses data tambahan, ia akan memberi notis bertulis terlebih dahulu kepada Penerima Data dalam tempoh tiga puluh hari selepas menerima pemberitahuan daripada Penerima Data dan sebelum perkhidmatan Penerima Data diaktifkan. Jika Penghantar Data membantah penggunaan pemproses data tambahan, Penerima Data boleh membatalkan rancangan tersebut melalui salah satu pilihan berikut (dipilih mengikut budi bicara mereka): (A) Penerima Data akan membatalkan rancangan untuk menggunakan pemproses tambahan berkenaan data peribadi Penghantar Data; (B) Penerima Data akan mengambil langkah pembetulan yang diminta oleh Penghantar Data dalam bantahan tersebut (membatalkan bantahan) dan menggunakan pemproses tambahan berkenaan data peribadi Penghantar Data; (C) Penerima Data boleh berhenti menyediakan atau Penghantar Data boleh bersetuju untuk tidak menggunakan (sementara atau kekal) aspek tertentu perkhidmatan yang melibatkan penggunaan pemproses tambahan data peribadi Penghantar Data.
    3.  
      1. (iv) jika pemproses data berpusat di luar EU-EEA di negara yang tidak diiktiraf menawarkan tahap perlindungan data yang mencukupi berdasarkan keputusan Suruhanjaya Eropah, Penerima Data akan mengambil langkah-langkah untuk mematuhi tahap perlindungan data yang mencukupi mengikut GDPR (langkah-langkah ini termasuk - antara lain - penggunaan kontrak pemprosesan data berdasarkan klausa Model EU, pemindahan kepada pemproses data yang disahkan sendiri di bawah perlindungan EU-US, atau program serupa).

     

    3.5 Tempoh tamat

    Tempoh tamat Lampiran ini adalah sama dengan tarikh tamat kontrak yang berkaitan. Kecuali dinyatakan sebaliknya dalam Lampiran ini, hak dan kewajiban berkaitan penamatan adalah sama seperti yang terkandung dalam Kontrak.

     

    4. Had liabiliti

    4.1 Setiap pihak menguruskan kewajiban mereka di bawah Lampiran ini dan undang-undang perlindungan data yang berkenaan.

    4.2 Sebarang liabiliti berkaitan pelanggaran kewajiban di bawah Lampiran ini atau undang-undang perlindungan data yang berkenaan akan tertakluk dan dikawal oleh ketentuan liabiliti yang dinyatakan dalam, atau berkenaan dengan, Kontrak, kecuali dinyatakan lain dalam Lampiran ini. Jika liabiliti dikawal oleh ketentuan liabiliti dalam atau berkenaan dengan Kontrak, untuk pengiraan had liabiliti atau penentuan aplikasi had liabiliti lain, sebarang liabiliti yang timbul di bawah Lampiran ini akan dianggap sebagai timbul di bawah Kontrak.

     

    5. Peruntukan umum

    5.1 Sekiranya terdapat sebarang ketidaksesuaian atau percanggahan antara Bahagian 1 dan 2 dalam Lampiran ini, Bahagian 2 akan mengatasi. Khususnya, walaupun dalam keadaan tersebut, Bahagian 1 yang hanya melangkaui Bahagian 2 (iaitu terma klausa standard) tanpa bertentangan dengannya akan tetap sah.

    5.2 Sekiranya berlaku sebarang percanggahan antara peruntukan dalam Lampiran ini dan peruntukan dalam kontrak lain yang mengikat pihak-pihak, Lampiran ini akan mengatasi berkenaan kewajiban perlindungan data pihak-pihak. Dalam keraguan sama ada klausa dalam kontrak lain berkaitan dengan kewajiban perlindungan data pihak-pihak, Lampiran ini akan mengatasi.

    5.3 Sekiranya mana-mana peruntukan dalam Lampiran ini tidak sah atau tidak boleh dikuatkuasakan, baki Lampiran ini akan tetap berkuat kuasa sepenuhnya. Peruntukan yang tidak sah atau tidak boleh dikuatkuasakan akan (i) dipinda untuk memastikan kesahihan dan keberkuatannya, sambil mengekalkan sejauh mungkin niat pihak-pihak, atau - jika ini tidak mungkin - (ii) ditafsirkan seolah-olah bahagian yang tidak sah atau tidak boleh dikuatkuasakan tidak pernah menjadi sebahagian daripada kontrak. Perkara ini juga akan terpakai jika terdapat kekurangan dalam Lampiran ini.

    5.5 Sejauh mana perlu, Pihak-pihak boleh meminta pindaan kepada Bahagian 1, Klausa 3 (Pematuhan terhadap undang-undang tempatan) atau bahagian lain dalam Lampiran ini untuk mematuhi tafsiran, arahan, atau perintah yang dikeluarkan oleh pihak berkuasa yang berkenaan di Kesatuan atau Negara Ahli, peruntukan penguatkuasaan nasional, atau perkembangan undang-undang lain berkenaan GDPR atau syarat pelantikan lain kepada mana-mana entiti yang terlibat dalam pemprosesan data dan khususnya berkenaan penggunaan Klausa Kontrak Standard dalam GDPR. Terma Klausa Kontrak Standard tidak boleh diubah atau digantikan melainkan secara jelas diluluskan oleh Suruhanjaya Eropah (contoh: klausa yang baru dan piawaian perlindungan data yang sesuai).

    5.6 Sebarang rujukan dalam Lampiran ini kepada "Klausa" hendaklah difahami merujuk kepada semua peruntukan dalam Lampiran ini kecuali dinyatakan sebaliknya.

    5.7 Pilihan undang-undang dalam Klausa 9 Bahagian 2 terpakai kepada seluruh Kontrak.

     

    6. Data peribadi yang dihantar dan diproses oleh pihak-pihak untuk tujuan peribadi (pemindahan dari pengawal data ke pengawal data)

    6.1 Pihak-pihak mengetahui sepenuhnya bahawa data peribadi tertentu akan dipindahkan dari Penghantar Data kepada Penerima Data dan sebaliknya, dan bahawa data tersebut diproses oleh setiap Pihak untuk tujuan mereka sendiri. Berkenaan data peribadi tersebut, ia tidak menjejaskan peruntukan lain dalam Lampiran ini (kecuali klausa 6 ini).

    6.2 Penghantar Data boleh memindahkan data peribadi berkaitan kakitangan Penerima Data kepada Penerima Data, termasuk maklumat berkenaan insiden keselamatan, atau dokumen atau fail lain yang dibuat atau ditubuhkan oleh Penghantar Data berhubung Perkhidmatan yang disediakan oleh kakitangan Penerima Data. Penerima Data boleh memproses data peribadi tersebut untuk tujuan mereka sendiri, khususnya dalam hubungan profesional mereka dengan kakitangan Penerima Data, untuk kawalan kualiti dan latihan, atau untuk tujuan perniagaan.

    6.3 Penerima Data boleh memindahkan data peribadi kepada Penghantar Data, termasuk nama dan maklumat hubungan kakitangan Penerima Data. Penghantar Data boleh memproses data peribadi tersebut untuk tujuan mereka sendiri.

    6.4 Kedua-dua pihak hendaklah mematuhi mana-mana undang-undang perlindungan data yang berkenaan, termasuk GDPR, dalam pengumpulan, pemprosesan, dan penggunaan data peribadi yang diterima daripada pihak lain di bawah klausa 1 Bahagian 1. Khususnya, kedua-dua Pihak hendaklah mengambil langkah keselamatan yang mencukupi, menyediakan tahap perlindungan yang serupa dengan langkah-langkah keselamatan yang dinyatakan dalam Lampiran 2 Bahagian 2. Sebarang akses kepada data peribadi tersebut hendaklah terhad kepada keperluan untuk mengetahuinya.

    6.5 Kedua-dua Pihak mesti memadamkan data peribadi tersebut secepat mungkin selepas objektif tercapai.

    Bahagian 2

     

    KEPUTUSAN SURUHANJAYA

    berkaitan 5 Februari 2010

    berkenaan klausa kontrak standard untuk pemindahan data peribadi kepada pemproses data yang ditubuhkan di negara ketiga di bawah Arahan 95/46/EC Parlimen Eropah dan Majlis

     

     

     

    Klausa 1

    Takrifan

    Dalam maksud klausa:

    a) 'data peribadi', 'kategori khas data', 'pemprosesan', 'pengawal data', 'pemproses', 'subjek data' dan 'pihak berkuasa pengawasan' mempunyai maksud yang sama seperti dalam Arahan 95/46/EC Parlimen Eropah dan Majlis 24 Oktober 1995 berkenaan perlindungan individu berkenaan pemprosesan data peribadi dan pergerakan bebas data tersebut (1);

    b) 'Penghantar Data' ialah pengawal data yang memindahkan data peribadi;

    c) 'Penerima Data' ialah pemproses data yang bersetuju menerima daripada Penghantar Data data peribadi yang bertujuan untuk diproses bagi pihak Penghantar Data selepas pemindahan mengikut arahan dan terma dalam klausa ini dan yang tidak tertakluk kepada mekanisme negara ketiga yang menawarkan perlindungan yang mencukupi mengikut maksud Artikel 25(1) Arahan 95/46/EC; (d) 'pemproses data' bermaksud pemproses data yang dilantik oleh Penerima Data atau oleh mana-mana pemproses lain milik Penerima Data yang bersetuju menerima daripada Penerima Data atau mana-mana pemproses lain milik Penerima Data data peribadi secara eksklusif untuk aktiviti pemprosesan yang akan dilakukan bagi pihak Penghantar Data selepas pemindahan mengikut arahan Penghantar Data, di bawah syarat-syarat yang ditetapkan dalam klausa ini dan di bawah terma kontrak sub-kontrak pemprosesan data bertulis;

    e) "undang-undang perlindungan data yang berkenaan" bermaksud perundangan yang melindungi hak dan kebebasan asas individu, termasuk hak kepada privasi berkenaan pemprosesan data peribadi, dan yang berkenaan dengan pengawal data di Negara Ahli tempat Penghantar Data ditubuhkan;

    f) “langkah-langkah teknikal dan organisasi berkaitan keselamatan” bermaksud langkah-langkah yang bertujuan melindungi data peribadi daripada kemusnahan tidak sengaja atau haram atau kehilangan tidak sengaja, pengubahan, pendedahan atau akses tidak sah, khususnya apabila pemprosesan melibatkan penghantaran data melalui rangkaian, dan terhadap semua bentuk pemprosesan haram yang lain.

    Klausa 2

    Butiran pemindahan

    Butiran pemindahan, termasuk, jika sesuai, kategori khas data peribadi, dinyatakan dalam Lampiran 1, yang merupakan bahagian tidak terpisahkan daripada klausa ini.

    Klausa 3

    Peruntukan pihak ketiga yang berhak

    1. Subjek data boleh menuntut terhadap Penghantar Data klausa ini, Klausa 4(b) hingga (i), Klausa 5(a) hingga (e) dan (g) hingga (j), Klausa 6 (1) dan (2), Klausa 7, Klausa 8(2) dan Klausa 9 hingga 12 sebagai pihak ketiga yang berhak

    2. Subjek data boleh menuntut klausa ini, Klausa 5 (a) hingga (e) dan (g), Klausa 6, Klausa 7, Klausa 8 (2) dan Klausa 9 hingga 12 terhadap Penerima Data di mana Penghantar Data telah hilang secara fizikal atau tidak lagi wujud secara undang-undang, kecuali semua kewajiban undang-undangnya telah dipindahkan, melalui kontrak atau melalui operasi undang-undang, kepada entiti pengganti, yang mana hak dan kewajiban Penghantar Data tersebut akan berbalik, dan terhadap mana subjek data boleh menuntut pelaksanaan klausa tersebut.

    Subjek data boleh menuntut klausa ini, Klausa 5 (a) hingga (e) dan (g), Klausa 6, Klausa 7, Klausa 8 (2) dan Klausa 9 hingga 12 terhadap pemproses data, tetapi hanya dalam kes di mana Penghantar Data dan Penerima Data telah hilang secara fizikal, tidak lagi wujud secara undang-undang atau menjadi muflis, kecuali semua kewajiban undang-undang Penghantar Data telah dipindahkan, melalui kontrak atau melalui operasi undang-undang, kepada pengganti undang-undang, yang mana hak dan kewajiban Penghantar Data akan berbalik, dan terhadap mana subjek data boleh menuntut klausa tersebut. Liabiliti pemproses data mesti terhad kepada aktiviti pemprosesan mereka sendiri di bawah klausa ini.

    4. Pihak-pihak tidak membantah jika subjek data diwakili oleh pertubuhan atau badan lain jika dia berhasrat demikian dan jika undang-undang negara membenarkan.

    Klausa 4

    Kewajiban Penghantar Data

    Penghantar Data menerima dan menjamin perkara berikut:

    a) pemprosesan, termasuk pemindahan data peribadi secara sebenar, telah dan akan diteruskan mengikut ketentuan undang-undang perlindungan data yang berkenaan (dan, jika berkenaan, telah diberitahu kepada pihak berkuasa yang berkenaan di Negara Ahli tempat Penghantar Data beroperasi) dan tidak melanggar ketentuan yang berkenaan di negara tersebut;

    b) mereka telah mengarahkan, dan akan mengarahkan sepanjang perkhidmatan pemprosesan data peribadi, Penerima Data untuk memproses data peribadi yang dipindahkan hanya bagi pihak Penghantar Data dan mengikut undang-undang perlindungan data yang berkenaan dan klausa ini;

    c) Penerima Data akan menyediakan perlindungan yang mencukupi berkenaan langkah-langkah keselamatan teknikal dan organisasi yang ditetapkan dalam Lampiran 2 kontrak ini;

    d) selepas penilaian keperluan undang-undang perlindungan data yang berkenaan, langkah-langkah keselamatan adalah mencukupi untuk melindungi data peribadi daripada kemusnahan tidak sengaja atau haram atau kehilangan tidak sengaja, pengubahan, pendedahan atau akses tidak sah, khususnya apabila pemprosesan melibatkan penghantaran data melalui rangkaian, dan terhadap semua bentuk pemprosesan haram yang lain dan memastikan tahap keselamatan yang sesuai dengan risiko yang diwakili oleh pemprosesan dan sifat data yang hendak dilindungi, dengan mengambil kira tahap teknologi dan kos pelaksanaan;

    e) mereka akan memastikan pematuhan terhadap langkah-langkah keselamatan;

    f) jika pemindahan berkaitan dengan kategori khas data, subjek data telah diberitahu atau akan diberitahu sebelum pemindahan bahawa data mereka mungkin dipindahkan ke negara ketiga yang tidak menawarkan tahap perlindungan yang mencukupi mengikut maksud Arahan 95/46/EC;

    g) mereka akan meneruskan sebarang notis yang diterima daripada Penerima Data atau mana-mana pemproses data di bawah Klausa 5 (b) dan 8 (3) kepada pihak berkuasa pengawasan perlindungan data jika mereka memutuskan untuk meneruskan pemindahan atau melonggarkan penggantungan tersebut;

    h) mereka akan menyediakan kepada subjek data, jika diminta, salinan klausa ini, kecuali Lampiran 2, dan ringkasan langkah keselamatan, serta salinan sebarang perjanjian sub-kontrak yang dibuat di bawah klausa ini, kecuali klausa atau perjanjian tersebut mengandungi maklumat komersial, dalam hal ini mereka boleh menarik balik maklumat tersebut;

    i) dalam kes sub-kontrak pemprosesan data, aktiviti pemprosesan dijalankan mengikut Klausa 11 oleh pemproses data yang menyediakan tahap perlindungan data peribadi dan hak subjek data yang sekurang-kurangnya sama seperti Penerima Data di bawah klausa ini; dan

    j) mereka akan memastikan pematuhan terhadap Klausa 4 (a) hingga (i).

    Klausa 5

    Kewajiban Penerima Data

    Penerima Data menerima dan menjamin perkara berikut:

    a) mereka akan memproses data peribadi hanya bagi pihak Penghantar Data dan mengikut arahan Penghantar Data serta klausa ini; jika tidak dapat mematuhi atas apa-apa sebab, mereka bersetuju untuk memaklumkan Penghantar Data tentang ketidakmampuan tersebut secepat mungkin, dalam hal ini Penghantar Data boleh menggantung pemindahan data dan/atau menamatkan kontrak;

    b) mereka tidak mempunyai alasan untuk percaya bahawa undang-undang yang berkenaan menghalang mereka daripada memenuhi arahan yang diberikan oleh Penghantar Data dan kewajiban yang tertakluk kepada mereka di bawah kontrak, dan jika undang-undang tersebut mengalami perubahan yang boleh memberi kesan material terhadap jaminan dan kewajiban di bawah klausa ini, mereka hendaklah memaklumkan Penghantar Data tentang perubahan tersebut tanpa berlengah selepas menyedarinya, dalam hal ini Penghantar Data boleh menggantung pemindahan data dan/atau menamatkan kontrak; (c) mereka telah melaksanakan langkah-langkah keselamatan teknikal dan organisasi yang ditetapkan dalam Lampiran 2 sebelum memproses data peribadi yang dipindahkan;

    d) mereka akan memaklumkan Penghantar Data tanpa berlengah:

    i) sebarang permintaan mengikat secara sah untuk pendedahan data peribadi daripada pihak berkuasa penguatkuasaan undang-undang, kecuali jika dinyatakan lain, seperti larangan jenayah yang bertujuan menjaga kerahsiaan siasatan polis;

    ii) sebarang akses tidak sah atau tidak diiktiraf; dan

    iii) sebarang permintaan yang diterima secara langsung daripada orang yang berkenaan tanpa membalasnya kecuali mereka diberi kuasa untuk berbuat demikian; pentadbir

    e) mereka akan menangani dengan segera dan betul semua pertanyaan daripada Penghantar Data berkenaan pemprosesan data peribadi yang sedang dipindahkan dan akan bertindak mengikut pendapat pihak berkuasa pengawasan berkenaan pemprosesan data tersebut;

    f) atas permintaan Penghantar Data, mereka akan menjalankan audit ke atas kemudahan pemprosesan data mereka berkenaan aktiviti pemprosesan yang diliputi klausa ini yang akan dilakukan oleh Penghantar Data sendiri atau badan pengawas yang terdiri daripada ahli bebas yang mempunyai kelayakan profesional yang diperlukan, tertakluk kepada kewajiban kerahsiaan dan dipilih oleh Penghantar Data, jika sesuai dengan persetujuan pihak berkuasa pengawasan;

    g) mereka akan menyediakan kepada subjek data, jika dia berhasrat, salinan klausa ini, atau sebarang kontrak sub-kontrak pemprosesan data yang sedia ada, kecuali klausa atau kontrak tersebut mengandungi maklumat komersial, dalam hal ini mereka boleh mengeluarkan maklumat tersebut, kecuali Lampiran 2, yang akan digantikan dengan ringkasan langkah keselamatan, di mana subjek data tidak dapat memperoleh salinan daripada Penghantar Data;

    h) dalam kes sub-kontrak pemprosesan data yang bersifat sulit, mereka akan memastikan bahawa mereka memaklumkan Penghantar Data terlebih dahulu dan mendapatkan persetujuan bertulis daripada Penghantar Data;

    i) perkhidmatan pemprosesan yang disediakan oleh pemproses data hendaklah mematuhi Klausa 11;

    j) mereka akan segera menghantar salinan sebarang sub-kontrak perjanjian pemprosesan data yang dimeterai di bawah klausa ini kepada Penghantar Data.

    Klausa 6

    Tanggungjawab

    1. Pihak-pihak bersetuju bahawa mana-mana subjek data yang mengalami kerosakan akibat pelanggaran kewajiban sebagaimana yang dirujuk dalam Klausa 3 atau Klausa 11 oleh salah satu pihak atau oleh pemproses data boleh mendapatkan pampasan daripada Penghantar Data untuk kerosakan yang dialami.

    2. Jika subjek data dilarang mengemukakan tindakan untuk ganti rugi sebagaimana dirujuk dalam perenggan 1 terhadap Penghantar Data kerana kegagalan oleh Penerima Data atau pemproses data mereka untuk mematuhi mana-mana kewajiban di bawah Klausa 3 atau Klausa 11 kerana Penghantar Data telah hilang secara fizikal, tidak lagi wujud secara undang-undang atau menjadi muflis, Penerima Data bersetuju bahawa subjek data boleh mengemukakan aduan terhadapnya seolah-olah dia adalah Penghantar Data kecuali semua kewajiban undang-undang Penghantar Data telah dipindahkan, melalui kontrak atau melalui operasi undang-undang, kepada entiti pengganti, yang mana subjek data boleh menuntut haknya. Penerima Data tidak boleh bergantung kepada pelanggaran kewajiban oleh pemproses data untuk mengelak liabiliti sendiri.

    3. Jika subjek data dilarang mengemukakan tindakan sebagaimana dalam perenggan 1 dan 2 terhadap Penghantar Data atau Penerima Data kerana pelanggaran oleh pemproses data terhadap kewajiban mereka di bawah Klausa 3 atau Klausa 11 kerana Penghantar Data dan Penerima Data telah hilang secara fizikal, tidak lagi wujud secara undang-undang atau menjadi muflis, pemproses data bersetuju bahawa subjek data boleh mengemukakan aduan terhadapnya berkenaan aktiviti pemprosesan sendiri mengikut klausa ini seolah-olah dia adalah Penghantar Data atau Penerima Data kecuali semua kewajiban undang-undang Penghantar Data atau Penerima Data telah dipindahkan, melalui kontrak atau melalui operasi undang-undang, kepada pengganti undang-undang, yang mana hak dan kewajiban Penghantar Data akan berbalik, dan terhadap mana subjek data boleh menuntut haknya. Liabiliti pemproses data mesti terhad kepada aktiviti pemprosesan mereka sendiri mengikut klausa ini.

     

 

Klausa 7

Pemadanan dan bidang kuasa

1. Penerima Data bersetuju bahawa jika di bawah klausa, subjek data menuntut terhadapnya hak pihak ketiga dan/atau menuntut pampasan atas kerugian yang dialami, dia akan menerima keputusan subjek data:

a) untuk menyerahkan pertikaian kepada mediasi oleh orang yang bebas atau, jika sesuai, pihak berkuasa pengawasan;

b) untuk membawa pertikaian ke mahkamah Negara Ahli tempat Penghantar Data beroperasi.

2. Pihak-pihak bersetuju bahawa pilihan yang dibuat oleh subjek data tidak akan menjejaskan hak prosedur atau substantif subjek data untuk mendapatkan ganti rugi mengikut peruntukan undang-undang negara atau antarabangsa yang berkenaan.

Klausa 8

Kerjasama dengan pihak berkuasa pengawasan

1. Penghantar Data bersetuju untuk menyerahkan salinan kontrak ini kepada pihak berkuasa pengawasan jika diminta atau jika undang-undang perlindungan data yang berkenaan memerlukannya.

2. Pihak-pihak bersetuju bahawa pihak berkuasa pengawasan boleh menjalankan pemeriksaan di Penerima Data dan mana-mana pemproses data dengan syarat dan dalam keadaan yang sama seperti pemeriksaan yang dijalankan di Penghantar Data mengikut undang-undang perlindungan data yang berkenaan.

3. Penerima Data hendaklah memaklumkan Penghantar Data secepat mungkin tentang kewujudan perundangan berkenaan Penerima Data atau mana-mana pemproses data yang menghalang pengesahan di Penerima Data atau mana-mana pemproses data mengikut perenggan 2. Dalam keadaan tersebut, Penghantar Data boleh mengambil langkah-langkah sebagaimana yang dinyatakan dalam Klausa 5 (b).

Klausa 9

Undang-undang yang berkenaan

Klausa ini berkuat kuasa dan dikawal oleh undang-undang Negara Ahli tempat Penghantar Data beroperasi.

Klausa 10

Pengubahsuaian kontrak

Pihak-pihak berjanji tidak akan mengubah klausa ini. Pihak-pihak kekal bebas untuk memasukkan klausa komersial lain yang mereka anggap perlu, selagi tidak bertentangan dengan klausa ini.

Klausa 11

Sub-kontrak kemudian

1. Penerima Data tidak boleh sub-kontrak aktiviti pemprosesan mereka yang dilakukan bagi pihak Penghantar Data di bawah klausa ini tanpa kebenaran bertulis terlebih dahulu daripada Penghantar Data. Penerima Data hanya boleh sub-kontrak kewajiban mereka di bawah klausa ini, dengan persetujuan Penghantar Data, melalui perjanjian bertulis dengan pemproses data yang mewajibkan pemproses data tersebut mematuhi kewajiban yang sama seperti yang dikenakan ke atas Penerima Data di bawah klausa ini. Jika pemproses data tidak dapat mematuhi kewajiban perlindungan data mereka di bawah perjanjian bertulis tersebut, Penerima Data akan tetap bertanggungjawab sepenuhnya terhadap Penghantar Data untuk pematuhan kewajiban tersebut.

2. Perjanjian bertulis terlebih dahulu antara Penerima Data dan pemproses data juga mesti merangkumi klausa pihak ketiga yang berhak sebagaimana yang dinyatakan dalam Klausa 3 untuk kes di mana subjek data dilarang daripada menuntut ganti rugi sebagaimana dirujuk dalam Klausa 6 (1), terhadap Penghantar Data atau Penerima Data kerana Penghantar Data atau Penerima Data telah hilang secara fizikal, tidak lagi wujud secara undang-undang atau menjadi muflis dan semua kewajiban undang-undang Penghantar Data atau Penerima Data tidak dipindahkan, melalui kontrak atau melalui operasi undang-undang, kepada pengganti undang-undang. Liabiliti pemproses data mesti terhad kepada aktiviti pemprosesan mereka sendiri mengikut klausa ini.

3. Peruntukan berkaitan aspek perlindungan data dalam sub-kontrak pemprosesan data kontrak sebagaimana dirujuk dalam perenggan 1 hendaklah dikawal oleh undang-undang Negara Ahli tempat Penghantar Data beroperasi.

4. Penghantar Data hendaklah menyimpan senarai perjanjian sub-kontrak pemprosesan data yang dibuat di bawah klausa ini dan diberitahu oleh Penerima Data mengikut Klausa 5 (j), yang hendaklah dikemas kini sekurang-kurangnya sekali setahun. Senarai ini hendaklah diserahkan kepada pihak berkuasa pengawasan perlindungan data Penghantar Data.

Klausa 12

Kewajiban selepas tamat perkhidmatan pemprosesan data peribadi

1. Pihak-pihak bersetuju bahawa selepas selesai perkhidmatan pemprosesan data, Penerima Data dan pemproses data akan, mengikut keselesaan Penghantar Data, mengembalikan semua data peribadi yang dipindahkan dan salinannya kepada Penghantar Data, atau memusnahkan semua data tersebut dan menyediakan bukti pemusnahan kepada Penghantar Data, kecuali undang-undang mengenakan larangan kepada Penerima Data untuk mengembalikan atau memusnahkan semua atau sebahagian data peribadi yang dipindahkan. Dalam hal ini, Penerima Data menjamin bahawa mereka akan memastikan kerahsiaan data peribadi yang dipindahkan dan bahawa mereka tidak akan aktif memproses data tersebut lagi.

2. Penerima Data dan pemproses data hendaklah memastikan bahawa, jika diminta oleh Penghantar Data dan/atau pihak berkuasa pengawasan, mereka akan menjalankan pemeriksaan terhadap langkah-langkah pemprosesan data mereka sebagaimana yang dirujuk dalam perenggan 1.