Dette vedlegget utgjør en fullverdig del av kontrakten og inngås av:
(i) Kunden ("Dataeksportør")
(ii) IQUALIF ("Dataimportør")
Disse vil bli omtalt som "part" eller "parter".
Innledning
Dataimportøren tilbyr profesjonelle programvaretjenester, datamaskiner og relaterte tjenester (for eksempel nettlesere med avanserte søkefunksjoner);
I henhold til kontrakten har dataimportøren avtalt å levere til dataeksportøren tjenestene spesifisert i kontrakten ("tjenestene");
Ved å tilby tjenestene, vil dataimportøren motta eller dra fordel av tilgang til dataeksportørens informasjon eller informasjon fra andre personer som har et (potensielt) forhold til dataeksportøren. Slik kan informasjon kvalifiseres som personopplysninger i henhold til Personvernforordningen (EU) 2016/679 fra Europaparlamentet og Rådet fra 27. april 2016 om beskyttelse av enkeltpersoner i forbindelse med behandling av personopplysninger og om fri utveksling av slike data (General Data Protection Regulation, GDPR) og andre gjeldende databeskyttelseslover.
Dette vedlegget inneholder vilkårene og betingelsene som gjelder dataimportørens innsamling, behandling og bruk av slike personopplysninger i egenskap av autorisert databehandlingsagent for dataeksportøren, for å sikre at partene overholder gjeldende databeskyttelseslov.
Derfor, og for å gjøre det mulig for partene å fortsette sitt forhold lovlig, har partene ingått dette vedlegget som følger:
Del 1
1. Dokumentets struktur og definisjoner
1.1 Struktur
Dette tillegget består av følgende deler:
Del 1: inneholder generelle bestemmelser, f.eks. angående definisjonene som er brukt i dette tillegget, overholdelse av lokale lover, frister og oppsigelse
Del 2: inneholder hoveddelen av dokumentet om standard kontraktsklausuler
Vedlegg 1.1 til del 2: inneholder detaljene om behandlingsoperasjonene som er gitt av dataimportøren til dataeksportøren som autorisert databehandler (inkludert type behandling og formål med behandlingen, type personopplysninger og kategorier av registrerte personer) under dette vedlegget
Vedlegg 2 til del 2: inneholder en beskrivelse av dataimportørens tekniske og organisatoriske sikkerhetstiltak, som brukes i forbindelse med all behandlingsaktivitet beskrevet i vedlegg 1.1 til del 2
Del 3: inneholder signaturene til partene som skal være bundet av dette vedlegget og identifiserer hver dataimportør
1.2 Terminologi og definisjoner
I forbindelse med dette vedlegget er terminologien og definisjonene som brukes i GDPR, gjeldende (i hoveddelen av standardkontraktklausul-dokumentet i del 2, der definerte termer er uten stor forbokstav).
"Medlemsland" betyr et land som tilhører EU eller Det europeiske økonomiske samarbeidsområdet
"Spesielle kategorier med (personlig) data" refererer til personopplysninger som avslører etnisk opprinnelse, politiske meninger, religiøst eller filosofisk livssyn, eller fagforeningsmedlemskap, genetiske data, biometriske data hvis de behandles med det formål å identifisere en person unikt, opplysninger om helse, opplysninger om en persons kjønnsliv eller seksuelle legning
"Standard kontraktsklausuler" betyr standard kontraktsklausuler for overføring av personopplysninger om behandlingsagenter etablert i tredjepartsland, i henhold til kommisjonsvedtak 2010/87/EU 5. februar 2010, som ble endret ved kommisjonens gjennomføringsbeslutning (EU) 2016/2297 den 16. desember 2016
“Databehandler” betyr enhver behandlingsagent, lokalisert i eller utenfor EU/EØS, som godtar å motta personopplysninger fra dataimportøren eller andre behandlere av dataimportøren, med eneste formål å behandle aktiviteter som skal utføres av dataeksportøren, etter overføring i samsvar med dataeksportørens instruksjoner, vilkårene i dette vedlegget og kontrakten med dataimportøren
2. Forpliktelser fra dataeksportøren
2.1 Dataeksportøren har en forpliktelse til å sikre overholdelse av alle gjeldende forpliktelser i henhold til GDPR og enhver annen gjeldende databeskyttelseslov som gjelder dataeksportøren, og å vise overholdelse som krevd i artikkel 5 (2) i GDPR. Dataeksportøren garanterer at dataimportøren har fått forhåndsgodkjenning fra de registrerte personene i samsvar med artikkel 6 (a) i GDPR og har overholdt sin plikt til å informere de registrerte personene i samsvar med artikkel 13 og 14 i GDPR.
2.2 Dataeksportøren må gi dataimportøren de respektive filene til behandlingsaktivitetene i samsvar med artikkel 30 (1) i GDPR relatert til tjenestene under dette vedlegget, i den grad det er nødvendig for dataimportøren å oppfylle forpliktelsen i henhold til Artikkel 30 (2) i GDPR.
2.3 Dataeksportøren må utnevne en databeskyttelsesansvarlig eller representant i den grad det kreves av gjeldende databeskyttelseslov. Dataeksportøren er forpliktet til å gi kontaktinformasjonen til databeskyttelsesagenten eller representanten, hvis det er en, til dataimportøren.
2.4. Dataeksportøren bekrefter før behandlingen er fullført, ved aksept av dette vedlegget, at dataimportørens tekniske og organisatoriske sikkerhetstiltak, som beskrevet i vedlegg 2 til del 2, er passende og tilstrekkelig til å beskytte den registreredes rettigheter og bekrefter at dataimportøren gir tilstrekkelige garantier i denne forbindelse.
3. Overholdelse av lokal lovgivning
For å oppfylle kravene til implementering av behandlingsagentene i henhold til artikkel 28 i GDPR, gjelder følgende endringer:
3.1 Instruksjoner
(i) Dataeksportøren instruerer dataimportøren om kun å behandle personopplysninger på vegne av dataeksportøren. Dataeksportørens instruksjoner er gitt i dette vedlegget og i kontrakten. Dataeksportøren har forpliktelse til å sikre at alle instruksjoner ble gitt til dataimportøren i samsvar med gjeldende lover om personvern. Dataimportøren må bare behandle personopplysninger i samsvar med instruksjonene gitt av dataeksportøren, med mindre annet kreves av EU eller lovgivningen i medlemsstaten (i sistnevnte tilfelle gjelder del 1 klausul 3.2 (iv) (c)) .
(ii) Alle andre instruksjoner som går utover instruksjonene i dette vedlegget eller i kontrakten, må være inkludert i emnet for dette vedlegget og kontrakten. Hvis implementering av denne tilleggsinstruksjonen medfører kostnader for dataimportøren, skal dataimportøren informere dataeksportøren om slike kostnader og gi en forklaring før den implementerer instruksjonen. Først etter at dataeksportøren har bekreftet aksept av disse kostnadene for å implementere instruksjonen, skal dataimportøren implementere denne tilleggsinstruksjonen. Dataeksportøren må gi tilleggsinstruksjoner skriftlig med mindre det haster eller andre spesifikke omstendigheter krever en annen form (f.eks. muntlig, elektronisk). Instruksjoner i en annen form enn skriftlig må raskt bekreftes skriftlig av dataeksportøren.
1. Med mindre dataeksportøren ikke kan utføre retting, sletting eller begrensning av personopplysninger i seg selv, kan instruksjonene også være relatert til retting, sletting og/eller begrensning av personopplysninger som beskrevet i del 1, punkt 3.3.
2. Dataimportøren må umiddelbart informere dataeksportøren hvis en instruksjon etter hans eller hennes mening bryter GDPR eller andre gjeldende databeskyttelsesbestemmelser i EU eller en medlemsstat ("Omstridt instruksjon"). Hvis dataimportøren mener at en instruksjon bryter GDPR eller andre gjeldende databeskyttelsesbestemmelser i EU eller en medlemsstat, er ikke dataimportøren forpliktet til å følge den omstridte instruksjonen. Hvis dataeksportøren bekrefter den omstridte instruksjonen etter mottak av informasjon fra dataimportøren og erkjenner sitt ansvar for den omstridte instruksjonen, skal dataimportøren implementere den omstridte instruksjonen, med mindre den omstridte instruksjonen gjelder (i) gjennomføring av tekniske og organisatoriske tiltak, (ii) rettighetene til de registrerte personene eller (iii) engasjement av databehandlere. I tilfeller (i) til (iii) kan dataimportøren kontakte en kompetent tilsynsmyndighet for å få den omstridte instruksjonen lovlig evaluert av en slik myndighet. Hvis tilsynsmyndigheten erklærer den omstridte instruksjonen lovlig, skal dataimportøren implementere den omstridte instruksjonen. Del 1, klausul 3.1 (ii), forblir gjeldende.
3.2 Dataimportørens forpliktelser
(i) Dataimportøren må sørge for at personer som er autorisert av dataimportøren til å behandle personopplysninger på vegne av dataeksportøren, spesielt ansatte ved dataimportøren og ansatte i enhver underleverandør, har forpliktet seg til å overholde konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt, og at slike personer som har tilgang til personopplysninger behandler det i samsvar med dataeksportørens instruksjoner.
(ii) Dataimportøren må implementere de tekniske og organisatoriske sikkerhetstiltakene som beskrevet i vedlegg 2 til del 2 før de behandler personopplysningene på vegne av dataeksportøren. Dataimportøren kan endre de tekniske og organisatoriske sikkerhetstiltakene fra tid til annen hvis de ikke gir mindre beskyttelse enn de som er angitt i vedlegg 2 til del 2.
(iii) Dataimportøren skal på forespørsel fra dataeksportøren gjøre informasjon tilgjengelig for dataeksportøren for å vise samsvar med dataimportørens forpliktelser i henhold til dette vedlegget. Partene er enige om at denne informasjonsplikten blir oppfylt ved å gi dataeksportøren en revisjonsrapport (som dekker prinsippsikkerhet, systemtilgjengelighet og konfidensialitet) ("revisjonsrapport"). Hvis det er lovpålagt ytterligere revisjonsaktiviteter, kan dataeksportøren be om at inspeksjoner utføres av dataeksportøren eller en annen revisor som er oppnevnt av dataeksportøren, med forbehold om at slik revisor utfører en taushetsavtale med dataimportøren overfor dataimportøren. rimelig tilfredshet ("revisjon"). Denne revisjonen er underlagt følgende vilkår: (i) forutgående formell skriftlig aksept av dataimportøren; og (ii) dataeksportøren skal bære alle kostnader knyttet til stedlig revisjon for dataeksportøren og dataimportøren. Dataeksportøren må lage en revisjonsrapport som oppsummerer resultatene og observasjonene av On-Site Audit ("On-Site Audit Report"). Revisjonsrapportene på stedet, og revisjonsrapportene, er konfidensiell informasjon fra dataimportøren og må ikke avsløres til tredjeparter med mindre det kreves av gjeldende databeskyttelseslov eller i samsvar med dataimportørens samtykke.
(iv) Dataimportøren har en plikt til å varsle dataeksportøren uten unødig forsinkelse:
a. angående juridisk bindende anmodning om utlevering av personopplysninger av en rettshåndhevelsesmyndighet, med mindre et annet forbud gjelder, for eksempel et forbud etter straffeloven for å beskytte konfidensialiteten til en etterforskning
b. angående klager og forespørsler mottatt direkte fra en registrert person (f.eks. angående tilgang, retting, sletting, begrensning av behandling, dataportabilitet, innsigelse mot databehandling, automatisert beslutningstaking) uten å svare på forespørselen, med mindre dataimportøren har fått fullmakt til gjør det
c. hvis dataimportøren eller databehandleren er forpliktet, i henhold til lovgivningen i EU eller i den medlemsstaten som dataimportøren eller databehandleren er underlagt, til å behandle personopplysningene utover dataeksportørens instruksjoner, før en slik behandling utføres utover instruksjonene, med mindre lovgivningen i Den europeiske unionen eller i medlemsstaten forbyr slik behandling av grunnleggende alminnelige interesser, i hvilket tilfelle meldingen til dataeksportøren skal spesifisere lovkravet i henhold til lovgivningen i EU eller medlemsstaten; eller
d. hvis dataimportøren innser et brudd på personopplysningene, bare på grunn av seg selv eller underleverandøren, som vil påvirke dataeksportørens personopplysninger som dekkes av denne kontrakten, i hvilket tilfelle dataimportøren vil hjelpe dataeksportøren i sin forpliktelse, overfor gjeldende databeskyttelseslov, for å informere de registrerte og, der det er aktuelt, tilsynsmyndighetene ved å gi informasjonen til rådighet, i samsvar med artikkel 33 (3) i GDPR.
(v) På anmodning fra dataeksportøren skal dataimportøren tvinges til å bistå dataeksportøren i sin forpliktelse til å utføre en konsekvensanalyse av databeskyttelse som kan være påkrevd i artikkel 35 i GDPR og en forhåndskonsultasjon kreves av artikkel 36 i GDPR angående tjenestene som leveres av dataimportøren til dataeksportøren under dette vedlegget, og gir den nødvendige informasjonen til dataeksportøren. Dataimportøren vil bare være forpliktet til å yte slik hjelp hvis dataeksportøren ikke kan oppfylle sin forpliktelse på annen måte. Dataimportøren vil informere dataeksportøren om kostnadene ved slik assistanse. Så snart dataeksportøren har bekreftet at den kan bære denne kostnaden, vil dataimportøren gi dataeksportøren denne hjelpen.
(vi) Ved endt tjeneste kan Dataeksportøren be om tilbakelevering av personopplysningene som behandles av Dataimportøren under dette vedlegget innen en måned etter tjenestene. Med mindre lovgivningen i medlemsstaten eller EU krever at dataimportøren lagrer eller oppbevarer slike personopplysninger, vil dataimportøren slette alle slike personlige eller ikke-personlige opplysninger etter enmånedsperioden, enten de har blitt returnert til Dataeksportøren på forespørsel eller ikke.
3.3 Registrerte personers rettigheter
(i) Dataeksportøren håndterer og svarer på forespørsler fra registrerte personer. Dataimportøren er ikke forpliktet til å svare disse direkte.
(ii) Hvis dataeksportøren trenger dataimportørens hjelp til å behandle og svare på den registreredes forespørsler, skal dataeksportøren gi en ytterligere instruksjon i samsvar med avsnitt 3.1 (ii) i del 1. Dataimportøren vil bistå dataeksportøren videre med passende tekniske organisatoriske tiltak for å svare på forespørslene om utøvelse av de registreredes rettigheter som beskrevet i kapittel III i GDPR, som følger:
a. Når det gjelder forespørsler om informasjon, vil dataimportøren bare gi dataeksportøren den informasjonen som kreves i artikkel 13 og 14 i PGRD som den kan ha til rådighet hvis dataeksportøren ikke finner den alene.
b. Når det gjelder forespørsler om tilgang (artikkel 15 i GDPR), vil dataimportøren bare gi dataeksportøren den informasjonen som skal leveres til en registrert for nevnte anmodning om tilgang, som den kan ha til rådighet hvis sistnevnte kan ikke finne det alene.
c. Når det gjelder anmodninger om retting (artikkel 16 i GDPR), anmodninger om sletting (artikkel 17 i GDPR), begrensning av anmodninger om behandling (artikkel 18 i GDPR) eller anmodninger om bærbarhet (artikkel 20 i GDPR), og bare hvis dataeksportøren ikke selv kan rette eller slette, begrense eller overføre personopplysningene til en annen tredjepart, vil dataimportøren tilby dataeksportøren muligheten til å rette eller slette, begrense eller overføre de aktuelle personopplysningene til den andre tredjeparten, eller hvis dette ikke er mulig, vil det gi hjelp til å rette eller slette, begrense eller overføre personopplysningene det gjelder til den andre tredjeparten.
d. Når det gjelder varsel om rettelse, sletting eller begrensning av behandling (artikkel 19 i GDPR), vil dataimportøren bistå dataeksportøren ved å varsle alle mottakere av personopplysninger som er involvert av dataimportøren som behandlere hvis dataeksportøren ber om det hvis dataeksportøren ikke kan avhjelpe situasjonen på egenhånd.
e. Når det gjelder retten til motstand utøvd av en registrert person (artikkel 21 og 22 i GDPR), vil dataeksportøren avgjøre om opposisjonen er legitim og hvordan den skal håndteres.
(iii) Dataimportørens bistandsforpliktelser er begrenset til personopplysninger som behandles i infrastrukturen (f.eks. databaser, systemer, applikasjoner som eies eller leveres av dataimportøren).
(iv) Dataeksportøren skal avgjøre om en registrert person kan utøve rettighetene til personene som er beskrevet i punkt 3.1 i denne del 1, og skal informere dataimportøren om i hvilken grad assistansen spesifisert i punkt 3.3 (ii), ( iii) i del 1 er nødvendig.
(v) Hvis dataeksportøren ber om ytterligere eller modifiserte tekniske og organisatoriske tiltak for å oppfylle rettighetene til registrerte personer som går utover assistansen gitt av dataimportøren i henhold til underpunkt 3.3 (ii), (iii) i del 1, vil dataene Importøren skal informere dataeksportøren om kostnadene ved å implementere slike tillegg eller modifiserte tekniske og organisatoriske tiltak. Så snart dataeksportøren har bekreftet at de kan dekke disse kostnadene, skal dataimportøren iverksette slike tillegg eller modifiserte tekniske og organisatoriske tiltak for å hjelpe dataeksportøren med å svare på personene sine forespørsler.
(vi) Uten å begrense omfanget av paragraf 3.3 (v) i del 1, er dataeksportøren forpliktet til å tilbakebetale dataimportøren for sine rimelige utgifter som er pådratt for å svare på de personers anmodninger.
3.4 Underbehandling
(i) Dataeksportøren autoriserer dataimportørens bruk av underentreprenører for levering av tjenester i henhold til dette tillegget. Dataimportøren skal velge en eller flere slik(e) databehandler(e) nøye. Dataeksportøren godkjenner databehandleren(e) som er oppført i vedlegg 1.1 på slutten av del 2.
(ii) Dataimportøren skal overføre sine forpliktelser i henhold til dette vedlegget til databehandleren(e) i den utstrekning det er gjeldende for de underbehandlede tjenestene.
(iii) Dataimportøren kan avvise, erstatte eller utnevne en annen passende og pålitelig databehandler etter eget skjønn. Hvis dataeksportøren krever det skriftlig, må dataimportøren følge fremgangsmåten beskrevet nedenfor:
a. Dataimportøren skal informere dataeksportøren før eventuelle endringer i listen over databehandlere referert til i avsnitt 3.4 (i) i del 1. Hvis dataeksportøren ikke motsetter seg under punkt 3.4. (b) i del 1 tretti dager etter mottakelse av melding fra dataimportøren, skal de ekstra databehandlerne anses å være akseptert.
b. Hvis dataeksportøren har en legitim grunn til å motsette seg en ekstra databehandler, vil den gi skriftlig forhåndsvarsel til dataimportøren innen tretti dager etter mottakelse av dataimportørens varsel og før dataimportørens tjeneste settes i drift. Hvis dataeksportøren motsetter seg bruken av en ekstra databehandler kan dataimportøren løse innsigelsen ved hjelp av en av følgende alternativer (valgt etter eget skjønn): (A) dataimportøren kan kansellere planene om å bruke en ekstra prosessor angående dataeksportørens personlige data; (B) Dataimportøren kan ta de korrigerende tiltakene som Dataeksportøren har bedt om i sin innvending (dette kanseller innsigelsen) og bruke den ekstra behandleren angående Dataeksportørens personlige data; (C) Dataimportøren kan slutte å levere, eller Dataeksportøren kan godta å ikke bruke (midlertidig eller permanent) et bestemt aspekt av tjenesten som ville innebære bruk av Dataeksportørens videre behandler av Dataeksportørens personlige data.
iv) Hvis databehandleren er basert utenfor EU-EØS i et land som ikke er anerkjent som et tilstrekkelig nivå av databeskyttelse etter en beslutning fra EU-kommisjonen, vil dataimportøren treffe tiltak for å overholde et tilstrekkelig nivå av databeskyttelse i samsvar med GDPR (slike tiltak kan omfatte - blant annet - bruk av databehandlingskontrakter basert på klausulene i EU-modellen, overføring til selvsertifiserte databehandlere i rammen av EU-US Protection Shield , eller et lignende program).
3.5 Utløp
Utløpsdatoen for dette vedlegget er identisk med utløpsdatoen for den tilsvarende kontrakten. Med mindre annet er angitt i dette tillegget, skal rettighetene og pliktene knyttet til oppsigelse være de samme som de som er inkludert i kontrakten.
4. Ansvarsbegrensning
4.1 Hver part håndterer sine forpliktelser i henhold til dette tillegget og gjeldende databeskyttelseslovgivning.
4.2 Ethvert ansvar knyttet til brudd på forpliktelsene i henhold til dette vedlegget eller gjeldende databeskyttelseslovgivning skal være underlagt og styres av ansvarsbestemmelsene i eller gjeldende for kontrakten, med mindre annet er angitt i dette tillegget. Hvis ansvar styres av ansvarsbestemmelsene som er angitt i eller gjelder kontrakten, for å beregne ansvarsgrenser eller bestemme anvendelsen av andre ansvarsbegrensninger, skal ethvert ansvar som oppstår i henhold til dette vedlegget anses å oppstå under kontrakten.
5. Generelle bestemmelser
5.1 Hvis det er noen uoverensstemmelser eller avvik mellom Del 1 og 2 i dette tillegget, skal Del 2 ha forrang. Likevel vil bestemmelser fra Del 1 som kun utfyller Del 2 (dvs. vilkårene i standardklausuler) uten å motsige den, forbli gyldig.
5.2 Hvis det oppstår avvik mellom bestemmelsene i dette tillegget og bestemmelsene i andre kontrakter som binder partene, skal dette vedlegget ha forrang angående partenes databeskyttelsesforpliktelser. Hvis det oppstår tvil om klausuler i andre kontrakter angående partenes databeskyttelsesforpliktelser, skal dette vedlegget ha forrang.
5.3 Hvis en bestemmelse i dette tillegget er ugyldig eller ikke kan håndheves, skal resten av dette vedlegget forbli i full kraft og virkning. Den ugyldige eller ikke-håndhevbare bestemmelsen vil (i) bli endret for å sikre dens gyldighet og håndhevbarhet, samtidig som partietes hensikt så langt som mulig bevares, eller - hvis dette ikke er mulig - (ii) tolkes som om den ugyldige eller ikke-håndhevbare delen aldri vært en del av kontrakten. Ovennevnte skal også gjelde dersom det er utelatt i dette vedlegget.
5.5 I den grad det er nødvendig, kan partene be om endringer i del 1, punkt 3 (overholdelse av lokal lov) eller andre deler av tillegget for å overholde tolkninger, direktiver eller pålegg utstedt av de kompetente myndighetene i Unionen eller Medlemsstatene, nasjonale håndhevelsesbestemmelser eller annen juridisk utvikling angående GDPR eller andre vilkår for delegering til enheter som er involvert i databehandling og spesifikt angående bruken av standard kontraktsklausuler i GDPR. Vilkårene i standardkontraktsklausulene kan ikke endres eller erstattes med mindre EU-kommisjonen uttrykkelig godkjenner det (f.eks. Ved nye adekvate klausuler og databeskyttelsesstandarder).
5.6 Enhver henvisning i dette tillegget til "klausulene" skal forstås som henvisning til alle bestemmelsene i dette vedlegget med mindre annet er oppgitt.
5.7 Lovvalget i del 2, punkt 9 gjelder for hele kontrakten.
6. Personopplysninger overført og behandlet av partene for personlige formål (overføring fra behandlingsansvarlig til behandlingsansvarlig)
6.1 Partene er fullstendig klar over at visse personopplysninger vil bli overført fra dataeksportøren til dataimportøren og omvendt, og at slike data behandles av hver part for egne formål. Når det gjelder slike personopplysninger, påvirker det ikke de andre bestemmelsene i dette vedlegget (bortsett fra denne paragraf 6).
6.2 Dataeksportøren kan overføre personopplysninger knyttet til personene til dataimportøren til dataimportøren, inkludert informasjon om sikkerhetshendelser, eller andre dokumenter eller filer som er opprettet eller etablert av dataeksportøren i forbindelse med tjenestene som tilbys av personalet til dataimportøren. Dataimportøren kan behandle slike personopplysninger for egne formål, særlig i sine profesjonelle forhold til personopplysningene, for kvalitetskontroll og opplæring, eller for forretningsformål.
6.3. Dataimportøren kan overføre personopplysninger til dataeksportøren, inkludert navn og kontaktinformasjon til personene til dataimportøren. Dataeksportøren kan behandle slike personopplysninger for sine egne formål.
6.4 Begge parter skal overholde gjeldende databeskyttelseslovgivning, inkludert GDPR, når de samler inn, behandler og bruker slike personopplysninger mottatt fra den andre parten i henhold til paragraf 1 i del 1. Spesielt skal begge parter treffe tilstrekkelige sikkerhetstiltak som gir et lignende beskyttelsesnivå som sikkerhetstiltakene som er beskrevet i vedlegg 2 i del 2. All tilgang til slike personopplysninger skal være begrenset til behovet for å kjenne dem.
6.5 Begge parter må slette slike personopplysninger så snart som mulig etter at målene er oppnådd.
Del 2
KOMMISJONENS BESLUTNING
5. februar 2010
om standard kontraktsklausuler for overføring av personopplysninger til databehandlere etablert i tredjepartsland i henhold til europaparlaments- og rådsdirektiv 95/46/EF
Klausul 1
Definisjoner
Med betydningen av disse klausulene:
a) 'personopplysninger', 'spesielle kategorier av data', 'behandling/behandling', 'behandlingsansvarlig', 'behandler', 'registrert person' og 'tilsynsmyndighet' skal ha samme betydning som i 95/46/EF Europaparlaments- og rådsdirektiv av 24. oktober 1995 om beskyttelse av enkeltpersoner i forbindelse med behandling av personopplysninger og om fri utveksling av slike data (1);
b) 'Dataeksportøren' er den behandlingsansvarlige som overfører personopplysningene;
c) 'Dataimportøren' er databehandleren som godtar å motta personopplysningene fra Dataeksportøren beregnet på å bli behandlet på vegne av Dataeksportøren etter overføringen i samsvar med instruksjonene og under vilkårene i disse klausulene og som ikke er underlagt mekanismen i et tredjeland som sikrer tilstrekkelig beskyttelse i henhold til artikkel 25 nr. 1 i direktiv 95/46/EF, (d) 'databehandler': databehandleren engasjert av dataimportøren eller av enhver annen databehandler av dataimportøren som godtar å motta fra dataimportøren eller annen databehandler av dataimportøren personopplysninger utelukkende for behandlingsaktiviteter til utføres på vegne av dataeksportøren etter overføringen i samsvar med instruksjonene fra dataeksportøren, under vilkårene beskrevet i disse punktene og under vilkårene i den skriftlige underleverandøren av databehandlingsavtalen;
e) "gjeldende databeskyttelseslov": lovgivningen som beskytter de grunnleggende rettighetene og frihetene til enkeltpersoner, inkludert retten til personvern vedrørende behandling av personopplysninger, og gjelder en behandlingsansvarlig i medlemsstaten der dataeksportøren er etablert;
f) “tekniske og organisatoriske tiltak knyttet til sikkerhet”: tiltak beregnet på å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse eller utilsiktet tap, endring, uautorisert utlevering eller tilgang, særlig der behandlingen innebærer overføring av data over nettverk, og mot alle andre ulovlige former for behandling.
Klausul 2
Detaljer om overføringen
Opplysningene om overføringen, inkludert, der det er hensiktsmessig, spesielle kategorier av personopplysninger, er spesifisert i vedlegg 1, som utgjør en fullverdig del av disse punktene.
Klausul 3
Tredjeparts mottakerklausul
1. Den registrerte personen kan håndheve denne klausulen, klausul 4 (b) til (i), klausul 5 (a) til (e) og (g) til (j), klausul 6 (1) og (2) , klausul 7, klausul 8 (2) og klausuler 9 til 12 som tredjepartsmottaker.
2. Den registrerte personen kan håndheve denne klausulen, klausul 5 (a) til (e) og (g), klausul 6, klausul 7, klausul 8 (2) og klausulene 9 til 12 mot dataimportøren der dataeksportøren har fysisk forsvunnet eller har opphørt å eksistere i loven, med mindre alle de juridiske forpliktelsene hans har blitt overført, etter kontrakt eller ved lovdrift, til den etterfølgende enheten, som dataeksportørens rettigheter og forpliktelser derfor går tilbake til, og som den registrerte personen dermed kan håndheve de nevnte klausulene mot. Dette ansvaret til databehandleren må være begrenset til egen behandlingsaktivitet i henhold til disse punktene.
4. Partene motsetter seg ikke at den registrerte personen blir representert av en forening eller et annet organ hvis han eller hun ønsker det, og hvis nasjonal lovgivning tillater det.
Klausul 4
Forpliktelser fra dataeksportøren
Dataeksportøren godtar og garanterer følgende:
a) behandling, inkludert den faktiske overføringen av personopplysninger, har blitt og vil fortsette å bli utført i samsvar med de relevante bestemmelsene i gjeldende databeskyttelseslov (og, der det er aktuelt, er varslet til vedkommende myndigheter i medlemsstaten der dataeksportøren er basert) og ikke bryter de relevante bestemmelsene i den staten;
b) de har instruert, og vil instruere dataimportøren for varigheten av behandlingen av personopplysningene, å behandle personopplysningene som overføres på vegne av dataeksportøren og i samsvar med gjeldende databeskyttelseslov og disse klausulene;
c) dataimportøren vil gi tilstrekkelige garantier angående de tekniske og organisatoriske sikkerhetstiltakene spesifisert i vedlegg 2 til denne kontrakten;
d) etter evaluering av kravene i gjeldende databeskyttelseslov, er sikkerhetstiltakene tilstrekkelige for å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse eller utilsiktet tap, endring, uautorisert utlevering eller tilgang, særlig der behandlingen innebærer overføring av data over et nettverk, og mot alle andre ulovlige former for behandling og sikre et sikkerhetsnivå som er passende for risikoen ved behandlingen og naturen til dataene som skal beskyttes, med tanke på teknologinivået og kostnadene ved implementering;
e) de vil sikre overholdelse av sikkerhetstiltak;
f) Hvis overføringen gjelder spesielle kategorier av data, er den registrerte personen personen blitt informert eller vil bli informert før overføringen, eller så snart som mulig etter overføringen at hans eller hennes data kan overføres til et tredjeland som ikke tilbyr et tilstrekkelig beskyttelsesnivå i henhold til direktiv 95/46/EF,
g) de vil sende enhver melding mottatt fra dataimportøren eller databehandler i henhold til punkt 5 (b) og 8 (3) til tilsynsmyndigheten for databeskyttelse hvis den bestemmer seg for å fortsette overføringen eller oppheve suspensjonen;
h) de skal gjøre tilgjengelig for de registrerte, hvis disse ber om det, en kopi av disse klausulene, bortsett fra vedlegg 2, og en oppsummerende beskrivelse av sikkerhetstiltakene, og en kopi av ytterligere underleverandøravtaler, inngått i henhold til disse klausulene med mindre klausuler eller avtalen inneholder kommersiell informasjon, i så fall kan de trekke tilbake slik informasjon;
i) i tilfelle underbehandling av databehandlingsprosessen, utføres behandlingsaktiviteten i samsvar med paragraf 11 av en databehandler som gir minst samme nivå av beskyttelse av personopplysninger og registreredes rettigheter som dataimportøren i henhold til disse punktene ; og
j) de vil sikre samsvar med klausul 4 (a) til (i).
Klausul 5
Forpliktelser fra dataimportøren
Dataimportøren godtar og garanterer følgende:
a) de vil bare behandle personopplysningene på vegne av dataeksportøren og under dataeksportørens instruksjoner og disse paragrafene; hvis den ikke kan overholdes, uansett grunn, godtar de å informere dataeksportøren om manglende evne så snart som mulig, i hvilket tilfelle dataeksportøren kan stanse dataoverføringen og/eller avslutte kontrakten;
b) de ikke har noen grunn til å tro at gjeldende lovgivning for dem hindrer dem i å oppfylle instruksjonene gitt av dataeksportøren og forpliktelsene som påhviler dem i henhold til kontrakten, og hvis slik lov er underlagt en endring som kan ha vesentlig negativ innvirkning på garantiene og forpliktelsene i henhold til klausulene, skal han straks varsle dataeksportøren om endringen etter å ha blitt kjent med den, i hvilket tilfelle dataeksportøren kan stanse dataoverføringen og/eller avslutte kontrakten; (c) de har implementert de tekniske og organisatoriske sikkerhetstiltakene spesifisert i vedlegg 2 før de behandlet personopplysningene som ble overført,
d) de vil varsle dataeksportøren uten forsinkelse:
i) enhver bindende anmodning om utlevering av personopplysninger fra en rettshåndhevelsesmyndighet, med mindre annet er spesifisert, for eksempel et straffbart forbud som tar sikte på å bevare hemmeligholdet av en politietterforskning;
ii) tilfeldig eller uautorisert tilgang;
iii) og enhver anmodning mottatt direkte fra de berørte personene uten å svare på den med mindre han har fått fullmakt til det; administratorer
e) de vil behandle raskt og riktig alle henvendelser fra dataeksportøren angående behandlingen av personopplysningene som overføres, og vil handle etter tilsynsmyndighetens mening angående behandlingen av dataene som overføres;
f) på forespørsel av dataeksportøren, vil de underkaste sine databehandlingsanlegg en revisjon av behandlingsaktivitetene som dekkes av disse klausulene, som skal utføres av dataeksportøren eller et tilsynsorgan sammensatt av uavhengige medlemmer med de nødvendige faglige kvalifikasjoner, underlagt en forpliktelse av hemmelighold og valgt av dataeksportøren, der det er hensiktsmessig med tilsynsmyndighetens samtykke;
g) de vil gjøre tilgjengelig for den registrerte personen, hvis han ber om det, en kopi av disse klausulene, eller en eksisterende underleverandør av databehandlingskontrakten, med mindre klausulene eller kontrakten inneholder kommersiell informasjon, i hvilket tilfelle den kan fjerne slikt informasjon, bortsett fra vedlegg 2, som vil bli erstattet av en oppsummerende beskrivelse av sikkerhetstiltakene, der den registrerte personen ikke kan få tak i en kopi fra dataeksportøren;
h) i tilfelle konfidensiell videreutleie av databehandling, vil han sørge for at han på forhånd informerer dataeksportøren og innhenter dataeksportørens skriftlige samtykke;
i) behandlingstjenestene som tilbys av databehandleren skal være i samsvar med punkt 11;
j) de vil umiddelbart sende en kopi av underleverandører av databehandlingsavtalen inngått av den i henhold til disse klausulene til dataeksportøren.
Klausul 6
Ansvar
1. Partene er enige om at enhver registrert person som har blitt påført skade på grunn av brudd på forpliktelsene nevnt i pkt. 3 eller pkt. 11 av en part eller av en databehandler, kan få erstatning fra dataeksportøren for skaden.
2. Hvis en registrert person er forhindret i å anke erstatningssøksmål som nevnt i paragr. 1 mot dataeksportøren for at dataimportøren eller dennes databehandler ikke har oppfylt noen av sine forpliktelser i henhold til klausul 3 eller klausul 11 fordi dataeksportøren har fysisk forsvunnet, opphørt å eksistere i lov eller har blitt insolvent, er dataimportøren enig i at den registrerte personen kan komme med en klage mot den som om den var dataeksportøren med mindre alle juridiske forpliktelser fra dataeksportøren er overført, etter kontrakt eller ved lov, til dens etterfølger, som den registrerte personen mot kan håndheve sine rettigheter mot. Dataimportøren kan ikke stole på brudd på sine forpliktelser fra en databehandler for å unngå sitt eget ansvar.
3. Hvis en registrert er forhindret i å reise handlingen nevnt i paragr. 1 og 2 mot dataeksportøren eller dataimportøren for brudd fra databehandleren av sine forpliktelser i henhold til klausul 3 eller klausul 11 fordi dataeksportøren og dataimportøren fysisk har forsvunnet, opphørt å eksistere i loven eller er blitt insolvent, er databehandleren enig i at den registrerte personen kan komme med en klage på den angående sine egne behandlingsaktiviteter i samsvar med disse klausulene som om det var dataeksportøren eller dataimportøren med mindre alle Rettslige forpliktelser til dataeksportøren eller dataimportøren har blitt overført, etter kontrakt eller ved lov, til den juridiske etterfølgeren, mot hvem den registrerte personen da kan hevde rettighetene. Databehandlerens ansvar må være begrenset til egen behandlingsaktivitet i samsvar med disse klausulene.
Klausul 7
Megling og jurisdiksjon
1. Dataimportøren er enig i at, hvis den registrerte personen påberoper seg retten til tredjepartsmottakeren og/eller krever erstatning for skaden, i henhold til klausulene, vil han eller hun akseptere den registreredes avgjørelse:
a) å underlegge tvisten for megling av en uavhengig person eller, der det er hensiktsmessig, tilsynsmyndigheten,
b) å bringe tvisten for domstolene i det medlemslandet der dataeksportøren er basert.
2. Partene er enige om at den registrerendes valg ikke skal påvirke den registreredes prosessuelle eller materielle rett til å få oppreisning i samsvar med andre bestemmelser i nasjonal eller internasjonal lov.
Klausul 8
Samarbeid med tilsynsmyndigheter
1. Dataeksportøren godtar å deponere en kopi av denne kontrakten hos tilsynsmyndigheten hvis sistnevnte krever det, eller hvis slik innskudd er foreskrevet i gjeldende databeskyttelseslov.
2. Partene er enige om at tilsynsmyndigheten kan utføre kontroller hos dataimportøren og hvilken som helst databehandler i samme grad og på samme vilkår som med kontroller utført hos dataeksportøren i samsvar med gjeldende databeskyttelseslov.
3. Dataimportøren skal informere dataeksportøren så snart som mulig om det eksisterer lovgivning som gjelder dataimportøren eller enhver databehandler som forhindrer verifisering hos dataimportøren eller enhver databehandler i samsvar med nr. 2. I et slikt tilfelle er Dataeksportør kan treffe tiltakene fastsatt i pkt. 5 (b).
Klausul 9
Gjeldende lov
Klausulene gjelder og er underlagt lovgivningen i medlemslandet der dataeksportøren er basert.
Klausul 10
Endring av kontrakten
Partene forplikter seg til ikke å endre de nåværende klausulene. Partene står fritt til å inkludere andre kommersielle klausuler som de anser nødvendige, forutsatt at de ikke strider mot de nåværende klausulene.
Klausul 11
Etterfølgende underbehandler
1. Dataimportøren skal ikke underlevere noen av sine behandlingsaktiviteter utført på vegne av dataeksportøren i henhold til disse punktene uten forutgående skriftlig samtykke fra dataeksportøren. Dataimportøren skal kun underleverandere sine forpliktelser i henhold til disse klausulene, med samtykke fra dataeksportøren, gjennom en skriftlig avtale med databehandleren som pålegger databehandleren samme forpliktelser som de som er pålagt dataimportøren i henhold til disse klausulene. Hvis Databehandler ikke kan overholde sine databeskyttelsesforpliktelser i henhold til den skriftlige avtalen, skal dataimportøren være fullt ansvarlig overfor dataeksportøren for oppfyllelse av disse forpliktelsene.
2. Den forutgående skriftlige avtalen mellom dataimportøren og databehandleren skal også omfatte en tredjeparts mottakerklausul som beskrevet i punkt 3 for tilfeller der den registrerte personen er forhindret i å fremsette kravet om erstatning nevnt i paragraf 6 (1). ), mot dataeksportøren eller dataimportøren fordi dataeksportøren eller dataimportøren fysisk har forsvunnet, opphørt å eksistere i loven eller er blitt insolvent og alle juridiske forpliktelser fra dataeksportøren eller dataimportøren ikke er overført, etter kontrakt eller ved drift av loven, til en annen etterfølger enhet. Databehandlerens ansvar må være begrenset til egen behandlingsaktivitet i samsvar med disse klausulene.
3. Bestemmelsene som gjelder databeskyttelsesaspektene ved underleverandør av databehandling av kontrakten nevnt i nr. 1, skal styres av lovgivningen i den medlemsstaten der dataeksportøren er etablert.
4. Dataeksportøren skal føre en liste over underleverandørene databehandlingsavtalene som er inngått i henhold til disse klausulene og varslet av dataimportøren i samsvar med klausul 5 (j), som skal oppdateres minst en gang i året. Denne listen skal gjøres tilgjengelig for dataeksportørens datatilsynsmyndighet.
Klausul 12
Forpliktelse etter avslutning av behandling av personopplysninger
1. Partene er enige om at etter fullføring av databehandlingstjenestene, vil dataimportøren og databehandleren, når det passer dataeksportøren, overlevere alle personopplysninger som er overført og kopier av dem til dataeksportøren, eller ødelegge alle slike data og gi bevis ødeleggelsen til dataeksportøren, med mindre lovgivning som er pålagt dataimportøren, hindrer den i å returnere eller ødelegge hele eller deler av de overførte personopplysningene. I så fall garanterer dataimportøren at den vil sikre konfidensialiteten til de personopplysningene som overføres, og at den ikke lenger vil behandle dataene aktivt.
2. Dataimportøren og databehandleren skal sikre at de, hvis dataeksportøren og/eller tilsynsmyndigheten ber om det, vil underkaste sine metoder for databehandling for å verifisere tiltakene nevnt i nr. 1.
Vedlegg 1.1 til del 2
Detaljer om overføringen
Dataeksportør
Dataeksportøren er Kunden som er definert i Kontraktsavtalen.
Dataimportør
Dataimportøren er IQUALIF og er tildelt å behandle dataene og levere tjenester til dataeksportøren.
Emner for dataene
De overførte personopplysningene gjelder følgende kategorier registrerte personer:
☒ telefonabonnenter oppført i den universelle katalogen
☐ Andre, inkludert:
Kategorier av data
De overførte personopplysningene gjelder følgende kategorier av data:
Kategorier av personopplysninger fra dataeksportørens registrerte personer, spesielt:
☒ Fullt navn
☒ Postadresse
☒ Kontaktinformasjon (e-post, telefon, IP-adresse osv.)
☒ Detaljer om markedsføringsaktiviteter angående telefonabonnenten
☒ Andre, inkludert type bolig, inntekt og gjennomsnittsalder per by gjort anonymt
Spesielle datakategorier (hvis aktuelt)
De overførte personopplysningene gjelder følgende spesielle datakategorier:
☒ Overføring av spesielle kategorier av data er ikke forutsett
☐ Rase eller etnisk opprinnelse
☐ Religiøs eller filosofisk tro
☐ Fagforeningsmedlemskap
☐ Politiske synspunkter
☐ Genetisk informasjon
☐ Biometrisk informasjon
☐ Informasjon om seksuell legning eller seksualliv
☐ Helsedata
Behandlingsaktiviteter
De overførte personopplysningene vil være underlagt følgende grunnleggende behandlingsaktiviteter:
• Formål med behandlingen
Behandlingen utført på vegne av dataeksportøren er basert på følgende emner, spesielt:
☒ Ansvar for produktene eller tjenestene som tilbys av dataeksportøren
☒ Tilbud om et produkt eller en tjeneste som den oppringte personen kan be om
☒ Bestillinger hentet fra de oppringte personene og videre behandling av disse ordrene
☒ Studere spørreskjemaer og analyser
☒ Telemarketing
☐ Annet, inkludert:
• Art og formål med behandlingen
Dataimportøren behandler personopplysningene til de registrerte personene på vegne av dataeksportøren, for å kunne tilby følgende tjenester, og spesielt:
☒ Salg og markedsføring
☒ Annet, inkludert oppdatering av databaser over rådhus og politiske partier
• Tjenesteytelser og ansettelse av tjenesteleverandører
IQUALIF kombinerer, sentraliserer og leverer tjenester til dataeksportøren hovedsakelig. Tjenestene som tilbys av den navngitte tjenesteleverandøren kan være strukturert (blant annet etter behov) rundt følgende tilleggstjenester: (i) levering av applikasjoner, verktøy, systemer og IT-infrastruktur i forhold til de databehandlingssentrene som brukes, for å tilby og støtte tjenestene, inkludert behandling av personopplysningene til de registrerte som beskrevet ovenfor, via slike applikasjoner, verktøy og systemer, (ii) levering av IT-støtte, vedlikehold og andre tjenester relatert til slike applikasjoner, verktøy, systemer og IT-infrastruktur, inkludert potensiell tilgang til personopplysninger som er lagret i slike applikasjoner, verktøy og systemer, og (iii) tilveiebringelse av databeskyttelsestjenester, beskyttelsesovervåking og hendelsestjenester, inkludert potensiell tilgang til personopplysninger når de gir slike beskyttelsestjenester . IQUALIF kan engasjere databehandlere som angitt nedenfor for å tilby tjenestene, inkludert tilleggstjenester.
• Eksterne tredjeparts tjenesteleverandører som underenheter tilordnet databehandling
IQUALIF engasjerer eksterne og tredjeparts tjenesteleverandører, som ikke er datterselskaper av IQUALIF, for å støtte levering av tjenester til dataeksportøren. Dataeksportøren godkjenner eksterne leverandører av tredjeparter som underenheter som er tilordnet databehandling.
Hvis en underenhet som er involvert i databehandling er lokalisert utenfor EU/EØS, i et land som ikke anses å ha et tilstrekkelig nivå av databeskyttelse etter en beslutning fra EU-kommisjonen, vil dataimportøren ta skritt for å oppnå et tilstrekkelig nivå av databeskyttelse i samsvar med GDPR og avsnitt 3.4 (iv) i del 1.
Vedlegg 2, del 2
Tekniske og organisatoriske beskyttelsestiltak
Dataimportøren skal treffe følgende tekniske og organisatoriske beskyttelsestiltak bekreftet av dataeksportøren for å garantere et passende sikkerhetsnivå for enkeltpersoners rettigheter og friheter, avhengig av risikoen. Ved vurderingen av beskyttelsesnivået, har dataeksportøren spesielt vurdert risikoen som er involvert i behandlingen, inkludert utilsiktet eller ulovlig ødeleggelse, endring, uautorisert utlevering eller tilgang til personopplysninger som blir overført, lagret eller på annen måte behandlet. Avklaring: Disse tekniske og organisatoriske beskyttelsestiltakene gjelder ikke applikasjonene, verktøyene, systemene og/eller IT-infrastrukturen som leveres av dataeksportøren.
1 Generelle tekniske og organisatoriske beskyttelsestiltak
1.1 Generell informasjon og databeskyttelsesstrategier
Følgende trinn bør tas for å følge generelle data- og informasjonsbeskyttelsesstrategier:
a) gjøre tiltak for å evaluere de tiltakene som er tatt med hensyn til teknisk og organisatorisk beskyttelse,
b) gi opplæring for å øke bevisstheten blant ansatte;
c) ha en beskrivelse av de aktuelle systemene og gi tilgang til ansatte;
d) etablere en formell dokumentasjonsprosess når systemer implementeres eller endres;
e) å dokumentere organisasjonsstruktur, prosesser, ansvar og respektive evalueringer;
1.2 Organisering av informasjonsbeskyttelse
Følgende tiltak bør tas for å koordinere data- og informasjonsbeskyttelsesaktiviteter:
a) definerte ansvarsområder for beskyttelse av informasjon og data (f.eks. gjennom databeskyttelsespolitikken);
b) nødvendig ekspertise for å beskytte informasjon og data som er tilgjengelig;
c) alle ansatte er forpliktet til å sikre at personopplysningene holdes konfidensielle, og har blitt informert om de potensielle konsekvensene av å bryte denne forpliktelsen.
1.3 Tilgangskontroll til prosesseringsområder
Følgende tiltak må iverksettes for å forhindre at uvedkommende får tilgang til databehandlingssystemer (spesielt programvare og maskinvare) når personopplysninger behandles, lagres eller overføres:
a) etablere sikre områder;
b) beskytte og begrense tilgangen til databehandlingssystemer;
c) etablere tilgangstillatelser for ansatte og tredjeparter, inkludert de respektive dokumentene;
d) all tilgang til databehandlingssentre der personopplysninger er lagret skal logges.
1.4 Tilgangskontroll til databehandlingssystemer
Følgende tiltak må iverksettes for å forhindre uautorisert tilgang til databehandlingssystemer:
a) retningslinjer og prosedyrer for brukerautentisering;
b) bruk av passord på alle datasystemer;
c) ekstern tilgang til nettverket krever flerfaktorautentisering og gis til vedkommende i henhold til deres ansvar og etter autorisasjon;
d) tilgang til spesifikke funksjoner er basert på jobbfunksjoner og/eller attributter som tildeles en brukers konto individuelt;
e) tilgangsrettigheter knyttet til personopplysninger blir gjennomgått regelmessig;
f) register over endringer i tilgangsrettigheter holdes oppdatert.
1.5 Kontrollere tilgang til bestemte bruksområder for databehandlingssystemer
Følgende tiltak må tas for å sikre at autoriserte personer med rett til å bruke databehandlingssystemet bare kan få tilgang til data innenfor deres respektive ansvarsområder og tilgangstillatelser, og at personlig data ikke kan leses, kopieres, endres eller slettes uten autorisasjon:
a) retningslinjer, instruksjoner og opplæring av ansatte om hver enkeltes forpliktelser om konfidensialitet, rett til tilgang til personopplysninger og omfanget av behandlingen av personopplysninger;
b) disiplinære tiltak mot personer som får tilgang til personopplysninger uten autorisasjon;
c) tilgang til personopplysninger skal kun gis til autoriserte personer, etter behov;
d) føre en liste over systemadministratorer og ta passende tiltak for å overvåke systemadministratorer;
e) ikke kopiere eller reprodusere personlige data på noe lagringssystem for å gjøre det mulig for uvedkommende å fjerne informasjonen til opphavspersonen;
f) kontrollert og dokumentert sletting eller ødeleggelse av data;
g) lagre sikkert alle personopplysninger som må oppbevares av juridiske eller regulatoriske grunner (f.eks. forpliktelser til å oppbevare data), og bare så lenge loven krever det.
1.6 Overføringskontroll
Følgende tiltak må iverksettes for å forhindre at personopplysninger blir lest, kopiert, endret eller slettet av uautoriserte tredjeparter under overføring eller transport av datalagringsenheter (avhengig av behandlingen av personopplysningene som er utført):
a) bruk av brannmurer;
b) unngå lagring av personlige data på mobile lagringsenheter for transportformål, eller kryptere enhetene;
c) bruk på bærbare datamaskiner og andre mobile enheter bare etter at krypteringsbeskyttelsen er aktivert;
d) logging av overføringer av personopplysninger.
1.7 Kontroll av datainnføring
Følgende tiltak må tas for å sikre at det er mulig å verifisere og avgjøre om personopplysninger er lagt inn eller slettet fra databehandlingssystemer og av hvem:
a) en policy for autorisering av lesing, endring og sletting av lagrede data;
b) beskyttelsestiltak angående lesing, endring og sletting av lagrede data.
1.8 Arbeidskontroll
I tilfelle delegert behandling av personopplysninger, må følgende tiltak tas for å sikre at slike data behandles i samsvar med instruksjonene fra veilederen:
a) enheter eller underenheter som er tilordnet databehandling, valgt med omhu (tjenesteleverandører som behandler personopplysninger på vegne av den behandlingsansvarlige);
b) instruksjoner om omfanget av behandling av personopplysninger til ansatte, enheter eller underenheter tilordnet databehandlingen;
c) revisjonsrettigheter avtalt med enhetene eller underenheten tilordnet databehandlingen;
d) fastsatte avtaler med enhetene eller underenhetene tilordnet databehandlingen.
1.9 Separasjon fra behandling til andre formål
Følgende tiltak må iverksettes for å sikre at data som samles inn til andre formål kan behandles separat:
a) separat tilgang til personopplysninger i samsvar med brukernes eksisterende rettigheter;
b) grensesnitt, batchbehandling og rapportering er for andre formål og funksjoner, slik at data som samles inn for andre formål kan behandles separat.
1.10 Pseudonymisering
Følgende tiltak må iverksettes angående pseudonymisering av personopplysninger:
a) Hvis dataeksportøren bestiller en bestemt behandlingsoperasjon, eller hvis dette anses hensiktsmessig av dataimportøren i samsvar med gjeldende databeskyttelseslovgivning om visse behandlingsaktiviteter, vil behandlingen av personopplysninger utføres på en slik måte at data kan ikke lenger tilskrives en bestemt person uten bruk av tilleggsinformasjon. Denne tilleggsinformasjonen vil bli holdt separat;
b) bruk av pseudonymiseringsteknikker, inkludert randomisering av tildelingslister; verdiskaping i form av skarpe ting.
1.11 Kryptering
Følgende trinn bør tas for å kryptere personlige data i applikasjoner og overføringer som støtter kryptering:
a) bruk av krypteringsteknikker;
b) etablering av krypteringsadministrasjon for å støtte krypteringsteknikker som er autorisert til å bli brukt;
c) støtte bruken av kryptografi gjennom prosedyrer og protokoller for å generere, modifisere, tilbakekalle, ødelegge, distribuere, sertifisere, lagre, fange, bruke og arkivere kryptografiske nøkler for å beskytte mot uautorisert modifisering og avsløring.
1.12 Fullstendighet av databehandlingssystemer og tjenester
Følgende tiltak må iverksettes for å sikre fullstendigheten av databehandlingssystemer og tjenester:
a) beskyttelse av databehandlingssystemer mot manipulering eller ødeleggelse på passende måte (f.eks. antivirusprogramvare, programvare for forebygging av tap av data og programvare mot skadelig programvare, programvareoppdateringer, brannmurer og administrert skrivebordsbeskyttelse);
b) forby installasjon av tjenester eller programvare som er skadelige for databehandlingssystemer, tjenester eller manipulering av personopplysninger;
c) bruk av et gjenkjennings- og forebyggingssystem for nettverk i strukturen til selve nettverket.
1.13 Tilgjengelighet av databehandlingssystemer og tjenester og muligheten for å gjenopprette tilgang til og bruk av personopplysninger i tilfelle vesentlige eller tekniske hendelser
Følgende tiltak må iverksettes for å sikre tilgjengeligheten av databehandlingssystemer, samt for å raskt kunne gjenopprette tilgjengeligheten av og tilgangen til personopplysninger i tilfelle en vesentlig eller teknisk hendelse skulle inntreffe (særlig ved å sikre at personopplysninger er beskyttet mot utilsiktet ødeleggelse eller tap):
a) ha kontrollmidler for å oppbevare sikkerhetskopier og gjenopprette tapte eller slettede data,
b) infrastrukturell redundans og ytelsestesting;
c) fysisk beskyttelse av dataressurser;
d) bruk av verktøy for å overvåke status og tilgjengelighet til det interne nettverket;
e) politikk for rapportering av hendelser og respons som regulerer prosedyren for hendelsesstyring, og gjentakelse av at disse retningslinjene følges som en del av vanlig opplæring;
f) sikkerhetskopier (noen ganger utenfor stedet) for å gjenopprette systemet slik at det kan utføre sine funksjoner igjen;
g) planer for virksomhetskontinuitet/katastrofegjenoppretting
1.14 Motstandsdyktighet i databehandlingssystemer og tjenester
Følgende tiltak må tas for å sikre motstandsdyktigheten til databehandlingssystemer og tjenester:
a) systemer konfigurert harmonisk ved bruk av godkjente sikkerhetsparametere;
b) nettverksredundans;
c) inneslutningsbeskyttelse av kritiske systemer.
1.15 Prosedyre for regelmessig testing, evaluering og vurdering av effektiviteten av tekniske og organisatoriske tiltak for å sikre sikkerheten ved databehandling
Fremgangsmåte for regelmessig testing, evaluering og vurdering av effektiviteten av tekniske og organisatoriske tiltak for å beskytte databehandling.
a) ta de nødvendige skrittene for å vurdere risikoer og skadebegrensende strategier,
b) tjenesteanalysemøter i IT-avdelingen for å ta opp aktuelle problemstillinger;
c) planer for virksomhetskontinuitet/katastrofegjenoppretting oppdateres regelmessig.
Del 3
Partenes underskrifter og liste over dataimportører
Når du fyller ut bestillingsskjemaet på nett og godkjenner det ved å godta de generelle vilkårene for bruk, opprettes kontrakten som regulerer forholdet mellom Kunden og IQUALIF.
Innsending av betalingen til IQUALIF etablerer kontrakten.
NB: Denne teksten er oversatt fra fransk. Den opprinnelige franske versjonen, som er gyldig og juridisk begrensende, er tilgjengelig her.