Załącznik do przetwarzania danych

Załącznik do przetwarzania danych

 

Ten Załącznik stanowi integralną część Umowy i jest zawarty przez:

 

  1. (i) Klienta („Eksporter Danych”)
  2. (ii) IQUALIF („Importer Danych”)

 

Każda ze stron jest „Stroną” i łącznie „Stronami”.

 

Wstęp

GDZIE importer danych świadczy profesjonalne usługi programowe, usługi komputerowe i powiązane (takie jak przeglądarki z zaawansowanymi funkcjami wyszukiwania);

GDZIE na podstawie Umowy importer danych zgodził się świadczyć Eksporterowi Danych usługi określone w Umowie (zwane dalej „Usługi”);

GDZIE, świadcząc Usługi, importer danych uzyskuje dostęp lub korzysta z informacji Eksportera Danych lub innych osób mających (potencjalny) związek z Eksporterem Danych, które mogą być kwalifikowane jako dane osobowe w rozumieniu Rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływie takich danych („RODO”) oraz innych obowiązujących przepisów o ochronie danych.

GDZIE ten Załącznik zawiera warunki i zasady dotyczące zbierania, przetwarzania i wykorzystywania takich danych osobowych przez importera danych w jego roli upoważnionego podmiotu przetwarzającego dane, w celu zapewnienia zgodności Stron z obowiązującym prawem o ochronie danych.

 

DLATEGO, aby umożliwić Stronom kontynuację ich relacji zgodnie z prawem, Strony zawarły ten Załącznik w następujący sposób:

Część 1

 

1. Struktura dokumentu i definicje

1.1 Struktura

Ten Załącznik składa się z różnych części, jak następuje:

 

Part 1: 

Zawiera ogólne postanowienia, np. dotyczące definicji używanych w tym Załączniku, zgodności z lokalnym prawem, terminów i rozwiązania umowy

 
Part 2:

Zawiera treść niezmienionych Standardowych Klauzul Umownych

 
Załącznik 1.1 do części 2:

Zawiera szczegóły operacji przetwarzania dostarczonych przez importera danych Eksporterowi Danych jako upoważnionemu podmiotowi przetwarzającemu dane (w tym przetwarzanie, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie podmiotów danych) na podstawie tego Załącznika

 
Załącznik 2 do części 2:

Zawiera opis technicznych i organizacyjnych środków bezpieczeństwa stosowanych przez importera danych w związku ze wszystkimi działaniami przetwarzania opisanymi w Załączniku 1.1 części 2

 
Part 3:

Zawiera podpisy Stron wiążące je tym Załącznikiem oraz identyfikuje każdego importera danych

 

 

1.2 Terminologia i definicje

Na potrzeby tego Załącznika stosuje się terminologię i definicje używane przez RODO (w treści Standardowych Klauzul Umownych w części 2, tam gdzie nie są zdefiniowane terminy pisane wielką literą). 

 

"Państwo członkowskie"

oznacza kraj należący do Unii Europejskiej lub Europejskiego Obszaru Gospodarczego

 
"Specjalne kategorie danych (osobowych)"

odnosi się do danych osobowych ujawniających rasowe lub etniczne pochodzenie, poglądy polityczne, przekonania religijne lub filozoficzne, członkostwo w związkach zawodowych, dane genetyczne, dane biometryczne, jeśli są przetwarzane w celu jednoznacznego identyfikowania osoby, dane dotyczące zdrowia, dane dotyczące życia seksualnego lub orientacji seksualnej

 
"Standardowe Klauzule Umowne"

oznaczają Standardowe Klauzule Umowne dla transferu danych osobowych od podmiotów przetwarzających dane ustanowionych w krajach trzecich, na podstawie Decyzji Komisji 2010/87/UE z dnia 5 lutego 2010 r., zmienionej przez Decyzję Wykonawczą Komisji (UE) 2016/2297 z dnia 16 grudnia 2016 r.

 
"Przetwarzający dane"

oznacza każdego podmiotu przetwarzającego, znajdującego się wewnątrz lub na zewnątrz UE/EEA, który zgadza się otrzymać od importera danych lub innego przetwarzającego dane importera dane osobowe wyłącznie w celu wykonywania działań przetwarzania na rzecz Eksportera Danych po transferze, zgodnie z instrukcjami Eksportera Danych, warunkami tych klauzul i umową z importerem danych

 

 

 

2. Obowiązki Eksportera Danych

2.1 Eksporter Danych ma obowiązek zapewnienia zgodności ze wszystkimi obowiązującymi obowiązkami wynikającymi z RODO i innymi obowiązującymi przepisami o ochronie danych, które dotyczą Eksportera Danych, oraz wykazania takiej zgodności zgodnie z artykułem 5 ust. 2 RODO. Eksporter Danych oświadcza, że uzyskał uprzednią zgodę podmiotów danych zgodnie z artykułem 6 lit. a RODO i spełnił obowiązek informowania podmiotów danych zgodnie z artykułami 13 i 14 RODO.

2.2 Eksporter Danych musi dostarczyć importerowi danych odpowiednie pliki operacji przetwarzania zgodnie z artykułem 30 ust. 1 RODO, związane z usługami w ramach tego Załącznika, w zakresie niezbędnym do spełnienia obowiązku zgodnie z artykułem 30 ust. 2 RODO.

2.3 Eksporter Danych musi wyznaczyć inspektora ochrony danych lub przedstawiciela w zakresie wymogów obowiązującego prawa o ochronie danych. Eksporter Danych zobowiązuje się do przekazania danych kontaktowych inspektora ochrony danych lub przedstawiciela, jeśli taki istnieje, importerowi danych.

2.4. Eksporter Danych potwierdza przed zakończeniem przetwarzania, akceptując ten Załącznik, że techniczne i organizacyjne środki bezpieczeństwa importera danych, określone w Załączniku 2 do części 2, są odpowiednie i wystarczające do ochrony praw podmiotu danych i potwierdza, że importer danych zapewnia odpowiednie zabezpieczenia w tym zakresie.

 

3. Zgodność z lokalnym prawem

Aby spełnić wymogi wdrożenia podmiotów przetwarzających zgodnie z artykułem 28 RODO, stosuje się następujące zmiany:

 

3.1 Instrukcje

  1. (i) Eksporter Danych instruuje importera danych, aby przetwarzał dane osobowe wyłącznie na jego rzecz. Instrukcje Eksportera Danych są zawarte w tym Załączniku i w Umowie. Eksporter Danych ma obowiązek zapewnienia, że wszystkie instrukcje przekazane importerowi danych są zgodne z obowiązującym prawem o ochronie danych. Importer danych musi przetwarzać dane osobowe wyłącznie zgodnie z instrukcjami Eksportera Danych, chyba że inaczej nakazuje prawo Unii Europejskiej lub prawo państwa członkowskiego (w tym przypadku stosuje się punkt 3.2 (iv) (c) części 1).
  2. (ii) Wszystkie inne instrukcje wykraczające poza instrukcje w tym Załączniku lub w Umowie muszą być zawarte w treści tego Załącznika i Umowy. Jeśli wdrożenie takiej dodatkowej instrukcji wiąże się z kosztami dla importera danych, musi on poinformować Eksportera Danych o tych kosztach i przed ich wdrożeniem wyjaśnić je. Dopiero po potwierdzeniu przez Eksportera Danych akceptacji tych kosztów, importer danych wdroży tę dodatkową instrukcję. Eksporter Danych musi przekazać dodatkowe instrukcje na piśmie, chyba że sytuacja wymaga innej formy (np. ustnej, elektronicznej). Instrukcje w innej formie niż pisemna muszą być potwierdzone na piśmie i niezwłocznie przez Eksportera Danych.
  3. 1. O ile Eksporter Danych nie może sam przeprowadzić korekty, usunięcia lub ograniczenia danych osobowych, instrukcje mogą również dotyczyć korekty, usunięcia i/lub ograniczenia danych osobowych zgodnie z punktem 3.3 części 1.
  4. 2. Importer danych musi niezwłocznie poinformować Eksportera Danych, jeśli jego zdaniem instrukcja narusza RODO lub inne obowiązujące przepisy o ochronie danych Unii Europejskiej lub państwa członkowskiego („Sporna instrukcja”). Jeśli importer danych uważa, że instrukcja narusza RODO lub inne obowiązujące przepisy, nie jest zobowiązany do jej wykonania. Jeśli Eksporter Danych potwierdzi sporną instrukcję po otrzymaniu informacji od importera danych i uzna za odpowiedzialnego za tę instrukcję, importer danych wdroży tę instrukcję, chyba że dotyczy ona (i) wdrożenia środków technicznych i organizacyjnych, (ii) praw podmiotów danych lub (iii) zaangażowania podmiotów przetwarzających dane. W takich przypadkach importer danych może skontaktować się z właściwym organem nadzorczym, aby uzyskać prawne ocenienie spornego polecenia. Jeśli organ nadzorczy uzna polecenie za legalne, importer danych je wdroży. Punkt 3.1 (ii) części 1 pozostaje w mocy.

 

3.2 Obowiązki importera danych

  1. (i) Importer danych musi zapewnić, że osoby upoważnione do przetwarzania danych osobowych w imieniu Eksportera Danych, w szczególności pracownicy importera i podwykonawców, zobowiązały się do zachowania poufności lub są objęte odpowiednim obowiązkiem ustawowym zachowania poufności, i że osoby mające dostęp do danych osobowych przetwarzają je zgodnie z instrukcjami Eksportera Danych.
  2. (ii) Importer danych musi wdrożyć środki techniczne i organizacyjne bezpieczeństwa określone w Załączniku 2 do części 2 przed rozpoczęciem przetwarzania danych osobowych w imieniu Eksportera Danych. Środki te mogą być zmieniane od czasu do czasu, pod warunkiem że nie zapewniają mniejszego poziomu ochrony niż te określone w Załączniku 2 do części 2.
  3. (iii) Importer danych musi udostępnić Eksporterowi Danych, na jego żądanie, informacje potwierdzające zgodność z obowiązkami importera danych wynikającymi z tego Załącznika. Strony zgadzają się, że spełnienie tego obowiązku następuje przez dostarczenie Eksporterowi Danych raportu audytowego (obejmującego bezpieczeństwo zasad, dostępność systemów i poufność) („Raport audytowy”). Jeśli prawnie wymagane są dodatkowe działania audytowe, Eksporter Danych może zażądać przeprowadzenia inspekcji przez siebie lub innego audytora wyznaczonego przez niego, na warunkach poufności i za zgodą importera danych („Audyt”). Audyt ten jest uzależniony od: (i) uprzedniej formalnej pisemnej akceptacji importera danych; oraz (ii) pokrycia przez Eksportera Danych wszelkich kosztów związanych z audytem na miejscu. Eksporter Danych musi sporządzić raport podsumowujący wyniki i spostrzeżenia z audytu („Raport z audytu na miejscu”). Raporty z audytu na miejscu i raporty audytowe są poufnymi informacjami importera danych i nie mogą być ujawniane osobom trzecim, chyba że obowiązuje prawo o ochronie danych lub zgoda importera danych.
  4. (iv) Importer danych ma obowiązek niezwłocznie powiadomić Eksportera Danych:
    1. a. o każdym prawnie wiążącym żądaniu ujawnienia danych osobowych przez organ ścigania, chyba że jest to zabronione, np. zakazem wynikającym z prawa karnego w celu ochrony poufności śledztwa;
    2. b. o każdej skardze i żądaniu otrzymanym bezpośrednio od podmiotu danych (np. w zakresie dostępu, korekty, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu wobec przetwarzania danych, automatycznego podejmowania decyzji) bez odpowiadania na to żądanie, chyba że importer danych został do tego upoważniony;
    3. c. jeśli importer danych lub podmiot przetwarzający dane jest zobowiązany na mocy prawa UE lub prawa państwa członkowskiego, którego jest podmiotem, do przetwarzania danych osobowych poza instrukcjami Eksportera Danych, przed wykonaniem takiego przetwarzania, chyba że prawo UE lub prawo państwa członkowskiego zakazuje takiego przetwarzania ze względu na ważny interes publiczny, w takim przypadku powiadomienie Eksportera Danych musi określać wymóg prawny wynikający z tego prawa UE lub prawa państwa członkowskiego; lub
    4. d. jeśli importer danych stwierdzi naruszenie danych osobowych, wyłącznie z własnej winy lub winy podwykonawcy, które wpłynęłoby na dane osobowe Eksportera Danych objęte niniejszą umową, w takim przypadku importer danych będzie wspierał Eksportera Danych w jego obowiązku, zgodnie z obowiązującym prawem o ochronie danych, poinformować podmioty danych i, w stosownych przypadkach, organy nadzorcze, dostarczając dostępne informacje, zgodnie z artykułem 33 ust. 3 RODO.
  5. (v) Na żądanie Eksportera Danych importer danych będzie zobowiązany do pomocy Eksporterowi Danych w jego obowiązku przeprowadzenia oceny skutków dla ochrony danych (art. 35 RODO) oraz wcześniejszej konsultacji (art. 36 RODO) dotyczących usług świadczonych przez importera danych na rzecz Eksportera Danych w ramach tego Załącznika, dostarczając niezbędne informacje i wsparcie. Importer danych będzie zobowiązany do takiej pomocy tylko wtedy, gdy Eksporter Danych nie może tego zrobić innymi środkami. Eksporter Danych poinformuje importera o kosztach takiej pomocy. Gdy Eksporter Danych potwierdzi, że może ponieść te koszty, importer danych zapewni taką pomoc.
  6. (vi) Po zakończeniu świadczenia usług Eksporter Danych może zażądać zwrotu danych osobowych przetwarzanych przez importera danych w ramach tego Załącznika w ciągu miesiąca od zakończenia usług. O ile przepisy prawa państwa członkowskiego lub UE nie nakazują przechowywania lub zatrzymywania tych danych, importer danych usunie wszystkie takie dane osobowe lub nieosobowe po upływie tego okresu, niezależnie od tego, czy zostały zwrócone Eksporterowi Danych na jego żądanie, czy nie.

 

3.3 Prawa osób, których dane dotyczą

  1.  
    1. (i) Eksporter Danych zarządza i odpowiada na żądania podmiotów danych. Importer danych nie jest zobowiązany do bezpośredniej odpowiedzi podmiotom danych.
    2. (ii) Jeśli Eksporter Danych wymaga pomocy importera danych w przetwarzaniu i odpowiadaniu na żądania podmiotów danych, wyda dalsze instrukcje zgodnie z punktem 3.1 (ii) części 1. Importer danych będzie wspierał Eksportera Danych odpowiednimi i technicznie organizacyjnymi środkami do realizacji praw podmiotów danych określonych w rozdziale III RODO, w tym:
    3. a. W zakresie żądań informacji, importer danych dostarczy Eksporterowi Danych jedynie informacje wymagane przez artykuły 13 i 14 RODO, które może posiadać, jeśli nie może ich znaleźć samodzielnie.
    4. b. W zakresie żądań dostępu (art. 15 RODO), importer danych dostarczy Eksporterowi Danych jedynie informacje, które mają być przekazane podmiotowi danych w ramach tego żądania, i które może posiadać, jeśli nie może ich znaleźć samodzielnie.
    5. c. W zakresie żądań korekty (art. 16 RODO), usunięcia (art. 17 RODO), ograniczenia przetwarzania (art. 18 RODO) lub przenoszenia danych (art. 20 RODO), i tylko jeśli Eksporter Danych nie może sam poprawić, usunąć, ograniczyć lub przekazać danych innemu podmiotowi, importer danych zaoferuje Eksporterowi Danych możliwość korekty, usunięcia, ograniczenia lub przekazania danych innemu podmiotowi, lub jeśli to nie jest możliwe, udzieli pomocy w korekcie, usunięciu, ograniczeniu lub przekazaniu danych innemu podmiotowi.
    6. d. W zakresie powiadomień o korekcie, usunięciu lub ograniczeniu przetwarzania (art. 19 RODO), importer danych będzie wspierał Eksportera Danych, powiadamiając wszystkich odbiorców danych osobowych, o których mowa w tym punkcie, jeśli Eksporter Danych tego zażąda, i jeśli nie może tego zrobić samodzielnie.
    7. e. W zakresie prawa sprzeciwu podmiotu danych (art. 21 i 22 RODO), Eksporter Danych zdecyduje, czy sprzeciw jest uzasadniony i jak z nim postępować.
    8. (iii) Obowiązki pomocy importera danych ograniczają się do danych przetwarzanych w jego infrastrukturze (np. bazy danych, systemy, aplikacje własne lub dostarczone przez niego).
    9. (iv) Eksporter Danych określi, czy podmiot danych może korzystać z praw podmiotów danych określonych w punkcie 3.1 części 1 i poinformuje importera danych, w jakim zakresie pomoc określona w punktach 3.3 (ii), (iii) jest konieczna.
    10. (v) Jeśli Eksporter Danych zażąda dodatkowych lub zmodyfikowanych środków technicznych i organizacyjnych w celu zapewnienia praw podmiotów danych wykraczających poza pomoc przewidzianą w punktach 3.3 (ii), (iii), importer danych poinformuje Eksportera Danych o kosztach wdrożenia takich środków. Gdy Eksporter Danych potwierdzi, że może ponieść te koszty, importer danych wdroży takie dodatkowe lub zmodyfikowane środki.
    11. (vi) Bez ograniczania zakresu punktu 3.3 (v), Eksporter Danych zobowiązuje się zwrócić importerowi danych uzasadnione koszty poniesione w odpowiedzi na żądania podmiotów danych.

 

3.4 Podwykonawstwo

  1.  
    1. (i) Eksporter Danych upoważnia importera danych do korzystania z podwykonawców w zakresie świadczenia usług na podstawie tego Załącznika. Importer danych musi starannie wybrać takich przetwarzających dane. Eksporter Danych zatwierdza listę przetwarzających dane wymienioną w Załączniku 1.1 na końcu części 2.
    2. (ii) Importer danych przenosi swoje obowiązki wynikające z tego Załącznika na przetwarzających dane (w zakresie odpowiednim dla usług podwykonawczych).
    3. (iii) Importer danych może odwołać, wymienić lub wyznaczyć innego odpowiedzialnego i wiarygodnego przetwarzającego dane (w tym przypadku musi to zrobić na piśmie na podstawie procedury opisanej poniżej):
  2.  
    1. a. Importer danych poinformuje Eksportera Danych przed dokonaniem jakichkolwiek zmian na liście przetwarzających dane wymienionej w punkcie 3.4 (i) części 1. Jeśli Eksporter Danych nie zgłosi sprzeciwu w ciągu trzydziestu dni od otrzymania powiadomienia od importera danych, dodatkowi przetwarzający będą uznani za zaakceptowanych.
    2. b. Jeśli Eksporter Danych ma uzasadnione powody do sprzeciwu wobec dodatkowego przetwarzającego dane, wyśle mu uprzednie pisemne powiadomienie w ciągu trzydziestu dni od otrzymania powiadomienia od importera danych i przed rozpoczęciem świadczenia usług przez tego ostatniego. Jeśli Eksporter Danych sprzeciwi się użyciu dodatkowego przetwarzającego, importer danych może odwołać sprzeciw jednym z następujących sposobów (według własnego uznania): (A) anulować plany użycia dodatkowego przetwarzającego w odniesieniu do danych osobowych Eksportera Danych; (B) podjąć działania naprawcze zgodnie z żądaniem Eksportera Danych (anulować sprzeciw) i użyć dodatkowego przetwarzającego w odniesieniu do danych osobowych Eksportera Danych; (C) zaprzestać świadczenia usługi lub Eksporter Danych może się zgodzić na tymczasowe lub stałe niekorzystanie z określonego aspektu usługi, który wymagałby użycia dalszego przetwarzającego dane Eksportera Danych.
  3.  
    1. (iv) jeśli przetwarzający dane znajduje się poza UE-EEA w kraju, który nie jest uznawany za zapewniający odpowiedni poziom ochrony danych na podstawie decyzji Komisji Europejskiej, importer danych podejmie kroki w celu zapewnienia odpowiedniego poziomu ochrony danych zgodnie z RODO (środki te mogą obejmować m.in. korzystanie z umów o przetwarzanie danych opartych na klauzulach modelowych UE, transfer do certyfikowanych przetwarzających dane w ramach EU-US Privacy Shield lub podobnego programu).

 

3.5 Wygaśnięcie

Wygaśnięcie tego Załącznika jest tożsame z datą wygaśnięcia odpowiedniej Umowy. O ile nie postanowiono inaczej, prawa i obowiązki związane z rozwiązaniem będą takie same jak w Umowie.

 

4. Ograniczenie odpowiedzialności

4.1 Każda ze stron realizuje swoje obowiązki wynikające z tego Załącznika i obowiązującego prawa o ochronie danych.

4.2 Odpowiedzialność za naruszenie obowiązków wynikających z tego Załącznika lub obowiązującego prawa o ochronie danych podlega i jest regulowana postanowieniami umowy, chyba że postanowiono inaczej w tym Załączniku. Jeśli odpowiedzialność jest regulowana postanowieniami umowy, do wyliczenia limitów odpowiedzialności lub ustalenia innych ograniczeń odpowiedzialności, wszelkie roszczenia wynikające z tego Załącznika będą uważane za roszczenia wynikające z umowy.

 

5. Postanowienia ogólne

5.1 W przypadku sprzeczności lub rozbieżności między częścią 1 a częścią 2 tego Załącznika, obowiązuje część 2. W szczególności, nawet w takim przypadku, część 1, która wykracza poza część 2 (np. warunki klauzul standardowych), bez sprzeczności z nią, pozostaje ważna.

5.2 W przypadku rozbieżności między postanowieniami tego Załącznika a innymi umowami wiążącymi Strony, ten Załącznik będzie miał pierwszeństwo w zakresie obowiązków Stron dotyczących ochrony danych. W razie wątpliwości, czy postanowienia innych umów dotyczą obowiązków Stron w zakresie ochrony danych, ten Załącznik ma pierwszeństwo.

5.3 Jeśli którekolwiek postanowienie tego Załącznika jest nieważne lub niewykonalne, pozostałe postanowienia pozostają w pełnej mocy. Nieważne lub niewykonalne postanowienie zostanie odpowiednio zmienione, aby zapewnić jego ważność i wykonalność, zachowując w miarę możliwości intencje Stron, lub - jeśli to niemożliwe - będzie interpretowane tak, jakby nieważna lub niewykonalna część nigdy nie była częścią umowy. Powyższe ma również zastosowanie w przypadku pominięcia w tym Załączniku.

5.5 W zakresie koniecznym, Strony mogą wnioskować o zmiany w części 1, punkcie 3 (Zgodność z lokalnym prawem) lub innych częściach Załącznika, aby dostosować się do interpretacji, dyrektyw lub nakazów wydanych przez właściwe organy Unii lub państw członkowskich, krajowych przepisów egzekucyjnych lub innych zmian prawnych dotyczących RODO lub innych warunków delegowania do podmiotów zaangażowanych w przetwarzanie danych, szczególnie w zakresie korzystania z klauzul standardowych w RODO. Warunki klauzul standardowych nie mogą być modyfikowane ani zastępowane, chyba że Komisja Europejska wyraźnie to zatwierdzi (np. nowymi odpowiednimi klauzulami i standardami ochrony danych).

5.6 Wszelkie odniesienia w tym Załączniku do „Klauzul” będą rozumiane jako odniesienie do wszystkich postanowień tego Załącznika, chyba że postanowiono inaczej.

5.7 Wybór prawa w punkcie 2, klauzula 9, ma zastosowanie do całej Umowy.

 

6. Dane osobowe przesyłane i przetwarzane przez strony do celów osobistych (transfer od administratora danych do administratora danych)

6.1 Strony w pełni zdają sobie sprawę, że niektóre dane osobowe będą przekazywane od Eksportera Danych do Importera Danych i odwrotnie, i że takie dane są przetwarzane przez każdą ze stron dla własnych celów. W odniesieniu do takich danych osobowych, nie wpływa to na inne postanowienia tego Załącznika (z wyjątkiem tego punktu 6).

6.2 Eksporter Danych może przekazać dane osobowe dotyczące personelu importera danych, w tym informacje o incydentach bezpieczeństwa lub innych dokumentach lub plikach stworzonych lub sporządzonych przez eksportera danych w związku z usługami świadczonymi przez personel importera danych. Importer danych może przetwarzać takie dane osobowe dla własnych celów, w szczególności w relacjach zawodowych z personelem importera, w celach jakościowych i szkoleniowych, lub dla celów biznesowych.

6.3. Importer danych może przekazać dane osobowe Eksporterowi Danych, w tym imię i dane kontaktowe personelu importera danych. Eksporter Danych może przetwarzać takie dane dla własnych celów.

6.4 Obie strony będą przestrzegać obowiązujących przepisów o ochronie danych, w tym RODO, przy zbieraniu, przetwarzaniu i wykorzystywaniu takich danych otrzymanych od drugiej strony na podstawie punktu 1 części 1. W szczególności, obie strony podejmą odpowiednie środki bezpieczeństwa, zapewniając podobny poziom ochrony jak środki opisane w Załączniku 2 części 2. Dostęp do takich danych osobowych będzie ograniczony do koniecznego.

6.5 Obie strony muszą usunąć takie dane osobowe tak szybko, jak to możliwe po osiągnięciu celów.

Part 2

 

DECYZJA KOMISJI

z dnia 5 lutego 2010 r.

w sprawie standardowych klauzul umownych dla transferu danych osobowych do podmiotów przetwarzających dane ustanowionych w krajach trzecich na podstawie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady

 

 

 

Klauzula 1

Definicje

W rozumieniu klauzul:

a) „dane osobowe”, „specjalne kategorie danych”, „przetwarzanie”, „administrator”, „przetwarzający”, „podmiot danych” i „organ nadzorczy” mają takie samo znaczenie jak w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych („RODO”);

b) „Eksporter Danych” jest administratorem danych przekazującym dane osobowe;

c) „Importer Danych” jest przetwarzającym dane, który zgadza się otrzymać od Eksportera Danych dane osobowe przeznaczone do przetwarzania na jego rzecz po transferze, zgodnie z instrukcjami i warunkami tych klauzul, i nie jest objęty mechanizmem kraju trzeciego zapewniającego odpowiedni poziom ochrony w rozumieniu artykułu 25 ust. 1 dyrektywy 95/46/WE; (d) „przetwarzający dane” oznacza przetwarzającego dane zaangażowanego przez Importera Danych lub innego przetwarzającego dane importera, który zgadza się otrzymać od importera danych lub innego przetwarzającego dane importera dane osobowe wyłącznie w celu wykonywania działań przetwarzania na rzecz Eksportera Danych po transferze, zgodnie z instrukcjami Eksportera Danych, na warunkach określonych w tych klauzulach i na podstawie pisemnej umowy o podwykonawstwie przetwarzania danych;

e) „obowiązujące przepisy o ochronie danych” oznaczają ustawodawstwo chroniące podstawowe prawa i wolności osób fizycznych, w tym prawo do prywatności w zakresie przetwarzania danych osobowych, mające zastosowanie do administratora w państwie członkowskim, w którym działa Eksporter Danych;

f) „środki techniczne i organizacyjne dotyczące bezpieczeństwa” oznaczają środki mające na celu ochronę danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem lub przypadkową utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem, w szczególności gdy przetwarzanie obejmuje przesyłanie danych przez sieci, oraz przed wszelkimi innymi niezgodnymi z prawem formami przetwarzania.

Klauzula 2

Szczegóły transferu

Szczegóły transferu, w tym, w razie potrzeby, specjalne kategorie danych osobowych, są określone w Załączniku 1, który stanowi integralną część tych klauzul.

Klauzula 3

Klauzula beneficjenta trzeciego

1. Podmiot danych może egzekwować wobec Eksportera Danych tę Klauzulę, Klauzulę 4(b) do (i), Klauzulę 5(a) do (e) i (g) do (j), Klauzulę 6 (1) i (2), Klauzulę 7, Klauzulę 8(2) i Klauzule 9 do 12 jako beneficjent trzeciej strony.

2. Podmiot danych może egzekwować tę Klauzulę, Klauzulę 5 (a) do (e) i (g), Klauzulę 6, Klauzulę 7, Klauzulę 8 (2) i Klauzule 9 do 12 wobec Importera Danych, gdy Eksporter Danych fizycznie zniknął lub przestał istnieć prawnie, chyba że wszystkie jego obowiązki prawne zostały przeniesione, umową lub na mocy prawa, na następczą jednostkę, wobec której prawa i obowiązki Eksportera Danych przechodzą, i wobec której podmiot danych może egzekwować te klauzule.

Podmiot danych może egzekwować tę Klauzulę, Klauzulę 5 (a) do (e) i (g), Klauzulę 6, Klauzulę 7, Klauzulę 8 (2) i Klauzule 9 do 12 wobec przetwarzającego dane, ale tylko w przypadkach, gdy Eksporter Danych i Importer Danych fizycznie zniknęli, przestali istnieć prawnie lub stali się niewypłacalni, chyba że wszystkie obowiązki prawne Eksportera Danych zostały przeniesione, umową lub na mocy prawa, na prawnego następcę, wobec którego prawa i obowiązki Eksportera Danych są przeniesione, i wobec którego podmiot danych może egzekwować te klauzule. Odpowiedzialność przetwarzającego dane musi być ograniczona do jego własnych działań przetwarzania zgodnie z tymi klauzulami.

4. Strony nie sprzeciwiają się, aby podmiot danych był reprezentowany przez stowarzyszenie lub inny organ, jeśli tak zdecyduje i jeśli prawo krajowe na to pozwala.

Klauzula 4

Obowiązki Eksportera Danych

Eksporter Danych przyjmuje i gwarantuje, że:

a) przetwarzanie, w tym faktyczne przekazanie danych osobowych, odbywało się i będzie odbywać się zgodnie z odpowiednimi przepisami obowiązującego prawa o ochronie danych (i, w stosownych przypadkach, zostało zgłoszone właściwym organom państwa członkowskiego, w którym działa Eksporter Danych) i nie narusza odpowiednich przepisów tego państwa;

b) wydał instrukcje, i będzie je wydawał przez cały okres świadczenia usług przetwarzania danych, importerowi danych, aby przetwarzał przekazane dane osobowe wyłącznie na jego rzecz i zgodnie z obowiązującym prawem o ochronie danych i tymi klauzulami;

c) importer danych zapewni odpowiednie zabezpieczenia dotyczące środków technicznych i organizacyjnych bezpieczeństwa określonych w Załączniku 2 do niniejszej umowy;

d) po ocenie wymagań obowiązującego prawa o ochronie danych, środki bezpieczeństwa są odpowiednie do ochrony danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem lub utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem, w szczególności gdy przetwarzanie obejmuje przesyłanie danych przez sieć, i przed wszelkimi innymi niezgodnymi z prawem formami przetwarzania, oraz zapewniają poziom bezpieczeństwa odpowiedni do ryzyka związanego z przetwarzaniem i charakteru danych do ochrony, uwzględniając poziom technologii i koszty wdrożenia;

e) zapewnią zgodność z środkami bezpieczeństwa;

f) jeśli transfer dotyczy specjalnych kategorii danych, podmiot danych został poinformowany lub zostanie poinformowany przed transferem lub tak szybko jak to możliwe po transferze, że jego dane mogą zostać przekazane do kraju trzeciego, który nie zapewnia odpowiedniego poziomu ochrony w rozumieniu dyrektywy 95/46/WE;

g) przekażą wszelkie powiadomienia otrzymane od importera danych lub przetwarzającego dane zgodnie z Klauzulami 5 (b) i 8 (3) do organu nadzorczego ds. ochrony danych, jeśli zdecydują się kontynuować transfer lub znosić zawieszenie;

h) udostępnią podmiotom danych, na ich żądanie, kopię tych klauzul, z wyjątkiem Załącznika 2, oraz podsumowanie środków bezpieczeństwa, i kopię każdej dalszej umowy podwykonawczej zawartej na podstawie tych klauzul, chyba że klauzule lub umowa zawierają informacje handlowe, w takim przypadku mogą wycofać takie informacje;

i) w przypadku podwykonawstwa procesu przetwarzania danych, działalność przetwarzania jest prowadzona zgodnie z Klauzulą 11 przez podmiot przetwarzający dane, zapewniający co najmniej taki sam poziom ochrony danych osobowych i praw podmiotów danych jak importer danych na podstawie tych klauzul; oraz

j) zapewni zgodność z Klauzulą 4 (a) do (i).

Klauzula 5

Obowiązki importera danych

Importer danych przyjmuje i gwarantuje, że:

a) będzie przetwarzał dane osobowe wyłącznie na rzecz Eksportera Danych i zgodnie z jego instrukcjami oraz tymi klauzulami; jeśli z jakiegokolwiek powodu nie będzie mógł tego zrobić, poinformuje Eksportera Danych o tym niezwłocznie, a w takim przypadku Eksporter Danych może zawiesić transfer danych i/lub zakończyć umowę;

b) nie ma podstaw, aby sądzić, że obowiązujące go prawo uniemożliwia mu realizację instrukcji wydanych przez Eksportera Danych i obowiązków wynikających z umowy, a jeśli takie prawo ulegnie zmianie i będzie miało istotny wpływ na gwarancje i obowiązki wynikające z klauzul, poinformuje Eksportera Danych o tej zmianie niezwłocznie po jej poznaniu, a w takim przypadku Eksporter Danych może zawiesić transfer danych i/lub zakończyć umowę; (c) wdrożył środki techniczne i organizacyjne bezpieczeństwa określone w Załączniku 2 przed rozpoczęciem przetwarzania danych osobowych przekazanych;

d) niezwłocznie powiadomi Eksportera Danych:

i) o każdym wiążącym żądaniu ujawnienia danych osobowych od organu ścigania, chyba że jest to zabronione, np. zakazem wynikającym z prawa karnego w celu zachowania poufności śledztwa;

ii) o każdym incydencie lub nieautoryzowanym dostępie; oraz

iii) o każdym żądaniu bezpośrednio od osób, których dane dotyczą, bez odpowiadania na nie, chyba że został do tego upoważniony; administratorzy

e) będą szybko i właściwie reagować na wszelkie zapytania Eksportera Danych dotyczące jego przetwarzania danych osobowych i będą działać zgodnie z opinią organu nadzorczego w zakresie przetwarzania danych przekazanych;

f) na żądanie Eksportera Danych poddadzą swoje urządzenia do audytu działań przetwarzania objętych tymi klauzulami, przeprowadzonego przez Eksportera Danych lub organ nadzorczy składający się z niezależnych członków o odpowiednich kwalifikacjach zawodowych, z zachowaniem poufności i za zgodą Eksportera Danych, gdzie to możliwe, na podstawie umowy o zachowaniu poufności („Audyt”). Audyt ten jest uzależniony od: (i) uprzedniej formalnej pisemnej akceptacji importera danych; oraz (ii) pokrycia przez Eksportera Danych wszelkich kosztów związanych z audytem na miejscu. Eksporter Danych musi sporządzić raport podsumowujący wyniki i spostrzeżenia z audytu („Raport z audytu na miejscu”). Raporty z audytu na miejscu i raporty audytowe są poufnymi informacjami importera danych i nie mogą być ujawniane osobom trzecim, chyba że obowiązuje prawo o ochronie danych lub zgoda importera danych.

  • (iv) importer danych ma obowiązek niezwłocznie powiadomić Eksportera Danych:
    1. a. o każdym prawnie wiążącym żądaniu ujawnienia danych osobowych przez organ ścigania, chyba że jest to zabronione, np. zakazem wynikającym z prawa karnego w celu zachowania poufności śledztwa;
    2. b. o każdym skardze i żądaniu otrzymanym bezpośrednio od podmiotu danych (np. w zakresie dostępu, korekty, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu wobec przetwarzania danych, automatycznego podejmowania decyzji) bez odpowiadania na to żądanie, chyba że importer danych został do tego upoważniony;
    3. c. jeśli importer danych lub podmiot przetwarzający dane jest zobowiązany na mocy prawa UE lub prawa państwa członkowskiego, którego jest podmiotem, do przetwarzania danych osobowych poza instrukcjami Eksportera Danych, przed wykonaniem takiego przetwarzania, chyba że prawo UE lub prawo państwa członkowskiego zakazuje takiego przetwarzania ze względu na ważny interes publiczny, w takim przypadku powiadomienie Eksportera Danych musi określać wymóg prawny wynikający z tego prawa UE lub prawa państwa członkowskiego; lub
    4. d. jeśli importer danych stwierdzi naruszenie danych osobowych, wyłącznie z własnej winy lub winy podwykonawcy, które wpłynęłoby na dane osobowe Eksportera Danych objęte niniejszą umową, w takim przypadku importer danych będzie wspierał Eksportera Danych w jego obowiązku, zgodnie z obowiązującym prawem o ochronie danych, poinformować podmioty danych i, w stosownych przypadkach, organy nadzorcze, dostarczając dostępne informacje, zgodnie z artykułem 33 ust. 3 RODO.
  • (v) Na żądanie Eksportera Danych importer danych będzie zobowiązany do pomocy Eksportera Danych w jego obowiązku przeprowadzenia oceny skutków dla ochrony danych (art. 35 RODO) oraz wcześniejszej konsultacji (art. 36 RODO) dotyczących usług świadczonych przez importera danych na rzecz Eksportera Danych w ramach tego Załącznika, dostarczając niezbędne informacje i wsparcie. Importer danych będzie zobowiązany do takiej pomocy tylko wtedy, gdy Eksporter Danych nie może tego zrobić innymi środkami. Eksporter Danych poinformuje importera o kosztach takiej pomocy. Gdy Eksporter Danych potwierdzi, że może ponieść te koszty, importer danych zapewni taką pomoc.
  • (vi) Po zakończeniu świadczenia usług Eksporter Danych może zażądać zwrotu danych osobowych przetwarzanych przez importera danych w ramach tego Załącznika w ciągu miesiąca od zakończenia usług. O ile przepisy prawa państwa członkowskiego lub UE nie nakazują przechowywania lub zatrzymywania tych danych, importer danych usunie wszystkie takie dane osobowe lub nieosobowe po upływie tego okresu, niezależnie od tego, czy zostały zwrócone Eksporterowi Danych na jego żądanie, czy nie.

    •  

    3.3 Prawa osób, których dane dotyczą

    1.  
      1. (i) Eksporter Danych zarządza i odpowiada na żądania podmiotów danych. Importer danych nie jest zobowiązany do bezpośredniej odpowiedzi podmiotom danych.
      2. (ii) Jeśli Eksporter Danych wymaga pomocy importera danych w przetwarzaniu i odpowiadaniu na żądania podmiotów danych, wyda mu dalsze instrukcje zgodnie z punktem 3.1 (ii) części 1. Importer danych będzie wspierał Eksportera Danych odpowiednimi i technicznie organizacyjnymi środkami do realizacji praw podmiotów danych określonych w rozdziale III RODO, w tym:
      3. a. W zakresie żądań informacji, importer danych dostarczy Eksporterowi Danych jedynie informacje wymagane przez artykuły 13 i 14 RODO, które może posiadać, jeśli nie może ich znaleźć samodzielnie.
      4. b. W zakresie żądań dostępu (art. 15 RODO), importer danych dostarczy Eksporterowi Danych jedynie informacje, które mają być przekazane podmiotowi danych w ramach tego żądania, i które może posiadać, jeśli nie może ich znaleźć samodzielnie.
      5. c. W zakresie żądań korekty (art. 16 RODO), usunięcia (art. 17 RODO), ograniczenia przetwarzania (art. 18 RODO) lub przenoszenia danych (art. 20 RODO), i tylko jeśli Eksporter Danych nie może sam poprawić, usunąć, ograniczyć lub przekazać danych innemu podmiotowi, importer danych zaoferuje Eksporterowi Danych możliwość korekty, usunięcia, ograniczenia lub przekazania danych innemu podmiotowi, lub jeśli to nie jest możliwe, udzieli pomocy w korekcie, usunięciu, ograniczeniu lub przekazaniu danych innemu podmiotowi.
      6. d. W zakresie powiadomień o korekcie, usunięciu lub ograniczeniu przetwarzania (art. 19 RODO), importer danych będzie wspierał Eksportera Danych, powiadamiając wszystkich odbiorców danych osobowych, o których mowa w tym punkcie, jeśli Eksporter Danych tego zażąda, i jeśli nie może tego zrobić samodzielnie.
      7. e. W zakresie prawa sprzeciwu podmiotu danych (art. 21 i 22 RODO), Eksporter Danych zdecyduje, czy sprzeciw jest uzasadniony i jak z nim postępować.
      8. (iii) Obowiązki pomocy importera danych ograniczają się do danych przetwarzanych w jego infrastrukturze (np. bazy danych, systemy, aplikacje własne lub dostarczone przez niego).
      9. (iv) Eksporter Danych określi, czy podmiot danych może korzystać z praw podmiotów danych określonych w punkcie 3.1 części 1 i poinformuje importera danych, w jakim zakresie pomoc określona w punktach 3.3 (ii), (iii) jest konieczna.
      10. (v) Jeśli Eksporter Danych zażąda dodatkowych lub zmodyfikowanych środków technicznych i organizacyjnych w celu zapewnienia praw podmiotów danych wykraczających poza pomoc przewidzianą w punktach 3.3 (ii), (iii), importer danych poinformuje Eksportera Danych o kosztach wdrożenia takich środków. Gdy Eksporter Danych potwierdzi, że może ponieść te koszty, importer danych wdroży takie dodatkowe lub zmodyfikowane środki.
      11. (vi) Bez ograniczania zakresu punktu 3.3 (v), Eksporter Danych zobowiązuje się zwrócić importerowi danych uzasadnione koszty poniesione w odpowiedzi na żądania podmiotów danych.

     

    3.4 Podwykonawstwo

    1.  
      1. (i) Eksporter Danych upoważnia importera danych do korzystania z podwykonawców w zakresie świadczenia usług na podstawie tego Załącznika. Importer danych musi starannie wybrać takich przetwarzających dane. Eksporter Danych zatwierdza listę przetwarzających dane wymienioną w Załączniku 1.1 na końcu części 2.
      2. (ii) Importer danych przenosi swoje obowiązki wynikające z tego Załącznika na przetwarzających dane (w zakresie odpowiednim dla usług podwykonawczych).
      3. (iii) Importer danych może odwołać, wymienić lub wyznaczyć innego odpowiedzialnego i wiarygodnego przetwarzającego dane (w tym przypadku musi to zrobić na piśmie na podstawie procedury opisanej poniżej):
    2.  
      1. a. Importer danych poinformuje Eksportera Danych przed dokonaniem jakichkolwiek zmian na liście przetwarzających dane wymienionej w punkcie 3.4 (i) części 1. Jeśli Eksporter Danych nie zgłosi sprzeciwu w ciągu trzydziestu dni od otrzymania powiadomienia od importera danych, dodatkowi przetwarzający będą uznani za zaakceptowanych.
      2. b. Jeśli Eksporter Danych ma uzasadnione powody do sprzeciwu wobec dodatkowego przetwarzającego dane, wyśle mu uprzednie pisemne powiadomienie w ciągu trzydziestu dni od otrzymania powiadomienia od importera danych i przed rozpoczęciem świadczenia usług przez tego ostatniego. Jeśli Eksporter Danych sprzeciwi się użyciu dodatkowego przetwarzającego, importer danych może odwołać sprzeciw jednym z następujących sposobów (według własnego uznania): (A) anulować plany użycia dodatkowego przetwarzającego w odniesieniu do danych osobowych Eksportera Danych; (B) podjąć działania naprawcze zgodnie z żądaniem Eksportera Danych (anulować sprzeciw) i użyć dodatkowego przetwarzającego w odniesieniu do danych osobowych Eksportera Danych; (C) zaprzestać świadczenia usługi lub Eksporter Danych może się zgodzić na tymczasowe lub stałe niekorzystanie z określonego aspektu usługi, który wymagałby użycia dalszego przetwarzającego dane Eksportera Danych.
    3.  
      1. (iv) jeśli przetwarzający dane znajduje się poza UE-EEA w kraju, który nie jest uznawany za zapewniający odpowiedni poziom ochrony danych na podstawie decyzji Komisji Europejskiej, importer danych podejmie kroki w celu zapewnienia odpowiedniego poziomu ochrony danych zgodnie z RODO (środki te mogą obejmować m.in. korzystanie z umów o przetwarzanie danych opartych na klauzulach modelowych UE, transfer do certyfikowanych przetwarzających dane w ramach EU-US Privacy Shield lub podobnego programu).

     

    3.5 Wygaśnięcie

    Wygaśnięcie tego Załącznika jest tożsame z datą wygaśnięcia odpowiedniej Umowy. O ile nie postanowiono inaczej, prawa i obowiązki związane z rozwiązaniem będą takie same jak w Umowie.

     

    4. Ograniczenie odpowiedzialności

    4.1 Każda ze stron realizuje swoje obowiązki wynikające z tego Załącznika i obowiązującego prawa o ochronie danych.

    4.2 Odpowiedzialność za naruszenie obowiązków wynikających z tego Załącznika lub obowiązującego prawa o ochronie danych podlega i jest regulowana postanowieniami umowy, chyba że postanowiono inaczej w tym Załączniku. Jeśli odpowiedzialność jest regulowana postanowieniami umowy, do wyliczenia limitów odpowiedzialności lub ustalenia innych ograniczeń odpowiedzialności, wszelkie roszczenia wynikające z tego Załącznika będą uważane za roszczenia wynikające z umowy.

     

    5. Postanowienia ogólne

    5.1 W przypadku sprzeczności lub rozbieżności między częścią 1 a częścią 2 tego Załącznika, obowiązuje część 2. W szczególności, nawet w takim przypadku, część 1, która wykracza poza część 2 (np. warunki klauzul standardowych), bez sprzeczności z nią, pozostaje ważna.

    5.2 W przypadku rozbieżności między postanowieniami tego Załącznika a innymi umowami wiążącymi Strony, ten Załącznik będzie miał pierwszeństwo w zakresie obowiązków Stron dotyczących ochrony danych. W razie wątpliwości, czy postanowienia innych umów dotyczą obowiązków Stron w zakresie ochrony danych, ten Załącznik ma pierwszeństwo.

    5.3 Jeśli którekolwiek postanowienie tego Załącznika jest nieważne lub niewykonalne, pozostałe postanowienia pozostają w pełnej mocy. Nieważne lub niewykonalne postanowienie zostanie odpowiednio zmienione, aby zapewnić jego ważność i wykonalność, zachowując w miarę możliwości intencje Stron, lub - jeśli to niemożliwe - będzie interpretowane tak, jakby nieważna lub niewykonalna część nigdy nie była częścią umowy. Powyższe ma również zastosowanie w przypadku pominięcia w tym Załączniku.

    5.5 W zakresie koniecznym, Strony mogą wnioskować o zmiany w części 1, punkcie 3 (Zgodność z lokalnym prawem) lub innych częściach Załącznika, aby dostosować się do interpretacji, dyrektyw lub nakazów wydanych przez właściwe organy Unii lub państw członkowskich, krajowych przepisów egzekucyjnych lub innych zmian prawnych dotyczących RODO lub innych warunków delegowania do podmiotów zaangażowanych w przetwarzanie danych, szczególnie w zakresie korzystania z klauzul standardowych w RODO. Warunki klauzul standardowych nie mogą być modyfikowane ani zastępowane, chyba że Komisja Europejska wyraźnie to zatwierdzi (np. nowymi odpowiednimi klauzulami i standardami ochrony danych).

    5.6 Wszelkie odniesienia w tym Załączniku do „Klauzul” będą rozumiane jako odniesienie do wszystkich postanowień tego Załącznika, chyba że postanowiono inaczej.

    5.7 Wybór prawa w punkcie 2, klauzula 9, ma zastosowanie do całej Umowy.

     

    6. Dane osobowe przesyłane i przetwarzane przez strony do celów osobistych (transfer od administratora danych do administratora danych)

    6.1 Strony w pełni zdają sobie sprawę, że niektóre dane osobowe będą przekazywane od Eksportera Danych do Importera Danych i odwrotnie, i że takie dane są przetwarzane przez każdą ze stron dla własnych celów. W odniesieniu do takich danych osobowych, nie wpływa to na inne postanowienia tego Załącznika (z wyjątkiem tego punktu 6).

    6.2 Eksporter Danych może przekazać dane osobowe dotyczące personelu importera danych, w tym informacje o incydentach bezpieczeństwa lub innych dokumentach lub plikach stworzonych lub sporządzonych przez eksportera danych w związku z usługami świadczonymi przez personel importera danych. Importer danych może przetwarzać takie dane osobowe dla własnych celów, w szczególności w relacjach zawodowych z personelem importera, w celach jakościowych i szkoleniowych, lub dla celów biznesowych.

    6.3. Importer danych może przekazać dane osobowe Eksporterowi Danych, w tym imię i dane kontaktowe personelu importera danych. Eksporter Danych może przetwarzać takie dane dla własnych celów.

    6.4 Obie strony będą przestrzegać obowiązujących przepisów o ochronie danych, w tym RODO, przy zbieraniu, przetwarzaniu i wykorzystywaniu takich danych otrzymanych od drugiej strony na podstawie punktu 1 części 1. W szczególności, obie strony podejmą odpowiednie środki bezpieczeństwa, zapewniając podobny poziom ochrony jak środki opisane w Załączniku 2 części 2. Dostęp do takich danych osobowych będzie ograniczony do koniecznego.

    6.5 Obie strony muszą usunąć takie dane osobowe tak szybko, jak to możliwe po osiągnięciu celów.