Anexă de prelucrare a datelor

 

Acest apendice face parte integrantă din Contract și este încheiat de:

 

  1. (i) Clientul (" Exportator de date ")
  2. (ii) IQUALIF (" Importatorul de date ")

 

Fiecare fiind un „ partid și de obicei „ partide .

 

Preambul

UNDE Importatorul de date oferă servicii software profesionale, computer și servicii conexe (cum ar fi browsere cu funcții de căutare avansate);

UNDE în conformitate cu Contractul, Importatorul de date a fost de acord să furnizeze Exportatorului de date serviciile specificate în Contract („ Serviciile );

UNDE, prin furnizarea Serviciilor, Importatorul de Date primește sau beneficiază de acces la informațiile Exportatorului de Date sau la informațiile altor persoane care au o relație (potențială) cu Exportatorul de Date, astfel de informații pot fi calificate drept date personale în sensul Regulamentului. (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (" GDPR ") și alte legi aplicabile privind protecția datelor.

UNDE acest apendice conține termenii și condițiile aplicabile colectării, prelucrării și utilizării acestor date cu caracter personal de către importatorul de date în calitatea sa de agent autorizat de prelucrare a datelor al exportatorului de date, pentru a se asigura că părțile respectă legea aplicabilă privind protecția datelor. .

 

PRIN CARE și pentru a permite părților să își continue relația în mod legal, părțile au încheiat prezentul apendice după cum urmează:

Partea 1

 

1. Structura documentului și definiții

1.1 Structura

Acest apendice cuprinde diferite părți, după cum urmează:

 

Partea 1: 

conține prevederi generale, de exemplu, cu privire la definițiile utilizate în acest apendice, conformitatea cu legile locale, calendarul și rezilierea

 

Partea 2:

conține corpul documentului Clauzele Contractuale Standard nemodificat

 

Anexa 1.1 din partea 2:

conține detaliile operațiunilor de prelucrare furnizate de Importatorul de date Exportatorului de date în calitate de agent autorizat de prelucrare a datelor (inclusiv prelucrarea, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate) în conformitate cu prezentul Apendice

 

Anexa 2 din partea 2:

conține o descriere a măsurilor de securitate tehnice și organizatorice ale importatorului de date, care sunt aplicate în legătură cu toate activitățile de prelucrare descrise în apendicele 1.1 din partea 2.

 

Partea 3:

conține semnăturile părților care urmează să fie obligate prin prezentul apendice și identifică fiecare importator de date

 

 

1.2 Terminologie și definiții

În sensul acestui apendice, terminologia și definițiile utilizate de GDPR sunt aplicabile (în corpul documentului Clauza contractuală standard din partea 2, unde termenii definiți nu sunt scrisi cu majuscule). 

 

"Stat membru"

înseamnă o țară aparținnd Uniunii Europene sau Spațiului Economic European

 

„Categorii speciale de date (personale)

se referă la date personale care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice sau apartenența la un sindicat și datele genetice, datele biometrice, dacă sunt prelucrate în scopul identificării în mod unic a unei persoane, date referitoare la sănătate, date referitoare la sexul unei persoane viata sau orientarea sexuala

 

„Clauze contractuale standard

înseamnă Clauzele Contractuale Standard pentru transferul datelor cu caracter personal ale agenților de prelucrare stabiliți în țări terțe, în temeiul Deciziei 2010/87/UE a Comisiei din 5 februarie 2010, care a fost modificată prin Decizia de punere în aplicare (UE) 2016/2297 a Comisiei din 16 decembrie 2016

 

„Procesor de date.

înseamnă orice agent de prelucrare, situat în interiorul sau în afara UE/SEE, care este de acord să primească de la Importatorul de date sau de la orice alt procesator al Importatorului de date, date cu caracter personal în scopul exclusiv al activităților de prelucrare care urmează să fie efectuate de către Exportatorul de date după transferul în conformitate cu instrucțiunile Exportatorului de Date, termenii prezentei Anexe și Contractul cu Importatorul de Date

 

 

 

2. Obligațiile Exportatorului de Date

2.1 Exportatorul de date are obligația de a asigura respectarea tuturor obligațiilor aplicabile în temeiul GDPR și a oricărei alte legi aplicabile privind protecția datelor care se aplică Exportatorului de date și de a demonstra conformitatea conform articolului 5 (2) din GDPR. Exportatorul de date garantează că importatorul de date a obținut consimțămntul prealabil al persoanelor vizate în conformitate cu articolul 6 litera (a) din GDPR și și-a respectat obligația de a informa persoanele vizate în conformitate cu articolele 13 și 14 din GDPR.

2.2 Exportatorul de date trebuie să furnizeze Importatorului de date fișierele respective ale activităților de prelucrare în conformitate cu articolul 30 (1) din GDPR aferente Serviciilor din prezentul apendice, în măsura în care este necesar pentru ca Importatorul de date să respecte obligația conform Articolul 30 (2) din GDPR.

2.3 Exportatorul de date trebuie să numească un responsabil cu protecția datelor sau un reprezentant în măsura cerută de legea aplicabilă privind protecția datelor. Exportatorul de date este obligat să furnizeze importatorului de date datele de contact ale agentului de protecție a datelor sau ale reprezentantului, dacă este cazul.

2.4. Exportatorul de date confirmă înainte de finalizarea prelucrării, prin acceptarea acestui apendice, că măsurile de securitate tehnice și organizatorice ale importatorului de date, așa cum sunt prevăzute în apendicele 2 la partea 2, sunt adecvate și suficiente pentru a proteja drepturile persoanei vizate. și confirmă că importatorul de date oferă suficiente garanții în acest sens.

 

3. Respectarea legislației locale

Pentru a îndeplini cerințele de implementare a agenților de prelucrare în conformitate cu articolul 28 din GDPR, se aplică următoarele modificări:

 

3.1 Instrucțiuni

  1. (i) Exportatorul de date instruiește importatorul de date să prelucreze datele cu caracter personal numai în numele exportatorului de date. Instrucțiunile Exportatorului de Date sunt furnizate în această Anexă și în Contract. Exportatorul de date are obligația de a se asigura că toate instrucțiunile date importatorului de date respectă legile aplicabile privind protecția datelor. Importatorul de date trebuie să prelucreze datele cu caracter personal numai în conformitate cu instrucțiunile furnizate de exportatorul de date, cu excepția cazului în care se solicită altfel de către Uniunea Europeană sau legea statului membru (în acest din urmă caz, se aplică Partea 1 Clauza 3.2 (iv) (c)). .
  2. (ii) Toate celelalte instrucțiuni care depășesc instrucțiunile din acest Apendice sau din Contract trebuie să fie incluse în subiectul acestui Apendice și al Contractului. Dacă implementarea acestei instrucțiuni suplimentare implică costuri pentru Importatorul de date, Importatorul de date va informa Exportatorul de date despre aceste costuri și va oferi o explicație înainte de implementarea instrucțiunii. Numai după ce Exportatorul de date a confirmat acceptarea acestor costuri pentru implementarea instrucțiunii, Importatorul de date va implementa această instrucțiune suplimentară. Exportatorul de date trebuie să dea instrucțiuni suplimentare în scris, cu excepția cazului în care urgența sau alte circumstanțe specifice necesită o altă formă (de exemplu, orală, electronică). Instrucțiunile într-o altă formă dect în ​​scris trebuie confirmate în scris și fără întrziere de către Exportatorul de date.
  3. 1. Cu excepția cazului în care Exportatorul de date nu poate efectua singur rectificarea, ștergerea sau restricționarea datelor cu caracter personal, instrucțiunile se pot referi, de asemenea, la rectificarea, ștergerea și/sau restricționarea datelor cu caracter personal, așa cum este prevăzut în Partea 1 Clauza 3.3.
  4. 2. Importatorul de date trebuie să informeze imediat Exportatorul de date dacă, în opinia sa, o instrucțiune încalcă GDPR sau alte prevederi aplicabile privind protecția datelor din Uniunea Europeană sau dintr-un stat membru („ Instrucțiunea în litigiuÎn cazul în care autoritatea de supraveghere declară Instrucțiunea contestată ca fiind legală, Importatorul de Date va implementa Instrucțiunea contestată. Partea 1 Clauza 3.1 (ii) va rămne aplicabilă.

 

3.2 Obligațiile importatorului de date

  1. (i) Importatorul de date trebuie să se asigure că persoanele autorizate de către importatorul de date să prelucreze date cu caracter personal în numele exportatorului de date, în special angajații importatorului de date și angajații oricărui subcontractant, s-au angajat să respecte confidențialitatea sau sunt supuși o obligație legală corespunzătoare de confidențialitate și ca acele persoane care au acces la datele cu caracter personal le prelucrează în conformitate cu instrucțiunile exportatorului de date.
  2. (ii) Importatorul de date trebuie să pună în aplicare măsurile de securitate tehnice și organizatorice prevăzute în apendicele 2 la partea 2 înainte de a procesa datele cu caracter personal în numele exportatorului de date. Importatorul de date poate modifica din cnd în cnd măsurile de securitate tehnice și organizatorice dacă acestea nu oferă o protecție mai mică dect cele prevăzute în Anexa 2 la Partea 2.
  3. (iii) Importatorul de date va pune la dispoziția exportatorului de date, la cererea exportatorului de date, informații care să demonstreze respectarea obligațiilor importatorului de date în temeiul prezentului apendice. Părțile sunt de acord că această obligație de informare este îndeplinită prin furnizarea exportatorului de date a unui raport de audit (care acoperă securitatea principiilor, disponibilitatea sistemului și confidențialitatea) („Raport de audit). Dacă sunt necesare activități de audit suplimentare, exportatorul de date poate solicita efectuarea de inspecții de către exportatorul de date sau de un alt auditor desemnat de exportatorul de date, sub rezerva încheierii de către respectivul auditor a unui acord de confidențialitate cu importatorul de date la importatorul de date. satisfacție rezonabilă („Audit). Acest audit este supus următoarelor condiții: (i) acceptarea prealabilă în scris a importatorului de date; și (ii) Exportatorul de date va suporta toate costurile legate de Auditul la fața locului pentru Exportatorul de Date și Importatorul de Date. Exportatorul de date trebuie să creeze un raport de audit care rezumă rezultatele și observațiile auditului la fața locului („Raport de audit la fața locului). Rapoartele de audit la fața locului și Rapoartele de audit sunt informații confidențiale ale importatorului de date și nu trebuie dezvăluite unor terțe părți dect dacă este cerut de legea aplicabilă privind protecția datelor sau în conformitate cu consimțămntul importatorului de date.
  4. (iv) Importatorul de date are obligația de a notifica exportatorul de date fără întrzieri nejustificate:
    1. A. cu privire la orice cerere obligatorie din punct de vedere juridic de dezvăluire a datelor cu caracter personal de către o autoritate de aplicare a legii, cu excepția cazului în care este interzis altfel, cum ar fi o interdicție conform legii penale pentru a proteja confidențialitatea unei investigații de aplicare a legii
    2. b. cu privire la orice plngere și cerere primită direct de la o persoană vizată (de exemplu, cu privire la accesul, rectificarea, ștergerea, restricționarea prelucrării, portabilitatea datelor, obiecția la prelucrarea datelor, luarea automată a deciziilor) fără a răspunde acelei solicitări, cu excepția cazului în care Importatorul de date a fost autorizat să face acest lucru
    3. c. în cazul în care Importatorul de date sau Procesatorul de date este obligat, în temeiul legislației Uniunii Europene sau a statului membru căruia îi este supus Importatorul de date sau Procesatorul de date, să prelucreze datele cu caracter personal dincolo de instrucțiunile Exportatorului de date, înainte de a efectua o astfel de prelucrare dincolo de instrucțiunile, cu excepția cazului în care legile Uniunii Europene sau ale statului membru interzic o astfel de prelucrare din motive de interes public vital, caz în care notificarea către exportatorul de date va specifica cerința legală în temeiul legii respective a Uniunii Europene sau a statului membru; sau
    4. d. în cazul în care importatorul de date realizează o încălcare a datelor cu caracter personal, exclusiv din cauza sa sau a subcontractantului său, care ar afecta datele cu caracter personal ale exportatorului de date acoperite de prezentul contract, caz în care importatorul de date va asista exportatorul de date în obligația sa, față de legea aplicabilă privind protecția datelor, să informeze persoanele vizate și, după caz, autoritățile de supraveghere prin furnizarea informațiilor de care dispune, în conformitate cu articolul 33 (3) din GDPR.
    5. (v) La cererea exportatorului de date, importatorul de date va fi obligat să asiste exportatorul de date în obligația sa de a efectua o evaluare a impactului privind protecția datelor care poate fi cerută de articolul 35 din GDPR și o consultare prealabilă care poate fi cerute de articolul 36 din GDPR cu privire la serviciile furnizate de Importatorul de date Exportatorului de date în conformitate cu prezentul apendice, furniznd informațiile necesare Exportatorului de date. Importatorul de date va fi obligat să ofere o astfel de asistență numai dacă Exportatorul de date nu își poate îndeplini obligația prin alte mijloace. Importatorul de date va informa Exportatorul de date cu privire la costul unei astfel de asistențe. De îndată ce exportatorul de date a confirmat că poate suporta acest cost, importatorul de date va oferi exportatorului de date acest ajutor.
    6. (vi) La încheierea prestării serviciilor, Exportatorul de Date poate solicita returnarea datelor cu caracter personal prelucrate de Importatorul de Date în conformitate cu prezentul Apendice în termen de o lună de la efectuarea serviciilor. Cu excepția cazului în care legislația statului membru sau a Uniunii Europene impune importatorului de date să stocheze sau să rețină astfel de date cu caracter personal, importatorul de date va șterge toate aceste date cu caracter personal sau nepersonal după perioada de o lună, indiferent dacă au fost returnate către Exportatorul de date la cererea acestuia sau nu.

 

3.3 Drepturile persoanelor vizate

  1.  
    1. (i) Exportatorul de date gestionează și răspunde solicitărilor făcute de persoanele vizate. Data Importer nu este obligat să răspundă direct persoanelor vizate.
    2. (ii) În cazul în care exportatorul de date necesită asistența importatorului de date pentru procesarea și răspunsul la solicitările Persoanei vizate, exportatorul de date va emite o instrucțiune suplimentară în conformitate cu clauza 3.1 (ii) din partea 1. Importatorul de date îl va asista pe exportatorul de date. cu următoarele măsuri organizatorice adecvate și tehnice pentru a răspunde solicitărilor de exercitare a drepturilor persoanelor vizate prevăzute în capitolul III din GDPR, după cum urmează:
    3. A. În ceea ce privește solicitările de informații, Importatorul de date va furniza Exportatorului de date doar informațiile cerute de articolele 13 și 14 din PGRD pe care le poate avea la dispoziție în cazul în care Exportatorul de date nu le poate găsi singur.
    4. b. În ceea ce privește cererile de acces (articolul 15 din GDPR), Importatorul de date va furniza Exportatorului de date doar informațiile care ar trebui furnizate unei persoane vizate pentru respectiva cerere de acces, pe care le poate avea la dispoziție dacă acesta din urmă nu-l poate găsi singur.
    5. c. În ceea ce privește cererile de rectificare (articolul 16 din GDPR), cererile de ștergere (articolul 17 din GDPR), restricționarea cererilor de prelucrare (articolul 18 din GDPR) sau cererile de portabilitate (articolul 20 din GDPR) și numai în cazul în care Exportatorul de date nu poate rectifica sau șterge, limita sau transmite datele cu caracter personal către o altă parte terță, Importatorul de date va oferi Exportatorului de date posibilitatea de a rectifica sau șterge, limita sau transmite celeilalte părți datele personale în cauză, sau dacă acest lucru nu este posibil, va oferi asistență pentru a rectifica sau șterge, limita sau transmite celuilalt terț datele personale în cauză.
    6. d. În ceea ce privește notificarea privind rectificarea, ștergerea sau restricționarea prelucrării (articolul 19 din GDPR), Importatorul de date va asista Exportatorul de date prin notificarea tuturor destinatarilor datelor cu caracter personal angajați de Importatorul de date în calitate de procesatori, dacă Exportatorul de date solicită acest lucru și dacă Exportatorul de date nu poate remedia singur situația.
    7. e. În ceea ce privește dreptul de opoziție exercitat de o persoană vizată (articolul 21 și 22 din GDPR), Exportatorul de date va stabili dacă opoziția este legitimă și cum să o rezolve.
    8. (iii) Obligațiile de asistență ale Importatorului de Date sunt limitate la datele cu caracter personal prelucrate în cadrul infrastructurii sale (de exemplu, baze de date, sisteme, aplicații deținute sau furnizate de Importatorul de Date).
    9. (iv) Exportatorul de date va stabili dacă o persoană vizată poate exercita drepturile persoanelor vizate prevăzute în clauza 3.1 a acestei părți 1 și va informa importatorul de date cu privire la măsura în care asistența specificată în clauzele 3.3 (ii), ( iii) din partea 1 este necesar.
    10. (v) În cazul în care exportatorul de date solicită măsuri tehnice și organizatorice suplimentare sau modificate pentru a îndeplini drepturile persoanelor vizate, care depășesc asistența oferită de importatorul de date în temeiul sub-clauzei 3.3 (ii), (iii) din partea 1, datele Importatorul va informa exportatorul de date cu privire la costurile implementării acestor măsuri tehnice și organizatorice suplimentare sau modificate. De îndată ce Exportatorul de Date a confirmat că poate acoperi aceste costuri, Importatorul de Date va implementa astfel de măsuri tehnice și organizatorice suplimentare sau modificate pentru a ajuta Exportatorul de Date să răspundă solicitărilor Subiecților datelor.
    11. (vi) Fără a limita domeniul de aplicare al Clauzei 3.3 (v) din Partea 1, Exportatorul de date va fi obligat să ramburseze Importatorului de date pentru cheltuielile rezonabile efectuate pentru a răspunde solicitărilor Subiecților datelor.

 

3.4 Sub-prelucrare

  1.  
    1. (i) Exportatorul de date autorizează importatorul de date utilizarea subcontractanților pentru furnizarea de servicii în conformitate cu prezentul apendice. Importatorul de date va selecta cu atenție astfel de procesatori de date. Exportatorul de date aprobă procesatorii de date enumerați în Anexa 1.1 la sfrșitul Părții 2.
    2. (ii) Importatorul de date își va transfera obligațiile în temeiul prezentului apendice împuterniciților de prelucrare a datelor în măsura în care se aplică serviciilor subcontractate.
    3. (iii) Importatorul de date poate demite, înlocui sau numi un alt procesator de date adecvat și de încredere, la discreția sa. Dacă exportatorul de date solicită acest lucru în scris, importatorul de date trebuie să urmeze procedura de mai jos:
  2.  
    1. A. Importatorul de date va informa Exportatorul de date înainte de orice modificare a listei procesatorilor de date la care se face referire în Clauza 3.4 (i) din Partea 1. În cazul în care Exportatorul de date nu se opune conform Clauzei 3.4. (b) din partea 1 la treizeci de zile de la primirea notificării de la importatorul de date, procesatorii de date suplimentari vor fi considerați acceptați.
    2. b. În cazul în care Exportatorul de date are un motiv legitim de a se opune unui procesator de date suplimentar, acesta va notifica în prealabil în scris Importatorul de date în termen de treizeci de zile de la primirea notificării importatorului de date și înainte ca serviciul importatorului de date să fie pus în funcțiune. În cazul în care Exportatorul de date se opune utilizării unui procesor suplimentar de date, Importatorul de date poate elimina obiecția prin una dintre următoarele opțiuni (alese la discreția sa): (A) Importatorul de date își va anula planurile de a utiliza un procesor suplimentar în ceea ce privește datele personale ale Exportatorului de date; (B) Importatorul de Date va lua măsurile corective solicitate de Exportatorul de Date în obiecția sa (anularea obiecției) și va folosi procesatorul suplimentar cu privire la datele personale ale Exportatorului de Date;
  3.  
    1. (iv) în cazul în care operatorul de date are sediul în afara UE-SEE într-o țară care nu este recunoscută ca oferind un nivel adecvat de protecție a datelor în urma unei decizii a Comisiei Europene, importatorul de date va lua măsurile pentru a respecta un nivel adecvat. de protecție a datelor în conformitate cu GDPR (astfel de măsuri pot include - printre altele și - utilizarea contractelor de prelucrare a datelor bazate pe clauzele modelului UE, transferul către procesatori de date auto-certificati în cadrul Scutului de protecție UE-SUA , sau un program similar).

 

3.5 Expirare

Perioada de valabilitate a acestui Apendice este identică cu data de expirare a Contractului corespunzător. Cu excepția cazului în care se prevede altfel în prezentul apendice, drepturile și obligațiile legate de reziliere vor fi aceleași cu cele cuprinse în Contract.

 

4. Limitarea răspunderii

4.1 Fiecare parte își îndeplinește obligațiile în temeiul prezentului apendice și al legislației aplicabile privind protecția datelor.

4.2 Orice răspundere legată de o încălcare a obligațiilor din prezentul apendice sau legislația aplicabilă privind protecția datelor va fi supusă și guvernată de prevederile privind răspunderea stabilite în contract sau aplicabile acestuia, cu excepția cazului în care se prevede altfel în acest apendice. Dacă răspunderea este guvernată de prevederile de răspundere stabilite în sau aplicabile Contractului, pentru calcularea limitelor de răspundere sau determinarea aplicării altor limitări de răspundere, orice răspundere care decurge în temeiul prezentului Apendice va fi considerată a decurge din Contract.

 

5. Prevederi generale

5.1 Dacă există neconcordanțe sau discrepanțe între părțile 1 și 2 ale acestui apendice, partea 2 va prevala. În mod specific, chiar și într-un astfel de caz, partea 1 care pur și simplu depășește partea 2 (adică termenii clauzelor standard) fără a o contrazice va rămne valabilă.

5.2 Dacă apare vreo discrepanță între prevederile prezentului apendice și cele ale altor contracte care leagă părțile, prezentul apendice va prevala în ceea ce privește obligațiile părților în materie de protecție a datelor. În cazul în care există îndoieli cu privire la faptul dacă clauzele din alte contracte privesc obligațiile părților în materie de protecție a datelor, prezentul apendice va prevala.

5.3 Dacă vreo prevedere a acestui apendice este invalidă sau inaplicabilă, restul acestui apendice va rămne în vigoare și în vigoare. Prevederea invalidă sau inaplicabilă va fi (i) modificată pentru a asigura valabilitatea și caracterul executoriu ei, păstrnd în același timp pe ct posibil intenția părților, sau - dacă acest lucru nu este posibil - (ii) interpretată ca și cum partea invalidă sau inaplicabilă ar fi nu a făcut niciodată parte din contract. Cele de mai sus se aplică și în cazul în care există o omisiune în acest apendice.

5.5 În măsura în care este necesar, Părțile pot solicita modificări la Partea 1, Clauza 3 (Respectarea legislației locale) sau alte părți ale Anexei pentru a se conforma interpretărilor, directivelor sau ordinelor emise de autoritățile competente ale Uniunii sau Statele membre, dispozițiile naționale de aplicare sau orice alte evoluții legale referitoare la GDPR sau la alte condiții de delegare către orice entități implicate în prelucrarea datelor și în special în ceea ce privește utilizarea clauzelor contractuale standard din GDPR. Termenii Clauzelor Contractuale Standard nu pot fi modificați sau înlocuiți dect dacă Comisia Europeană îi aprobă în mod expres (de exemplu, prin noi clauze adecvate și standarde de protecție a datelor).

5.6 Orice referire în acest Apendice la „Clauze se înțelege ca referindu-se la toate prevederile acestui Apendice, dacă nu se specifică altfel.

5.7 Alegerea legii din Partea 2, Clauza 9 se aplică întregului Contract.

 

6. Date cu caracter personal transmise și prelucrate de părți în scopuri personale (transfer de la operatorul de date la operatorul de date)

6.1 Părțile știu pe deplin că anumite date cu caracter personal vor fi transferate de la Exportatorul de date la Importatorul de date și invers și că astfel de date sunt prelucrate de fiecare parte în propriile scopuri. În ceea ce privește astfel de date cu caracter personal, acestea nu afectează celelalte prevederi ale acestui apendice (cu excepția acestei clauze 6).

6.2 Exportatorul de date poate transfera date cu caracter personal referitoare la personalul Importatorului de date către Importatorul de date, inclusiv informații despre incidente de securitate sau orice alte documente sau fișiere create sau stabilite de Exportatorul de date în legătură cu Serviciile furnizate de personalul importatorul de date. Importatorul de date poate prelucra astfel de date cu caracter personal în propriile sale scopuri, în special în relațiile sale profesionale cu personalul importatorului de date, pentru controlul calității și instruire sau în scopuri comerciale.

6.3. Importatorul de date poate transfera date cu caracter personal către Exportatorul de date, inclusiv numele și detaliile de contact ale personalului importatorului de date. Exportatorul de date poate prelucra astfel de date personale în propriile sale scopuri.

6.4 Ambele părți se vor conforma oricăror legi aplicabile privind protecția datelor, inclusiv GDPR, în colectarea, prelucrarea și utilizarea acestor date cu caracter personal primite de la cealaltă parte în temeiul clauzei 1 din partea 1. În special, ambele părți vor lua măsuri de securitate adecvate, cu condiția ca: un nivel similar de protecție cu măsurile de securitate prevăzute în apendicele 2 din partea 2. Orice acces la astfel de date cu caracter personal se limitează la necesitatea cunoașterii acestora.

6.5 Ambele părți trebuie să șteargă aceste date cu caracter personal ct mai curnd posibil după ce obiectivele au fost atinse.

Partea 2

 

DECIZIA COMISIEI

la 5 februarie 2010

privind clauzele contractuale standard pentru transferul de date cu caracter personal către operatori de date stabiliți în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului

 

 

 

Clauza 1

Definiții

În sensul clauzelor:

a) „date cu caracter personal, „categorii speciale de date, „prelucrare/prelucrare, „operator, „operator, „persoană de date și „autoritate de supraveghere au același înțeles ca în 95/46/CE Directiva Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (1);

b) „Exportatorul de date este operatorul de date care transferă datele cu caracter personal;

c) „Importatorul de date este operatorul de date care acceptă să primească de la Exportatorul de date date cu caracter personal destinate a fi prelucrate în numele Exportatorului de date după transfer, în conformitate cu instrucțiunile acestuia și în condițiile acestor clauze și care nu este sub rezerva mecanismului unei țări terțe care asigură o protecție adecvată în sensul articolului 25 alineatul (1) din Directiva 95/46/CE; (d) „Procesator de date înseamnă operatorul de date angajat de Importatorul de date sau de orice alt procesator de date al Importatorului de date care este de acord să primească de la Importatorul de date sau orice alt procesator de date al Importatorului de date date cu caracter personal exclusiv pentru activități de prelucrare către să fie efectuate în numele exportatorului de date după transfer, în conformitate cu instrucțiunile exportatorului de date,

e) „lege aplicabilă privind protecția datelor înseamnă legislația care protejează drepturile și libertățile fundamentale ale persoanelor, inclusiv dreptul la viață privată în ceea ce privește prelucrarea datelor cu caracter personal, și care se aplică unui operator din statul membru în care este stabilit Exportatorul de date;

f) „măsuri tehnice și organizatorice legate de securitate înseamnă măsuri destinate să protejeze datele cu caracter personal împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat, în special atunci cnd prelucrarea implică transmiterea de date prin rețele și împotriva toate celelalte forme ilegale de prelucrare.

Clauza 2

Detalii despre transfer

Detaliile transferului, inclusiv, după caz, categorii speciale de date cu caracter personal, sunt specificate în Anexa 1, care face parte integrantă din aceste clauze.

Clauza 3

Clauza de terț beneficiar

1. Persoana vizată poate aplica împotriva exportatorului de date această clauză, clauza 4(b) pnă la (i), clauza 5(a) pnă la (e) și (g) pnă la (j), clauza 6 (1) și (2). ), clauza 7, clauza 8 alineatul (2) și clauzele 9 pnă la 12 în calitate de terț beneficiar

2. Persoana vizată poate aplica această clauză, clauza 5 (a) la (e) și (g), clauza 6, clauza 7, clauza 8 (2) și clauzele 9 pnă la 12 împotriva importatorului de date în cazul în care exportatorul de date are fizic a dispărut sau a încetat să mai existe în drept, cu excepția cazului în care toate obligațiile sale legale au fost transferate, prin contract sau de drept, entității succesoare, căreia îi revin, prin urmare, drepturile și obligațiile Exportatorului de date și față de care datele subiectul poate, prin urmare, să aplice clauzele menționate.

Persoana vizată poate aplica această clauză, clauza 5 (a) la (e) și (g), clauza 6, clauza 7, clauza 8 (2) și clauzele 9 pnă la 12 împotriva operatorului de date, dar numai în cazurile în care datele Exportatorul și Importatorul de date au dispărut fizic, au încetat să mai existe în drept sau au intrat în insolvență, cu excepția cazului în care toate obligațiile legale ale Exportatorului de date au fost transferate, prin contract sau de drept, succesorului legal, căruia drepturile și Prin urmare, sunt învestite obligațiile Exportatorului de date și față de care persoana vizată poate, prin urmare, să aplice astfel de clauze. O astfel de răspundere a împuternicitului de date trebuie să fie limitată la propriile activități de prelucrare în conformitate cu aceste clauze.

4. Părțile nu se opun ca persoana vizată să fie reprezentată de o asociație sau alt organism dacă acesta dorește și dacă legislația națională permite acest lucru.

Clauza 4

Obligațiile Exportatorului de Date

Exportatorul de date acceptă și garantează următoarele:

a) prelucrarea, inclusiv transferul efectiv al datelor cu caracter personal, a fost și va continua să fie efectuată în conformitate cu prevederile relevante ale legislației aplicabile privind protecția datelor (și, după caz, a fost notificată autorităților competente ale statului membru). în care își are sediul Exportatorul de date) și nu încalcă prevederile relevante ale statului respectiv;

b) au instruit și vor instrui pe durata serviciilor de prelucrare a datelor cu caracter personal, Importatorul de date să prelucreze datele cu caracter personal transferate în numele exclusiv al Exportatorului de date și în conformitate cu legislația aplicabilă privind protecția datelor și aceste clauze;

c) Importatorul de Date va oferi suficiente garanții cu privire la măsurile de securitate tehnice și organizatorice specificate în Anexa 2 la prezentul contract;

d) după evaluarea cerințelor legislației aplicabile privind protecția datelor, măsurile de securitate sunt adecvate pentru a proteja datele cu caracter personal împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat, în special atunci cnd prelucrarea implică transmiterea datelor; în rețea și împotriva tuturor celorlalte forme ilegale de prelucrare și să asigure un nivel de securitate adecvat riscurilor reprezentate de prelucrare și naturii datelor care trebuie protejate, ținnd cont de nivelul de tehnologie și de costul implementării;

e) vor asigura respectarea măsurilor de securitate;

f) dacă transferul se referă la categorii speciale de date, persoana vizată a fost informată sau va fi informată înainte de transfer, sau ct mai curnd posibil după transfer, că datele sale pot fi transferate într-o țară terță care nu oferă un nivel adecvat de protecție în sensul Directivei 95/46/CE;

g) vor transmite autorității de supraveghere a protecției datelor orice notificare primită de la Importatorul de date sau de la orice operator de date în temeiul Clauzelor 5 (b) și 8 (3) dacă aceasta decide să continue transferul sau să ridice suspendarea acestuia;

h) vor pune la dispoziția persoanelor vizate, dacă solicită acest lucru, o copie a acestor clauze, cu excepția anexei 2, și o descriere sumară a măsurilor de securitate, precum și o copie a oricărui alt acord de subcontractare, încheiat în temeiul prezentelor clauze, cu excepția cazului în care: Clauzele sau acordul conțin informații comerciale, caz în care poate retrage aceste informații;

i) în cazul subcontractării procesului de prelucrare a datelor, activitatea de prelucrare este desfășurată în conformitate cu Clauza 11 de către un operator de date care asigură cel puțin același nivel de protecție a datelor cu caracter personal și a drepturilor persoanei vizate ca și Importatorul de date în temeiul acestor clauze. ; și

j) va asigura conformitatea cu Clauza 4 (a) la (i).

Clauza 5

Obligațiile importatorului de date

Importatorul de date acceptă și garantează următoarele:

a) vor prelucra datele cu caracter personal numai în numele Exportatorului de date și conform instrucțiunilor Exportatorului de date și ale acestor clauze; în cazul în care nu se poate conforma din orice motiv, aceștia sunt de acord să informeze Exportatorul de Date despre incapacitatea acestuia ct mai curnd posibil, caz în care Exportatorul de Date poate suspenda transferul de date și/sau înceta contractul;

b) nu au motive să creadă că legea aplicabilă acestora îl împiedică să îndeplinească instrucțiunile date de Exportatorul de date și obligațiile care îi revin în temeiul contractului și dacă această lege este supusă unei modificări care ar putea avea un prejudiciu material; efect asupra garanțiilor și obligațiilor prevăzute de Clauze, acesta va notifica fără întrziere Exportatorul de date modificarea după ce a luat cunoștință de aceasta, caz în care Exportatorul de date poate suspenda transferul de date și/sau încetează contractul; (c) au implementat măsurile de securitate tehnice și organizatorice specificate în apendicele 2 înainte de a prelucra datele cu caracter personal transferate;

d) vor notifica fără întrziere Exportatorul de date:

i) orice cerere obligatorie de dezvăluire a datelor cu caracter personal din partea unei autorități de aplicare a legii, cu excepția cazului în care se specifică altfel, cum ar fi o interdicție penală care vizează păstrarea secretului unei anchete polițienești;

ii) orice acces accidental sau neautorizat; și

iii) orice cerere primită direct de la persoanele în cauză fără a răspunde la aceasta, cu excepția cazului în care acesta a fost autorizat să facă acest lucru; administratori

e) vor trata cu promptitudine și în mod corespunzător toate întrebările din partea Exportatorului de date cu privire la prelucrarea de către acesta a datelor cu caracter personal care sunt transferate și vor acționa sub avizul autorității de supraveghere cu privire la prelucrarea datelor transferate;

f) la cererea Exportatorului de date, acestea vor supune instalațiile sale de prelucrare a datelor unui audit al activităților de prelucrare reglementate de aceste clauze, care urmează să fie efectuat de către Exportatorul de date sau de un organism de supraveghere compus din membri independenți cu calificările profesionale necesare; supus unei obligații de secret și ales de Exportatorul de date, după caz, cu acordul autorității de supraveghere;

g) vor pune la dispoziția persoanei vizate, dacă aceasta solicită acest lucru, o copie a acestor Clauze, sau orice subcontractare existentă a contractului de prelucrare a datelor, cu excepția cazului în care Clauzele sau contractul conțin informații comerciale, caz în care poate elimina astfel de clauze. informații, cu excepția Anexei 2, care va fi înlocuită cu o descriere sumară a măsurilor de securitate, în cazul în care persoana vizată nu poate obține o copie de la Exportatorul de date;

h) în cazul subcontractării ulterioare confidențiale a prelucrării datelor, se va asigura că informează în prealabil Exportatorul de date și obține acordul scris al Exportatorului de date;

i) serviciile de prelucrare furnizate de operatorul de date vor respecta clauza 11;

j) vor trimite cu promptitudine Exportatorului de date o copie a oricărei subcontractări a acordului de prelucrare a datelor încheiat de acesta în temeiul prezentelor Clauze.

Clauza 6

Responsabilitate

1. Părțile convin că orice persoană vizată care a suferit un prejudiciu din cauza încălcării obligațiilor menționate în Clauza 3 sau Clauza 11 de către una dintre părți sau de către un procesator de date poate obține despăgubiri de la Exportatorul de date pentru prejudiciul suferit.

2. În cazul în care o persoană vizată este împiedicată să introducă o acțiune în despăgubire conform paragrafului 1 împotriva exportatorului de date pentru nerespectarea de către importatorul de date sau persoana împuternicită a procesului de date cu oricare dintre obligațiile care îi revin în temeiul clauzei 3 sau 11, deoarece datele Exportatorul a dispărut fizic, a încetat să mai existe în drept sau a devenit insolvabil, Importatorul de date este de acord ca persoana vizată să poată depune o plngere împotriva sa ca și cum ar fi Exportatorul de date, cu excepția cazului în care toate obligațiile legale ale Exportatorului de date au fost transferate, prin contract sau de drept, către entitatea succesoare a acesteia, față de care persoana vizată își poate exercita apoi drepturile. Importatorul de date nu se poate baza pe o încălcare a obligațiilor sale de către un procesator de date pentru a evita propria răspundere.

3. În cazul în care o persoană vizată este împiedicată să introducă acțiunea menționată la paragrafele 1 și 2 împotriva Exportatorului de date sau Importatorului de date pentru încălcarea de către Procesorul de date a obligațiilor sale în temeiul Clauzei 3 sau Clauzei 11, deoarece Exportatorul de Date și Importatorul de date au dispărut fizic, au încetat să existe în drept sau au intrat în insolvență, Procesatorul de date este de acord ca persoana vizată să poată depune o plngere împotriva acesteia cu privire la propriile activități de prelucrare în conformitate cu aceste clauze ca și cum ar fi Exportatorul de date sau Importatorul de date, cu excepția cazului în care toate obligațiile legale ale Exportatorului de Date sau Importatorului de Date au fost transferate, prin contract sau de drept, succesorului legal, față de care persoana vizată își poate exercita apoi drepturile.Răspunderea împuternicitului de date trebuie să fie limitată la propriile activități de prelucrare în conformitate cu aceste clauze.

 

Clauza 7

Mediere și jurisdicție

1. Importatorul de date este de acord că, în cazul în care, conform clauzelor, persoana vizată invocă împotriva sa dreptul terțului beneficiar și/sau solicită despăgubiri pentru prejudiciul suferit, va accepta decizia persoanei vizate:

a) să supună litigiul medierii de către o persoană independentă sau, după caz, autoritatea de supraveghere;

b) să sesizeze litigiul în fața instanțelor din statul membru în care își are sediul Exportatorul de date.

2. Părțile convin că alegerea făcută de persoana vizată nu va afecta dreptul procedural sau material al persoanei vizate de a obține despăgubiri în conformitate cu alte dispoziții de drept național sau internațional.

Clauza 8

Cooperarea cu autoritățile de supraveghere

1. Exportatorul de date este de acord să depună o copie a prezentului contract la autoritatea de supraveghere dacă aceasta din urmă solicită acest lucru sau dacă o astfel de depunere este prevăzută de legea aplicabilă privind protecția datelor.

2. Părțile convin că autoritatea de supraveghere poate efectua verificări la Importatorul de date și orice operator de date în aceeași măsură și în aceleași condiții ca și în cazul verificărilor efectuate la Exportatorul de date în conformitate cu legislația aplicabilă privind protecția datelor.

3. Importatorul de date informează Exportatorul de date ct mai curnd posibil despre existența unei legislații privind importatorul de date sau orice operator de date care împiedică verificarea la importatorul de date sau orice operator de date în conformitate cu alineatul (2). În acest caz, Exportatorul de date poate lua măsurile prevăzute în Clauza 5 (b).

Clauza 9

Lege aplicabilă

Clauzele se aplică și sunt guvernate de legea statului membru în care își are sediul Exportatorul de date.

Clauza 10

Modificarea contractului

Părțile se obligă să nu modifice prezentele clauze. Părțile rămn libere să includă și alte clauze comerciale pe care le consideră necesare, cu condiția ca acestea să nu contravină prezentelor clauze.

Clauza 11

Subcontractare ulterioară

1. Importatorul de date nu va subcontracta niciuna dintre activitățile sale de prelucrare desfășurate în numele Exportatorului de date în conformitate cu aceste clauze fără acordul prealabil scris al Exportatorului de date. Importatorul de date își va subcontracta obligațiile în temeiul acestor Clauze numai, cu acordul Exportatorului de Date, printr-un acord scris cu Procesatorul de Date care impune Procesatorului de Date aceleași obligații ca și cele impuse Importatorului de Date prin aceste Clauze. În cazul în care operatorul de date nu își poate respecta obligațiile de protecție a datelor în temeiul acordului scris, importatorul de date va rămne pe deplin responsabil față de exportatorul de date pentru îndeplinirea acestor obligații.

2. Acordul scris prealabil dintre importatorul de date și împuternicitul de date va include, de asemenea, o clauză de beneficiar terță parte, astfel cum este prevăzută în clauza 3, pentru cazurile în care persoana vizată este împiedicată să introducă cererea de despăgubire menționată la clauza 6 (1). ), împotriva Exportatorului de Date sau Importatorului de Date deoarece Exportatorul de Date sau Importatorul de Date a dispărut fizic, a încetat să mai existe în drept sau a devenit insolvabil și toate obligațiile legale ale Exportatorului de Date sau Importatorului de Date nu au fost transferate, prin contract sau prin operațiune de drept, către o altă entitate succesoare. Răspunderea împuternicitului de date trebuie să fie limitată la propriile activități de prelucrare în conformitate cu aceste clauze.

(3) Dispozițiile referitoare la aspectele legate de protecția datelor în subcontractarea prelucrării datelor din contractul menționat la alineatul (1) sunt reglementate de legea statului membru în care este stabilit Exportatorul de date.

4. Exportatorul de date va păstra o listă a contractelor de subcontractare de prelucrare a datelor încheiate în temeiul prezentelor clauze și notificate de către importatorul de date în conformitate cu clauza 5 (j), care va fi actualizată cel puțin o dată pe an. Această listă va fi pusă la dispoziția autorității de supraveghere a protecției datelor a exportatorului de date.

Clauza 12

Obligație după încetarea serviciilor de prelucrare a datelor cu caracter personal

1. Părțile sunt de acord că, la finalizarea serviciilor de prelucrare a datelor, importatorul de date și procesatorul de date vor returna exportatorului de date toate datele cu caracter personal transferate și copiile acestora, la comoditatea exportatorului de date, sau vor distruge toate aceste date și vor furniza dovezi. distrugerea către Exportatorul de Date, cu excepția cazului în care legislația impusă Importatorului de Date îl împiedică să returneze sau să distrugă toate sau o parte din datele cu caracter personal transferate. În acest caz, Importatorul de Date garantează că va asigura confidențialitatea datelor cu caracter personal transferate și că nu va mai procesa în mod activ datele.

(2) Importatorul de date și operatorul de date se asigură că, la cererea exportatorului de date și/sau a autorității de supraveghere, își vor supune mijloacele de prelucrare a datelor verificării măsurilor menționate la alineatul (1).

 

 

 

 

Anexa 1.1 la partea 2

Detalii despre transfer

 

 

Exportator de date

Exportatorul de date este Clientul definit în Acordul Contractual.

 

Importator de date

Importatorul de date este IQUALIF și este desemnat să prelucreze datele, furniznd servicii Exportatorului de date.

 

Subiectele datelor

Datele cu caracter personal transferate privesc următoarele categorii de persoane vizate:

˜' abonații telefonici enumerați în directorul universal

˜ Altele, inclusiv:

 

Categorii de date

Datele cu caracter personal transferate privesc urmatoarele categorii de date:

 

Categorii de date cu caracter personal ale persoanelor vizate ale exportatorului de date, în special,

˜' Numele complet

˜' Adresa poştală

˜' Detalii de contact (e-mail, telefon, adresa IP etc.)

˜' Detalii despre activitățile de marketing privind abonatul la telefon

˜' Altele, inclusiv tipul de locuință, venitul și vrsta medie de către oraș, făcute anonim

 

Categorii speciale de date (dacă este cazul)

Datele cu caracter personal transferate privesc următoarele categorii speciale de date:

˜' Nu este prevăzut transferul de categorii speciale de date

˜ Rasa sau originea etnică

˜ Credințele religioase sau filozofice

˜ Apartenența la sindicat

˜ Opinii politice

˜ Informaţii genetice

˜ Informații biometrice

˜ Informații despre orientarea sexuală sau viața sexuală

˜ Date de sănătate

 

Activitati de prelucrare

Datele cu caracter personal transferate vor face obiectul următoarelor activități de prelucrare de bază:

 

  •  
    • ¢ Scopul prelucrării

The processing undertaken on behalf of the Data Exporter is based on the following subjects, in particular:

˜’ Taking charge of the products or services offered by the Data Exporter

˜’ The offer of a product or service that the called person can request

˜’ Orders taken from the persons called and further processing of these orders

˜’ Study questionnaires and analyses

˜’ Telemarketing

˜ Others, including:

 

  •  
    • ¢ Nature and purpose of the processing

The Data Importer processes the personal data of the data subjects on behalf of the Data Exporter, in order to provide the following services, and most notably:

˜’ Sales and Marketing

˜’ Others, including updating databases of town halls and political parties

 

  •  
    • ¢ Provision of services and employment of service providers

 

IQUALIF mainly combines, centralizes, and provides services to the Data Exporter. The services provided by the named service provider may be structured (among others as appropriate) around the following ancillary services: (i) provision of applications, tools, systems, and IT infrastructure in relation to the data processing centers used, in order to provide and support the services, including the processing of the personal data of the data subjects as described above, via such applications, tools, and systems, (ii) the provision of IT support, maintenance and other services relating to such applications, tools, systems and IT infrastructure, including potential access to personal data stored in such applications, tools, and systems, and (iii) the provision of data protection services, protection monitoring, and incident response services, including potential access to personal data when providing such protection services. IQUALIF may engage Data processors as set below to provide the services, including ancillary services.

 

  •  
    • ¢ External third-party service providers as sub-entities assigned to data processing

 

IQUALIF engages external and third-party service providers, which are not subsidiaries of IQUALIF, to support the provision of services to the Data Exporter. The Data Exporter approves such external third-party service providers as sub-entities assigned to data processing.

 

If a sub-entity involved in data processing is located outside the EU/EEA, in a country deemed not to have an adequate level of data protection under a decision of the European Commission, the Data Importer will take steps to obtain an adequate level of data protection in accordance with the GDPR and section 3.4 (iv) of Part 1.

 

 

Appendix 2, Part 2

Technical and organizational protective measures

 

The Data Importer shall take the following technical and organizational protection measures confirmed by the Data Exporter, in order to guarantee an appropriate level of security for the rights and freedoms of individuals, depending on the risks. In assessing the level of protection concerned, the Data Exporter has considered, in particular, the risks involved in the processing, including accidental or unlawful destruction, alteration, unauthorized disclosure, or access to personal data transmitted, stored, or otherwise processed. By clarification: These technical and organizational protection measures do not apply to the applications, tools, systems, and/or IT infrastructure provided by the Data Exporter.

1 General technical and organizational protection measures
1.1 General information and data protection strategies
The following steps should be taken to follow general data and information protection strategies:
  • a) take measures to evaluate those taken regarding technical and organizational protection;
  • b) provide training to raise awareness among employees;
  • c) have a description of the systems concerned and grant access to employees;
  • d) establish a formal documentation process whenever systems are implemented or modified;
  • e) documenting the organizational structure, processes, responsibilities, and respective evaluations;
 
1.2 Organization of information protection
The following measures should be taken in order to coordinate data and information protection activities:
  • a) defined responsibilities for the protection of information and data (e.g. through the data protection management policy);
  • b) the necessary expertise on protecting information and data remaining available;
  • c) all employees are committed to ensuring that personal data is kept confidential, and have been informed of the potential consequences of breaching this commitment.
 
1.3 Access control to processing areas
The following measures must be taken to prevent unauthorized persons from gaining access to data processing systems (in particular software and hardware) when personal data are processed, stored, or transmitted:
  • a) establish secure areas;
  • b) protect and restrict access to data processing systems;
  • c) establish access authorizations for employees and third parties, including the respective documents;
  • d) any access to data processing centers in which personal data are stored shall be logged.
 
1.4 Access control to data processing systems
The following measures must be taken in order to prevent unauthorized access to data processing systems:
  • a) user authentication policies and procedures;
  • b) the use of passwords on all computer systems;
  • c) remote access to the network requires multi-factor authentication and is granted to the person concerned according to their responsibilities and upon authorization;
  • d) access to specific functions is based on job functions and/or attributes individually assigned to a user's account;
  • e) access rights related to personal data are reviewed regularly;
  • f) records of changes to access rights are kept up to date.
 
1.5 Controlling access to particular areas of use of data processing systems
The following measures must be taken to ensure that authorized persons with the right to use the data processing system can only access data within their respective responsibilities and access authorizations and that personal data cannot be read, copied, modified, or deleted without authorization:
  1.  
    1. a) policies, instructions, and training of employees, concerning the obligations of each of them about confidentiality, rights of access to personal data, and the scope of the processing of personal data;
  • b) disciplinary measures against persons accessing personal data without authorization;
  • c) access to personal data shall be granted only to authorized persons, on a need-to-know basis;
  • d) maintain a list of system administrators and take appropriate measures to monitor system administrators;
  • e) not to copy or reproduce personal data on any storage system to enable unauthorized persons to remove the information of the originator;
  • f) controlled and documented deletion or destruction of data;
  • g) to store securely all personal data that must be retained for legal or regulatory reasons (e.g. obligations to retain data), and only for as long as required by law.
 
1.6 Transmissions control
The following measures must be taken in order to prevent personal data from being read, copied, modified, or deleted by unauthorized third parties during the transmission or transport of data storage devices (depending on the processing of personal data undertaken):
  1.  
    1. a) use of firewalls;
  • b) avoiding the storage of personal data on mobile storage devices for transport purposes, or encrypting the devices;
  • c) use on laptops and other mobile devices only after the encryption protection has been activated;
  • d) logging of personal data transmissions.
 
1.7 Data entry control
The following measures must be taken to ensure that it is possible to verify and determine whether personal data have been entered into or deleted from data processing systems and by whom:
  1.  
    1. a) a policy for authorizing the reading, alteration, and deletion of stored data;
  • b) protection measures concerning the reading, alteration, and deletion of stored data.
 
1.8 Work control
In the case of delegated processing of personal data, the following measures must be taken to ensure that such data are processed in accordance with the instructions of the Supervisor:
  1.  
    1. a) entities or sub-entities assigned to data processing, chosen with care (service providers processing personal data on behalf of the controller);
  • b) instructions concerning the scope of any processing of personal data to the employees, entities, or sub-entities assigned to the data processing;
  • c) audit rights agreed with the entities or sub-entities assigned to the data processing;
  • d) agreements in place with the entities or sub-entities assigned to process the data.
 
1.9 Separation from processing for other purposes
The following measures must be taken to ensure that data collected for other purposes can be processed separately:
  1.  
    1. a) separate access to personal data in accordance with users' existing rights;
  • b) interfaces, batch processing and reporting are for other purposes and functions, so that data collected for other purposes can be processed separately.
 
1.10 Pseudonymization
The following measures must be taken regarding the pseudonymization of personal data:
  1.  
    1. a) If the Data Exporter orders a specific processing operation or if this is considered appropriate by the Data Importer in accordance with the data protection laws in force concerning certain processing activities, the processing of personal data will be carried out in such a way that the data can no longer be attributed to a specific person without the use of additional information. This additional information will be kept separately;
  • b) use of pseudonymization techniques, including allocation list randomization; creation of values in the form of sharps.
 
1.11 Encryption

The following steps should be taken to encrypt personal data in applications and transmissions that support encryption:

  1.  
    1. a) use of encryption techniques;
  • b) establishment of encryption management to support the encryption techniques authorized to be used;
  • c) supporting the use of cryptography through procedures and protocols for generating, modifying, revoking, destroying, distributing, certifying, storing, capturing, using, and archiving cryptographic keys to protect against unauthorized modification and disclosure.
 
1.12 Completeness of data processing systems and services
The following measures must be taken in order to ensure the completeness of data processing systems and services:
  1. a) protection of data processing systems against manipulation or destruction by appropriate means (e.g. anti-virus software, data loss prevention software and software against malware, software patches, firewalls, and managed desktop protection);
  • b) prohibit the installation of any service or software harmful to data processing systems, services, or the manipulation of personal data;
  • c) use of a network intrusion detection and prevention system in the structure of the network itself.
 
1.13 Availability of data processing systems and services and the possibility of restoring access to and use of personal data in the event of a material or technical incident
The following measures must be taken in order to ensure the availability of data processing systems, as well as to be able to quickly restore the availability of and access to personal data, in the event of a material or technical incident (in particular by ensuring that personal data are protected against accidental destruction or loss):
  • a) have means of control for keeping back-up copies and restoring lost or deleted data;
  • b) infrastructural redundancy and performance testing;
  • c) physical protection of computer resources;
  • d) use of tools to monitor the status and availability of the internal network;
  • e) incident reporting and response policies governing the incident management procedure, and reiteration of adherence to these policies as part of regular training;
  • f) backups (sometimes off-site) to restore the system to enable it to perform its functions again;
  • g) business continuity/disaster recovery plans
 
1.14 Resilience of data processing systems and services
The following measures must be taken to ensure the resilience of data processing systems and services:
  • a) systems and configured harmoniously, using approved security parameters;
  • b) network redundancy;
  • c) containment protection of critical systems.
 
1.15 Procedure for regularly testing, evaluating, and assessing the effectiveness of technical and organizational measures to ensure the security of data processing
Procedure for regularly testing, evaluating, and assessing the effectiveness of technical and organizational measures to protect data processing.
  • a) take the necessary steps to assess risks and mitigation strategies;
  • b) întlniri de analiză a serviciilor ale departamentului IT pentru abordarea problemelor actuale;
  • c) planurile de continuitate a activității/recuperare în caz de dezastru sunt actualizate periodic.

 

Partea 3

Semnăturile părților și lista importatorilor de date

 

Cnd completați formularul de comandă online și îl validați bifnd căsuța de acceptare a termenilor și condițiilor generale de utilizare, se stabilește contractul care reglementează relația dintre Client și IQUALIF.

Trimiterea plății către IQUALIF va avea în vedere contractul agreat și stabilit.


Rețineți: acest text a fost tradus din franceză. Versiunea originală franceză, care este valabilă și restrictivă din punct de vedere legal, este disponibilă aici .